了解 Azure 虚拟桌面网络连接

Azure 虚拟桌面在 Azure 上运行的会话主机上托管客户端会话。 Microsoft代表客户管理部分服务，并提供用于连接客户端和会话主机的安全终结点。 下图简要概述了 Azure 虚拟桌面使用的网络连接。

会话连接

Azure 虚拟桌面使用远程桌面协议 （RDP） 通过网络连接提供远程显示和输入功能。 RDP 最初随 Windows NT 4.0 终端服务器版本一起发布，并且会随着 Windows 和 Windows Server 版本的每个Microsoft不断演变。 从一开始，RDP 就发展为独立于其基础传输堆栈，现在它支持多种类型的传输。

反向连接传输

Azure 虚拟桌面使用反向连接传输来建立远程会话和传输 RDP 流量。 与本地远程桌面服务部署不同，反向连接传输不使用 TCP 侦听器来接收传入的 RDP 连接。 相反，它通过 HTTPS 连接使用与 Azure 虚拟桌面基础结构的出站连接。

会话主机信道

启动 Azure 虚拟桌面会话主机后，远程桌面代理加载程序服务会建立 Azure 虚拟桌面代理的持久信道。 此信道分层在安全传输层安全性 (TLS) 连接之上，并充当会话主机与 Azure 虚拟桌面基础结构之间服务消息交换的总线。

客户端连接顺序

客户端连接顺序如下：

1. 使用支持的 Azure 虚拟桌面客户端用户可订阅 Azure 虚拟桌面工作区。

2. Microsoft Entra对用户进行身份验证，并返回用于枚举用户可用的资源的令牌。

3. 客户端将令牌传递给 Azure 虚拟桌面源订阅服务。

4. Azure 虚拟桌面源订阅服务验证令牌。

5. Azure 虚拟桌面源订阅服务以数字签名连接配置的形式将可用桌面和应用程序的列表传递回客户端。

6. 客户端将每个可用资源的连接配置存储在一组 .rdp 文件中。

7. 当用户选择要连接的资源时，客户端将使用关联的 .rdp 文件，并在 Azure Front Door 的帮助下与 Azure 虚拟桌面网关实例建立安全的 TLS 1.2 连接，并传递连接信息。 评估来自所有网关的延迟，并将网关放入 10 毫秒的组中。 选择延迟最低且现有连接数最低的网关。

8. Azure 虚拟桌面网关验证请求，并要求 Azure 虚拟桌面代理协调连接。

9. Azure 虚拟桌面代理标识会话主机，并使用以前建立的持久信道初始化连接。

10. 远程桌面堆栈启动与客户端使用的同一 Azure 虚拟桌面网关实例的 TLS 1.2 连接。

11. 客户端和会话主机连接到网关后，网关开始在两个终结点之间中继数据。 此连接使用客户端和会话主机之间相互同意的 TLS 版本（最高为 TLS 1.3），通过嵌套隧道为 RDP 连接建立基本反向连接传输。

12. 设置基本传输后，客户端将启动 RDP 握手。

连接安全性

TLS 用于所有连接。 使用的版本取决于建立的连接以及客户端和会话主机的功能：

• 对于从客户端和会话主机启动到 Azure 虚拟桌面基础结构组件的所有连接，使用 TLS 1.2。 Azure 虚拟桌面使用与 Azure Front Door 相同的 TLS 1.2 密码。 请务必确保客户端计算机和会话主机都可以使用这些密码。

• 对于反向连接传输，客户端和会话主机都连接到 Azure 虚拟桌面网关。 建立基本传输的 TCP 连接后，客户端或会话主机将验证 Azure 虚拟桌面网关的证书。 然后，RDP 使用会话主机的证书在客户端和会话主机之间建立嵌套 TLS 连接。 TLS 版本使用客户端和会话主机之间支持和启用的相互同意的 TLS 版本，最高为 TLS 1.3。 从 Windows 11 (21H2) 到 2022 Windows Server 开始支持 TLS 1.3。 若要了解详细信息，请参阅 Windows 11 TLS 支持。 对于其他作系统，检查作系统供应商获取 TLS 1.3 支持。

默认情况下，用于 RDP 加密的证书在部署期间由 OS 自行生成。 还可以部署企业证书颁发机构颁发的集中托管证书。 有关配置证书的详细信息，请参阅 远程桌面侦听器证书配置。

后续步骤

• 若要了解 Azure 虚拟桌面的带宽要求，请参阅 了解 Azure 虚拟桌面的远程桌面协议 (RDP) 带宽要求。
• 若要开始使用 Azure 虚拟桌面的服务质量 (QoS) ，请参阅 为 Azure 虚拟桌面实现服务质量 (QoS) 。