Azure 虛擬桌面的必要 FQDN 和端點
若要部署 Azure 虛擬桌面以供使用者連線,您必須允許特定的 FQDN 和端點。 使用者也必須能夠連線到特定 FQDN 和端點,才能存取其 Azure 虛擬桌面資源。 本文列出您需要允許工作階段主機和使用者必要的 FQDN 和端點。
如果您使用防火牆,例如 Azure 防火牆或 Proxy 服務,可能會封鎖這些 FQDN 和端點。 如需搭配 Azure 虛擬桌面使用 Proxy 服務的指引,請參閱 Azure 虛擬桌面的 Proxy 服務指導方針。 本文不包含其他服務的 FQDN 和端點,例如 Microsoft Entra ID、Office 365、自訂 DNS 提供者或時間服務。 在 Office 365 URL 和 IP 位址範圍中的識別碼 56、59 和 125 之下可以找到 Microsoft Entra FQDN 和端點。
遵循檢查 Azure 虛擬桌面的必要 FQDN 和端點存取權中的步驟來執行 Azure 虛擬桌面代理程式 URL 工具,即可檢查您的工作階段主機 VM 是否可連線到這些 FQDN 和端點。 Azure 虛擬桌面代理程式 URL 工具會驗證每個 FQDN 和端點,並顯示您的工作階段主機是否可以存取它們。
重要
Microsoft 不支援 Azure 虛擬桌面部署,因為本文所列的 FQDN 和端點遭到封鎖。
工作階段主機虛擬機器
下表是您的工作階段主機 VM 存取 Azure 虛擬桌面所需的 FQDN 和端點清單。 所有項目都是輸出項目;您不需要開啟 Azure 虛擬桌面的輸入連接埠。 根據您使用的雲端,選取相關索引標籤。
| 位址 | 通訊協定 | 輸出連接埠 | 目的 | 服務標籤 |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | 向 Microsoft Online Services 進行驗證 | |
*.wvd.microsoft.com |
TCP | 443 | 服務流量 | Windows 虛擬桌面 |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | 代理程式流量 診斷輸出 |
AzureMonitor |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | 代理程式流量 | AzureCloud |
kms.core.windows.net |
TCP | 1688 | Windows 啟用 | 網際網路 |
azkms.core.windows.net |
TCP | 1688 | Windows 啟用 | 網際網路 |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | 代理程式和並存 (SXS) 堆疊更新 | AzureCloud |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Azure 入口網站支援 | AzureCloud |
169.254.169.254 |
TCP | 80 | Azure Instance Metadata Service 端點 | N/A |
168.63.129.16 |
TCP | 80 | 工作階段主機狀況監控 | N/A |
oneocsp.microsoft.com |
TCP | 80 | 憑證 | N/A |
www.microsoft.com |
TCP | 80 | 憑證 | N/A |
下表列出您的工作階段主機虛擬機器可能也需要存取其他服務的選擇性 FQDN 和端點:
| 位址 | 通訊協定 | 輸出連接埠 | 目的 |
|---|---|---|---|
login.windows.net |
TCP | 443 | 登入 Microsoft Online Services 以及 Microsoft 365 |
*.events.data.microsoft.com |
TCP | 443 | 遙測服務 |
www.msftconnecttest.com |
TCP | 80 | 偵測工作階段主機是否已連線到網際網路 |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update |
*.sfx.ms |
TCP | 443 | OneDrive 用戶端軟體的更新 |
*.digicert.com |
TCP | 80 | 憑證撤銷檢查 |
*.azure-dns.com |
TCP | 443 | Azure DNS 解析 |
*.azure-dns.net |
TCP | 443 | Azure DNS 解析 |
這份清單不包含其他服務的 FQDN 和端點,例如 Microsoft Entra ID、Office 365、自訂 DNS 提供者或時間服務。 在 Office 365 URL 和 IP 位址範圍中的識別碼 56、59 和 125 之下可以找到 Microsoft Entra FQDN 和端點。
提示
對於涉及「服務流量」的 FQDN,您必須使用萬用字元 (*)。 對於「代理程式流量」,如果您不想使用萬用字元,以下說明如何尋找要允許的特定 FQDN:
- 請確保您的工作階段主機虛擬機器已註冊到主機集區。
- 在工作階段主機上,開啟 [事件檢視器],並前往 [Windows 記錄]>[應用程式]>[WVD-Agent],然後尋找事件識別碼 3701。
- 將您在事件識別碼 3701 下找到的 FQDN 解除鎖定。 事件識別碼 3701 下的 FQDN 會隨區域而不同。 您必須針對要在其中部署工作階段主機虛擬機器的每個 Azure 區域,重複執行相關 FQDN 的程序。
服務標籤和 FQDN 標籤
虛擬網路服務標籤代表來自指定 Azure 服務的一組 IP 位址首碼。 Microsoft 會管理服務標籤包含的位址前置詞,並隨著位址變更自動更新服務標籤,而盡可能簡化網路安全性規則頻繁的更新。 服務標籤可用於網路安全性群組 (NSG) 和 Azure 防火牆規則,以限制輸出網路存取。 服務標籤也可用於使用者定義路由 (UDR),以自訂流量路由行為。
Azure 防火牆支援 Azure 虛擬桌面作為 FQDN 標籤。 如需詳細資訊,請參閱使用 Azure 防火牆來保護 Azure 虛擬桌面部署。
建議您使用 FQDN 標籤或服務標籤來簡化設定。 列出的 FQDN 和端點及標籤僅對應於 Azure 虛擬桌面網站和資源。 它們不包含其他服務的 FQDN 和端點,例如 Microsoft Entra ID。 如需其他服務的服務標籤,請參閱可用的服務標籤。
Azure 虛擬桌面沒有您可將其解除鎖定,以允許網路流量的 IP 位址範圍 (而非 FQDN) 清單。 如果您使用新一代防火牆 (NGFW),您必須使用專為 Azure IP 位址所製作的動態清單來確保您可以連線。
終端使用者裝置
您使用其中一個遠端桌面用戶端連線到 Azure 虛擬桌面的任何裝置,都必須能夠存取下列 FQDN 和端點。 允許這些 FQDN 和端點對於可靠的用戶端體驗至關重要。 封鎖對這些 FQDN 和端點的存取會影響服務功能,因此不提供支援。
根據您使用的雲端,選取相關索引標籤。
| 位址 | 通訊協定 | 輸出連接埠 | 目的 | 用戶端 |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | 向 Microsoft Online Services 進行驗證 | 全部 |
*.wvd.microsoft.com |
TCP | 443 | 服務流量 | 全部 |
*.servicebus.windows.net |
TCP | 443 | 疑難排解資料 | 全部 |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | 全部 |
aka.ms |
TCP | 443 | Microsoft URL 縮短器 | 全部 |
learn.microsoft.com |
TCP | 443 | 文件 | 全部 |
privacy.microsoft.com |
TCP | 443 | 隱私權聲明 | 全部 |
query.prod.cms.rt.microsoft.com |
TCP | 443 | 下載 MSI 以更新用戶端。 自動更新所需。 | Windows 桌面 |
這些 FQDN 和端點只會對應至用戶端站台和資源。 這份清單不包含其他服務的 FQDN 和端點,例如 Microsoft Entra ID 或 Office 365。 在 Office 365 URL 和 IP 位址範圍中的識別碼 56、59 和 125 之下可以找到 Microsoft Entra FQDN 和端點。
下一步
若要瞭解如何解除封鎖 Azure 防火牆中的這些 FQDN 和端點,請參閱 使用 Azure 防火牆來保護 Azure 虛擬桌面。
如需網路連線能力的詳細資訊,請參閱 瞭解 Azure 虛擬桌面網路連線能力