Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Виртуальный рабочий стол Azure размещает клиентские сеансы на узлах сеансов, работающих в Azure. Корпорация Майкрософт управляет частями служб от имени клиента и предоставляет безопасные конечные точки для подключения клиентов и узлов сеансов. На следующей схеме представлен общий обзор сетевых подключений, используемых Виртуальным рабочим столом Azure.
Подключение к сеансу
Виртуальный рабочий стол Azure использует протокол удаленного рабочего стола (RDP) для реализации функций удаленного отображения и ввода по сетевым каналам. RDP постоянно развивается с каждым выпуском Microsoft Windows и Windows Server. С самого начала RDP разрабатывался так, чтобы он не зависел от своего базового стека транспорта, и сегодня он поддерживает несколько типов транспорта.
Транспорт с обратным подключением
Виртуальный рабочий стол Azure использует транспорт с обратным подключением для установки удаленного сеанса и передачи трафика RDP. В отличие от локальных развертываний служб удаленных рабочих столов, транспорт с обратным подключением не использует прослушиватель TCP для получения входящих подключений RDP. Вместо этого используется исходящее подключение к инфраструктуре Виртуального рабочего стола Azure по протоколу HTTPS.
Канал связи узла сеанса
При запуске узла сеансов Виртуального рабочего стола Azure служба загрузчика агента удаленных рабочих столов устанавливает постоянный канал связи брокера Виртуальных рабочих столов Azure. Этот канал связи расположен на уровне поверх безопасного подключения TLS и служит шиной для обмена сообщениями между узлом сеансов и инфраструктурой Виртуального рабочего стола Azure.
Последовательность подключения клиента
Последовательность подключения клиента выглядит следующим образом:
Используя поддерживаемый клиент Виртуального рабочего стола Azure, пользователь подписывается на рабочую область Виртуального рабочего стола Azure.
Microsoft Entra проверяет подлинность пользователя и возвращает маркер, используемый для перечисления ресурсов, доступных пользователю.
Клиент передает маркер в службу подписки канала Виртуального рабочего стола Azure.
Служба подписки на веб-канал Виртуального рабочего стола Azure проверяет маркер.
Служба подписки на канал виртуального рабочего стола Azure передает клиенту список доступных рабочих столов и приложений в виде конфигурации подключения с цифровой подписью.
Клиент сохраняет конфигурацию подключения для каждого доступного
.rdpресурса в наборе файлов.Когда пользователь выбирает ресурс для подключения, клиент использует связанный
.rdpфайл и устанавливает безопасное TLS-подключение к экземпляру шлюза Виртуального рабочего стола Azure с помощью Azure Front Door и передает сведения о подключении. Задержка от всех шлюзов оценивается, и шлюзы помещаются в группы по 10 мс. Выбирается шлюз с наименьшей задержкой, а затем наименьшим количеством существующих подключений.Шлюз Виртуального рабочего стола Azure проверяет запрос и просит брокера Виртуального рабочего стола Azure организовать подключение.
Брокер Виртуального рабочего стола Azure определяет узел сеанса и использует ранее установленный постоянный канал связи для инициализации подключения.
Стек удаленного рабочего стола инициирует tls-подключение к тому же экземпляру шлюза Виртуального рабочего стола Azure, который используется клиентом.
После подключения клиента и узла сеансов к шлюзу шлюз начнет ретрансляцию данных между обеими конечными точками. Это подключение устанавливает базовый транспорт обратного подключения для подключения по протоколу RDP через вложенный туннель с использованием поддерживаемой и включенной взаимно согласованной версии TLS между клиентом и узлом сеансов до TLS 1.3.
После установки базового транспорта клиент запускает подтверждение RDP.
Безопасность подключения
ПРОТОКОЛ TLS используется для всех подключений. Используемая версия зависит от того, какое соединение установлено, а также от возможностей клиента и узла сеансов:
Для всех подключений, инициированных от клиентов и узлов сеансов к компонентам инфраструктуры Виртуального рабочего стола Azure, протокол TLS 1.2 является минимальным, и TLS 1.3 можно использовать, если клиентская операционная система поддерживает его. Виртуальный рабочий стол Azure использует те же шифры TLS 1.2 или 1.3, что и Azure Front Door. Важно убедиться, что клиентские компьютеры и узлы сеансов могут использовать эти шифры.
Для транспорта обратного подключения клиент и узел сеансов подключаются к шлюзу Виртуального рабочего стола Azure. После установки TCP-подключения для базового транспорта клиент или узел сеансов проверяет сертификат шлюза Виртуальных рабочих столов Azure. Затем RDP устанавливает вложенное TLS-подключение между клиентом и узлом сеансов с помощью сертификатов узла сеансов. Версия TLS использует согласованную версию TLS, поддерживаемую и включенную между клиентом и узлом сеансов, вплоть до TLS 1.3. TLS 1.3 поддерживается, начиная с Windows 11 (21H2) и с Windows Server 2022 г. Дополнительные сведения см. в разделе поддержка TLS Windows 11. Для других операционных систем проверка с поставщиком операционной системы для поддержки TLS 1.3.
По умолчанию сертификат, используемый для шифрования RDP, создается ос самостоятельно во время развертывания. В настоящее время Виртуальный рабочий стол Azure не поддерживает использование сертификата, выданного центром сертификации.
Дальнейшие действия
- Сведения о требованиях к пропускной способности для Виртуального рабочего стола Azure см. в статье Общие сведения о требованиях к пропускной способности протокола удаленного рабочего стола (RDP) для Виртуального рабочего стола Azure.
- Чтобы приступить к работе с качеством обслуживания (QoS) для Виртуального рабочего стола Azure, см. статью Реализация качества обслуживания (QoS) для Виртуального рабочего стола Azure.