Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können Azure Private Link mit Azure Virtual Desktop verwenden, um eine private Verbindung mit Ihren Remoteressourcen herzustellen. Durch das Erstellen eines privaten Endpunkts verbleibt der Datenverkehr zwischen Ihrem virtuellen Netzwerk und dem Dienst im Microsoft-Netzwerk, sodass Sie Ihren Dienst nicht mehr für das öffentliche Internet verfügbar machen müssen. Sie verwenden auch ein VPN oder ExpressRoute für Ihre Benutzer mit dem Remotedesktopclient, um eine Verbindung mit dem virtuellen Netzwerk herzustellen. Die Beibehaltung des Datenverkehrs im Microsoft-Netzwerk verbessert die Sicherheit und sorgt für die Sicherheit Ihrer Daten. In diesem Artikel wird beschrieben, wie Private Link Ihnen helfen können, Ihre Azure Virtual Desktop-Umgebung zu schützen.
Wie funktioniert Private Link mit Azure Virtual Desktop?
Azure Virtual Desktop verfügt über drei Workflows mit drei entsprechenden Ressourcentypen, die mit privaten Endpunkten verwendet werden können. Diese Workflows sind:
Anfängliche Feedermittlung: Ermöglicht dem Client die Ermittlung aller Arbeitsbereiche, die einem Benutzer zugewiesen sind. Um diesen Prozess zu aktivieren, müssen Sie einen einzelnen privaten Endpunkt für die globale Unterressource eines beliebigen Arbeitsbereichs erstellen. Sie können jedoch nur einen privaten Endpunkt in Ihrer gesamten Azure Virtual Desktop-Bereitstellung erstellen. Dieser Endpunkt erstellt DNS-Einträge (Domain Name System) und private IP-Routen für den globalen vollqualifizierten Domänennamen (FQDN), der für die anfängliche Feedermittlung erforderlich ist. Diese Verbindung wird zu einer einzelnen freigegebenen Route, die von allen Clients verwendet werden kann.
Feeddownload: Der Client lädt alle Verbindungsdetails für einen bestimmten Benutzer für die Arbeitsbereiche herunter, die seine Anwendungsgruppen hosten. Sie erstellen einen privaten Endpunkt für die Feedunterressource für jeden Arbeitsbereich, den Sie mit Private Link verwenden möchten.
Verbindungen mit Hostpools: Jede Verbindung mit einem Hostpool hat zwei Seiten: Clients und Sitzungshosts. Sie müssen einen privaten Endpunkt für die Unterressource der Verbindung für jeden Hostpool erstellen, den Sie mit Private Link verwenden möchten.
Das folgende allgemeine Diagramm zeigt, wie Private Link einen lokalen Client sicher mit dem Azure Virtual Desktop-Dienst verbindet. Ausführlichere Informationen zu Clientverbindungen finden Sie unter Clientverbindungssequenz.
Unterstützte Szenarien
Beim Hinzufügen von Private Link mit Azure Virtual Desktop haben Sie die folgenden unterstützten Szenarien, um eine Verbindung mit Azure Virtual Desktop herzustellen. Welches Szenario Sie wählen, hängt von Ihren Anforderungen ab. Sie können diese privaten Endpunkte entweder in Ihrer Gesamten Netzwerktopologie freigeben oder Ihre virtuellen Netzwerke isolieren, sodass jedes über einen eigenen privaten Endpunkt für den Hostpool oder Arbeitsbereich verfügt.
Alle Teile der Verbindung – anfängliche Feedermittlung, Feeddownload und Remotesitzungsverbindungen für Clients und Sitzungshosts – verwenden private Routen. Sie benötigen die folgenden privaten Endpunkte:
Zweck Ressourcentyp Zielunterressource Endpunktmenge Verbindungen mit Hostpools Microsoft.DesktopVirtualization/hostpools Verbindung Eins pro Hostpool Feeddownload Microsoft.DesktopVirtualization/workspaces füttern Eine pro Arbeitsbereich Anfängliche Feedermittlung Microsoft.DesktopVirtualization/workspaces global Nur eine für alle Ihre Azure Virtual Desktop-Bereitstellungen Feeddownload- und Remotesitzungsverbindungen für Clients und Sitzungshosts verwenden private Routen, aber die anfängliche Feedermittlung verwendet öffentliche Routen. Sie benötigen die folgenden privaten Endpunkte. Der Endpunkt für die anfängliche Feedermittlung ist nicht erforderlich.
Zweck Ressourcentyp Zielunterressource Endpunktmenge Verbindungen mit Hostpools Microsoft.DesktopVirtualization/hostpools Verbindung Eins pro Hostpool Feeddownload Microsoft.DesktopVirtualization/workspaces füttern Eine pro Arbeitsbereich Nur Remotesitzungsverbindungen für Clients und Sitzungshosts verwenden private Routen, aber die anfängliche Feedermittlung und der Feeddownload verwenden öffentliche Routen. Sie benötigen die folgenden privaten Endpunkte. Endpunkte für Arbeitsbereiche sind nicht erforderlich.
Zweck Ressourcentyp Zielunterressource Endpunktmenge Verbindungen mit Hostpools Microsoft.DesktopVirtualization/hostpools Verbindung Eins pro Hostpool Sowohl Clients als auch Sitzungshost-VMs verwenden öffentliche Routen. Private Link wird in diesem Szenario nicht verwendet.
Wichtig
Wenn Sie einen privaten Endpunkt für die anfängliche Feedermittlung erstellen, wird der freigegebene vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) von dem Arbeitsbereich, der für die globale Unterressource verwendet wird, verwaltet, wodurch die anfängliche Ermittlung von Feeds in allen Arbeitsbereichen erleichtert wird. Sie sollten einen separaten Arbeitsbereich erstellen, der nur für diesen Zweck verwendet wird und in dem keine Anwendungsgruppen registriert sind. Das Löschen dieses Arbeitsbereichs führt dazu, dass alle Feedermittlungsprozesse nicht mehr funktionieren.
Sie können den Zugriff auf den Arbeitsbereich, der für die anfängliche Feedermittlung (globale Unterressource) verwendet wird, nicht steuern. Wenn Sie diesen Arbeitsbereich so konfigurieren, dass er nur privaten Zugriff zulässt, wird die Einstellung ignoriert. Auf diesen Arbeitsbereich kann immer über öffentliche Routen zugegriffen werden.
IP-Adresszuordnungen können sich ändern, wenn die Nachfrage nach IP-Adressen zunimmt. Bei Kapazitätserweiterungen werden zusätzliche Adressen für private Endpunkte benötigt. Es ist wichtig, dass Sie eine potenzielle Adressraumauslastung in Betracht ziehen und ausreichend Spielraum für Wachstum sicherstellen. Weitere Informationen zum Bestimmen der geeigneten Netzwerkkonfiguration für private Endpunkte in einer Hub- oder Spoke-Topologie finden Sie unter Entscheidungsstruktur für Private Link Bereitstellung.
UDP mit Private Link (Opt-In)
Azure Virtual Desktop unterstützt UDP-Datenverkehr mit Private Link nur dann, wenn Sie sich auf der Seite Netzwerk des Azure-Portal Hostpools anmelden. Wenn Sie sich nicht anmelden, wird UDP-Datenverkehr über Private Link blockiert.
So melden Sie sich an (Portal):
Öffnen Sie im Azure-Portal Ihren Azure Virtual Desktop-Hostpool.
Wählen Sie Netzwerk –> Öffentlicher Zugriff aus.
Wählen Sie unter Öffentlicher Zugriff das Optionsfeld Öffentlichen Zugriff für Endbenutzer aktivieren, privaten Zugriff für Sitzungshosts verwendenoderÖffentlichen Zugriff deaktivieren und privaten Zugriff verwenden aus. Für diese Auswahl wird das Kontrollkästchen UDP-Anmeldung angezeigt.
Wählen Sie Direkten UDP-Netzwerkpfad über Private Link zulassen aus, um UDP-basierte Transporte zu aktivieren (z. B. RDP Shortpath für verwaltete Netzwerke).
** Wichtige Konfigurationsanforderung Nachdem Sie das Kontrollkästchen udp opt-in aktiviert haben, deaktivieren Sie RDP Shortpath for oublic networks options in the RDP Shortpath tab:
Deaktivieren Sie RDP Shortpath für öffentliche Netzwerke (über STUN) und RDP Shortpath für öffentliche Netzwerke (über TURN).
Das Portal blockiert Speichern , wenn diese öffentlichen Shortpath-Optionen aktiviert bleiben, und zeigt einen Konfigurationsfehler an, bis Sie sie deaktivieren.
Wichtig
Aktuelles Verhalten: RDP Shortpath ist standardmäßig aktiviert, auch wenn das Kontrollkästchen Direkte UDP-Netzwerkpfad mit privatem Link zulassen nicht aktiviert ist.
Bevorstehende Änderung: Ab dem 1. Februar 2026 ändert sich dies:
- Das UDP-Opt-In-Kontrollkästchen wird zum Aktivieren von RDP Shortpath mit privatem Link obligatorisch .
- Wenn das Kontrollkästchen nicht aktiviert ist, wird RDP Shortpath für Private Link Verbindungen blockiert.
Um Unterbrechungen zu vermeiden, überprüfen Sie Ihre Einstellungen, und aktivieren Sie das Kontrollkästchen UDP-Anmeldung vor diesem Datum.
Konfigurationsergebnisse
Sie konfigurieren Einstellungen für die relevanten Azure Virtual Desktop-Arbeitsbereiche und Hostpools, um den öffentlichen oder privaten Zugriff festzulegen. Für Verbindungen mit einem Arbeitsbereich mit Ausnahme des Arbeitsbereichs, der für die anfängliche Feedermittlung (globale Unterressource) verwendet wird, wird in der folgenden Tabelle das Ergebnis jedes Szenarios ausführlich beschrieben:
| Konfiguration | Ergebnis |
|---|---|
| Öffentlicher Zugriff über alle Netzwerke aktiviert | Arbeitsbereichsfeedanforderungen sind von öffentlichen Routen zulässig. Arbeitsbereichsfeedanforderungen sind von privaten Routen zulässig. |
| Öffentlicher Zugriff aus allen Netzwerken deaktiviert | Arbeitsbereichsfeedanforderungen werden von öffentlichen Routen abgelehnt. Arbeitsbereichsfeedanforderungen sind von privaten Routen zulässig. |
Beim Reverse Connect-Transport gibt es zwei Netzwerkverbindungen für Verbindungen mit Hostpools: den Client zum Gateway und den Sitzungshost für das Gateway. Zusätzlich zum Aktivieren oder Deaktivieren des öffentlichen Zugriffs für beide Verbindungen können Sie auch den öffentlichen Zugriff für Clients aktivieren, die eine Verbindung mit dem Gateway herstellen, und den privaten Zugriff nur für Sitzungshosts zulassen, die eine Verbindung mit dem Gateway herstellen. In der folgenden Tabelle ist das Ergebnis der einzelnen Szenarien aufgeführt:
| Konfiguration | Ergebnis |
|---|---|
| Öffentlicher Zugriff über alle Netzwerke aktiviert | Remotesitzungen sind zulässig , wenn entweder der Client oder der Sitzungshost eine öffentliche Route verwendet. Remotesitzungen sind zulässig , wenn der Client oder der Sitzungshost eine private Route verwendet. |
| Öffentlicher Zugriff aus allen Netzwerken deaktiviert | Remotesitzungen werden verweigert , wenn der Client oder der Sitzungshost eine öffentliche Route verwendet. Remotesitzungen sind zulässig , wenn sowohl der Client als auch der Sitzungshost eine private Route verwenden. |
| Öffentlicher Zugriff für Clientnetzwerke aktiviert, aber für Sitzungshostnetzwerke deaktiviert | Remotesitzungen werden verweigert , wenn der Sitzungshost eine öffentliche Route verwendet, unabhängig von der Route, die der Client verwendet. Remotesitzungen sind zulässig , solange der Sitzungshost eine private Route verwendet, unabhängig von der Route, die der Client verwendet. |
Clientverbindungssequenz
Wenn ein Benutzer über Private Link eine Verbindung mit Azure Virtual Desktop herstellt und Azure Virtual Desktop so konfiguriert ist, dass nur Clientverbindungen von privaten Routen zugelassen werden, sieht die Verbindungssequenz wie folgt aus:
Bei einem unterstützten Client abonniert ein Benutzer einen Arbeitsbereich. Das Gerät des Benutzers fragt DNS nach der Adresse
rdweb.wvd.microsoft.com(oder der entsprechenden Adresse für andere Azure Umgebungen) ab.Ihre private DNS-Zone für privatelink-global.wvd.microsoft.com gibt die private IP-Adresse für die anfängliche Feedermittlung (globale Unterressource) zurück. Wenn Sie keinen privaten Endpunkt für die anfängliche Feedermittlung verwenden, wird eine öffentliche IP-Adresse zurückgegeben.
Für jeden Arbeitsbereich im Feed wird eine DNS-Abfrage für die Adresse
<workspaceId>.privatelink.wvd.microsoft.comerstellt.Ihre private DNS-Zone für privatelink.wvd.microsoft.com gibt die private IP-Adresse für den Arbeitsbereichsfeeddownload zurück und lädt den Feed über TCP-Port 443 herunter.
Beim Herstellen einer Verbindung mit einer Remotesitzung enthält die
.rdpDatei, die aus dem Arbeitsbereichsfeeddownload stammt, die Adresse für den Azure Virtual Desktop-Gatewaydienst mit der geringsten Latenz für das Gerät des Benutzers. Eine DNS-Abfrage wird an eine Adresse im Format<hostpooId>.afdfp-rdgateway.wvd.microsoft.comdurchgeführt.Ihre private DNS-Zone für privatelink.wvd.microsoft.com gibt die private IP-Adresse für den Azure Virtual Desktop-Gatewaydienst zurück, der für den Hostpool verwendet werden soll, der die Remotesitzung bereitstellt. Die Orchestrierung über das virtuelle Netzwerk und den privaten Endpunkt verwendet TCP-Port 443.
Nach der Orchestrierung wird der Netzwerkdatenverkehr zwischen dem Client, Azure Virtual Desktop-Gatewaydienst und dem Sitzungshost an einen Port im dynamischen TCP-Portbereich von 1 bis 65535 übertragen.
Wichtig
Wenn Sie netzwerkports von den Benutzerclientgeräten oder Ihren Sitzungshost-VMs auf die privaten Endpunkte beschränken möchten, müssen Sie Datenverkehr über den gesamten dynamischen TCP-Portbereich von 1 bis 65535 zum privaten Endpunkt für die Hostpoolressource zulassen, indem Sie die Unterressource "Verbindung " verwenden. Der gesamte dynamische TCP-Portbereich ist erforderlich, da Azure privates Netzwerk diese Ports intern dem entsprechenden Gateway zuordnet, das während der Clientorchestrierung ausgewählt wurde. Wenn Sie Ports auf den privaten Endpunkt beschränken, können Ihre Benutzer möglicherweise keine Verbindung mit Azure Virtual Desktop herstellen.
Bekannte Probleme und Einschränkungen
Private Link mit Azure Virtual Desktop gelten die folgenden Einschränkungen:
Bevor Sie Private Link für Azure Virtual Desktop verwenden, müssen Sie Private Link mit Azure Virtual Desktop in jedem Azure Abonnement aktivieren, das Sie mit Azure Virtual Desktop Private Link möchten.
Alle Remotedesktopclients zum Herstellen einer Verbindung mit Azure Virtual Desktop können mit Private Link verwendet werden. Wenn Sie den Remotedesktopclient für Windows in einem privaten Netzwerk ohne Internetzugriff verwenden und sowohl öffentliche als auch private Feeds abonniert haben, können Sie nicht auf Ihren Feed zugreifen.
Nachdem Sie einen privaten Endpunkt in einen Hostpool geändert haben, müssen Sie den Remotedesktop-Agent-Ladedienst (RDAgentBootLoader) auf jedem Sitzungshost im Hostpool neu starten. Außerdem müssen Sie diesen Dienst neu starten, wenn Sie die Netzwerkkonfiguration eines Hostpools ändern. Anstatt den Dienst neu zu starten, können Sie jeden Sitzungshost neu starten.
Die Verwendung von Private Link und RDP Shortpath für verwaltete Netzwerke befindet sich derzeit in der Vorschauphase. In den ergänzenden Nutzungsbedingungen für Microsoft Azure Previews finden Sie rechtliche Bestimmungen, die für Azure Features gelten, die sich in beta, in der Vorschau oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden. Alle anderen RDP Shortpath-Optionen, die STUN oder TURN verwenden, werden mit Private Link nicht unterstützt.
Zu beginn der Vorschau von Private Link mit Azure Virtual Desktop hat der private Endpunkt für die anfängliche Feedermittlung (für die globale Unterressource) den Namen der
privatelink.wvd.microsoft.comprivaten DNS-Zone für andere private Endpunkte für Arbeitsbereiche und Hostpools freigegeben. In dieser Konfiguration können Benutzer keine privaten Endpunkte ausschließlich für Hostpools und Arbeitsbereiche einrichten. Ab dem 1. September 2023 wird die Freigabe der privaten DNS-Zone in dieser Konfiguration nicht mehr unterstützt. Sie müssen einen neuen privaten Endpunkt für die globale Unterressource erstellen, um den Namen der privaten DNS-Zone vonprivatelink-global.wvd.microsoft.comverwenden zu können. Die entsprechenden Schritte finden Sie unter Anfängliche Feedermittlung.
Nächste Schritte
- Erfahren Sie, wie Sie Private Link mit Azure Virtual Desktop einrichten.
- Erfahren Sie, wie Sie Azure DNS für private Endpunkte unter Private Link DNS-Integration konfigurieren.
- Allgemeine Leitfäden zur Problembehandlung für Private Link finden Sie unter Behandeln von Konnektivitätsproblemen mit Azure privaten Endpunkten.
- Grundlegendes zu Azure Virtual Desktop-Netzwerkkonnektivität.
- In der Liste Erforderliche URL finden Sie die Liste der URLs, die Sie entsperren müssen, um den Netzwerkzugriff auf den Azure Virtual Desktop-Dienst sicherzustellen.