Azure Virtual Desktop のネットワーク接続について

  • [アーティクル]

Azure Virtual Desktop は、Azure で実行されているセッション ホスト上のクライアント セッションをホストします。 Microsoft は、お客様に代わってサービスの一部を管理し、クライアントおよびセッション ホストに接続するためのセキュリティで保護されたエンドポイントを提供します。 次の図は、Azure Virtual Desktop で使用されるネットワーク接続の概要を示しています。

Azure Virtual Desktop のネットワーク接続の図

セッション接続

Azure Virtual Desktop では、リモート デスクトップ プロトコル (RDP) を使用して、ネットワーク接続を介したリモートでの表示と入力の機能を提供します。 RDP は、Windows NT 4.0 ターミナル サーバー エディションで最初にリリースされ、Microsoft Windows と Windows Server のすべてのリリースで継続的に進化していました。 RDP は最初から基盤となるトランスポート スタックから独立するように開発され、現在は、複数の種類のトランスポートをサポートしています。

リバース接続トランスポート

Azure Virtual Desktop では、リモート セッションを確立し、RDP トラフィックを伝送するために、リバース接続トランスポートを使用しています。 オンプレミスのリモート デスクトップ サービス デプロイとは異なり、リバース接続トランスポートでは、受信 RDP 接続の受信に TCP リスナーを使用しません。 代わりに、HTTPS 接続を介して Azure Virtual Desktop インフラストラクチャへの送信接続を使用しています。

セッション ホストの通信チャネル

Azure Virtual Desktop セッション ホストのスタートアップ時に、リモート デスクトップ エージェント ローダー サービスによって、Azure Virtual Desktop ブローカーの永続的な通信チャネルが確立されます。 この通信チャネルは、セキュリティで保護されたトランスポート層セキュリティ (TLS) 接続上に階層化され、セッション ホストと Azure Virtual Desktop インフラストラクチャの間でサービス メッセージ交換を行うためのバスとして機能します。

クライアント接続シーケンス

クライアント接続シーケンスは次のとおりです。

  1. サポートされている Azure Virtual Desktop クライアントを使用して、ユーザーが Azure Virtual Desktop ワークスペースをサブスクライブします。

  2. Microsoft Entra はユーザーを認証し、ユーザーが使用できるリソースを列挙するために使用されるトークンを返します。

  3. クライアントは、Azure Virtual Desktop のフィード サブスクリプション サービスにトークンを渡します。

  4. Azure Virtual Desktop のフィード サブスクリプション サービスによってトークンが検証されます。

  5. Azure Virtual Desktop フィード サブスクリプション サービスにより、使用可能なデスクトップとアプリケーションの一覧が、デジタル署名された接続構成の形式でクライアントに返されます。

  6. クライアントは、使用可能な各リソースの接続構成を .rdp ファイルのセットに格納します。

  7. ユーザーが接続先リソースを選ぶと、クライアントは、関連付けられた .rdp ファイルを使用し、Azure Front Door を利用して Azure Virtual Desktop ゲートウェイ インスタンスへのセキュリティで保護された TLS 1.2 接続を確立し、接続情報を渡します。 すべてのゲートウェイからの待機時間が評価され、ゲートウェイが 10 ms のグループに配置されます。 待機時間が最も短く、既存の接続の数が最も少ないゲートウェイが選択される

  8. Azure Virtual Desktop ゲートウェイは、要求を検証し、Azure Virtual Desktop ブローカーに接続を調整するよう依頼します。

  9. Azure Virtual Desktop ブローカーは、セッション ホストを識別し、以前に確立された永続的な通信チャネルを使用して接続を初期化します。

  10. リモート デスクトップ スタックは、クライアントによって使用されているのと同じ Azure Virtual Desktop ゲートウェイ インスタンスへの TLS 1.2 接続を開始します。

  11. クライアントとセッション ホストの両方がゲートウェイに接続されると、ゲートウェイは両方のエンドポイント間でデータの中継を開始します。 この接続により、クライアントとセッション ホスト間でサポートされ、有効になっている相互に同意済みの TLS バージョン (TLS 1.3 以前) を使用して、入れ子になったトンネルを介して RDP 接続の基本リバース接続トランスポートを確立します。

  12. ベース トランスポートが設定されると、クライアントは RDP ハンドシェイクを開始します。

接続のセキュリティ

TLS はすべての接続に使用されます。 使用されるバージョンは、作成される接続と、クライアントとセッション ホストの機能によって異なります。

  • クライアントおよびセッション ホストから Azure Virtual Desktop インフラストラクチャ コンポーネントに開始されるすべての接続には TLS 1.2 が使用されます。 Azure Virtual Desktop では、Azure Front Door と同じ TLS 1.2 暗号化を使用します。 クライアント コンピューターとセッション ホストの両方でこれらの暗号を使用できるようにすることが重要です。

  • リバース接続トランスポートの場合、クライアントとセッションの両方のホストが、Azure Virtual Desktop ゲートウェイに接続します。 ベース トランスポートの TCP 接続が確立されると、クライアントまたはセッション ホストにより、Azure Virtual Desktop ゲートウェイの証明書を検証されます。 次に、RDP は、セッション ホストの証明書を使用して、クライアントとセッション ホスト間に入れ子になった TLS 接続を確立します。 TLS のバージョンは、クライアントとセッション ホスト間でサポートおよび有効になっている、相互に同意された TLS バージョン (TLS 1.3 まで) を使用します。 TLS 1.3 は、Windows 11 (21H2) および Windows Server 2022 以降でサポートされています。 詳細については、Windows 11 TLS のサポートに関する記事を参照してください。 その他のオペレーティング システムの場合は、TLS 1.3 のサポートについてオペレーティング システムのベンダーに確認してください。

既定では、RDP 暗号化に使用される証明書は、デプロイ中に OS によって自己生成されます。 企業の証明機関によって発行され、一元管理された証明書をデプロイすることもできます。 証明書の構成の詳細については、「リモート デスクトップ リスナー証明書の構成」を参照してください。

次のステップ