Delen via

Meer informatie over Azure Virtual Desktop-netwerkconnectiviteit

Azure Virtual Desktop host clientsessies op sessiehosts die worden uitgevoerd in Azure. Microsoft beheert delen van de services namens de klant en biedt beveiligde eindpunten voor het verbinden van clients en sessiehosts. Het volgende diagram geeft een overzicht op hoog niveau van de netwerkverbindingen die worden gebruikt door Azure Virtual Desktop.

Diagram van Azure Virtual Desktop Network Connections

Sessieconnectiviteit

Azure Virtual Desktop maakt gebruik van Remote Desktop Protocol (RDP) om externe weergave- en invoermogelijkheden via netwerkverbindingen te bieden. RDP werd in eerste instantie uitgebracht met Windows NT 4.0 Terminal Server Edition en was voortdurend in ontwikkeling met elke Release van Microsoft Windows en Windows Server. Vanaf het begin is RDP ontwikkeld om onafhankelijk te zijn van de onderliggende transportstack, en tegenwoordig ondersteunt het meerdere soorten transport.

Transport van omgekeerde verbinding

Azure Virtual Desktop maakt gebruik van reverse connect-transport voor het tot stand brengen van de externe sessie en voor het dragen van RDP-verkeer. In tegenstelling tot de implementaties van on-premises Extern bureaublad-services, maakt reverse connect transport geen gebruik van een TCP-listener om binnenkomende RDP-verbindingen te ontvangen. In plaats daarvan maakt het gebruik van uitgaande connectiviteit met de Azure Virtual Desktop-infrastructuur via de HTTPS-verbinding.

Communicatiekanaal sessiehost

Bij het opstarten van de Azure Virtual Desktop-sessiehost stelt de Extern bureaublad-agentladerservice het permanente communicatiekanaal van de Azure Virtual Desktop-broker tot stand. Dit communicatiekanaal is gelaagd op een beveiligde TLS-verbinding (Transport Layer Security) en fungeert als een bus voor de uitwisseling van serviceberichten tussen sessiehost en Azure Virtual Desktop-infrastructuur.

Clientverbindingsreeks

De clientverbindingsreeks is als volgt:

  1. Met behulp van ondersteunde Azure Virtual Desktop-client abonneert de gebruiker zich op de Azure Virtual Desktop-werkruimte.

  2. Microsoft Entra verifieert de gebruiker en retourneert het token dat wordt gebruikt om resources op te sommen die beschikbaar zijn voor een gebruiker.

  3. Client geeft token door aan de Azure Virtual Desktop-feedabonnementsservice.

  4. De azure Virtual Desktop-feedabonnementsservice valideert het token.

  5. De azure Virtual Desktop-feedabonnementsservice geeft de lijst met beschikbare bureaubladen en toepassingen weer door aan de client in de vorm van een digitaal ondertekende verbindingsconfiguratie.

  6. Client slaat de verbindingsconfiguratie voor elke beschikbare resource op in een set .rdp bestanden.

  7. Wanneer een gebruiker de resource selecteert om verbinding te maken, gebruikt de client het bijbehorende .rdp bestand en brengt een beveiligde TLS 1.2-verbinding tot stand met een Azure Virtual Desktop-gateway-exemplaar met behulp van Azure Front Door en geeft de verbindingsgegevens door. De latentie van alle gateways wordt geëvalueerd en de gateways worden in groepen van 10 ms geplaatst. De gateway met de laagste latentie en vervolgens het laagste aantal bestaande verbindingen wordt gekozen.

  8. De Azure Virtual Desktop-gateway valideert de aanvraag en vraagt de Azure Virtual Desktop-broker om de verbinding te organiseren.

  9. Azure Virtual Desktop Broker identificeert de sessiehost en gebruikt het eerder tot stand gebrachte permanente communicatiekanaal om de verbinding te initialiseren.

  10. Extern bureaublad-stack initieert een TLS 1.2-verbinding met hetzelfde Azure Virtual Desktop-gateway-exemplaar als gebruikt door de client.

  11. Nadat zowel de client als de sessiehost zijn verbonden met de gateway, begint de gateway de gegevens tussen beide eindpunten door te sturen. Deze verbinding brengt het basistransport voor omgekeerde verbinding tot stand voor de RDP-verbinding via een geneste tunnel, met behulp van de wederzijds overeengekomen TLS-versie die wordt ondersteund en ingeschakeld tussen de client en de sessiehost, tot maximaal TLS 1.3.

  12. Nadat het basistransport is ingesteld, start de client de RDP-handshake.

Verbindingsbeveiliging

TLS wordt gebruikt voor alle verbindingen. De versie die wordt gebruikt, is afhankelijk van de verbinding die wordt gemaakt en de mogelijkheden van de client en sessiehost:

  • Voor alle verbindingen die vanuit de clients en sessiehosts met de onderdelen van de Azure Virtual Desktop-infrastructuur zijn geïnitieerd, wordt TLS 1.2 gebruikt. Azure Virtual Desktop gebruikt dezelfde TLS 1.2-coderingen als Azure Front Door. Het is belangrijk om ervoor te zorgen dat zowel clientcomputers als sessiehosts deze coderingen kunnen gebruiken.

  • Voor het omgekeerde verbinding maken zowel de client als de sessiehost verbinding met de Azure Virtual Desktop-gateway. Nadat de TCP-verbinding voor het basistransport tot stand is gebracht, valideert de client of sessiehost het certificaat van de Azure Virtual Desktop-gateway. RDP brengt vervolgens een geneste TLS-verbinding tot stand tussen client en sessiehost met behulp van de certificaten van de sessiehost. De versie van TLS maakt gebruik van de wederzijds overeengekomen TLS-versie die wordt ondersteund en ingeschakeld tussen de client en sessiehost, tot maximaal TLS 1.3. TLS 1.3 wordt ondersteund vanaf Windows 11 (21H2) en in Windows Server 2022. Zie tls-ondersteuning Windows 11 voor meer informatie. Neem voor andere besturingssystemen contact op met de leverancier van het besturingssysteem voor TLS 1.3-ondersteuning.

Standaard wordt het certificaat dat wordt gebruikt voor RDP-versleuteling zelf gegenereerd door het besturingssysteem tijdens de implementatie. U kunt ook centraal beheerde certificaten implementeren die zijn uitgegeven door de certificeringsinstantie van het bedrijf. Zie Configuraties van extern bureaublad-listenercertificaten voor meer informatie over het configureren van certificaten.

Volgende stappen