Informazioni sulla connettività di rete di Desktop virtuale Azure

Desktop virtuale Azure offre la possibilità di ospitare sessioni client negli host di sessione in esecuzione in Azure. Microsoft gestisce parti dei servizi per conto del cliente e fornisce endpoint sicuri per connettere i client e gli host di sessione. Il diagramma seguente offre una panoramica generale delle connessioni di rete usate da Desktop virtuale Azure

Connettività della sessione

Desktop virtuale Azure usa Remote Desktop Protocol (RDP) per fornire funzionalità di visualizzazione e input remoti sulle connessioni di rete. RDP è stato inizialmente rilasciato con Windows NT 4.0 Terminal Server Edition ed è stato in continua evoluzione con ogni versione di Microsoft Windows e Windows Server. Fin dall'inizio, RDP si è sviluppato in modo da essere indipendente dallo stack di trasporto sottostante e oggi supporta diversi tipi di trasporto.

Trasporto tramite connessione inversa

Desktop virtuale Azure usa il trasporto tramite connessione inversa per stabilire la sessione remota e per lo spostamento del traffico RDP. A differenza delle distribuzioni locali di Servizi Desktop remoto, il trasporto tramite connessione inversa non usa un listener TCP per ricevere le connessioni RDP in ingresso. Usa invece la connettività in uscita verso l'infrastruttura di Desktop virtuale Azure tramite la connessione HTTPS.

Canale di comunicazione dell'host di sessione

All'avvio dell'host della sessione di Desktop virtuale Azure, il servizio di caricamento dell'agente di Desktop remoto stabilisce il canale di comunicazione permanente del broker di Desktop virtuale Azure. Questo canale di comunicazione rappresenta un livello superiore rispetto a una connessione TLS (Transport Layer Security) sicura e funge da bus per lo scambio di messaggi di servizio tra l'host della sessione e l'infrastruttura di Desktop virtuale Azure.

Sequenza della connessione client

La sequenza della connessione client è descritta di seguito:

1. L'uso dell'utente client desktop virtuale Azure supportato sottoscrive l'area di lavoro di Desktop virtuale Azure
2. Microsoft Entra autentica l'utente e restituisce il token usato per enumerare le risorse disponibili per un utente
3. Il client passa il token al servizio sottoscrizione del feed di Desktop virtuale Azure
4. Il servizio di sottoscrizione del feed di Desktop virtuale Azure convalida il token
5. Il servizio sottoscrizione del feed di Desktop virtuale Azure passa di nuovo l'elenco dei desktop e delle applicazioni disponibili al client sotto forma di configurazione della connessione con firma digitale
6. Il client archivia la configurazione della connessione per ogni risorsa disponibile in un set di file con estensione rdp.
7. Quando un utente seleziona la risorsa da connettere, il client usa il file con estensione rdp associato e stabilisce la connessione TLS 1.2 sicura a un'istanza del gateway Desktop virtuale Azure con l'aiuto di Frontdoor di Azure e passa le informazioni di connessione. La latenza da tutti i gateway viene valutata e i gateway vengono inseriti in gruppi di 10 ms. Viene scelto il gateway con la latenza più bassa e quindi il numero più basso di connessioni esistenti.
8. Il gateway Desktop virtuale Azure convalida la richiesta e chiede al broker di Desktop virtuale Azure di orchestrare la connessione
9. Gestore di Desktop virtuale Azure identifica l'host di sessione e usa il canale di comunicazione persistente stabilito in precedenza per inizializzare la connessione
10. Lo stack di Desktop remoto avvia la connessione TLS 1.2 alla stessa istanza del gateway Desktop virtuale Azure usata dal client
11. Dopo che sia l'host client che l'host di sessione sono connessi al gateway, il gateway avvia l'inoltro dei dati non elaborati tra entrambi gli endpoint. In questo modo viene stabilito il trasporto di connessione inversa di base per RDP
12. Dopo aver impostato il trasporto di base, il client avvia l'handshake RDP

Sicurezza delle connessioni

TLS 1.2 viene usato per tutte le connessioni avviate dai client e dagli host di sessione verso i componenti dell'infrastruttura di Desktop virtuale Azure. Desktop virtuale Azure usa le stesse crittografie TLS 1.2 di Frontdoor di Azure. È importante assicurarsi che sia i computer client che gli host di sessione possano usare queste crittografie. Per il trasporto tramite connessione inversa, sia il client che l'host della sessione si connettono al gateway di Desktop virtuale Azure. Dopo aver stabilito la connessione TCP, il client o l'host della sessione convalida il certificato del gateway di Desktop virtuale Azure. Dopo aver stabilito il trasporto di base, RDP stabilisce una connessione TLS annidata tra il client e l'host della sessione usando i certificati dell'host della sessione. Per impostazione predefinita, il certificato usato per la crittografia RDP viene generato automaticamente dal sistema operativo durante la distribuzione. Se necessario, i clienti possono distribuire certificati gestiti centralmente rilasciati dall'autorità di certificazione aziendale. Per altre informazioni sulla configurazione dei certificati, vedere la documentazione di Windows Server.

Passaggi successivi

• Per informazioni sui requisiti di larghezza di banda per Desktop virtuale Azure, vedere Informazioni sui requisiti di larghezza di banda rdp (Remote Desktop Protocol) per Desktop virtuale Azure.
• Per iniziare a usare Qualità del servizio (QoS) per Desktop virtuale Azure, vedere Implementare la qualità del servizio (QoS) per Desktop virtuale Azure.