URL obligatoires pour Azure Virtual Desktop

Pour déployer et mettre Azure Virtual Desktop à la disposition de vos utilisateurs, vous devez autoriser des URL spécifiques auxquelles vos machines virtuelles hôtes de session peuvent accéder à tout moment. Les utilisateurs doivent également être en mesure de se connecter à certaines URL pour accéder à leurs ressources Azure Virtual Desktop. Cet article liste les URL obligatoires que vous devez autoriser pour vos hôtes de session et utilisateurs. Azure Virtual Desktop ne prend pas en charge les déploiements qui bloquent les URL mentionnées dans cet article.

Vous pouvez valider que vos machines virtuelles hôtes de session peuvent se connecter à ces URL en suivant les étapes pour exécuter l’outil de vérification d’URL obligatoire. L’outil de vérification d’URL obligatoire valide chaque URL et indique si vos machines virtuelles hôtes de session peuvent y accéder. Vous pouvez uniquement l’utiliser pour les déploiements dans le cloud public Azure, car celui-ci ne vérifie pas l’accès pour les clouds souverains.

Machines virtuelles hôtes de session

Vous trouverez ci-dessous la liste des URL dont ont besoin vos machines virtuelles hôtes de session pour accéder à Azure Virtual Desktop. Sélectionnez l’onglet approprié en fonction du cloud que vous utilisez.

Adresse Port TCP sortant Objectif Balise du service
*.wvd.microsoft.com 443 Trafic de service WindowsVirtualDesktop
*.prod.warm.ingest.monitor.core.windows.net 443 Trafic de l’agent AzureMonitor
catalogartifact.azureedge.net 443 Place de marché Azure AzureFrontDoor.Frontend
kms.core.windows.net 1688 Activation de Windows Internet
mrsglobalsteus2prod.blob.core.windows.net 443 Agent et mises à jour de pile SXS AzureCloud
wvdportalstorageblob.blob.core.windows.net 443 Prise en charge du portail Azure AzureCloud
169.254.169.254 80 Point de terminaison Azure Instance Metadata Service N/A
168.63.129.16 80 Surveillance de l’intégrité de l’hôte de la session N/A
oneocsp.microsoft.com 80 Certificats N/A
www.microsoft.com 80 Certificats N/A

Important

Nous avons terminé la migration des URL que nous utilisons pour le trafic de l’agent. Nous ne prenons plus en charge les URL ci-dessous. Pour éviter que vos machines virtuelles hôtes de session affichent Besoin d’aide, autorisez *.prod.warm.ingest.monitor.core.windows.net si vous ne l’avez pas encore fait. Supprimez ces URL si vous les avez déjà autorisées explicitement :

Adresse Port TCP sortant Objectif Balise du service
gcs.prod.monitoring.core.windows.net 443 Trafic de l’agent AzureCloud
production.diagnostics.monitoring.core.windows.net 443 Trafic de l’agent AzureCloud
*xt.blob.core.windows.net 443 Trafic de l’agent AzureCloud
*eh.servicebus.windows.net 443 Trafic de l’agent AzureCloud
*xt.table.core.windows.net 443 Trafic de l’agent AzureCloud
*xt.queue.core.windows.net 443 Trafic de l’agent AzureCloud

Le tableau suivant liste les URL facultatives auxquelles vos machines virtuelles hôtes de session peuvent également avoir besoin d’accéder pour d’autres services :

Adresse Port TCP sortant Objectif
login.microsoftonline.com 443 Authentification auprès de Microsoft Online Services
login.windows.net 443 Connexion aux services en ligne de Microsoft et à Microsoft 365
*.events.data.microsoft.com 443 Service de télémétrie
www.msftconnecttest.com 443 Détecte si l’interface est connectée à internet
*.prod.do.dsp.mp.microsoft.com 443 Windows Update
*.sfx.ms 443 Mises à jour pour le logiciel client OneDrive
*.digicert.com 443 Vérification de la révocation de certificat
*.azure-dns.com 443 Résolution d’Azure DNS
*.azure-dns.net 443 Résolution d’Azure DNS

Conseil

Vous devez utiliser le caractère générique (*) pour les URL impliquant du trafic de service. Si vous préférez ne pas l’utiliser pour le trafic lié à l’agent, voici comment trouver ces URL spécifiques à utiliser sans spécifier de caractères génériques :

  1. Vérifiez que vos machines virtuelles hôtes de session sont inscrites à un pool d’hôtes.
  2. Ouvrez Observateur d’événements, accédez à Journaux Windows>Application>WVD-Agent, puis recherchez l’ID d’événement 3701.
  3. Débloquez les URL que vous trouvez sous l’ID d’événement 3701. Les URL sous l’ID d’événement 3701 sont spécifiques à la région. Vous devez répéter ce processus avec les URL appropriées pour chaque région Azure où vous souhaitez déployer vos machines virtuelles hôtes de session.

Cette liste n’inclut pas les URL pour d’autres services comme Azure Active Directory ou Office 365. Les URL Azure Active Directory figurent sous l’ID 56, 59 et 125 dans les URL et les plages d’adresses IP Office 365.

Étiquettes de service et étiquettes FQDN

Une étiquette de service de réseau virtuel représente un groupe de préfixes d’adresses IP d’un service Azure donné. Microsoft gère les préfixes d’adresses englobés par l’étiquette de service et met à jour automatiquement l’étiquette de service quand les adresses changent, ce qui réduit la complexité des mises à jour fréquentes relatives aux règles de sécurité réseau. Les étiquettes de service peuvent être utilisées dans les règles de groupe de sécurité réseau (NSG) et de Pare-feu Azure pour restreindre l’accès réseau sortant. Les étiquettes de service peuvent également être utilisées dans l’itinéraire défini par l’utilisateur (UDR) pour personnaliser le comportement de routage du trafic.

Le Pare-feu Azure prend en charge Azure Virtual Desktop comme étiquette FQDN. Pour plus d’informations, consultez Utiliser le Pare-feu Azure pour protéger les déploiements Azure Virtual Desktop.

Nous vous recommandons d’utiliser des étiquettes de nom de domaine complet ou de service à la place des URL pour éviter tout problème lié aux services. Les étiquettes et URL répertoriées correspondent uniquement aux sites et ressources Azure Virtual Desktop. Elles n’incluent pas les URL d’autres services comme Azure Active Directory. Pour les autres services, consultez Étiquettes de service disponibles.

Actuellement, Azure Virtual Desktop ne dispose pas d’une liste de plages d’adresses IP que vous pouvez débloquer pour autoriser le trafic réseau. Seules certaines URL spécifiques peuvent être débloquées. Si vous utilisez un pare-feu de nouvelle génération, vous devez utiliser une liste dynamique spécialement conçue pour les adresses IP Azure pour vous assurer que vous pouvez vous connecter.

Clients Bureau à distance

Tous les clients Bureau à distance que vous utilisez pour vous connecter à Azure Virtual Desktop doivent avoir accès aux URL ci-dessous. Sélectionnez l’onglet approprié en fonction du cloud que vous utilisez. L’ouverture de ces URL est essentielle pour une expérience client fiable. Il n’est pas possible de bloquer l’accès à ces URL, car cela affecterait le fonctionnement du service.

Adresse Port TCP sortant Objectif Client(s)
*.wvd.microsoft.com 443 Trafic de service Tous
*.servicebus.windows.net 443 Résolution des problèmes de données Tous
go.microsoft.com 443 Microsoft FWLinks Tous
aka.ms 443 Réducteur d’URL Microsoft Tous
docs.microsoft.com 443 Documentation Tous
privacy.microsoft.com 443 Déclaration de confidentialité Tous
query.prod.cms.rt.microsoft.com 443 Mises à jour de client Windows Desktop

Ces URL correspondent uniquement aux sites client et aux ressources. Cette liste n’inclut pas les URL pour d’autres services comme Azure Active Directory ou Office 365. Les URL Azure Active Directory figurent sous les ID 56, 59 et 125 dans les URL et les plages d’adresses IP Office 365.