Informazioni sulla connettività di rete di Desktop virtuale Azure

Desktop virtuale Azure ospita sessioni client sugli host di sessione che vengono eseguiti in Azure. Microsoft gestisce parti dei servizi per conto del cliente e fornisce endpoint sicuri per connettere i client e gli host di sessione. Il diagramma seguente mostra una panoramica generale delle connessioni di rete usate da Desktop virtuale Azure.

Connettività della sessione

Desktop virtuale Azure usa Remote Desktop Protocol (RDP) per fornire funzionalità di visualizzazione e input remoti sulle connessioni di rete. RDP inizialmente è stato rilasciato con l'edizione di Terminal Server di Windows NT 4.0 ed è in continua evoluzione grazie alle molteplici release di Microsoft Windows e Windows Server. Fin dall'inizio, RDP si è sviluppato in modo da essere indipendente dallo stack di trasporto sottostante e oggi supporta diversi tipi di trasporto.

Trasporto tramite connessione inversa

Desktop virtuale Azure usa il trasporto tramite connessione inversa per stabilire la sessione remota e per lo spostamento del traffico RDP. A differenza delle distribuzioni locali di Servizi Desktop remoto, il trasporto tramite connessione inversa non usa un listener TCP per ricevere le connessioni RDP in ingresso. Usa invece la connettività in uscita verso l'infrastruttura di Desktop virtuale Azure tramite la connessione HTTPS.

Canale di comunicazione dell'host di sessione

All'avvio dell'host della sessione di Desktop virtuale Azure, il servizio di caricamento dell'agente di Desktop remoto stabilisce il canale di comunicazione permanente del broker di Desktop virtuale Azure. Questo canale di comunicazione rappresenta un livello superiore rispetto a una connessione TLS (Transport Layer Security) sicura e funge da bus per lo scambio di messaggi di servizio tra l'host della sessione e l'infrastruttura di Desktop virtuale Azure.

Sequenza della connessione client

La sequenza della connessione client è come segue:

1. Usando il client Desktop virtuale Azure supportato, l'utente sottoscrive l'area di lavoro Desktop virtuale Azure.

2. Microsoft Entra autentica l'utente e restituisce il token usato per enumerare le risorse disponibili per un utente.

3. Il client passa il token al servizio di sottoscrizione di feed di Desktop virtuale Azure.

4. Il servizio di sottoscrizione di feed di Desktop virtuale Azure convalida il token.

5. Il servizio di sottoscrizione a Desktop virtuale Azure trasmette l'elenco dei desktop e delle applicazioni disponibili al client come configurazione della connessione firmata digitalmente.

6. Il client memorizza la configurazione della connessione per ogni risorsa disponibile in un set di file .rdp.

7. Quando un utente seleziona la risorsa da connettere, il client usa il file .rdp associato e stabilisce una connessione TLS 1.2 protetta a un'istanza del gateway di Desktop virtuale Azure con l'aiuto di Frontdoor di Azure e trasmette le informazioni di connessione. Viene valutata la latenza di tutti i gateway e i gateway vengono suddivisi in gruppi di 10 ms. Viene prescelto il gateway con la latenza più bassa e il numero più basso di connessioni esistenti.

8. Il gateway di Desktop virtuale Azure convalida la richiesta e chiede al broker di Desktop virtuale Azure di orchestrare la connessione.

9. Il broker di Desktop virtuale Azure identifica l'host della sessione e usa il canale di comunicazione persistente stabilito in precedenza per inizializzare la connessione.

10. Lo stack di Desktop remoto avvia una connessione TLS 1.2 alla stessa istanza di gateway di Desktop virtuale Azure usata dal client.

11. In seguito alla connessione del client e dell'host di sessione, il gateway inizia a inoltrare i dati tra entrambi gli endpoint. Questa connessione stabilisce il trasporto della connessione inversa di base per la connessione RDP tramite un tunnel annidato, usando la versione TLS supportata concordata reciprocamente e abilitata tra il client e l'host di sessione, fino a TLS 1.3.

12. Dopo l'impostazione del trasporto di base, il client avvia l'handshake RDP.

Sicurezza delle connessioni

TLS viene usato per tutte le connessioni. La versione usata dipende da quale connessione viene effettuata e dalle funzionalità del client e dell'host di sessione:

• Per tutte le connessioni avviate dai client e dagli host di sessione ai componenti dell'infrastruttura di Desktop virtuale Azure, viene usato TLS 1.2. Desktop virtuale Azure usa la stessa crittografia TLS 1.2 di Frontdoor di Azure. È importante assicurarsi che i computer client e gli host di sessione possano usare questa crittografia.

• Per il trasporto della connessione inversa, sia il client sia l'host di sessione si connettono al gateway di Desktop virtuale Azure. Una volta stabilita la connessione TCP per il trasporto di base, il client o l'host di sessione convalida il certificato del gateway di Desktop virtuale Azure. RDP quindi stabilisce una connessione TLS annidata tra il client e l'host di sessione usando i certificati dell'host di sessione. La versione di TLS usa la versione TLS reciprocamente concordata supportata e abilitata tra il client e l'host di sessione, fino a TLS 1.3. TLS 1.3 è supportato a partire da Windows 11 (21H2) e in Windows Server 2022. Per altre informazioni, vedere Supporto TLS per Windows 11. Per gli altri sistemi operativi, verifica il supporto di TLS 1.3 con il fornitore del sistema operativo.

Per impostazione predefinita, il certificato usato per la crittografia RDP viene generato automaticamente dal sistema operativo durante la distribuzione. È anche possibile distribuire certificati gestiti centralmente emessi dall'autorità di certificazione globale (enterprise). Per altre informazioni sulle configurazioni dei certificati, vedere Configurazioni del certificato del listener Desktop remoto.

Passaggi successivi

• Per scoprire i requisiti della larghezza di banda per Desktop virtuale di Azure, vedere Informazioni sui requisiti della larghezza di banda di Remote Desktop Protocol (RDP) per Desktop virtuale Azure.
• Per iniziare con QoS per Desktop virtuale Azure, vedere Implementare QoS per Desktop virtuale di Azure.