Compartilhar via


Noções básicas sobre a conectividade de rede da Área de Trabalho Virtual do Azure

A Área de Trabalho Virtual do Azure hospeda sessões de cliente em hosts de sessão em execução no Azure. A Microsoft gerencia partes dos serviços em nome do cliente e fornece pontos de extremidade seguros para conectar clientes e hosts de sessão. O diagrama a seguir fornece uma visão geral de alto nível das conexões de rede usadas pela Área de Trabalho Virtual do Azure.

Diagrama de Conexões de Rede de Área de Trabalho Virtual do Azure

Conectividade de sessão

A Área de Trabalho Virtual do Azure usa protocolo RDP (RDP) para fornecer recursos remotos de exibição e entrada em conexões de rede. O RDP foi lançado inicialmente com o Windows NT 4.0 Terminal Server Edition e estava evoluindo continuamente a cada versão do Microsoft Windows e do Windows Server. Desde o início, o RDP desenvolveu para ser independente de sua pilha de transporte subjacente e, atualmente, dá suporte a vários tipos de transporte.

Transporte de conexão inversa

A Área de Trabalho Virtual do Azure está usando o transporte de conexão inversa para estabelecer a sessão remota e para transportar o tráfego RDP. Ao contrário das implantações Serviços de Área de Trabalho Remota locais, o transporte de conexão inversa não usa um ouvinte TCP para receber conexões RDP de entrada. Em vez disso, ele está usando a conectividade de saída com a infraestrutura da Área de Trabalho Virtual do Azure pela conexão HTTPS.

Canal de comunicação do host de sessão

Após a inicialização do host de sessão da Área de Trabalho Virtual do Azure, o serviço de carregador de agente de Área de Trabalho Remota estabelece o canal de comunicação persistente do agente da Área de Trabalho Virtual do Azure. Esse canal de comunicação é em camadas sobre uma conexão TLS (Segurança de Camada de Transporte) segura e serve como um barramento para troca de mensagens de serviço entre o host da sessão e a infraestrutura da Área de Trabalho Virtual do Azure.

Sequência de conexão do cliente

A sequência de conexão do cliente é a seguinte:

  1. Ao usar o cliente de Área de Trabalho Virtual do Azure com suporte, o usuário assina o Espaço de Trabalho Virtual do Azure.

  2. O Microsoft Entra autentica o usuário e retorna o token que foi usado para enumerar os recursos disponíveis para um usuário.

  3. O cliente passa o token para o serviço de assinatura do feed da Área de Trabalho Virtual do Azure.

  4. O serviço de assinatura do feed da Área de Trabalho Virtual do Azure valida o token.

  5. O serviço de assinatura do feed da Área de Trabalho Virtual do Azure passa a lista de áreas de trabalho e aplicativos disponíveis de volta para o cliente na forma de configuração de conexão assinada digitalmente.

  6. O cliente armazena a configuração de conexão para cada recurso disponível em um conjunto de arquivos .rdp.

  7. Quando um usuário seleciona o recurso para se conectar, o cliente usa o arquivo .rdp associado e estabelece uma conexão TLS 1.2 segura com uma instância de gateway da Área de Trabalho Virtual do Azure com a ajuda do Azure Front Door e passa as informações de conexão. A latência de todos os gateways é avaliada e os gateways são colocados em grupos de 10 ms. O gateway com a menor latência e o menor número de conexões existentes é escolhido.

  8. O gateway da Área de Trabalho Virtual do Azure valida a solicitação e solicita que o agente dessa área de trabalho coordene a conexão.

  9. O agente da Área de Trabalho Virtual do Azure identifica o host de sessão e usa o canal de comunicação persistente estabelecido anteriormente para inicializar a conexão.

  10. A pilha de Área de Trabalho Remota inicia uma conexão TLS 1.2 com a mesma instância de gateway da Área de Trabalho Virtual do Azure usada pelo cliente.

  11. Depois que o host do cliente e da sessão estiver conectado ao gateway, o gateway começará a retransmitir os dados entre ambos os pontos de extremidade. Essa conexão estabelece o transporte de conexão reversa base para a conexão RDP por meio de um túnel aninhado, usando a versão do TLS mutuamente acordada com suporte e habilitada entre o cliente e o host de sessão, até O TLS 1.3.

  12. Depois que o transporte base é definido, o cliente inicia o handshake do RDP.

Segurança da conexão

O TLS é usado para todas as conexões. A versão usada depende de qual conexão é feita e dos recursos do cliente e do host de sessão:

  • Para todas as conexões iniciadas dos clientes e hosts de sessão para os componentes de infraestrutura da Área de Trabalho Virtual do Azure, o TLS 1.2 é usado. A Área de Trabalho Virtual do Azure usa as mesmas criptografias TLS 1.2 que o Azure Front Door. É importante garantir que os computadores cliente e os hosts de sessão possam usar essas codificações.

  • Para o transporte de conexão reversa, o cliente e o host de sessão se conectam ao gateway da Área de Trabalho Virtual do Azure. Depois que a conexão TCP para o transporte base for estabelecida, o cliente ou o host de sessão validará o certificado do gateway da Área de Trabalho Virtual do Azure. Em seguida, o RDP estabelece uma conexão TLS aninhada entre o cliente e o host de sessão usando os certificados do host de sessão. A versão do TLS usa a versão do TLS mutuamente acordada com suporte e habilitada entre o cliente e o host de sessão, até o TLS 1.3. O TLS 1.3 tem suporte a partir do Windows 11 (21H2) e do Windows Server 2022. Para saber mais, consulte suporte ao TLS do Windows 11. Para outros sistemas operacionais, verifique com o fornecedor do sistema operacional o suporte ao TLS 1.3.

Por padrão, o certificado usado para criptografia de RDP é gerado automaticamente pelo sistema operacional durante a implantação. Você também pode implantar certificados gerenciados centralmente emitidos pela autoridade de certificação corporativa. Para obter mais informações sobre como configurar certificados, consulte configurações de certificado do ouvinte da Área de Trabalho Remota.

Próximas etapas