Azure Virtual Desktop は、Azure で実行されているセッション ホストでクライアント セッションをホストします。 Microsoft は、お客様の代わりにサービスの一部を管理し、クライアントとセッション ホストを接続するためのセキュリティで保護されたエンドポイントを提供します。 次の図は、Azure Virtual Desktop で使用されるネットワーク接続の概要を示しています。
セッション接続
Azure Virtual Desktop は、リモート デスクトップ プロトコル (RDP) を使用して、ネットワーク接続経由でリモートでの表示および入力機能を提供します。 RDP は当初、Windows NT 4.0 ターミナル サーバー エディションでリリースされ、すべての Microsoft Windows および Windows Server リリースで継続的に進化していました。 最初から、RDP は基になるトランスポート スタックから独立するように開発され、現在では複数の種類のトランスポートがサポートされています。
逆接続トランスポート
Azure Virtual Desktop では、リモート セッションを確立し、RDP トラフィックを伝送するために、リバース接続トランスポートを使用しています。 オンプレミスのリモート デスクトップ サービスの展開とは異なり、逆接続トランスポートでは TCP リスナーを使用して受信 RDP 接続を受信しません。 代わりに、HTTPS 接続経由で Azure Virtual Desktop インフラストラクチャへの送信接続を使用しています。
セッション ホスト通信チャネル
Azure Virtual Desktop セッション ホストの起動時に、リモート デスクトップ エージェント ローダー サービスによって Azure Virtual Desktop ブローカーの永続的な通信チャネルが確立されます。 この通信チャネルは、セキュリティで保護されたトランスポート層セキュリティ (TLS) 接続の上に階層化され、セッション ホストと Azure Virtual Desktop インフラストラクチャ間のサービス メッセージ交換のバスとして機能します。
クライアント接続シーケンス
クライアント接続シーケンスは次のとおりです。
サポートされている Azure Virtual Desktop クライアント ユーザーを使用すると、Azure Virtual Desktop ワークスペースがサブスクライブされます。
Microsoft Entraは、ユーザーを認証し、ユーザーが使用できるリソースを列挙するために使用するトークンを返します。
クライアントは、Azure Virtual Desktop フィード サブスクリプション サービスにトークンを渡します。
Azure Virtual Desktop フィード サブスクリプション サービスは、トークンを検証します。
Azure Virtual Desktop フィード サブスクリプション サービスは、使用可能なデスクトップとアプリケーションの一覧を、デジタル署名された接続構成の形式でクライアントに渡します。
クライアントは、使用可能な各リソースの接続構成を一連の
.rdp
ファイルに格納します。ユーザーが接続するリソースを選択すると、クライアントは関連付けられている
.rdp
ファイルを使用し、 Azure Front Door の助けを借りて Azure Virtual Desktop ゲートウェイ インスタンスへのセキュリティで保護された TLS 1.2 接続を確立し、接続情報を渡します。 すべてのゲートウェイからの待機時間が評価され、ゲートウェイは 10 ミリ秒のグループに配置されます。 待機時間が最も短く、既存の接続の数が最も少ないゲートウェイが選択されます。Azure Virtual Desktop ゲートウェイは要求を検証し、Azure Virtual Desktop ブローカーに接続の調整を依頼します。
Azure Virtual Desktop ブローカーはセッション ホストを識別し、以前に確立された永続的な通信チャネルを使用して接続を初期化します。
リモート デスクトップ スタックは、クライアントで使用されるのと同じ Azure Virtual Desktop ゲートウェイ インスタンスへの TLS 1.2 接続を開始します。
クライアントとセッション ホストの両方がゲートウェイに接続されると、ゲートウェイは両方のエンドポイント間でデータの中継を開始します。 この接続により、クライアントとセッション ホストの間でサポートされ、有効になっている相互に合意された TLS バージョン (TLS 1.3 まで) を使用して、入れ子になったトンネル経由の RDP 接続の基本逆接続トランスポートが確立されます。
基本トランスポートが設定されると、クライアントは RDP ハンドシェイクを開始します。
接続セキュリティ
TLS はすべての接続に使用されます。 使用されるバージョンは、接続の種類と、クライアントとセッション ホストの機能によって異なります。
クライアントとセッション ホストから Azure Virtual Desktop インフラストラクチャ コンポーネントに開始されたすべての接続に対して、TLS 1.2 が使用されます。 Azure Virtual Desktop では、 Azure Front Door と同じ TLS 1.2 暗号が使用されます。 クライアント コンピューターとセッション ホストの両方でこれらの暗号を使用できることを確認することが重要です。
逆接続トランスポートの場合、クライアントとセッション ホストの両方が Azure Virtual Desktop ゲートウェイに接続されます。 基本トランスポートの TCP 接続が確立されると、クライアントまたはセッション ホストによって Azure Virtual Desktop ゲートウェイの証明書が検証されます。 RDP は、セッション ホストの証明書を使用して、クライアントとセッション ホストの間に入れ子になった TLS 接続を確立します。 TLS のバージョンでは、クライアントとセッション ホストの間でサポートされ、有効になっている相互に合意された TLS バージョン (最大 TLS 1.3) が使用されます。 TLS 1.3 は、Windows 11 (21H2) 以降と 2022 Windows Serverでサポートされています。 詳細については、「WINDOWS 11 TLS サポート」を参照してください。 その他のオペレーティング システムの場合は、オペレーティング システム ベンダーと TLS 1.3 のサポートをチェックします。
既定では、RDP 暗号化に使用される証明書は、展開中に OS によって自己生成されます。 また、エンタープライズ証明機関によって発行された一元管理の証明書を展開することもできます。 証明書の構成の詳細については、「 リモート デスクトップ リスナー証明書の構成」を参照してください。
次の手順
- Azure Virtual Desktop の帯域幅要件については、「Azure Virtual Desktop の リモート デスクトップ プロトコル (RDP) 帯域幅要件について」を参照してください。
- Azure Virtual Desktop のサービス品質 (QoS) の使用を開始するには、「Azure Virtual Desktop にサービス品質 (QoS) を実装する」を参照してください。