Compartir a través de


FQDN y puntos de conexión necesarios para Azure Virtual Desktop

Para implementar Azure Virtual Desktop y que los usuarios se conecten, debe permitir FQDN y puntos de conexión específicos. Los usuarios también deben poder conectarse a determinados FQDN y puntos de conexión para acceder a sus recursos de Azure Virtual Desktop. En este artículo se enumeran los FQDN y los puntos de conexión necesarios para los hosts de sesión y los usuarios.

Estos FQDN y puntos de conexión podrían bloquearse si usa un firewall, como Azure Firewall o el servicio de proxy. Para obtener instrucciones sobre el uso de un servicio de proxy con Azure Virtual Desktop, consulte Directrices del servicio de proxy para Azure Virtual Desktop.

Puede comprobar que las máquinas virtuales del host de sesión pueden conectarse a estos FQDN y puntos de conexión siguiendo los pasos para ejecutar la herramienta de dirección URL del agente de Azure Virtual Desktop en Comprobación del acceso a los FQDN y los puntos de conexión necesarios para Azure Virtual Desktop. La herramienta de dirección URL del agente de Azure Virtual Desktop valida cada FQDN y punto de conexión y muestra si los hosts de sesión pueden acceder a ellos.

Importante

  • Microsoft no admite las implementaciones de Azure Virtual Desktop en las que se bloquean los FQDN y los puntos de conexión enumerados en este artículo.

  • En este artículo no se incluyen los FQDN ni los puntos de conexión de otros servicios, como Microsoft Entra ID, Office 365, proveedores DNS personalizados o servicios de hora. Los FQDN y los puntos de conexión de Microsoft Entra se pueden encontrar en los identificadores 56, 59 y 125 de Direcciones URL de Office 365 e intervalos de direcciones IP.

Etiquetas de servicio y etiquetas FQDN

Las etiquetas de servicio representan grupos de prefijos de dirección IP de un servicio de Azure determinado. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian, lo que minimiza la complejidad de las actualizaciones frecuentes en las reglas de seguridad de red. Las etiquetas de servicio se pueden usar en reglas para grupos de seguridad de red (NSG) y Azure Firewall para restringir el acceso de red saliente. Las etiquetas de servicio también se pueden usar en rutas definidas por el usuario (UDR) para personalizar el comportamiento de enrutamiento del tráfico.

Azure Firewall también admite etiquetas FQDN, que representan un grupo de nombres de dominio completos (FQDN) asociados a Azure y otros servicios de Microsoft conocidos. Azure Virtual Desktop no tiene ninguna lista de intervalos de direcciones IP que pueda desbloquear en lugar de FQDN para permitir el tráfico de red. Si usa un firewall de próxima generación (NGFW), deberá usar una lista dinámica hecha para las direcciones IP de Azure para asegurarse de que puede conectarse. Para obtener más información, consulte Uso de Azure Firewall para proteger las implementaciones de Azure Virtual Desktop.

Azure Virtual Desktop tiene una etiqueta de servicio y una entrada de etiqueta FQDN disponibles. Se recomienda usar etiquetas de servicio y etiquetas FQDN para simplificar la configuración de red de Azure.

Máquinas virtuales del host de sesión

En la tabla siguiente se muestra la lista de FQDN y puntos de conexión a los que necesitan acceder las máquinas virtuales del host de sesión para Azure Virtual Desktop. Todas las entradas son salientes; no es necesario abrir puertos de entrada para Azure Virtual Desktop. Seleccione la pestaña pertinente en función de la nube que use.

Dirección Protocolo Puerto de salida Fin Etiqueta de servicio
login.microsoftonline.com TCP 443 Autenticación en Microsoft Online Services AzureActiveDirectory
*.wvd.microsoft.com TCP 443 Tráfico de servicio WindowsVirtualDesktop
catalogartifact.azureedge.net TCP 443 Azure Marketplace AzureFrontDoor.Frontend
*.prod.warm.ingest.monitor.core.windows.net TCP 443 Tráfico de agente
Salida de diagnóstico
AzureMonitor
gcs.prod.monitoring.core.windows.net TCP 443 Tráfico de agente AzureMonitor
azkms.core.windows.net TCP 1688 Activación de Windows Internet
mrsglobalsteus2prod.blob.core.windows.net TCP 443 Actualizaciones de la pila del agente y en paralelo (SXS) AzureStorage
wvdportalstorageblob.blob.core.windows.net TCP 443 Soporte técnico de Azure Portal AzureCloud
169.254.169.254 TCP 80 Punto de conexión de servicio de metadatos de instancias de Azure N/D
168.63.129.16 TCP 80 Seguimiento de estado del host de sesión N/D
oneocsp.microsoft.com TCP 80 Certificados AzureFrontDoor.FirstParty
www.microsoft.com TCP 80 Certificados N/D

En la tabla siguiente se enumeran los FQDN y puntos de conexión opcionales a los que es posible que las máquinas virtuales del host de sesión también necesiten acceder a otros servicios:

Dirección Protocolo Puerto de salida Fin Etiqueta de servicio
login.windows.net TCP 443 Inicio de sesión en Microsoft Online Services y Microsoft 365 AzureActiveDirectory
*.events.data.microsoft.com TCP 443 Servicio de telemetría N/D
www.msftconnecttest.com TCP 80 Detecta si el host de sesión está conectado a Internet N/D
*.prod.do.dsp.mp.microsoft.com TCP 443 Windows Update N/D
*.sfx.ms TCP 443 Actualizaciones del software cliente de OneDrive N/D
*.digicert.com TCP 80 Comprobación de revocación de certificados N/D
*.azure-dns.com TCP 443 Resolución de Azure DNS N/D
*.azure-dns.net TCP 443 Resolución de Azure DNS N/D
*eh.servicebus.windows.net TCP 443 Configuración de diagnóstico EventHub

Sugerencia

Debe usar el carácter comodín (*) para los FQDN que impliquen tráfico de servicio.

En el caso del tráfico del agente, si prefiere no usar un carácter comodín, aquí se muestra cómo buscar FQDN específicos:

  1. Asegúrese de que los hosts de sesión estén registrados en un grupo de hosts.
  2. En un host de sesión, abra Visor de eventos y vaya a Registros de Windows>Aplicación>WVD-Agent y busque el evento con el identificador 3701.
  3. Desbloquee los FQDN que encuentre en el evento con el identificador 3701. Los FQDN con el identificador de evento 3701 son específicos de la región. Debe repetir este proceso con los FQDN pertinentes de cada región de Azure en la que quiera implementar los host de sesión.

Dispositivos de usuario final

Cualquier dispositivo en el que use uno de los clientes de Escritorio remoto para conectarse a Azure Virtual Desktop debe tener acceso a los siguientes FQDN y puntos de conexión. Permitir estos FQDN y puntos de conexión es esencial para una experiencia de cliente confiable. No se admite el bloqueo del acceso a estos FQDN y puntos de conexión y afecta a la funcionalidad del servicio.

Seleccione la pestaña pertinente en función de la nube que use.

Dirección Protocolo Puerto de salida Fin Cliente(s)
login.microsoftonline.com TCP 443 Autenticación en Microsoft Online Services All
*.wvd.microsoft.com TCP 443 Tráfico de servicio All
*.servicebus.windows.net TCP 443 Solución de problemas de los datos All
go.microsoft.com TCP 443 Microsoft FWLinks All
aka.ms TCP 443 Acortador de direcciones URL de Microsoft All
learn.microsoft.com TCP 443 Documentación All
privacy.microsoft.com TCP 443 Declaración de privacidad All
*.cdn.office.net TCP 443 Actualizaciones automáticas Escritorio de Windows
graph.microsoft.com TCP 443 Tráfico de servicio All
windows.cloud.microsoft TCP 443 Centro de conexiones All
windows365.microsoft.com TCP 443 Tráfico de servicio All
ecs.office.com TCP 443 Centro de conexiones All

Si está en una red cerrada con acceso restringido a Internet, es posible que también tenga que permitir los FQDN que se enumeran aquí para las comprobaciones de certificados: Detalles de la entidad de certificación de Azure | Microsoft Learn.

Pasos siguientes