Partager via

Présentation de la connectivité réseau Azure Virtual Desktop

Azure Virtual Desktop héberge des sessions client sur des hôtes de session s’exécutant sur Azure. Microsoft gère des parties des services au nom du client et fournit des points de terminaison sécurisés pour la connexion des clients et des hôtes de session. Le diagramme suivant fournit une vue d’ensemble générale des connexions réseau utilisées par Azure Virtual Desktop.

Diagramme de la Connections réseau Azure Virtual Desktop

Connectivité de session

Azure Virtual Desktop utilise le protocole SBD (Services Bureau à distance) pour fournir des fonctionnalités d’affichage et d’entrée à distance sur les connexions réseau. RDP a été initialement publié avec Windows NT 4.0 Terminal Server Edition et a été en constante évolution avec chaque version de Microsoft Windows et Windows Server. Depuis le début, RDP s’est développé pour être indépendant de sa pile de transport sous-jacente, et aujourd’hui il prend en charge plusieurs types de transport.

Transport de connexion inversée

Azure Virtual Desktop utilise le transport de connexion inversée pour établir la session à distance et pour transporter le trafic RDP. Contrairement aux déploiements des services Bureau à distance locaux, le transport de connexion inverse n’utilise pas d’écouteur TCP pour recevoir les connexions RDP entrantes. Au lieu de cela, il utilise une connectivité sortante vers l’infrastructure Azure Virtual Desktop via la connexion HTTPS.

Canal de communication de l’hôte de session

Au démarrage de l’hôte de session Azure Virtual Desktop, le service Remote Desktop Agent Loader établit le canal de communication persistant du répartiteur Azure Virtual Desktop. Ce canal de communication est superposé à une connexion TLS (Transport Layer Security) sécurisée et sert de bus pour l’échange de messages de service entre l’hôte de session et l’infrastructure Azure Virtual Desktop.

Séquence de connexion cliente

La séquence de connexion cliente est la suivante :

  1. L’utilisateur client Azure Virtual Desktop pris en charge s’abonne à l’espace de travail Azure Virtual Desktop.

  2. Microsoft Entra authentifie l’utilisateur et retourne le jeton utilisé pour énumérer les ressources disponibles pour un utilisateur.

  3. Le client transmet le jeton au service d’abonnement de flux Azure Virtual Desktop.

  4. Le service d’abonnement au flux Azure Virtual Desktop valide le jeton.

  5. Le service d’abonnement au flux Azure Virtual Desktop transmet la liste des bureaux et applications disponibles au client sous la forme d’une configuration de connexion signée numériquement.

  6. Le client stocke la configuration de connexion pour chaque ressource disponible dans un ensemble de .rdp fichiers.

  7. Lorsqu’un utilisateur sélectionne la ressource pour se connecter, le client utilise le fichier associé .rdp et établit une connexion TLS 1.2 sécurisée à une passerelle Azure Virtual Desktop instance à l’aide d’Azure Front Door et transmet les informations de connexion. La latence de toutes les passerelles est évaluée et les passerelles sont placées dans des groupes de 10 ms. La passerelle avec la latence la plus faible, puis le plus petit nombre de connexions existantes est choisie.

  8. La passerelle Azure Virtual Desktop valide la demande et demande au répartiteur Azure Virtual Desktop d’orchestrer la connexion.

  9. Le répartiteur Azure Virtual Desktop identifie l’hôte de session et utilise le canal de communication persistant précédemment établi pour initialiser la connexion.

  10. La pile Bureau à distance lance une connexion TLS 1.2 à la même instance de passerelle Azure Virtual Desktop que celle utilisée par le client.

  11. Une fois le client et l’hôte de session connectés à la passerelle, la passerelle commence à relayer les données entre les deux points de terminaison. Cette connexion établit le transport de connexion inverse de base pour la connexion RDP via un tunnel imbriqué, en utilisant la version TLS mutuellement prise en charge et activée entre le client et l’hôte de session, jusqu’à TLS 1.3.

  12. Une fois le transport de base défini, le client démarre l’établissement d’une liaison RDP.

Sécurité de la connexion

TLS est utilisé pour toutes les connexions. La version utilisée dépend de la connexion établie et des fonctionnalités du client et de l’hôte de session :

  • Pour toutes les connexions lancées à partir des clients et hôtes de session vers les composants d’infrastructure Azure Virtual Desktop, TLS 1.2 est utilisé. Azure Virtual Desktop utilise les mêmes chiffrements TLS 1.2 qu’Azure Front Door. Il est important de s’assurer que les ordinateurs clients et les hôtes de session peuvent utiliser ces chiffrements.

  • Pour le transport de connexion inverse, le client et l’hôte de session se connectent à la passerelle Azure Virtual Desktop. Une fois la connexion TCP établie pour le transport de base, le client ou l’hôte de session valide le certificat de la passerelle Azure Virtual Desktop. RDP établit ensuite une connexion TLS imbriquée entre le client et l’hôte de session à l’aide des certificats de l’hôte de session. La version de TLS utilise la version TLS mutuellement prise en charge et activée entre le client et l’hôte de session, jusqu’à TLS 1.3. TLS 1.3 est pris en charge à partir de Windows 11 (21H2) et dans Windows Server 2022. Pour plus d’informations, consultez Windows 11 prise en charge de TLS. Pour les autres systèmes d’exploitation, case activée avec le fournisseur du système d’exploitation pour la prise en charge de TLS 1.3.

Par défaut, le certificat utilisé pour le chiffrement RDP est auto-généré par le système d’exploitation pendant le déploiement. Vous pouvez également déployer des certificats gérés de manière centralisée émis par l’autorité de certification d’entreprise. Pour plus d’informations sur la configuration des certificats, consultez Configurations de certificat de l’écouteur Bureau à distance.

Étapes suivantes