使用 Microsoft Entra 應用程式 Proxy 發佈遠端桌面 (機器翻譯)

  • 發行項

遠端桌面服務和 Microsoft Entra 應用程式 Proxy 共同運作,以改善遠離公司網路的員工生產力。

本文的目標物件如下:

  • 目前的應用程式 Proxy 客戶想要透過遠端桌面服務發佈內部部署應用程式,以為其終端使用者提供更多應用程式。
  • 目前想要使用 Microsoft Entra 應用程式 Proxy 減少其部署攻擊面的遠端桌面服務客戶。 此案例會將一組雙步驟驗證和條件式訪問控制提供給 RDS。

應用程式 Proxy 如何符合標準 RDS 部署

標準 RDS 部署包含在 Windows Server 上執行的各種遠端桌面角色服務。 遠端桌面服務架構存在多個部署選項。 不同於其他 RDS 部署選項, 使用 Microsoft Entra 應用程式 Proxy 的 RDS 部署(如下圖所示)具有從執行連接器服務的伺服器永久輸出連線。 其他部署會透過負載平衡器保留開啟的輸入連線。

Application proxy sits between the RDS VM and the public internet

在 RDS 部署中,遠端桌面 (RD) Web 角色和 RD 閘道角色會在因特網對向電腦上執行。 這些端點會因為下列原因而公開:

  • RD Web 為使用者提供公用端點來登入及檢視他們可存取的各種內部部署應用程式和桌面。 當您選取資源時,會使用OS上的原生應用程式來建立遠端桌面通訊協定 (RDP) 連線。
  • 一旦用戶啟動 RDP 連線,RD 閘道就會進入圖片。 RD 閘道會處理透過因特網傳送的加密 RDP 流量,並將其轉譯為使用者所連線的內部部署伺服器。 在此案例中,RD 閘道接收的流量來自 Microsoft Entra 應用程式 Proxy。

提示

如果您之前尚未部署 RDS,或想要在開始之前取得詳細資訊,請瞭解如何 使用 Azure Resource Manager 和 Azure Marketplace 順暢地部署 RDS。

需求

  • RD Web 和 RD 閘道端點都必須位於同一部電腦上,以及具有一般根目錄。 RD Web 和 RD 閘道會發佈為具有應用程式 Proxy 的單一應用程式,讓您可以在兩個應用程式之間擁有單一登錄體驗。
  • 部署 RDS,並 啟用應用程式 Proxy。 啟用應用程式 Proxy 並開啟必要的埠和 URL,並在伺服器上啟用傳輸層安全性 (TLS) 1.2。 若要瞭解需要開啟哪些埠和其他詳細數據,請參閱 教學課程:在 Microsoft Entra ID 中透過應用程式 Proxy 新增內部部署應用程式以進行遠端訪問。
  • 您的終端用戶必須使用相容的瀏覽器來連線到 RD Web 或 RD Web 用戶端。 如需詳細資訊,請參閱 用戶端設定的支援。
  • 發佈 RD Web 時,請盡可能使用相同的內部和外部完整功能變數名稱 (FQDN)。 如果內部和外部完整功能變數名稱 (FQDN) 不同,請停用要求標頭轉譯,以避免用戶端收到無效的連結。
  • 如果您使用 RD Web 用戶端,則必須使用相同的內部和外部 FQDN。 如果內部和外部 FQDN 不同,則透過 RD Web 用戶端進行 RemoteApp 連線時,您會遇到 websocket 錯誤。
  • 如果您在 Internet Explorer 上使用 RD Web,則必須啟用 RDS ActiveX 附加元件。
  • 如果您使用 RD Web 用戶端,則必須使用應用程式 Proxy 連接器 1.5.1975 版或更新版本
  • 針對 Microsoft Entra 預先驗證流程,使用者只能連線到 [ RemoteApp 和桌面 ] 窗格中發行的資源。 用戶無法使用 連線 連線到遠端電腦窗格的桌面
  • 如果您使用 Windows Server 2019,則必須停用 HTTP2 通訊協定。 如需詳細資訊,請參閱 教學課程:在 Microsoft Entra ID 中新增內部部署應用程式,以透過應用程式 Proxy 進行遠端訪問。

部署聯合 RDS 和應用程式 Proxy 案例

為您的環境設定 RDS 和 Microsoft Entra 應用程式 Proxy 之後,請遵循步驟來結合這兩個解決方案。 這些步驟將兩個 Web 面向的 RDS 端點(RD Web 和 RD 閘道)發佈為應用程式,然後引導 RDS 上的流量透過應用程式 Proxy。

發佈 RD 主機端點

  1. 使用值發佈新的應用程式 Proxy 應用程式

    • 內部 URL: https://<rdhost>.com/,其中 <rdhost> 是 RD Web 和 RD 閘道共用的常見根目錄。
    • 外部 URL:此欄位會根據應用程式的名稱自動填入,但您可以修改它。 當使用者存取 RDS 時,您的使用者會移至此 URL。
    • 預先驗證方法:Microsoft Entra ID。
    • 翻譯 URL 標頭:否。
    • 使用僅限 HTTP 的 Cookie:否。

  2. 將使用者指派給已發佈的 RD 應用程式。 請確定它們也有 RDS 的存取權。

  3. 將應用程式的單一登錄方法保留為 停用 Microsoft Entra 單一登錄。

    注意

    系統會要求您的使用者向 Microsoft Entra ID 進行一次驗證,一次驗證一次到 RD Web,但他們有 RD 閘道的單一登錄。

  4. 流覽至 [身分>識別應用程式> 應用程式註冊]。 從清單中選擇您的應用程式。

  5. 在 [管理] 底下,選取 [商標]。

  6. 更新 [首頁 URL] 字段以指向您的 RD Web 端點(例如 https://<rdhost>.com/RDWeb)。

將 RDS 流量導向應用程式 Proxy

以系統管理員身分 連線 RDS 部署,並變更部署的 RD 閘道伺服器名稱。 此設定可確保連線通過 Microsoft Entra 應用程式 Proxy 服務。

  1. 連線 執行 RD 連線 ion Broker 角色的 RDS 伺服器。

  2. 啟動 伺服器管理員

  3. 從左側窗格選取 [遠端桌面服務 ]。

  4. 選取 [概觀]

  5. 在 [部署概觀] 區段中,選取下拉功能表,然後選擇 [ 編輯部署屬性]。

  6. 在 [RD 閘道] 索引標籤中,將 [ 伺服器名稱] 字段變更為您在應用程式 Proxy 中為 RD 主機端點設定的外部 URL。

  7. 將 [ 登入方法] 字段變更為 [密碼驗證]。

    Deployment Properties screen on RDS

  8. 針對每個集合執行此命令。 以您自己的資訊取代 yourcollectionname> 和 <proxyfrontendurl。>< 此命令可啟用 RD Web 與 RD 閘道之間的單一登錄,並優化效能。

    Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s:<proxyfrontendurl>`nrequire pre-authentication:i:1"

    例如:

    Set-RDSessionCollectionConfiguration -CollectionName "QuickSessionCollection" -CustomRdpProperty "pre-authentication server address:s:https://remotedesktoptest-aadapdemo.msappproxy.net/`nrequire pre-authentication:i:1"

    注意

    上述命令使用 「nrequire」 中的反引號。

  9. 若要確認修改自定義 RDP 屬性,並檢視從 RDWeb 下載此集合的 RDP 檔案內容,請執行下列命令。

    (get-wmiobject -Namespace root\cimv2\terminalservices -Class Win32_RDCentralPublishedRemoteDesktop).RDPFileContents

現在已設定遠端桌面,Microsoft Entra 應用程式 Proxy 會接管作為 RDS 的因特網對應元件。 拿掉 RD Web 和 RD 閘道機器上的其他公用因特網對向端點。

啟用 RD Web 用戶端

如果您想要讓使用者使用 RD Web 用戶端,請遵循為使用者設定遠端桌面 Web 用戶端中的步驟。

遠端桌面 Web 用戶端可讓您存取組織的遠端桌面基礎結構。 需要 HTML5 相容的網頁瀏覽器,例如 Microsoft Edge、Google Chrome、Safari 或 Mozilla Firefox (v55.0 和更新版本)。

測試案例

在 Windows 7 或 10 計算機上使用 Internet Explorer 測試案例。

  1. 移至您設定的外部 URL,或在 MyApps 面板中尋找您的應用程式
  2. 向 Microsoft Entra 識別碼進行驗證。 使用您指派給應用程式的帳戶。
  3. 向 RD Web 進行驗證。
  4. RDS 驗證成功之後,您可以選取您想要的桌面或應用程式,並開始運作。

支援其他客戶端設定

本文中所述的組態是透過 RD Web 或 RD Web 用戶端存取 RDS。 不過,如果您需要支援其他作業系統或瀏覽器。 差異在於您使用的驗證方法。

驗證方法 支援的客戶端設定
預先驗證 RD Web - 使用 Microsoft Edge Chromium IE mode + RDS ActiveX 附加元件的 Windows 7/10/11
預先驗證 RD Web 用戶端 - HTML5 兼容的網頁瀏覽器,例如 Microsoft Edge、Internet Explorer 11、Google Chrome、Safari 或 Mozilla Firefox (v55.0 和更新版本)
通過 支援 Microsoft 遠端桌面 應用程式的任何其他作業系統

注意

Microsoft Edge Chromium IE當 我的應用程式 入口網站用於存取遠端桌面應用程式時,需要模式。

預先驗證流程提供比傳遞流程更多的安全性優點。 透過預先驗證,您可以使用 Microsoft Entra 驗證功能,例如單一登錄、條件式存取,以及內部部署資源的雙步驟驗證。 您也會確保只有已驗證的流量到達您的網路。

若要使用傳遞驗證,本文所列的步驟只有兩項修改:

  1. [發佈 RD 主機端點 ] 步驟 1 中,將 [預先驗證] 方法設定為 [傳遞]。
  2. 直接 RDS 流量至應用程式 Proxy 中,完全略過步驟 8。

下一步