Azure Virtual Desktop に必要な FQDN とエンドポイント
Azure Virtual Desktop をデプロイするためと、ユーザーが接続するためには、特定の FQDN とエンドポイントを許可する必要があります。 また、ユーザーが Azure Virtual Desktop リソースにアクセスするには、特定の FQDN とエンドポイントに接続できることも必要です。 この記事では、セッション ホストとユーザーに対して許可する必要がある必須の FQDN とエンドポイントの一覧を示します。
Azure Firewall やプロキシ サービスなどのファイアウォールを使っている場合、これらの FQDN とエンドポイントがブロックされる可能性があります。 Azure Virtual Desktop でのプロキシ サービスの使用に関するガイダンスについては、Azure Virtual Desktop についてのプロキシ サービスのガイドラインに関する記事をご覧ください。
セッション ホストの VM がこれらの FQDN とエンドポイントに接続できることを確認するには、「Azure Virtual Desktop に必要な FQDN とエンドポイントへのアクセスを調べる」の Azure Virtual Desktop エージェント URL ツールを実行する手順に従います。 Azure Virtual Desktop エージェント URL ツールは、各 FQDN とエンドポイントを検証し、セッション ホストがそれらにアクセスできるかどうかを示します。
重要
この記事に記載されている FQDN とエンドポイントがブロックされている Azure Virtual Desktop のデプロイは、Microsoft によってサポートされません。
この記事には、Microsoft Entra ID、Office 365、カスタム DNS プロバイダー、タイム サービスなどの他のサービスのための FQDN とエンドポイントは含まれません。 Microsoft Entra の FQDN とエンドポイントは、「Office 365 の URL と IP アドレスの範囲」の ID 56、59、125 で見つかります。
サービス タグと FQDN タグ
サービス タグは、指定された Azure サービスからの IP アドレス プレフィックスのグループを表します。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。これにより、ネットワーク セキュリティ規則に対する頻繁な更新の複雑さを最小限に抑えられます。 サービス タグは、ネットワーク セキュリティ グループ (NSG) と Azure Firewall のルールで使用して、送信ネットワーク アクセスを制限できます。 サービス タグは、ユーザー定義ルート (UDR) でも使用され、トラフィック ルーティングの動作をカスタマイズできます。
Azure Firewall では、FQDN タグもサポートされています。これは、よく知られている Azure やその他の Microsoft サービスに関連付けられた完全修飾ドメイン名 (FQDN) のグループを表します。 Azure Virtual Desktop には、ネットワーク トラフィックを許可するために FQDN の代わりにブロックを解除できる IP アドレス範囲のリストはありません。 次世代ファイアウォール (NGFW) を使っている場合は、確実に接続できるよう、Azure IP アドレス用に作られた動的リストを使う必要があります。 詳細については、「Azure Firewall を使用して Azure Virtual Desktop のデプロイを保護する」を参照してください。
Azure Virtual Desktop には、サービス タグと FQDN タグ エントリの両方が用意されています。 サービス タグと FQDN タグを使用して、Azure ネットワーク構成を簡略化することをお勧めします。
セッション ホスト仮想マシン
Azure Virtual Desktop のためにセッション ホスト VM からアクセスする必要がある FQDN とエンドポイントの一覧を次の表に示します。 すべてのエントリはアウトバウンドです。Azure Virtual Desktop のためにインバウンド ポートを開く必要はありません。 使用しているクラウドに基づいて、関連するタブを選択してください。
| アドレス | プロトコル | 送信ポート | 目的 | サービス タグ |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Microsoft オンライン サービスへの認証 | AzureActiveDirectory |
*.wvd.microsoft.com |
TCP | 443 | サービス トラフィック | WindowsVirtualDesktop |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | エージェント トラフィック 診断結果の出力 |
AzureMonitor |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | エージェント トラフィック | AzureMonitor |
azkms.core.windows.net |
TCP | 1688 | Windows のライセンス認証 | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | エージェントとサイド バイ サイド (SXS) スタックの更新 | AzureStorage |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Azure portal のサポート | AzureCloud |
169.254.169.254 |
TCP | 80 | Azure Instance Metadata Service エンドポイント | 該当なし |
168.63.129.16 |
TCP | 80 | セッション ホストの正常性の監視 | 該当なし |
oneocsp.microsoft.com |
TCP | 80 | 証明書 | AzureFrontDoor.FirstParty |
www.microsoft.com |
TCP | 80 | 証明書 | 該当なし |
次の表は、セッション ホスト仮想マシンから他のサービスにアクセスするためにやはり必要になる可能性があるオプションの FQDN とエンドポイントの一覧です。
| アドレス | プロトコル | 送信ポート | 目的 | サービス タグ |
|---|---|---|---|---|
login.windows.net |
TCP | 443 | Microsoft Online Services および Microsoft 365 へのサインイン | AzureActiveDirectory |
*.events.data.microsoft.com |
TCP | 443 | テレメトリ サービス | 該当なし |
www.msftconnecttest.com |
TCP | 80 | セッション ホストがインターネットに接続されているかどうかの検出 | 該当なし |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | 該当なし |
*.sfx.ms |
TCP | 443 | OneDrive クライアント ソフトウェアの更新 | 該当なし |
*.digicert.com |
TCP | 80 | 証明書失効の確認 | 該当なし |
*.azure-dns.com |
TCP | 443 | Azure DNS 解決 | 該当なし |
*.azure-dns.net |
TCP | 443 | Azure DNS 解決 | 該当なし |
*eh.servicebus.windows.net |
TCP | 443 | 診断設定 | EventHub |
ヒント
"サービス トラフィック" に関係のある FQDN には、ワイルドカード文字 (*) を使う必要があります。
"エージェント トラフィック" でワイルドカードを使うのが望ましくない場合に、許可する特定の FQDN を見つける方法を次に示します。
- セッション ホストがホスト プールに登録されていることを確認します。
- セッション ホストで、イベント ビューアーを開き、[Windows ログ]>[アプリケーション]>[WVD-Agent] に移動して、イベント ID 3701 を探します。
- イベント ID 3701 で示されている FQDN のブロックを解除します。 イベント ID 3701 の FQDN はリージョン固有です。 セッション ホストをデプロイする Azure リージョンごとに、関連する FQDN を使って、このプロセスを繰り返す必要があります。
エンド ユーザーのデバイス
Azure Virtual Desktop に接続するためにリモート デスクトップ クライアントの 1 つを使っているデバイスは、次の FQDN とエンドポイントにアクセスできる必要があります。 信頼できるクライアント エクスペリエンスのためには、これらの FQDN とエンドポイントを許可することが不可欠です。 これらの FQDN とエンドポイントへのアクセスをブロックすることはサポートされておらず、サービスの機能に影響します。
使用しているクラウドに基づいて、関連するタブを選択してください。
| アドレス | プロトコル | 送信ポート | 目的 | クライアント |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Microsoft オンライン サービスへの認証 | すべて |
*.wvd.microsoft.com |
TCP | 443 | サービス トラフィック | すべて |
*.servicebus.windows.net |
TCP | 443 | データのトラブルシューティング | すべて |
go.microsoft.com |
TCP | 443 | Microsoft の FWLink | すべて |
aka.ms |
TCP | 443 | Microsoft URL 短縮ツール | すべて |
learn.microsoft.com |
TCP | 443 | ドキュメント | すべて |
privacy.microsoft.com |
TCP | 443 | プライバシー ステートメント | すべて |
*.cdn.office.net |
TCP | 443 | 自動更新 | Windows デスクトップ |
graph.microsoft.com |
TCP | 443 | サービス トラフィック | すべて |
windows.cloud.microsoft |
TCP | 443 | 接続センター | すべて |
windows365.microsoft.com |
TCP | 443 | サービス トラフィック | すべて |
ecs.office.com |
TCP | 443 | 接続センター | すべて |
インターネット アクセスが制限されたクローズド ネットワークを使用している場合は、証明書チェックのために、ここに記載されている FQDN を許可する必要がある場合もあります: Azure 証明機関の詳細 | Microsoft Learn。
次のステップ
Azure Firewall でこれらの FQDN とエンドポイントのブロックを解除する方法については、Azure Firewall を使った Azure Virtual Desktop の保護に関する記事をご覧ください。
ネットワーク接続の詳細については、「Azure Virtual Desktop のネットワーク接続について」を参照してください。