ネットワーク フローについて - リモート デスクトップ プロトコル

Windows 365デプロイで最適なパフォーマンスと信頼性を確保するには、主要な接続要件を理解することが重要です。 これらの要件は、次の 3 つの主要なカテゴリに分類されます。

  • リモート デスクトップ プロトコル (RDP) 接続 – クラウド環境と物理クライアント デバイスの両方に均等に適用されます。

  • クラウド サービス接続 – クラウド PC 自体からサービスへのネットワーク要件について説明します。

  • クライアント デバイス接続 – サービスにアクセスする物理エンドポイントのネットワーク構成が含まれます。

シームレスなWindows 365 エクスペリエンスを実現するには、各接続要素の適切な構成が不可欠です。 このドキュメントでは、使用可能な RDP 接続オプションと、最高レベルのパフォーマンスと信頼性のためにそれらを最適化する方法について説明します。

注:

RDP 接続には特別な注意が必要です。 クラウドでホストされるデバイスと物理デバイスの両方に同じ構成原則が適用されます。

RDP 接続

RDP 接続は、Windows 365 エクスペリエンスの重要なコンポーネントです。 これにより、ユーザーはクラウド PC にシームレスに接続でき、パフォーマンスと信頼性を確保するために慎重なネットワーク構成が必要です。

RDP トラフィックの特性

RDP トラフィックには、特別な考慮事項が必要な重要な要素がいくつかあります。

  • 待機時間の影響を受けやすい: RDP トラフィックは最小限の遅延で配信する必要があります。 RDP は困難なネットワーク条件の処理に熟達していますが、できるだけ短い待機時間に最適化することで、応答性の高いユーザー エクスペリエンスを維持できます。

  • リアルタイム: Microsoft Teamsメディア トラフィックと同様に、RDP トラフィックはリアルタイムです。 遅延が発生すると、ユーザー セッションが中断される可能性があります。

  • 大容量: RDP セッションでは、大量のトラフィックが生成される可能性があります。 このトラフィックを効率的にルーティングし、TLS 検査などのコストのかかる操作を回避すると、パフォーマンスを維持し、ネットワーク デバイスの過負荷を防ぐことができます。

  • 長命: RDP 接続は、多くの場合、長期間アクティブなままです。 効率的なルーティングにより、ネットワーク アドレス変換 (NAT) を実行するデバイスへの影響が軽減され、スケーラビリティがサポートされます。

高品質のユーザー エクスペリエンスを維持するには、MICROSOFT のグローバル インフラストラクチャへの最も直接的で効率的なパスを介して RDP トラフィックをルーティングする必要があります。 不要な検査、フィルター処理、または迂回を回避することが不可欠です。

重要

RDP トラフィックを最適化しないと、エンド ユーザーのパフォーマンスが低下し、セッションが不安定になり、信頼性が低下する可能性があります。

従来の RDP と Windows 365 RDP

Windows 365は、クラウド環境向けに設計された最新バージョンのリモート デスクトップ プロトコル (RDP) を使用し、さまざまなネットワーク条件にわたって安全でシームレスなエクスペリエンスを提供するように構築されています。 この最新の RDP は、従来のリモート デスクトップ環境で使用される RDP とは大きく異なります。

従来の RDP

オンプレミス環境でよく使用される従来の RDP は、リモート デスクトップ セッションを確立するために、伝送制御プロトコル (TCP) ポート 3389 経由の受信接続に依存しています。 この方法では、ネットワーク境界で受信ポートを開く必要があるため、セキュリティ上の課題が発生します。

Windows 365での最新の RDP

Windows 365は、従来のモデルとは大きく異なる最新のクラウド優先の RDP 実装を使用します。 受信接続を必要とせず、次のプロトコルとポートを介した送信トラフィックに依存します。これは、正しく構成されたネットワークで動作する必要があります。

  • TCP ポート 443

  • UDP ポート 3478

これらの接続は、クラウド PC とクライアント デバイスの両方から Microsoft のグローバル接続インフラストラクチャに確立されます。 環境によっては、他の RDP 接続方法も使用できる場合があり、この記事でも説明されています。

この最新の RDP モデルは、セキュリティを強化し、デプロイを簡素化し、さまざまなネットワーク条件にわたって信頼性の高いリモート表示と入力をサポートします。

重要

Windows 365では、従来の RDP は使用されません。 クラウド PC にアクセスするために受信接続は必要ありません。

Windows 365の RDP 接続方法

Windows 365では、困難なネットワーク条件下でも、信頼性の高いパフォーマンスを確保するために、複数の RDP 接続方法がサポートされています。 これらの方法は、パブリックネットワークとプライベートのネットワーク接続オプションに分けることができます。

パブリック ネットワーク接続方法

Windows 365では、次のパブリック接続オプションがサポートされています。 サービスの既定値は、次のメソッドです。

  • TCP ベースのリバース接続: これは、すべての接続の主要な方法です。 TCP ポート 443 経由の送信 RDP を使用してセッションを確立します。

  • リレーされた UDP ベースの RDP Shortpath: この方法では、UDP ポート 3478 経由の送信 RDP を使用し、メディア パフォーマンスを向上させるために Microsoft のリレー インフラストラクチャを介して接続します。

  • 直接 UDP ベースの RDP Shortpath: このオプションにより、UDP 経由で直接 1 対 1 の接続が確立され、待機時間が短縮され、応答性が向上します。 この方法では、STUN サーバーを使用して、ユーザーとそのクラウド PC の間の実行可能な直接接続パスを見つけようとします

プライベート ネットワーク接続方法

  1. プライベート ネットワーク経由の直接 UDP プライベート ネットワーク経由で 1 対 1 の UDP 接続を有効にします。 この方法は、Azure ネットワーク接続 (ANC) を使用したデプロイにのみ適用されます。 この方法は、技術的には VPN リンクを介して実現できる可能性がありますが、パフォーマンスが低いため、Windows 365によってトランスポート オプションとして選択される可能性は低いです。

注:

Microsoft は、ネットワーク条件と展開の種類に基づいて、最適な方法を自動的に選択します。 ほとんどのシナリオでは、手動で構成する必要はありません。 Windows 365では、困難なネットワーク条件下でも、信頼性の高いパフォーマンスを確保するために、複数の RDP 接続方法がサポートされています。

パブリック ネットワーク RDP 接続

TCP ベースのリバース接続

Reverse Connect は、Windows 365の RDP 接続に使用される既定の方法です。 TCP ポート 443 経由で送信接続を開始し、クライアント側またはクラウド PC 側でリスナーを必要としません。 この方法では、展開が簡素化され、受信接続が不要になり、最終的な方法に関係なくすべての接続で使用されるため、セキュリティが強化されます。

逆接続のしくみ

  1. RD エージェントのインストール: プロビジョニング中に、接続を管理するために RD エージェントがクラウド PC にインストールされます。

  2. 永続的なシグナリング セッション:起動時に、RD エージェントは、Windows 365 インフラストラクチャへの永続的な送信 TLS 暗号化シグナリング セッションを確立します。 このプロセスは自動であり、手動で構成する必要はありません。

  3. ユーザー ログイン:物理クライアント デバイスでは、ユーザーはサポートされているクライアント (Windows Appなど) を使用してログインします。

  4. 認証: Microsoft Entra IDはユーザーを認証し、ユーザーの使用可能なリソースを列挙するトークンを返します。

  5. トークンの検証: クライアントはトークンをフィード サブスクリプション サービスに渡し、トークンを検証します。

  6. リソース列挙: このサービスは、デジタル署名された接続構成の形式で、ユーザーが使用できるクラウド PC の一覧を返します。

  7. 接続構成ストレージ: クライアントは、これらの構成をリソースごとに .rdp ファイルとして格納します。

  8. 接続の開始:ユーザーがクラウド PC を選択すると、クライアントは anycast リスナーを介して Front Door (AFD) Azureに接続します。 最も近い AFD ノードは、ネットワーク エグレスに基づいて自動的に選択されます。

  9. ゲートウェイの選択: AFD は、使用可能なすべてのゲートウェイに対する待機時間を評価し、待機時間が最も短く、アクティブな接続が最も少ないゲートウェイを選択します。

  10. セキュア ゲートウェイ接続: クライアントは、セキュリティで保護された TLS 1.3 接続を使用して、選択したゲートウェイに接続します。 ゲートウェイは要求を検証し、ブローカーに接続します。

  11. ブローカー オーケストレーション: ブローカーはターゲットのクラウド PC を識別し、既存のシグナリング チャネルを使用してセッションを開始します。

  12. クラウド PC 接続: クラウド PC 上のリモート デスクトップ スタックは、同じゲートウェイ インスタンスへの送信 TLS 1.3 接続を開始します。

  13. データ リレー: 両方のエンドポイントが接続されると、ゲートウェイはそれらの間でデータを中継し、入れ子になったトンネルと相互にサポートされている最高の TLS バージョン (最大 TLS 1.3) を使用して、基本のリバース接続トランスポートを形成します。

  14. RDP ハンドシェイク クライアントは RDP ハンドシェイクを開始してセッションを確立します。

TCP ベースの RDP 接続フローを示す図。

図 1: TCP ポート 443 経由で RDP を逆接続する

直接 UDP ベースの RDP ショートパス (STUN を使用)

Windows 365では、UDP ベースの RDP 接続を使用して、セッションのパフォーマンス、信頼性、スループットも向上します。 TCP ベースの Reverse Connect セッションが確立されると、Windows 365は次の 2 つの方法のいずれかを使用してトランスポートを UDP にアップグレードしようとします。

  • ダイレクト RDP Shortpath: STUN を使用して容易に 1 対 1 の UDP 接続を確立します。

  • リレーされた RDP Shortpath: TURN を使用して、既知の IP とポートを介して UDP トラフィックを中継します。

Direct UDP Shortpath のしくみ

  1. 初期 TCP 接続: RDP セッションは、このドキュメントで説明されているように、ゲートウェイ経由の TCP ベースのリバース接続トランスポート経由で開始されます。

  2. UDP ソケットの作成: クラウド PC で RDP Shortpath が有効になっている (既定で有効) 場合、サービスは実行可能なすべてのネットワーク インターフェイスに UDP ソケットを作成します。

  3. STUN 検出:クラウド PC は、UDP ポート 3478 上の Windows 365 STUN サーバーへの接続を試みます。 この一時的な接続は、NAT デバイスの外部 IP アドレスとポートを識別します。 STUN サーバー経由で RDP トラフィックがルーティングされません。

  4. 候補の交換: クラウド PC は、確立された TCP セッションを介して、候補の IP とポート情報をクライアントと共有します。 クライアントは、独自の候補リストも送信します。

  5. 接続試行: どちらのエンドポイントも、直接 UDP 接続を同時に確立しようとします。 両方とも送信トラフィックを開始するため、この方法は、サポートされている NAT の種類が設定された制限の厳しいファイアウォールを介しても成功することがよくあります。

  6. トランスポートの評価: 直接接続が成功し、最速のパスであると判断された場合は、グラフィックス、入力、デバイス リダイレクトなど、すべての動的仮想チャネルを新しい UDP トランスポートに切り替えます。

  7. TURN に移動する: STUN ベースの接続を確立できない場合、システムは UDP ポート 3478 の TURN サーバーへの接続を試みます。 これにより、任意の NAT の種類と既知の IP サブネット & ポートで動作できるため、さまざまなネットワーク条件で成功率が高いリレーされた UDP 接続が可能になります。

注:

この接続方法は、STUN サーバーを走査しません。 STUN サーバーは、最初の接続フェーズでのみ使用され、両側の NAT 構成を識別し、1 対 1 の接続を有効にします。

UDP ベースの RDP Shortpath により、パフォーマンスと信頼性が向上します。 TCP ベースのリバース接続後に自動的に試行され、トラフィックの最適化以外の手動構成は必要ありません。

直接接続に STUN を使用した RDP Shortpath を示す図。

図 2: STUN を使用した RDP Shortpath による RDP 接続

Direct RDP Shortpath での既知の課題 (STUN の使用)

ダイレクト RDP Shortpath は STUN に依存して、1 対 1 の UDP 接続を確立します。 この方法は、TCP ベースの RDP 接続よりもパフォーマンスに大きな利点を提供しますが、NAT の動作とファイアウォール構成の制限により、特定のネットワーク環境では成功しない可能性があります。 この接続モデルを成功させるには、物理デバイスとクラウド PC の両方のネットワーク上の NAT の種類がサポートされている種類である必要があります。

また、リモート ユーザーの VPN または Secure Web Gateway (SWG) バイパスを構成する場合など、この種類の接続に必要な IP アドレスを事前に特定することも困難な場合もあります。

ダイレクト RDP Shortpath が失敗する可能性があるシナリオ

次の条件では直接接続が機能しない場合があります。その多くはエンタープライズ ネットワークで一般的です。

  • Double NAT:たとえば、Secure Web Gateway (SWG) またはプロキシを介してルーティングされるトラフィックは、ネットワーク アドレス変換 (NAT) を 2 回適用します(1 回はAzureエグレスで、VPN または SWG エンドポイントでもう一度)。

  • インターネット プロキシまたは検査デバイス: トラフィックを検査するプロキシまたはデバイスを介したルーティングは、STUN ベースの接続に干渉する可能性があります。 これらのデバイスのバイパスは、NAT IP 情報に関する事前の知識がないために困難になる可能性があります。

  • 対称 NAT: エンタープライズ ネットワークで一般的な対称 NAT は、クラウド PC またはクライアント側で STUN ネゴシエーションの成功を妨げるものです。 AZURE NAT ゲートウェイでは、他の多くの一般的なエンタープライズ NAT デバイスと同様に、この NAT の種類が使用されます。

  • 制限付き UDP アクセス: UDP トラフィックをブロックまたは制限するネットワーク、または特定のポートまたは IP 範囲へのアクセスを制限するネットワークは、直接接続を防ぎ、エンタープライズ ネットワークでは一般的です。 この制限を処理するのは、接続に使用されるポートと IP アドレスに関する事前の知識がないため、困難です。

  • キャリア グレード NAT (CGN): 複数のネットワークがパブリック IP アドレスを共有している場合、STUN は一意のパスを確立できません。

これらの制限により、この方法をベスト エフォート アプローチとして扱い、作業に多大な労力を費やさないようにします。 代わりに、ほとんどのネットワーク条件で確実に機能する TURN を使用して、リレーされた UDP の最適化を優先します。

RDP ショートパスの詳細については 、こちらを参照してください

ヒント

avdnettest ツールを使用して、ネットワーク環境で使用される NAT の種類をチェックします。

リレーされた RDP ショートパスの使用

これらの制限により、Direct RDP Shortpath はベスト エフォート接続モデルです。 確立できない場合、Windows 365は、TURN サーバーを使用し、成功率が大幅に高いリレーされた RDP Shortpath に自動的に戻ります。 この方法は、送信トラフィックのサブネットとポートの要件が事前にわかっているため、開いて簡単に最適化できるため、確実に機能します。

注:

リレーされた RDP Shortpath により、広範なネットワーク条件にわたって一貫した接続が確保され、受信アクセスも必要ありません。

リレーされた UDP ベースの RDP ショートパス (TURN を使用)

リレーされた RDP Shortpath は、直接 Shortpath が不可能な場合に UDP ベースの RDP 接続に信頼性の高い方法を提供します。 この方法では、Microsoft のインフラストラクチャ内でグローバルに分散された TURN サーバーを使用して、クライアントとクラウド PC の間で RDP トラフィックを中継します。 この接続モデルは自動的に動作し、必要なトラフィックの最適化以外の構成は必要ありません。 この接続方法は、ネットワーク環境内で構成および最適化されていることが重要です。

主な利点

  • NAT の制限をバイパスします。 STUN ベースの直接接続とは異なり、TURN リレーは、二重 NAT、対称 NAT、またはファイアウォールの制限の影響を受けません。

  • グローバルリーチ: TURN サーバーは 世界中の 47 を超えるリージョンにデプロイされており、最適なパフォーマンスを得るために、ユーザーに近い場所を介してトラフィックを中継できます。

  • 予測可能な構成: 中継トラフィックは既知の IP サブネットとポートを使用し、プロキシ、Secure Web Gateway (SWG)、VPN バイパスなど、ファイアウォールとネットワークの最適化を有効にします。

リレーされた RDP Shortpath のしくみ

  • TCP ベースのリバース接続: RDP セッションは、Reverse Connect メソッドを使用して TCP ポート 443 経由で開始されます。

  • 直接 RDP ショートパス試行: システムは、STUN を使用して直接 UDP 接続を確立しようとします。

  • TURN 接続の構成: 直接接続に失敗した場合、クライアントとクラウド PC の両方が、UDP ポート 3478 上の TURN インフラストラクチャへの送信接続を試み、特に専用の 51.5.0.0/16 サブネットをターゲットにします。

  • トランスポートの評価: リレー接続が成功し、最速パスであると判断された場合は、グラフィックス、入力、デバイス リダイレクトなどのすべての動的仮想チャネルを新しいトランスポートに切り替えます。

  • TCP 永続化: UDP メソッドが成功しない場合、RDP セッションは既存の TCP 接続経由で続行されます。

  • RDP マルチパス: RDP マルチパスでは、アクティブ パスで問題が発生した場合にシームレスな継続的な接続を可能にするために、複数の UDP 接続が確立されます。

すべてのパブリック RDP 接続オプション (TCP、STUN、TURN) を比較した図。

図 3: すべてのパブリック RDP オプション

注:

リレーされた RDP Shortpath は自動的に有効になり、手動で構成する必要はありません。 これにより、さまざまなネットワーク環境で一貫した接続が保証されます。 パブリック ネットワークの RDP ショートパスの詳細については、 こちらを参照してください

プライベート ネットワーク RDP 接続

マネージド ネットワークの RDP Shortpath

Windows 365では、マネージド プライベート ネットワークの 4 つ目の RDP 接続方法がサポートされています。 このオプションは、特定の展開シナリオでのみ使用でき、クライアント デバイスとクラウド PC 間の直接 UDP 接続を提供します。

重要

この方法は、サービスへの高パフォーマンス接続を実現するために必要ありません。 プライマリ メソッドと既定のメソッドは、この記事で説明するパブリック メソッドです。

可用性条件

マネージド ネットワークの RDP Shortpath は、次の場合にのみサポートされます。

  • デプロイでは、Azure ネットワーク接続 (ANC) が使用されます。 この接続方法は、Microsoft がホストするネットワーク展開では使用できません。

  • ExpressRoute またはサイト間 VPN を使用して、物理デバイスとクラウド PC の間に 直接 視線が表示されます。

  • ネットワーク パスを使用すると、トラフィックを正常に通過できます。 ファイアウォール規則では、必要なポート、プロトコル、および IP 範囲を許可する必要があります。

接続方法

この接続は、次の 2 つの方法のいずれかで確立できます。

  1. RDP Shortpath リスナー: 構成すると、クラウド PC は UDP ポート 3390 で受信接続をリッスンします。

  2. ICE/STUN 検出: リスナー メソッドが実行できない場合は、ICE/STUN を使用して使用可能な IP アドレスを検出し、動的ポートをネゴシエートします。 ポート範囲は、必要に応じて構成できます。

UDP 接続が正常に確立されると、TCP ベースのパブリック パスが削除され、セッションはプライベート ネットワーク経由で続行されます。

詳細については、 プライベート ネットワークの RDP Shortpath に関するドキュメントを参照してください

マネージド ネットワークまたはプライベート ネットワークの RDP Shortpath を示す図。

図 4: プライベート ネットワークの RDP Shortpath

注:

この方法では、マネージド ネットワーク環境での直接接続が提供されますが、特定の構成とネットワーク条件が必要です。 この種類の接続を確立するには、パブリック TCP ベースの方法が最初に必要です。

RDP マルチパス

RDP Multipath は、複数のネットワーク パスをインテリジェントに管理することで、セッションの信頼性とパフォーマンスを向上させる、Windows 365の革新的な接続強化です。 RDP Shortpath 上に構築され、対話型接続確立 (ICE) を使用して、STUN および TURN プロトコルを使用するものを含む、複数の UDP ルートをリアルタイムで検出および評価します。

この機能により、アクティブ パスが不安定になったり、障害が発生したりした場合、システムはユーザー セッションを中断することなく、バックアップ パスに自動的に切り替わります。 マルチパス ルーティングは、ネットワーク条件が変動する環境で特に有益であり、よりスムーズで回復性の高いリモート デスクトップ エクスペリエンスを提供します。

詳細については、 RDP Multipath のドキュメントを参照してください

RDP 接続方法の概要

次の表は、クラウド PC に安全に接続するために使用できる RDP 方法の概要です。

完全な接続要件については、[ネットワーク要件] ページをチェックしてください。

RDP メソッド プロトコル/ポート FQDN IP パブリック/プライベート ネットワークメソッド 備考
TCP RDP (リバース接続) TCP/443 *.wvd.microsoft.com 40.64.144.0/20 では、このドメイン内の RDP 接続要素がカバーされますが、解決されるすべてではありません パブリック Microsoft のグローバル RDP ゲートウェイ インフラストラクチャを介して中継される TCP ベースの RDP - すべてのケースで使用される初期接続方法。
間接 UDP RDP (TURN 経由の RDP) UDP/3478 該当なし 51.5.0.0/16 パブリック MICROSOFT のグローバル TURN インフラストラクチャを介して中継された UDP ベースの RDP。 必要なエンドポイントにアクセスできる場合は、任意のネットワーク シナリオで機能します。
STUN を使用した直接 RDP UDP/1024-65535 (既定値 49152-65535) 該当なし STUN 要素の場合は 51.5.0.0/16。 接続の両側で使用される NAT のパブリック IP パブリック すべてのネットワーク シナリオでは不可能です。 NAT IP が事前に認識されていない場合は、パブリック IP へのオープン アクセスが必要です。
マネージド ネットワークの RDP Shortpath UDP/3390 (構成可能) 該当なし 物理クライアントとクラウド PC のプライベート IP プライベート 物理デバイスとクラウド PC の間に直接視線が必要です。 ANC デプロイでのみ可能です。
ICE/STUN を使用したマネージド ネットワークの RDP Shortpath UDP/1024-65535 (既定値 49152-65535) 該当なし STUN の場合は 51.5.0.0/16、物理デバイスとクラウド PC のプライベート IP プライベート STUN サーバー範囲にアクセスし、物理デバイスとクラウド PC 間の視線を直接表示する必要があります。 ANC デプロイでのみ可能

重要

IP サブネット 40.64.144.0/20 は、TCP ベースの RDP 接続にのみ使用されます。 domain.wvd.microsoft.com には、このサブネットに解決されないトラフィックも含まれます。 このため、バイパス規則と最適化規則には IP 範囲を使用します。 同時に、*.wvd.microsoft.com が、必要なすべてのトラフィックがサービスに到達できるように、プロキシなどの IP 一致に依存しないパスを引き続き使用するようにしてください。

使用される RDP トランスポートを検出します。

特定の接続で使用されているトランスポート方法を検出する方法の詳細については、「RDP Shortpath が機能していることを確認する」の記事を参照してください。

  • Last updated on