Nödvändiga FQDN:er och slutpunkter för Azure Virtual Desktop
För att kunna distribuera Azure Virtual Desktop och för att användarna ska kunna ansluta måste du tillåta specifika FQDN och slutpunkter. Användarna måste också kunna ansluta till vissa FQDN och slutpunkter för att få åtkomst till sina Azure Virtual Desktop-resurser. I den här artikeln visas de nödvändiga FQDN:er och slutpunkter som du behöver för att tillåta sessionsvärdar och användare.
Dessa FQDN:er och slutpunkter kan blockeras om du använder en brandvägg, till exempel Azure Firewall eller proxytjänst. Vägledning om hur du använder en proxytjänst med Azure Virtual Desktop finns i Riktlinjer för proxytjänsten för Azure Virtual Desktop. Den här artikeln innehåller inte FQDN och slutpunkter för andra tjänster som Microsoft Entra-ID, Office 365, anpassade DNS-leverantörer eller tidstjänster. Microsoft Entra FQDN och slutpunkter finns under ID 56, 59 och 125 i Office 365-URL:er och IP-adressintervall.
Du kan kontrollera att dina virtuella sessionsvärddatorer kan ansluta till dessa FQDN och slutpunkter genom att följa stegen för att köra URL-verktyget för Azure Virtual Desktop-agenten i Kontrollera åtkomsten till nödvändiga FQDN:er och slutpunkter för Azure Virtual Desktop. URL-verktyget för Azure Virtual Desktop-agenten verifierar varje FQDN och slutpunkt och visar om sessionsvärdarna kan komma åt dem.
Viktigt!
Microsoft stöder inte Azure Virtual Desktop-distributioner där de FQDN och slutpunkter som anges i den här artikeln blockeras.
Virtuella sessionsvärddatorer
Följande tabell är en lista över FQDN:er och slutpunkter som dina virtuella sessionsvärddatorer behöver åtkomst till för Azure Virtual Desktop. Alla poster är utgående. du behöver inte öppna inkommande portar för Azure Virtual Desktop. Välj relevant flik baserat på vilket moln du använder.
| Adress | Protokoll | Utgående port | Syfte | Tjänsttagg |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Autentisering till Microsoft Online Services | |
*.wvd.microsoft.com |
TCP | 443 | Tjänsttrafik | WindowsVirtualDesktop |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Agenttrafik Diagnostikutdata |
AzureMonitor |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Agenttrafik | AzureCloud |
kms.core.windows.net |
TCP | 1688 | Windows-aktivering | Internet |
azkms.core.windows.net |
TCP | 1688 | Windows-aktivering | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Uppdateringar av agent- och SXS-stackar (sida vid sida) | AzureCloud |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Stöd för Azure-portalen | AzureCloud |
169.254.169.254 |
TCP | 80 | Tjänstslutpunkt för Azure Instance Metadata | Ej tillämpligt |
168.63.129.16 |
TCP | 80 | Hälsoövervakning av sessionsvärd | Ej tillämpligt |
oneocsp.microsoft.com |
TCP | 80 | Certifikat | Ej tillämpligt |
www.microsoft.com |
TCP | 80 | Certifikat | Ej tillämpligt |
I följande tabell visas valfria FQDN:er och slutpunkter som din session är värd för virtuella datorer kan också behöva komma åt för andra tjänster:
| Adress | Protokoll | Utgående port | Syfte |
|---|---|---|---|
login.windows.net |
TCP | 443 | Logga in på Microsoft Online Services och Microsoft 365 |
*.events.data.microsoft.com |
TCP | 443 | Telemetry Service |
www.msftconnecttest.com |
TCP | 80 | Identifierar om sessionsvärden är ansluten till Internet |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update |
*.sfx.ms |
TCP | 443 | Uppdateringar för OneDrive-klientprogramvara |
*.digicert.com |
TCP | 80 | Kontroll av återkallade certifikat |
*.azure-dns.com |
TCP | 443 | Azure DNS-matchning |
*.azure-dns.net |
TCP | 443 | Azure DNS-matchning |
*eh.servicebus.windows.net |
TCP | 443 | Diagnostikinställningar |
Den här listan innehåller inte FQDN och slutpunkter för andra tjänster som Microsoft Entra-ID, Office 365, anpassade DNS-leverantörer eller tidstjänster. Microsoft Entra FQDN och slutpunkter finns under ID 56, 59 och 125 i Office 365-URL:er och IP-adressintervall.
Dricks
Du måste använda jokertecknet (*) för FQDN som involverar tjänsttrafik. För agenttrafik, om du föredrar att inte använda ett jokertecken, så här hittar du specifika FQDN:er som tillåter:
- Kontrollera att dina virtuella sessionsvärddatorer är registrerade i en värdpool.
- Öppna Loggboken på en sessionsvärd och gå sedan till Windows-loggar>Program>WVD-Agent och leta efter händelse-ID 3701.
- Avblockera de FQDN:er som du hittar under händelse-ID 3701. FQDN:erna under händelse-ID 3701 är regionspecifika. Du måste upprepa den här processen med relevanta FQDN för varje Azure-region som du vill distribuera sessionsvärdens virtuella datorer i.
Tjänsttaggar och FQDN-taggar
En tjänsttagg för virtuellt nätverk representerar en grupp IP-adressprefix från en viss Azure-tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras, vilket minimerar komplexiteten i frekventa uppdateringar av nätverkssäkerhetsregler. Tjänsttaggar kan användas i både NSG (Network Security Group) och Azure Firewall-regler för att begränsa utgående nätverksåtkomst. Tjänsttaggar kan också användas i Användardefinierad väg (UDR) för att anpassa trafikroutningsbeteende.
Azure Firewall stöder Azure Virtual Desktop som en FQDN-tagg. Mer information finns i Använda Azure Firewall för att skydda Azure Virtual Desktop-distributioner.
Vi rekommenderar att du använder FQDN-taggar eller tjänsttaggar för att förenkla konfigurationen. De listade FQDN:erna och slutpunkterna och taggarna motsvarar endast Azure Virtual Desktop-webbplatser och -resurser. De innehåller inte FQDN och slutpunkter för andra tjänster, till exempel Microsoft Entra-ID. Tjänsttaggar för andra tjänster finns i Tillgängliga tjänsttaggar.
Azure Virtual Desktop har ingen lista över IP-adressintervall som du kan avblockera i stället för FQDN för att tillåta nätverkstrafik. Om du använder en nästa generations brandvägg (NGFW) måste du använda en dynamisk lista som gjorts för Azure IP-adresser för att se till att du kan ansluta.
Slutanvändarenheter
Alla enheter där du använder en av fjärrskrivbordsklienterna för att ansluta till Azure Virtual Desktop måste ha åtkomst till följande FQDN och slutpunkter. Att tillåta dessa FQDN:er och slutpunkter är viktigt för en tillförlitlig klientupplevelse. Blockera åtkomst till dessa FQDN:er och slutpunkter stöds inte och påverkar tjänstens funktioner.
Välj relevant flik baserat på vilket moln du använder.
| Adress | Protokoll | Utgående port | Syfte | Klienter |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Autentisering till Microsoft Online Services | Alla |
*.wvd.microsoft.com |
TCP | 443 | Tjänsttrafik | Alla |
*.servicebus.windows.net |
TCP | 443 | Felsöka data | Alla |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | Alla |
aka.ms |
TCP | 443 | Microsoft URL-kortare | Alla |
learn.microsoft.com |
TCP | 443 | Dokumentation | Alla |
privacy.microsoft.com |
TCP | 443 | Sekretesspolicy | Alla |
query.prod.cms.rt.microsoft.com |
TCP | 443 | Ladda ned en MSI för att uppdatera klienten. Krävs för automatiska uppdateringar. | Windows Desktop |
Dessa FQDN:er och slutpunkter motsvarar endast klientplatser och resurser. Den här listan innehåller inte FQDN och slutpunkter för andra tjänster som Microsoft Entra ID eller Office 365. Microsoft Entra FQDN och slutpunkter finns under ID 56, 59 och 125 i Office 365-URL:er och IP-adressintervall.
Nästa steg
Kontrollera åtkomsten till nödvändiga FQDN:er och slutpunkter för Azure Virtual Desktop.
Mer information om hur du avblockera dessa FQDN och slutpunkter i Azure Firewall finns i Använda Azure Firewall för att skydda Azure Virtual Desktop.
Mer information om nätverksanslutning finns i Förstå Azure Virtual Desktop-nätverksanslutning