Guide réseau du Bureau à distance Chrome

Ce document décrit les exigences réseau nécessaires pour assurer le bon fonctionnement du Bureau à distance Chrome sur votre réseau. Ce document fournit également certaines informations sous-jacentes concernant le protocole du Bureau à distance Chrome et le processus de négociation d'une connexion peer-to-peer (P2P).

Utilisez ce guide si vous disposez d'un réseau privé très restrictif et/ou si vous rencontrez des difficultés pour faire fonctionner le Bureau à distance Chrome sur votre réseau.

Liste des ports et protocoles requis

Règles d'autorisation d'URL pour le Bureau à distance Chrome

Pour accéder au Bureau à distance Chrome, les utilisateurs doivent pouvoir accéder aux URL spécifiques listées ci-dessous. Votre réseau doit autoriser l'accès sortant à ces URL.

Dans la console d'administration Google, sur les pages de paramètres Utilisateurs et navigateurs et Sessions Invité gérées, vous pouvez utiliser le paramètre Blocage des URL pour contrôler l'accès aux URL. Pour savoir comment autoriser ou bloquer des URL, consultez Définir des règles Chrome pour les utilisateurs ou les navigateurs.

En savoir plus sur les règles URLAllowlist et URLBlocklist

Règles de pare-feu génériques requises pour le Bureau à distance Chrome sur les réseaux privés

Pour obtenir la liste des plages d'adresses IP des services Google, consultez la documentation Google Cloud.

Les adresses IP sont dynamiques selon l'emplacement. Bien qu'il soit possible d'avoir un appareil connecté uniquement via des règles de pare-feu basées explicitement sur l'adresse IP, le port et le protocole, les règles seront une cible mouvante en raison du comportement dynamique des attributions d'adresses IP. Google utilise un service hébergé sur www.gstatic.com pour rechercher de manière dynamique les adresses IP localisées pour différents services.

Une adresse IP essentielle pour le Bureau à distance Chrome n'est pas renvoyée par le script, car elle ne possède pas d'URL DNS : 74.125.247.128. Il s'agit de l'adresse IP du service de signalisation permettant de faciliter les connexions TURN/STUN, décrites ci-dessous. Elle ne sera utilisée que si :

1. le paramètre Traversée de pare-feu est défini sur Activer la traversée de pare-feu ; et
2. l'option Activer l'utilisation de serveurs de relais est sélectionnée.
   Pour en savoir plus sur le paramètre Traversée de pare-feu, consultez Définir des règles Chrome pour les utilisateurs ou les navigateurs. En savoir plus sur RemoteAccessHostAllowRelayedConnection et RemoteAccessHostFirewallTraversal

Détails du protocole

Les types de connexions du Bureau à distance Chrome sont configurables via une règle d'entreprise. Les connexions entre le client et l'hôte du Bureau à distance Chrome sont initialement négociées en tant que requêtes Web adressées aux services Google. Une fois la connexion instanciée, une connexion P2P facilite la session en direct.

Types de connexions P2P

Les connexions P2P sont établies à l'aide des protocoles ICE (Interactive Connectivity Establishment) et WebRTC (Web Real-Time Communication). Le mode de connexion est "Direct", "STUN" ou "TURN/relais".

• Direct
  • Les deux appareils communiquent directement via leurs adresses IP réelles.
• STUN : le paramètre Traversée de pare-feu est défini sur Activer la traversée de pare-feu dans la console d'administration.
  • Les deux appareils communiquent à l'aide des adresses IP Internet/de sous-réseau accessibles via leurs routeurs/pare-feu respectifs.
  • Pour activer STUN, vous devez ouvrir le port 3478 et autoriser les paquets STUN.
• TURN/Relay : l'option Activer l'utilisation de serveurs de relais est sélectionnée dans la console d'administration.
  • Les paquets sont envoyés à un service Google et relayés via un ou plusieurs centres de données Google à l'autre extrémité de la connexion.
  • Pour activer TURN, vous devez également ouvrir le port 3478 pour le trafic UDP et/ou TCP. Le protocole UDP est privilégié par rapport au protocole TCP en raison de ses performances supérieures. Le Bureau à distance Chrome utilisera le protocole TCP si le protocole UDP est bloqué.

Flux de la console d'administration

Lorsque vous créez une session Bureau à distance Chrome dans la console d'administration, le workflow est le suivant :

1. Dans la console d'administration, l'administrateur sélectionne la machine à laquelle se connecter à l'aide du Bureau à distance Chrome.
2. La machine cliente envoie une requête à l'API Cloud via l'UI de la console d'administration pour démarrer une session à distance avec l'appareil sélectionné.
3. Les services Google Cloud envoient une commande à l'appareil ChromeOS hôte géré.
4. Le service RemoteCommand sur l'appareil ChromeOS hôte géré enregistre une nouvelle instance hôte d'assistance auprès du service Bureau à distance Chrome à l'aide d'un jeton d'accès OAuth.
5. L'instance hôte du Bureau à distance Chrome renvoie un code d'accès qui combine son ID d'hôte et un code secret.
6. Le service RemoteCommand envoie le code d'accès de l'hôte à la console d'administration.
7. Le service Google Cloud renvoie des informations de connexion au client.
8. La console d'administration du client ouvre le site Web du Bureau à distance Chrome avec le code d'accès en tant que paramètre d'URL.
9. La connexion se poursuit en suivant la procédure de configuration P2P selon les méthodes Direct/STUN/TURN, en fonction des paramètres de votre règle.
10. L'affichage en direct est diffusé en streaming via UDP ou TCP sur un port attribué de manière dynamique, avec une plage de ports configurable via une règle d'entreprise.

Diagramme de séquence

Remarque : Cet exemple est fourni à titre d'illustration uniquement. Les informations de connexion réelles sont plus détaillées et complexes.

Liste des règles Chrome Enterprise

Articles associés

• Contrôler l'utilisation du Bureau à distance Chrome
• Accéder à un autre ordinateur via le Bureau à distance Chrome
• Activer ou désactiver le Bureau à distance Chrome pour les utilisateurs