Principy síťového připojení ve službě Azure Virtual Desktop

Azure Virtual Desktop hostuje klientské relace na hostitelích relací spuštěných v Azure. Microsoft spravuje části služeb jménem zákazníka a poskytuje zabezpečené koncové body pro připojení klientů a hostitelů relací. Následující diagram poskytuje základní přehled síťových připojení používaných službou Azure Virtual Desktop.

Připojení k relaci

Azure Virtual Desktop používá protokol RDP (Remote Desktop Protocol) k poskytování funkcí vzdáleného zobrazení a vstupu přes síťová připojení. Protokol RDP byl původně vydán s systém Windows NT 4.0 Terminal Server Edition a neustále se vyvíjí s každou verzí systému Microsoft Windows a Windows Server. Od počátku se protokol RDP vyvinul tak, aby byl nezávislý na základním transportní zásobníku, a dnes podporuje více typů přenosu.

Přenos zpětného připojení

Azure Virtual Desktop používá přenos zpětného připojení k navázání vzdálené relace a přenosů protokolu RDP. Na rozdíl od nasazení místní vzdálené plochy nepoužívá přenos zpětného připojení k příjmu příchozích připojení RDP naslouchací proces TCP. Místo toho využívá odchozí připojení k infrastruktuře služby Azure Virtual Desktop přes připojení HTTPS.

Komunikační kanál hostitele relace

Při spuštění hostitele relace služby Azure Virtual Desktop vytvoří služba Loader agenta vzdálené plochy trvalý komunikační kanál zprostředkovatele služby Azure Virtual Desktop. Tento komunikační kanál je vrstvený nad zabezpečené připojení TLS (Transport Layer Security) a slouží jako sběrnice pro výměnu zpráv mezi hostitelem relace a infrastrukturou služby Azure Virtual Desktop.

Posloupnost připojení klienta

Sekvence připojení klienta je následující:

1. Použití podporovaných uživatelů klienta Služby Azure Virtual Desktop se přihlásí k odběru pracovního prostoru Služby Azure Virtual Desktop.

2. Microsoft Entra ověří uživatele a vrátí token použitý k vytvoření výčtu prostředků dostupných pro uživatele.

3. Klient předá token službě odběru informačního kanálu Azure Virtual Desktopu.

4. Služba odběru informačního kanálu Azure Virtual Desktop ověří token.

5. Služba odběru informačního kanálu služby Azure Virtual Desktop předává seznam dostupných desktopů a aplikací zpět klientovi ve formě konfigurace digitálně podepsaného připojení.

6. Klient ukládá konfiguraci připojení pro každý dostupný prostředek v sadě .rdp souborů.

7. Když uživatel vybere prostředek, který se má připojit, klient použije přidružený .rdp soubor a vytvoří zabezpečené připojení TLS 1.2 k instanci brány služby Azure Virtual Desktop s pomocí služby Azure Front Door a předá informace o připojení. Vyhodnotí se latence ze všech bran a brány se zadají do skupin 10 ms. Brána s nejnižší latencí a následným nejnižším počtem stávajících připojení se vybere.

8. Brána Služby Azure Virtual Desktop ověří požadavek a požádá zprostředkovatele Služby Azure Virtual Desktop o orchestraci připojení.

9. Zprostředkovatel Služby Azure Virtual Desktop identifikuje hostitele relace a k inicializaci připojení používá dříve vytvořený trvalý komunikační kanál.

10. Zásobník vzdálené plochy inicializuje připojení TLS 1.2 ke stejné instanci brány Služby Azure Virtual Desktop, jakou používá klient.

11. Jakmile se klient i hostitel relace připojí k bráně, brána začne předávat data mezi oběma koncovými body. Toto připojení vytvoří základní přenos zpětného připojení pro připojení RDP prostřednictvím vnořeného tunelu s použitím vzájemně odsouhlasené verze protokolu TLS podporované a povolené mezi klientem a hostitelem relace až do protokolu TLS 1.3.

12. Po nastavení základního přenosu spustí klient metodu handshake protokolu RDP.

Zabezpečení připojení

Protokol TLS se používá pro všechna připojení. Použitá verze závisí na tom, které připojení se vytvoří, a na možnostech klienta a hostitele relace:

• Pro všechna připojení iniciovaná z klientů a hostitelů relací ke komponentám infrastruktury služby Azure Virtual Desktop se používá protokol TLS 1.2. Azure Virtual Desktop používá stejné šifry TLS 1.2 jako Azure Front Door. Je důležité zajistit, aby klientské počítače i hostitelé relací mohli tyto šifry používat.

• V případě přenosu zpětného připojení se klient i hostitel relace připojují k bráně služby Azure Virtual Desktop. Po navázání připojení TCP pro základní přenos ověří klient nebo hostitel relace certifikát brány služby Azure Virtual Desktop. Protokol RDP pak pomocí certifikátů hostitele relace vytvoří vnořené připojení TLS mezi klientem a hostitelem relace. Verze protokolu TLS používá vzájemně odsouhlasenou verzi protokolu TLS podporovanou a povolenou mezi klientem a hostitelem relace až tls 1.3. Protokol TLS 1.3 se podporuje od windows 11 (21H2) a v systému Windows Server 2022. Další informace najdete v tématu Podpora protokolu TLS pro Windows 11. V případě jiných operačních systémů se obraťte na dodavatele operačního systému s podporou protokolu TLS 1.3.

Ve výchozím nastavení je certifikát používaný pro šifrování RDP automaticky generován operačním systémem během nasazení. Můžete také nasadit centrálně spravované certifikáty vydané certifikační autoritou organizace. Další informace o konfiguraci certifikátů naleznete v tématu Konfigurace certifikátů naslouchacího procesu vzdálené plochy.

Další kroky

• Informace o požadavcích na šířku pásma pro Azure Virtual Desktop najdete v tématu Vysvětlení požadavků na šířku pásma protokolu RDP (Remote Desktop Protocol) pro Azure Virtual Desktop.
• Pokud chcete začít používat technologii QoS (Quality of Service) pro Azure Virtual Desktop, přečtěte si téma Implementace technologie QoS (Quality of Service) pro Azure Virtual Desktop.