Azure 虛擬桌面的必要 FQDN 和端點
若要部署 Azure 虛擬桌面,並讓用戶連線,您必須允許特定的 FQDN 和端點。 用戶也必須能夠連線到特定 FQDN 和端點,才能存取其 Azure 虛擬桌面資源。 本文列出您需要為會話主機和用戶允許所需的 FQDN 和端點。
如果您使用防火牆,例如 Azure 防火牆 或 Proxy 服務,可能會封鎖這些 FQDN 和端點。 如需搭配 Azure 虛擬桌面使用 Proxy 服務的指引,請參閱 Azure 虛擬桌面的 Proxy 服務指導方針。 本文不包含其他服務的 FQDN 和端點,例如 Microsoft Entra ID、Office 365、自定義 DNS 提供者或時間服務。 您可以在 Office 365 URL 和 IP 位址範圍中的標識碼 56、59 和 125 中找到 Microsoft Entra FQDN 和端點。
您可以遵循執行 Azure 虛擬桌面代理程式 URL 工具中的步驟,檢查會話主機 VM 可以連線到這些 FQDN 和端點,以檢查 Azure 虛擬桌面所需的 FQDN 和端點的存取權。 Azure 虛擬桌面代理程式 URL 工具會驗證每個 FQDN 和端點,並顯示您的工作階段主機是否可以存取它們。
重要
Microsoft 不支援 Azure 虛擬桌面部署,因為本文所列的 FQDN 和端點會遭到封鎖。
會話主機虛擬機
下表列出您的會話主機 VM 需要存取 Azure 虛擬桌面的 FQDN 和端點。 所有專案都是輸出專案;您不需要開啟 Azure 虛擬桌面的輸入埠。 根據您使用的雲端,選取相關的索引標籤。
| 位址 | 通訊協定 | 輸出埠 | 目的 | 服務標籤 |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | 對 Microsoft Online Services 的驗證 | |
*.wvd.microsoft.com |
TCP | 443 | 服務流量 | Windows 虛擬桌面 |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | 代理程式流量 診斷輸出 |
AzureMonitor |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | 代理程式流量 | AzureCloud |
kms.core.windows.net |
TCP | 1688 | Windows 啟用 | 網際網路 |
azkms.core.windows.net |
TCP | 1688 | Windows 啟用 | 網際網路 |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | 代理程式和並存 (SXS) 堆疊更新 | AzureCloud |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Azure 入口網站支援 | AzureCloud |
169.254.169.254 |
TCP | 80 | Azure 實例元數據服務端點 | N/A |
168.63.129.16 |
TCP | 80 | 會話主機健康情況監視 | N/A |
oneocsp.microsoft.com |
TCP | 80 | 憑證 | N/A |
www.microsoft.com |
TCP | 80 | 憑證 | N/A |
下表列出會話主機虛擬機可能需要存取其他服務的選擇性 FQDN 和端點:
| 位址 | 通訊協定 | 輸出埠 | 目的 |
|---|---|---|---|
login.windows.net |
TCP | 443 | 登入 Microsoft Online Services 和 Microsoft 365 |
*.events.data.microsoft.com |
TCP | 443 | 遙測服務 |
www.msftconnecttest.com |
TCP | 80 | 偵測會話主機是否已連線到因特網 |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update |
*.sfx.ms |
TCP | 443 | 適用於 OneDrive 用戶端軟體的 更新 |
*.digicert.com |
TCP | 80 | 證書吊銷檢查 |
*.azure-dns.com |
TCP | 443 | Azure DNS 解析 |
*.azure-dns.net |
TCP | 443 | Azure DNS 解析 |
此清單不包含其他服務的 FQDN 和端點,例如 Microsoft Entra ID、Office 365、自定義 DNS 提供者或時間服務。 您可以在 Office 365 URL 和 IP 位址範圍中的標識碼 56、59 和 125 中找到 Microsoft Entra FQDN 和端點。
提示
您必須針對涉及服務流量的 FQDN 使用通配符 \ 。 針對 代理程式流量,如果您不想使用通配符,以下說明如何尋找允許的特定 FQDN:
- 請確定您的工作階段主機虛擬機已註冊到主機集區。
- 在會話主機上,開啟 [事件查看器],然後移至 [Windows 記錄>應用程式>WVD-Agent],然後尋找事件標識碼 3701。
- 解除封鎖您在事件標識碼 3701 下找到的 FQDN。 事件標識碼 3701 下的 FQDN 是區域特定的。 您必須針對您要部署會話主機虛擬機的每個 Azure 區域,使用相關的 FQDN 重複此程式。
服務標籤和 FQDN 標籤
虛擬網路服務標籤代表來自指定 Azure 服務的 IP 位址前綴群組。 Microsoft 會管理服務標籤包含的位址前置詞,並隨著位址變更自動更新服務標籤,而盡可能簡化網路安全性規則頻繁的更新。 服務標籤可用於網路安全組(NSG)和 Azure 防火牆 規則,以限制輸出網路存取。 服務標籤也可以在使用者定義的路由 (UDR) 中使用,以自定義流量路由行為。
Azure 防火牆 支援 Azure 虛擬桌面作為FQDN 標籤。 如需詳細資訊,請參閱使用 Azure 防火牆 來保護 Azure 虛擬桌面部署。
建議您使用 FQDN 標籤或服務標籤來簡化設定。 列出的 FQDN 和端點和標籤只會對應至 Azure 虛擬桌面網站和資源。 它們不包含其他服務的 FQDN 和端點,例如 Microsoft Entra ID。 如需其他服務的服務標籤,請參閱 可用的服務標籤。
Azure 虛擬桌面沒有您可以解除封鎖的IP位址範圍清單,而不是 FQDN 來允許網路流量。 如果您使用新一代防火牆 (NGFW),則必須使用針對 Azure IP 位址建立的動態清單,以確保您可以連線。
終端用戶裝置
您使用其中 一個遠端桌面用戶端 連線到 Azure 虛擬桌面的任何裝置,都必須能夠存取下列 FQDN 和端點。 允許這些 FQDN 和端點對於可靠的用戶端體驗至關重要。 不支援封鎖對這些 FQDN 和端點的存取,並影響服務功能。
根據您使用的雲端,選取相關的索引標籤。
| 位址 | 通訊協定 | 輸出埠 | 目的 | Client(s) |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | 對 Microsoft Online Services 的驗證 | 全部 |
*.wvd.microsoft.com |
TCP | 443 | 服務流量 | 全部 |
*.servicebus.windows.net |
TCP | 443 | 疑難解答數據 | 全部 |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | 全部 |
aka.ms |
TCP | 443 | Microsoft URL 縮短工具 | 全部 |
learn.microsoft.com |
TCP | 443 | 文件 | 全部 |
privacy.microsoft.com |
TCP | 443 | 隱私權聲明 | 全部 |
query.prod.cms.rt.microsoft.com |
TCP | 443 | 下載 MSI 以更新用戶端。 自動更新的必要專案。 | Windows 桌面 |
這些 FQDN 和端點只會對應至用戶端月臺和資源。 此清單不包含其他服務的 FQDN 和端點,例如 Microsoft Entra ID 或 Office 365。 您可以在 Office 365 URL 和 IP 位址範圍中的標識碼 56、59 和 125 中找到 Microsoft Entra FQDN 和端點。
下一步
檢查 Azure 虛擬桌面所需的 FQDN 和端點的存取權。
若要瞭解如何解除封鎖 Azure 防火牆 中的這些 FQDN 和端點,請參閱使用 Azure 防火牆 來保護 Azure 虛擬桌面。
如需網路連線的詳細資訊,請參閱 瞭解 Azure 虛擬桌面網路連線能力