Publicar a Área de Trabalho Remota com o Proxy de Aplicativo do Azure ADPublish Remote Desktop with Azure AD Application Proxy

O Serviço de Área de Trabalho Remota e o Proxy de Aplicativo do Azure AD trabalham juntos para aumentar a produtividade dos trabalhos que estão fora da rede corporativa.Remote Desktop Service and Azure AD Application Proxy work together to improve the productivity of workers who are away from the corporate network.

O público-alvo deste artigo é:The intended audience for this article is:

  • Os clientes atuais do Proxy de Aplicativo que desejam oferecer mais aplicativos para seus usuários finais publicando aplicativos locais através dos Serviços de Área de Trabalho Remota.Current Application Proxy customers who want to offer more applications to their end users by publishing on-premises applications through Remote Desktop Services.
  • Clientes atuais dos Serviços de Área de Trabalho Remota cujo desejo é reduzir a superfície de ataque da respectiva implantação usando o Proxy de Aplicativo do Azure AD.Current Remote Desktop Services customers who want to reduce the attack surface of their deployment by using Azure AD Application Proxy. Este cenário fornece um conjunto limitado de verificação em duas etapas e controles de acesso condicional para o RDS.This scenario gives a limited set of two-step verification and Conditional Access controls to RDS.

Como o Proxy de aplicativo se ajusta na implantação do RDS padrãoHow Application Proxy fits in the standard RDS deployment

Uma implantação do RDS padrão inclui vários serviços de função da Área de Trabalho Remota em execução no Windows Server.A standard RDS deployment includes various Remote Desktop role services running on Windows Server. Observando a arquitetura dos Serviços de Área de Trabalho Remota, há várias opções de implantação.Looking at the Remote Desktop Services architecture, there are multiple deployment options. Ao contrário de outras opções de implantação de RDS, a implantação de RDS com o Proxy de Aplicativo do Azure AD (mostrada no diagrama a seguir) tem uma conexão permanente de saída do servidor executando o serviço do conector.Unlike other RDS deployment options, the RDS deployment with Azure AD Application Proxy (shown in the following diagram) has a permanent outbound connection from the server running the connector service. Outras implantações deixam conexões de entrada abertas por meio de um balanceador de carga.Other deployments leave open inbound connections through a load balancer.

O proxy de aplicativo fica entre a VM do RDS e a Internet pública

Em uma implantação do RDS, a função Web da Área de Trabalho Remota e a função de Gateway de Área de Trabalho Remota são executados em computadores voltados para a Internet.In an RDS deployment, the RD Web role and the RD Gateway role run on Internet-facing machines. Esses pontos de extremidade são expostos pelos seguintes motivos:These endpoints are exposed for the following reasons:

  • A Web de Área de Trabalho Remota fornece ao usuário um ponto de extremidade público para entrar e exibir os diversos aplicativos locais e áreas de trabalho que eles podem acessar.RD Web provides the user a public endpoint to sign in and view the various on-premises applications and desktops they can access. Ao selecionar um recurso, uma conexão de RDP é criada usando o aplicativo nativo no sistema operacional.Upon selecting a resource, an RDP connection is created using the native app on the OS.
  • O Gateway de Área de Trabalho Remota entra em cena quando um usuário inicia a conexão de RDP.RD Gateway comes into the picture once a user launches the RDP connection. O Gateway de Área de Trabalho Remota manipula o tráfego de RDP criptografado chegando pela Internet e o converte para o servidor local ao qual o usuário está se conectando.The RD Gateway handles encrypted RDP traffic coming over the internet and translates it to the on-premises server that the user is connecting to. Nesse cenário, o tráfego que o Gateway de Área de Trabalho Remota está recebendo é proveniente do Proxy de Aplicativo do Azure AD.In this scenario, the traffic the RD Gateway is receiving comes from the Azure AD Application Proxy.

Dica

Se você não implantou o RDS anteriormente ou deseja obter mais informações antes de começar, saiba como implantar perfeitamente o RDS com o Azure Resource Manager e o Azure Marketplace.If you haven't deployed RDS before, or want more information before you begin, learn how to seamlessly deploy RDS with Azure Resource Manager and Azure Marketplace.

RequisitosRequirements

  • Use um cliente que não seja o cliente da web de área de trabalho remota, como o cliente da web não oferece suporte para o Proxy de aplicativo.Use a client other than the Remote Desktop web client, since the web client does not support Application Proxy.

  • Tanto o ponto de extremidade da Web da Área de Trabalho Remota quanto o ponto de extremidade do Gateway de Área de Trabalho Remota devem estar localizados no mesmo computador e com uma raiz comum.Both the RD Web and RD Gateway endpoints must be located on the same machine, and with a common root. A Web da Área de Trabalho Remota e o Gateway de Área de Trabalho Remota serão publicados como um único aplicativo com o Proxy de Aplicativo para que você possa ter uma experiência de logon único entre os dois aplicativos.RD Web and RD Gateway are published as a single application with Application Proxy so that you can have a single sign-on experience between the two applications.

  • Você já deverá ter implantado o RDS e habilitado o Proxy de Aplicativo.You should already have deployed RDS, and enabled Application Proxy.

  • Esse cenário pressupõe que seus usuários finais passem pelo Internet Explorer em áreas de trabalho do Windows 7 ou do Windows 10 que se conectem por meio da página da Web de RD.This scenario assumes that your end users go through Internet Explorer on Windows 7 or Windows 10 desktops that connect through the RD Web page. Se você precisar de suporte a outros sistemas operacionais, consulte Suporte a outras configurações de cliente.If you need to support other operating systems, see Support for other client configurations.

  • Ao publicar na Web do RD, é recomendável usar o mesmo FQDN interno e externo.When publishing RD Web, it is recommended to use the same internal and external FQDN. Se os FQDNs interno e externo forem diferentes, você deverá desabilitar a Tradução do Cabeçalho de Solicitação para evitar que o cliente receba links inválidos.If the internal and external FQDNs are different then you should disable Request Header Translation to avoid the client receiving invalid links.

  • No Internet Explorer, habilite o complemento ActiveX do RDS.On Internet Explorer, enable the RDS ActiveX add-on.

  • Para o fluxo de pré-autenticação do AD do Azure, os usuários somente podem se conectar aos recursos publicados para eles na RemoteApp e áreas de trabalho painel.For the Azure AD pre-authentication flow, users can only connect to resources published to them in the RemoteApp and Desktops pane. Usuários não podem se conectar a uma área de trabalho usando o conectar-se a um computador remoto painel.Users can't connect to a desktop using the Connect to a remote PC pane.

Implantar o cenário conjunto de RDS e Proxy de AplicativoDeploy the joint RDS and Application Proxy scenario

Depois de configurar o RDS e o Proxy de Aplicativo do Azure AD em seu ambiente, siga as etapas para combinar as duas soluções.After setting up RDS and Azure AD Application Proxy for your environment, follow the steps to combine the two solutions. Essas etapas explicam passo a passo como publicar os dois pontos de extremidade de RDS voltados para a Web (Web da Área de Trabalho Remota e Gateway de Área de Trabalho Remota) como aplicativos, direcionando depois o tráfego em seu RDS para passar pelo Proxy de Aplicativo.These steps walk through publishing the two web-facing RDS endpoints (RD Web and RD Gateway) as applications, and then directing traffic on your RDS to go through Application Proxy.

Publicar o ponto de extremidade do host de Área de Trabalho RemotaPublish the RD host endpoint

  1. Publicar um novo aplicativo de Proxy de Aplicativo com os seguintes valores:Publish a new Application Proxy application with the following values:
    • URL interna: https://\<rdhost\>.com/, em que \<rdhost\> é a raiz comum que a Web da Área de Trabalho Remota e o Gateway de Área de Trabalho Remota compartilham.Internal URL: https://\<rdhost\>.com/, where \<rdhost\> is the common root that RD Web and RD Gateway share.
    • URL Externa: Esse campo é preenchido automaticamente com base no nome do aplicativo, mas é possível modificá-lo.External URL: This field is automatically populated based on the name of the application, but you can modify it. Os usuários serão levados a essa URL quando acessarem o RDS.Your users will go to this URL when they access RDS.
    • Método de pré-autenticação: Azure Active DirectoryPreauthentication method: Azure Active Directory
    • Converter cabeçalhos de URL: NãoTranslate URL headers: No
  2. Atribua usuários ao aplicativo de Área de Trabalho Remota publicado.Assign users to the published RD application. Certifique-se também de que todos eles tenham acesso ao RDS.Make sure they all have access to RDS, too.
  3. Deixe o método de logon único para o aplicativo como Logon único do Azure AD desabilitado.Leave the single sign-on method for the application as Azure AD single sign-on disabled. É solicitado aos usuários que autentiquem uma vez no Azure AD e uma vez para a Web da Área de Trabalho Remota, eles têm logon único para o Gateway de Área de Trabalho Remota.Your users are asked to authenticate once to Azure AD and once to RD Web, but have single sign-on to RD Gateway.
  4. Selecione do Azure Active Directorye então registros de aplicativo.Select Azure Active Directory, and then App Registrations. Escolha seu aplicativo na lista.Choose your app from the list.
  5. Sob Manage, selecione identidade visual.Under Manage, select Branding.
  6. Atualizar o URL da Home page campo para apontar para o ponto de extremidade da Web da área de trabalho remota (como https://\<rdhost\>.com/RDWeb).Update the Home page URL field to point to your RD Web endpoint (like https://\<rdhost\>.com/RDWeb).

Direcionar o tráfego do RDS para o Proxy de AplicativoDirect RDS traffic to Application Proxy

Conecte-se à implantação do RDS como administrador e altere o nome do servidor de Gateway de Área de Trabalho Remota para a implantação.Connect to the RDS deployment as an administrator and change the RD Gateway server name for the deployment. Essa configuração garante que as conexões passem pelo serviço de Proxy de Aplicativo do Azure AD.This configuration ensures that connections go through the Azure AD Application Proxy service.

  1. Conecte-se ao servidor RDS executando a função de Agente de Conexão de Área de Trabalho Remota.Connect to the RDS server running the RD Connection Broker role.

  2. Inicie o Gerenciador do Servidor.Launch Server Manager.

  3. Selecione Serviços de Área de Trabalho Remota no painel à esquerda.Select Remote Desktop Services from the pane on the left.

  4. Selecione Visão geral.Select Overview.

  5. Na seção Visão geral da implantação, selecione o menu suspenso e escolha Editar propriedades de implantação.In the Deployment Overview section, select the drop-down menu and choose Edit deployment properties.

  6. Na guia Gateway de Área de Trabalho Remota, altere o campo Nome do servidor para a URL externa que você definiu para o ponto de extremidade do host de Área de Trabalho Remota no Proxy de Aplicativo.In the RD Gateway tab, change the Server name field to the External URL that you set for the RD host endpoint in Application Proxy.

  7. Altere o campo Método de logon para Autenticação de Senha.Change the Logon method field to Password Authentication.

    Tela Propriedades de Implantação no RDS

  8. Execute este comando para cada coleção.Run this command for each collection. Substitua <yourcollectionname> e <proxyfrontendurl> por suas próprias informações.Replace <yourcollectionname> and <proxyfrontendurl> with your own information. Este comando habilita o logon único entre a Web da Área de Trabalho Remota e Gateway de Área de Trabalho Remota e otimiza o desempenho:This command enables single sign-on between RD Web and RD Gateway, and optimizes performance:

    Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s:<proxyfrontendurl>`nrequire pre-authentication:i:1"
    

    Por exemplo:For example:

    Set-RDSessionCollectionConfiguration -CollectionName "QuickSessionCollection" -CustomRdpProperty "pre-authentication server address:s:https://remotedesktoptest-aadapdemo.msappproxy.net/`nrequire pre-authentication:i:1"
    

    Observação

    O comando acima usa um acento grave no "'nrequire".The above command uses a backtick in "`nrequire".

  9. Para verificar se a modificação das propriedades personalizadas do RDP, bem como para exibir o conteúdo do arquivo do RDP que será baixado do RDWeb para essa coleção, execute o seguinte comando:To verify the modification of the custom RDP properties as well as view the RDP file contents that will be downloaded from RDWeb for this collection, run the following command:

    (get-wmiobject -Namespace root\cimv2\terminalservices -Class Win32_RDCentralPublishedRemoteDesktop).RDPFileContents
    

Agora que você configurou a Área de Trabalho Remota, o Proxy de Aplicativo do Azure AD assumiu como o componente voltado para a Internet do RDS.Now that you've configured Remote Desktop, Azure AD Application Proxy has taken over as the internet-facing component of RDS. Você pode remover os outros pontos de extremidade voltados para a Internet pública em seus computadores da Web da Área de Trabalho Remota e do Gateway de Área de Trabalho Remota.You can remove the other public internet-facing endpoints on your RD Web and RD Gateway machines.

Testar o cenárioTest the scenario

Teste o cenário com o Internet Explorer no computador com Windows 7 ou 10.Test the scenario with Internet Explorer on a Windows 7 or 10 computer.

  1. Vá para a URL externa que você configurou ou localize seu aplicativo no painel MyApps.Go to the external URL you set up, or find your application in the MyApps panel.
  2. É solicitado que você se autentique no Azure Active Directory.You are asked to authenticate to Azure Active Directory. Use uma conta que você atribuiu ao aplicativo.Use an account that you assigned to the application.
  3. Será solicitado que você autentique a Web da Área de Trabalho Remota.You are asked to authenticate to RD Web.
  4. Quando a autenticação de RDS for bem-sucedida, você poderá selecionar o computador desktop ou aplicativo que deseja e começar a trabalhar.Once your RDS authentication succeeds, you can select the desktop or application you want, and start working.

Suporte para outras configurações de clienteSupport for other client configurations

A configuração descrita neste artigo é para usuários no Windows 7 ou 10, com o Internet Explorer mais o complemento ActiveX do RDS.The configuration outlined in this article is for users on Windows 7 or 10, with Internet Explorer plus the RDS ActiveX add-on. Se for necessário, no entanto, você poderá dar suporte a outros sistemas operacionais ou navegadores.If you need to, however, you can support other operating systems or browsers. A diferença está no método de autenticação que você usa.The difference is in the authentication method that you use.

Método de autenticaçãoAuthentication method Configuração de cliente com suporteSupported client configuration
Pré-autenticaçãoPre-authentication Windows 7/10 usando o Internet Explorer + complemento ActiveX do RDSWindows 7/10 using Internet Explorer + RDS ActiveX add-on
PassagemPassthrough Qualquer outro sistema operacional que dê suporte ao aplicativo de Área de Trabalho Remota da MicrosoftAny other operating system that supports the Microsoft Remote Desktop application

O fluxo de pré-autenticação oferece mais benefícios de segurança que o fluxo de passagem.The pre-authentication flow offers more security benefits than the passthrough flow. Com a pré-autenticação, você pode usar recursos de autenticação do Azure AD, como verificação de logon, acesso condicional e em duas etapas simples para os seus recursos locais.With pre-authentication you can use Azure AD authentication features like single sign-on, Conditional Access, and two-step verification for your on-premises resources. Você também pode garantir que somente tráfego autenticado alcance sua rede.You also ensure that only authenticated traffic reaches your network.

Para usar a autenticação de passagem, há apenas duas modificações às etapas listadas neste artigo:To use passthrough authentication, there are just two modifications to the steps listed in this article:

  1. Na etapa 1, Publicar o ponto de extremidade do host de RD, defina o método de pré-autenticação como Passagem.In Publish the RD host endpoint step 1, set the Preauthentication method to Passthrough.
  2. Em Tráfego de RDS direto para o Proxy de Aplicativo, ignore totalmente a etapa 8.In Direct RDS traffic to Application Proxy, skip step 8 entirely.

Próximas etapasNext steps

Habilitar acesso remoto ao SharePoint com o Proxy de Aplicativo do Azure ADEnable remote access to SharePoint with Azure AD Application Proxy
Considerações de segurança para acessar aplicativos remotamente usando o Proxy de Aplicativo do Azure ADSecurity considerations for accessing apps remotely by using Azure AD Application Proxy