Konfigurera en Kerberos Key Distribution Center-proxy

Säkerhetsmedvetna kunder, till exempel finans- eller myndighetsorganisationer, loggar ofta in med smartkort. Smartkort gör distributionerna säkrare genom att kräva multifaktorautentisering (MFA). För RDP-delen av en Azure Virtual Desktop-session kräver smartkort dock en direktanslutning eller "siktlinje" med en Active Directory-domänkontrollant (AD) för Kerberos-autentisering. Utan den här direktanslutningen kan användarna inte automatiskt logga in på organisationens nätverk från fjärranslutningar. Användare i en Azure Virtual Desktop-distribution kan använda KDC-proxytjänsten för att proxyisera den här autentiseringstrafiken och logga in via fjärranslutning. KDC-proxyn tillåter autentisering för Fjärrskrivbordsprotokollet för en Azure Virtual Desktop-session så att användaren kan logga in på ett säkert sätt. Detta gör det mycket enklare att arbeta hemifrån och gör att vissa haveriberedskapsscenarier kan köras smidigare.

Att konfigurera KDC-proxyn innebär dock vanligtvis att tilldela Rollen Windows Server Gateway i Windows Server 2016 eller senare. Hur använder du rollen Fjärrskrivbordstjänster för att logga in på Azure Virtual Desktop? För att svara på det tar vi en snabb titt på komponenterna.

Det finns två komponenter i Azure Virtual Desktop-tjänsten som måste autentiseras:

• Flödet i Azure Virtual Desktop-klienten som ger användarna en lista över tillgängliga skrivbord eller program som de har åtkomst till. Den här autentiseringsprocessen sker i Microsoft Entra-ID, vilket innebär att den här komponenten inte är i fokus för den här artikeln.
• RDP-sessionen som resulterar i att en användare väljer en av de tillgängliga resurserna. Den här komponenten använder Kerberos-autentisering och kräver en KDC-proxy för fjärranvändare.

Den här artikeln visar hur du konfigurerar flödet i Azure Virtual Desktop-klienten i Azure-portalen. Om du vill lära dig hur du konfigurerar RD Gateway-rollen kan du läsa Distribuera RD Gateway-rollen.

Förutsättningar

För att konfigurera en Azure Virtual Desktop-sessionsvärd med en KDC-proxy behöver du följande:

• Åtkomst till Azure-portalen och ett Azure-administratörskonto.
• Fjärrklientdatorerna måste köra minst Windows 10 och ha Windows Desktop-klienten installerad. Webbklienten stöds inte för närvarande.
• Du måste redan ha en KDC-proxy installerad på datorn. Information om hur du gör det finns i Konfigurera RD Gateway-rollen för Azure Virtual Desktop.
• Datorns operativsystem måste vara Windows Server 2016 eller senare.

När du har sett till att du uppfyller dessa krav är du redo att komma igång.

Så här konfigurerar du KDC-proxyn

Så här konfigurerar du KDC-proxyn:

1. Logga in på Azure-portalen som administratör.

2. Gå till sidan Azure Virtual Desktop.

3. Välj den värdpool som du vill aktivera KDC-proxyn för och välj sedan RDP-egenskaper.

4. Välj fliken Avancerat och ange sedan ett värde i följande format utan blanksteg:

   kdcproxyname:s:<fqdn>

   

5. Välj Spara.

6. Den valda värdpoolen bör nu börja utfärda RDP-anslutningsfiler som innehåller värdet kdcproxyname som du angav i steg 4.

Nästa steg

Information om hur du hanterar sidan Fjärrskrivbordstjänster i KDC-proxyn och tilldelar rollen RD Gateway finns i Distribuera rollen RD Gateway.

Om du är intresserad av att skala dina KDC-proxyservrar kan du lära dig hur du konfigurerar hög tillgänglighet för KDC-proxy i Lägg till hög tillgänglighet på webb- och gatewaywebbsidan för fjärrskrivbord.