Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Virtual Desktop är värd för klientsessioner på sessionsvärdar som körs på Azure. Microsoft hanterar delar av tjänsterna för kundens räkning och tillhandahåller säkra slutpunkter för att ansluta klienter och sessionsvärdar. Följande diagram ger en översikt på hög nivå över de nätverksanslutningar som används av Azure Virtual Desktop.
Sessionsanslutning
Azure Virtual Desktop använder RDP (Fjärrskrivbord Protocol) för att tillhandahålla funktioner för fjärrvisning och indata via nätverksanslutningar. RDP har utvecklats kontinuerligt med alla Microsoft Windows- och Windows Server versioner. Rdp utvecklades från början till att vara oberoende av den underliggande transportstacken och stöder idag flera typer av transporter.
Transport med omvänd anslutning
Azure Virtual Desktop använder omvänd anslutningstransport för att upprätta fjärrsessionen och för att transportera RDP-trafik. Till skillnad från de lokala distributionerna av fjärrskrivbordstjänster använder inte transport med omvänd anslutning en TCP-lyssnare för att ta emot inkommande RDP-anslutningar. I stället använder den utgående anslutning till Azure Virtual Desktop-infrastrukturen via HTTPS-anslutningen.
Kommunikationskanal för sessionsvärd
När Azure Virtual Desktop-sessionsvärden startas upprättar tjänsten Fjärrskrivbord Agent Loader Azure Virtual Desktop Brokers beständiga kommunikationskanal. Den här kommunikationskanalen är skiktad ovanpå en säker TLS-anslutning (Transport Layer Security) och fungerar som en buss för servicemeddelandeutbyte mellan sessionsvärd och Azure Virtual Desktop-infrastruktur.
Klientanslutningssekvens
Klientanslutningssekvensen är följande (stegen kan variera utanför Azure offentliga molnet):
Med hjälp av Azure Virtual Desktop-klientanvändare som stöds prenumererar användaren på Azure Virtual Desktop-arbetsytan.
Microsoft Entra autentiserar användaren och returnerar den token som används för att räkna upp resurser som är tillgängliga för en användare.
Klienten skickar token till prenumerationstjänsten för Azure Virtual Desktop-feed.
Azure Prenumerationstjänst för Virtual Desktop-feed verifierar token.
Azure Prenumerationstjänst för Virtual Desktop-feed skickar listan över tillgängliga skrivbord och program tillbaka till klienten i form av en digitalt signerad anslutningskonfiguration.
Klienten lagrar anslutningskonfigurationen för varje tillgänglig resurs i en uppsättning
.rdpfiler.I offentliga molnanslutningar, när en användare väljer resursen för att ansluta, använder klienten den associerade
.rdpfilen och upprättar en säker TLS-anslutning till en Azure Virtual Desktop-gatewayinstans med hjälp av Azure Front Door och skickar anslutningsinformationen. Svarstiden från alla gatewayer utvärderas och gatewayerna placeras i grupper på 10 ms. Gatewayen med lägst svarstid och sedan det lägsta antalet befintliga anslutningar väljs. Andra moln kan använda Azure Traffic Manager för det här steget.Azure Virtual Desktop-gatewayen verifierar begäran och ber Azure Virtual Desktop-meddelandekö att samordna anslutningen.
Azure Virtual Desktop Broker identifierar sessionsvärden och använder den tidigare etablerade beständiga kommunikationskanalen för att initiera anslutningen.
Fjärrskrivbordsstacken initierar en TLS-anslutning till samma Azure Virtual Desktop-gatewayinstans som används av klienten.
När både klient- och sessionsvärden är anslutna till gatewayen börjar gatewayen vidarebefordra data mellan båda slutpunkterna. Den här anslutningen upprättar den grundläggande omvända anslutningstransporten för RDP-anslutningen via en kapslad tunnel, med hjälp av den ömsesidigt överenskomna TLS-version som stöds och aktiveras mellan klienten och sessionsvärden, upp till TLS 1.3.
När bastransporten har angetts startar klienten RDP-handskakningen.
Anslutningssäkerhet
TLS används för alla anslutningar. Vilken version som används beror på vilken anslutning som görs och funktionerna i klienten och sessionsvärden:
För alla anslutningar som initieras från klienterna och sessionsvärdarna till Azure Virtual Desktop-infrastrukturkomponenter är TLS 1.2 det lägsta och TLS 1.3 kan användas om klientoperativsystemet stöder det. Azure Virtual Desktop använder samma TLS 1.2- eller 1.3-chiffer som Azure Front Door. Det är viktigt att se till att både klientdatorer och sessionsvärdar kan använda dessa chiffer.
För transport av omvänd anslutning ansluter både klienten och sessionsvärden till Azure Virtual Desktop-gatewayen. När TCP-anslutningen för bastransporten har upprättats validerar klienten eller sessionsvärden Azure Virtual Desktop-gatewayens certifikat. RDP upprättar sedan en kapslad TLS-anslutning mellan klient- och sessionsvärden med hjälp av sessionsvärdens certifikat. Versionen av TLS använder den ömsesidigt överenskomna TLS-version som stöds och aktiveras mellan klienten och sessionsvärden, upp till TLS 1.3. TLS 1.3 stöds från och med Windows 11 (21H2) och i Windows Server 2022. Mer information finns i Windows 11 TLS-stöd. För andra operativsystem kan du kontakta operativsystemets leverantör för att få stöd för TLS 1.3.
Som standard genereras certifikatet som används för RDP-kryptering av operativsystemet själv under distributionen. Azure Virtual Desktop stöder för närvarande inte användning av ett certifikat som utfärdats från en certifikatutfärdare.
Nästa steg
- Mer information om bandbreddskrav för Azure Virtual Desktop finns i Förstå krav på RDP-bandbredd (Fjärrskrivbord Protocol) för Azure Virtual Desktop.
- Information om hur du kommer igång med QoS (Quality of Service) för Azure Virtual Desktop finns i Implementera tjänstkvalitet (QoS) för Azure Virtual Desktop.