Noms de domaine complets et points de terminaison obligatoires pour Azure Virtual Desktop
Pour déployer Azure Virtual Desktop et pour que vos utilisateurs se connectent, vous devez autoriser des noms de domaine complets et des points de terminaison spécifiques. Les utilisateurs doivent également être en mesure de se connecter à certains noms de domaine complets et points de terminaison pour accéder à leurs ressources Azure Virtual Desktop. Cet article répertorie les noms de domaine complets et les points de terminaison requis que vous devez autoriser pour vos hôtes et utilisateurs de session.
Ces noms de domaine complets et points de terminaison peuvent être bloqués si vous utilisez un pare-feu, tel que Pare-feu Azureou le service proxy. Pour obtenir des conseils sur l’utilisation d’un service proxy avec Azure Virtual Desktop, consultez Instructions relatives au service proxy pour Azure Virtual Desktop.
Vous pouvez vérifier que vos machines virtuelles hôtes de session peuvent se connecter à ces noms de domaine complets et points de terminaison en suivant les étapes d’exécution de l’outil d’URL de l’agent Azure Virtual Desktop dans Vérifier l’accès aux noms de domaine complets et points de terminaison requis pour Azure Virtual Desktop. L’outil d’URL de l’agent Azure Virtual Desktop valide chaque nom de domaine complet et point de terminaison et indique si vos hôtes de session peuvent y accéder.
Important
Microsoft ne prend pas en charge les déploiements Azure Virtual Desktop où les noms de domaine complets et les points de terminaison répertoriés dans cet article sont bloqués.
Cet article n’inclut pas les noms de domaine complets et les points de terminaison pour d’autres services tels que Microsoft Entra ID, Office 365, les fournisseurs DNS personnalisés ou les services de temps. Vous trouverez des noms de domaine complets et des points de terminaison Microsoft Entra sous ID 56, 59 et 125 dans URL et plages d’adresses IP Office 365.
Étiquettes de service et étiquettes FQDN
Les étiquettes de service représentent un groupe de préfixes d’adresses IP d’un service Azure donné. Microsoft gère les préfixes d’adresses englobés par l’étiquette de service et met à jour automatiquement l’étiquette de service quand les adresses changent, ce qui réduit la complexité des mises à jour fréquentes relatives aux règles de sécurité réseau. Les étiquettes de service peuvent être utilisées dans les règles pour les groupes de sécurité réseau (NSG) et pour Pare-feu Azure afin de restreindre l’accès réseau sortant. Les étiquettes de service peuvent également être utilisées dans les routes définies par l’utilisateur (UDR) pour personnaliser le comportement de routage du trafic.
Pare-feu Azure prend également en charge les étiquettes de nom de domaine complet, qui représentent un groupe de noms de domaine complets (FQDN) associés à des services Azure et Microsoft répandus. Azure Virtual Desktop n’a pas de liste de plages d’adresses IP que vous pouvez débloquer au lieu de noms de domaine complets pour autoriser le trafic réseau. Si vous utilisez un pare-feu de nouvelle génération (NGFW), vous devez utiliser une liste dynamique faite pour les adresses IP Azure pour vous assurer que vous pouvez vous connecter. Pour plus d’informations, consultez Utiliser le Pare-feu Azure pour protéger les déploiements Azure Virtual Desktop.
Azure Virtual Desktop dispose à la fois d’une étiquette de service et d’une entrée d’étiquette de nom de domaine complet. Nous vous recommandons d’utiliser des étiquettes de service et des étiquettes de nom de domaine complet pour simplifier votre configuration réseau Azure.
Machines virtuelles hôtes de session
Le tableau suivant est la liste des noms de domaine complets et des points de terminaison dont vos machines virtuelles hôtes de session doivent accéder à Azure Virtual Desktop. Toutes les entrées sont sortantes ; vous n’avez pas besoin d’ouvrir des ports entrants pour Azure Virtual Desktop. Sélectionnez l’onglet approprié en fonction du cloud que vous utilisez.
Adresse | Protocol | Port sortant | Objectif | Balise du service |
---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Authentification auprès de Microsoft Online Services | AzureActiveDirectory |
*.wvd.microsoft.com |
TCP | 443 | Trafic de service | WindowsVirtualDesktop |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Trafic de l’agent Sortie du diagnostic |
AzureMonitor |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Trafic de l’agent | AzureMonitor |
azkms.core.windows.net |
TCP | 1688 | Activation de Windows | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Mises à jour de la pile de l’agent et de la pile côte à côte (SXS) | AzureStorage |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Prise en charge du portail Azure | AzureCloud |
169.254.169.254 |
TCP | 80 | Point de terminaison Azure Instance Metadata Service | S/O |
168.63.129.16 |
TCP | 80 | Surveillance de l’intégrité de l’hôte de la session | S/O |
oneocsp.microsoft.com |
TCP | 80 | Certificats | AzureFrontDoor.FirstParty |
www.microsoft.com |
TCP | 80 | Certificats | S/O |
Le tableau suivant répertorie les noms de domaine complets facultatifs et les points de terminaison auxquels vos machines virtuelles hôtes de session peuvent également avoir besoin d’accéder à d’autres services :
Adresse | Protocol | Port sortant | Objectif | Balise du service |
---|---|---|---|---|
login.windows.net |
TCP | 443 | Connexion aux services en ligne de Microsoft et à Microsoft 365 | AzureActiveDirectory |
*.events.data.microsoft.com |
TCP | 443 | Service de télémétrie | S/O |
www.msftconnecttest.com |
TCP | 80 | Détecte si l’hôte de la session est connecté à internet | S/O |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | S/O |
*.sfx.ms |
TCP | 443 | Mises à jour pour le logiciel client OneDrive | S/O |
*.digicert.com |
TCP | 80 | Vérification de la révocation de certificat | S/O |
*.azure-dns.com |
TCP | 443 | Résolution d’Azure DNS | S/O |
*.azure-dns.net |
TCP | 443 | Résolution d’Azure DNS | S/O |
*eh.servicebus.windows.net |
TCP | 443 | Paramètres de diagnostic | EventHub |
Conseil
Vous devez utiliser le caractère générique (*) pour les noms de domaine complets impliquant trafic de service.
Pour trafic de l’agent, si vous préférez ne pas utiliser de caractères génériques, voici comment rechercher des noms de domaine complets spécifiques à autoriser :
- Vérifiez que vos hôtes de session sont inscrits à un pool d’hôtes.
- Sur un hôte de session, ouvrez Observateur d’événements, puis accédez à journaux Windows>Application>Agent WVD et recherchez l’ID d’événement 3701.
- Débloquer les noms de domaine complets que vous trouvez sous l’ID d’événement 3701. Les noms de domaine complets sous l’ID d’événement 3701 sont spécifiques à la région. Vous devez répéter ce processus avec les noms de domaine complets appropriés pour chaque région Azure où vous voulez déployer vos hôtes de session.
Appareils des utilisateurs finaux
Tout appareil sur lequel vous utilisez l’un des clients Bureau à distance pour vous connecter à Azure Virtual Desktop doit avoir accès aux noms de domaine complets et points de terminaison suivants. L’autorisation de ces noms de domaine complets et de points de terminaison est essentielle pour une expérience client fiable. Le blocage de l’accès à ces noms de domaine complets et ces points de terminaison n’est pas pris en charge et affecte les fonctionnalités du service.
Sélectionnez l’onglet approprié en fonction du cloud que vous utilisez.
Adresse | Protocol | Port sortant | Objectif | Client(s) |
---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Authentification auprès de Microsoft Online Services | Tous |
*.wvd.microsoft.com |
TCP | 443 | Trafic de service | Tous |
*.servicebus.windows.net |
TCP | 443 | Résolution des problèmes de données | Tous |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | Tous |
aka.ms |
TCP | 443 | Réducteur d’URL Microsoft | Tous |
learn.microsoft.com |
TCP | 443 | Documentation | Tous |
privacy.microsoft.com |
TCP | 443 | Déclaration de confidentialité | Tous |
*.cdn.office.net |
TCP | 443 | Mises à jour automatiques | Windows Desktop |
graph.microsoft.com |
TCP | 443 | Trafic de service | Tous |
windows.cloud.microsoft |
TCP | 443 | Centre de connexion | Tous |
windows365.microsoft.com |
TCP | 443 | Trafic de service | Tous |
ecs.office.com |
TCP | 443 | Centre de connexion | Tous |
Si vous êtes sur un réseau fermé avec un accès Internet restreint, il peut également être nécessaire d’autoriser les noms de domaine complets listés ici pour les vérifications de certificat : Détails de l’autorité de certification Azure | Microsoft Learn.
Étapes suivantes
Pour savoir comment débloquer ces noms de domaine complets et points de terminaison dans le Pare-feu Azure, consultez Utiliser le Pare-feu Azure pour protéger Azure Virtual Desktop.
Pour obtenir plus d’information sur la connectivité réseau, voir Comprendre la connectivité du réseau Azure Virtual Desktop