Microsoft Dev Box のネットワーク要件
Microsoft Dev Box は、ユーザーが、Azure で実行されているクラウドベースのワークステーションに、どこからでもインターネット経由で接続できるサービスです。 これらのインターネット接続をサポートするには、この記事に記載されているネットワーク要件に従う必要があります。 開発ボックス用のネットワーク アクセスを計画して実装するには、組織のネットワーク チームやセキュリティ チームと協力する必要があります。
Microsoft Dev Box は Windows 365 および Azure Virtual Desktop サービスと密接に関連しており、多くの場合、ネットワーク要件は同じです。
一般的なネットワークの要件
開発ボックスでは、リソースにアクセスするためにネットワーク接続が必要です。 Microsoft ホステッド ネットワーク接続と、ユーザーが独自のサブスクリプション内に作成する Azure ネットワーク接続の、どちらかを選択できます。 ネットワーク リソースにアクセスできるようにする方法の選択は、リソースの基になっている場所によって異なります。
Microsoft ホステッド接続を使う場合:
- Microsoft がインフラストラクチャを提供し、完全に管理します。
- ユーザーは、Microsoft Intune から開発ボックスのセキュリティを管理できます。
ユーザー独自のネットワークを使い、Microsoft Entra 参加済み開発ボックスをプロビジョニングするには、次の要件を満たす必要があります。
- Azure 仮想ネットワーク: お使いの Azure サブスクリプション内に仮想ネットワークが必要です。 仮想ネットワーク用に選択したリージョンが、Azure によって開発ボックスがデプロイされる場所になります。
- 仮想ネットワーク内のサブネットと使用可能な IP アドレス空間。
- ネットワーク帯域幅: 「Azure のネットワーク ガイドライン」を参照してください。
ユーザー独自のネットワークを使い、Microsoft Entra ハイブリッド参加済み開発ボックスをプロビジョニングするには、上記の要件に加えて、次の要件を満たす必要があります。
- Azure 仮想ネットワークは、Active Directory Domain Services (AD DS) 環境のドメイン ネーム サービス (DNS) エントリを解決できる必要があります。 この解決をサポートするには、仮想ネットワーク用の DNS サーバーとして AD DS DNS サーバーを定義します。
- Azure 仮想ネットワークは、Azure またはオンプレミス内のエンタープライズ ドメイン コントローラーにネットワーク アクセスできる必要があります。
重要
独自のネットワークを使用する場合、Microsoft Dev Box では現在、ネットワーク インターフェイスを別の仮想ネットワークまたは別のサブネットに移動することはできません。
ネットワーク接続を許可する
開発ボックスのプロビジョニング、管理、リモート接続をサポートするには、ネットワーク構成で、次のサービス URL とポートへのトラフィックを許可する必要があります。
Microsoft Dev Box に必要な FQDN とエンドポイント
開発ボックスを設定し、ユーザーがリソースに接続できるようにするには、特定の完全修飾ドメイン名 (FQDN) とエンドポイントに対するトラフィックを許可する必要があります。 Azure Firewall やプロキシ サービスなどのファイアウォールを使っている場合、これらの FQDN とエンドポイントがブロックされる可能性があります。
「Azure Virtual Desktop に必要な FQDN とエンドポイントへのアクセスを確認する」の Azure Virtual Desktop エージェント URL ツールを実行する手順に従って、開発ボックスがこれらの FQDN とエンドポイントに接続できることを確認できます。 Azure Virtual Desktop エージェント URL ツールは、各 FQDN とエンドポイントを検証し、開発ボックスがそれらにアクセスできるかどうかを示します。
重要
この記事に記載されている FQDN とエンドポイントがブロックされている場合、開発ボックスのデプロイは Microsoft によってサポートされません。
Azure Firewall 経由のエンドポイントに対して FQDN タグとサービス タグを使用する
開発ボックスのネットワーク セキュリティ コントロールの管理は複雑になる場合があります。 構成を簡単にするには、完全修飾ドメイン名 (FQDN) タグとサービス タグを使ってネットワーク トラフィックを許可します。
FQDN タグ
FQDN タグは Azure Firewall で定義済みのタグであり、完全修飾ドメイン名のグループを表します。 FQDN タグを使うと、各ドメイン名を手動で指定しなくても、Windows 365 などの特定のサービスのエグレス規則を簡単に作成して管理できます。
FQDN タグによって定義されたグループが重複している可能性があります。 たとえば、Windows365 FQDN タグには、標準ポートの AVD エンドポイントが含まれています。参考記事をご覧ください。
Microsoft 以外のファイアウォールでは、通常、FQDN タグまたはサービス タグはサポートされません。 同じ機能に対して異なる用語が使われている可能性があるので、ファイアウォールのドキュメントを確認してください。
サービス タグ
サービス タグは、特定の Azure サービスの IP アドレス プレフィックスのグループを表します。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。これにより、ネットワーク セキュリティ規則に対する頻繁な更新の複雑さを最小限に抑えられます。 サービス タグは、ネットワーク セキュリティ グループ (NSG) と Azure Firewall の両方ではアウトバウンド ネットワーク アクセスを制限するために、また ユーザー定義ルート (UDR) ではトラフィック ルーティング動作をカスタマイズするために使用できます。
物理デバイス ネットワーク接続に必要なエンドポイント
ほとんどの構成はクラウドベースの開発ボックス ネットワークに関するものですが、エンド ユーザーの接続は物理デバイスから行われます。 そのため、物理デバイス ネットワークでの接続ガイドラインにも従う必要があります。
| デバイスまたはサービス | ネットワーク接続に必要な URL とポート | 説明 | 必須 |
|---|---|---|---|
| 物理デバイス | リンク | リモート デスクトップ クライアントの接続と更新。 | はい |
| Microsoft Intune サービス | リンク | デバイス管理、アプリケーション配信、エンドポイント分析などの Intune クラウド サービス。 | はい |
| Azure Virtual Desktop セッション ホスト仮想マシン | リンク | 開発ボックスとバックエンド Azure Virtual Desktop サービスの間のリモート接続。 | はい |
| Windows 365 サービス | リンク | プロビジョニングと正常性チェック。 | はい |
開発ボックスへの接続に使用するデバイスは、以下の FQDN とエンドポイントにアクセスできることが必要です。 信頼できるクライアント エクスペリエンスのためには、これらの FQDN とエンドポイントを許可することが不可欠です。 これらの FQDN とエンドポイントへのアクセスをブロックすることはサポートされておらず、サービスの機能に影響します。
| 番地 | プロトコル | 送信ポート | 目的 | クライアント | 必須 |
|---|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | Microsoft オンライン サービスへの認証 | すべて | はい |
| *.wvd.microsoft.com | TCP | 443 | サービス トラフィック | すべて | はい |
| *.servicebus.windows.net | TCP | 443 | データのトラブルシューティング | すべて | はい |
| go.microsoft.com | TCP | 443 | Microsoft の FWLink | すべて | はい |
| aka.ms | TCP | 443 | Microsoft URL 短縮ツール | すべて | はい |
| learn.microsoft.com | TCP | 443 | ドキュメント | すべて | はい |
| privacy.microsoft.com | TCP | 443 | プライバシー ステートメント | すべて | はい |
| query.prod.cms.rt.microsoft.com | TCP | 443 | MSI をダウンロードしてクライアントを更新します。 自動更新のために必要です。 | Windows デスクトップ | はい |
これらの FQDN とエンドポイントは、クライアントのサイトとリソースにのみ対応します。
開発ボックス プロビジョニングに必要なエンドポイント
開発ボックスと Azure ネットワーク接続 (ANC) 正常性チェックのプロビジョニングには、次の URL とポートが必要です。 特に指定がない限り、すべてのエンドポイントはポート 443 経由で接続します。
| カテゴリ | エンドポイント | FQDN タグまたはサービス タグ | 必須 |
|---|---|---|---|
| 開発ボックス通信エンドポイント | .agentmanagement.dc.azure.com .cmdagent.trafficmanager.net |
該当なし | はい |
| Windows 365 サービスと登録エンドポイント | 現在の Windows 365 登録エンドポイントについては、Windows 365 のネットワーク要件に関する記事を参照してください。 | FQDN タグ: Windows365 | はい |
| Azure Virtual Desktop サービスのエンドポイント | 現在の AVD サービス エンドポイントについては、「セッション ホスト仮想マシン」を参照してください。 | FQDN タグ: WindowsVirtualDesktop | はい |
| Microsoft Entra ID | Microsoft Entra の FQDN とエンドポイントは、Office 365 の URL と IP アドレスの範囲に関する記事の ID 56、59、125 で確認できます。 | サービス タグ: AzureActiveDirectory | はい |
| Microsoft Intune | Microsoft Entra ID の現在の FQDN とエンドポイントについては、「コア サービス Intune」を参照してください。 | FQDN タグ: MicrosoftIntune | はい |
一覧表示されている FQDN とエンドポイントとタグは、必要なリソースに対応しています。 すべてのサービスの FQDN とエンドポイントが含まれているわけではありません。 他のサービスのサービス タグについては、「利用可能なサービス タグ」をご覧ください。
Azure Virtual Desktop には、ネットワーク トラフィックを許可するために FQDN の代わりにブロックを解除できる IP アドレス範囲のリストはありません。 次世代ファイアウォール (NGFW) を使っている場合は、確実に接続できるよう、Azure IP アドレス用に作られた動的リストを使う必要があります。
詳細については、Azure Firewall を使用した Windows 365 環境の管理とセキュリティ保護に関するページを参照してください。
次の表は、開発ボックスでアクセスする必要がある FQDN とエンドポイントの一覧です。 すべてのエントリはアウトバウンドです。開発ボックスのためにインバウンド ポートを開く必要はありません。
| 番地 | プロトコル | 送信ポート | 目的 | サービス タグ | 必須 |
|---|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | Microsoft オンライン サービスへの認証 | AzureActiveDirectory | はい |
| *.wvd.microsoft.com | TCP | 443 | サービス トラフィック | WindowsVirtualDesktop | はい |
| *.prod.warm.ingest.monitor.core.windows.net | TCP | 443 | エージェント トラフィックの診断出力 | AzureMonitor | はい |
| catalogartifact.azureedge.net | TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend | はい |
| gcs.prod.monitoring.core.windows.net | TCP | 443 | エージェント トラフィック | AzureCloud | はい |
| kms.core.windows.net | TCP | 1688 | Windows のライセンス認証 | インターネット | はい |
| azkms.core.windows.net | TCP | 1688 | Windows のライセンス認証 | インターネット | はい |
| mrsglobalsteus2prod.blob.core.windows.net | TCP | 443 | エージェントとサイド バイ サイド (SXS) スタックの更新 | AzureCloud | はい |
| wvdportalstorageblob.blob.core.windows.net | TCP | 443 | Azure portal のサポート | AzureCloud | はい |
| 169.254.169.254 | TCP | 80 | Azure Instance Metadata Service エンドポイント | 該当なし | はい |
| 168.63.129.16 | TCP | 80 | セッション ホストの正常性の監視 | 該当なし | はい |
| oneocsp.microsoft.com | TCP | 80 | 証明書 | 該当なし | はい |
| www.microsoft.com | TCP | 80 | 証明書 | 該当なし | はい |
次の表は、セッション ホスト仮想マシンから他のサービスにアクセスするためにやはり必要になる可能性があるオプションの FQDN とエンドポイントの一覧です。
| アドレス | プロトコル | 送信ポート | パーパス | 必須 |
|---|---|---|---|---|
| login.windows.net | TCP | 443 | Microsoft Online Services および Microsoft 365 へのサインイン | 省略可能 |
| *.events.data.microsoft.com | TCP | 443 | テレメトリ サービス | 省略可能 |
| www.msftconnecttest.com | TCP | 80 | セッション ホストがインターネットに接続されているかどうかの検出 | 省略可能 |
| *.prod.do.dsp.mp.microsoft.com | TCP | 443 | Windows Update | 省略可能 |
| *.sfx.ms | TCP | 443 | OneDrive クライアント ソフトウェアの更新 | 省略可能 |
| *.digicert.com | TCP | 80 | 証明書失効の確認 | 省略可能 |
| *.azure-dns.com | TCP | 443 | Azure DNS 解決 | 省略可能 |
| *.azure-dns.net | TCP | 443 | Azure DNS 解決 | 省略可能 |
この一覧には、Microsoft Entra ID、Office 365、カスタム DNS プロバイダー、タイム サービスなどの他のサービスのための FQDN とエンドポイントは含まれません。 Microsoft Entra の FQDN とエンドポイントは、Office 365 の URL と IP アドレスの範囲の ID 56、59、125 で見つかります。
ヒント
"サービス トラフィック" に関係のある FQDN には、ワイルドカード文字 (*) を使う必要があります。 "エージェント トラフィック" でワイルドカードを使うのが望ましくない場合に、許可する特定の FQDN を見つける方法を次に示します。
- セッション ホスト仮想マシンがホスト プールに登録されていることを確認します。
- セッション ホストで、イベント ビューアーを開き、[Windows ログ]>[アプリケーション]>[WVD-Agent] に移動して、イベント ID 3701 を探します。
- イベント ID 3701 で示されている FQDN のブロックを解除します。 イベント ID 3701 の FQDN はリージョン固有です。 セッション ホスト仮想マシンをデプロする Azure リージョンごとに、関連する FQDN を使って、このプロセスを繰り返す必要があります。
リモート デスクトップ プロトコル (RDP) ブローカー サービス エンドポイント
開発ボックスへのリモート パフォーマンスには、Azure Virtual Desktop RDP ブローカー サービス エンドポイントへの直接接続が不可欠です。 これらのエンドポイントは、接続と待ち時間の両方に影響します。 Microsoft 365 ネットワーク接続の原則に合わせるには、これらのエンドポイントを "最適化" エンドポイントとして分類し、お使いの Azure 仮想ネットワークからそれらのエンドポイントへのリモート デスクトップ プロトコル (RDP) Shortpath を使う必要があります。 RDP Shortpath によって提供される別の接続パスを使うと、特に最適ではないネットワーク条件において、開発ボックスの接続性を向上させることができます。
ネットワーク セキュリティ コントロールの構成を簡単にするには、Azure Virtual Desktop のサービス タグを使って、Azure ネットワークのユーザー定義ルート (UDR) を使用してダイレクト ルーティングするエンドポイントを特定します。 UDR を使うと、仮想ネットワークと RDP ブローカーの間がダイレクト ルーティングになって、待ち時間が最低になります。
開発ボックスのネットワーク ルートを (ネットワーク レイヤーまたは VPN などの開発ボックス レイヤーで) 変更すると、開発ボックスと Azure Virtual Desktop RDP ブローカーの間の接続が損なわれる可能性があります。 その場合、エンド ユーザーは、接続が再確立されるまで開発ボックスから切断されます。
DNS の要件
Microsoft Entra ハイブリッド参加の要件の一部として、開発ボックスはオンプレミスの Active Directory に参加できる必要があります。 開発ボックスは、参加するオンプレミス AD 環境の DNS レコードを解決できる必要があります。
開発ボックスがプロビジョニングされている Azure Virtual Network を次のように構成します。
- Azure Virtual Network が、Active Directory ドメインを解決できる DNS サーバーにネットワーク接続できることを確認します。
- Azure Virtual Network の [設定] から、[DNS サーバー]>[カスタム] を選びます。
- その環境内にあり、AD DS ドメインを解決できる DNS サーバーの IP アドレスを入力します。
ヒント
物理 PC の場合と同様に、少なくとも 2 つの DNS サーバーを追加すると、名前解決での単一障害点のリスクを軽減するのに役立ちます。 詳しくは、Azure Virtual Network の設定の構成に関する記事をご覧ください。
オンプレミス リソースへの接続
開発ボックスがハイブリッド接続を介してオンプレミスのリソースに接続できるようにすることができます。 Azure ネットワークのエキスパートと協力して、ハブアンドスポーク ネットワーク トポロジを実装します。 ハブは、オンプレミス ネットワークに接続する中心点です。ExpressRoute、サイト間 VPN、またはポイント対サイト VPN を使用できます。 スポークは、開発ボックスを含む仮想ネットワークです。 ハブアンドスポーク トポロジは、ネットワーク トラフィックとセキュリティの管理に役立ちます。 開発ボックスの仮想ネットワークをオンプレミスの接続された仮想ネットワークにピアリングして、オンプレミスのリソースへのアクセスを提供します。
トラフィック インターセプト テクノロジ
一部の企業のお客様のセキュリティ チームは、トラフィック インターセプト、TLS 解読、ディープ パケット検査、その他の同様のテクノロジを使って、ネットワーク トラフィックを監視しています。 これらのトラフィック インターセプト テクノロジは、Azure ネットワーク接続チェックまたは開発ボックス プロビジョニングの実行に関する問題の原因になる可能性があります。 Microsoft Dev Box 内でプロビジョニングされた開発ボックスに対してネットワーク インターセプトが適用されていないことを確認します。
トラフィックインターセプト テクノロジにより、待ち時間の問題が悪化する可能性があります。 リモート デスクトップ プロトコル (RDP) Shortpath を使って、待ち時間の問題を最小限に抑えることができます。
トラブルシューティング
このセクションでは、接続とネットワークに関するいくつかの一般的な問題について説明します。
接続に関する問題
ログオンしようとして失敗した
開発ボックスのユーザーのサインインで問題が発生し、サインインの試みが失敗したことを示すエラー メッセージが表示される場合は、ローカル PC とセッション ホストの両方で PKU2U プロトコルを有効にしていることを確認します。
サインイン エラーのトラブルシューティングについて詳しくは、「Microsoft Entra 参加済み VM への接続のトラブルシューティング」の「Windows デスクトップ クライアント」をご覧ください。
ハイブリッド環境でのグループ ポリシーの問題
ハイブリッド環境を使っている場合、グループ ポリシーの問題が発生する可能性があります。 グループ ポリシーから開発ボックスを一時的に除外することで、問題がグループ ポリシーに関連しているかどうかをテストできます。
グループ ポリシーの問題のトラブルシューティングについて詳しくは、「グループ ポリシーの適用に関するトラブルシューティングのガイダンス」をご覧ください。
IPv6 のアドレス指定の問題
IPv6 の問題が発生する場合は、Microsoft.AzureActiveDirectory サービス エンドポイントが仮想ネットワークまたはサブネットで有効になっていないことを確認します。 このサービス エンドポイントは、IPv4 を IPv6 に変換します。
詳細については、「仮想ネットワーク サービス エンドポイント」を参照してください。
開発ボックス定義のイメージの更新に関する問題
開発ボックス定義内で使用されるイメージを更新する際には、仮想ネットワーク内に十分な数の利用可能な IP アドレスがあることを確認する必要があります。 Azure ネットワーク接続の正常性チェックのために、さらに多くの空き IP アドレスが必要になります。 正常性チェックが失敗した場合、開発ボックス定義は更新されません。 開発ボックスごとに 1 つの追加の IP アドレスと、正常性チェックと Dev Box インフラストラクチャ用の 1 つの IP アドレスが必要です。
開発ボックス定義のイメージの更新について詳しくは、「開発ボックス定義を更新する」をご覧ください。
関連するコンテンツ
- Azure Virtual Desktop に必要な FQDN とエンドポイントへのアクセスを確認します。
- Azure Firewall でこれらの FQDN とエンドポイントのブロックを解除する方法については、Azure Firewall を使った Azure Virtual Desktop の保護に関する記事をご覧ください。
- ネットワーク接続の詳細については、「Azure Virtual Desktop のネットワーク接続について」を参照してください。