다음을 통해 공유


Azure Virtual Desktop에 필요한 FQDN 및 엔드포인트

Azure Virtual Desktop을 배포하고 사용자가 연결하려면 특정 FQDN 및 엔드포인트를 허용해야 합니다. 또한 사용자는 특정 FQDN 및 엔드포인트에 연결하여 Azure Virtual Desktop 리소스에 액세스할 수 있어야 합니다. 이 문서에서는 세션 호스트 및 사용자에게 허용해야 하는 필수 FQDN 및 엔드포인트를 나열합니다.

Azure Firewall 또는 프록시 서비스와 같은 방화벽을 사용하는 경우 이러한 FQDN 및 엔드포인트를 차단할 수 있습니다. Azure Virtual Desktop에서 프록시 서비스를 사용하는 방법에 대한 지침은 Azure Virtual Desktop에 대한 프록시 서비스 지침을 참조하세요.

Azure Virtual Desktop에 필요한 FQDN 및 엔드포인트에 대한 액세스 확인에서 Azure Virtual Desktop 에이전트 URL 도구를 실행하는 단계에 따라 세션 호스트 VM이 이러한 FQDN 및 엔드포인트에 연결할 수 있는지 확인할 수 있습니다. Azure Virtual Desktop 에이전트 URL 도구는 각 FQDN 및 엔드포인트의 유효성을 검사하고 세션 호스트가 액세스할 수 있는지 여부를 표시합니다.

Important

  • Microsoft는 이 문서에 나열된 FQDN 및 엔드포인트가 차단되는 Azure Virtual Desktop 배포를 지원하지 않습니다.

  • 이 문서에는 Microsoft Entra ID, Office 365, 사용자 지정 DNS 공급자 또는 시간 서비스와 같은 다른 서비스에 대한 FQDN 및 엔드포인트가 포함되어 있지 않습니다. Microsoft Entra FQDN 및 엔드포인트는 Office 365 URL 및 IP 주소 범위의 ID 56, 59125에서 찾을 수 있습니다.

서비스 태그 및 FQDN 태그

서비스 태그는 지정된 Azure 서비스의 IP 주소 접두사 그룹을 나타냅니다. Microsoft는 서비스 태그에 포함되는 주소 접두사를 관리하고 주소가 변경되면 서비스 태그를 자동으로 업데이트하여 네트워크 보안 규칙을 자주 업데이트할 때 발생하는 복잡성을 최소화합니다. NSG(네트워크 보안 그룹) 및 Azure Firewall에 대한 규칙에서 서비스 태그를 사용하여 아웃바운드 네트워크 액세스를 제한할 수 있습니다. UDR(사용자 정의 경로)에서 서비스 태그를 사용하여 트래픽 라우팅 동작을 사용자 지정할 수도 있습니다.

Azure Firewall은 잘 알려진 Azure 및 기타 Microsoft 서비스 연결된 FQDN(정규화된 도메인 이름) 그룹을 나타내는 FQDN 태그도 지원합니다. Azure Virtual Desktop에는 네트워크 트래픽을 허용하기 위해 FQDN 대신 차단을 해제할 수 있는 IP 주소 범위 목록이 없습니다. NGFW(차세대 방화벽)를 사용하는 경우 Azure IP 주소에 대해 만들어진 동적 목록을 사용하여 연결할 수 있는지 확인해야 합니다. 자세한 내용은 Azure Firewall을 사용하여 Azure Virtual Desktop 배포 보호를 참조하세요.

Azure Virtual Desktop에는 서비스 태그와 FQDN 태그 항목을 모두 사용할 수 있습니다. 서비스 태그 및 FQDN 태그를 사용하여 Azure 네트워크 구성을 간소화하는 것이 좋습니다.

세션 호스트 가상 머신

다음 표는 세션 호스트 VM이 Azure Virtual Desktop에 액세스해야 하는 FQDN 및 엔드포인트 목록입니다. 모든 항목은 아웃바운드입니다. Azure Virtual Desktop에 대한 인바운드 포트를 열 필요가 없습니다. 사용 중인 클라우드에 따라 관련 탭을 선택합니다.

주소 프로토콜 아웃바운드 포트 목적 서비스 태그
login.microsoftonline.com TCP 443 Microsoft Online Services에 대한 인증 AzureActiveDirectory
*.wvd.microsoft.com TCP 443 서비스 트래픽 WindowsVirtualDesktop
catalogartifact.azureedge.net TCP 443 Azure Marketplace AzureFrontDoor.Frontend
*.prod.warm.ingest.monitor.core.windows.net TCP 443 에이전트 트래픽
진단 출력
AzureMonitor
gcs.prod.monitoring.core.windows.net TCP 443 에이전트 트래픽 AzureMonitor
azkms.core.windows.net TCP 1688 Windows 정품 인증 Internet
mrsglobalsteus2prod.blob.core.windows.net TCP 443 에이전트 및 SXS(병렬) 스택 업데이트 AzureStorage
wvdportalstorageblob.blob.core.windows.net TCP 443 Azure Portal 지원 AzureCloud
169.254.169.254 TCP 80 Azure Instance Metadata Service 엔드포인트 해당 없음
168.63.129.16 TCP 80 세션 호스트 상태 모니터링 해당 없음
oneocsp.microsoft.com TCP 80 인증서 AzureFrontDoor.FirstParty
www.microsoft.com TCP 80 인증서 해당 없음

다음 표에서는 세션 호스트 가상 머신이 다른 서비스에 액세스하는 데 필요할 수도 있는 선택적 FQDN 및 엔드포인트를 나열합니다.

주소 프로토콜 아웃바운드 포트 목적 서비스 태그
login.windows.net TCP 443 Microsoft Online Services 및 Microsoft 365에 로그인 AzureActiveDirectory
*.events.data.microsoft.com TCP 443 원격 분석 서비스 해당 없음
www.msftconnecttest.com TCP 80 세션 호스트가 인터넷에 연결되어 있는지 검색 해당 없음
*.prod.do.dsp.mp.microsoft.com TCP 443 Windows 업데이트 해당 없음
*.sfx.ms TCP 443 OneDrive 클라이언트 소프트웨어에 대한 업데이트 해당 없음
*.digicert.com TCP 80 인증서 해지 확인 해당 없음
*.azure-dns.com TCP 443 Azure DNS 확인 해당 없음
*.azure-dns.net TCP 443 Azure DNS 확인 해당 없음
*eh.servicebus.windows.net TCP 443 진단 설정 EventHub

서비스 트래픽과 관련된 FQDN에는 와일드카드 문자(*)를 사용해야 합니다.

에이전트 트래픽의 경우 와일드카드를 사용하지 않으려는 경우 허용되는 특정 FQDN을 찾는 방법은 다음과 같습니다.

  1. 세션 호스트가 호스트 풀에 등록되어 있는지 확인합니다.
  2. 세션 호스트에서 이벤트 뷰어를 연 다음, Windows 로그>애플리케이션>WVD-Agent로 이동하여 이벤트 ID 3701을 찾습니다.
  3. 이벤트 ID 3701 아래에 있는 FQDN을 차단 해제합니다. 이벤트 ID 3701 아래의 FQDN은 지역별로 다릅니다. 세션 호스트를 배포하려는 각 Azure 지역에 대한 관련 FQDN을 사용하여 이 프로세스를 반복해야 합니다.

최종 사용자 디바이스

원격 데스크톱 클라이언트 중 하나를 사용하여 Azure Virtual Desktop에 연결하는 모든 디바이스는 다음 FQDN 및 엔드포인트에 액세스할 수 있어야 합니다. 신뢰할 수 있는 클라이언트 환경에는 이러한 FQDN 및 엔드포인트를 허용하는 것이 필수적입니다. 이러한 FQDN 및 엔드포인트에 대한 액세스 차단은 지원되지 않으며 서비스 기능에 영향을 줍니다.

사용 중인 클라우드에 따라 관련 탭을 선택합니다.

주소 프로토콜 아웃바운드 포트 목적 클라이언트
login.microsoftonline.com TCP 443 Microsoft Online Services에 대한 인증 모두
*.wvd.microsoft.com TCP 443 서비스 트래픽 모두
*.servicebus.windows.net TCP 443 데이터 문제 해결 모두
go.microsoft.com TCP 443 Microsoft FWLinks 모두
aka.ms TCP 443 Microsoft URL 단축기 모두
learn.microsoft.com TCP 443 설명서 모두
privacy.microsoft.com TCP 443 개인정보처리방침 모두
*.cdn.office.net TCP 443 자동 업데이트 Windows 데스크톱
graph.microsoft.com TCP 443 서비스 트래픽 모두
windows.cloud.microsoft TCP 443 연결 센터 모두
windows365.microsoft.com TCP 443 서비스 트래픽 모두
ecs.office.com TCP 443 연결 센터 모두

인터넷 액세스가 제한된 닫힌 네트워크에 있는 경우 인증서 검사를 위해 여기에 나열된 FQDN을 허용해야 할 수도 있습니다. Azure 인증 기관 세부 정보 | Microsoft Learn.

다음 단계