你可以用 Azure Private Link 搭配 Azure Virtual Desktop 私密連接遠端資源。 建立 私有端點後,虛擬網路與服務之間的流量仍保留在 Microsoft 網路上,因此你不必再將服務暴露於公共網際網路。 你也會使用 VPN 或 ExpressRoute,讓使用者透過遠端桌面客戶端連接到虛擬網路。 將流量限制在 Microsoft 網路內,能提升安全性並保護您的資料安全。 本文說明 Private Link 如何幫助您保護 Azure 虛擬桌面環境的安全。
Private Link 如何與 Azure 虛擬桌面合作?
Azure 虛擬桌面有三種工作流程,以及三種對應的資源類型,供私有端點使用。 這些工作流程包括:
初始訂閱源發現:讓客戶端發現所有分配給使用者的工作空間。 要啟用此流程,您必須建立一個私有端點,連接至任一工作區的 全域 子資源。 不過,你在整個 Azure 虛擬桌面部署中只能建立一個私人端點。 此端點為全球完全合格的網域名稱建立網域名稱系統 (DNS條目) (FQDN) 建立初始訂閱源發現所需的私有IP路由。 此連線成為所有用戶端共用的單一路由。
訂閱下載:用戶端會下載特定使用者在承載其應用程式群組的工作空間中的所有連線細節。 你為每個想用 Private Link 工作區的 feed 子資源建立一個私有端點。
與主機池的連線:每個與主機池的連線都有兩面——用戶端與會話主機。 你需要為每個你想用 Private Link 使用的主機池建立一個私有端點,針對該連線子資源。
以下高階圖示展示了 Private Link 如何安全地將本地用戶端連接到 Azure 虛擬桌面服務。 欲了解更多用戶端連線的詳細資訊,請參見 用戶端連線序列。
支援的案例
在 Azure Virtual Desktop 新增 Private Link 時,您可以以下支援的連線情境來連接 Azure 虛擬桌面。 你選擇哪種情況取決於你的需求。 你可以在網路拓撲中共享這些私有端點,或者將虛擬網路隔離起來,讓每個虛擬網路都有自己的私有端點連接到主機池或工作區。
連線的所有部分——初始訊號發現、資料下載,以及用戶端與會話主機的遠端連線——都使用私有路由。 你需要以下私有端點:
用途 資源類型 目標子資源 終點數量 與主機池的連結 Microsoft.DesktopVirtualization/hostpools 連接 每個主機池有一個 訂閱下載 Microsoft.DesktopVirtualization/workspaces 餵食 每個工作區一個 初步飼料發現 Microsoft.DesktopVirtualization/workspaces 全球 只有一個能用於所有 Azure 虛擬桌面部署 用戶端與會話主機的訂閱下載與遠端連線使用私有路由,但初始訂閱源發現則使用公共路由。 你需要以下私有端點。 初始訂閱源發現的端點並非必要。
用途 資源類型 目標子資源 終點數量 與主機池的連結 Microsoft.DesktopVirtualization/hostpools 連接 每個主機池有一個 訂閱下載 Microsoft.DesktopVirtualization/workspaces 餵食 每個工作區一個 只有用戶端與會話主機的遠端連線使用私有路由,但初始資料源發現與下載資料使用公有路由。 你需要以下私有端點 () 。 工作區的端點並非必需。
用途 資源類型 目標子資源 終點數量 與主機池的連結 Microsoft.DesktopVirtualization/hostpools 連接 每個主機池有一個 用戶端與會話主機虛擬機皆使用公用路由。 這種情況下不會使用 Private Link。
重要事項
如果你建立一個私有端點用於初始訂閱源發現,全球子資源所用的工作區會管理共享的完全限定網域名稱 (FQDN) ,促進所有工作空間中初步發現訂閱源。 你應該建立一個專門用於此目的且沒有任何應用程式群組的獨立工作區。 刪除這個工作區會導致所有動態發現流程停止運作。
你無法控制用於初始動態發現 (全域子資源) 工作區的存取權限。 如果你設定這個工作區只允許私人存取,該設定會被忽略。 這個工作區始終可從公共路線進入。
隨著 IP 位址需求增加,IP 位址分配可能會有所變動。 在容量擴充期間,私有端點需要額外位址。 你必須考慮潛在的地址空間耗盡,並確保有足夠的空間供成長。 欲了解更多關於在樞紐或輻射拓撲下判斷私有端點適當網路配置的資訊,請參閱 Private Link 部署決策樹。
UDP 附Private Link (選擇加入)
Azure Virtual Desktop 只有在你從 Azure 入口網站主機池網路頁面選擇加入時,才支援 Private Link 的 UDP 流量。 如果你不選擇加入,Private Link 上的 UDP 流量將被封鎖。
如何選擇加入 (入口網站) :
在 Azure 入口網站中,開啟你的 Azure 虛擬桌面主機池。
選擇 網路 -> 公開存取。
在 公開存取中,選擇單選按鈕 「啟用終端使用者的公開存取,使用私人存取給會話主機,或關閉公開存取並使用私人存取」。 這些選擇會出現 UDP 選擇加入的勾選框。
選擇允許 UDP 網路路徑通過 Private Link以啟用基於 UDP 的傳輸 (例如,管理網路) 的 RDP Shortpath。
** 重要的配置需求啟用 UDP 選擇加入選項後,請在 RDP 短路徑標籤中關閉公共網路的 RDP Shortpath 選項:
透過 STUN) 關閉公共網路的 RDP Shortpath, (透過 TURN) 關閉公共 網路的 RDP Shortpath (。
如果那些公開的捷徑選項仍然啟用,入口網站會阻擋 儲存 ,並顯示 設定錯誤 ,直到你停用它們。
重要事項
目前行為: 即使未勾選 「允許帶私有連結的直接 UDP 網路路徑 」勾選框,RDP 短路徑預設仍是啟用的。
即將變動: 自 2026年2月1日起,此規定將有所改變:
- 啟用帶有私有連結的 RDP 短路徑時,UDP 選擇加入的勾選框將成為 強制 性。
- 若未勾選此方框,RDP Shortpath 將被封鎖用於 Private Link 連線。
為避免中斷,請在此日期前檢視設定並啟用 UDP 選擇加入的勾選框。
配置結果
你可以在相關的 Azure 虛擬桌面工作區和主機池上設定公開或私人存取權限。 對於連接工作區(除用於初始資料流發現 (全域子資源) 的工作區外),下表詳細說明了每種情境的結果:
| 組態 | 結果 |
|---|---|
| 所有網路均啟用公開存取 |
工作區訂閱請求允許從公共路由發送。 工作區訂閱請求允許從私人路由發送。 |
| 所有網路的公共存取皆被停用 | 公共路由拒絕工作區訂閱請求。 工作區訂閱請求允許從私人路由發送。 |
在反 向連接傳輸中,主機池有兩個網路連線:用戶端連接閘道器,以及會話主機連接閘道器。 除了啟用或停用兩個連線的公共存取外,你也可以選擇為連接閘道器的用戶端啟用公開存取,並只允許連接閘道器的會話主機進行私人存取。 下表詳述每種情境的結果:
| 組態 | 結果 |
|---|---|
| 所有網路均啟用公開存取 | 當用戶端或會話主機使用公共路由時,允許遠端會話。 當用戶端或會話主機使用私有路由時,允許遠端會話。 |
| 所有網路的公共存取皆被停用 | 當用戶端或會話主機使用公共路由時,遠端會話會被拒絕。 當用戶端與會話主機皆使用私有路由時,允許遠端會話。 |
| 用戶端網路啟用公開存取,但會話主機網路則停用 | 如果會話主機使用公用路由,無論用戶端使用的路由為何,遠端會話都會被拒絕。 只要會話主機使用私有路由,無論用戶端使用哪種路由,遠端會話都是被允許的。 |
用戶端連線序列
當使用者透過 Private Link 連接 Azure Virtual Desktop 時,且 Azure Virtual Desktop 設定為僅允許從私有路由連接客戶端,連線順序如下:
使用支援客戶端時,使用者會訂閱一個工作區。 使用者的裝置會向 DNS
rdweb.wvd.microsoft.com查詢位址 (,或其他 Azure 環境的對應位址) 。你的私人 DNS 區域會回傳 privatelink-global.wvd.microsoft.com 全球子資源) 初步資料源發現時 (私有 IP 位址。 如果你沒有使用私有端點來進行初始動態發現,會回傳一個公有 IP 位址。
對於串流中的每個工作區,都會對位址
<workspaceId>.privatelink.wvd.microsoft.com進行 DNS 查詢。你的私人 DNS privatelink.wvd.microsoft.com 區域會回傳 Workspace feed 下載的私有 IP 位址,並使用 TCP 埠 443 下載該 feed。
當連接遠端會話時,來自工作區串流下載的
.rdp檔案會包含 Azure 虛擬桌面閘道服務的位址,該服務對使用者裝置來說延遲最低。 DNS 查詢會對格式<hostpoolId>.afdfp-rdgateway.wvd.microsoft.com為 的位址進行。你的私人 DNS privatelink.wvd.microsoft.com 區域會回傳 Azure 虛擬桌面閘道服務的私人 IP 位址,作為提供遠端會話的主機池。 透過虛擬網路與私有端點進行編排,使用TCP埠443。
編排完成後,用戶端、Azure 虛擬桌面閘道服務與會話主機之間的網路流量會被傳送到 TCP 動態埠範圍 1 - 65535 的埠口。
重要事項
如果你打算限制使用者客戶端裝置或會話主機虛擬機的網路埠口到私人端點,你需要允許整個 TCP 動態埠域 1 到 65535 的流量,透過 連線 子資源傳送到主機池資源的私有端點。 整個 TCP 動態埠範圍是必要的,因為 Azure 私有網路內部會將這些埠對應到用戶端編排時所選的適當閘道器。 如果你限制連接到私人端點,使用者可能無法連接到 Azure 虛擬桌面。
已知問題與限制
Private Link 與 Azure 虛擬桌面有以下限制:
在你使用 Azure Virtual Desktop 的 Private Link 之前,你需要在每個想用 Virtual Desktop Private Link的Azure訂閱上啟用 Private Link Azure Virtual Desktop Azure。
所有連接 Azure 虛擬桌面的遠端桌面用戶端都可以搭配 Private Link 使用。 如果你在沒有網路連線的私人網路上使用 Windows 遠端桌面客戶端 ,且同時訂閱了公開和私人訂閱,你就無法存取你的訂閱源。
在將私人端點改為主機池後,必須在每個主機池的會話主機上重新啟動 遠端桌面代理載入器 (RDAgentBootLoader) 服務。 每當你更改主機池的網路設定時,也需要重新啟動這項服務。 你可以不重啟服務,而是重新啟動每個會話主機。
目前在受管網路中使用 Private Link 和 RDP Shortpath 正在預覽階段。 請參閱 Microsoft Azure 預覽的補充使用條款,了解適用於目前處於測試版、預覽版或其他尚未正式釋出的 Azure 功能法律術語。 所有其他使用 STUN 或 TURN 的 RDP Shortpath 選項都不支援 Private Link。
在 Private Link Azure Virtual Desktop 預覽版初期,全球子資源的初始 feed 發現 (的私有端點與其他工作空間及主機池的私有端點共享)
privatelink.wvd.microsoft.com的私有 DNS 區域名稱。 在此配置下,使用者無法為主機池與工作區建立專屬的私有端點。 自 2023 年 9 月 1 日起,此配置下將不再支援共享私人 DNS 區域。 你需要為 全域 子資源建立一個新的私有端點,使用私有 DNS 區域名稱privatelink-global.wvd.microsoft.com。 關於相關步驟,請參見 初始資料流發現。
後續步驟
- 學習如何與 Azure Virtual Desktop 設定 Private Link。
- 請參考 Private Link DNS 整合,了解如何設定 Azure Private Endpoint DNS。
- 關於 Private Link 的一般故障排除指南,請參見「故障排除 Azure 私有端點連線問題」。
- 了解 Azure 虛擬桌面網路連線。
- 請參閱「必要網址清單」,了解你需要解除封鎖以確保 Azure 虛擬桌面服務網路存取的 URL 清單。