Compreender Azure conectividade de rede do Virtual Desktop

Área de Trabalho Virtual do Azure aloja sessões de cliente em anfitriões de sessão em execução no Azure. A Microsoft gere partes dos serviços em nome do cliente e fornece pontos finais seguros para ligar clientes e anfitriões de sessão. O diagrama seguinte apresenta uma descrição geral de alto nível das ligações de rede utilizadas pelo Área de Trabalho Virtual do Azure.

Diagrama das Ligações de Rede do Área de Trabalho Virtual do Azure

Conectividade da sessão

A Área de Trabalho Virtual do Azure usa o protocolo RDP para fornecer recursos de exibição e de entrada remotos em conexões de rede. O RDP evoluiu continuamente com cada versão do Microsoft Windows e Windows Server. Desde o início, o RDP desenvolveu-se para ser independente da pilha de transporte subjacente e hoje suporta vários tipos de transporte.

Transporte de ligação inversa

Área de Trabalho Virtual do Azure está a utilizar o transporte de ligação inversa para estabelecer a sessão remota e para transportar tráfego RDP. Ao contrário das implementações dos Serviços de Ambiente de Trabalho Remoto no local, o transporte de ligação inversa não utiliza um serviço de escuta TCP para receber ligações RDP recebidas. Em vez disso, está a utilizar a conectividade de saída à infraestrutura do Área de Trabalho Virtual do Azure através da ligação HTTPS.

Canal de comunicação do anfitrião de sessões

Após o arranque do anfitrião de sessão do Área de Trabalho Virtual do Azure, o serviço Carregador de Agente de Ambiente de Trabalho Remoto estabelece o Azure canal de comunicação persistente do mediador do Ambiente de Trabalho Virtual. Este canal de comunicação está sobreposto a uma ligação TLS (Transport Layer Security) segura e funciona como um barramento para a troca de mensagens de serviço entre o anfitrião da sessão e Azure infraestrutura do Virtual Desktop.

Sequência de ligação de cliente

A sequência de ligação do cliente é a seguinte (os passos podem variar fora do Azure Cloud Pública):

  1. A utilização de Azure utilizador cliente do Virtual Desktop suportada subscreve a área de trabalho do Área de Trabalho Virtual do Azure.

  2. Microsoft Entra autentica o utilizador e devolve o token utilizado para enumerar os recursos disponíveis para um utilizador.

  3. O cliente passa o token para o serviço de subscrição de feed do Área de Trabalho Virtual do Azure.

  4. Azure serviço de subscrição de feed do Virtual Desktop valida o token.

  5. Azure serviço de subscrição de feed do Virtual Desktop passa a lista de ambientes de trabalho e aplicações disponíveis para o cliente sob a forma de configuração de ligação assinada digitalmente.

  6. O cliente armazena a configuração de ligação para cada recurso disponível num conjunto de .rdp ficheiros.

  7. Nas ligações à Cloud pública, quando um utilizador seleciona o recurso a ligar, o cliente utiliza o ficheiro associado .rdp e estabelece uma ligação TLS segura a uma instância de gateway do Área de Trabalho Virtual do Azure com a ajuda do Azure Front Door e transmite as informações de ligação. A latência de todos os gateways é avaliada e os gateways são colocados em grupos de 10 ms. É escolhido o gateway com a latência mais baixa e o menor número de ligações existentes. Outras clouds podem utilizar Azure Gestor de Tráfego para este passo.

  8. Azure gateway do Virtual Desktop valida o pedido e pede ao Azure mediador do Virtual Desktop para orquestrar a ligação.

  9. Azure mediador do Virtual Desktop identifica o anfitrião da sessão e utiliza o canal de comunicação persistente estabelecido anteriormente para inicializar a ligação.

  10. A pilha de Ambiente de Trabalho Remoto inicia uma ligação TLS à mesma instância do gateway do Área de Trabalho Virtual do Azure utilizada pelo cliente.

  11. Depois de o cliente e o anfitrião de sessão se ligarem ao gateway, o gateway começa a reencaminhar os dados entre ambos os pontos finais. Esta ligação estabelece o transporte de ligação inversa base para a ligação RDP através de um túnel aninhado, utilizando a versão do TLS mutuamente acordada suportada e ativada entre o cliente e o anfitrião de sessão, até TLS 1.3.

  12. Depois de definir o transporte base, o cliente inicia o handshake RDP.

Segurança da ligação

O TLS é utilizado para todas as ligações. A versão utilizada depende da ligação e das capacidades do cliente e do anfitrião da sessão:

  • Para todas as ligações iniciadas a partir dos clientes e anfitriões de sessão para os componentes de infraestrutura do Área de Trabalho Virtual do Azure, o TLS 1.2 é o mínimo e o TLS 1.3 pode ser utilizado se o sistema operativo cliente o suportar. Área de Trabalho Virtual do Azure utiliza as mesmas cifras TLS 1.2 ou 1.3 que Azure Front Door. É importante garantir que os computadores cliente e os anfitriões de sessão podem utilizar estas cifras.

  • Para o transporte de ligação inversa, o cliente e o anfitrião de sessão ligam-se ao gateway do Área de Trabalho Virtual do Azure. Após a ligação TCP para o transporte base ser estabelecida, o cliente ou o anfitrião de sessão valida o certificado do gateway do Área de Trabalho Virtual do Azure. Em seguida, o RDP estabelece uma ligação TLS aninhada entre o cliente e o anfitrião da sessão com os certificados do anfitrião da sessão. A versão do TLS utiliza a versão do TLS mutuamente acordada suportada e ativada entre o cliente e o anfitrião da sessão, até ao TLS 1.3. O TLS 1.3 é suportado a partir de Windows 11 (21H2) e em Windows Server 2022. Para saber mais, veja Windows 11 suporte do TLS. Para outros sistemas operativos, marcar com o fornecedor do sistema operativo para suporte TLS 1.3.

Por predefinição, o certificado utilizado para encriptação RDP é gerado automaticamente pelo SO durante a implementação. Área de Trabalho Virtual do Azure não suporta a utilização de um certificado emitido a partir de uma autoridade de certificação neste momento.

Próximas etapas

  • Last updated on