Partilhar via


Compreender a conectividade de rede do Azure Virtual Desktop

A Área de Trabalho Virtual do Azure hospeda sessões de cliente em hosts de sessão em execução no Azure. A Microsoft gerencia partes dos serviços em nome do cliente e fornece pontos de extremidade seguros para conectar clientes e hosts de sessão. O diagrama a seguir fornece uma visão geral de alto nível das conexões de rede usadas pela Área de Trabalho Virtual do Azure.

Diagrama de conexões de rede de área de trabalho virtual do Azure

Conectividade da sessão

A Área de Trabalho Virtual do Azure usa o protocolo RDP (Remote Desktop Protocol) para fornecer recursos de exibição e entrada remotos em conexões de rede. O RDP foi inicialmente lançado com o Windows NT 4.0 Terminal Server Edition e estava evoluindo continuamente com cada versão do Microsoft Windows e do Windows Server. Desde o início, o RDP desenvolveu-se para ser independente de sua pilha de transporte subjacente, e hoje suporta vários tipos de transporte.

Transporte de conexão reversa

A Área de Trabalho Virtual do Azure está usando o transporte de conexão reversa para estabelecer a sessão remota e para transportar tráfego RDP. Ao contrário das implantações dos Serviços de Área de Trabalho Remota locais, o transporte de conexão reversa não usa um ouvinte TCP para receber conexões RDP de entrada. Em vez disso, está a utilizar a conectividade de saída para a infraestrutura do Ambiente de Trabalho Virtual do Azure através da ligação HTTPS.

Canal de comunicação do anfitrião da sessão

Após a inicialização do host de sessão da Área de Trabalho Virtual do Azure, o serviço Carregador do Agente da Área de Trabalho Remota estabelece o canal de comunicação persistente do agente da Área de Trabalho Virtual do Azure. Esse canal de comunicação é colocado em camadas sobre uma conexão TLS (Transport Layer Security) segura e serve como um barramento para troca de mensagens de serviço entre o host da sessão e a infraestrutura da Área de Trabalho Virtual do Azure.

Sequência de conexão do cliente

A sequência de conexão do cliente é a seguinte:

  1. Usando o cliente de Área de Trabalho Virtual do Azure com suporte, o usuário se inscreve no Espaço de Trabalho de Área de Trabalho Virtual do Azure.

  2. O Microsoft Entra autentica o usuário e retorna o token usado para enumerar recursos disponíveis para um usuário.

  3. O cliente passa o token para o serviço de assinatura de feed da Área de Trabalho Virtual do Azure.

  4. O serviço de assinatura de feed da Área de Trabalho Virtual do Azure valida o token.

  5. O serviço de assinatura de feed da Área de Trabalho Virtual do Azure passa a lista de áreas de trabalho e aplicativos disponíveis de volta para o cliente na forma de configuração de conexão assinada digitalmente.

  6. O cliente armazena a configuração de conexão para cada recurso disponível em um conjunto de .rdp arquivos.

  7. Quando um usuário seleciona o recurso a ser conectado, o cliente usa o arquivo associado .rdp e estabelece uma conexão TLS 1.2 segura com uma instância de gateway da Área de Trabalho Virtual do Azure com a ajuda do Azure Front Door e passa as informações de conexão. A latência de todos os gateways é avaliada e os gateways são colocados em grupos de 10 ms. O gateway com a menor latência e, em seguida, o menor número de conexões existentes é escolhido.

  8. O gateway da Área de Trabalho Virtual do Azure valida a solicitação e solicita ao agente da Área de Trabalho Virtual do Azure para orquestrar a conexão.

  9. O agente da Área de Trabalho Virtual do Azure identifica o host da sessão e usa o canal de comunicação persistente estabelecido anteriormente para inicializar a conexão.

  10. A pilha de Área de Trabalho Remota inicia uma conexão TLS 1.2 com a mesma instância de gateway da Área de Trabalho Virtual do Azure usada pelo cliente.

  11. Depois que o cliente e o host da sessão se conectam ao gateway, o gateway começa a retransmitir os dados entre os dois pontos de extremidade. Essa conexão estabelece o transporte de conexão reversa de base para a conexão RDP através de um túnel aninhado, usando a versão TLS mutuamente acordada suportada e habilitada entre o cliente e o host da sessão, até TLS 1.3.

  12. Depois que o transporte base é definido, o cliente inicia o handshake RDP.

Segurança da Ligação

TLS é usado para todas as conexões. A versão usada depende de qual conexão é feita e dos recursos do cliente e do host da sessão:

  • Para todas as conexões iniciadas a partir dos clientes e hosts de sessão para os componentes de infraestrutura da Área de Trabalho Virtual do Azure, o TLS 1.2 é usado. A Área de Trabalho Virtual do Azure usa as mesmas cifras TLS 1.2 que o Azure Front Door. É importante garantir que os computadores clientes e os hosts de sessão possam usar essas cifras.

  • Para o transporte de conexão inversa, o cliente e o host da sessão se conectam ao gateway da Área de Trabalho Virtual do Azure. Depois que a conexão TCP para o transporte base é estabelecida, o cliente ou host de sessão valida o certificado do gateway da Área de Trabalho Virtual do Azure. Em seguida, o RDP estabelece uma conexão TLS aninhada entre o cliente e o host da sessão usando os certificados do host da sessão. A versão do TLS usa a versão TLS mutuamente acordada suportada e habilitada entre o cliente e o host da sessão, até TLS 1.3. O TLS 1.3 é suportado a partir do Windows 11 (21H2) e do Windows Server 2022. Para saber mais, consulte Suporte a TLS do Windows 11. Para outros sistemas operacionais, consulte o fornecedor do sistema operacional para obter suporte ao TLS 1.3.

Por padrão, o certificado usado para criptografia RDP é gerado automaticamente pelo sistema operacional durante a implantação. Você também pode implantar certificados gerenciados centralmente emitidos pela autoridade de certificação corporativa. Para obter mais informações sobre como configurar certificados, consulte Configurações de certificado de ouvinte da Área de Trabalho Remota.

Próximos passos