Compartir a través de

Descripción de la conectividad de red de Azure Virtual Desktop

Azure Virtual Desktop hospeda sesiones de cliente en hosts de sesión que se ejecutan en Azure. Microsoft administra partes de los servicios en nombre del cliente y proporciona puntos de conexión seguros para conectar clientes y hosts de sesión. En el diagrama siguiente se proporciona información general de alto nivel sobre las conexiones de red que usa Azure Virtual Desktop.

Diagrama de Connections de red de Azure Virtual Desktop

Conectividad de sesión

Azure Virtual Desktop usa el Protocolo de escritorio remoto (RDP) para proporcionar visualización remota y capacidades de entrada a través de conexiones de red. RDP ha evolucionado continuamente con cada versión de Microsoft Windows y Windows Server. Desde el principio, RDP se desarrolló para ser independiente de su pila de transporte subyacente y hoy admite varios tipos de transporte.

Transporte de conexión inversa

Azure Virtual Desktop usa el transporte de conexión inversa para establecer la sesión remota y para llevar el tráfico RDP. A diferencia de las implementaciones locales de Servicios de Escritorio remoto, el transporte de conexión inversa no usa un agente de escucha TCP para recibir conexiones RDP entrantes. En su lugar, usa la conectividad saliente a la infraestructura de Azure Virtual Desktop a través de la conexión HTTPS.

Canal de comunicación del host de sesión

Al iniciar el host de sesión de Azure Virtual Desktop, el servicio Cargador de agentes de Escritorio remoto establece el canal de comunicación persistente del agente de Azure Virtual Desktop. Este canal de comunicación está en capas sobre una conexión segura de seguridad de la capa de transporte (TLS) y actúa como bus para el intercambio de mensajes de servicio entre el host de sesión y la infraestructura de Azure Virtual Desktop.

Secuencia de conexión de cliente

La secuencia de conexión de cliente es la siguiente:

  1. El uso del usuario cliente de Azure Virtual Desktop compatible se suscribe al área de trabajo de Azure Virtual Desktop.

  2. Microsoft Entra autentica al usuario y devuelve el token usado para enumerar los recursos disponibles para un usuario.

  3. El cliente pasa el token al servicio de suscripción de fuente de Azure Virtual Desktop.

  4. El servicio de suscripción de fuente de Azure Virtual Desktop valida el token.

  5. El servicio de suscripción de fuente de Azure Virtual Desktop pasa la lista de aplicaciones y escritorios disponibles al cliente en forma de configuración de conexión firmada digitalmente.

  6. El cliente almacena la configuración de conexión para cada recurso disponible en un conjunto de .rdp archivos.

  7. Cuando un usuario selecciona el recurso para conectarse, el cliente usa el archivo asociado .rdp y establece una conexión TLS segura a una instancia de puerta de enlace de Azure Virtual Desktop con la ayuda de Azure Front Door y pasa la información de conexión. Se evalúa la latencia de todas las puertas de enlace y las puertas de enlace se colocan en grupos de 10 ms. Se elige la puerta de enlace con la latencia más baja y el menor número de conexiones existentes.

  8. La puerta de enlace de Azure Virtual Desktop valida la solicitud y pide al agente de Azure Virtual Desktop que organice la conexión.

  9. El agente de Azure Virtual Desktop identifica el host de sesión y usa el canal de comunicación persistente establecido anteriormente para inicializar la conexión.

  10. La pila de Escritorio remoto inicia una conexión TLS a la misma instancia de puerta de enlace de Azure Virtual Desktop que usa el cliente.

  11. Después de que el cliente y el host de sesión estén conectados a la puerta de enlace, la puerta de enlace comienza a retransmitir los datos entre ambos puntos de conexión. Esta conexión establece el transporte de conexión inversa base para la conexión RDP a través de un túnel anidado, mediante la versión tls mutuamente acordada admitida y habilitada entre el cliente y el host de sesión, hasta TLS 1.3.

  12. Una vez establecido el transporte base, el cliente inicia el protocolo de enlace RDP.

Seguridad de conexión

TLS se usa para todas las conexiones. La versión usada depende de la conexión que se realice y de las funcionalidades del cliente y del host de sesión:

  • Para todas las conexiones iniciadas desde los clientes y hosts de sesión a los componentes de infraestructura de Azure Virtual Desktop, TLS 1.2 es el mínimo y TLS 1.3 se puede usar si el sistema operativo cliente lo admite. Azure Virtual Desktop usa los mismos cifrados TLS 1.2 o 1.3 que Azure Front Door. Es importante asegurarse de que los equipos cliente y los hosts de sesión puedan usar estos cifrados.

  • Para el transporte de conexión inversa, tanto el cliente como el host de sesión se conectan a la puerta de enlace de Azure Virtual Desktop. Una vez establecida la conexión TCP para el transporte base, el host de cliente o sesión valida el certificado de la puerta de enlace de Azure Virtual Desktop. A continuación, RDP establece una conexión TLS anidada entre el cliente y el host de sesión mediante los certificados del host de sesión. La versión de TLS usa la versión de TLS mutuamente acordada admitida y habilitada entre el cliente y el host de sesión, hasta TLS 1.3. TLS 1.3 se admite a partir de Windows 11 (21H2) y en Windows Server 2022. Para más información, consulte Windows 11 compatibilidad con TLS. En el caso de otros sistemas operativos, consulte con el proveedor del sistema operativo para obtener compatibilidad con TLS 1.3.

De forma predeterminada, el sistema operativo genera automáticamente el certificado usado para el cifrado RDP durante la implementación. Azure Virtual Desktop no admite el uso de un certificado emitido por una entidad de certificación en este momento.

Pasos siguientes

  • Last updated on