Compartir vía


Descripción de la conectividad de red de Azure Virtual Desktop

Azure Virtual Desktop hospeda sesiones de cliente en hosts de sesión que se ejecutan en Azure. Microsoft administra partes de los servicios en nombre del cliente y proporciona puntos de conexión seguros para conectar clientes y hosts de sesión. En el siguiente diagrama se ofrece información general de alto nivel de las conexiones de red que usa Azure Virtual Desktop.

Diagrama de las conexiones de red de Azure Virtual Desktop

Conectividad de sesión

Azure Virtual Desktop usa un protocolo de escritorio remoto (RDP) para proporcionar funcionalidades de entrada y visualización remotas a través de conexiones de red. RDP se lanzó inicialmente con Windows NT 4.0 Terminal Server Edition y ha evolucionado continuamente con cada versión de Microsoft Windows y Windows Server. Desde el principio, RDP se ha desarrollado para no depender de la pila de transporte subyacente y, en la actualidad, admite varios tipos de transporte.

Transporte de conexión inversa

Azure Virtual Desktop usa el transporte de conexión inversa para establecer la sesión remota y para transportar el tráfico del RDP. A diferencia de las implementaciones de Servicios de Escritorio remoto locales, el transporte de conexión inversa no usa un cliente de escucha TCP para recibir conexiones RDP entrantes. En su lugar, usa la conectividad saliente a la infraestructura de Azure Virtual Desktop a través de la conexión HTTPS.

Canal de comunicación del host de sesión

Al iniciar el host de sesión de Azure Virtual Desktop, el servicio Cargador del agente de Escritorio remoto establece el canal de comunicación persistente del agente de Azure Virtual Desktop. Este canal de comunicación se superpone a una conexión de Seguridad de la capa de transporte (TLS) segura y sirve como bus para el intercambio de mensajes de servicio entre el host de sesión y la infraestructura de Azure Virtual Desktop.

Secuencia de la conexión cliente

La secuencia de conexión de cliente es la siguiente:

  1. El usuario del cliente de Azure Virtual Desktop compatible se suscribe al área de trabajo de Azure Virtual Desktop.

  2. Microsoft Entra autentica al usuario y devuelve el token utilizado para enumerar los recursos disponibles para un usuario.

  3. El cliente pasa el token al servicio de suscripción a fuentes de Azure Virtual Desktop.

  4. El servicio de suscripción a fuentes de Azure Virtual Desktop valida el token.

  5. El servicio de suscripción a fuentes de Azure Virtual Desktop pasa la lista de escritorios y aplicaciones disponibles al cliente en forma de configuración de conexión con firma digital.

  6. El cliente almacena la configuración de la conexión para cada recurso disponible en un conjunto de archivos .rdp.

  7. Cuando un usuario selecciona el recurso para conectarse, el cliente usa el archivo .rdp asociado y establece una conexión TLS 1.2 segura con una instancia de la puerta de enlace de Azure Virtual Desktop con la ayuda de Azure Front Door y pasa la información de conexión. Se evalúa la latencia de todas las puertas de enlace y las puertas de enlace se colocan en grupos de 10 ms. Se elige la puerta de enlace con la latencia más baja y, a continuación, el número más bajo de conexiones existentes.

  8. La puerta de enlace de Azure Virtual Desktop valida la solicitud y solicita al agente de Azure Virtual Desktop que organice la conexión.

  9. El agente de Azure Virtual Desktop identifica el host de sesión y usa el canal de comunicación persistente establecido previamente para inicializar la conexión.

  10. La pila de Escritorio remoto inicia una conexión TLS 1.2 con la misma instancia de puerta de enlace de Azure Virtual Desktop que usa el cliente.

  11. Después de que tanto el cliente como el host de sesión se conecten a la puerta de enlace, esta empieza a retransmitir los datos entre ambos puntos de conexión. Esta conexión establece el transporte de conexión inversa base para la conexión RDP a través de un túnel anidado, usando la versión TLS mutuamente acordada soportada y habilitada entre el cliente y el host de sesión, hasta TLS 1.3.

  12. Una vez establecido el transporte base, el cliente inicia el protocolo de enlace de RDP.

Seguridad de conexión

TLS se usa para todas las conexiones. La versión usada depende de qué conexión se realice y de las funcionalidades del cliente y del host de sesión:

  • TLS 1.2 se usa para todas las conexiones iniciadas desde los clientes y hosts de sesión a los componentes de la infraestructura de Azure Virtual Desktop. Azure Virtual Desktop usa los mismos cifrados TLS 1.2 que Azure Front Door. Es importante asegurarse de que tanto los equipos cliente como los hosts de sesión pueden utilizar estos cifrados.

  • Para el transporte de conexión inversa, tanto el cliente como el host de sesión se conectan a la puerta de enlace de Azure Virtual Desktop. Una vez establecida la conexión TCP para el transporte base, el cliente o el host de sesión valida el certificado de la puerta de enlace de Azure Virtual Desktop. Después, RDP establece una conexión TLS anidada entre el cliente y el host de sesión mediante los certificados del host de sesión. La versión de TLS usa la versión de TLS mutuamente acordada, compatible y habilitada entre el cliente y el host de sesión, hasta TLS 1.3. TLS 1.3 se admite a partir de Windows 11 (21H2) y en Windows Server 2022. Para obtener más información, consulte Compatibilidad con TLS de Windows 11. Para otros sistemas operativos, consulte con el proveedor del sistema operativo la compatibilidad con TLS 1.3.

De forma predeterminada, el certificado usado para el cifrado RDP lo genera automáticamente el sistema operativo durante la implementación. También puede implementar certificados administrados centralmente emitidos por la entidad de certificación de empresa. Para obtener más información sobre cómo configurar certificados, consulte Configuraciones de certificados del agente de escucha de Escritorio remoto.

Pasos siguientes