Comprendre la connectivité du réseau Azure Virtual Desktop

  • 10 minutes

Azure Virtual Desktop utilise RDP (Remote Desktop Protocol) pour fournir des fonctionnalités de saisie et d’affichage à distance sur les connexions réseau.

Le flux de données de connexion pour Azure Virtual Desktop démarre avec une recherche DNS pour le centre de données Azure le plus proche.

L’illustration suivante montre le processus de connexion en cinq étapes pour Azure Virtual Desktop s’exécutant dans Azure.

Diagram showing the five-step connection process for Azure Virtual Desktop running in Azure.

  1. Lorsqu’il est authentifié dans Microsoft Entra ID, un jeton est renvoyé au client Services Bureau à distance.
  2. La passerelle vérifie le jeton avec le répartiteur de connexions.
  3. Le répartiteur interroge la base de données Azure SQL pour obtenir les ressources affectées à l’utilisateur.
  4. La passerelle et le répartiteur sélectionnent l’hôte de session pour le client connecté.
  5. L’hôte de session crée une connexion inversée au client à l’aide de la passerelle Azure Virtual Desktop.

Les ports d’entrée ne sont pas ouverts et la passerelle joue le rôle de proxy inverse intelligent. La passerelle gère toute la connectivité de la session.

Azure Virtual Desktop héberge le client sur les hôtes de session qui s’exécutent sur Azure. Microsoft gère des parties des services au nom du client et fournit des points de terminaison sécurisés pour la connexion des clients et des hôtes de session. Le diagramme ci-dessous donne une vue d’ensemble des connexions réseau utilisées par Azure Virtual Desktop.

Diagram showing how Azure Virtual Desktop network connections works

Connectivité des sessions

Azure Virtual Desktop utilise RDP (Remote Desktop Protocol) pour fournir des fonctionnalités de saisie et d’affichage à distance sur les connexions réseau. Le protocole RDP a initialement été publié avec Windows NT 4.0 Terminal Server Edition et a continué d’évoluer avec chaque version de Microsoft Windows et de Windows Server. Depuis le début, RDP a été développé pour être indépendant de sa pile de transport sous-jacente. Il prend désormais en charge plusieurs types de transport.

Transport de connexion inverse

Azure Virtual Desktop utilise le transport de connexion inverse pour établir la session à distance et pour transporter le trafic RDP. Contrairement aux déploiements de Services Bureau à distance locaux, le transport de connexion inverse n’utilise pas un écouteur TCP pour recevoir les connexions RDP entrantes. Au lieu de cela, il utilise la connectivité sortante vers l’infrastructure Azure Virtual Desktop sur la connexion HTTPS.

Canal de communication de l’hôte de session

Lors du démarrage de l’hôte de session d’Azure Virtual Desktop, le service Chargeur d’agent Bureau à distance établit le canal de communication permanent du répartiteur Azure Virtual Desktop. Ce canal de communication sur une connexion TLS (Transport Layer Security) sécurisée sert de bus pour l’échange de messages de service entre l’hôte de session et Azure Virtual Desktop.

Séquence de connexion du client

Séquence de connexion du client décrite ci-dessous :

  1. L’utilisation de l’utilisateur client Azure Virtual Desktop pris en charge adhère à l’espace de travail Azure Virtual Desktop.
  2. Microsoft Entra authentifie l’utilisateur et retourne le jeton utilisé pour énumérer les ressources disponibles pour un utilisateur.
  3. Le client passe le jeton au service d’abonnement au flux d’Azure Virtual Desktop.
  4. Le service d’abonnement au flux d’Azure Virtual Desktop valide le jeton.
  5. Le service d’abonnement au flux d’Azure Virtual Desktop transmet la liste des bureaux et des RemoteApps disponibles au client avec une connexion signée numériquement.
  6. Le client stocke la configuration de la connexion pour chaque ressource disponible dans un ensemble de fichiers RDP.
  7. Quand un utilisateur sélectionne la ressource à connecter, le client utilise le fichier RDP associé et établit la connexion sécurisée TLS 1.2 à l’instance de passerelle Azure Virtual Desktop la plus proche.
  8. La passerelle Azure Virtual Desktop valide la demande et demande au répartiteur Azure Virtual Desktop d’orchestrer la connexion.
  9. Le répartiteur Azure Virtual Desktop identifie l’hôte de session et utilise le canal de communication persistant établi précédemment pour initialiser la connexion.
  10. La pile Bureau à distance lance la connexion TLS 1.2 à la même instance de passerelle Azure Virtual Desktop que celle utilisée par le client.
  11. Une fois que le client et l’hôte de session sont connectés à la passerelle, la passerelle démarre le relais des données brutes entre les deux points de terminaison. Établissement du transport de connexion inversée de base pour le protocole RDP.
  12. Une fois le transport de base défini, le client démarre l’établissement d'une liaison RDP.

Sécurité de la connexion

TLS 1.2 est utilisé pour toutes les connexions initiées à partir des clients et des hôtes de session vers les composants de l’infrastructure de Azure Virtual Desktop.

Pour le transport de connexion inverse, le client et l’hôte de session se connectent à la passerelle Azure Virtual Desktop. Quand la connexion TCP est en place, le client ou l’hôte de session valide le certificat de la passerelle Azure Virtual Desktop.

Le protocole RDP établit une connexion TLS imbriquée entre le client et l’hôte de session à l’aide des certificats de l’hôte de session.

Par défaut, le certificat utilisé pour le chiffrement RDP est généré automatiquement par le système d’exploitation pendant le déploiement.

Azure Virtual Desktop RDP Shortpath pour les réseaux managés

RDP Shortpath pour les réseaux managés est une fonctionnalité d’Azure Virtual Desktop qui établit un transport UDP direct entre un client et un hôte de session Bureau à distance. RDP utilise ce transport pour fournir Bureau à distance et RemoteApp tout en offrant une meilleure fiabilité et une latence cohérente.

  • Le transport RDP Shortpath est basé sur le protocole URCP (Universal Rate Control Protocol). Le protocole URCP améliore le protocole UDP avec la surveillance active des conditions du réseau, et assure une utilisation de liens équitable et complète. Le protocole URCP opère à des niveaux faibles de retard et de perte en fonction des besoins du Bureau à distance.
  • RDP Shortpath établit la connectivité directe entre le client et l’hôte de session Bureau à distance. La connectivité directe réduit la dépendance des passerelles d’Azure Virtual Desktop, améliore la fiabilité de la connexion et augmente la bande passante disponible pour chaque session utilisateur.
  • La suppression d’un relais supplémentaire réduit le temps aller-retour, ce qui améliore l’expérience des utilisateurs avec des applications et des méthodes d’entrée sensibles à la latence.
  • RDP Shortpath introduit la prise en charge d’une priorité en matière de configuration de la qualité de service (QoS) pour les connexions RDP par le biais de marques DSCP (Differentiated Services Code Point).
  • Le transport RDP Shortpath permet de limiter le trafic réseau sortant en spécifiant un taux de limitation pour chaque session.