Publicera Fjärrskrivbord med Microsoft Entra-programproxy

  • Artikel

Fjärrskrivbordstjänsten och Microsoft Entra-programproxyn arbetar tillsammans för att förbättra produktiviteten för arbetare som är borta från företagsnätverket.

Den avsedda målgruppen för den här artikeln är:

  • Aktuella programproxykunder som vill erbjuda fler program till sina slutanvändare genom att publicera lokala program via Fjärrskrivbordstjänster.
  • Aktuella Fjärrskrivbordstjänster-kunder som vill minska attackytan för sin distribution med hjälp av Microsoft Entra-programproxy. Det här scenariot ger en uppsättning tvåstegsverifiering och kontroller för villkorsstyrd åtkomst till RDS.

Så här passar programproxyn i den vanliga RDS-distributionen

En standarddistribution av fjärrskrivbord innehåller olika rolltjänster för fjärrskrivbord som körs på Windows Server. Det finns flera distributionsalternativ i arkitekturen fjärrskrivbordstjänster. Till skillnad från andra alternativ för RDS-distribution har RDS-distributionen med Microsoft Entra-programproxy (visas i följande diagram) en permanent utgående anslutning från servern som kör anslutningstjänsten. Andra distributioner lämnar öppna inkommande anslutningar via en lastbalanserare.

Application proxy sits between the RDS VM and the public internet

I en RDS-distribution körs webbrollen Fjärrskrivbord (RD) och RD Gateway-rollen på Internetuppkopplade datorer. Dessa slutpunkter exponeras av följande skäl:

  • Fjärrskrivbordswebb ger användaren en offentlig slutpunkt för att logga in och visa de olika lokala program och skrivbord som de kan komma åt. När du väljer en resurs skapas en RDP-anslutning (Remote Desktop Protocol) med den inbyggda appen i operativsystemet.
  • RD Gateway kommer in i bilden när en användare startar RDP-anslutningen. RD Gateway hanterar krypterad RDP-trafik som kommer via Internet och översätter den till den lokala servern som användaren ansluter till. I det här scenariot kommer trafiken som RD Gateway tar emot från Microsoft Entra-programproxyn.

Dricks

Om du inte har distribuerat RDS tidigare eller vill ha mer information innan du börjar kan du lära dig hur du sömlöst distribuerar RDS med Azure Resource Manager och Azure Marketplace.

Behov

  • Både fjärrskrivbordswebb- och RD Gateway-slutpunkterna måste finnas på samma dator och med en gemensam rot. Rd Web och RD Gateway publiceras som ett enda program med programproxy så att du kan ha en enkel inloggning mellan de två programmen.
  • Distribuera RDS och aktiverad programproxy. Aktivera programproxy och öppna nödvändiga portar och URL:er och aktivera TLS (Transport Layer Security) 1.2 på servern. Information om vilka portar som behöver öppnas och annan information finns i Självstudie: Lägga till ett lokalt program för fjärråtkomst via programproxy i Microsoft Entra-ID.
  • Slutanvändarna måste använda en kompatibel webbläsare för att ansluta till fjärrskrivbordswebbplatsen eller webbklienten för fjärrskrivbord. Mer information finns i Stöd för klientkonfigurationer.
  • När du publicerar webb för fjärrskrivbord använder du samma interna och externa fullständigt kvalificerade domännamn (FQDN) när det är möjligt. Om de interna och externa fullständigt kvalificerade domännamnen (FQDN) skiljer sig, inaktiverar du Översättning av begärandehuvud för att undvika att klienten får ogiltiga länkar.
  • Om du använder webbklienten för fjärrskrivbord måste du använda samma interna och externa FQDN. Om de interna och externa FQDN:erna skiljer sig, uppstår websocket-fel när du upprättar en RemoteApp-anslutning via webbklienten för fjärrskrivbord.
  • Om du använder webb för fjärrskrivbord på Internet Explorer måste du aktivera RDS ActiveX-tillägget.
  • Om du använder webbklienten för fjärrskrivbord måste du använda anslutningsappen för programproxy version 1.5.1975 eller senare.
  • För Microsoft Entra-förautentiseringsflödet kan användarna bara ansluta till resurser som publicerats till dem i fönstret RemoteApp och Desktops . Användare kan inte ansluta till ett skrivbord med hjälp av Anslut till ett fjärrdatorfönster.
  • Om du använder Windows Server 2019 måste du inaktivera HTTP2-protokollet. Mer information finns i Självstudie: Lägga till ett lokalt program för fjärråtkomst via programproxy i Microsoft Entra-ID.

Distribuera det gemensamma scenariot för RDS och programproxy

När du har konfigurerat RDS och Microsoft Entra-programproxy för din miljö följer du stegen för att kombinera de två lösningarna. De här stegen går igenom publiceringen av de två webbuppkopplade RDS-slutpunkterna (RD Web och RD Gateway) som program och dirigerar sedan trafik på rds för att gå igenom programproxyn.

Publicera slutpunkten för fjärrskrivbordsvärd

  1. Publicera ett nytt programproxyprogram med värdena.

    • Intern URL: https://<rdhost>.com/, där <rdhost> är den vanliga roten som RD Web och RD Gateway delar.
    • Extern URL: Det här fältet fylls i automatiskt baserat på namnet på programmet, men du kan ändra det. Användarna går till den här URL:en när de kommer åt RDS.
    • Förautentiseringsmetod: Microsoft Entra-ID.
    • Översätt URL-huvuden: Nej.
    • Använd endast HTTP-cookie: Nej.

  2. Tilldela användare till det publicerade RD-programmet. Kontrollera att alla har åtkomst till RDS också.

  3. Låt metoden för enkel inloggning vara inaktiverad för programmet eftersom enkel inloggning med Microsoft Entra är inaktiverat.

    Kommentar

    Användarna uppmanas att autentisera en gång till Microsoft Entra-ID och en gång till fjärrskrivbordswebbplatsen, men de har enkel inloggning till RD Gateway.

  4. Bläddra till Identitetsprogram>> Appregistreringar. Välj din app i listan.

  5. Under Hantera väljer du Varumärkesanpassning.

  6. Uppdatera fältet Url för startsidan så att det pekar på webbslutpunkten för fjärrskrivbord (till exempel https://<rdhost>.com/RDWeb).

Dirigera RDS-trafik till programproxy

Anslut till RDS-distributionen som administratör och ändra namnet på RD Gateway-servern för distributionen. Den här konfigurationen säkerställer att anslutningarna går via Microsoft Entra-programproxytjänsten.

  1. Anslut till RDS-servern som kör rollen Rd Anslut ion Broker.

  2. Starta Serverhanteraren.

  3. Välj Fjärrskrivbordstjänster i fönstret till vänster.

  4. Välj Översikt.

  5. I avsnittet Distributionsöversikt väljer du den nedrullningsbara menyn och väljer Redigera distributionsegenskaper.

  6. På fliken RD Gateway ändrar du fältet Servernamn till den externa URL som du angav för fjärrskrivbordsvärdens slutpunkt i programproxyn.

  7. Ändra fältet Inloggningsmetod till Lösenordsautentisering.

    Deployment Properties screen on RDS

  8. Kör det här kommandot för varje samling. Ersätt <dittcollectionname> och <proxyfrontendurl> med din egen information. Det här kommandot aktiverar enkel inloggning mellan fjärrskrivbordswebb- och fjärrskrivbordsgateway och optimerar prestanda.

    Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s:<proxyfrontendurl>`nrequire pre-authentication:i:1"

    Till exempel:

    Set-RDSessionCollectionConfiguration -CollectionName "QuickSessionCollection" -CustomRdpProperty "pre-authentication server address:s:https://remotedesktoptest-aadapdemo.msappproxy.net/`nrequire pre-authentication:i:1"

    Kommentar

    Kommandot ovan använder en backtick i "'nrequire".

  9. Kör följande kommando för att verifiera ändringen av de anpassade RDP-egenskaperna och visa RDP-filinnehållet som laddas ned från RDWeb för den här samlingen.

    (get-wmiobject -Namespace root\cimv2\terminalservices -Class Win32_RDCentralPublishedRemoteDesktop).RDPFileContents

Nu när Fjärrskrivbord har konfigurerats tar Microsoft Entra-programproxyn över som den Internetuppkopplade komponenten i RDS. Ta bort de andra offentliga Internetuppkopplade slutpunkterna på fjärrskrivbordswebb- och fjärrskrivbordsgatewaydatorerna.

Aktivera webbklienten för fjärrskrivbord

Om du vill att användarna ska använda webbklienten för fjärrskrivbord följer du stegen i Konfigurera fjärrskrivbordswebbklienten för dina användare.

Fjärrskrivbordswebbklienten ger åtkomst till organisationens fjärrskrivbordsinfrastruktur. En HTML5-kompatibel webbläsare som Microsoft Edge, Google Chrome, Safari eller Mozilla Firefox (v55.0 och senare) krävs.

Testa scenariot

Testa scenariot med Internet Explorer på en Windows 7- eller 10-dator.

  1. Gå till den externa URL som du har konfigurerat eller leta upp ditt program i panelen MyApps.
  2. Autentisera till Microsoft Entra-ID. Använd ett konto som du har tilldelat till programmet.
  3. Autentisera till fjärrskrivbordswebb.
  4. När RDS-autentiseringen har slutförts kan du välja det skrivbord eller program du vill använda och börja arbeta.

Stöd för andra klientkonfigurationer

Konfigurationen som beskrivs i den här artikeln är avsedd för åtkomst till RDS via rd-webben eller webbklienten för fjärrskrivbord. Om du behöver det kan du dock stödja andra operativsystem eller webbläsare. Skillnaden är den autentiseringsmetod som du använder.

Autentiseringsmetod Klientkonfiguration som stöds
Förautentisering Webb för fjärrskrivbord – Windows 7/10/11 med Microsoft Edge Chromium IE mode + RDS ActiveX-tillägg
Förautentisering Webbklient för fjärrskrivbord – HTML5-kompatibel webbläsare som Microsoft Edge, Internet Explorer 11, Google Chrome, Safari eller Mozilla Firefox (v55.0 och senare)
Genomströmning Alla andra operativsystem som stöder Microsoft Fjärrskrivbord-programmet

Kommentar

Microsoft Edge Chromium IEkrävs när Mina appar-portalen används för åtkomst till fjärrskrivbordsappen.

Flödet före autentisering ger fler säkerhetsfördelar än genomströmningsflödet. Med förhandsautentisering kan du använda Microsoft Entra-autentiseringsfunktioner som enkel inloggning, villkorsstyrd åtkomst och tvåstegsverifiering för dina lokala resurser. Du ser också till att endast autentiserad trafik når nätverket.

För att använda genomströmningsautentisering finns det bara två ändringar i stegen som anges i den här artikeln:

  1. I Publicera slutpunkten för fjärrskrivbordsvärden steg 1 anger du metoden Förautentisering till Genomströmning.
  2. Hoppa över steg 8 helt i Direct RDS-trafik till programproxyn.

Nästa steg