Configurer RDP Shortpath pour Azure Virtual Desktop

Important

Pour l’instant, l’utilisation de la fonctionnalité RDP Shortpath pour les réseaux publics avec TURN pour Azure Virtual Desktop est en PRÉVERSION. Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou plus généralement non encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.

RDP Shortpath est une fonctionnalité d’Azure Virtual Desktop qui établit un transport UDP direct entre un client Bureau à distance Windows pris en charge et un hôte de session. Cet article explique comment configurer RDP Shortpath pour les réseaux managés et les réseaux publics. Pour plus d’informations, consultez RDP Shortpath.

Important

RDP Shortpath n’est disponible que dans le cloud public Azure.

Prérequis

Avant de pouvoir activer RDP Shortpath, vous devez respecter les conditions préalables. Sélectionnez un onglet ci-dessous pour votre scénario.

  • Un appareil client exécutant le client Bureau à distance pour Windows, version 1.2.3488 ou ultérieure. Actuellement, les clients non-Windows ne sont pas pris en charge.

  • Connectivité avec ligne de vue directe entre le client et l’hôte de session. Une connectivité avec ligne de vue signifie que le client peut se connecter directement à l’hôte de session sur le port 3390 (valeur par défaut) sans être bloqué par des pare-feu (y compris le pare-feu Windows) ou un groupe de sécurité réseau, et à l’aide d’un réseau managé comme :

Activer RDP Shortpath

Les étapes permettant d’activer RDP Shortpath diffèrent pour les hôtes de session selon que vous souhaitez l’activer pour les réseaux managés ou les réseaux publics, mais elles sont les mêmes pour les clients. Sélectionnez un onglet ci-dessous pour votre scénario.

Hôtes de session

Pour activer RDP Shortpath pour les réseaux managés, vous devez activer l’écouteur RDP Shortpath sur les hôtes de votre session. Pour cela, vous pouvez utiliser une stratégie de groupe, soit de manière centralisée à partir de votre domaine pour les hôtes de session joints à un domaine Active Directory (AD), soit localement pour les hôtes de session joints à Microsoft Entra ID.

  1. Téléchargez le modèle d’administration Azure Virtual Desktop et extrayez le contenu du fichier .cab et de l’archive zip.

  2. Selon que vous souhaitez configurer une stratégie de groupe de manière centralisée à partir de votre domaine AD ou localement pour chaque hôte de session :

    1. Domaine AD : Copiez et collez le fichier terminalserver-avd.admx dans le store central de votre domaine, par exemple \\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions, où contoso.com est votre nom de domaine. Copiez ensuite le fichier en-us\terminalserver-avd.adml dans le sous-dossier en-us.

    2. Ouvrez la console de gestion des stratégies de groupe (GPMC) et créez ou modifiez une stratégie qui cible vos hôtes de session.

    3. Localement : Copiez et collez le fichier terminalserver-avd.admx dans %windir%\PolicyDefinitions. Copiez ensuite le fichier en-us\terminalserver-avd.adml dans le sous-dossier en-us.

    4. Ouvrez l’éditeur de stratégie de groupe locale sur l’hôte de session.

  3. Accédez àConfiguration de l’ordinateur>Modèles d’administration>Composants Windows>Services Bureau à distance>Hôte de session Bureau à distance>Azure Virtual Desktop. Vous devriez voir les paramètres de la stratégie pour Azure Virtual Desktop, comme illustré dans la capture d’écran suivante :

    Screenshot of the Group Policy Editor showing Azure Virtual Desktop policy settings.

  4. Ouvrez le paramètre de stratégie Activer RDP Shortpath pour les réseaux managés et définissez-le sur Activé. Si vous activez ce paramètre de stratégie, vous pouvez également configurer le numéro de port que les hôtes de session Azure Virtual Desktop utiliseront pour écouter les connexions entrantes. Le numéro de port par défaut est 3390.

  5. Si vous devez configurer le pare-feu Windows pour autoriser le port 3390, exécutez l’une des commandes suivantes, selon que vous souhaitez configurer le pare-feu Windows à l’aide d’une stratégie de groupe de manière centralisée à partir de votre domaine AD ou localement pour chaque hôte de session :

    1. Domaine AD : Ouvrez une invite PowerShell avec élévation de privilèges et exécutez la commande suivante, en remplaçant la valeur $domainName par votre propre nom de domaine, la valeur $writableDC par le nom d’hôte d’un contrôleur de domaine accessible en écriture et la valeur $policyName par le nom d’un objet de stratégie de groupe existant :

      $domainName = "contoso.com"
      $writableDC = "dc01"
      $policyName = "RDP Shortpath Policy"
      $gpoSession = Open-NetGPO -PolicyStore "$domainName\$policyName" -DomainController $writableDC
      
      New-NetFirewallRule -DisplayName 'Remote Desktop - RDP Shortpath (UDP-In)' -Action Allow -Description 'Inbound rule for the Remote Desktop service to allow RDP Shortpath traffic. [UDP 3390]' -Group '@FirewallAPI.dll,-28752' -Name 'RemoteDesktop-UserMode-In-RDPShortpath-UDP' -Profile Domain, Private -Service TermService -Protocol UDP -LocalPort 3390 -Program '%SystemRoot%\system32\svchost.exe' -Enabled:True -GPOSession $gpoSession
      
      Save-NetGPO -GPOSession $gpoSession
      
    2. Localement : Ouvrez une invite de commandes PowerShell avec élévation de privilèges et exécutez la commande suivante :

      New-NetFirewallRule -DisplayName 'Remote Desktop - RDP Shortpath (UDP-In)'  -Action Allow -Description 'Inbound rule for the Remote Desktop service to allow RDP Shortpath traffic. [UDP 3390]' -Group '@FirewallAPI.dll,-28752' -Name 'RemoteDesktop-UserMode-In-RDPShortpath-UDP' -PolicyStore PersistentStore -Profile Domain, Private -Service TermService -Protocol UDP -LocalPort 3390 -Program '%SystemRoot%\system32\svchost.exe' -Enabled:True
      
  6. Sélectionnez OK et redémarrez vos hôtes de session pour appliquer le paramètre de stratégie.

Clients Windows

Les étapes pour vérifier que vos clients sont correctement configurés sont identiques, que vous souhaitiez utiliser RDP Shortpath pour des réseaux managés ou des réseaux publics. Pour cela, vous pouvez utiliser une stratégie de groupe pour les clients managés joints à un domaine Active Directory, Intune pour des clients managés joints à Microsoft Entra ID et inscrits dans Intune, ou une stratégie de groupe locale pour les clients qui ne sont pas managés.

Remarque

Par défaut, dans Windows, le trafic RDP tente d’utiliser à la fois les protocoles TCP et UDP. Vous n’aurez besoin de suivre ces étapes que si le client a déjà été configuré pour utiliser TCP uniquement.

Activer RDP Shortpath sur les clients Windows managés et non managés à l’aide d’une stratégie de groupe

Pour configurer des clients Windows managés et non managés à l’aide d’une stratégie de groupe :

  1. Selon que vous souhaitez configurer des clients managés ou non managés :

    1. Pour les clients managés, ouvrez la console de gestion des stratégies de groupe (GPMC) et créez ou modifiez une stratégie qui cible vos clients.

    2. Pour les clients non managés, ouvrez l’éditeur de stratégie de groupe locale sur le client.

  2. Accédez àConfiguration de l’ordinateur>Modèles d’administration>Composants Windows>Services Bureau à distance>Client Connexion Bureau à distance.

  3. Ouvrez le paramètre de stratégie Désactiver UDP sur le client et définissez-le sur Désactivé.

  4. Sélectionnez OK et redémarrez vos clients pour appliquer le paramètre de stratégie.

Activer RDP Shortpath sur les clients Windows à l’aide d’Intune

Pour configurer des clients Windows managés à l’aide d’Intune :

  1. Connectez-vous au centre d’administration Microsoft Intune.

  2. Créez ou modifiez un profil de configuration pour les appareils exécutant Windows 10 et versions ultérieures à l’aide de modèles d’administration.

  3. Accédez àConfiguration de l’ordinateur>Composants Windows>Services Bureau à distance>Client Connexion Bureau à distance.

  4. Sélectionnez le paramètre Désactiver UDP sur le client et définissez-le sur Désactivé.

  5. Sélectionnez OK, puis Suivant.

  6. Appliquez le profil de configuration, puis redémarrez vos clients.

Prise en charge de Teredo

Bien qu’il ne soit pas nécessaire pour RDP Shortpath, Teredo ajoute des candidats de traversée NAT supplémentaires et augmente les chances de réussite de la connexion RDP Shortpath dans les réseaux IPv4 uniquement. Vous pouvez activer Teredo sur les hôtes de session et les clients en exécutant la commande suivante à partir d’une invite PowerShell avec élévation de privilèges :

Set-NetTeredoConfiguration -Type Enterpriseclient

Vérifier que RDP Shortpath fonctionne

Ensuite, vous devez vérifier que vos clients se connectent en utilisant RDP Shortpath. Vous pouvez vérifier le transport avec la boîte de dialogue Informations de connexion à partir du client Bureau à distance ou à l’aide de Log Analytics.

Boîte de dialogue Informations de connexion

Pour vous assurer que les connexions utilisent RDP Shortpath, vous pouvez vérifier les informations de connexion sur le client. Sélectionnez un onglet ci-dessous pour votre scénario.

  1. Connectez-vous à Azure Virtual Desktop.

  2. Ouvrez la boîte de dialogue Informations de connexion en accédant à la barre d’outils Connexion en haut de l’écran et en sélectionnant l’icône en forme de puissance de signal, comme illustré dans la capture d’écran suivante :

    Screenshot of Remote Desktop Connection Bar of Remote Desktop client.

  3. Vous pouvez vérifier dans les résultats que le protocole de transport est UDP (Private Network) (« UDP (réseau privé) ») comme illustré dans la capture d’écran suivante :

    Screenshot of Remote Desktop Connection Info dialog.

Observateur d'événements

Pour vous assurer que les connexions utilisent RDP Shortpath, vous pouvez vérifier les journaux d’événements sur l’hôte de session :

  1. Connectez-vous à Azure Virtual Desktop.

  2. Sur l’hôte de session, ouvrez Observateur d'événements.

  3. Accédez à Journaux des applications et services>Microsoft>Windows>RemoteDesktopServices-RdpCoreCDV>Opérationnel.

  4. Filtrer par ID d’événement 135. Les connexions utilisant RDP Shortpath indiquent que le type de transport utilise UDP avec le message The multi-transport connection finished for tunnel: 1, its transport type set to UDP.

Log Analytics

Si vous utilisez Azure Log Analytics, vous pouvez superviser les connexions en interrogeant la table WVDConnections. Une colonne nommée UdpUse indique si la pile RDP d’Azure Virtual Desktop utilise le protocole UDP sur la connexion utilisateur actuelle. Les valeurs possibles sont les suivantes :

  • 1 - La connexion utilisateur utilise RDP Shortpath pour les réseaux managés.

  • 2 – La connexion utilisateur utilise RDP Shortpath pour les réseaux publics qui utilisent le protocole STUN directement.

  • 4 – La connexion utilisateur utilise RDP Shortpath pour les réseaux publics qui utilisent le protocole TURN indirectement.

  • Pour toute autre valeur, la connexion utilisateur n’utilise pas RDP Shortpath et est connectée en utilisant le TCP.

La liste de requêtes suivante vous permet de consulter les informations de connexion. Vous pouvez exécuter cette requête dans l’éditeur de requête Log Analytics. Pour chaque requête, remplacez user@contoso.com par l’UPN de l’utilisateur que vous souhaitez rechercher.

let Events = WVDConnections | where UserName == "user@contoso.com" ;
Events
| where State == "Connected"
| project CorrelationId, UserName, ResourceAlias, StartTime=TimeGenerated, UdpUse, SessionHostName, SessionHostSxSStackVersion
| join (Events
| where State == "Completed"
| project EndTime=TimeGenerated, CorrelationId, UdpUse)
on CorrelationId
| project StartTime, Duration = EndTime - StartTime, ResourceAlias, UdpUse, SessionHostName, SessionHostSxSStackVersion
| sort by StartTime asc

Vous pouvez vérifier si RDP Shortpath est activé pour une session utilisateur spécifique en exécutant la requête Log Analytics suivante :

WVDCheckpoints 
| where Name contains "Shortpath"

Pour en savoir plus sur les informations d’erreur que vous pouvez voir journalisées dans Log Analytics,

Désactiver RDP Shortpath

Les étapes permettant de désactiver RDP Shortpath diffèrent pour les hôtes de session selon que vous souhaitez le désactiver uniquement pour les réseaux managés, les réseaux publics uniquement ou les deux. Sélectionnez un onglet ci-dessous pour votre scénario.

Hôtes de session

Pour désactiver RDP Shortpath pour les réseaux managés sur les hôtes de votre session, vous devez désactiver l’écouteur RDP Shortpath. Pour cela, vous pouvez utiliser une stratégie de groupe, soit de manière centralisée à partir de votre domaine pour les hôtes de session joints à un domaine AD, soit localement pour les hôtes de session joints à Microsoft Entra ID.

Vous pouvez également bloquer le port 3390 (par défaut) sur vos hôtes de session sur un pare-feu ou un groupe de sécurité réseau.

  1. Selon que vous souhaitez configurer une stratégie de groupe de manière centralisée à partir de votre domaine ou localement pour chaque hôte de session :

    1. Domaine AD : Ouvrez la console de gestion des stratégies de groupe (GPMC) et modifiez une stratégie existante qui cible vos hôtes de session.

    2. Localement : Ouvrez l’éditeur de stratégie de groupe locale sur l’hôte de session.

  2. Accédez àConfiguration de l’ordinateur>Modèles d’administration>Composants Windows>Services Bureau à distance>Hôte de session Bureau à distance>Azure Virtual Desktop. Vous devriez voir les paramètres de stratégie pour Azure Virtual Desktop à condition de disposer du modèle d’administration lorsque vous avez activé RDP Shortpath pour les réseaux managés.

  3. Ouvrez le paramètre de stratégie Activer RDP Shortpath pour les réseaux managés et définissez-le sur Non configuré.

  4. Sélectionnez OK et redémarrez vos hôtes de session pour appliquer le paramètre de stratégie.

Clients Windows

Sur les appareils clients, vous pouvez désactiver RDP Shortpath pour les réseaux managés et les réseaux publics en configurant le trafic RDP uniquement pour utiliser TCP. Pour cela, vous pouvez utiliser une stratégie de groupe pour les clients managés joints à un domaine Active Directory, Intune pour des clients managés joints à (Microsoft Entra ID) et inscrits dans Intune, ou une stratégie de groupe locale pour les clients qui ne sont pas managés.

Important

Si vous avez précédemment défini le trafic RDP pour tenter d’utiliser à la fois les protocoles TCP et UDP à l’aide d’une stratégie de groupe ou d’Intune, vérifiez que les paramètres ne sont pas en conflit.

Désactiver RDP Shortpath sur les clients Windows managés et non managés à l’aide d’une stratégie de groupe

Pour configurer des clients Windows managés et non managés à l’aide d’une stratégie de groupe :

  1. Selon que vous souhaitez configurer des clients managés ou non managés :

    1. Pour les clients managés, ouvrez la console de gestion des stratégies de groupe (GPMC) et créez ou modifiez une stratégie qui cible vos clients.

    2. Pour les clients non managés, ouvrez l’éditeur de stratégie de groupe locale sur le client.

  2. Accédez àConfiguration de l’ordinateur>Modèles d’administration>Composants Windows>Services Bureau à distance>Client Connexion Bureau à distance.

  3. Ouvrez le paramètre de stratégie Désactiver UDP sur le client et définissez-le sur Activé.

  4. Sélectionnez OK et redémarrez vos clients pour appliquer le paramètre de stratégie.

Désactiver RDP Shortpath sur les clients Windows à l’aide d’Intune

Pour configurer des clients Windows managés à l’aide d’Intune :

  1. Connectez-vous au centre d’administration Microsoft Intune.

  2. Créez ou modifiez un profil de configuration pour les appareils exécutant Windows 10 et versions ultérieures à l’aide de modèles d’administration.

  3. Accédez à Composants Windows>Services Bureau à distance>Client Connexion Bureau à distance.

  4. Sélectionnez le paramètre Désactiver UDP sur le client et définissez-le sur Activé. Sélectionnez OK, puis Suivant.

  5. Appliquez le profil de configuration, puis redémarrez vos clients.

Étapes suivantes