Wymagane nazwy FQDN i punkty końcowe dla usługi Azure Virtual Desktop

  • Artykuł

Aby wdrożyć usługę Azure Virtual Desktop i użytkownicy w celu nawiązania połączenia, należy zezwolić na określone nazwy FQDN i punkty końcowe. Użytkownicy muszą również mieć możliwość nawiązania połączenia z określonymi nazwami FQDN i punktami końcowymi w celu uzyskania dostępu do zasobów usługi Azure Virtual Desktop. W tym artykule wymieniono wymagane nazwy FQDN i punkty końcowe, które należy zezwolić na hosty sesji i użytkowników.

Te nazwy FQDN i punkty końcowe mogą być blokowane, jeśli używasz zapory, takiej jak Usługa Azure Firewall lub usługa proxy. Aby uzyskać wskazówki dotyczące korzystania z usługi proxy z usługą Azure Virtual Desktop, zobacz Wskazówki dotyczące usługi proxy dla usługi Azure Virtual Desktop. Ten artykuł nie zawiera nazw FQDN i punktów końcowych dla innych usług, takich jak Microsoft Entra ID, Office 365, niestandardowych dostawców DNS lub usług czasowych. Nazwy FQDN i punkty końcowe firmy Microsoft entra można znaleźć w obszarze identyfikatorów 56, 59 i 125 w zakresach adresów URL i adresów IP usługi Office 365.

Możesz sprawdzić, czy maszyny wirtualne hosta sesji mogą łączyć się z tymi nazwami FQDN i punktami końcowymi, wykonując kroki uruchamiania narzędzia adresu URL agenta usługi Azure Virtual Desktop w temacie Sprawdzanie dostępu do wymaganych nazw FQDN i punktów końcowych dla usługi Azure Virtual Desktop. Narzędzie adresu URL agenta usługi Azure Virtual Desktop weryfikuje każdą nazwę FQDN i punkt końcowy oraz pokazuje, czy hosty sesji mogą uzyskiwać do nich dostęp.

Ważne

Firma Microsoft nie obsługuje wdrożeń usługi Azure Virtual Desktop, w których nazwy FQDN i punkty końcowe wymienione w tym artykule są blokowane.

Maszyny wirtualne hosta sesji

Poniższa tabela zawiera listę nazw FQDN i punktów końcowych, do których maszyny wirtualne hosta sesji muszą uzyskiwać dostęp do usługi Azure Virtual Desktop. Wszystkie wpisy są wychodzące; Nie musisz otwierać portów przychodzących dla usługi Azure Virtual Desktop. Wybierz odpowiednią kartę na podstawie używanej chmury.

Adres Protokół Port wyjściowy Purpose Tag usługi
login.microsoftonline.com TCP 443 Uwierzytelnianie w usługach Microsoft Online Services
*.wvd.microsoft.com TCP 443 Ruch usługi WindowsVirtualDesktop
*.prod.warm.ingest.monitor.core.windows.net TCP 443 Ruch agenta
Dane wyjściowe diagnostyczne		 AzureMonitor
catalogartifact.azureedge.net TCP 443 Azure Marketplace AzureFrontDoor.Frontend
gcs.prod.monitoring.core.windows.net TCP 443 Ruch agenta AzureCloud
kms.core.windows.net TCP 1688 Aktywacja systemu Windows Internet
azkms.core.windows.net TCP 1688 Aktywacja systemu Windows Internet
mrsglobalsteus2prod.blob.core.windows.net TCP 443 Aktualizacje stosu agenta i równoległego (SXS) AzureCloud
wvdportalstorageblob.blob.core.windows.net TCP 443 Obsługa witryny Azure Portal AzureCloud
169.254.169.254 TCP 80 Punkt końcowy usługi Azure Instance Metadata Service Nie dotyczy
168.63.129.16 TCP 80 Monitorowanie kondycji hosta sesji Nie dotyczy
oneocsp.microsoft.com TCP 80 Certyfikaty Nie dotyczy
www.microsoft.com TCP 80 Certyfikaty Nie dotyczy

W poniższej tabeli wymieniono opcjonalne nazwy FQDN i punkty końcowe, do których mogą być również wymagane maszyny wirtualne hosta sesji, aby uzyskać dostęp do innych usług:

Adres Protokół Port wyjściowy Purpose
login.windows.net TCP 443 Zaloguj się do usług Microsoft Online Services i Platformy Microsoft 365
*.events.data.microsoft.com TCP 443 Usługa telemetrii
www.msftconnecttest.com TCP 80 Wykrywa, czy host sesji jest połączony z Internetem
*.prod.do.dsp.mp.microsoft.com TCP 443 Windows Update
*.sfx.ms TCP 443 Aktualizacje dla oprogramowania klienckiego usługi OneDrive
*.digicert.com TCP 80 Sprawdzanie odwołania certyfikatów
*.azure-dns.com TCP 443 Rozpoznawanie nazw DNS platformy Azure
*.azure-dns.net TCP 443 Rozpoznawanie nazw DNS platformy Azure
*eh.servicebus.windows.net TCP 443 Ustawienia diagnostyczne

Ta lista nie zawiera nazw FQDN i punktów końcowych dla innych usług, takich jak Microsoft Entra ID, Office 365, niestandardowych dostawców DNS lub usług czasowych. Nazwy FQDN i punkty końcowe firmy Microsoft entra można znaleźć w obszarze identyfikatorów 56, 59 i 125 w zakresach adresów URL i adresów IP usługi Office 365.

Napiwek

Należy użyć symbolu wieloznakowego (*) dla nazw FQDN obejmujących ruch usługi. W przypadku ruchu agenta, jeśli nie chcesz używać symbolu wieloznakowego, poniżej przedstawiono sposób znajdowania określonych nazw FQDN w celu umożliwienia:

  1. Upewnij się, że maszyny wirtualne hosta sesji są zarejestrowane w puli hostów.
  2. Na hoście sesji otwórz podgląd zdarzeń, a następnie przejdź do obszaru Dzienniki>aplikacji>WVD-Agent i poszukaj zdarzenia o identyfikatorze 3701.
  3. Odblokuj nazwy FQDN, które można znaleźć pod identyfikatorem zdarzenia 3701. Nazwy FQDN o identyfikatorze zdarzenia 3701 są specyficzne dla regionu. Ten proces należy powtórzyć przy użyciu odpowiednich nazw FQDN dla każdego regionu świadczenia usługi Azure, w którym chcesz wdrożyć maszyny wirtualne hosta sesji.

Tagi usługi i tagi FQDN

Tag usługi sieci wirtualnej reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów, minimalizując złożoność częstych aktualizacji reguł zabezpieczeń sieci. Tagi usług mogą być używane zarówno w sieciowej grupie zabezpieczeń, jak i w regułach usługi Azure Firewall w celu ograniczenia dostępu do sieci wychodzącej. Tagi usług mogą być również używane w trasach zdefiniowanych przez użytkownika (UDR), aby dostosować zachowanie routingu ruchu.

Usługa Azure Firewall obsługuje usługę Azure Virtual Desktop jako tag FQDN. Aby uzyskać więcej informacji, zobacz Używanie usługi Azure Firewall do ochrony wdrożeń usługi Azure Virtual Desktop.

Zalecamy użycie tagów FQDN lub tagów usługi w celu uproszczenia konfiguracji. Wymienione nazwy FQDN i punkty końcowe i tagi odpowiadają tylko witrynom i zasobom usługi Azure Virtual Desktop. Nie obejmują nazw FQDN i punktów końcowych dla innych usług, takich jak Microsoft Entra ID. Aby zapoznać się z tagami usługi dla innych usług, zobacz Dostępne tagi usługi.

Usługa Azure Virtual Desktop nie ma listy zakresów adresów IP, które można odblokować zamiast nazw FQDN, aby zezwolić na ruch sieciowy. Jeśli używasz zapory nowej generacji (NGFW), musisz użyć listy dynamicznej utworzonej dla adresów IP platformy Azure, aby upewnić się, że możesz nawiązać połączenie.

Urządzenia użytkowników końcowych

Każde urządzenie, na którym jest używany jeden z klientów pulpitu zdalnego do nawiązywania połączenia z usługą Azure Virtual Desktop, musi mieć dostęp do następujących nazw FQDN i punktów końcowych. Umożliwienie tych nazw FQDN i punktów końcowych jest niezbędne dla niezawodnego środowiska klienta. Blokowanie dostępu do tych nazw FQDN i punktów końcowych jest nieobsługiwane i wpływa na funkcjonalność usługi.

Wybierz odpowiednią kartę na podstawie używanej chmury.

Adres Protokół Port wyjściowy Purpose Klienci
login.microsoftonline.com TCP 443 Uwierzytelnianie w usługach Microsoft Online Services wszystkie
*.wvd.microsoft.com TCP 443 Ruch usługi wszystkie
*.servicebus.windows.net TCP 443 Rozwiązywanie problemów z danymi wszystkie
go.microsoft.com TCP 443 Microsoft FWLinks wszystkie
aka.ms TCP 443 Skrócenie adresu URL firmy Microsoft wszystkie
learn.microsoft.com TCP 443 Dokumentacja wszystkie
privacy.microsoft.com TCP 443 Oświadczenie o ochronie prywatności wszystkie
query.prod.cms.rt.microsoft.com TCP 443 Pobierz tożsamość usługi zarządzanej, aby zaktualizować klienta. Wymagane do aktualizacji automatycznych. Windows Desktop

Te nazwy FQDN i punkty końcowe odpowiadają tylko lokacjom i zasobom klienta. Ta lista nie zawiera nazw FQDN i punktów końcowych dla innych usług, takich jak Microsoft Entra ID lub Office 365. Nazwy FQDN i punkty końcowe firmy Microsoft entra można znaleźć w obszarze identyfikatorów 56, 59 i 125 w zakresach adresów URL i adresów IP usługi Office 365.

Następne kroki