Sdílet prostřednictvím


Požadované plně kvalifikované názvy domén a koncové body pro Azure Virtual Desktop

Pokud chcete nasadit Azure Virtual Desktop a aby se vaši uživatelé mohli připojit, musíte povolit konkrétní plně kvalifikované názvy domén a koncové body. Uživatelé se také musí připojit k určitým plně kvalifikovaným názvům domén a koncovým bodům, aby měli přístup ke svým prostředkům Azure Virtual Desktopu. Tento článek obsahuje seznam požadovaných plně kvalifikovaných názvů domén a koncových bodů, které potřebujete povolit pro hostitele a uživatele relací.

Tyto plně kvalifikované názvy domén a koncové body můžou být blokované, pokud používáte bránu firewall, jako je Azure Firewall nebo služba proxy. Pokyny k používání proxy služby s Azure Virtual Desktopem najdete v pokynech ke službě Proxy pro Azure Virtual Desktop.

Pomocí postupu spuštění nástroje URL agenta služby Azure Virtual Desktop v rámci kontroly přístupu k požadovaným plně kvalifikovaným názvům domén a koncovým bodům pro Azure Virtual Desktop můžete zkontrolovat, že se virtuální počítače hostitele relace můžou připojit k těmto plně kvalifikovaným názvům domén a koncovým bodům. Nástroj URL agenta služby Azure Virtual Desktop ověří každý plně kvalifikovaný název domény a koncový bod a ukáže, jestli k nim mají přístup hostitelé relací.

Důležité

  • Microsoft nepodporuje nasazení služby Azure Virtual Desktop, kde jsou zablokované plně kvalifikované názvy domén a koncové body uvedené v tomto článku.

  • Tento článek neobsahuje plně kvalifikované názvy domén a koncové body pro jiné služby, jako je Microsoft Entra ID, Office 365, vlastní poskytovatelé DNS nebo časové služby. Plně kvalifikované názvy domén a koncové body Microsoft Entra najdete v části s ID 56, 59 a 125 v adresách URL a rozsahech IP adres v Office 365.

Značky služeb a značky plně kvalifikovaného názvu domény

Značky služeb představují skupiny předpon IP adres z dané služby Azure. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby jako změny adres a minimalizuje složitost častých aktualizací pravidel zabezpečení sítě. Značky služeb je možné použít v pravidlech pro skupiny zabezpečení sítě (NSG) a Azure Firewall k omezení odchozího síťového přístupu. Značky služeb lze také použít v trasách definovaných uživatelem k přizpůsobení chování směrování provozu.

Azure Firewall také podporuje značky plně kvalifikovaného názvu domény, které představují skupinu plně kvalifikovaných názvů domén přidružených k dobře známým Azure a dalším služby Microsoft. Azure Virtual Desktop nemá seznam rozsahů IP adres, které můžete odblokovat místo plně kvalifikovaných názvů domén, abyste povolili síťový provoz. Pokud používáte bránu firewall nové generace (NGFW), musíte použít dynamický seznam určený pro IP adresy Azure, abyste se mohli připojit. Další informace najdete v tématu Použití služby Azure Firewall k ochraně nasazení služby Azure Virtual Desktop.

Azure Virtual Desktop má k dispozici značku služby i položku značky plně kvalifikovaného názvu domény. Ke zjednodušení konfigurace sítě Azure doporučujeme používat značky služeb a značky plně kvalifikovaného názvu domény.

Virtuální počítače hostitele relace

Následující tabulka obsahuje seznam plně kvalifikovaných názvů domén a koncových bodů, ke které virtuální počítače hostitele relace potřebují přístup pro Azure Virtual Desktop. Všechny položky jsou odchozí; Pro Azure Virtual Desktop nemusíte otevírat příchozí porty. Na základě toho, který cloud používáte, vyberte příslušnou kartu.

Adresa Protokol Odchozí port Účel Značka služby
login.microsoftonline.com TCP 443 Ověřování ke službám Microsoft Online Services AzureActiveDirectory
*.wvd.microsoft.com TCP 443 Provoz služeb WindowsVirtualDesktop
catalogartifact.azureedge.net TCP 443 Azure Marketplace AzureFrontDoor.Frontend
*.prod.warm.ingest.monitor.core.windows.net TCP 443 Provoz agenta
Výstup diagnostiky
AzureMonitor
gcs.prod.monitoring.core.windows.net TCP 443 Provoz agenta AzureMonitor
azkms.core.windows.net TCP 1688 Aktivace Windows Internet
mrsglobalsteus2prod.blob.core.windows.net TCP 443 Aktualizace zásobníku agenta a souběžného zásobníku (SXS) AzureStorage
wvdportalstorageblob.blob.core.windows.net TCP 443 Podpora webu Azure Portal AzureCloud
169.254.169.254 TCP 80 Koncový bod služby Azure Instance Metadata
168.63.129.16 TCP 80 Monitorování stavu hostitele relace
oneocsp.microsoft.com TCP 80 Certifikáty AzureFrontDoor.FirstParty
www.microsoft.com TCP 80 Certifikáty

V následující tabulce jsou uvedeny volitelné plně kvalifikované názvy domén a koncové body, ke kterým může virtuální počítače hostitele relace potřebovat přístup i pro jiné služby:

Adresa Protokol Odchozí port Účel Značka služby
login.windows.net TCP 443 Přihlášení ke službám Microsoft Online Services a Microsoftu 365 AzureActiveDirectory
*.events.data.microsoft.com TCP 443 Služba telemetrie
www.msftconnecttest.com TCP 80 Zjistí, jestli je hostitel relace připojený k internetu.
*.prod.do.dsp.mp.microsoft.com TCP 443 Windows Update
*.sfx.ms TCP 443 Aktualizace klientského softwaru OneDrivu
*.digicert.com TCP 80 Kontrola odvolání certifikátu
*.azure-dns.com TCP 443 Překlad Azure DNS
*.azure-dns.net TCP 443 Překlad Azure DNS
*eh.servicebus.windows.net TCP 443 Nastavení diagnostiky EventHub

Tip

Pro plně kvalifikované názvy domén zahrnující provoz služeb musíte použít zástupný znak (*).

Pokud u provozu agenta nechcete používat zástupný znak, tady je postup, jak najít konkrétní plně kvalifikované názvy domén, které chcete povolit:

  1. Ujistěte se, že jsou hostitelé relací zaregistrovaní ve fondu hostitelů.
  2. Na hostiteli relace otevřete Prohlížeč událostí a pak přejděte do části>Application WVD-Agent aplikace>windows a vyhledejte ID události 3701.
  3. Odblokujte plně kvalifikované názvy domén, které najdete v části s ID události 3701. Plně kvalifikované názvy domén v id události 3701 jsou specifické pro danou oblast. Tento proces je potřeba zopakovat s příslušnými plně kvalifikovanými názvy domén pro každou oblast Azure, ve které chcete nasadit hostitele relací.

Zařízení koncových uživatelů

Jakékoli zařízení, na kterém se připojujete k Azure Virtual Desktopu pomocí jednoho z klientů vzdálené plochy, musí mít přístup k následujícím plně kvalifikovaným názvům domén a koncovým bodům. Povolení těchto plně kvalifikovaných názvů domén a koncovýchbodůch Blokování přístupu k těmto plně kvalifikovaným názvům domén a koncovým bodům není podporované a má vliv na funkčnost služby.

Na základě toho, který cloud používáte, vyberte příslušnou kartu.

Adresa Protokol Odchozí port Účel Klienti
login.microsoftonline.com TCP 443 Ověřování ke službám Microsoft Online Services Všechny
*.wvd.microsoft.com TCP 443 Provoz služeb Všechny
*.servicebus.windows.net TCP 443 Řešení potíží s daty Všechny
go.microsoft.com TCP 443 Microsoft FWLinks Všechny
aka.ms TCP 443 Zkrácení adresy URL microsoftu Všechny
learn.microsoft.com TCP 443 Dokumentace Všechny
privacy.microsoft.com TCP 443 Prohlášení o ochraně osobních údajů Všechny
*.cdn.office.net TCP 443 Automatické aktualizace Desktopová verze Windows
graph.microsoft.com TCP 443 Provoz služeb Všechny
windows.cloud.microsoft TCP 443 Centrum připojení Všechny
windows365.microsoft.com TCP 443 Provoz služeb Všechny
ecs.office.com TCP 443 Centrum připojení Všechny

Pokud jste v uzavřené síti s omezeným přístupem k internetu, možná budete muset povolit plně kvalifikované názvy domén uvedené tady pro kontroly certifikátů: Podrobnosti o certifikační autoritě Azure | Microsoft Learn.

Další kroky