Partage via


Comprendre la connectivité du réseau Azure Virtual Desktop

Azure Virtual Desktop héberge des sessions clientes sur des hôtes de session s’exécutant sur Azure. Microsoft gère des parties des services au nom du client et fournit des points de terminaison sécurisés pour la connexion des clients et des hôtes de session. Le diagramme suivant donne une vue d’ensemble des connexions réseau utilisées par Azure Virtual Desktop.

Diagramme des connexions réseau de Azure Virtual Desktop

Connectivité des sessions

Azure Virtual Desktop utilise RDP (Remote Desktop Protocol) pour fournir des fonctionnalités de saisie et d’affichage à distance sur les connexions réseau. Le protocole RDP avait initialement été publié avec Windows NT 4.0 Terminal Server Edition et a continué d’évoluer avec chaque version de Microsoft Windows et de Windows Server. Depuis le début, RDP a été développé pour être indépendant de sa pile de transport sous-jacente. Il prend désormais en charge plusieurs types de transport.

Transport de connexion inverse

Azure Virtual Desktop utilise le transport de connexion inverse pour établir la session à distance et pour transporter le trafic RDP. Contrairement aux déploiements de Services Bureau à distance locaux, le transport de connexion inverse n’utilise pas un écouteur TCP pour recevoir les connexions RDP entrantes. Au lieu de cela, il utilise la connectivité sortante vers l’infrastructure Azure Virtual Desktop via la connexion HTTPS.

Canal de communication de l’hôte de session

Lors du démarrage de l’hôte de session d’Azure Virtual Desktop, le service Chargeur d’agent Bureau à distance établit le canal de communication permanent du répartiteur Azure Virtual Desktop. Ce canal de communication est superposé à une connexion TLS (Transport Layer Security) sécurisée et sert de bus pour l’échange de messages de service entre l’hôte de session et l’infrastructure de Azure Virtual Desktop.

Séquence de connexion du client

La séquence de connexion cliente est la suivante :

  1. L’utilisation de l’utilisateur client Azure Virtual Desktop pris en charge adhère à l’espace de travail Azure Virtual Desktop.

  2. Microsoft Entra authentifie l’utilisateur et retourne le jeton utilisé pour énumérer les ressources disponibles pour un utilisateur.

  3. Le client passe le jeton au service d’abonnement au flux d’Azure Virtual Desktop.

  4. Le service d’abonnement au flux d’Azure Virtual Desktop valide le jeton.

  5. Le service d’abonnement au flux Azure Virtual Desktop transmet la liste des bureaux et applications disponibles au client sous la forme d’une configuration de connexion signée numériquement.

  6. Le client stocke la configuration de la connexion pour chaque ressource disponible dans un ensemble de fichiers .rdp.

  7. Lorsqu’un utilisateur sélectionne la ressource à laquelle se connecter, le client utilise le fichier .rdp associé et établit la connexion TLS 1.2 sécurisée à une instance de la passerelle Azure Virtual Desktop, avec l’aide d’Azure Front Door, et transmet les informations de connexion. La latence de toutes les passerelles est évaluée et les passerelles sont disposées dans des groupes de 10 ms. La passerelle avec la latence la plus faible, ainsi que le plus faible nombre de connexions existantes sont choisis.

  8. La passerelle Azure Virtual Desktop valide la demande et demande au répartiteur Azure Virtual Desktop d’orchestrer la connexion.

  9. Le répartiteur Azure Virtual Desktop identifie l’hôte de session et utilise le canal de communication persistant établi précédemment pour initialiser la connexion.

  10. La pile Bureau à distance initie une connexion TLS 1.2 à la même instance de passerelle Azure Virtual Desktop que celle utilisée par le client.

  11. Une fois que l’hôte client et de session est connecté à la passerelle, la passerelle commence à relayer les données entre les deux points de terminaison. Cette connexion établit le transport de connexion inverse de base pour la connexion RDP via un tunnel imbriqué, à l’aide de la version TLS mutuellement acceptée prise en charge et activée entre le client et l’hôte de session, jusqu’à TLS 1.3.

  12. Une fois le transport de base défini, le client démarre l’établissement d'une liaison RDP.

Sécurité de la connexion

TLS est utilisé pour toutes les connexions. La version utilisée dépend de la connexion établie et des fonctionnalités de l’hôte client et de session :

  • Pour toutes les connexions initiées à partir des clients et des hôtes de session vers les composants de l’infrastructure de Azure Virtual Desktop, TLS 1.2 est utilisé. Azure Virtual Desktop utilise les mêmes chiffrements TLS 1.2 qu’Azure Front Door. Il est important de s’assurer que les ordinateurs clients et les hôtes de session peuvent utiliser ces chiffrements.

  • Pour le transport de connexion inverse, le client et l’hôte de session se connectent à la passerelle Azure Virtual Desktop. Une fois la connexion TCP établie pour le transport de base, l’hôte client ou de session valide le certificat de la passerelle Azure Virtual Desktop. RDP établit ensuite une connexion TLS imbriquée entre l’hôte client et l’hôte de session à l’aide des certificats de l’hôte de session. La version de TLS utilise la version TLS mutuellement acceptée prise en charge et activée entre le client et l’hôte de session, jusqu’à TLS 1.3. TLS 1.3 est pris en charge à partir de Windows 11 (21H2) et dans Windows Server 2022. Pour en savoir plus, consultez la prise en charge de TLS Windows 11. Pour les autres systèmes d’exploitation, contactez le fournisseur du système d’exploitation pour la prise en charge de TLS 1.3.

Par défaut, le certificat utilisé pour le chiffrement RDP est généré automatiquement par le système d’exploitation pendant le déploiement. Vous pouvez également déployer des certificats gérés de manière centralisée émis par l’autorité de certification d’entreprise. Pour plus d'informations sur la configuration des certificats, consultez Configurations de certificat de l’écouteur Bureau à distance.

Étapes suivantes