Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez utiliser Azure Private Link avec Azure Virtual Desktop pour vous connecter en privé à vos ressources distantes. En créant un point de terminaison privé, le trafic entre votre réseau virtuel et le service reste sur le réseau Microsoft. Vous n’avez donc plus besoin d’exposer votre service à l’Internet public. Vous utilisez également un VPN ou ExpressRoute pour vos utilisateurs avec le client Bureau à distance afin de se connecter au réseau virtuel. Le maintien du trafic au sein du réseau Microsoft améliore la sécurité et assure la sécurité de vos données. Cet article explique comment Private Link pouvez vous aider à sécuriser votre environnement Azure Virtual Desktop.
Comment fonctionne Private Link avec Azure Virtual Desktop ?
Azure Virtual Desktop a trois workflows avec trois types de ressources correspondants à utiliser avec des points de terminaison privés. Ces flux de travail sont les suivants :
Découverte de flux initial : permet au client de découvrir tous les espaces de travail attribués à un utilisateur. Pour activer ce processus, vous devez créer un point de terminaison privé unique pour la sous-ressource globale dans n’importe quel espace de travail. Toutefois, vous ne pouvez créer qu’un seul point de terminaison privé dans l’ensemble de votre déploiement Azure Virtual Desktop. Ce point de terminaison crée des entrées DNS (Domain Name System) et des itinéraires IP privés pour le nom de domaine complet (FQDN) global nécessaire à la découverte du flux initial. Cette connexion devient un itinéraire unique et partagé que tous les clients peuvent utiliser.
Téléchargement de flux : le client télécharge tous les détails de connexion d’un utilisateur spécifique pour les espaces de travail qui hébergent ses groupes d’applications. Vous créez un point de terminaison privé pour la sous-ressource de flux pour chaque espace de travail que vous souhaitez utiliser avec Private Link.
Connexions aux pools d’hôtes : chaque connexion à un pool d’hôtes a deux côtés : les clients et les hôtes de session. Vous devez créer un point de terminaison privé pour la sous-ressource de connexion pour chaque pool d’hôtes que vous souhaitez utiliser avec Private Link.
Le diagramme de haut niveau suivant montre comment Private Link connecte en toute sécurité un client local au service Azure Virtual Desktop. Pour plus d’informations sur les connexions clientes, consultez Séquence de connexion cliente.
Scénarios pris en charge
Lorsque vous ajoutez Private Link avec Azure Virtual Desktop, vous disposez des scénarios pris en charge suivants pour vous connecter à Azure Virtual Desktop. Le scénario que vous choisissez dépend de vos besoins. Vous pouvez partager ces points de terminaison privés sur votre topologie de réseau ou isoler vos réseaux virtuels afin que chacun ait son propre point de terminaison privé pour le pool d’hôtes ou l’espace de travail.
Toutes les parties de la connexion (découverte de flux initial, téléchargement de flux et connexions de session à distance pour les clients et les hôtes de session) utilisent des itinéraires privés. Vous avez besoin des points de terminaison privés suivants :
Objectif Type de ressource Sous-ressource cible Quantité de point de terminaison Connexions aux pools d’hôtes Microsoft.DesktopVirtualization/hostpools connexion Un par pool d’hôtes Téléchargement de flux Microsoft.DesktopVirtualization/workspaces nourrir Un par espace de travail Découverte de flux initial Microsoft.DesktopVirtualization/workspaces global Un seul pour tous vos déploiements Azure Virtual Desktop Le téléchargement de flux et les connexions de session à distance pour les clients et les hôtes de session utilisent des itinéraires privés, mais la découverte de flux initiale utilise des itinéraires publics. Vous avez besoin des points de terminaison privés suivants. Le point de terminaison pour la découverte de flux initial n’est pas obligatoire.
Objectif Type de ressource Sous-ressource cible Quantité de point de terminaison Connexions aux pools d’hôtes Microsoft.DesktopVirtualization/hostpools connexion Un par pool d’hôtes Téléchargement de flux Microsoft.DesktopVirtualization/workspaces nourrir Un par espace de travail Seules les connexions de session à distance pour les clients et les hôtes de session utilisent des itinéraires privés, mais la découverte initiale du flux et le téléchargement de flux utilisent des itinéraires publics. Vous avez besoin du ou des points de terminaison privés suivants. Les points de terminaison vers les espaces de travail ne sont pas obligatoires.
Objectif Type de ressource Sous-ressource cible Quantité de point de terminaison Connexions aux pools d’hôtes Microsoft.DesktopVirtualization/hostpools connexion Un par pool d’hôtes Les clients et les machines virtuelles hôtes de session utilisent des itinéraires publics. Private Link n’est pas utilisé dans ce scénario.
Importante
Si vous créez un point de terminaison privé pour la découverte de flux initiale, l’espace de travail utilisé pour la sous-ressource globale régit le nom de domaine complet (FQDN) partagé, ce qui facilite la découverte initiale des flux dans tous les espaces de travail. Vous devez créer un espace de travail distinct qui est utilisé uniquement à cet effet et qui n’a aucun groupe d’applications inscrit sur celui-ci. La suppression de cet espace de travail entraîne l’arrêt de tous les processus de découverte de flux.
Vous ne pouvez pas contrôler l’accès à l’espace de travail utilisé pour la découverte de flux initiale (sous-ressource globale). Si vous configurez cet espace de travail pour autoriser uniquement l’accès privé, le paramètre est ignoré. Cet espace de travail est toujours accessible à partir des itinéraires publics.
Les allocations d’adresses IP sont susceptibles de changer à mesure que la demande d’adresses IP augmente. Pendant les expansions de capacité, des adresses supplémentaires sont nécessaires pour les points de terminaison privés. Il est important de prendre en compte l’épuisement potentiel de l’espace d’adressage et de garantir une marge de manœuvre suffisante pour la croissance. Pour plus d’informations sur la détermination de la configuration réseau appropriée pour les points de terminaison privés dans une topologie hub ou spoke, consultez Arbre de décision pour le déploiement Private Link.
UDP avec Private Link (Accepter)
Azure Virtual Desktop prend en charge le trafic UDP avec Private Link uniquement lorsque vous choisissez de participer à la page Mise en réseau du pool d’hôtes Portail Azure. Si vous ne l’acceptez pas, le trafic UDP sur Private Link est bloqué.
Comment s’inscrire (portail) :
Dans le Portail Azure, ouvrez votre pool d’hôtes Azure Virtual Desktop.
Sélectionnez Mise en réseau -> Accès public.
Sous Accès public, choisissez la case d’option Activer l’accès public pour les utilisateurs finaux, utiliser l’accès privé pour les hôtes de sessionouDésactiver l’accès public et utiliser l’accès privé. La case à cocher d’inscription UDP s’affiche pour ces sélections.
Sélectionnez Autoriser le chemin réseau UDP direct sur Private Link pour activer les transports basés sur UDP (par exemple, RDP Shortpath pour les réseaux managés).
** Configuration requise importante Après avoir activé la case à cocher d’inscription UDP, désactivez RDP Shortpath pour les options de réseaux oubliés sous l’onglet RDP Shortpath :
Désactivez RDP Shortpath pour les réseaux publics (via STUN) et RDP Shortpath pour les réseaux publics (via TURN).
Le portail bloque Enregistrer si ces options Shortpath publiques restent activées et affiche une erreur de configuration jusqu’à ce que vous les désactiviez.
Importante
Comportement actuel : Rdp Shortpath est activé par défaut même si la case Autoriser le chemin d’accès réseau UDP direct avec liaison privée n’est pas cochée.
Modification à venir : À compter du 1er février 2026, cela changera :
- La case à cocher d’inscription UDP devient obligatoire pour l’activation de RDP Shortpath avec liaison privée.
- Si la case à cocher n’est pas cochée, RDP Shortpath est bloqué pour les connexions Private Link.
Pour éviter toute interruption, passez en revue vos paramètres et activez la case à cocher d’inscription UDP avant cette date.
Résultats de la configuration
Vous configurez les paramètres sur les espaces de travail Azure Virtual Desktop et les pools d’hôtes appropriés pour définir l’accès public ou privé. Pour les connexions à un espace de travail, à l’exception de l’espace de travail utilisé pour la découverte de flux initial (sous-ressource globale), le tableau suivant détaille le résultat de chaque scénario :
| Configuration | Résultat |
|---|---|
| Accès public activé à partir de tous les réseaux | Les demandes de flux d’espace de travail sont autorisées à partir d’itinéraires publics . Les demandes de flux d’espace de travail sont autorisées à partir d’itinéraires privés . |
| Accès public désactivé à partir de tous les réseaux | Les demandes de flux d’espace de travail sont refusées à partir d’itinéraires publics . Les demandes de flux d’espace de travail sont autorisées à partir d’itinéraires privés . |
Avec le transport de connexion inverse, il existe deux connexions réseau pour les connexions aux pools d’hôtes : le client à la passerelle et l’hôte de session à la passerelle. En plus d’activer ou de désactiver l’accès public pour les deux connexions, vous pouvez également choisir d’activer l’accès public pour les clients qui se connectent à la passerelle et d’autoriser uniquement l’accès privé pour les hôtes de session qui se connectent à la passerelle. Le tableau suivant détaille le résultat de chaque scénario :
| Configuration | Résultat |
|---|---|
| Accès public activé à partir de tous les réseaux | Les sessions à distance sont autorisées lorsque le client ou l’hôte de session utilise un itinéraire public . Les sessions à distance sont autorisées lorsque le client ou l’hôte de session utilise un itinéraire privé . |
| Accès public désactivé à partir de tous les réseaux | Les sessions à distance sont refusées lorsque le client ou l’hôte de session utilise un itinéraire public . Les sessions à distance sont autorisées lorsque le client et l’hôte de session utilisent un itinéraire privé . |
| Accès public activé pour les réseaux clients, mais désactivé pour les réseaux hôtes de session | Les sessions à distance sont refusées si l’hôte de session utilise un itinéraire public , quel que soit l’itinéraire utilisé par le client. Les sessions à distance sont autorisées tant que l’hôte de session utilise un itinéraire privé , quel que soit l’itinéraire utilisé par le client. |
Séquence de connexion cliente
Lorsqu’un utilisateur se connecte à Azure Virtual Desktop via Private Link et que Azure Virtual Desktop est configuré pour autoriser uniquement les connexions client à partir d’itinéraires privés, la séquence de connexion est la suivante :
Avec un client pris en charge, un utilisateur s’abonne à un espace de travail. L’appareil de l’utilisateur interroge DNS pour obtenir l’adresse
rdweb.wvd.microsoft.com(ou l’adresse correspondante pour d’autres environnements Azure).Votre zone DNS privée pour privatelink-global.wvd.microsoft.com retourne l’adresse IP privée pour la découverte de flux initiale (sous-ressource globale). Si vous n’utilisez pas de point de terminaison privé pour la découverte initiale du flux, une adresse IP publique est retournée.
Pour chaque espace de travail du flux, une requête DNS est effectuée pour l’adresse
<workspaceId>.privatelink.wvd.microsoft.com.Votre zone DNS privée pour privatelink.wvd.microsoft.com retourne l’adresse IP privée pour le téléchargement du flux d’espace de travail et télécharge le flux à l’aide du port TCP 443.
Lors de la connexion à une session à distance, le
.rdpfichier qui provient du téléchargement du flux de l’espace de travail contient l’adresse du service de passerelle Azure Virtual Desktop avec la latence la plus faible pour l’appareil de l’utilisateur. Une requête DNS est effectuée sur une adresse au format<hostpooId>.afdfp-rdgateway.wvd.microsoft.com.Votre zone DNS privée pour privatelink.wvd.microsoft.com retourne l’adresse IP privée que le service de passerelle Azure Virtual Desktop doit utiliser pour le pool d’hôtes fournissant la session à distance. L’orchestration via le réseau virtuel et le point de terminaison privé utilise le port TCP 443.
Après l’orchestration, le trafic réseau entre le client, Azure service de passerelle Virtual Desktop et l’hôte de session est transféré vers un port dans la plage de ports dynamiques TCP comprise entre 1 et 65535.
Importante
Si vous envisagez de limiter les ports réseau des appareils clients utilisateur ou de vos machines virtuelles hôtes de session aux points de terminaison privés, vous devez autoriser le trafic sur l’ensemble de la plage de ports dynamiques TCP comprise entre 1 et 65535 vers le point de terminaison privé de la ressource du pool d’hôtes à l’aide de la sous-ressource de connexion . L’ensemble de la plage de ports dynamiques TCP est nécessaire, car Azure mise en réseau privée mappe ces ports en interne à la passerelle appropriée qui a été sélectionnée lors de l’orchestration du client. Si vous limitez les ports au point de terminaison privé, vos utilisateurs risquent de ne pas pouvoir se connecter à Azure Virtual Desktop.
Problèmes connus et conseils
Private Link avec Azure Virtual Desktop présente les limitations suivantes :
Avant d’utiliser Private Link pour Azure Virtual Desktop, vous devez activer Private Link avec Azure Virtual Desktop sur chaque abonnement Azure que vous souhaitez Private Link avec Azure Virtual Desktop.
Tous les clients Bureau à distance pour se connecter à Azure Virtual Desktop peuvent être utilisés avec Private Link. Si vous utilisez le client Bureau à distance pour Windows sur un réseau privé sans accès à Internet et que vous êtes abonné à des flux publics et privés, vous ne pouvez pas accéder à votre flux.
Après avoir remplacé un point de terminaison privé par un pool d’hôtes, vous devez redémarrer le service RdAgentBootLoader (Remote Desktop Agent Loader) sur chaque hôte de session dans le pool d’hôtes. Vous devez également redémarrer ce service chaque fois que vous modifiez la configuration réseau d’un pool d’hôtes. Au lieu de redémarrer le service, vous pouvez redémarrer chaque hôte de session.
L’utilisation de Private Link et RDP Shortpath pour les réseaux managés est actuellement en préversion. Consultez les Conditions d’utilisation supplémentaires de Microsoft Azure Préversions pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore mises en disponibilité générale. Toutes les autres options RDP Shortpath utilisant STUN ou TURN ne sont pas prises en charge avec Private Link.
Au début de la préversion de Private Link avec Azure Virtual Desktop, le point de terminaison privé pour la découverte de flux initiale (pour la sous-ressource globale) a partagé le nom de la zone DNS privée de avec d’autres points de
privatelink.wvd.microsoft.comterminaison privés pour les espaces de travail et les pools d’hôtes. Dans cette configuration, les utilisateurs ne peuvent pas établir de points de terminaison privés exclusivement pour les pools hôtes et les espaces de travail. À compter du 1er septembre 2023, le partage de la zone DNS privée dans cette configuration n’est plus pris en charge. Vous devez créer un point de terminaison privé pour la sous-ressource globale afin d’utiliser le nom de zone DNS privée deprivatelink-global.wvd.microsoft.com. Pour connaître les étapes à suivre, consultez Découverte de flux initial.
Étapes suivantes
- Découvrez comment configurer Private Link avec Azure Virtual Desktop.
- Découvrez comment configurer Azure DNS de point de terminaison privé dans Private Link’intégration DNS.
- Pour obtenir des guides de résolution des problèmes généraux pour Private Link, consultez Résoudre les problèmes de connectivité Azure point de terminaison privé.
- Comprendre Azure connectivité réseau Virtual Desktop.
- Consultez la liste DES URL requises pour obtenir la liste des URL que vous devez débloquer pour garantir l’accès réseau au service Azure Virtual Desktop.