Configure um proxy do Centro de Distribuição de Chaves Kerberos

Clientes conscientes da segurança, como organizações financeiras ou governamentais, muitas vezes assinam usando smartcards. Os smartcards tornam as implementações mais seguras exigindo a autenticação multifactor (MFA). No entanto, para a parte RDP de uma sessão de Desktop Virtual Azure, os Smartcards requerem uma ligação direta, ou "linha de visão", com um controlador de domínio Ative Directory (AD) para a autenticação Kerberos. Sem esta ligação direta, os utilizadores não podem iniciar susso automaticamente na rede da organização a partir de ligações remotas. Os utilizadores de uma implementação de Ambiente de Trabalho Virtual Azure podem utilizar o serviço de procuração KDC para proxy este tráfego de autenticação e assinar remotamente. O proxy KDC permite a autenticação para o Protocolo de Ambiente de Trabalho Remoto de uma sessão de Desktop Virtual Azure, permitindo que o utilizador assine com segurança. Isto torna o trabalho a partir de casa muito mais fácil, e permite que certos cenários de recuperação de desastres funcionem de forma mais suave.

No entanto, a configuração do proxy KDC normalmente envolve a atribuição do papel de Windows Server Gateway em Windows Server 2016 ou mais tarde. Como é que utiliza uma função de Serviços de Secretária remoto para iniciar seduca no Azure Virtual Desktop? Para responder a isso, vamos dar uma olhada nos componentes.

Existem dois componentes para o serviço de desktop virtual Azure que precisam de ser autenticados:

  • O feed no cliente Azure Virtual Desktop que dá aos utilizadores uma lista de ambientes de trabalho disponíveis ou aplicações a que têm acesso. Este processo de autenticação acontece em Azure Ative Directory, o que significa que este componente não é o foco deste artigo.
  • A sessão RDP que resulta de um utilizador selecionar um dos recursos disponíveis. Este componente utiliza a autenticação Kerberos e requer um proxy KDC para utilizadores remotos.

Este artigo irá mostrar-lhe como configurar o feed no cliente Azure Virtual Desktop no portal do Azure. Se quiser aprender a configurar o papel rd gateway, consulte o papel de Rd Gateway.

Requisitos

Para configurar um anfitrião de sessão de desktop virtual Azure com um representante da KDC, você precisará das seguintes coisas:

  • Acesso à portal do Azure e a uma conta de administrador da Azure.
  • As máquinas de clientes remotos devem estar a funcionar Windows 10 ou Windows 7 e ter o cliente Windows desktop instalado. Atualmente, o cliente web não é suportado.
  • Deve ter um representante da KDC já instalado na sua máquina. Para aprender a fazê-lo, consulte Configurar o papel RD Gateway para O Ambiente de Trabalho Virtual Azure.
  • O sistema operativo da máquina deve ser Windows Server 2016 ou mais tarde.

Assim que tiver certeza de que cumpre estes requisitos, está pronto para começar.

Como configurar o representante da KDC

Para configurar o representante da KDC:

  1. Inicie sessão no portal do Azure como administrador.

  2. Aceda à página Azure Virtual Desktop.

  3. Selecione o pool anfitrião para o quais pretende ativar o proxy KDC e, em seguida, selecione As Propriedades RDP.

  4. Selecione o separador Avançado e, em seguida, introduza um valor no seguinte formato sem espaços:

    kdcproxyname:s:<fqdn>

    A screenshot showing the Advanced tab selected, with the value entered as described in step 4.

  5. Selecione Guardar.

  6. O pool de anfitriões selecionado deve agora começar a emitir ficheiros de ligação RDP que incluem o valor kdcproxyname que introduziu no passo 4.

Passos seguintes

Para aprender a gerir o lado dos Serviços de Ambiente de Trabalho Remoto do proxy KDC e atribuir a função RD Gateway, consulte implementar a função RD Gateway.

Se estiver interessado em escalar os seus servidores de procuração KDC, aprenda a configurar uma alta disponibilidade para proxy KDC em Adicionar alta disponibilidade para a frente web RD Web e Gateway.