Uwierzytelnianie wieloskładnikowe (2FA/MFA) dla Remote Desktop Gateway

Ostatnia aktualizacja dnia 17 czerwca 2025

Omówienie uwierzytelniania MFA dla Remote Desktop Gateway

Uwierzytelnianie wieloskładnikowe (MFA) dla Remote Desktop Gateway (bramy pulpitu zdalnego) to bezpieczna, dodatkowa warstwa uwierzytelniania dla logowań przez usługę Microsoft Remote Desktop Gateway. Jeśli użytkownik ma zainstalowaną aplikację Rublon Authenticator to podczas procesu uwierzytelniania, system Rublon wysyła użytkownikowi żądanie logowania za pomocą metody Powiadomienie mobilne. Poza metodą Powiadomienie mobilne można też użyć metody Link e-mail, Połączenie telefoniczne lub Link SMS. Użytkownikom, którzy nie ukończą procesu uwierzytelniania dwuskładnikowego, zostanie odmówiony dostęp.

Platforma Rublon MFA integruje się z bramą pulpitu zdalnego za pośrednictwem dedykowanego konektora o nazwie Rublon MFA dla Remote Desktop Gateway (również: Rublon MFA dla RD Gateway, rzadziej: Rublon MFA dla bramy pulpitu zdalnego).

Konektor Rublon MFA dla RD Gateway nie wpływa na zakładkę SSL Certificate w narzędziu Remote Desktop Gateway Manager. W przypadku problemów z certyfikatami należy ponownie uruchomić serwer IIS oraz usługę RDG.

Użytkownicy usługi RD Gateway, którzy będą uwierzytelniani przez system Rublon, powinni zostać poinformowani przed wdrożeniem, że podczas logowania wymagane będzie uwierzytelnianie dwuskładnikowe, ponieważ nie otrzymają oni żadnego komunikatu o tym fakcie. Zaleca się, aby użytkownicy korzystali z aplikacji Rublon Authenticator.

Konektor Rublon MFA dla Microsoft RD Gateway obsługuje następujące systemy operacyjne:

• Windows Server 2008 R2
• Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2019
• Windows Server 2022

Film demonstracyjny

Wspierane metody uwierzytelniania

Metoda uwierzytelniania	Czy wspierana	Komentarz
Powiadomienie mobilne	✔	N/A
Klucz bezpieczeństwa WebAuthn/U2F	–	N/A
Kod dostępu	–	N/A
Kod SMS	–	N/A
Link SMS	✔	N/A
Połączenie telefoniczne	✔	N/A
Kod QR	–	N/A
Link e-mail	✔	N/A
Klucz bezpieczeństwa YubiKey OTP	–	N/A

Zanim zaczniesz

• Upewnij się, że masz dobrze przetestowaną, działającą i uruchomioną usługę RDG, zanim zainstalujesz konektor Rublon MFA dla RD Gateway.
• Należy pamiętać, że konektor Rublon MFA dla RD Gateway zastępuje bieżące ustawienia dotyczące przekierowywania urządzeń i limitów przekroczenia czasu połączenia w zasadach autoryzacji połączenia pulpitu zdalnego (Remote Desktop Connection Authorization Policies, CAP). Zalecamy zapisanie lub zanotowanie tych ustawień, aby móc je ponownie skonfigurować w pliku konfiguracyjnym Rublon MFA dla RD Gateway po instalacji.
• Zachęcamy do zapoznania się z dostępnymi sposobami rejestracji użytkowników Rublon. Można je ustawić i edytować w zakładce Settings (Ustawienia) w konsoli Rublon Admin Console.
• Przed przejściem dalej, upewnij się, że system Windows jest aktualny i zostały zainstalowane wszystkie najnowsze aktualizacje.

Kroki przed instalacją

1. Zaloguj się do konsoli Rublon Admin Console.

2. W panelu po lewej stronie wybierz zakładkę Applications (Aplikacje).

3. Kliknij Add Application (Dodaj aplikację).

4. Wprowadź nazwę nowej aplikacji, na przykład RD Gateway.

5. Z listy rozwijanej Type (Typ) wybierz Remote Desktop Gateway.

6. Zdecyduj, czy chcesz włączyć normalizację nazw użytkowników i widok Zarządzaj uwierzytelniaczami. Aby uzyskać więcej informacji, sprawdź How to add an application.

7. Kliknij Save (Zapisz), aby dodać nową aplikację.

8. Zanotuj wartości System Token i Secret Key. Wartości te będą potrzebne później podczas instalacji.

9. Pobierz instalator Rublon MFA dla RD Gateway.

Instalacja konektora Rublon MFA dla Remote Desktop Gateway (instalacja GUI)

1. Uruchom instalator z uprawnieniami administratora.

2. Na pierwszej stronie instalatora przeczytaj o produkcie, który chcesz zainstalować.

• Jeśli instalujesz konektor po raz pierwszy, kliknij Next (Dalej).

• Jeśli nie jest to pierwsza instalacja konektora na tym punkcie końcowym, można zaktualizować bieżącą instalację lub przeprowadzić czystą instalację.
  • Zaktualizuj bieżącą instalację: Jeśli zdecydujesz się zaktualizować bieżącą instalację, nie będzie możliwa zmiana starych opcji instalatora. Jeśli jednak w tej wersji instalatora wprowadzono nową opcję, będzie można zmienić jej wartość przed rozpoczęciem instalacji. Opcja Update current installation (Aktualizuj bieżącą instalację) jest zalecana dla tych, którzy chcą zaktualizować konektor do nowszej wersji, zachowując wszystkie bieżące ustawienia.
  • Czysta instalacja: Jeśli zdecydujesz się na czystą instalację, wykonaj czynności opisane w tej sekcji.

3. Wprowadź poświadczenia API (System Token i Secret Key) z aplikacji typu Remote Desktop Gateway w zakładce Applications (Aplikacje) konsoli Rublon Admin Console i kliknij Next (Dalej).

Opcja	Opis
API Server	Wpisz adres https://core.rublon.net, chyba, że Twoim celem jest bezpośrednia zmiana adresu URL serwera Rublon API.
System Token	Wartość System Token Twojej aplikacji w konsoli Rublon Admin Console. Wklej wcześniej zanotowaną wartość.
Secret Key	Wartość Secret Key Twojej aplikacji w konsoli Rublon Admin Console. Wklej wcześniej zanotowaną wartość.

4. Zaznacz opcje konfiguracji według swoich preferencji i kliknij Next (Dalej). Zapoznaj się z poniższym obrazkiem i tabelą.

Opcja	Opis
Use proxy	Zaznacz, aby włączyć obsługę proxy. Jeśli zaznaczysz tę opcję, na kolejnej stronie konieczne będzie podanie szczegółów serwera proxy. Jeśli nie zaznaczysz tej opcji, strona ze szczegółami serwera proxy się nie pojawi.

5. Jeśli na poprzedniej stronie zaznaczono opcję Use proxy, to zobaczysz dodatkową stronę z prośbą o podanie szczegółów proxy. Po uzupełnieniu szczegółów kliknij Next. Zapoznaj się z poniższym obrazkiem i tabelą.

Opcja	Opis
Proxy Host	Adres serwera proxy.
Proxy Port	Port, na którym działa serwer proxy.
Proxy Username	Nazwa użytkownika serwera proxy HTTP. Opcjonalne. Wypełnij, jeśli wymagana jest weryfikacja przy użyciu nazwy użytkownika.
Proxy Password	Hasło użytkownika serwera proxy HTTP. Opcjonalne. Wypełnij, jeśli jest to wymagane do weryfikacji.

6. Zdecyduj czy zezwalać na pominięcie uwierzytelniania MFA i kliknij Next (Dalej). Zapoznaj się z poniższym obrazkiem i tabelą.

Opcja

Opis

Bypass MFA when it cannot be performed

Zaznacz, aby pominąć uwierzytelnianie MFA, gdy interfejs Rublon API jest dostępny, ale nie może wykonać MFA (np. zbyt wiele żądań). Zalecamy pozostawienie tej opcji zaznaczonej, jeśli instalujesz konektor Rublon po raz pierwszy, aby w przypadku jakichkolwiek problemów móc uzyskać dostęp do swojego komputera (np. podano nieprawidłową wartość System Token/Secret Key lub zapora sieciowa blokuje interfejs Rublon).

7. Konektor Rublon MFA dla RD Gateway jest gotowy do instalacji.

Konektor Rublon MFA dla Remote Desktop Gateway wykonuje podczas instalacji następujące kroki:

• Dodaje ustawienia konfiguracyjne do rejestru systemu Windows.
• Instaluje aplikację w systemie w określonej lokalizacji. Nie ma możliwości zmiany tej ścieżki.
• Uruchamia instalator wymaganych dodatkowych pakietów: Microsoft Visual C++ 2015-2019 Redistributable (x64). Konektor Rublon dla RD Gateway wymaga do działania pakietu Microsoft Visual C++ 2015-2019 Redistributable (x64). Instalator Rublon MFA for RD Gateway zainstaluje ten pakiet automatycznie, jeśli nie istnieje on w systemie.

8. Kliknij przycisk Install (Instaluj), aby zainstalować konektor Rublon MFA dla Remote Desktop Gateway.

9. Po pomyślnej instalacji instalator poinformuje Cię o zakończeniu instalacji. Opcjonalnie zaznacz View logs (Wyświetl dzienniki) a następnie kliknij Finish (Zakończ).

10. Sprawdź, czy konektor się poprawnie zainstalował. Przejdź do katalogu C:\ProgramData\Rublon\RDG\Logs i otwórz plik Rublon-RDG.log. Wyszukaj w nim wiersz rozpoczynający się od:

[info] “Rublon RDG Authentication Plugin version:

Jeśli nie widzisz takiego wiersza, odczekaj chwilę i sprawdź ponownie.

11. Instalacja została zakończona. Zalecamy zapoznanie się z sekcją Konfiguracja, aby dowiedzieć się, jakie parametry można zmieniać.

Instalacja konektora Rublon MFA dla Remote Desktop Gateway (instalacja w trybie Silent Mode)

1. Uruchom instalator z wiersza poleceń, na przykład cmd lub PowerShell.

2. Przygotuj polecenie instalacyjne w oparciu o poniższe:

.\Rublon-RDG-1.6.0.exe /verysilent /rublonApiServer=https://core.rublon.net /token={token} /key={key} /failMode=bypass

Gdzie każda opcja jest ustawiona w następujący sposób: /<NazwaOpcji>=<WartośćOpcji>

Na przykład:

.\Rublon-RDG-1.6.0.exe /verysilent /rublonApiServer=https://core.rublon.net /token=9BBD412E91594D39BD6FCB841D396C4X /key=97df2dced39aa615a0235819116893

Opisy parametrów można znaleźć w poniższej tabeli.

Parametr	Opis	Wymagany
token	Wartość System Token Twojej aplikacji w konsoli Rublon Admin Console. Wklej wcześniej zanotowaną wartość.	Tak
key	Wartość Secret Key Twojej aplikacji w konsoli Rublon Admin Console. Wklej wcześniej zanotowaną wartość.	Tak
verysilent	Uruchamia instalator bez graficznego interfejsu użytkownika (GUI).	Tak, żeby uruchomić instalator w trybie Silent Mode. Jeśli parametr nie zostanie uwzględniony w komendzie instalacyjnej, instalator uruchomi się w trybie z GUI.
silent	Uruchamia instalator bez większości elementów graficznego interfejsu użytkownika (GUI), ale nadal wyświetla pasek postępu instalacji. W przypadku błędu podczas instalacji, wyświetli się graficzna informacja wymagająca interakcji użytkownika.	Nie
suppressmsgboxes	Gdy wystąpi błąd, zamiast wyświetlania go w oknie, jak w przypadku instalacji za pomocą interfejsu graficznego, błąd zostanie zamiast tego zapisany w plikach dziennika.	Nie
failMode	Pomiń uwierzytelnianie MFA dla logowań, jeśli serwery Rublon są nieosiągalne. Ustaw na bypass, aby pominąć użytkownika. Ustaw na deny, aby odmówić dostępu użytkownikowi. Zalecane: bypass	Nie
proxyHost	Adres serwera proxy.	Nie
proxyPort	Port, na którym działa serwer proxy.	Nie
proxyUsername	Nazwa użytkownika serwera proxy HTTP.	Nie
proxyPassword	Hasło użytkownika serwera proxy HTTP.	Nie
rublonApiServer	Adres serwera interfejsu Rublon API.	Nie
NORESTART	Uniemożliwia Instalatorowi ponowne uruchomienie systemu po pomyślnej instalacji lub po niepowodzeniu etapu Preparing to Install wymagającym ponownego uruchomienia.	Nie

3. Wykonaj przygotowane polecenie.

4. Sprawdź, czy konektor się poprawnie zainstalował. Przejdź do katalogu C:\ProgramData\Rublon\RDG\Logs i otwórz plik Rublon-RDG.log. Wyszukaj w nim wiersz rozpoczynający się od:

[info] “Rublon RDG Authentication Plugin version:

Jeśli nie widzisz takiego wiersza, odczekaj chwilę i sprawdź ponownie.

5. Gratulacje! Instalacja została zakończona. Zalecamy zapoznanie się z sekcją Konfiguracja, aby dowiedzieć się, jakie parametry można zmieniać.

Konfiguracja konektora Rublon MFA dla RD Gateway

Możesz zmienić ustawienia konektora Rublon MFA dla RD Gateway w rejestrze systemu Windows, w gałęzi: HKEY_LOCAL_MACHINE\SOFTWARE\Rublon\RDG. Nie musisz zatrzymywać usługi RD Gateway przed wprowadzeniem zmian. Zmiany zostaną zastosowane automatycznie przy następnym logowaniu.

Poniższa tabela opisuje wszystkie wartości:

Wartość	Opis	Wartość domyślna
RDG
rublonApiServer	Adres domenowy serwera uwierzytelniania Rublon.	https://core.rublon.net
systemToken	Wartość System Token aplikacji typu Remote Desktop Gateway z konsoli Rublon Admin Console.
secretKey	Wartość Secret Key aplikacji typu Remote Desktop Gateway z konsoli Rublon Admin Console.
failMode	Określa, czy użytkownik ma zostać zalogowany w sytuacji, gdy uwierzytelnianie 2FA nie może zostać wykonane z przyczyn technicznych. Możliwe wartości: bypass – użytkownik jest logowany deny – użytkownik jest blokowany	bypass
sendUPN	Jeśli ta wartość jest ustawiona na 1, konektor Rublon wyszukuje uniwersalną nazwę główną (UPN) w katalogu Active Directory i wysyła nazwę UPN do interfejsu Rublon API jako nazwę użytkownika Rublon (np. user@domain.com). Jeśli ta wartość jest ustawiona na 0, konektor Rublon wysyła jako nazwę użytkownika Rublon wartość sAMAccountName, np. Domain\user. Możliwe wartości: 1 – włącza wysyłanie UPN do Rublon 0 – wyłącza wysyłanie UPN do Rublon Załóżmy, że ustawiono wartość sendUPN na 1, ale konektor Rublon nie może znaleźć głównej nazwy użytkownika (UPN) dla danego użytkownika w usłudze Active Directory. W takim przypadku konektor Rublon odmawia użytkownikowi dostępu i dodaje odpowiednią informację do plików dziennika.	0
skipADUserDataSearch	Jeśli ta wartość jest ustawiona na 1, konektor Rublon nie odczytuje danych użytkownika z usługi Active Directory (UPN, e-mail) podczas uwierzytelniania MFA. Konektor wysyła wtedy do interfejsu Rublon API jedynie nazwę użytkownika w postaci Down-Level Logon Name (DOMAIN\username). Ustawienie opcji skipADUserDataSearch na 1 może przyspieszyć proces MFA. Jeśli ta wartość jest ustawiona na 0, konektor Rublon odczytuje UPN i adres e-mail podczas uwierzytelniania i wykorzystuje te wartości, gdy są potrzebne. Możliwe wartości: 1 – wyłącza odczytywanie UPN i e-mail użytkownika przy każdym uwierzytelnieniu 0 – włącza odczytywanie UPN i e-mail użytkownika przy każdym uwierzytelnieniu Uwaga: Jeśli zarówno wartość sendUPN, jak i wartość skipADUserDataSearch zostaną ustawione na 1, wystąpi błąd uwierzytelniania, ponieważ konektor nie będzie w stanie dopasować nazwy użytkownika.	0
authenticationMethods	Określa kolejność wywoływania metod uwierzytelniania. Możesz ustawić jedną metodę (np. push, email, smsLink czy phoneCall) lub sekwencję metod (np. email,push lub push,smsLink,email). Jeżeli metoda się nie powiedzie, konektor przechodzi do kolejnej w sekwencji. Jeżeli wszystkie metody zdefiniowane w sekwencji zakończą się niepowodzeniem, użytkownik zostanie pominięty lub zablokowany, w zależności od wartości opcji failMode. Ważne: Jeśli polityka przypisana do aplikacji typu Remote Desktop Gateway w konsoli Rublon Admin Console zezwala tylko na niektóre metody MFA, pamiętaj, żeby w opcji authenticationMethods również skonfigurować dokładnie te same metody. Przykładowo, jeśli ustawiono authenticationMethods na push,email, upewnij się, że w polityce jako dostępne metody ustawione są Link e-mail i Powiadomienie mobilne.	push,email,smsLink,phoneCall
severityLevel	Określa poziom szczegółowości plików dziennika. Może przyjmować jedną z poniższych wartości: trace, debug, info, warning, error, fatal	info
CAP
allowOnlySDRServers	Zezwalaj wyłącznie na serwery SDR.	false
disableDriveRedirection	Wyłącz przekierowanie dysków.	false
disablePrinterRedirection	Wyłącz przekierowanie drukarek.	false
disablePortRedirection	Wyłącz przekierowanie portów.	false
disableClipboardRedirection	Wyłącz przekierowanie schowka.	false
disablePnpRedirection	Wyłącz przekierowanie urządzeń PnP.	false
idleTimeout	Czas bezczynności (w minutach), po którym sesja zostaje rozłączona. Ustawienie na 0 wyłącza automatyczne rozłączanie.	120
sessionTimeout	Czas w minutach, po którym wygaśnie sesja. Ustawienie na 0 sprawia, że sesja nigdy nie wygaśnie.	480
sessionTimeoutAction	Co się ma stać, jak sesja wygaśnie. Możliwe wartości: disconnect – sesja zostaje rozłączona silentreauth – próba ponownej autoryzacji; ten parametr zależy od klienta RDP, np. w przypadku narzędzia mstsc.exe, ten parametr nie jest brany pod uwagę i w przypadku przekroczenia limitu czasu użytkownik zostaje rozłączony (bez ponownego uwierzytelnienia), podczas gdy np. w przypadku RD Web Client, po przekroczeniu limitu czasu, użytkownik musi przejść przez uwierzytelnianie Rublon (za pomocą którejś metody, np. wysyłane jest automatyczne Powiadomienie mobilne, a sesja RDP zostanie przywrócona dopiero po przejściu drugiego składnika uwierzytelniania).	disconnect
Proxy
httpProxyHost	Adres serwera proxy.
httpProxyPort	Port, na którym działa serwer proxy.
httpProxyUser	Nazwa użytkownika dla uwierzytelniania serwera proxy.
httpProxyPassword	Hasło użytkownika serwera proxy.

Przykład logowania za pomocą uwierzytelniania MFA dla Remote Desktop Gateway (plik RDP)

Ten przykład przedstawia uwierzytelnianie MFA dla RD Gateway przy użyciu pliku RDP dodanego do menu Start za pomocą usługi RD Web Feed (RemoteApp and Desktop connections) lub pobranego z usługi Remote Desktop Web Access. Zapoznaj się z poniższymi informacjami, aby dowiedzieć się, jak działa uwierzytelnianie wieloskładnikowe w tych usługach:

• MFA for RD Web Feed login
• MFA for RD Web Access login

Po zdobyciu pliku RDP:

1. Otwórz plik.

2. W razie potrzeby podaj dane logowania i kliknij Connect (Połącz).

3. Pulpit zdalny rozpocznie łączenie i uruchamianie wybranej aplikacji.

4. Otrzymasz prośbę o uwierzytelnienie za pomocą metody Powiadomienie mobilne. Wybierz ZATWIERDŹ.

Twoja aplikacja zostanie otwarta.

Przykład logowania za pomocą uwierzytelniania MFA dla Remote Desktop Gateway (Web Client)

Ten przykład przedstawia uwierzytelnianie MFA dla RD Gateway za pośrednictwem klienta internetowego pulpitu zdalnego (Remote Desktop Web Client). Jeśli chcesz otworzyć wiele aplikacji za pomocą klienta internetowego, musisz przejść uwierzytelnianie wieloskładnikowe tylko podczas otwierania pierwszej aplikacji. Następnie wszystkie inne aplikacje zostaną otwarte bez uwierzytelniania MFA, o ile Twoja sesja nadal jest aktywna.

1. Zaloguj się do usługi RD Web Client. (Przykład uwierzytelniania MFA podczas logowania do usługi RD Web Client)

2. Wybierz aplikację, z którą chcesz się połączyć, i kliknij ją. 

3. Klient RD Web rozpocznie łączenie i uruchamianie wybranej aplikacji.

4. Otrzymasz prośbę o uwierzytelnienie za pomocą metody Powiadomienie mobilne. Wybierz ZATWIERDŹ.

5. Twoja aplikacja zostanie otwarta.

Aktualizowanie konektora Rublon MFA dla Remote Desktop Gateway

Aby zaktualizować konektor Rublon MFA dla RD Gateway, pobierz i zainstaluj nową wersję na komputerze, na którym wcześniej została zainstalowana stara wersja.

Możesz po prostu uruchomić instalator i wybrać opcję Update current installation (Aktualizuj bieżącą instalację).

Jeżeli nowy instalator wprowadzi nową opcję, która nie była dostępna w poprzednich wersjach konektora, będzie można zmienić tę opcję po kliknięciu Next (Dalej). W przeciwnym razie aktualizacja rozpocznie się od razu.

Dezinstalacja konektora Rublon MFA dla Remote Desktop Gateway

Aby odinstalować konektor Rublon MFA dla RD Gateway, uruchom jako administrator plik unins000.exe znajdujący się w katalogu C:\Program Files\Rublon\RDG\.

Alternatywnie przejdź do Apps & features, wybierz Rublon for RD Gateway i kliknij Uninstall.

Rozwiązywanie problemów z konektorem Rublon MFA dla RD Gateway

Jeśli masz problem lub pytanie, zapoznaj się najpierw ze stroną Rublon MFA for RD Gateway – FAQ.

Jeśli nie znaleziono rozwiązania problemu w naszym FAQ, przejrzyj pliki dziennika znajdujące się w domyślnie C:\ProgramData\Rublon\RDG\Logs i wyślij pliki Rublon-RDG.log oraz Rublon-RDG-Setup.log do działu wsparcia Rublon Support wraz z opisem problemu.

Jeśli napotkasz jakiekolwiek problemy z integracją Rublon, skontaktuj się z pomocą techniczną Rublon Support.

Powiązane posty

Rublon MFA dla Remote Desktop Gateway – Noty wydania

Rublon MFA dla Remote Desktop Gateway – FAQ

Rublon MFA dla Remote Desktop Gateway – Pobieranie