在 Microsoft Entra 域服务中保护对虚拟机的远程访问
若要保护对 Microsoft Entra 域服务托管域中运行的虚拟机 (VM) 的远程访问,可以使用远程桌面服务 (RDS) 和网络策略服务器 (NPS)。 域服务在用户请求通过 RDS 环境进行访问时对用户进行身份验证。 为了提高安全性,你可以集成 Microsoft Entra 多重身份验证,以便在发生登录事件期间提供其他的身份验证提示。 Microsoft Entra 多重身份验证使用 NPS 的一个扩展来提供此功能。
重要
若要安全地连接到域服务托管域中的 VM,建议使用 Azure Bastion,这是在虚拟网络中预配的一项完全由平台托管的 PaaS 服务。 堡垒主机直接在 Azure 门户中通过 SSL 提供与 VM 的安全无缝远程桌面协议 (RDP) 连接。 通过堡垒主机进行连接时,VM 不需要公共 IP 地址,你无需使用网络安全组在 TCP 端口 3389 上公开对 RDP 的访问。
强烈建议你在支持 Azure Bastion 的所有区域中使用它。 在不可使用 Azure Bastion 的区域中,请按本文中详述的步骤操作,直到 Azure Bastion 可用。 向已加入允许所有传入 RDP 流量的域服务的 VM 分配公共 IP 地址时一定要谨慎。
有关详细信息,请参阅什么是 Azure Bastion?。
本文介绍如何在域服务中配置 RDS,并选择性地使用 Microsoft Entra 多重身份验证 NPS 扩展。
先决条件
若要完成本文,需准备好以下资源:
- 一个有效的 Azure 订阅。
- 如果你没有 Azure 订阅,请创建一个帐户。
- 与订阅关联的 Microsoft Entra 租户,可以与本地目录或仅限云的目录同步。
- 在 Microsoft Entra 租户中启用和配置的 Microsoft Entra 域服务托管域。
- 在你的 Microsoft Entra 域服务虚拟网络中创建的“工作负载”子网。
- 属于 Microsoft Entra 租户中“Microsoft Entra DC 管理员”组的用户帐户。
部署和配置远程桌面环境
若要开始,请至少创建两个运行 Windows Server 2016 或 Windows Server 2019 的 Azure VM。 为了实现远程桌面 (RD) 环境的冗余性和高可用性,你可以在以后添加主机并对其进行负载均衡。
建议的 RDS 部署包含以下两个 VM:
- RDGVM01 - 运行 RD 连接代理服务器、RD Web 访问服务器和 RD 网关服务器。
- RDSHVM01 - 运行 RD 会话主机服务器。
请确保将 VM 部署到域服务虚拟网络的“工作负载”子网中,然后将 VM 加入托管域。 有关详细信息,请参阅如何创建 Windows Server VM 并将其加入托管域。
RD 环境部署包含许多步骤。 可以使用现有的 RD 部署指南,不需要进行任何特定变更便可在托管域中使用:
- 使用“Microsoft Entra DC 管理员”组中的帐户(例如 contosoadmin)登录到为 RD 环境创建的 VM。
- 若要创建和配置 RDS,请使用现有的远程桌面环境部署指南。 根据需要将 RD 服务器组件分布到各个 Azure VM。
- 特定于域服务 - 配置 RD 许可时,请将其设置为“每设备”模式而不是“每用户”模式,如部署指南中所述。
- 如果要使用 Web 浏览器提供访问,请为用户设置远程桌面 Web 客户端。
将 RD 部署到托管域后,你可以像使用本地 AD DS 域一样管理和使用该服务。
后续步骤
若要详细了解如何提高部署复原能力,请参阅远程桌面服务 - 高可用性。
若要详细了解如何保护用户登录,请参阅工作原理:Microsoft Entra 多重身份验证。