在 Microsoft Entra Domain Services 中保護虛擬機器的遠端存取

若要保護在 Microsoft Entra Domain Services 受控網域中執行的虛擬機器 (VM) 遠端存取，您可以使用遠端桌面服務 (RDS) 和網路原則伺服器 (NPS) 。 Domain Services 會在使用者透過 RDS 環境要求存取時驗證使用者。 為了增強安全性，您可以整合 Microsoft Entra 多重要素驗證，藉此在登入事件中提供額外的驗證提示。 Microsoft Entra 多重要素驗證會使用 NPS 的擴充功能來提供這項功能。

重要

在 Domain Services 受控網域中安全地連線到 VM 的建議方式是使用 Azure Bastion，這是一種佈建在虛擬網路內的完整平台管理式 PaaS 服務。 堡壘主機可透過 SSL 在 Azure 入口網站直接對 VM 提供安全且流暢的遠端桌面通訊協定 (RDP) 連線。 透過堡壘主機連線時，VM 不需要公用 IP 位址，您也不需要使用網路安全性群組來公開 TCP 通訊埠 3389 上的 RDP 存取權。

我們強烈建議您，在可支援情況下，請在所有區域中都使用 Azure Bastion。 在 Azure Bastion 尚不可用的區域，請遵循本文詳述的步驟，直至 Azure Bastion 可用。 將公用 IP 位址指派給已加入 Domain Services 且允許所有傳入 RDP 流量的 VM 時請小心。

如需詳細資訊，請參閱什麼是 Azure Bastion？。

本文說明如何在 Domain Services 中設定 RDS，以及視情況使用 Microsoft Entra 多重要素驗證NPS 延伸模組。

必要條件

若要完成本文，您需要下列資源：

• 有效的 Azure 訂閱。
  • 如果您沒有 Azure 訂用帳戶，請先建立帳戶。
• 與您的訂閱相關聯的 Microsoft Entra 租戶，可以是與內部部署目錄同步或僅限雲端目錄同步。
  • 如有需要，請建立 Microsoft Entra 租戶或將 Azure 訂用帳戶與您的帳戶關聯 (部分機器翻譯)。
• 已在您的 Microsoft Entra 租用戶中啟用並設定的 Microsoft Entra Domain Services 受控網域。
  • 如有需要，請建立和設定 Microsoft Entra Domain Services 受控網域。
• 在 Microsoft Entra Domain Services 虛擬網路中建立的工作負載子網路。
  • 如有需要，設定 Microsoft Entra Domain Services 受控網域的虛擬網路。
• 貴組織的 Microsoft Entra 租戶中屬於 AAD DC 系統管理員 群組的用戶帳戶。

部署及設定遠端桌面環境

若要開始操作，請至少建立兩個執行 Windows Server 2016 或 Windows Server 2019 的 Azure VM。 為求遠端桌面 (RD) 環境的備援和高可用性，您稍後可以再新增主機並執行負載平衡。

建議在 RDS 部署作業中包含下列兩個 VM：

• RDGVM01 - 用於執行 RD 連線代理人伺服器、RD Web 存取伺服器和 RD 閘道伺服器。
• RDSHVM01 - 用於執行 RD 工作階段主機伺服器。

請務必將這些 VM 部署到您在 Domain Services 虛擬網路中的工作負載子網路，然後將 VM 加入受控網域。 如需詳細資訊，請參閱如何建立 Windows Server VM 並加入受控網域。

RD 環境的部署作業包含好幾個步驟。 要在受控網域中使用 RD，您可以利用現有的 RD 部署指南，無需任何特定變更：

1. 使用屬於 AAD DC 系統管理員 群組的帳戶登入為 RD 環境建立的虛擬機器，例如 contosoadmin。
2. 若要建立及設定 RDS，請使用現有的遠端桌面環境部署指南。 視需要將 RD 伺服器元件散發到您的 Azure VM。
   • Domain Services 特定設定 - 設定 RD 授權時，請設為 [每部裝置] 模式，而不是部署指南中所述的 [每位使用者]。
3. 如果您想要使用網頁瀏覽器提供存取權， 請為您的使用者設定遠端桌面 Web 用戶端。

在受控網域中部署 RD 後，您就可以如同使用內部部署 AD DS 網域一樣地管理和使用各種服務。

部署和設定 NPS 和 Microsoft Entra 多重因素驗證 NPS 延伸模組

如果您想要提高使用者登入體驗的安全性，您可以選擇將 RD 環境與 Microsoft Entra 多重要素驗證整合。 透過此設定，使用者在登入時會收到另一個提示，要求他們確認身分。

為了提供這項功能，網路原則伺服器 (NPS) 以及 Microsoft Entra 多重要素驗證 NPS 延伸模組已安裝在您的環境中。 此擴充功能會與 Microsoft Entra ID 整合，要求並傳回多重要素驗證提示的狀態。

使用者必須註冊以使用Microsoft Entra 多重要素驗證，這可能需要其他 Microsoft Entra ID 授權。 如需詳細資訊，請參閱 Microsoft Entra Plans & Pricing。

若要將 Microsoft Entra 多重要素驗證整合到遠端桌面環境，請建立 NPS 伺服器並安裝此擴充功能：

1. 建立連線到 Domain Services 虛擬網路工作負載子網路的另一個 Windows Server 2016 或 2019 VM (例如 NPSVM01)，。 將 VM 加入受控網域。
2. 以屬於 AAD DC 系統管理員群組的帳戶身分登入 NPS VM，例如 contosoadmin。
3. 從 [伺服器管理員]中選取 [新增角色和功能]，然後安裝「網路原則和 Access Services」角色。
4. 將 RAS 和 IAS 伺服器群組的完整控制許可權委派給 AAD DC Administrators 群組。 NPS 或 Radius 伺服器設定需要此步驟。
5. 使用現有的說明文章來安裝和設定 Microsoft Entra 多重要素驗證 NPS 擴充套件。

安裝 NPS 伺服器和 Microsoft Entra 多重要素驗證 NPS 延伸模組後，請在下一節完成設定，以便在 RD 環境中使用。

整合遠端桌面閘道和 Microsoft Entra 多重要素驗證

若要整合 Microsoft Entra 多重要素驗證 NPS 延伸模組，請利用現有的操作說明文章，透過網路原則伺服器 (NPS) 擴充功能和 Microsoft Entra ID 來整合遠端桌面閘道基礎結構。

您需要以下設定選項，才能與受控網域整合：

1. 請勿在 Active Directory 中註冊 NPS 伺服器。 此步驟在受控網域中會失敗。

2. 在步驟 4 中設定網路原則時，亦請勾選 [忽略使用者帳戶撥入屬性] 的方塊。

3. 如果您針對 NPS 伺服器使用 Windows Server 2019 或更新版本，並Microsoft Entra 多重要素驗證 NPS 擴充功能，請執行下列命令來更新安全通道，以允許 NPS 伺服器正確通訊：

   sc sidtype IAS unrestricted
   

之後使用者在登入時就會收到另一個驗證因素提示，例如 Microsoft Authenticator 應用程式的文字簡訊或提示。

下一步

如需詳細了解如何改善部署的復原能力，請參閱遠端桌面服務 - 高可用性。

如需詳細瞭解如何保護使用者登入，請參閱運作方式：Microsoft Entra 多重要素驗證。