Pubblicare Desktop remoto con il proxy applicazione di Azure ADPublish Remote Desktop with Azure AD Application Proxy

Servizi Desktop remoto e il proxy di applicazione di Azure AD si integrano per migliorare la produttività dei dipendenti che si trovano all'esterno della rete aziendale.Remote Desktop Service and Azure AD Application Proxy work together to improve the productivity of workers who are away from the corporate network.

I destinatari di questo articolo sono:The intended audience for this article is:

  • Attuali clienti del proxy di applicazione di Azure AD che vogliono offrire un maggior numero di applicazioni ai propri utenti finali tramite la pubblicazione di applicazioni locali attraverso Servizi Desktop remoto.Current Application Proxy customers who want to offer more applications to their end users by publishing on-premises applications through Remote Desktop Services.
  • I clienti attuali di Servizi Desktop remoto che vogliono ridurre la superficie di attacco della propria distribuzione usando il proxy applicazione di AD Azure.Current Remote Desktop Services customers who want to reduce the attack surface of their deployment by using Azure AD Application Proxy. Questo scenario fornisce un set limitato di controlli di verifica in due passaggi e di controlli di accesso condizionale per Servizi Desktop remoto.This scenario gives a limited set of two-step verification and conditional access controls to RDS.

Ruolo del proxy applicazione nella distribuzione standard di Servizi Desktop remotoHow Application Proxy fits in the standard RDS deployment

Una distribuzione standard di Servizi Desktop remoto include vari servizi ruolo Desktop remoto in esecuzione su Windows Server.A standard RDS deployment includes various Remote Desktop role services running on Windows Server. L'architettura di Servizi Desktop remoto offre più opzioni di distribuzione.Looking at the Remote Desktop Services architecture, there are multiple deployment options. Diversamente da altre opzioni di distribuzione di Servizi Desktop remoto, la distribuzione di Servizi Desktop remoto con il proxy di applicazione di AD Azure (mostrata nel diagramma seguente) ha una connessione in uscita permanente dal server che esegue il servizio connettore.Unlike other RDS deployment options, the RDS deployment with Azure AD Application Proxy (shown in the following diagram) has a permanent outbound connection from the server running the connector service. Altre distribuzioni lasciano le connessioni in ingresso aperte tramite un servizio di bilanciamento del carico.Other deployments leave open inbound connections through a load balancer.

Il proxy applicazione si trova tra la VM di Servizi Desktop remoto e la rete Internet pubblica

In una distribuzione di Servizi Desktop remoto, il ruolo di Web Desktop remoto e il ruolo di Gateway Desktop remoto vengono eseguiti su computer con connessione Internet.In an RDS deployment, the RD Web role and the RD Gateway role run on Internet-facing machines. Questi endpoint vengono esposti per i motivi seguenti:These endpoints are exposed for the following reasons:

  • Web Desktop remoto fornisce all'utente un endpoint pubblico per accedere e visualizzare le applicazioni e i desktop locali vari a cui può accedere.RD Web provides the user a public endpoint to sign in and view the various on-premises applications and desktops they can access. Dopo che è stata selezionata una risorsa, viene creata una connessione RDP tramite l'app nativa nel sistema operativo.Upon selecting a resource, an RDP connection is created using the native app on the OS.
  • Gateway Desktop remoto entra in gioco una volta che l'utente avvia la connessione RDP.RD Gateway comes into the picture once a user launches the RDP connection. Gateway Desktop remoto gestisce il traffico RDP crittografato su Internet e lo trasferisce nel server locale a cui si connette l'utente.The RD Gateway handles encrypted RDP traffic coming over the internet and translates it to the on-premises server that the user is connecting to. In questo scenario il traffico che Gateway Desktop remoto riceve proviene dal proxy applicazione di AD Azure.In this scenario, the traffic the RD Gateway is receiving comes from the Azure AD Application Proxy.

Suggerimento

Se Servizi Desktop remoto non è stato distribuito prima e se si desiderano altre informazioni prima di iniziare, vedere come distribuire facilmente Servizi Desktop remoto con Azure Resource Manager e Azure Marketplace.If you haven't deployed RDS before, or want more information before you begin, learn how to seamlessly deploy RDS with Azure Resource Manager and Azure Marketplace.

RequisitiRequirements

  • Entrambi gli endpoint Web Desktop remoto e Gateway Desktop remoto devono trovarsi nello stesso computer e avere una radice comune.Both the RD Web and RD Gateway endpoints must be located on the same machine, and with a common root. Web Desktop remoto e Gateway Desktop remoto vengono pubblicati come un'unica applicazione con il proxy di applicazione in modo da offrire un'esperienza di accesso Single Sign-On tra le due applicazioni.RD Web and RD Gateway are published as a single application with Application Proxy so that you can have a single sign-on experience between the two applications.

  • Si dovrebbe avere già distribuito Servizi Desktop remoto e avere già abilitato il proxy applicazione.You should already have deployed RDS, and enabled Application Proxy.

  • Questo scenario presuppone che gli utenti finali usino Internet Explorer su PC desktop Windows 7 o Windows 10 che si connettono tramite la pagina di Web Desktop remoto.This scenario assumes that your end users go through Internet Explorer on Windows 7 or Windows 10 desktops that connect through the RD Web page. Se è necessario supportare altri sistemi operativi, vedere Supportare altre configurazione client.If you need to support other operating systems, see Support for other client configurations.

  • In Internet Explorer abilitare il componente aggiuntivo ActiveX di Servizi Desktop remoto.On Internet Explorer, enable the RDS ActiveX add-on.

Distribuire lo scenario di Servizi desktop remoto e proxy applicazione congiuntiDeploy the joint RDS and Application Proxy scenario

Dopo avere configurato Servizi Desktop remoto e il proxy applicazione di Azure AD per l'ambiente in uso, seguire questa procedura per combinare le due soluzioni.After setting up RDS and Azure AD Application Proxy for your environment, follow the steps to combine the two solutions. Questa procedura descrive come pubblicare i due endpoint di Servizi Desktop remoto per il Web (Web Desktop remoto e Gateway Desktop remoto) come applicazioni e quindi come indirizzare il traffico su Servizi Desktop remoto attraverso il proxy applicazione.These steps walk through publishing the two web-facing RDS endpoints (RD Web and RD Gateway) as applications, and then directing traffic on your RDS to go through Application Proxy.

Pubblicare l'endpoint host di Desktop remotoPublish the RD host endpoint

  1. Pubblicare un nuovo proxy applicazione con i valori seguenti:Publish a new Application Proxy application with the following values:
    • URL interno: https://<rdhost>.com, dove <rdhost> è la radice comune condivisa da Web Desktop remoto e Gateway Desktop remoto.Internal URL: https://<rdhost>.com/, where <rdhost> is the common root that RD Web and RD Gateway share.
    • URL esterno: questo campo viene popolato automaticamente in base al nome dell'applicazione, ma è possibile modificarlo.External URL: This field is automatically populated based on the name of the application, but you can modify it. Gli utenti passeranno a questo URL quando accedono a Servizi Desktop remoto.Your users will go to this URL when they access RDS.
    • Metodo di autenticazione preliminare: Azure Active DirectoryPreauthentication method: Azure Active Directory
    • Tradurre le intestazioni degli URL: NoTranslate URL headers: No
  2. Assegnare utenti all'applicazione di Desktop remoto pubblicata.Assign users to the published RD application. Assicurarsi che tutti gli utenti abbiano accesso anche a Servizi Desktop remoto.Make sure they all have access to RDS, too.
  3. Lasciare il metodo Single Sign-On per l'applicazione come Single Sign-On di Azure AD disabilitato.Leave the single sign-on method for the application as Azure AD single sign-on disabled. Agli utenti viene richiesto di eseguire l'autenticazione una volta in Azure AD e una volta in Web Desktop remoto, ma dispongono dell'accesso Single Sign-On a Gateway Desktop remoto.Your users are asked to authenticate once to Azure AD and once to RD Web, but have single sign-on to RD Gateway.
  4. Andare a Azure Active Directory > Registrazioni per l'app > Applicazione > Impostazioni.Go to Azure Active Directory > App Registrations > Your application > Settings.
  5. Selezionare Proprietà e aggiornare il campo URL della pagina iniziale in modo che punti all'endpoint di Web Desktop remoto, ad esempio https://<rdhost>.com/RDWeb.Select Properties and update the Home-page URL field to point to your RD Web endpoint (like https://<rdhost>.com/RDWeb).

Dirigere il traffico di Servizi Desktop remoto verso il proxy applicazioneDirect RDS traffic to Application Proxy

Connettersi alla distribuzione di Servizi Desktop remoto come amministratore e modificare il nome del server Gateway Desktop remoto per la distribuzione.Connect to the RDS deployment as an administrator and change the RD Gateway server name for the deployment. Questa configurazione garantisce che le connessioni vengano indirizzate tramite il servizio proxy di applicazione di Azure AD.This configuration ensures that connections go through the Azure AD Application Proxy service.

  1. Connettersi al server di Servizi Desktop remoto che esegue il ruolo Gestore connessione Desktop remoto.Connect to the RDS server running the RD Connection Broker role.
  2. Avviare Server Manager.Launch Server Manager.
  3. Selezionare Servizi Desktop remoto dal riquadro a sinistra.Select Remote Desktop Services from the pane on the left.
  4. Selezionare Panoramica.Select Overview.
  5. Nella sezione Panoramica della distribuzione selezionare il menu a discesa e scegliere Modificare proprietà di distribuzione.In the Deployment Overview section, select the drop-down menu and choose Edit deployment properties.
  6. Nella scheda Gateway Desktop remoto modificare il campo Nome server con l'URL esterno che è stato impostato per l'endpoint host di Desktop remoto nel proxy applicazione.In the RD Gateway tab, change the Server name field to the External URL that you set for the RD host endpoint in Application Proxy.
  7. Impostare il campo Metodo di accesso su Autenticazione della password.Change the Logon method field to Password Authentication.

    Schermata Proprietà di distribuzione in Servizi Desktop remoto

  8. Per ogni raccolta, eseguire questo comando.Run this command for each collection. Sostituire <yourcollectionname> e <proxyfrontendurl> con le proprie informazioni.Replace <yourcollectionname> and <proxyfrontendurl> with your own information. Questo comando abilita l'accesso Single Sign-On tra Web Desktop remoto e Gateway Desktop remoto e ottimizza le prestazioni:This command enables single sign-on between RD Web and RD Gateway, and optimizes performance:

    Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s:<proxyfrontendurl>`nrequire pre-authentication:i:1"
    

    Ad esempio:For example:

    Set-RDSessionCollectionConfiguration -CollectionName "QuickSessionCollection" -CustomRdpProperty "pre-authentication server address:s:https://gateway.contoso.msappproxy.net/`nrequire pre-authentication:i:1"
    
  9. Per verificare la modifica delle proprietà RDP personalizzate, nonché visualizzare il contenuto del file RDP che sarà scaricato da Web Desktop remoto per questa raccolta, eseguire il comando seguente:To verify the modification of the custom RDP properties as well as view the RDP file contents that will be downloaded from RDWeb for this collection, run the following command:

    (get-wmiobject -Namespace root\cimv2\terminalservices -Class Win32_RDCentralPublishedRemoteDesktop).RDPFileContents
    

Dopo avere configurato Desktop remoto, il proxy applicazione di Azure AD diventa il componente con connessione Internet di Servizi Desktop remoto.Now that you've configured Remote Desktop, Azure AD Application Proxy has taken over as the internet-facing component of RDS. È possibile rimuovere gli altri endpoint con connessione Internet pubblici nei computer Web Desktop remoto e Gateway Desktop remoto.You can remove the other public internet-facing endpoints on your RD Web and RD Gateway machines.

Testare lo scenarioTest the scenario

Testare lo scenario con Internet Explorer su un computer Windows 7 o 10.Test the scenario with Internet Explorer on a Windows 7 or 10 computer.

  1. Passare all'URL esterno impostato o individuare l'applicazione nel pannello MyApps.Go to the external URL you set up, or find your application in the MyApps panel.
  2. Viene chiesto di eseguire l'autenticazione ad Azure Active Directory.You are asked to authenticate to Azure Active Directory. Usare un account che è stato precedentemente assegnato all'applicazione.Use an account that you assigned to the application.
  3. Viene chiesto di eseguire l'autenticazione a Web Desktop remoto.You are asked to authenticate to RD Web.
  4. Al termine dell'autenticazione di Servizi Desktop remoto, è possibile selezionare il desktop o l'applicazione che si desidera e iniziare a lavorare.Once your RDS authentication succeeds, you can select the desktop or application you want, and start working.

Supportare altre configurazione clientSupport for other client configurations

La configurazione descritta in questo articolo è rivolta agli utenti di Windows 7 o 10 che usano Internet Explorer e il componente aggiuntivo ActiveX di Servizi Desktop remoto.The configuration outlined in this article is for users on Windows 7 or 10, with Internet Explorer plus the RDS ActiveX add-on. Se necessario è possibile comunque supportare altri sistemi operativi o browser.If you need to, however, you can support other operating systems or browsers. La differenza sta nell'uso del metodo di autenticazione.The difference is in the authentication method that you use.

Metodo di autenticazioneAuthentication method Configurazione client supportataSupported client configuration
Pre-autenticazionePre-authentication Windows 7/10 con Internet Explorer + componente aggiuntivo ActiveX di Servizi Desktop remotoWindows 7/10 using Internet Explorer + RDS ActiveX add-on
Pass-throughPassthrough Qualsiasi altro sistema operativo che supporta l'applicazione Desktop remoto MicrosoftAny other operating system that supports the Microsoft Remote Desktop application

Il flusso di pre-autenticazione offre più vantaggi in termini di protezione rispetto al flusso di pass-through.The pre-authentication flow offers more security benefits than the passthrough flow. Con la pre-autenticazione è possibile usare le funzionalità di autenticazione di Azure AD, tra cui Single Sign-On, l'accesso condizionale e la verifica in due passaggi per le risorse locali.With pre-authentication you can use Azure AD authentication features like single sign-on, conditional access, and two-step verification for your on-premises resources. È anche possibile garantire che solo il traffico autenticato raggiunga la rete.You also ensure that only authenticated traffic reaches your network.

Per usare l'autenticazione pass-through, sono necessarie solo due modifiche ai passaggi descritti in questo articolo:To use passthrough authentication, there are just two modifications to the steps listed in this article:

  1. Nel passaggio 1 Pubblicare l'endpoint host di Desktop remoto impostare il metodo di preautenticazione su Pass-through.In Publish the RD host endpoint step 1, set the Preauthentication method to Passthrough.
  2. In Dirigere il traffico di Servizi Desktop remoto verso il proxy applicazione, ignorare interamente il passaggio 8.In Direct RDS traffic to Application Proxy, skip step 8 entirely.

Passaggi successiviNext steps

Abilitare l'accesso remoto a SharePoint con il proxy applicazione di Azure ADEnable remote access to SharePoint with Azure AD Application Proxy
Considerazioni relative alla sicurezza quando si accede alle app in remoto usando il proxy applicazione di Azure ADSecurity considerations for accessing apps remotely by using Azure AD Application Proxy