Configurer RDP Shortpath pour Azure Virtual Desktop

Importante

• RDP Shortpath pour les réseaux publics via STUN pour Azure Virtual Desktop est disponible dans le cloud public Azure et Azure Government cloud.
• RDP Shortpath pour les réseaux publics via TURN pour Azure Virtual Desktop n’est disponible que dans le cloud public Azure.

Les utilisateurs peuvent se connecter à une session à distance à partir d’Azure Virtual Desktop à l’aide du protocole RDP (Remote Desktop Protocol) avec un transport UDP ou TCP. RDP Shortpath établit un transport udp entre un appareil local Windows App ou l’application Bureau à distance sur les plateformes prises en charge et l’hôte de session.

Le transport udp offre une meilleure fiabilité des connexions et une latence plus cohérente. Le transport de connexion inverse basée sur TCP offre la meilleure compatibilité avec diverses configurations de mise en réseau et présente un taux de réussite élevé pour l’établissement de connexions RDP. Si une connexion UDP ne peut pas être établie, un transport de connexion inverse basée sur TCP est utilisé comme méthode de connexion de secours.

Il existe quatre options pour RDP Shortpath qui offrent une flexibilité quant à la façon dont vous souhaitez que les appareils clients soient connectés à une session à distance à l’aide d’UDP :

• RDP Shortpath pour les réseaux managés : connexion UDP directe entre un appareil client et un hôte de session à l’aide d’une connexion privée, telle que le peering privé ExpressRoute ou un réseau privé virtuel (VPN). Vous activez l’écouteur RDP Shortpath sur les hôtes de session et autorisez un port entrant à accepter les connexions.

• RDP Shortpath pour les réseaux managés avec ICE/STUN : connexion UDP directe entre un appareil client et un hôte de session à l’aide d’une connexion privée, telle que le peering privé ExpressRoute ou un réseau privé virtuel (VPN). Lorsque l’écouteur RDP Shortpath n’est pas activé sur les hôtes de session et qu’un port entrant n’est pas autorisé, ICE/STUN est utilisé pour découvrir les adresses IP disponibles et un port dynamique qui peut être utilisé pour une connexion. La plage de ports est configurable.

• RDP Shortpath pour les réseaux publics avec ICE/STUN : connexion UDP directe entre un appareil client et un hôte de session à l’aide d’une connexion publique. ICE/STUN est utilisé pour découvrir les adresses IP disponibles et un port dynamique qui peut être utilisé pour une connexion. L’écouteur RDP Shortpath et un port entrant ne sont pas requis. La plage de ports est configurable.

• Rdp Shortpath pour les réseaux publics via TURN : connexion UDP relayée entre un appareil client et un hôte de session à l’aide d’une connexion publique où TURN relaye le trafic via un serveur intermédiaire entre un client et un hôte de session. Un exemple de lorsque vous utilisez cette option est si une connexion utilise nat symétrique. Un port dynamique est utilisé pour une connexion ; la plage de ports est configurable. Pour obtenir la liste des régions Azure disponibles pour turn, consultez Régions Azure prises en charge avec disponibilité DE TURN. La connexion à partir de l’appareil client doit également se trouver dans un emplacement pris en charge. L’écouteur RDP Shortpath et un port entrant ne sont pas requis.

L’une des quatre options que vos appareils clients peuvent utiliser dépend également de leur configuration réseau. Pour en savoir plus sur le fonctionnement de RDP Shortpath, ainsi que quelques exemples de scénarios, consultez RDP Shortpath.

Cet article répertorie la configuration par défaut de chacune des quatre options et la façon de les configurer. Il fournit également des étapes pour vérifier que RDP Shortpath fonctionne et comment le désactiver si nécessaire.

Conseil

RDP Shortpath pour les réseaux publics avec STUN ou TURN fonctionne automatiquement sans configuration supplémentaire, si les réseaux et les pare-feu autorisent le trafic via et les paramètres de transport RDP dans le système d’exploitation Windows pour les hôtes de session et les clients utilisent leurs valeurs par défaut.

Configuration par défaut

Vos hôtes de session, les paramètres de mise en réseau du pool d’hôtes associé et les appareils clients doivent être configurés pour RDP Shortpath. Ce que vous devez configurer dépend des quatre options RDP Shortpath que vous souhaitez utiliser, ainsi que de la topologie réseau et de la configuration des appareils clients.

Voici les comportements par défaut pour chaque option et ce que vous devez configurer :

Option RDP Shortpath	Paramètres de l’hôte de session	Paramètres de mise en réseau du pool d’hôtes	Paramètres de l’appareil client
Rdp Shortpath pour les réseaux managés	UDP et TCP sont activés dans Windows par défaut. Vous devez activer l’écouteur RDP Shortpath sur les hôtes de session à l’aide de Microsoft Intune ou stratégie de groupe, et autoriser un port entrant à accepter les connexions.	Par défaut (activé)	UDP et TCP sont activés dans Windows par défaut.
RDP Shortpath pour les réseaux managés avec ICE/STUN	UDP et TCP sont activés dans Windows par défaut. Vous n’avez pas besoin d’une configuration supplémentaire, mais vous pouvez limiter la plage de ports utilisée.	Par défaut (activé)	UDP et TCP sont activés dans Windows par défaut.
RDP Shortpath pour les réseaux publics avec ICE/STUN	UDP et TCP sont activés dans Windows par défaut. Vous n’avez pas besoin d’une configuration supplémentaire, mais vous pouvez limiter la plage de ports utilisée.	Par défaut (activé)	UDP et TCP sont activés dans Windows par défaut.
RDP Shortpath pour les réseaux publics via TURN	UDP et TCP sont activés dans Windows par défaut. Vous n’avez pas besoin d’une configuration supplémentaire, mais vous pouvez limiter la plage de ports utilisée.	Par défaut (activé)	UDP et TCP sont activés dans Windows par défaut.

Configuration requise

Avant d’activer RDP Shortpath, vous avez besoin des éléments suivants :

• Un appareil client exécutant l’une des applications suivantes :

  • Windows App sur les plateformes suivantes :

    • Windows
    • macOS
    • iOS/iPadOS
    • Système d’exploitation Android/Chrome (préversion)

  • Application Bureau à distance sur les plateformes suivantes :

    • Windows, version 1.2.3488 ou ultérieure
    • macOS
    • iOS/iPadOS
    • Système d’exploitation Android/Chrome

• Pour RDP Shortpath pour les réseaux managés, vous avez besoin d’une connectivité directe entre le client et l’hôte de session. Cela signifie que le client peut se connecter directement à l’hôte de session sur le port 3390 (par défaut) et n’est pas bloqué par des pare-feu (y compris le Pare-feu Windows) ou un groupe de sécurité réseau. Le peering privé ExpressRoute ou un VPN de site à site ou de point à site (IPsec), comme Azure passerelle VPN, sont des exemples de réseau managé.

• Pour RDP Shortpath pour les réseaux publics, vous avez besoin des éléments suivants :

  • Accès à Internet pour les clients et les hôtes de session. Les hôtes de session nécessitent une connectivité UDP sortante de vos hôtes de session vers Internet ou des connexions aux serveurs STUN et TURN. Pour réduire le nombre de ports requis, vous pouvez limiter la plage de ports utilisée avec STUN et TURN.

  • Assurez-vous que les hôtes de session et les clients peuvent se connecter aux serveurs STUN et TURN. Vous trouverez des détails sur les sous-réseaux IP, les ports et les protocoles utilisés par les serveurs STUN et TURN dans Configuration réseau.

• Si vous souhaitez utiliser Azure PowerShell localement, consultez Utiliser Azure CLI et Azure PowerShell avec Azure Virtual Desktop pour vous assurer que le module PowerShell Az.DesktopVirtualization est installé. Vous pouvez également utiliser l’Cloud Shell Azure.

• Les paramètres permettant de configurer RDP Shortpath à l’aide de Azure PowerShell sont ajoutés dans la préversion de la version 5.2.1 du module Az.DesktopVirtualization. Vous pouvez le télécharger et l’installer à partir du PowerShell Gallery.

Activer l’écouteur RDP Shortpath pour RDP Shortpath pour les réseaux managés

Pour l’option RDP Shortpath pour les réseaux managés, vous devez activer l’écouteur RDP Shortpath sur vos hôtes de session et ouvrir un port entrant pour accepter les connexions. Pour ce faire, utilisez Microsoft Intune ou stratégie de groupe dans un domaine Active Directory.

Importante

Vous n’avez pas besoin d’activer l’écouteur RDP Shortpath pour les trois autres options RDP Shortpath, car ils utilisent ICE/STUN ou TURN pour découvrir les adresses IP disponibles et un port dynamique utilisé pour une connexion.

Sélectionnez l’onglet approprié pour votre scénario.

Microsoft Intune

Pour activer l’écouteur RDP Shortpath sur vos hôtes de session à l’aide de Microsoft Intune :

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. Créez ou modifiez un profil de configuration pour les appareils Windows 10 et versions ultérieures, avec le type de profil catalogue Paramètres.

3. Dans le sélecteur de paramètres, accédez à Modèles >d’administrationComposants> WindowsServices> Bureau àdistance Hôte> de session Bureau à distanceAzure Virtual Desktop.

   

4. Cochez la case Activer RDP Shortpath pour les réseaux managés, puis fermez le sélecteur de paramètres.

5. Développez la catégorie Modèles d’administration , puis basculez le commutateur Activer RDP Shortpath pour les réseaux managés surActivé.

6. Sélectionnez Suivant.

7. Facultatif : sous l’onglet Balises d’étendue , sélectionnez une balise d’étendue pour filtrer le profil. Pour plus d’informations sur les balises d’étendue, voir Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée.

8. Sous l’onglet Affectations , sélectionnez le groupe contenant les ordinateurs fournissant une session à distance que vous souhaitez configurer, puis sélectionnez Suivant.

9. Sous l’onglet Vérifier + créer , passez en revue les paramètres, puis sélectionnez Créer.

10. Vérifiez que le Pare-feu Windows et tous les autres pare-feu que vous avez autorisent le port que vous avez configuré pour le trafic entrant vers vos hôtes de session. Suivez les étapes décrites dans Stratégie de pare-feu pour la sécurité des points de terminaison dans Intune.

11. Une fois que la stratégie s’applique aux ordinateurs qui fournissent une session à distance, redémarrez-les pour que les paramètres prennent effet.

Stratégie de groupe

Pour activer l’écouteur RDP Shortpath sur vos hôtes de session à l’aide de stratégie de groupe dans un domaine Active Directory :

1. Rendez le modèle d’administration pour Azure Virtual Desktop disponible dans votre domaine en suivant les étapes décrites dans Utiliser le modèle d’administration pour Azure Virtual Desktop.

2. Ouvrez la console de gestion stratégie de groupe sur un appareil que vous utilisez pour gérer le domaine Active Directory.

3. Créez ou modifiez une stratégie qui cible les ordinateurs qui fournissent une session à distance que vous souhaitez configurer.

4. Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> WindowsServices>Bureau à distance Hôte> de session Bureau à distanceAzure Virtual Desktop.

   

5. Double-cliquez sur le paramètre de stratégie Activer RDP Shortpath pour les réseaux managés afin de l’ouvrir.

6. Sélectionnez Activé. Vous pouvez également configurer le numéro de port que les hôtes de session Azure Virtual Desktop utilisent pour écouter les connexions entrantes. Le port par défaut est 3390. Une fois que vous avez terminé, sélectionnez OK.

7. Vérifiez que le Pare-feu Windows et tous les autres pare-feu que vous avez autorisent le port que vous avez configuré pour le trafic entrant vers vos hôtes de session. Suivez les étapes décrites dans Configurer des règles avec une stratégie de groupe.

8. Vérifiez que la stratégie est appliquée aux hôtes de session, puis redémarrez-les pour que les paramètres prennent effet.

Vérifier que UDP est activé sur les hôtes de session

Pour les hôtes de session, UDP est activé par défaut dans Windows. Pour case activée le paramètre protocoles de transport RDP dans le Registre Windows afin de vérifier qu’UDP est activé :

1. Ouvrez une invite PowerShell sur un hôte de session.

2. Exécutez les commandes suivantes, qui case activée le Registre et génère le paramètre actuel des protocoles de transport RDP :

   $regKey = Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services"
   
   If ($regKey.PSObject.Properties.name -contains "SelectTransport" -eq "True") {
       If (($regkey | Select-Object -ExpandProperty "SelectTransport") -eq 1) {
           Write-Output "The RDP transport protocols setting has changed. Its value is: Use only TCP."
       } elseif (($regkey | Select-Object -ExpandProperty "SelectTransport") -eq 2) {
           Write-Output "The default RDP transport protocols setting has changed. Its value is: Use either UDP or TCP."
       }
   } else {
       Write-Output "The RDP transport protocols setting hasn't been changed from its default value. UDP is enabled."
   }
   

   La sortie doit ressembler à l’exemple suivant :

   The RDP transport protocols setting hasn't been changed from its default value.
   

   Si la sortie indique que la valeur est Utiliser uniquement TCP, il est probable que la valeur a été modifiée par Microsoft Intune ou stratégie de groupe dans un domaine Active Directory. Vous devez activer UDP de l’une des manières suivantes :

   1. Modifiez la stratégie Microsoft Intune existante ou le stratégie de groupe Active Directory qui cible vos hôtes de session. Le paramètre de stratégie se trouve à l’un des emplacements suivants :

      • Pour Intune stratégie : Modèles >d’administrationComposants> WindowsServices> Bureauà distance Hôte> de session Bureau à distance Connections >Sélectionner les protocoles de transport RDP.

      • Pour stratégie de groupe : Stratégies de configuration>> ordinateurModèles> d’administrationComposants> WindowsServices> Bureauà distance Hôte> de session Bureau à distance Connections>Sélectionner les protocoles de transport RDP.

   2. Définissez le paramètre sur Non configuré ou définissez-le sur Activé, puis pour Sélectionner le type de transport, sélectionnez Utiliser UDP et TCP.

   3. Mettez à jour la stratégie sur les hôtes de session, puis redémarrez-les pour que les paramètres prennent effet.

Configurer les paramètres de mise en réseau du pool d’hôtes

Vous pouvez contrôler avec précision la façon dont RDP Shortpath est utilisé en configurant les paramètres de mise en réseau d’un pool d’hôtes à l’aide de la Portail Azure ou de l’Azure PowerShell. La configuration de RDP Shortpath sur le pool d’hôtes vous permet de définir éventuellement les quatre options RDP Shortpath que vous souhaitez utiliser et qui sont utilisées en même temps que la configuration de l’hôte de session.

En cas de conflit entre le pool d’hôtes et la configuration de l’hôte de session, le paramètre le plus restrictif est utilisé. Par exemple, si RDP Shortpath pour gérer les réseaux est configuré, où l’écouteur est activé sur l’hôte de session et que le pool d’hôtes est défini sur désactivé, RDP Shortpath pour les réseaux managés ne fonctionnera pas.

Sélectionnez l’onglet approprié pour votre scénario.

Portail Azure

Voici comment configurer RDP Shortpath dans les paramètres de mise en réseau du pool d’hôtes à l’aide de la Portail Azure :

1. Connectez-vous au Portail Azure.

2. Dans la barre de recherche, tapez Azure Virtual Desktop et sélectionnez l’entrée de service correspondante.

3. Sélectionnez Pools d’hôtes, puis sélectionnez le pool d’hôtes que vous souhaitez configurer.

4. Sous Paramètres, sélectionnez Mise en réseau, puis RDP Shortpath.

   

5. Pour chaque option, sélectionnez une valeur dans la liste déroulante en fonction de vos besoins. La valeur par défaut correspond à Activé pour chaque option.

6. Sélectionnez Enregistrer.

Azure PowerShell

Voici comment configurer RDP Shortpath dans les paramètres de mise en réseau du pool d’hôtes à l’aide du module PowerShell Az.DesktopVirtualization . Veillez à modifier les <placeholder> valeurs des vôtres.

Conseil

Veillez à utiliser la préversion 5.2.1 du module Az.DesktopVirtualization.

1. Ouvrez Azure Cloud Shell dans le Portail Azure avec le type de terminal PowerShell ou exécutez PowerShell sur votre appareil local.

   • Si vous utilisez Cloud Shell, vérifiez que votre contexte Azure est défini sur l’abonnement que vous souhaitez utiliser.

   • Si vous utilisez PowerShell localement, commencez par vous connecter avec Azure PowerShell, puis vérifiez que votre contexte Azure est défini sur l’abonnement que vous souhaitez utiliser.

2. Obtenez les paramètres RDP Shortpath actuels pour un pool d’hôtes en exécutant les commandes suivantes :

   $parameters = @{
       HostPoolName = "<HostPoolName>"
       ResourceGroupName = "<ResourceGroupName>"
   }
   
   Get-AzWvdHostPool @parameters | FL ManagedPrivateUdp, DirectUdp, PublicUdp, RelayUdp
   

   La sortie doit ressembler à l’exemple suivant :

   ManagedPrivateUdp : Default
   DirectUdp         : Default
   PublicUdp         : Default
   RelayUdp          : Default
   

   Les paramètres PowerShell disponibles pour RDP Shortpath correspondent aux options comme suit. Les valeurs valides pour chacun de ces paramètres sont Default, Enabled ou Disabled. La valeur par défaut correspond à ce que Microsoft lui définit, dans ce cas Activé pour chaque option.

   Paramètre PowerShell	Option RDP Shortpath	'Default' signifie
   ManagedPrivateUdp	Rdp Shortpath pour les réseaux managés	Activé
   DirectUdp	RDP Shortpath pour les réseaux managés avec ICE/STUN	Activé
   PublicUdp	RDP Shortpath pour les réseaux publics avec ICE/STUN	Activé
   RelayUdp	RDP Shortpath pour les réseaux publics via TURN	Activé

3. Utilisez l’applet de Update-AzWvdHostPool commande avec les exemples suivants pour configurer RDP Shortpath.

   • Pour conserver RDP Shortpath pour les réseaux managés comme valeur par défaut, mais désactiver toutes les options qui utilisent STUN ou TURN, exécutez les commandes suivantes :

     $parameters = @{
            Name = "<HostPoolName>"
            ResourceGroupName = "<ResourceGroupName>"
            ManagedPrivateUdp = "Default"
            DirectUdp = "Disabled"
            PublicUdp = "Disabled"
            RelayUdp = "Disabled"
     }
     
     Update-AzWvdHostPool @parameters
     

   • Pour activer les deux options de RDP Shortpath pour les réseaux publics et désactiver les autres options, exécutez les commandes suivantes :

     $parameters = @{
            Name = "<HostPoolName>"
            ResourceGroupName = "<ResourceGroupName>"
            ManagedPrivateUdp = "Disabled"
            DirectUdp = "Disabled"
            PublicUdp = "Enabled"
            RelayUdp = "Enabled"
     }
     
     Update-AzWvdHostPool @parameters
     

   • Pour utiliser RDP Shortpath uniquement pour les réseaux publics via TURN et désactiver les autres options, exécutez les commandes suivantes.

     $parameters = @{
            Name = "<HostPoolName>"
            ResourceGroupName = "<ResourceGroupName>"
            ManagedPrivateUdp = "Disabled"
            DirectUdp = "Disabled"
            PublicUdp = "Disabled"
            RelayUdp = "Enabled"
     }
     
     Update-AzWvdHostPool @parameters
     

4. Une fois que vous avez apporté des modifications, réexécutez les commandes de l’étape 2 pour vérifier que les paramètres sont appliqués comme prévu.

Vérifier que UDP est activé sur les appareils clients Windows

Pour les appareils clients Windows, UDP est activé par défaut. Pour case activée dans le Registre Windows afin de vérifier qu’UDP est activé :

1. Ouvrez une invite PowerShell sur un appareil client Windows.

2. Exécutez les commandes suivantes, qui case activée le Registre et génère le paramètre actuel :

   $regKey = Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\Client"
   
   If ($regKey.PSObject.Properties.name -contains "fClientDisableUDP" -eq "True") {
       If (($regkey | Select-Object -ExpandProperty "fClientDisableUDP") -eq 1) {
           Write-Output "The default setting has changed. UDP is disabled."
       } elseif (($regkey | Select-Object -ExpandProperty "fClientDisableUDP") -eq 0) {
           Write-Output "The default setting has changed, but UDP is enabled."
       }
   } else {
       Write-Output "The default setting hasn't been changed from its default value. UDP is enabled."
   }
   

   La sortie doit ressembler à l’exemple suivant :

   The default setting hasn't been changed from its default value. UDP is enabled.
   

   Si la sortie indique que UDP est désactivé, il est probable que la valeur a été modifiée par Microsoft Intune ou stratégie de groupe dans un domaine Active Directory. Vous devez activer UDP de l’une des manières suivantes :

   1. Modifiez la stratégie Microsoft Intune existante ou le stratégie de groupe Active Directory qui cible vos hôtes de session. Le paramètre de stratégie se trouve à l’un des emplacements suivants :

      • Pour Intune stratégie : Modèles >d’administrationComposants> WindowsServices> Bureauà distance Client De connexion> Bureau à distanceDésactiver UDP sur le client.

      • Pour stratégie de groupe : Stratégies de configuration>> ordinateurModèles> d’administrationComposants> WindowsServices> Bureauà distance Client> De connexion Bureau à distanceDésactiver UDP sur le client.

   2. Définissez le paramètre sur Non configuré ou définissez-le sur Désactivé.

   3. Mettez à jour la stratégie sur les appareils clients, puis redémarrez-les pour que les paramètres prennent effet.

Vérifier la connectivité du serveur STUN/TURN de l’appareil client et le type NAT

Vous pouvez vérifier qu’un appareil client peut se connecter aux points de terminaison STUN/TURN, si NAT est utilisé et son type, et vérifier que la fonctionnalité UDP de base fonctionne en exécutant l’exécutable avdnettest.exe. Voici un lien de téléchargement vers la dernière version de avdnettest.exe.

Vous pouvez exécuter avdnettest.exe en double-cliquant sur le fichier ou en l’exécutant à partir de la ligne de commande. La sortie ressemble à cette sortie si la connectivité réussit :

Checking DNS service ... OK
Checking TURN support ... OK
Checking ACS server 20.202.68.109:3478 ... OK
Checking ACS server 20.202.21.66:3478 ... OK

You have access to TURN servers and your NAT type appears to be 'cone shaped'.
Shortpath for public networks is very likely to work on this host.

Si votre environnement utilise la NAT symétrique, vous pouvez utiliser une connexion relayée avec TURN. Pour plus d’informations que vous pouvez utiliser pour configurer des pare-feu et des groupes de sécurité réseau, consultez Configurations réseau pour RDP Shortpath.

Facultatif : Activer la prise en charge de Teredo

Bien qu’il ne soit pas obligatoire pour RDP Shortpath, Teredo ajoute des candidats de traversée NAT supplémentaires et augmente les chances de réussite de la connexion RDP Shortpath dans les réseaux IPv4 uniquement. Vous pouvez activer Teredo sur les hôtes de session et les clients avec PowerShell :

1. Ouvrez une invite PowerShell en tant qu’administrateur.

2. Exécutez la commande suivante :

   Set-NetTeredoConfiguration -Type Enterpriseclient
   

3. Redémarrez les hôtes de session et les appareils clients pour que les paramètres prennent effet.

Limiter la plage de ports utilisée avec STUN et TURN

Par défaut, les options RDP Shortpath qui utilisent STUN ou TURN utilisent une plage de ports éphémère de 49152 à 65535 pour établir un chemin d’accès direct entre le serveur et le client. Toutefois, vous pouvez configurer vos hôtes de session pour utiliser une plage de ports plus petite et prévisible.

Vous pouvez définir une plage par défaut plus petite de ports 38300 à 39299, ou vous pouvez spécifier votre propre plage de ports à utiliser. Lorsqu’il est activé sur vos hôtes de session, Windows App ou l’application Bureau à distance sélectionne de manière aléatoire le port dans la plage que vous spécifiez pour chaque connexion. Si cette plage est épuisée, les connexions reviennent à l’aide de la plage de ports par défaut (49152-65535).

Lorsque vous choisissez la taille de base et de pool, tenez compte du nombre de ports dont vous avez besoin. La plage doit être comprise entre 1024 et 49151, après quoi commence la plage de ports éphémères.

Vous pouvez limiter la plage de ports à l’aide de Microsoft Intune ou stratégie de groupe dans un domaine Active Directory. Sélectionnez l’onglet approprié pour votre scénario.

Microsoft Intune

Pour limiter la plage de ports utilisée avec STUN et TURN à l’aide de Microsoft Intune :

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. Créez ou modifiez un profil de configuration pour les appareils Windows 10 et versions ultérieures, avec le type de profil catalogue Paramètres.

3. Dans le sélecteur de paramètres, accédez à Modèles >d’administrationComposants> WindowsServices> Bureau àdistance Hôte> de session Bureau à distanceAzure Virtual Desktop.

   

4. Cochez la case Utiliser la plage de ports pour RDP Shortpath pour les réseaux non gérés, puis fermez le sélecteur de paramètres.

5. Développez la catégorie Modèles d’administration, puis basculez le commutateur Utiliser la plage de ports pour RDP Shortpath pour les réseaux non managés sur Activé.

6. Entrez des valeurs pour Taille du pool de ports (Appareil) et Port de base UDP (Appareil). Les valeurs par défaut sont respectivement 1000 et 38300 .

7. Sélectionnez Suivant.

8. Facultatif : sous l’onglet Balises d’étendue , sélectionnez une balise d’étendue pour filtrer le profil. Pour plus d’informations sur les balises d’étendue, voir Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée.

9. Sous l’onglet Affectations , sélectionnez le groupe contenant les ordinateurs fournissant une session à distance que vous souhaitez configurer, puis sélectionnez Suivant.

10. Sous l’onglet Vérifier + créer , passez en revue les paramètres, puis sélectionnez Créer.

11. Une fois que la stratégie s’applique aux ordinateurs qui fournissent une session à distance, redémarrez-les pour que les paramètres prennent effet.

Stratégie de groupe

Pour limiter la plage de ports utilisée avec STUN et TURN à l’aide de stratégie de groupe dans un domaine Active Directory :

1. Rendez le modèle d’administration pour Azure Virtual Desktop disponible dans votre domaine en suivant les étapes décrites dans Utiliser le modèle d’administration pour Azure Virtual Desktop.

2. Ouvrez la console de gestion stratégie de groupe sur un appareil que vous utilisez pour gérer le domaine Active Directory.

3. Créez ou modifiez une stratégie qui cible les ordinateurs qui fournissent une session à distance que vous souhaitez configurer.

4. Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> WindowsServices>Bureau à distance Hôte> de session Bureau à distanceAzure Virtual Desktop.

   

5. Double-cliquez sur le paramètre de stratégie Utiliser la plage de ports pour RDP Shortpath pour les réseaux non managés afin de l’ouvrir.

6. Sélectionnez Activé. Entrez les valeurs du port de base UDP (appareil) et de la taille du pool de ports (appareil). Les valeurs par défaut sont respectivement 38300 et 1 000 . Une fois que vous avez terminé, sélectionnez OK.

7. Vérifiez que la stratégie est appliquée aux hôtes de session, puis redémarrez-les pour que les paramètres prennent effet.

Vérifier que RDP Shortpath fonctionne

Une fois que vous avez configuré RDP Shortpath, connectez-vous à une session à distance à partir d’un appareil client et case activée la connexion utilise UDP. Vous pouvez vérifier le transport utilisé à l’aide de la boîte de dialogue Informations de connexion à partir de Windows App ou de l’application Bureau à distance, observateur d'événements journaux sur l’appareil client ou à l’aide de Log Analytics dans le Portail Azure.

Sélectionnez l’onglet approprié pour votre scénario.

Informations de connexion

Pour vous assurer que les connexions utilisent RDP Shortpath, vous pouvez case activée les informations de connexion sur le client :

1. Connectez-vous à une session à distance.

2. Ouvrez la boîte de dialogue Informations de connexion en accédant à la barre d’outils Connexion en haut de l’écran et sélectionnez l’icône de force du signal, comme illustré dans la capture d’écran suivante :

   

3. Vous pouvez vérifier dans la sortie que UDP est activé, comme illustré dans les captures d’écran suivantes :

   • Si une connexion directe avec RDP Shortpath pour les réseaux managés est utilisée, le protocole de transport a la valeur UDP (Private Network) :

     

   • Si STUN est utilisé, le protocole de transport a la valeur UDP :

     

   • Si TURN est utilisé, le protocole de transport a la valeur UDP (Relay) :

     

Observateur d'événements

Pour vous assurer que les connexions utilisent RDP Shortpath, vous pouvez case activée les journaux des événements sur l’hôte de session :

1. Connectez-vous à une session à distance.

2. Sur l’hôte de session, ouvrez observateur d'événements.

3. Accédezà Journaux >des applications et des servicesMicrosoft >Windows>RemoteDesktopServices-RdpCoreCDV>Operational.

4. Filtrez par ID d’événement 135. Connections à l’aide de l’état RDP Shortpath, le type de transport utilise UDP avec le message La connexion multi-transport terminée pour le tunnel : 1, son type de transport défini sur UDP.

Log Analytics

Si vous utilisez Azure Log Analytics, vous pouvez surveiller les connexions en interrogeant la table WVDConnections. Une colonne nommée UdpUse indique si UDP est utilisé pour une connexion.

Les valeurs possibles sont les suivantes :

• 1 - La connexion utilise RDP Shortpath pour les réseaux managés.

• 2 - La connexion utilise RDP Shortpath pour les réseaux publics directement à l’aide de STUN.

• 4 - La connexion utilise RDP Shortpath pour les réseaux publics et est relayée à l’aide de TURN.

Pour toute autre valeur, la connexion n’utilise pas UDP et est connectée à l’aide de TCP à la place.

La requête suivante vous permet d’examiner les informations de connexion. Vous pouvez exécuter cette requête dans l’éditeur de requête Log Analytics. Lorsque vous exécutez cette requête, remplacez par user@contoso.com l’UPN de l’utilisateur que vous souhaitez rechercher :

let Events = WVDConnections | where UserName == "user@contoso.com" ;
Events
| where State == "Connected"
| project CorrelationId, UserName, ResourceAlias, StartTime=TimeGenerated, UdpUse, SessionHostName, SessionHostSxSStackVersion
| join (Events
| where State == "Completed"
| project EndTime=TimeGenerated, CorrelationId, UdpUse)
on CorrelationId
| project StartTime, Duration = EndTime - StartTime, ResourceAlias, UdpUse, SessionHostName, SessionHostSxSStackVersion
| sort by StartTime asc

Vous pouvez répertorier toutes les sessions qui utilisent UDP en exécutant la requête Log Analytics suivante :

WVDCheckpoints 
| where Name contains "Shortpath"

Contenu connexe

Si vous rencontrez des difficultés pour établir une connexion à l’aide du transport RDP Shortpath pour les réseaux publics, consultez Résoudre les problèmes liés à RDP Shortpath.