Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Virtual Desktop hostuje klientské relace na hostitelích relací spuštěných v Azure. Microsoft spravuje části služeb jménem zákazníka a poskytuje zabezpečené koncové body pro připojení klientů a hostitelů relací. Následující diagram poskytuje základní přehled síťových připojení používaných službou Azure Virtual Desktop.
Připojení relace
Azure Virtual Desktop používá protokol RDP (Remote Desktop Protocol) k poskytování možností vzdáleného zobrazení a vstupu přes síťová připojení. Protokol RDP byl původně vydán s verzí systém Windows NT 4.0 Terminal Server Edition a neustále se vyvíjel s každou verzí systému Microsoft Windows a Windows Server. Od počátku se protokol RDP vyvinul tak, aby byl nezávislý na základním zásobníku přenosu a v současnosti podporuje několik typů přenosů.
Přenos zpětného připojení
Azure Virtual Desktop používá přenos zpětného připojení k vytvoření vzdálené relace a přenosu přenosů protokolu RDP. Na rozdíl od místních nasazení Vzdálené plochy nepoužívá přenos zpětného připojení k příjmu příchozích připojení RDP naslouchací proces TCP. Místo toho používá odchozí připojení k infrastruktuře služby Azure Virtual Desktop přes připojení HTTPS.
Komunikační kanál hostitele relace
Při spuštění hostitele relace služby Azure Virtual Desktop vytvoří služba Zavaděč agenta vzdálené plochy trvalý komunikační kanál zprostředkovatele služby Azure Virtual Desktop. Tento komunikační kanál je vrstvený na zabezpečeném připojení TLS (Transport Layer Security) a slouží jako sběrnice pro výměnu zpráv služby mezi hostitelem relace a infrastrukturou služby Azure Virtual Desktop.
Pořadí připojení klienta
Pořadí připojení klienta je následující:
Pomocí podporovaného klienta služby Azure Virtual Desktop se uživatel přihlásí k odběru pracovního prostoru služby Azure Virtual Desktop.
Microsoft Entra ověří uživatele a vrátí token použitý k výčtu prostředků dostupných pro uživatele.
Klient předá token službě odběru informačního kanálu Azure Virtual Desktop.
Služba odběru informačního kanálu Azure Virtual Desktop ověří token.
Služba odběru informačního kanálu Azure Virtual Desktopu předává seznam dostupných ploch a aplikací zpět klientovi ve formě konfigurace digitálně podepsaného připojení.
Klient ukládá konfiguraci připojení pro každý dostupný prostředek do sady
.rdpsouborů.Když uživatel vybere prostředek pro připojení, klient použije přidružený
.rdpsoubor a vytvoří zabezpečené připojení TLS 1.2 k instanci brány služby Azure Virtual Desktop pomocí služby Azure Front Door a předá informace o připojení. Vyhodnotí se latence ze všech bran a brány se zařadí do skupin po 10 ms. Vybere se brána s nejnižší latencí a pak nejnižším počtem existujících připojení.Brána azure Virtual Desktopu požadavek ověří a požádá zprostředkovatele služby Azure Virtual Desktop o orchestraci připojení.
Zprostředkovatel služby Azure Virtual Desktop identifikuje hostitele relace a k inicializaci připojení použije dříve vytvořený trvalý komunikační kanál.
Zásobník vzdálené plochy zahájí připojení TLS 1.2 ke stejné instanci brány služby Azure Virtual Desktop, kterou používá klient.
Po připojení klienta i hostitele relace k bráně začne brána předávat data mezi oběma koncovými body. Toto připojení vytvoří základní přenos zpětného připojení pro připojení RDP prostřednictvím vnořeného tunelu s využitím vzájemně odsouhlasené verze protokolu TLS, která se podporuje a povoluje mezi klientem a hostitelem relace, až do protokolu TLS 1.3.
Po nastavení základního přenosu klient spustí metodu handshake protokolu RDP.
Zabezpečení připojení
Protokol TLS se používá pro všechna připojení. Použitá verze závisí na tom, jaké připojení se vytvoří, a na možnostech klienta a hostitele relace:
Pro všechna připojení iniciovaná z klientů a hostitelů relací ke komponentám infrastruktury služby Azure Virtual Desktop se používá protokol TLS 1.2. Azure Virtual Desktop používá stejné šifry TLS 1.2 jako Azure Front Door. Je důležité zajistit, aby klientské počítače i hostitelé relací mohli tyto šifry používat.
Pro přenos zpětného připojení se klient i hostitel relace připojují k bráně služby Azure Virtual Desktop. Po navázání připojení TCP pro základní přenos klient nebo hostitel relace ověří certifikát brány služby Azure Virtual Desktop. Protokol RDP pak vytvoří vnořené připojení TLS mezi klientem a hostitelem relace pomocí certifikátů hostitele relace. Verze protokolu TLS používá vzájemně dohodnutou verzi protokolu TLS podporovanou a povolenou mezi klientem a hostitelem relace, až do protokolu TLS 1.3. Protokol TLS 1.3 se podporuje od Windows 11 (21H2) a Windows Server 2022. Další informace najdete v tématu podpora protokolu TLS Windows 11. U jiných operačních systémů se obraťte na dodavatele operačního systému na podporu protokolu TLS 1.3.
Ve výchozím nastavení se certifikát používaný pro šifrování RDP sám generuje operačním systémem během nasazení. Můžete také nasadit centrálně spravované certifikáty vydané certifikační autoritou organizace. Další informace o konfiguraci certifikátů najdete v tématu Konfigurace certifikátů naslouchacího procesu Vzdálené plochy.
Další kroky
- Informace o požadavcích na šířku pásma pro službu Azure Virtual Desktop najdete v tématu Vysvětlení požadavků na šířku pásma protokolu RDP (Remote Desktop Protocol) pro službu Azure Virtual Desktop.
- Pokud chcete začít používat technologii QoS (Quality of Service) pro Azure Virtual Desktop, přečtěte si téma Implementace technologie QoS (Quality of Service) pro Azure Virtual Desktop.