Configuration réseau requise pour Microsoft Dev Box
Microsoft Dev Box est un service qui permet aux utilisateurs de se connecter à un poste de travail basé sur le cloud exécuté dans Azure via Internet, depuis n'importe quel appareil, n'importe où. Pour prendre en charge ces connexions Internet, vous devez respecter les exigences réseau répertoriées dans cet article. Vous devez travailler avec l’équipe réseau et l’équipe de sécurité de votre organisation pour planifier et mettre en œuvre l’accès au réseau pour les dev box.
Microsoft Dev Box est étroitement lié aux services Windows 365 et Azure Virtual Desktop et, dans de nombreux cas, les exigences réseau sont les mêmes.
Configuration réseau requise générale
Les boîtes de développement nécessitent une connexion réseau pour accéder aux ressources. Vous pouvez choisir entre une connexion réseau hébergée par Microsoft et une connexion réseau Azure que vous créez dans votre propre abonnement. Le choix d'une méthode pour autoriser l'accès aux ressources de votre réseau dépend de l'endroit où sont basées vos ressources.
Lorsque vous utilisez une connexion hébergée par Microsoft :
- Microsoft fournit et gère entièrement l'infrastructure.
- Vous pouvez gérer la sécurité du boîtier de développement à partir de Microsoft Intune.
Pour utiliser votre propre réseau et provisionner des boîtes de développement jointes à Microsoft Entra, vous devez remplir les conditions suivantes :
- Réseau virtuel Azure : vous devez disposer d'un réseau virtuel dans votre abonnement Azure. La région que vous sélectionnez pour le réseau virtuel est l’emplacement où Azure déploie les dev box.
- Un sous-réseau au sein du réseau virtuel et un espace d’adressage IP disponible.
- Bande passante réseau : consultez les directives réseau d'Azure.
Pour utiliser votre propre réseau et provisionner des boîtes de développement hybrides Microsoft Entra, vous devez répondre aux exigences ci-dessus ainsi qu'aux exigences suivantes :
- Le réseau virtuel Azure doit être capable de résoudre les entrées DNS (Domain Name Services) pour votre environnement Active Directory Domain Services (AD DS). Pour prendre en charge cette résolution, définissez vos serveurs DNS AD DS comme serveurs DNS pour le réseau virtuel.
- Le réseau virtuel Azure doit disposer d’un accès réseau à un contrôleur de domaine d’entreprise, soit dans Azure, soit sur site.
Important
Lorsque vous utilisez votre propre réseau, Microsoft Dev Box ne prend actuellement pas en charge le déplacement des interfaces réseau vers un autre réseau virtuel ou un autre sous-réseau.
Autoriser la connectivité réseau
Dans votre configuration réseau, vous devez autoriser le trafic vers les URL et ports de service suivants pour prendre en charge le provisionnement, la gestion et la connectivité à distance des boîtiers de développement.
Noms de domaine complets et points de terminaison requis pour Microsoft Dev Box
Pour configurer des boîtes de développement et permettre à vos utilisateurs de se connecter aux ressources, vous devez autoriser le trafic pour des noms de domaine complets (FQDN) et des points de terminaison spécifiques. Ces noms de domaine complets et points de terminaison peuvent être bloqués si vous utilisez un pare-feu, tel que Pare-feu Azureou le service proxy.
Vous pouvez vérifier que vos boîtiers de développement peuvent se connecter à ces noms de domaine complets et points de terminaison en suivant les étapes pour exécuter l'outil d'URL de l'agent Azure Virtual Desktop dans Vérifier l'accès aux noms de domaine complets et points de terminaison requis pour Azure Virtual Desktop. L’outil URL de l’agent Azure Virtual Desktop valide chaque nom de domaine complet et point de terminaison et indique si vos boîtes de développement peuvent y accéder.
Important
Microsoft ne prend pas en charge les déploiements de boîtes de développement dans lesquels les noms de domaine complets et les points de terminaison répertoriés dans cet article sont bloqués.
Utiliser les balises FQDN et les balises de service pour les points de terminaison via le Pare-feu Azure
La gestion des contrôles de sécurité réseau pour les boîtiers de développement peut être complexe. Pour simplifier la configuration, utilisez des balises de nom de domaine complet (FQDN) et des balises de service pour autoriser le trafic réseau.
Balises FQDN
Une balise FQDN est une balise prédéfinie dans le Pare-feu Azure qui représente un groupe de noms de domaine complets. En utilisant les balises FQDN, vous pouvez facilement créer et gérer des règles de sortie pour des services spécifiques comme Windows 365 sans spécifier manuellement chaque nom de domaine.
Les regroupements définis par les balises du nom de domaine complet (FDQDN) peuvent se chevaucher. Par exemple, la balise du nom de domaine complet (FQDN) Windows365 inclut des points de terminaison AVD pour les ports standard, consultez Référence.
Les pare-feu non Microsoft ne prennent généralement pas en charge les balises FQDN ou les balises de service. Il peut y avoir un terme différent pour la même fonctionnalité ; vérifiez la documentation de votre pare-feu.
Balises de service
Une étiquette de service représente un groupe de préfixes d’adresses IP d’un service Azure donné. Microsoft gère les préfixes d’adresses englobés par l’étiquette de service et met à jour automatiquement l’étiquette de service quand les adresses changent, ce qui réduit la complexité des mises à jour fréquentes relatives aux règles de sécurité réseau. Les balises de service peuvent être utilisées dans les règles du Groupe de sécurité réseau (NSG) et du Pare-feu Azure pour restreindre l'accès au réseau sortant, ainsi que dans l'Itinéraire défini par l'utilisateur (UDR) pour personnaliser le comportement de routage du trafic.
Points de terminaison requis pour la connectivité réseau d’appareils physiques
Bien que la majeure partie de la configuration soit destinée au réseau de boîtier de développement basé sur le cloud, la connectivité de l'utilisateur final s'effectue à partir d'un appareil physique. Par conséquent, vous devez également suivre les directives de connectivité sur le réseau de périphériques physiques.
| Appareil ou service | Connectivité réseau requise, URL et ports | Description | Requis ? |
|---|---|---|---|
| Appareil physique | Lien | Connectivité et mises à jour du client Bureau à distance. | Oui |
| Service Microsoft Intune | Lien | Services cloud Intune tels que la gestion des appareils, la livraison d'applications et l'analyse des points de terminaison. | Oui |
| Machine virtuelle hôte de session Azure Virtual Desktop | Lien | Connectivité à distance entre les boîtiers de développement et le service backend Azure Virtual Desktop. | Oui |
| Service Windows 365 | Lien | Approvisionnement et vérifications d’intégrité. | Oui |
Tout appareil que vous utilisez pour vous connecter à une zone de développement doit avoir accès aux noms de domaine complets et points de terminaison suivants. L’autorisation de ces noms de domaine complets et de points de terminaison est essentielle pour une expérience client fiable. Le blocage de l’accès à ces noms de domaine complets et points de terminaison n’est pas pris en charge et affecte les fonctionnalités de service.
| Adresse | Protocol | Port sortant | Objectif | Clients | Requis ? |
|---|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | Authentification auprès de Microsoft Online Services | Tous | Oui |
| *.wvd.microsoft.com | TCP | 443 | Trafic de service | Tous | Oui |
| *.servicebus.windows.net | TCP | 443 | Résolution des problèmes de données | Tous | Oui |
| go.microsoft.com | TCP | 443 | Microsoft FWLinks | Tous | Oui |
| aka.ms | TCP | 443 | Réducteur d’URL Microsoft | Tous | Oui |
| learn.microsoft.com | TCP | 443 | Documentation | Tous | Oui |
| privacy.microsoft.com | TCP | 443 | Déclaration de confidentialité | Tous | Oui |
| query.prod.cms.rt.microsoft.com | TCP | 443 | Téléchargez un MSI pour mettre à jour le client. Obligatoire pour les mises à jour automatiques. | Windows Desktop | Oui |
Ces noms de domaine complets et points de terminaison correspondent uniquement aux sites et ressources clients.
Points de terminaison requis pour l’approvisionnement de box de développement
Les URL et ports suivants sont requis pour le provisionnement des boîtes de développement et les vérifications de l’état de Azure Network Connection (ANC). Tous les points de terminaison se connectent via le port 443, sauf indication contraire.
| Catégorie | Points de terminaison | Balise de nom de domaine complet ou balise de service | Requis ? |
|---|---|---|---|
| Points de terminaison de communication de la boîte de développement | .agentmanagement.dc.azure.com .cmdagent.trafficmanager.net |
N/A | Oui |
| Points de terminaison de service et d’inscription Windows 365 | Pour connaître les points de terminaison d’inscription Windows 365 actuels, consultez Configuration réseau requise pour Windows 365. | Balise FQDN : Windows365 | Oui |
| Points de terminaison du service Azure Virtual Desktop | Pour connaître les points de terminaison de service AVD actuels, consultez Machines virtuelles hôtes de session. | Balise FQDN : WindowsVirtualDesktop | Oui |
| Microsoft Entra ID | Les noms de domaine complets et points de terminaison pour Microsoft Entra ID se trouvent sous les ID 56, 59 et 125 dans les URL et plages d'adresses IP Office 365. | Étiquette de service : AzureActiveDirectory | Oui |
| Microsoft Intune | Pour connaître les noms de domaine complets et les points de terminaison actuels pour Microsoft Entra ID, consultez Service principal Intune. | Balise FQDN : MicrosoftIntune | Oui |
Les noms de domaine complets et les points de terminaison et balises répertoriés correspondent aux ressources requises. Ils n’incluent pas de noms de domaine complets et de points de terminaison pour tous les services. Pour connaître les étiquettes de service pour d’autres services, consultez Balises de service disponibles.
Azure Virtual Desktop n’a pas de liste de plages d’adresses IP que vous pouvez débloquer au lieu de noms de domaine complets pour autoriser le trafic réseau. Si vous utilisez un pare-feu de nouvelle génération (NGFW), vous devez utiliser une liste dynamique faite pour les adresses IP Azure pour vous assurer que vous pouvez vous connecter.
Pour plus d’informations, consultez Utiliser Pare-feu Azure pour gérer et sécuriser les environnements Windows 365.
Le tableau suivant est la liste des noms de domaine complets et des points de terminaison auxquels vos boîtes de développement doivent accéder. Toutes les entrées sont sortantes ; vous n'avez pas besoin d'ouvrir des ports entrants pour les boîtes de développement.
| Adresse | Protocol | Port sortant | Objectif | Balise du service | Requis ? |
|---|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | Authentification auprès de Microsoft Online Services | AzureActiveDirectory | Oui |
| *.wvd.microsoft.com | TCP | 443 | Trafic de service | WindowsVirtualDesktop | Oui |
| *.prod.warm.ingest.monitor.core.windows.net | TCP | 443 | Trafic des agents Sortie de diagnostic | AzureMonitor | Oui |
| catalogartifact.azureedge.net | TCP | 443 | Place de marché Azure | AzureFrontDoor.Frontend | Oui |
| gcs.prod.monitoring.core.windows.net | TCP | 443 | Trafic de l’agent | AzureCloud | Oui |
| kms.core.windows.net | TCP | 1688 | Activation de Windows | Internet | Oui |
| azkms.core.windows.net | TCP | 1688 | Activation de Windows | Internet | Oui |
| mrsglobalsteus2prod.blob.core.windows.net | TCP | 443 | Mises à jour de la pile de l’agent et de la pile côte à côte (SXS) | AzureCloud | Oui |
| wvdportalstorageblob.blob.core.windows.net | TCP | 443 | Prise en charge du portail Azure | AzureCloud | Oui |
| 169.254.169.254 | TCP | 80 | Point de terminaison Azure Instance Metadata Service | N/A | Oui |
| 168.63.129.16 | TCP | 80 | Surveillance de l’intégrité de l’hôte de la session | N/A | Oui |
| oneocsp.microsoft.com | TCP | 80 | Certificats | N/A | Oui |
| www.microsoft.com | TCP | 80 | Certificats | N/A | Oui |
Le tableau suivant répertorie les noms de domaine complets facultatifs et les points de terminaison auxquels vos machines virtuelles hôtes de session peuvent également avoir besoin d’accéder à d’autres services :
| Adresse | Protocol | Port sortant | Objectif | Requis ? |
|---|---|---|---|---|
| login.windows.net | TCP | 443 | Connexion aux services en ligne de Microsoft et à Microsoft 365 | Facultatif |
| *.events.data.microsoft.com | TCP | 443 | Service de télémétrie | Facultatif |
| www.msftconnecttest.com | TCP | 80 | Détecte si l’hôte de la session est connecté à internet | Facultatif |
| *.prod.do.dsp.mp.microsoft.com | TCP | 443 | Windows Update | Facultatif |
| *.sfx.ms | TCP | 443 | Mises à jour pour le logiciel client OneDrive | Facultatif |
| *.digicert.com | TCP | 80 | Vérification de la révocation de certificat | Facultatif |
| *.azure-dns.com | TCP | 443 | Résolution d’Azure DNS | Facultatif |
| *.azure-dns.net | TCP | 443 | Résolution d’Azure DNS | Facultatif |
Cette liste n'inclut pas les noms de domaine complets et les points de terminaison d'autres services tels que Microsoft Entra ID, Office 365, les fournisseurs DNS personnalisés ou les services de temps. Les noms de domaine complets et points de terminaison Microsoft Entra se trouvent sous les ID 56, 59 et 125 dans les URL et plages d'adresses IP Office 365.
Conseil
Vous devez utiliser le caractère générique (*) pour les noms de domaine complets impliquant trafic de service. Pour trafic de l’agent, si vous préférez ne pas utiliser de caractères génériques, voici comment rechercher des noms de domaine complets spécifiques à autoriser :
- Vérifiez que vos machines virtuelles hôtes de session sont inscrites à un pool d’hôtes.
- Sur un hôte de session, ouvrez Observateur d’événements, puis accédez à journaux Windows>Application>Agent WVD et recherchez l’ID d’événement 3701.
- Débloquer les noms de domaine complets que vous trouvez sous l’ID d’événement 3701. Les noms de domaine complets sous l’ID d’événement 3701 sont spécifiques à la région. Vous devez répéter ce processus avec les noms de domaine complets appropriés pour chaque région Azure dans laquelle vous souhaitez déployer vos machines virtuelles hôtes de session.
Points de terminaison du service de courtier RDP (Remote Desktop Protocol)
La connectivité directe aux points de terminaison du service de courtier RDP Azure Virtual Desktop est essentielle pour les performances à distance vers une boîte de développement. Ces points de terminaison affectent à la fois la connectivité et la latence. Pour vous conformer aux principes de connectivité réseau de Microsoft 365, vous devez classer ces points de terminaison comme Optimiser les points de terminaison et utiliser un Remote Desktop Protocol (RDP) Shortpath depuis votre réseau virtuel Azure vers ces points de terminaison. RDP Shortpath peut fournir un autre chemin de connexion pour améliorer la connectivité du boîtier de développement, en particulier dans des conditions de réseau sous-optimales.
Pour faciliter la configuration des contrôles de sécurité réseau, utilisez les balises de service Azure Virtual Desktop pour identifier ces points de terminaison pour le routage direct à l’aide d’une route définie par l’utilisateur (UDR) Azure Networking. Un UDR entraîne un routage direct entre votre réseau virtuel et le courtier RDP pour une latence la plus faible.
La modification des routes réseau d’un boîtier de développement (au niveau de la couche réseau ou au niveau de la couche du boîtier de développement comme VPN) peut rompre la connexion entre le boîtier de développement et le courtier RDP Azure Virtual Desktop. Si tel est le cas, l'utilisateur final est déconnecté de son boîtier de développement jusqu'à ce qu'une connexion soit rétablie.
Configuration requise du DNS
Dans le cadre des exigences de jointure hybride Microsoft Entra, vos boîtiers de développement doivent pouvoir rejoindre Active Directory sur site. Les boîtes de développement doivent être capables de résoudre les enregistrements DNS pour que votre environnement AD sur site puisse y adhérer.
Configurez votre réseau virtuel Azure où les boîtes de développement sont provisionnées comme suit :
- Assurez-vous que votre réseau virtuel Azure dispose d'une connectivité réseau aux serveurs DNS qui peuvent résoudre votre domaine Active Directory.
- Dans les paramètres du réseau virtuel Azure, sélectionnez Serveurs DNS>personnalisés.
- Entrez l'adresse IP des serveurs DNS de cet environnement qui peuvent résoudre votre domaine AD DS.
Conseil
L'ajout d'au moins deux serveurs DNS, comme vous le feriez avec un PC physique, permet d'atténuer le risque d'un point de défaillance unique dans la résolution de noms. Pour plus d’informations, consultez configuration des paramètres des réseaux virtuels Azure.
Connexion à des ressources locales
Vous pouvez autoriser les boîtiers de développement à se connecter à des ressources sur site via une connexion hybride. Travaillez avec votre expert réseau Azure pour implémenter une topologie de réseau Hub and Spoke. Le hub est le point central qui se connecte à votre réseau sur site ; vous pouvez utiliser une route Express, un VPN site à site ou un VPN point à site. Le rayon est le réseau virtuel qui contient les boîtes de développement. La topologie Hub and Spoke peut vous aider à gérer le trafic et la sécurité du réseau. Vous associez le réseau virtuel dev box au réseau virtuel connecté sur site pour fournir un accès aux ressources sur site.
Technologies d'interception du trafic
Certaines entreprises clientes utilisent l'interception du trafic, le déchiffrement TLS, l'inspection approfondie des paquets et d'autres technologies similaires pour permettre aux équipes de sécurité de surveiller le trafic réseau. Ces technologies d’interception du trafic peuvent entraîner des problèmes lors de l’exécution des vérifications de connexion réseau Azure ou du provisionnement des boîtes de développement. Assurez-vous qu’aucune interception réseau n’est appliquée pour les boîtiers de développement fournis dans Microsoft Dev Box.
Les technologies d’interception du trafic peuvent exacerber les problèmes de latence. Vous pouvez utiliser un Remote Desktop Protocol (RDP) Shortpath pour minimiser les problèmes de latence.
Dépannage
Cette section aborde certains problèmes courants de connexion et de réseau.
Problèmes de connexion
La tentative de connexion a échoué
Si l'utilisateur de la boîte de développement rencontre des problèmes de connexion et voit un message d'erreur indiquant que la tentative de connexion a échoué, assurez-vous d'avoir activé le protocole PKU2U sur le PC local et sur l'hôte de session.
Pour plus d'informations sur le dépannage des erreurs de connexion, consultez Résoudre les problèmes de connexion aux machines virtuelles jointes à Microsoft Entra - Client Windows Desktop.
Problèmes de stratégie de groupe dans les environnements hybrides
Si vous utilisez un environnement hybride, vous pourriez rencontrer des problèmes de stratégie de groupe. Vous pouvez tester si le problème est lié à la stratégie de groupe en excluant temporairement la boîte de développement de la stratégie de groupe.
Pour plus d'informations sur la résolution des problèmes de stratégie de groupe, consultez les conseils de dépannage pour l'application d'une stratégie de groupe.
IPv6 résolvant les problèmes
Si vous rencontrez des problèmes IPv6, vérifiez que le point de terminaison du service Microsoft.AzureActiveDirectory n'est pas activé sur le réseau virtuel ou le sous-réseau. Ce point de terminaison de service convertit l'IPv4 en IPv6.
Pour plus d’informations, consultez Points de terminaison de service de réseau virtuel.
Mise à jour des problèmes d’image de définition de dev box
Lorsque vous mettez à jour l’image utilisée dans une définition de dev box, vous devez être certain que vous disposez d’adresses IP suffisantes disponibles dans votre réseau virtuel. Davantage d’adresses IP libres supplémentaires sont nécessaires pour le contrôle d’intégrité de la connexion réseau Azure. Si le contrôle d’intégrité échoue, la définition de dev box ne sera pas mise à jour. Vous avez besoin d’une adresse IP supplémentaire par dev box et de deux adresses IP pour le contrôle d’intégrité et l’infrastructure de Dev Box.
Pour plus d’informations sur la mise à jour des images de définition de dev box, consultez Mettre à jour une définition de dev box.
Contenu connexe
- Vérifiez l’accès aux noms de domaine complets et points de terminaison requis pour Azure Virtual Desktop.
- Découvrez comment débloquer ces noms de domaine complets et points de terminaison dans le Pare-feu Azure, consultez Utiliser le Pare-feu Azure pour protéger Azure Virtual Desktop.
- Pour plus d'informations sur la connectivité réseau, consultez Comprendre la connectivité réseau Azure Virtual Desktop.