Azure Virtual Desktop は、Azureで実行されているセッション ホストでクライアント セッションをホストします。 Microsoft は、お客様の代わりにサービスの一部を管理し、クライアントとセッション ホストを接続するためのセキュリティで保護されたエンドポイントを提供します。 次の図は、Azure Virtual Desktop で使用されるネットワーク接続の概要を示しています。
セッション接続
Azure Virtual Desktop は、リモート デスクトップ プロトコル (RDP) を使用して、ネットワーク接続経由でリモートでの表示および入力機能を提供します。 RDP は、すべての Microsoft Windows および Windows Server リリースで継続的に進化しています。 最初から、RDP は基になるトランスポート スタックから独立するように開発され、現在では複数の種類のトランスポートがサポートされています。
逆接続トランスポート
Azure Virtual Desktop では、リモート セッションの確立と RDP トラフィックの伝送に逆接続トランスポートが使用されています。 オンプレミスのリモート デスクトップ サービスの展開とは異なり、逆接続トランスポートでは TCP リスナーを使用して受信 RDP 接続を受信しません。 代わりに、HTTPS 接続経由でAzure Virtual Desktop インフラストラクチャへの送信接続を使用しています。
セッション ホスト通信チャネル
Azure Virtual Desktop セッション ホストの起動時に、リモート デスクトップ エージェント ローダー サービスによって、Azure Virtual Desktop ブローカーの永続的な通信チャネルが確立されます。 この通信チャネルは、セキュリティで保護されたトランスポート層セキュリティ (TLS) 接続の上に階層化され、セッション ホストと Azure Virtual Desktop インフラストラクチャ間のサービス メッセージ交換のバスとして機能します。
クライアント接続シーケンス
クライアント接続シーケンスは次のとおりです (手順はパブリック クラウドの外部Azure異なる場合があります)。
サポートされているAzure Virtual Desktop クライアント ユーザーを使用すると、Azure Virtual Desktop ワークスペースがサブスクライブされます。
Microsoft Entraは、ユーザーを認証し、ユーザーが使用できるリソースを列挙するために使用するトークンを返します。
クライアントは、Azure Virtual Desktop フィード サブスクリプション サービスにトークンを渡します。
Virtual Desktop フィード サブスクリプション サービスAzureトークンを検証します。
Azure Virtual Desktop フィード サブスクリプション サービスは、使用可能なデスクトップとアプリケーションの一覧を、デジタル署名された接続構成の形式でクライアントに渡します。
クライアントは、使用可能な各リソースの接続構成を一連の
.rdpファイルに格納します。パブリック クラウド接続では、ユーザーが接続するリソースを選択すると、クライアントは関連付けられた
.rdpファイルを使用し、Front Door Azure助けを借りてAzure Virtual Desktop ゲートウェイ インスタンスへのセキュリティで保護された TLS 接続を確立し、接続情報を渡します。 すべてのゲートウェイからの待機時間が評価され、ゲートウェイは 10 ミリ秒のグループに配置されます。 待機時間が最も短く、既存の接続の数が最も少ないゲートウェイが選択されます。 他のクラウドでは、この手順Azure Traffic Manager を使用できます。Azure Virtual Desktop ゲートウェイは要求を検証し、Azure Virtual Desktop ブローカーに接続の調整を依頼します。
Azure Virtual Desktop ブローカーは、セッション ホストを識別し、以前に確立した永続的な通信チャネルを使用して接続を初期化します。
リモート デスクトップ スタックは、クライアントで使用されるのと同じAzure Virtual Desktop ゲートウェイ インスタンスへの TLS 接続を開始します。
クライアントとセッション ホストの両方がゲートウェイに接続されると、ゲートウェイは両方のエンドポイント間でデータの中継を開始します。 この接続により、クライアントとセッション ホストの間でサポートされ、有効になっている相互に合意された TLS バージョン (TLS 1.3 まで) を使用して、入れ子になったトンネル経由の RDP 接続の基本逆接続トランスポートが確立されます。
基本トランスポートが設定されると、クライアントは RDP ハンドシェイクを開始します。
接続セキュリティ
TLS はすべての接続に使用されます。 使用されるバージョンは、接続の種類と、クライアントとセッション ホストの機能によって異なります。
クライアントとセッション ホストからAzure Virtual Desktop インフラストラクチャ コンポーネントに対して開始されたすべての接続では、TLS 1.2 が最小であり、クライアント オペレーティング システムでサポートされている場合は TLS 1.3 を使用できます。 Azure Virtual Desktop では、Front Door と同じ TLS 1.2 または 1.3 暗号Azure使用します。 クライアント コンピューターとセッション ホストの両方でこれらの暗号を使用できることを確認することが重要です。
逆接続トランスポートの場合、クライアントとセッション ホストの両方がAzure Virtual Desktop ゲートウェイに接続します。 基本トランスポートの TCP 接続が確立されると、クライアントまたはセッション ホストは、Azure Virtual Desktop ゲートウェイの証明書を検証します。 RDP は、セッション ホストの証明書を使用して、クライアントとセッション ホストの間に入れ子になった TLS 接続を確立します。 TLS のバージョンでは、クライアントとセッション ホストの間でサポートされ、有効になっている相互に合意された TLS バージョン (最大 TLS 1.3) が使用されます。 TLS 1.3 は、Windows 11 (21H2) 以降と 2022 Windows Serverでサポートされています。 詳細については、「WINDOWS 11 TLS サポート」を参照してください。 その他のオペレーティング システムの場合は、オペレーティング システム ベンダーと TLS 1.3 のサポートをチェックします。
既定では、RDP 暗号化に使用される証明書は、展開中に OS によって自己生成されます。 Azure Virtual Desktop では、現時点では証明機関から発行された証明書の使用はサポートされていません。
次の手順
- Azure Virtual Desktop の帯域幅要件については、「Azure Virtual Desktop のリモート デスクトップ プロトコル (RDP) 帯域幅要件について」を参照してください。
- Azure Virtual Desktop のサービス品質 (QoS) の使用を開始するには、「Azure Virtual Desktop のサービス品質 (QoS) を実装する」を参照してください。