Az Azure Virtual Desktop hálózati kapcsolatainak ismertetése

Az Azure Virtual Desktop ügyfél-munkameneteket üzemeltet az Azure-ban futó munkamenet-gazdagépeken. A Microsoft kezeli a szolgáltatások egyes részeit az ügyfél nevében, és biztonságos végpontokat biztosít az ügyfelek és a munkamenet-gazdagépek csatlakoztatásához. Az alábbi ábra az Azure Virtual Desktop által használt hálózati kapcsolatok magas szintű áttekintését mutatja be.

Munkamenet-kapcsolat

Az Azure Virtual Desktop távoli asztali protokollt (RDP) használ a távoli megjelenítési és bemeneti képességek hálózati kapcsolatokon keresztüli biztosításához. Az RDP kezdetben a Windows NT 4.0 Terminal Server Edition kiadással jelent meg, és folyamatosan fejlődik minden Microsoft Windows- és Windows Server-kiadással. Az RDP a kezdetektől fogva független volt a mögöttes átviteli veremtől, és ma már több átviteli típust is támogat.

Fordított csatlakozású átvitel

Az Azure Virtual Desktop fordított kapcsolatú átvitelt használ a távoli munkamenet létrehozásához és az RDP-forgalom hordozásához. A helyszíni távoli asztali szolgáltatások üzemelő példányaival ellentétben a fordított kapcsolat átvitele nem használ TCP-figyelőt a bejövő RDP-kapcsolatok fogadásához. Ehelyett kimenő kapcsolatot használ az Azure Virtual Desktop-infrastruktúrához a HTTPS-kapcsolaton keresztül.

Munkamenet-gazdagép kommunikációs csatornája

Az Azure Virtual Desktop munkamenetgazda indításakor a Távoli asztali ügynökbetöltő szolgáltatás létrehozza az Azure Virtual Desktop-közvetítő állandó kommunikációs csatornáját. Ez a kommunikációs csatorna egy biztonságos Transport Layer Security (TLS) kapcsolatra van rétegzve, és a munkamenet-gazdagép és az Azure Virtual Desktop-infrastruktúra közötti szolgáltatásüzenet-csere buszaként szolgál.

Ügyfélkapcsolat-sorrend

Az ügyfélkapcsolatok sorrendje a következő:

1. A támogatott Azure Virtual Desktop-ügyfélfelhasználó előfizet az Azure Virtual Desktop-munkaterületre.

2. A Microsoft Entra hitelesíti a felhasználót, és visszaadja a felhasználó számára elérhető erőforrások számbavételéhez használt jogkivonatot.

3. Az ügyfél jogkivonatot ad át az Azure Virtual Desktop-hírcsatorna-előfizetési szolgáltatásnak.

4. Az Azure Virtual Desktop-hírcsatorna-előfizetési szolgáltatás ellenőrzi a jogkivonatot.

5. Az Azure Virtual Desktop-hírcsatorna-előfizetési szolgáltatás digitálisan aláírt kapcsolatkonfiguráció formájában továbbítja az elérhető asztalok és alkalmazások listáját az ügyfélnek.

6. Az ügyfél az egyes elérhető erőforrások kapcsolatkonfigurációját .rdp fájlkészletben tárolja.

7. Amikor egy felhasználó kiválasztja a csatlakozni kívánt erőforrást, az ügyfél a társított .rdp fájlt használja, és biztonságos TLS 1.2-kapcsolatot létesít egy Azure Virtual Desktop-átjárópéldányhoz az Azure Front Door segítségével, és átadja a kapcsolati adatokat. A rendszer kiértékeli az összes átjáró késését, és az átjárókat 10 ms-os csoportokba helyezi. A legalacsonyabb késéssel rendelkező átjáró, majd a meglévő kapcsolatok legalacsonyabb száma lesz kiválasztva.

8. Az Azure Virtual Desktop-átjáró ellenőrzi a kérést, és felkéri az Azure Virtual Desktop-közvetítőt a kapcsolat vezénylésére.

9. Az Azure Virtual Desktop-közvetítő azonosítja a munkamenet-gazdagépet, és a korábban létrehozott állandó kommunikációs csatornát használja a kapcsolat inicializálásához.

10. A Távoli asztal verem TLS 1.2-kapcsolatot kezdeményez az ügyfél által használt Azure Virtual Desktop-átjárópéldánysal.

11. Miután az ügyfél és a munkamenet-gazdagép is csatlakozott az átjáróhoz, az átjáró megkezdi az adatok mindkét végpont közötti átvitelét. Ez a kapcsolat egy beágyazott alagúton keresztül hozza létre az RDP-kapcsolat alapirányú fordított kapcsolatát az ügyfél és a munkamenet-gazdagép által támogatott és engedélyezett, kölcsönösen elfogadott TLS-verzióval, egészen a TLS 1.3-ig.

12. Az alapátvitel beállítása után az ügyfél elindítja az RDP kézfogást.

Kapcsolatbiztonság

A TLS minden kapcsolathoz használható. A használt verzió a kapcsolat létrejöttétől és az ügyfél és a munkamenet-gazdagép képességeitől függ:

• Az ügyfelek és munkamenet-gazdagépek által az Azure Virtual Desktop-infrastruktúra összetevőihez kezdeményezett összes kapcsolat esetében a TLS 1.2-t használja a rendszer. Az Azure Virtual Desktop ugyanazokat a TLS 1.2-titkosításokat használja, mint az Azure Front Door. Fontos meggyőződni arról, hogy az ügyfélszámítógépek és a munkamenet-gazdagépek is használhatják ezeket a titkosításokat.

• A fordított kapcsolat átviteléhez az ügyfél és a munkamenet-gazdagép is csatlakozik az Azure Virtual Desktop-átjáróhoz. Az alapátvitel TCP-kapcsolatának létrehozása után az ügyfél vagy a munkamenet-gazdagép ellenőrzi az Azure Virtual Desktop-átjáró tanúsítványát. Az RDP ezután beágyazott TLS-kapcsolatot hoz létre az ügyfél és a munkamenet-gazdagép között a munkamenetgazda tanúsítványainak használatával. A TLS verziója az ügyfél és a munkamenet-gazdagép között támogatott és engedélyezett, kölcsönösen elfogadott TLS-verziót használja, egészen a TLS 1.3-ig. A TLS 1.3 a Windows 11 -ben (21H2) és a Windows Server 2022-ben támogatott. További információ: Windows 11 TLS-támogatás. Egyéb operációs rendszerek esetén érdeklődjön az operációsrendszer-gyártónál a TLS 1.3 támogatásával kapcsolatban.

Alapértelmezés szerint az RDP-titkosításhoz használt tanúsítványt az operációs rendszer saját maga hozza létre az üzembe helyezés során. Központilag felügyelt tanúsítványokat is üzembe helyezhet, amelyeket a vállalati hitelesítésszolgáltató állít ki. A tanúsítványok konfigurálásáról további információt a Távoli asztali figyelő tanúsítványkonfigurációi című témakörben talál.

Következő lépések

• Az Azure Virtual Desktop sávszélesség-követelményeiről az Azure Virtual Desktop távoli asztali protokoll (RDP) sávszélesség-követelményeinek ismertetése című témakörben olvashat.
• Az Azure Virtual Desktop szolgáltatásminőségével (QoS) kapcsolatos első lépésekért tekintse meg az Azure Virtual Desktop szolgáltatásminőségének (QoS) implementálását ismertető témakört.