Configurar um proxy do Centro de Distribuição de Chaves do Kerberos

Clientes preocupados com a segurança, como organizações financeiras ou governamentais, geralmente se conectam usando cartões inteligentes. Os cartões inteligentes tornam as implantações mais seguras exigindo a MFA (autenticação multifator). No entanto, para a parte do RDP de uma sessão da Área de Trabalho Virtual do Azure, os cartões inteligentes exigem uma conexão direta ou uma "linha de visão", com um controlador de domínio do Active Directory Domain Services (AD DS) para autenticação do Kerberos. Sem essa conexão direta, os usuários não podem entrar automaticamente na rede da organização por conexões remotas. Os usuários em uma implantação da Área de Trabalho Virtual do Azure podem usar o serviço de proxy KDC para fazer proxy desse tráfego de autenticação e entrar remotamente. O proxy KDC permite a autenticação para o protocolo RDP de uma sessão da Área de Trabalho Virtual do Azure, permitindo que o usuário entre com segurança. Isso facilita o trabalho remoto e permite que certos cenários de recuperação de desastres sejam executados com mais tranquilidade.

No entanto, a configuração do proxy do KDC geralmente envolve a atribuição da função de gateway do Windows Server no Windows Server 2016 ou posterior. Como usar uma função de Serviços de Área de Trabalho Remota para entrar na Área de Trabalho Virtual do Azure? Para responder isso, vamos dar uma olhada rápida nos componentes.

Há dois componentes para o serviço de Área de Trabalho Virtual do Azure que precisam ser autenticados:

• O feed no cliente de Área de Trabalho Virtual do Azure que mostra aos usuários uma lista de desktops ou aplicativos disponíveis aos quais eles têm acesso. Esse processo de autenticação ocorre no Microsoft Entra ID, o que significa que esse componente não é o foco deste artigo.
• A sessão RDP que resulta de um usuário selecionando um desses recursos disponíveis. Esse componente usa a autenticação Kerberos e requer um proxy KDC para usuários remotos.

Este artigo mostrará como configurar o feed no cliente de Área de Trabalho Virtual do Azure no portal do Azure. Se você quiser saber como configurar a função de gateway da Área de Trabalho Remota, confira Implantar a função de gateway de Área de Trabalho Remota.

Pré-requisitos

Para configurar um host de sessão de Área de Trabalho Virtual do Azure com um proxy KDC, você precisará dos seguintes itens:

• Acesso ao portal do Azure e a uma conta de administrador do Azure.
• As máquinas clientes remotas devem estar executando o Windows 10 no mínimo e ter o cliente Windows Desktop instalado. Não há suporte para o cliente Web no momento.
• Você deve ter um proxy KDC já instalado em seu computador. Para saber como fazer isso, confira Configurar a função de gateway de Área de Trabalho Remota para a Área de Trabalho Virtual do Azure.
• O sistema operacional do computador deve ser o Windows Server 2016 ou posterior.

Depois de verificar se atende a esses requisitos, você está pronto para começar.

Como configurar o proxy KDC

Para configurar o proxy KDC:

1. Entre no portal do Azure como administrador.

2. Vá para a página da Área de Trabalho Virtual do Azure.

3. Escolha o pool de hosts para o qual você deseja habilitar o proxy KDC e, em seguida, escolha Propriedades de RDP.

4. Escolha a guia Avançado e insira um valor no seguinte formato sem espaços:

   kdcproxyname:s:<fqdn>

   

5. Selecione Salvar.

6. O pool de host escolhido agora deve começar a emitir arquivos de conexão RDP que incluem o valor de kdcproxyname que você inseriu na etapa 4.

Próximas etapas

Para saber como gerenciar o lado de Serviços da Área de Trabalho Remota do proxy KDC e atribuir a função de gateway de Área de Trabalho Remota, confira Implantar a função de gateway de Área de Trabalho Remota.

Se você estiver interessado em dimensionar seus servidores proxy KDC, saiba como configurar a alta disponibilidade para o proxy KDC em Adicionar alta disponibilidade ao front-end de Gateway Web e Web da Área de Trabalho Remota.