你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

了解 Azure 虚拟桌面网络连接性

Azure 虚拟桌面在 Azure 上运行的会话主机上托管客户端会话。 Microsoft 代表客户管理部分服务,并提供用于连接客户端和会话主机的安全终结点。 下图简要概述了 Azure 虚拟桌面使用的网络连接。

Azure 虚拟桌面网络连接示意图

会话连接性

Azure 虚拟桌面使用远程桌面协议 (RDP) 通过网络连接提供远程显示和输入功能。 RDP 最初在 Windows NT 4.0 终端服务器版中发布,并在每个 Microsoft Windows 和 Windows Server 版本中不断发展。 从一开始,RDP 就开发为独立于它的底层传输堆栈,现在它支持多种类型的传输。

反向连接传输

Azure 虚拟桌面使用反向连接传输来建立远程会话和携带 RDP 流量。 与本地远程桌面服务部署不同,反向连接传输不使用 TCP 侦听器来接收传入的 RDP 连接, 而是通过 HTTPS 连接使用到 Azure 虚拟桌面基础结构的出站连接。

会话主机信道

在 Azure 虚拟桌面会话主机启动时,远程桌面代理加载器服务会建立 Azure 虚拟桌面中转站的永久性信道。 此信道基于安全的传输层安全性 (TLS) 连接,充当用于在会话主机与 Azure 虚拟桌面基础结构之间交换服务消息的总线。

客户端连接顺序

客户端连接序列如下所示:

  1. 使用支持的 Azure 虚拟桌面客户端用户订阅 Azure 虚拟桌面工作区。

  2. Microsoft Entra 对用户进行身份验证,并返回用于枚举用户可用资源的令牌。

  3. 客户端将令牌传递给 Azure 虚拟桌面源订阅服务。

  4. Azure 虚拟桌面源订阅服务验证令牌。

  5. Azure 虚拟桌面源订阅服务以数字签名连接配置的形式将可用桌面和应用的列表传递回客户端。

  6. 客户端在一组 .rdp 文件中存储每个可用资源的连接配置。

  7. 当用户选择要连接的资源时,客户端会使用关联的 .rdp 文件,并借助 Azure Front Door 建立与 Azure 虚拟桌面网关实例的安全 TLS 1.2 连接,然后传递连接信息。 评估来自所有网关的延迟,并将网关放入 10 毫秒的组中。 选择延迟最低、现有连接数最低的网关。

  8. Azure 虚拟桌面网关验证请求,并要求 Azure 虚拟桌面代理协调连接。

  9. Azure 虚拟桌面代理标识会话主机,并使用以前建立的持久信道来初始化连接。

  10. 远程桌面堆栈启动 TLS 1.2 连接,连接到客户端使用的 Azure 虚拟桌面网关实例。

  11. 在客户端和会话主机都连接到网关后,网关开始在两个终结点之间转发数据。 此连接使用客户端和会话主机之间支持并启用的共同商定的 TLS 版本(最高支持 TLS 1.3)通过嵌套隧道为 RDP 连接建立基本反向连接传输。

  12. 设置基本传输后,客户端将启动 RDP 握手。

连接安全性

TLS 用于所有连接。 所使用的版本取决于建立的连接以及客户端和会话主机的功能:

  • 对于从客户端和会话主机启动的与 Azure 虚拟桌面基础结构组件之间的所有连接,使用 TLS 1.2。 Azure 虚拟桌面使用与 Azure Front Door 相同的 TLS 1.2 密码。 请务必确保客户端计算机和会话主机可以使用这些密码。

  • 对于反向连接传输,客户端和会话主机都会连接到 Azure 虚拟桌面网关。 建立用于基本传输的 TCP 连接后,客户端或会话主机会验证 Azure 虚拟桌面网关的证书。 RDP 会使用会话主机的证书在客户端与会话主机之间建立一个嵌套的 TLS 连接。 TLS 版本使用客户端和会话主机之间支持且相互商定的 TLS 版本,最高支持 TLS 1.3。 从 Windows 11 (21H2) 和 Windows Server 2022 开始,支持 TLS 1.3。 若要了解详细信息,请参阅 Windows 11 TLS 支持。 对于其他操作系统,请咨询操作系统供应商有关 TLS 1.3 支持的信息。

默认情况下,用于 RDP 加密的证书是 OS 在部署过程中自行生成的。 还可以部署由企业证书颁发机构颁发的集中管理的证书。 如需详细了解如何配置证书,请参阅远程桌面侦听器证书配置

后续步骤