Azure AD uygulama ara sunucusu ile Uzak Masaüstü yayımlamaPublish Remote Desktop with Azure AD Application Proxy

Uzak Masaüstü hizmetini ve Azure AD uygulama proxy'si, şirket ağına uzakta olan çalışanlarına verimliliğini artırmak için birlikte çalışır.Remote Desktop Service and Azure AD Application Proxy work together to improve the productivity of workers who are away from the corporate network.

Bu makale için hedef kitle aşağıdaki gibidir:The intended audience for this article is:

  • Geçerli uygulama ara sunucusu Uzak Masaüstü Hizmetleri üzerinden şirket içi uygulamalar yayımlayarak kendi son kullanıcıları için daha fazla uygulama sunmak isteyen müşteriler.Current Application Proxy customers who want to offer more applications to their end users by publishing on-premises applications through Remote Desktop Services.
  • İsteyen geçerli Uzak Masaüstü Hizmetleri müşterileri, Azure AD uygulama proxy'si kullanarak bunların dağıtım saldırı yüzeyini azaltın.Current Remote Desktop Services customers who want to reduce the attack surface of their deployment by using Azure AD Application Proxy. Bu senaryo için RDS'yi sınırlı sayıda iki aşamalı doğrulama ve koşullu erişim denetimleri sağlar.This scenario gives a limited set of two-step verification and Conditional Access controls to RDS.

Uygulama proxy'si standart RDS dağıtımda nasıl uyduğunuHow Application Proxy fits in the standard RDS deployment

Standart bir RDS dağıtımının, Windows Server üzerinde çalışan çeşitli Uzak Masaüstü rol hizmetlerini kapsar.A standard RDS deployment includes various Remote Desktop role services running on Windows Server. Bakarak Uzak Masaüstü Hizmetleri mimarisi, birden çok dağıtım seçenekleri vardır.Looking at the Remote Desktop Services architecture, there are multiple deployment options. Diğer RDS dağıtım seçenekleri aksine Azure AD uygulama ara sunucusu ile bir RDS dağıtımının (Aşağıdaki diyagramda gösterilmiştir) bağlayıcı Hizmeti'ni çalıştıran sunucunun kalıcı giden bağlantı vardır.Unlike other RDS deployment options, the RDS deployment with Azure AD Application Proxy (shown in the following diagram) has a permanent outbound connection from the server running the connector service. Diğer dağıtımlar, açık, load balancer üzerinden gelen bağlantılar bırakın.Other deployments leave open inbound connections through a load balancer.

Uygulama proxy'si RDS VM ve genel internet yapmalarını sağlar.

Bir RDS dağıtımında, RD Web rolü ve RD Ağ Geçidi rolü Internet'e yönelik makineler üzerinde çalıştırın.In an RDS deployment, the RD Web role and the RD Gateway role run on Internet-facing machines. Bu uç noktaları, aşağıdaki nedenlerden dolayı ortaya çıkar:These endpoints are exposed for the following reasons:

  • RD Web kullanıcı oturum açmak ve çeşitli şirket içi uygulamalara ve masaüstlerine erişebilmek görüntülemek için genel bir uç nokta sağlar.RD Web provides the user a public endpoint to sign in and view the various on-premises applications and desktops they can access. Bir kaynak seçtikten sonra işletim sisteminde yerel uygulama kullanarak bir RDP bağlantısı oluşturulur.Upon selecting a resource, an RDP connection is created using the native app on the OS.
  • Bir kullanıcı ile RDP bağlantısı başlatır sonra RD Ağ Geçidi devreye.RD Gateway comes into the picture once a user launches the RDP connection. RD Ağ geçidi, internet üzerinden gelen şifrelenmiş RDP trafiği işler ve kullanıcının bağlandığı şirket içi sunucusuna çevirir.The RD Gateway handles encrypted RDP traffic coming over the internet and translates it to the on-premises server that the user is connecting to. Bu senaryoda, RD Ağ Geçidi alma trafiği Azure AD uygulama proxy'si gelir.In this scenario, the traffic the RD Gateway is receiving comes from the Azure AD Application Proxy.

İpucu

RDS önce dağıtılan yapmadıysanız veya başlamadan önce daha fazla bilgiye ihtiyacınız varsa, bilgi nasıl sorunsuz bir şekilde Azure Resource Manager ve Azure Market ile RDS dağıtma.If you haven't deployed RDS before, or want more information before you begin, learn how to seamlessly deploy RDS with Azure Resource Manager and Azure Marketplace.

GereksinimlerRequirements

  • Uygulama proxy'si web istemcisi desteklemediğinden, Uzak Masaüstü web istemcisi dışındaki bir istemci kullanın.Use a client other than the Remote Desktop web client, since the web client does not support Application Proxy.

  • RD Web ve RD Ağ Geçidi uç noktaları, aynı makinede ve bir ortak kök bulunmalıdır.Both the RD Web and RD Gateway endpoints must be located on the same machine, and with a common root. Böylece iki uygulama arasındaki çoklu oturum açma deneyimini olabilir RD Web ve RD Ağ geçidi, uygulama ara sunucusu ile tek bir uygulama olarak yayımlanır.RD Web and RD Gateway are published as a single application with Application Proxy so that you can have a single sign-on experience between the two applications.

  • Zaten olmalıdır RDS dağıtılan, ve uygulama Proxy etkin.You should already have deployed RDS, and enabled Application Proxy.

  • Bu senaryo, son kullanıcılarınızın RD Web sayfası aracılığıyla bağlanan Windows 7 veya Windows 10 Masaüstü cihazlarda Internet Explorer aracılığıyla Git varsayar.This scenario assumes that your end users go through Internet Explorer on Windows 7 or Windows 10 desktops that connect through the RD Web page. Diğer işletim sistemleri için destek gerekiyorsa, bkz: desteklemek için diğer istemci yapılandırmaları.If you need to support other operating systems, see Support for other client configurations.

  • RD Web yayımlarken, aynı iç ve dış FQDN kullanmanız önerilir.When publishing RD Web, it is recommended to use the same internal and external FQDN. Ardından iç ve dış FQDN'leri farklıysa istek üst bilgisi geçersiz bağlantıları alma istemcinin önlemek için çeviri devre dışı bırakmalısınız.If the internal and external FQDNs are different then you should disable Request Header Translation to avoid the client receiving invalid links.

  • Internet Explorer, RDS ActiveX eklentiyi etkinleştirin.On Internet Explorer, enable the RDS ActiveX add-on.

  • Azure AD ön kimlik doğrulama akışı, kullanıcılar yalnızca bunları yayımlanan kaynaklara bağlanabilir RemoteApp ve Masaüstü bölmesi.For the Azure AD pre-authentication flow, users can only connect to resources published to them in the RemoteApp and Desktops pane. Kullanıcılar, Masaüstü kullanarak bir bağlanamıyor uzak bir Bilgisayara Bağlan bölmesi.Users can't connect to a desktop using the Connect to a remote PC pane.

Birleşik RDS ve uygulama proxy'si senaryo dağıtmaDeploy the joint RDS and Application Proxy scenario

RDS ve ortamınız için Azure AD uygulama proxy'si ayarladıktan sonra iki çözümü birleştirmek için adımları izleyin.After setting up RDS and Azure AD Application Proxy for your environment, follow the steps to combine the two solutions. Bu adımları iki web'e yönelik RDS uç (RD Web ve RD Ağ Geçidi) yayımlama ve ardından uygulama proxy'si aracılığıyla Git, RDS üzerinde trafiği yönlendiren yol.These steps walk through publishing the two web-facing RDS endpoints (RD Web and RD Gateway) as applications, and then directing traffic on your RDS to go through Application Proxy.

RD konak uç nokta yayımlamaPublish the RD host endpoint

  1. Yeni bir uygulama proxy'si uygulaması yayımlama aşağıdaki değerlerle:Publish a new Application Proxy application with the following values:
    • İç URL: https://\<rdhost\>.com/burada \<rdhost\> RD Web ve RD Ağ Geçidi paylaşan ortak kökü.Internal URL: https://\<rdhost\>.com/, where \<rdhost\> is the common root that RD Web and RD Gateway share.
    • Dış URL: Bu alan, uygulama adına göre otomatik olarak doldurulur, ancak bunu değiştirebilirsiniz.External URL: This field is automatically populated based on the name of the application, but you can modify it. RDS'yi eriştiklerinde, kullanıcılarınızın bu URL'ye geçerYour users will go to this URL when they access RDS.
    • Ön kimlik doğrulama yöntemi: Azure Active DirectoryPreauthentication method: Azure Active Directory
    • URL üst bilgileri çevir: HayırTranslate URL headers: No
  2. Kullanıcılar, yayımlanmış RD uygulamaya atayın.Assign users to the published RD application. Tüm bunlar çok RDS, erişimi olduğundan emin olun.Make sure they all have access to RDS, too.
  3. Çoklu oturum açma yöntemi uygulamanın bırakın Azure AD çoklu oturum açma devre dışı.Leave the single sign-on method for the application as Azure AD single sign-on disabled. Kullanıcılarınızın Azure AD için bir kez de RD Web kimlik doğrulaması, ancak çoklu oturum açma RD ağ geçidine sahip istenir.Your users are asked to authenticate once to Azure AD and once to RD Web, but have single sign-on to RD Gateway.
  4. Seçin Azure Active Directory, ardından uygulama kayıtları.Select Azure Active Directory, and then App Registrations. Uygulamanızı listeden seçin.Choose your app from the list.
  5. Altında Yönetseçin markalama.Under Manage, select Branding.
  6. Güncelleştirme giriş sayfası URL'si RD Web uç noktanıza işaret edecek şekilde alan (gibi https://\<rdhost\>.com/RDWeb).Update the Home page URL field to point to your RD Web endpoint (like https://\<rdhost\>.com/RDWeb).

Uygulama proxy'si doğrudan RDS trafiğiDirect RDS traffic to Application Proxy

Bir RDS dağıtımının yönetici olarak bağlanın ve dağıtım için RD Ağ Geçidi sunucu adını değiştirebilirsiniz.Connect to the RDS deployment as an administrator and change the RD Gateway server name for the deployment. Bu yapılandırma, bağlantılar Azure AD uygulama proxy'si hizmeti aracılığıyla Git sağlar.This configuration ensures that connections go through the Azure AD Application Proxy service.

  1. Çalıştıran RD Bağlantı Aracısı rol RDS sunucuya bağlanın.Connect to the RDS server running the RD Connection Broker role.

  2. Başlatma Sunucu Yöneticisi.Launch Server Manager.

  3. Seçin Uzak Masaüstü Hizmetleri sol bölmesinden.Select Remote Desktop Services from the pane on the left.

  4. Genel Bakış’ı seçin.Select Overview.

  5. Dağıtıma genel bakış bölümünde, aşağı açılan menüyü seçip dağıtım özelliklerini düzenleme.In the Deployment Overview section, select the drop-down menu and choose Edit deployment properties.

  6. RD Ağ Geçidi sekmede değiştirme sunucu adı uygulama proxy'sinde RD konak uç noktası için ayarladığınız dış URL alanı.In the RD Gateway tab, change the Server name field to the External URL that you set for the RD host endpoint in Application Proxy.

  7. Değişiklik oturum açma yöntemi alanı parola kimlik doğrulaması.Change the Logon method field to Password Authentication.

    Dağıtım özellikleri RDS ekranda

  8. Her koleksiyon için bu komutu çalıştırın.Run this command for each collection. Değiştirin <yourcollectionname> ve <proxyfrontendurl> kendi bilgilerinizle.Replace <yourcollectionname> and <proxyfrontendurl> with your own information. Bu komut, RD Web ve RD Ağ Geçidi arasında çoklu oturum açmayı etkinleştirir ve performansı en iyi duruma getirir:This command enables single sign-on between RD Web and RD Gateway, and optimizes performance:

    Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s:<proxyfrontendurl>`nrequire pre-authentication:i:1"
    

    Örneğin:For example:

    Set-RDSessionCollectionConfiguration -CollectionName "QuickSessionCollection" -CustomRdpProperty "pre-authentication server address:s:https://remotedesktoptest-aadapdemo.msappproxy.net/`nrequire pre-authentication:i:1"
    

    Not

    Yukarıdaki komut, bir vurgulamasını belirtir kullanır "'nrequire".The above command uses a backtick in "`nrequire".

  9. Bu koleksiyon için RDWeb indirilecek RDP dosya içeriğini görüntülemek yanı sıra özel RDP özellikleri değişikliği doğrulamak için aşağıdaki komutu çalıştırın:To verify the modification of the custom RDP properties as well as view the RDP file contents that will be downloaded from RDWeb for this collection, run the following command:

    (get-wmiobject -Namespace root\cimv2\terminalservices -Class Win32_RDCentralPublishedRemoteDesktop).RDPFileContents
    

Uzak Masaüstü yapılandırdığınıza göre Azure AD uygulama proxy'si RDS'yi internet'e yönelik bileşeni olarak gerçekleştirdiğiNow that you've configured Remote Desktop, Azure AD Application Proxy has taken over as the internet-facing component of RDS. RD Web ve RD Ağ Geçidi makinelerinizde diğer ortak internet'e yönelik uç noktalar kaldırabilirsiniz.You can remove the other public internet-facing endpoints on your RD Web and RD Gateway machines.

Test senaryosuTest the scenario

Windows 7 veya 10 bilgisayarda Internet Explorer ile senaryoyu test edin.Test the scenario with Internet Explorer on a Windows 7 or 10 computer.

  1. Dış URL ayarladığınız gidin veya uygulamanızda bulabilirsiniz MyApps paneli.Go to the external URL you set up, or find your application in the MyApps panel.
  2. Azure Active Directory kimlik doğrulaması istenir.You are asked to authenticate to Azure Active Directory. Uygulamaya atanmış bir hesap kullanın.Use an account that you assigned to the application.
  3. RD Web kimlik doğrulaması istenir.You are asked to authenticate to RD Web.
  4. RDS kimlik Doğrulamanızın başarılı olduktan sonra Masaüstü veya istediğiniz uygulamayı seçin ve çalışmaya başlayın.Once your RDS authentication succeeds, you can select the desktop or application you want, and start working.

Diğer istemci yapılandırmaları için destekSupport for other client configurations

Bu makalede açıklanan yapılandırma Windows 7 veya 10, Internet Explorer ve RDS ActiveX eklenti sahip kullanıcılara yöneliktir.The configuration outlined in this article is for users on Windows 7 or 10, with Internet Explorer plus the RDS ActiveX add-on. Ancak, gerekirse, diğer işletim sistemleri veya tarayıcılar destekleyebilir.If you need to, however, you can support other operating systems or browsers. Kullandığınız kimlik doğrulama yöntemi farktır.The difference is in the authentication method that you use.

Kimlik doğrulama YöntemiAuthentication method Desteklenen istemci yapılandırmasıSupported client configuration
Kimlik doğrulaması öncesiPre-authentication Windows 7/10 kullanarak Internet Explorer + RDS ActiveX eklentisiWindows 7/10 using Internet Explorer + RDS ActiveX add-on
GeçişPassthrough Tüm diğer Microsoft Uzak Masaüstü uygulamasını destekleyen işletim sistemiAny other operating system that supports the Microsoft Remote Desktop application

Ön kimlik doğrulaması akışı geçiş akışı değerinden daha fazla güvenlik avantaj sunar.The pre-authentication flow offers more security benefits than the passthrough flow. Ön kimlik doğrulama ile şirket içi kaynaklarınıza tek oturum açma, koşullu erişim ve iki aşamalı doğrulama gibi Azure AD kimlik doğrulama özellikleri kullanabilirsiniz.With pre-authentication you can use Azure AD authentication features like single sign-on, Conditional Access, and two-step verification for your on-premises resources. Ayrıca, yalnızca trafik ulaştığında, ağ kimliği doğrulanmış emin olun.You also ensure that only authenticated traffic reaches your network.

Geçişli kimlik doğrulamasını kullanmak için bu makalede listelenen adımları yalnızca iki değişiklik vardır:To use passthrough authentication, there are just two modifications to the steps listed in this article:

  1. İçinde RD konak uç nokta yayımlama 1. adımda, ön kimlik doğrulama yöntemi kümesine geçiş.In Publish the RD host endpoint step 1, set the Preauthentication method to Passthrough.
  2. İçinde uygulama proxy'si doğrudan RDS trafiği, tamamen 8. adımına atlayabilirsiniz.In Direct RDS traffic to Application Proxy, skip step 8 entirely.

Sonraki adımlarNext steps

Azure AD uygulama ara sunucusu ile SharePoint uzaktan erişimi etkinleştirmeEnable remote access to SharePoint with Azure AD Application Proxy
Azure AD uygulama proxy'si kullanarak uygulamalara uzaktan erişim için güvenlik konularıSecurity considerations for accessing apps remotely by using Azure AD Application Proxy