Wymagania dotyczące sieci w usłudze Microsoft Dev Box
Microsoft Dev Box to usługa, która umożliwia użytkownikom łączenie się z opartą na chmurze stacją roboczą działającą na platformie Azure za pośrednictwem Internetu z dowolnego urządzenia w dowolnym miejscu. Aby obsługiwać te połączenia internetowe, należy spełnić wymagania dotyczące sieci wymienione w tym artykule. Należy współpracować z zespołem ds. sieci i zespołem ds. zabezpieczeń organizacji, aby zaplanować i wdrożyć dostęp sieciowy dla pól deweloperskich.
Usługa Microsoft Dev Box jest ściśle powiązana z usługami Windows 365 i Azure Virtual Desktop, a w wielu przypadkach wymagania sieciowe są takie same.
Ogólne wymagania dotyczące sieci
Pola deweloperskie wymagają połączenia sieciowego w celu uzyskania dostępu do zasobów. Możesz wybrać połączenie sieciowe hostowane przez firmę Microsoft i połączenie sieciowe platformy Azure utworzone we własnej subskrypcji. Wybór metody zezwalania na dostęp do zasobów sieciowych zależy od tego, gdzie są oparte zasoby.
W przypadku korzystania z połączenia hostowanego przez firmę Microsoft:
- Firma Microsoft zapewnia infrastrukturę i w pełni zarządza nią.
- Zabezpieczenia usługi Dev Box można zarządzać za pomocą usługi Microsoft Intune.
Aby korzystać z własnej sieci i aprowizować urządzenia deweloperskie dołączone do firmy Microsoft Entra, musisz spełnić następujące wymagania:
- Sieć wirtualna platformy Azure: musisz mieć sieć wirtualną w ramach subskrypcji platformy Azure. Region wybrany dla sieci wirtualnej to miejsce, w którym platforma Azure wdraża pola deweloperskie.
- Podsieć w sieci wirtualnej i dostępna przestrzeń adresowa IP.
- Przepustowość sieci: zobacz Wskazówki dotyczące sieci platformy Azure.
Aby korzystać z własnej sieci i aprowizować hybrydowe skrzynki deweloperskie dołączone do firmy Microsoft Entra, musisz spełnić powyższe wymagania i następujące wymagania:
- Sieć wirtualna platformy Azure musi być w stanie rozpoznać wpisy usług domenowych (DNS) dla środowiska usług domena usługi Active Directory Services (AD DS). Aby obsługiwać to rozwiązanie, zdefiniuj serwery DNS usług AD DS jako serwery DNS dla sieci wirtualnej.
- Sieć wirtualna platformy Azure musi mieć dostęp sieciowy do kontrolera domeny przedsiębiorstwa na platformie Azure lub lokalnie.
Ważne
W przypadku korzystania z własnej sieci usługa Microsoft Dev Box obecnie nie obsługuje przenoszenia interfejsów sieciowych do innej sieci wirtualnej lub innej podsieci.
Zezwalaj na łączność sieciową
W konfiguracji sieci należy zezwolić na ruch do następujących adresów URL i portów usługi w celu obsługi aprowizacji, zarządzania i zdalnej łączności pól deweloperskich.
Wymagane nazwy FQDN i punkty końcowe dla usługi Microsoft Dev Box
Aby skonfigurować pola deweloperskie i umożliwić użytkownikom łączenie się z zasobami, należy zezwolić na ruch dla określonych w pełni kwalifikowanych nazw domen (FQDN) i punktów końcowych. Te nazwy FQDN i punkty końcowe mogą być blokowane, jeśli używasz zapory, takiej jak Usługa Azure Firewall lub usługa proxy.
Możesz sprawdzić, czy pola deweloperskie mogą łączyć się z tymi nazwami FQDN i punktami końcowymi, wykonując kroki uruchamiania narzędzia url agenta usługi Azure Virtual Desktop w temacie Sprawdzanie dostępu do wymaganych nazw FQDN i punktów końcowych dla usługi Azure Virtual Desktop. Narzędzie adresu URL agenta usługi Azure Virtual Desktop weryfikuje każdą nazwę FQDN i punkt końcowy oraz pokazuje, czy pola deweloperskie mogą uzyskiwać do nich dostęp.
Ważne
Firma Microsoft nie obsługuje wdrożeń usługi Dev Box, w których nazwy FQDN i punkty końcowe wymienione w tym artykule są blokowane.
Używanie tagów FQDN i tagów usługi dla punktów końcowych za pośrednictwem usługi Azure Firewall
Zarządzanie mechanizmami kontroli zabezpieczeń sieci dla pól deweloperskich może być złożone. Aby uprościć konfigurację, użyj w pełni kwalifikowanych tagów nazwy domeny (FQDN) i tagów usługi, aby zezwolić na ruch sieciowy.
Tagi nazwy FQDN
Tag nazwy FQDN jest wstępnie zdefiniowanym tagiem w usłudze Azure Firewall, który reprezentuje grupę w pełni kwalifikowanych nazw domen. Używając tagów FQDN, można łatwo tworzyć i obsługiwać reguły ruchu wychodzącego dla określonych usług, takich jak Windows 365, bez ręcznego określania każdej nazwy domeny.
Grupowania zdefiniowane przez tagi FQDN mogą nakładać się na siebie. Na przykład tag FQDN systemu Windows365 zawiera punkty końcowe usługi AVD dla portów standardowych, zobacz dokumentację.
Zapory firm innych niż Microsoft zwykle nie obsługują tagów FQDN ani tagów usługi. Może istnieć inny termin dla tej samej funkcjonalności; Sprawdź dokumentację zapory.
Tagi usługi
Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów, minimalizując złożoność częstych aktualizacji reguł zabezpieczeń sieci. Tagi usług mogą być używane zarówno w sieciowej grupie zabezpieczeń, jak i w regułach usługi Azure Firewall w celu ograniczenia dostępu do sieci wychodzącej, a także w trasach zdefiniowanych przez użytkownika (UDR) w celu dostosowania zachowania routingu ruchu.
Wymagane punkty końcowe dla łączności sieciowej urządzenia fizycznego
Chociaż większość konfiguracji dotyczy chmurowej sieci deweloperów, łączność użytkownika końcowego odbywa się z urządzenia fizycznego. W związku z tym należy również postępować zgodnie z wytycznymi dotyczącymi łączności w sieci urządzenia fizycznego.
| Urządzenie lub usługa | Wymagane adresy URL i porty łączności sieciowej | opis |
|---|---|---|
| Urządzenie fizyczne | Link | Łączność i aktualizacje klienta pulpitu zdalnego. |
| Usługa Microsoft Intune | Link | Usługi w chmurze usługi Intune, takie jak zarządzanie urządzeniami, dostarczanie aplikacji i analiza punktów końcowych. |
| Maszyna wirtualna hosta sesji usługi Azure Virtual Desktop | Link | Łączność zdalna między polami deweloperskimi a usługą Azure Virtual Desktop zaplecza. |
| Usługa systemu Windows 365 | Link | Aprowizowanie i sprawdzanie kondycji. |
Każde urządzenie używane do nawiązywania połączenia z urządzeniem deweloperskim musi mieć dostęp do następujących nazw FQDN i punktów końcowych. Umożliwienie tych nazw FQDN i punktów końcowych jest niezbędne dla niezawodnego środowiska klienta. Blokowanie dostępu do tych nazw FQDN i punktów końcowych jest nieobsługiwane i wpływa na funkcjonalność usługi.
| Adres | Protokół | Port wyjściowy | Purpose | Klienci |
|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | Uwierzytelnianie w usługach Microsoft Online Services | wszystkie |
| *.wvd.microsoft.com | TCP | 443 | Ruch usługi | wszystkie |
| *.servicebus.windows.net | TCP | 443 | Rozwiązywanie problemów z danymi | wszystkie |
| go.microsoft.com | TCP | 443 | Microsoft FWLinks | wszystkie |
| aka.ms | TCP | 443 | Skrócenie adresu URL firmy Microsoft | wszystkie |
| learn.microsoft.com | TCP | 443 | Dokumentacja | wszystkie |
| privacy.microsoft.com | TCP | 443 | Oświadczenie o ochronie prywatności | wszystkie |
| query.prod.cms.rt.microsoft.com | TCP | 443 | Pobierz tożsamość usługi zarządzanej, aby zaktualizować klienta. Wymagane do aktualizacji automatycznych. | Pulpit systemu Windows |
Te nazwy FQDN i punkty końcowe odpowiadają tylko lokacjom i zasobom klienta.
Wymagane punkty końcowe na potrzeby aprowizacji usługi Dev Box
Następujące adresy URL i porty są wymagane do aprowizacji pól deweloperskich i kontroli kondycji połączenia sieciowego platformy Azure (ANC). Wszystkie punkty końcowe łączą się za pośrednictwem portu 443, chyba że określono inaczej.
| Kategoria | Punkty końcowe | Tag nazwy FQDN lub tag usługi |
|---|---|---|
| Punkty końcowe komunikacji usługi Dev Box | .agentmanagement.dc.azure.com .cmdagent.trafficmanager.net |
Nie dotyczy |
| Punkty końcowe usługi i rejestracji systemu Windows 365 | Aby uzyskać informacje o bieżących punktach końcowych rejestracji systemu Windows 365, zobacz Wymagania dotyczące sieci systemu Windows 365. | Tag nazwy FQDN: Windows365 |
| Punkty końcowe usługi Azure Virtual Desktop | Aby uzyskać informacje o bieżących punktach końcowych usługi AVD, zobacz Maszyny wirtualne hosta sesji. | Tag nazwy FQDN: WindowsVirtualDesktop |
| Tożsamość Microsoft Entra | Nazwy FQDN i punkty końcowe dla identyfikatora Entra firmy Microsoft można znaleźć w obszarze Identyfikator 56, 59 i 125 w zakresach adresów URL i adresów IP usługi Office 365. | Tag usługi: AzureActiveDirectory |
| Microsoft Intune | Aby uzyskać bieżące nazwy FQDN i punkty końcowe dla identyfikatora entra firmy Microsoft, zobacz Podstawowa usługa usługi Intune. | Tag nazwy FQDN: MicrosoftIntune |
Wymienione nazwy FQDN i punkty końcowe i tagi odpowiadają wymaganym zasobom. Nie obejmują nazw FQDN i punktów końcowych dla wszystkich usług. Aby zapoznać się z tagami usługi dla innych usług, zobacz Dostępne tagi usługi.
Usługa Azure Virtual Desktop nie ma listy zakresów adresów IP, które można odblokować zamiast nazw FQDN, aby zezwolić na ruch sieciowy. Jeśli używasz zapory nowej generacji (NGFW), musisz użyć listy dynamicznej utworzonej dla adresów IP platformy Azure, aby upewnić się, że możesz nawiązać połączenie.
Aby uzyskać więcej informacji, zobacz Używanie usługi Azure Firewall do zarządzania środowiskami systemu Windows 365 i zabezpieczania ich.
Poniższa tabela zawiera listę nazw FQDN i punktów końcowych potrzebnych do uzyskania dostępu do pól deweloperskich. Wszystkie wpisy są wychodzące; Nie musisz otwierać portów przychodzących dla pól deweloperskich.
| Adres | Protokół | Port wyjściowy | Purpose | Tag usługi |
|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | Uwierzytelnianie w usługach Microsoft Online Services | AzureActiveDirectory |
| *.wvd.microsoft.com | TCP | 443 | Ruch usługi | WindowsVirtualDesktop |
| *.prod.warm.ingest.monitor.core.windows.net | TCP | 443 | Dane wyjściowe diagnostyki ruchu agenta | AzureMonitor |
| catalogartifact.azureedge.net | TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
| gcs.prod.monitoring.core.windows.net | TCP | 443 | Ruch agenta | AzureCloud |
| kms.core.windows.net | TCP | 1688 | Aktywacja systemu Windows | Internet |
| azkms.core.windows.net | TCP | 1688 | Aktywacja systemu Windows | Internet |
| mrsglobalsteus2prod.blob.core.windows.net | TCP | 443 | Aktualizacje stosu agenta i równoległego (SXS) | AzureCloud |
| wvdportalstorageblob.blob.core.windows.net | TCP | 443 | Obsługa witryny Azure Portal | AzureCloud |
| 169.254.169.254 | TCP | 80 | Punkt końcowy usługi Azure Instance Metadata Service | Nie dotyczy |
| 168.63.129.16 | TCP | 80 | Monitorowanie kondycji hosta sesji | Nie dotyczy |
| oneocsp.microsoft.com | TCP | 80 | Certyfikaty | Nie dotyczy |
| www.microsoft.com | TCP | 80 | Certyfikaty | Nie dotyczy |
W poniższej tabeli wymieniono opcjonalne nazwy FQDN i punkty końcowe, do których mogą być również wymagane maszyny wirtualne hosta sesji, aby uzyskać dostęp do innych usług:
| Adres | Protokół | Port wyjściowy | Purpose |
|---|---|---|---|
| login.windows.net | TCP | 443 | Zaloguj się do usług Microsoft Online Services i Platformy Microsoft 365 |
| *.events.data.microsoft.com | TCP | 443 | Usługa telemetrii |
| www.msftconnecttest.com | TCP | 80 | Wykrywa, czy host sesji jest połączony z Internetem |
| *.prod.do.dsp.mp.microsoft.com | TCP | 443 | Windows Update |
| *.sfx.ms | TCP | 443 | Aktualizacje oprogramowania klienckiego usługi OneDrive |
| *.digicert.com | TCP | 80 | Sprawdzanie odwołania certyfikatów |
| *.azure-dns.com | TCP | 443 | Rozpoznawanie nazw DNS platformy Azure |
| *.azure-dns.net | TCP | 443 | Rozpoznawanie nazw DNS platformy Azure |
Ta lista nie zawiera nazw FQDN i punktów końcowych dla innych usług, takich jak Microsoft Entra ID, Office 365, niestandardowych dostawców DNS lub usług czasowych. Nazwy FQDN i punkty końcowe firmy Microsoft entra można znaleźć w obszarze identyfikatorów 56, 59 i 125 w zakresach adresów URL i adresów IP usługi Office 365.
Napiwek
Należy użyć symbolu wieloznakowego (*) dla nazw FQDN obejmujących ruch usługi. W przypadku ruchu agenta, jeśli nie chcesz używać symbolu wieloznakowego, poniżej przedstawiono sposób znajdowania określonych nazw FQDN w celu umożliwienia:
- Upewnij się, że maszyny wirtualne hosta sesji są zarejestrowane w puli hostów.
- Na hoście sesji otwórz podgląd zdarzeń, a następnie przejdź do obszaru Dzienniki>aplikacji>WVD-Agent i poszukaj zdarzenia o identyfikatorze 3701.
- Odblokuj nazwy FQDN, które można znaleźć pod identyfikatorem zdarzenia 3701. Nazwy FQDN o identyfikatorze zdarzenia 3701 są specyficzne dla regionu. Ten proces należy powtórzyć przy użyciu odpowiednich nazw FQDN dla każdego regionu świadczenia usługi Azure, w którym chcesz wdrożyć maszyny wirtualne hosta sesji.
Punkty końcowe usługi brokera protokołu RDP (Remote Desktop Protocol)
Bezpośrednia łączność z punktami końcowymi usługi brokera RDP usługi Azure Virtual Desktop ma kluczowe znaczenie dla wydajności zdalnej w polu deweloperskim. Te punkty końcowe mają wpływ zarówno na łączność, jak i opóźnienie. Aby dostosować się do zasad łączności sieciowej platformy Microsoft 365, należy podzielić te punkty końcowe na optymalizowanie punktów końcowych i użyć krótkiej ścieżki protokołu RDP (Remote Desktop Protocol) z sieci wirtualnej platformy Azure do tych punktów końcowych. Ścieżka krótka protokołu RDP może zapewnić kolejną ścieżkę połączenia dla ulepszonej łączności usługi Dev Box, szczególnie w nieoptymalnych warunkach sieciowych.
Aby ułatwić konfigurowanie mechanizmów kontroli zabezpieczeń sieci, użyj tagów usługi Azure Virtual Desktop, aby zidentyfikować te punkty końcowe na potrzeby routingu bezpośredniego przy użyciu trasy zdefiniowanej przez użytkownika sieci platformy Azure (UDR). Trasa zdefiniowana przez użytkownika powoduje bezpośredni routing między siecią wirtualną a brokerem RDP w celu uzyskania najmniejszego opóźnienia.
Zmiana tras sieciowych pola deweloperskiego (w warstwie sieciowej lub w warstwie skrzynki deweloperskiej, takiej jak VPN), może spowodować przerwanie połączenia między polem deweloperskim i brokerem RDP usługi Azure Virtual Desktop. Jeśli tak, użytkownik końcowy zostanie odłączony od swojego urządzenia deweloperskiego do momentu ponownego nawiązania połączenia.
Wymagania dotyczące systemu DNS
W ramach wymagań dotyczących dołączania hybrydowego firmy Microsoft Entra pola deweloperskie muszą być w stanie dołączyć lokalna usługa Active Directory. Pola deweloperskie muszą być w stanie rozpoznać rekordy DNS dla lokalnego środowiska usługi AD do przyłączenia.
Skonfiguruj sieć wirtualną platformy Azure, w której są aprowizowane pola deweloperskie w następujący sposób:
- Upewnij się, że sieć wirtualna platformy Azure ma łączność sieciową z serwerami DNS, które mogą rozpoznać domenę usługi Active Directory.
- W obszarze Ustawienia usługi Azure Virtual Network wybierz pozycję Niestandardowe serwery> DNS.
- Wprowadź adres IP serwerów DNS, które mogą rozpoznać domenę usług AD DS.
Napiwek
Dodanie co najmniej dwóch serwerów DNS, tak jak w przypadku komputera fizycznego, pomaga zmniejszyć ryzyko wystąpienia pojedynczego punktu awarii w rozpoznawaniu nazw. Aby uzyskać więcej informacji, zobacz konfigurowanie ustawień sieci wirtualnych platformy Azure.
Nawiązywanie połączenia z zasobami lokalnymi
Możesz zezwolić deweloperom na łączenie się z zasobami lokalnymi za pośrednictwem połączenia hybrydowego. We współpracy z ekspertem ds. sieci platformy Azure zaimplementuj topologię sieci piasty i szprych. Piasta jest centralnym punktem, który łączy się z siecią lokalną; Możesz użyć usługi Express Route, sieci VPN typu lokacja-lokacja lub sieci VPN typu punkt-lokacja. Szprycha to sieć wirtualna zawierająca pola deweloperskie. Topologia piasty i szprych może pomóc w zarządzaniu ruchem sieci i zabezpieczeniami. Połączysz sieć wirtualną usługi Dev Box z lokalną połączoną siecią wirtualną, aby zapewnić dostęp do zasobów lokalnych.
Technologie przechwytywania ruchu
Niektórzy klienci korporacyjni używają przechwytywania ruchu, odszyfrowywania TLS, głębokiej inspekcji pakietów i innych podobnych technologii dla zespołów ds. zabezpieczeń w celu monitorowania ruchu sieciowego. Te technologie przechwytywania ruchu mogą powodować problemy z uruchamianiem kontroli połączeń sieciowych platformy Azure lub aprowizacji usługi Dev Box. Upewnij się, że żadne przechwytywanie sieci nie jest wymuszane dla pól deweloperskich aprowizowane w usłudze Microsoft Dev Box.
Technologie przechwytywania ruchu mogą pogłębiać problemy z opóźnieniami. Możesz użyć krótkiej ścieżki protokołu RDP (Remote Desktop Protocol), aby zminimalizować problemy z opóźnieniami.
Rozwiązywanie problemów
W tej sekcji opisano niektóre typowe problemy z połączeniem i siecią.
Problemy z połączeniem
Próba logowania nie powiodła się
Jeśli użytkownik usługi Dev Box napotka problemy z logowaniem i zobaczy komunikat o błędzie wskazujący, że próba logowania nie powiodła się, upewnij się, że włączono protokół PKU2U na komputerze lokalnym i hoście sesji.
Aby uzyskać więcej informacji na temat rozwiązywania problemów z błędami logowania, zobacz Rozwiązywanie problemów z połączeniami z maszynami wirtualnymi dołączonymi do firmy Microsoft — klient pulpitu z systemem Windows.
Problemy z zasadami grupy w środowiskach hybrydowych
Jeśli używasz środowiska hybrydowego, mogą wystąpić problemy z zasadami grupy. Możesz sprawdzić, czy problem jest związany z zasadami grupy, tymczasowo wykluczając pole deweloperskie z zasad grupy.
Aby uzyskać więcej informacji na temat rozwiązywania problemów z zasadami grupy, zobacz Stosowanie wskazówek dotyczących rozwiązywania problemów z zasadami grupy.
Rozwiązywanie problemów z protokołem IPv6
Jeśli występują problemy z protokołem IPv6, sprawdź, czy punkt końcowy usługi Microsoft.AzureActiveDirectory nie jest włączony w sieci wirtualnej lub podsieci. Ten punkt końcowy usługi konwertuje protokół IPv4 na protokół IPv6.
Aby uzyskać więcej informacji, zobacz Punkty końcowe usługi dla sieci wirtualnej.
Aktualizowanie problemów z obrazem definicji usługi Dev Box
Podczas aktualizowania obrazu używanego w definicji pola deweloperskiego należy upewnić się, że masz wystarczające adresy IP dostępne w sieci wirtualnej. W przypadku sprawdzania kondycji połączenia sieciowego platformy Azure niezbędne są więcej bezpłatnych adresów IP. Jeśli sprawdzanie kondycji zakończy się niepowodzeniem, definicja pola deweloperskiego nie zostanie zaktualizowana. Potrzebujesz jednego dodatkowego adresu IP dla każdego pola deweloperskiego i jednego adresu IP na potrzeby kontroli kondycji i infrastruktury usługi Dev Box.
Aby uzyskać więcej informacji na temat aktualizowania obrazów definicji pól deweloperskich, zobacz Aktualizowanie definicji pola deweloperskiego.
Powiązana zawartość
- Sprawdź dostęp do wymaganych nazw FQDN i punktów końcowych dla usługi Azure Virtual Desktop.
- Dowiedz się, jak odblokować te nazwy FQDN i punkty końcowe w usłudze Azure Firewall, zobacz Używanie usługi Azure Firewall do ochrony usługi Azure Virtual Desktop.
- Aby uzyskać więcej informacji na temat łączności sieciowej, zobacz Omówienie łączności sieciowej usługi Azure Virtual Desktop.