Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Para proteger o acesso remoto a máquinas virtuais (VMs) executadas em um domínio gerenciado dos Serviços de Domínio Microsoft Entra, você pode usar os Serviços de Área de Trabalho Remota (RDS) e o NPS (Servidor de Diretivas de Rede). Os Serviços de Domínio autenticam os utilizadores à medida que estes solicitam acesso através do ambiente RDS. Para maior segurança, você pode integrar a autenticação multifator do Microsoft Entra para fornecer outro prompt de autenticação durante eventos de entrada. A autenticação multifator do Microsoft Entra usa uma extensão para o NPS para fornecer esse recurso.
Importante
A maneira recomendada de se conectar com segurança às suas VMs em um domínio gerenciado dos Serviços de Domínio é usando o Azure Bastion, um serviço PaaS totalmente gerenciado por plataforma que você provisiona dentro de sua rede virtual. Um host bastion fornece conectividade RDP (Remote Desktop Protocol) segura e contínua para suas VMs diretamente no portal do Azure por SSL. Quando você se conecta por meio de um host bastion, suas VMs não precisam de um endereço IP público e você não precisa usar grupos de segurança de rede para expor o acesso ao RDP na porta TCP 3389.
É altamente recomendável que você use o Azure Bastion em todas as regiões onde ele é suportado. Em regiões sem disponibilidade do Azure Bastion, siga as etapas detalhadas neste artigo até que o Azure Bastion esteja disponível. Tenha cuidado com a atribuição de endereços IP públicos a VMs associadas aos Serviços de Domínio, onde todo o tráfego RDP de entrada é permitido.
Para obter mais informações, consulte O que é o Azure Bastion?.
Este artigo mostra como configurar o RDS nos Serviços de Domínio e, opcionalmente, usar a extensão NPS de autenticação multifator do Microsoft Entra.
Pré-requisitos
Para concluir este artigo, você precisa dos seguintes recursos:
- Uma subscrição ativa do Azure.
- Se você não tiver uma assinatura do Azure, crie uma conta.
- Um locatário do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
- Se necessário, crie um inquilino do Microsoft Entra ou associe uma subscrição do Azure à sua conta.
- Um domínio gerenciado dos Serviços de Domínio Microsoft Entra habilitado e configurado em seu locatário do Microsoft Entra.
- Se necessário, crie e configure um domínio gerenciado dos Serviços de Domínio Microsoft Entra.
- Uma sub-rede de trabalho criada na rede virtual dos Serviços de Domínio da Microsoft Entra.
- Se necessário, Configure a rede virtual para um domínio gerenciado dos Serviços de Domínio Microsoft Entra.
- Uma conta de usuário que seja membro do grupo de administradores do AAD DC em seu locatário do Microsoft Entra.
Implantar e configurar o ambiente de Área de Trabalho Remota
Para começar, crie um mínimo de duas VMs do Azure que executam o Windows Server 2016 ou o Windows Server 2019. Para redundância e alta disponibilidade do seu ambiente de Área de Trabalho Remota (RD), você pode adicionar e balancear a carga de hosts mais tarde.
Uma implantação RDS sugerida inclui as duas VMs a seguir:
- RDGVM01 - Executa o servidor do Mediador de Ligações de RD, o servidor de Acesso Web de RD e o servidor de Gateway de RD.
- RDSHVM01 - Executa o servidor de Anfitrião de Sessões de RD.
Certifique-se de que as VMs são implantadas em uma sub-rede de cargas de trabalho da sua rede virtual de Serviços de Domínio e, em seguida, associe as VMs ao domínio gerenciado. Para obter mais informações, consulte como criar e associar uma VM do Windows Server a um domínio gerenciado.
A implantação do ambiente RD contém várias etapas. O guia de implantação de área de trabalho remota existente pode ser usado sem alterações específicas para usar em um domínio gerenciado:
- Inicie sessão nas VMs criadas para o ambiente RD com uma conta que faz parte do grupo Administradores de DC do AAD, como contosoadmin.
- Para criar e configurar o RDS, use o guia de implantação do ambiente de Área de Trabalho Remota existente. Distribua os componentes do servidor RD pelas VMs do Azure conforme desejado.
- Específico para Serviços de Domínio - ao configurar o licenciamento de RD, defina-o para o modo Por Dispositivo , e não por Utilizador , como indicado no guia de implementação.
- Se você quiser fornecer acesso usando um navegador da Web, configure o cliente da Web da Área de Trabalho Remota para seus usuários.
Com a RD implantada no domínio gerenciado, você pode gerenciar e usar o serviço como faria com um domínio AD DS local.
Implantar e configurar o NPS e a extensão NPS de autenticação multifator do Microsoft Entra
Se pretender aumentar a segurança da experiência de início de sessão do utilizador, pode opcionalmente integrar o ambiente de RD com a autenticação multifator Microsoft Entra. Com essa configuração, os usuários recebem outro prompt durante o login para confirmar sua identidade.
Para fornecer esse recurso, um NPS (Servidor de Diretivas de Rede) é instalado em seu ambiente junto com a extensão NPS de autenticação multifator do Microsoft Entra. Esta extensão integra-se com o Microsoft Entra ID para solicitar e devolver o estado das solicitações de autenticação multifator.
Os utilizadores devem estar registados para utilizar a autenticação multifator do Microsoft Entra, o que pode exigir outras licenças do Microsoft Entra ID. Para obter mais informações, consulte Planos do Microsoft Entra & Preços.
Para integrar a autenticação multifator do Microsoft Entra ao seu ambiente de Área de Trabalho Remota, crie um Servidor NPS e instale a extensão:
- Crie outra VM do Windows Server 2016 ou 2019, como NPSVM01, conectada a uma sub-rede de aplicações na rede virtual dos Serviços de Domínio. Junte a VM ao domínio gerenciado.
- Entre na VM NPS com uma conta que pertence ao grupo Administradores de AAD DC, como contosoadmin.
- No Gerenciador do Servidor, selecione Adicionar Funções e Recursos e instale a função Serviços de Acesso e Diretiva de Rede.
- Delegue a permissão de Controle Total do grupo de Servidores RAS e IAS ao grupo Administradores do DC do AAD. Esta etapa é necessária para a configuração do servidor NPS ou Radius.
- Use o artigo de instruções existente para instalar e configurar a extensão NPS de autenticação multifator do Microsoft Entra.
Com o servidor NPS e a extensão NPS de autenticação multifator Microsoft Entra instalados, conclua a próxima seção para configurá-lo para uso com o ambiente RD.
Integrar o Remote Desktop Gateway e a autenticação multifator Microsoft Entra
Para integrar a extensão NPS de autenticação multifator do Microsoft Entra, use o artigo de instruções existente para integrar a infraestrutura do seu Gateway de Ambiente de Trabalho Remoto usando a extensão NPS (Servidor de Diretivas de Rede) e o Microsoft Entra ID.
As seguintes opções de configuração são necessárias para integrar com um domínio gerenciado:
Não registre o servidor NPS no Ative Directory. Esta etapa falha em um domínio gerenciado.
Na etapa 4 para configurar a diretiva de rede, marque também a caixa para Ignorar as propriedades de chamada da conta de usuário.
Se você usar o Windows Server 2019 ou posterior para o servidor NPS e a extensão NPS de autenticação multifator do Microsoft Entra, execute o seguinte comando para atualizar o canal seguro para permitir que o servidor NPS se comunique corretamente:
sc sidtype IAS unrestricted
Agora, os usuários são solicitados a fornecer outro fator de autenticação quando entrarem, como uma mensagem de texto ou um prompt no aplicativo Microsoft Authenticator.
Próximos passos
Para obter mais informações sobre como melhorar a resiliência de sua implantação, consulte Serviços de Área de Trabalho Remota - Alta disponibilidade.
Para obter mais informações sobre como proteger o início de sessão do utilizador, consulte Como funciona: autenticação multifator do Microsoft Entra.