分享方式:

了解 Azure 虛擬桌面網路連線能力

  • 文章

Azure 虛擬桌面可在 Azure 上執行的工作階段主機中裝載用戶端工作階段。 Microsoft 代表客戶管理部分服務,並提供用於連線用戶端和工作階段主機的安全端點。 下圖提供 Azure 虛擬桌面所使用的網路連線高階概觀。

Azure 虛擬桌面網路連線圖表

工作階段連線

Azure 虛擬桌面會使用遠端桌面通訊協定 (RDP),透過網路連線提供遠端顯示和輸入功能。 RDP 最初是與 Windows NT 4.0 Terminal Server Edition 一起發行,而且會隨著每個 Microsoft Windows 和 Windows Server 版本持續演進。 從一開始,RDP 已開發成獨立於其基礎傳輸堆疊,現在支援多種傳輸類型。

反向連線傳輸

Azure 虛擬桌面會使用反向連線傳輸來建立遠端工作階段,以及用於攜帶 RDP 流量。 不同於內部部署遠端桌面服務部署,反向連線傳輸不會使用 TCP 接聽程式來接收連入 RDP 連線。 而是透過 HTTPS 連線,使用 Azure 虛擬桌面基礎結構的輸出連線。

工作階段主機通訊通道

啟動 Azure 虛擬桌面工作階段主機時,遠端桌面代理程式載入器服務會建立 Azure 虛擬桌面訊息代理程式的永續性通訊通道。 此通訊通道會分層在安全傳輸層安全性 (TLS) 連線之上,並作為工作階段主機與 Azure 虛擬桌面基礎結構之間服務訊息交換的匯流排。

用戶端連線序列

用戶端連線順序如下所示:

  1. 使用支援的 Azure 虛擬桌面用戶端使用者訂閱 Azure 虛擬桌面工作區。

  2. Microsoft Entra 會驗證使用者,並傳回用來列舉使用者可用資源的權杖。

  3. 用戶端會將權杖傳遞至 Azure 虛擬桌面摘要訂用帳戶服務。

  4. Azure 虛擬桌面摘要訂用帳戶服務會驗證權杖。

  5. Azure 虛擬桌面摘要訂用帳戶服務會以數位簽章連線設定的形式,將可用的桌面和應用程式清單傳遞回用戶端。

  6. 用戶端會將每個可用資源的連線設定儲存在一組 .rdp 檔案中。

  7. 當使用者選取要連線的資源時,用戶端會使用相關聯的 .rdp 檔案,並透過 Azure Front Door 建立與 Azure 虛擬桌面閘道執行個體的安全 TLS 1.2 連線,並傳遞連線資訊。 會評估來自所有閘道的延遲,並將閘道放入 10 毫秒的群組中。 系統會選擇延遲最低的閘道,然後選擇最低的現有連線數目。

  8. Azure 虛擬桌面閘道會驗證要求,並要求 Azure 虛擬桌面訊息代理程式協調連線。

  9. Azure 虛擬桌面訊息代理程式會識別工作階段主機,並使用先前建立的永續性通訊通道來初始化連線。

  10. 遠端桌面堆疊會起始 TLS 1.2 連線連至用戶端所使用的相同 Azure 虛擬桌面閘道執行個體。

  11. 用戶端和工作階段主機連線到閘道之後,閘道就會開始在兩個端點之間轉送資料。 此連線會透過巢狀通道建立 RDP 連線的基礎反向連線傳輸,並使用用戶端與工作階段主機之間支援及啟用的相互同意 TLS 版本,最多至 TLS 1.3。

  12. 設定基礎傳輸之後,用戶端會啟動 RDP 交握。

連線安全性

TLS 用於所有連線。 所使用的版本取決於所建立的連線,以及用戶端和工作階段主機的功能:

  • 針對從用戶端和工作階段主機到 Azure 虛擬桌面基礎結構元件的所有起始連線,會使用 TLS 1.2。 Azure 虛擬桌面使用與 Azure Front Door 相同的 TLS 1.2 加密。 請務必確定用戶端電腦和工作階段主機都可以使用這些加密。

  • 對於反向連線傳輸,用戶端和工作階段主機均連線到 Azure 虛擬桌面閘道。 建立基礎傳輸的 TCP 連線之後,用戶端或工作階段主機會驗證 Azure 虛擬桌面閘道的憑證。 接著,RDP 會使用工作階段主機的憑證,在用戶端和工作階段主機之間建立巢狀 TLS 連線。 TLS 版本會使用用戶端與工作階段主機之間支援及啟用的相互同意 TLS 版本,最多至 TLS 1.3。 從 Windows 11 (21H2) 和 Windows Server 2022 開始,支援 TLS 1.3。 若要深入了解,請參閱 Windows 11 TLS 支援。 針對其他作業系統,請洽詢作業系統廠商以取得 TLS 1.3 支援。

根據預設,用於 RDP 加密的憑證會在部署期間由 OS 自行產生。 您也可以集中部署由企業憑證授權單位所核發的受控憑證。 如需設定憑證的詳細資訊,請參閱遠端桌面接聽程式憑證設定

下一步