Azure Virtual Desktop에 필요한 FQDN 및 엔드포인트
Azure Virtual Desktop을 배포하고 사용자가 연결하려면 특정 FQDN 및 엔드포인트를 허용해야 합니다. 또한 사용자는 특정 FQDN 및 엔드포인트에 연결하여 Azure Virtual Desktop 리소스에 액세스할 수 있어야 합니다. 이 문서에서는 세션 호스트 및 사용자에게 허용해야 하는 필수 FQDN 및 엔드포인트를 나열합니다.
Azure Firewall 또는 프록시 서비스와 같은 방화벽을 사용하는 경우 이러한 FQDN 및 엔드포인트를 차단할 수 있습니다. Azure Virtual Desktop에서 프록시 서비스를 사용하는 방법에 대한 지침은 Azure Virtual Desktop에 대한 프록시 서비스 지침을 참조하세요.
Azure Virtual Desktop에 필요한 FQDN 및 엔드포인트에 대한 액세스 확인에서 Azure Virtual Desktop 에이전트 URL 도구를 실행하는 단계에 따라 세션 호스트 VM이 이러한 FQDN 및 엔드포인트에 연결할 수 있는지 확인할 수 있습니다. Azure Virtual Desktop 에이전트 URL 도구는 각 FQDN 및 엔드포인트의 유효성을 검사하고 세션 호스트가 액세스할 수 있는지 여부를 표시합니다.
Important
Microsoft는 이 문서에 나열된 FQDN 및 엔드포인트가 차단되는 Azure Virtual Desktop 배포를 지원하지 않습니다.
이 문서에는 Microsoft Entra ID, Office 365, 사용자 지정 DNS 공급자 또는 시간 서비스와 같은 다른 서비스에 대한 FQDN 및 엔드포인트가 포함되어 있지 않습니다. Microsoft Entra FQDN 및 엔드포인트는 Office 365 URL 및 IP 주소 범위의 ID 56, 59 및 125에서 찾을 수 있습니다.
서비스 태그 및 FQDN 태그
서비스 태그는 지정된 Azure 서비스의 IP 주소 접두사 그룹을 나타냅니다. Microsoft는 서비스 태그에 포함되는 주소 접두사를 관리하고 주소가 변경되면 서비스 태그를 자동으로 업데이트하여 네트워크 보안 규칙을 자주 업데이트할 때 발생하는 복잡성을 최소화합니다. NSG(네트워크 보안 그룹) 및 Azure Firewall에 대한 규칙에서 서비스 태그를 사용하여 아웃바운드 네트워크 액세스를 제한할 수 있습니다. UDR(사용자 정의 경로)에서 서비스 태그를 사용하여 트래픽 라우팅 동작을 사용자 지정할 수도 있습니다.
Azure Firewall은 잘 알려진 Azure 및 기타 Microsoft 서비스 연결된 FQDN(정규화된 도메인 이름) 그룹을 나타내는 FQDN 태그도 지원합니다. Azure Virtual Desktop에는 네트워크 트래픽을 허용하기 위해 FQDN 대신 차단을 해제할 수 있는 IP 주소 범위 목록이 없습니다. NGFW(차세대 방화벽)를 사용하는 경우 Azure IP 주소에 대해 만들어진 동적 목록을 사용하여 연결할 수 있는지 확인해야 합니다. 자세한 내용은 Azure Firewall을 사용하여 Azure Virtual Desktop 배포 보호를 참조하세요.
Azure Virtual Desktop에는 서비스 태그와 FQDN 태그 항목을 모두 사용할 수 있습니다. 서비스 태그 및 FQDN 태그를 사용하여 Azure 네트워크 구성을 간소화하는 것이 좋습니다.
세션 호스트 가상 머신
다음 표는 세션 호스트 VM이 Azure Virtual Desktop에 액세스해야 하는 FQDN 및 엔드포인트 목록입니다. 모든 항목은 아웃바운드입니다. Azure Virtual Desktop에 대한 인바운드 포트를 열 필요가 없습니다. 사용 중인 클라우드에 따라 관련 탭을 선택합니다.
| 주소 | 프로토콜 | 아웃바운드 포트 | 목적 | 서비스 태그 |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Microsoft Online Services에 대한 인증 | AzureActiveDirectory |
*.wvd.microsoft.com |
TCP | 443 | 서비스 트래픽 | WindowsVirtualDesktop |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | 에이전트 트래픽 진단 출력 |
AzureMonitor |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | 에이전트 트래픽 | AzureMonitor |
azkms.core.windows.net |
TCP | 1688 | Windows 정품 인증 | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | 에이전트 및 SXS(병렬) 스택 업데이트 | AzureStorage |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Azure Portal 지원 | AzureCloud |
169.254.169.254 |
TCP | 80 | Azure Instance Metadata Service 엔드포인트 | 해당 없음 |
168.63.129.16 |
TCP | 80 | 세션 호스트 상태 모니터링 | 해당 없음 |
oneocsp.microsoft.com |
TCP | 80 | 인증서 | AzureFrontDoor.FirstParty |
www.microsoft.com |
TCP | 80 | 인증서 | 해당 없음 |
다음 표에서는 세션 호스트 가상 머신이 다른 서비스에 액세스하는 데 필요할 수도 있는 선택적 FQDN 및 엔드포인트를 나열합니다.
| 주소 | 프로토콜 | 아웃바운드 포트 | 목적 | 서비스 태그 |
|---|---|---|---|---|
login.windows.net |
TCP | 443 | Microsoft Online Services 및 Microsoft 365에 로그인 | AzureActiveDirectory |
*.events.data.microsoft.com |
TCP | 443 | 원격 분석 서비스 | 해당 없음 |
www.msftconnecttest.com |
TCP | 80 | 세션 호스트가 인터넷에 연결되어 있는지 검색 | 해당 없음 |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows 업데이트 | 해당 없음 |
*.sfx.ms |
TCP | 443 | OneDrive 클라이언트 소프트웨어에 대한 업데이트 | 해당 없음 |
*.digicert.com |
TCP | 80 | 인증서 해지 확인 | 해당 없음 |
*.azure-dns.com |
TCP | 443 | Azure DNS 확인 | 해당 없음 |
*.azure-dns.net |
TCP | 443 | Azure DNS 확인 | 해당 없음 |
*eh.servicebus.windows.net |
TCP | 443 | 진단 설정 | EventHub |
팁
서비스 트래픽과 관련된 FQDN에는 와일드카드 문자(*)를 사용해야 합니다.
에이전트 트래픽의 경우 와일드카드를 사용하지 않으려는 경우 허용되는 특정 FQDN을 찾는 방법은 다음과 같습니다.
- 세션 호스트가 호스트 풀에 등록되어 있는지 확인합니다.
- 세션 호스트에서 이벤트 뷰어를 연 다음, Windows 로그>애플리케이션>WVD-Agent로 이동하여 이벤트 ID 3701을 찾습니다.
- 이벤트 ID 3701 아래에 있는 FQDN을 차단 해제합니다. 이벤트 ID 3701 아래의 FQDN은 지역별로 다릅니다. 세션 호스트를 배포하려는 각 Azure 지역에 대한 관련 FQDN을 사용하여 이 프로세스를 반복해야 합니다.
최종 사용자 디바이스
원격 데스크톱 클라이언트 중 하나를 사용하여 Azure Virtual Desktop에 연결하는 모든 디바이스는 다음 FQDN 및 엔드포인트에 액세스할 수 있어야 합니다. 신뢰할 수 있는 클라이언트 환경에는 이러한 FQDN 및 엔드포인트를 허용하는 것이 필수적입니다. 이러한 FQDN 및 엔드포인트에 대한 액세스 차단은 지원되지 않으며 서비스 기능에 영향을 줍니다.
사용 중인 클라우드에 따라 관련 탭을 선택합니다.
| 주소 | 프로토콜 | 아웃바운드 포트 | 목적 | 클라이언트 |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Microsoft Online Services에 대한 인증 | 모두 |
*.wvd.microsoft.com |
TCP | 443 | 서비스 트래픽 | 모두 |
*.servicebus.windows.net |
TCP | 443 | 데이터 문제 해결 | 모두 |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | 모두 |
aka.ms |
TCP | 443 | Microsoft URL 단축기 | 모두 |
learn.microsoft.com |
TCP | 443 | 설명서 | 모두 |
privacy.microsoft.com |
TCP | 443 | 개인정보처리방침 | 모두 |
*.cdn.office.net |
TCP | 443 | 자동 업데이트 | Windows 데스크톱 |
graph.microsoft.com |
TCP | 443 | 서비스 트래픽 | 모두 |
windows.cloud.microsoft |
TCP | 443 | 연결 센터 | 모두 |
windows365.microsoft.com |
TCP | 443 | 서비스 트래픽 | 모두 |
ecs.office.com |
TCP | 443 | 연결 센터 | 모두 |
인터넷 액세스가 제한된 닫힌 네트워크에 있는 경우 인증서 검사를 위해 여기에 나열된 FQDN을 허용해야 할 수도 있습니다. Azure 인증 기관 세부 정보 | Microsoft Learn.
다음 단계
Azure Virtual Desktop에 필요한 FQDN 및 엔드포인트에 대한 액세스 확인.
Azure Firewall에서 이러한 FQDN 및 엔드포인트를 차단 해제하는 방법을 알아보려면 Azure Firewall을 사용하여 Azure Virtual Desktop 보호를 참조하세요.
네트워크 연결에 대한 자세한 내용은 Azure Virtual Desktop 네트워크 연결 이해를 참조하세요.