Udostępnij za pośrednictwem


Wymagane nazwy FQDN i punkty końcowe dla usługi Azure Virtual Desktop

Aby wdrożyć usługę Azure Virtual Desktop i użytkownicy w celu nawiązania połączenia, należy zezwolić na określone nazwy FQDN i punkty końcowe. Użytkownicy muszą również mieć możliwość nawiązania połączenia z określonymi nazwami FQDN i punktami końcowymi w celu uzyskania dostępu do zasobów usługi Azure Virtual Desktop. W tym artykule wymieniono wymagane nazwy FQDN i punkty końcowe, które należy zezwolić na hosty sesji i użytkowników.

Te nazwy FQDN i punkty końcowe mogą być blokowane, jeśli używasz zapory, takiej jak Usługa Azure Firewall lub usługa proxy. Aby uzyskać wskazówki dotyczące korzystania z usługi proxy z usługą Azure Virtual Desktop, zobacz Wskazówki dotyczące usługi proxy dla usługi Azure Virtual Desktop.

Możesz sprawdzić, czy maszyny wirtualne hosta sesji mogą łączyć się z tymi nazwami FQDN i punktami końcowymi, wykonując kroki uruchamiania narzędzia adresu URL agenta usługi Azure Virtual Desktop w temacie Sprawdzanie dostępu do wymaganych nazw FQDN i punktów końcowych dla usługi Azure Virtual Desktop. Narzędzie adresu URL agenta usługi Azure Virtual Desktop weryfikuje każdą nazwę FQDN i punkt końcowy oraz pokazuje, czy hosty sesji mogą uzyskiwać do nich dostęp.

Ważne

  • Firma Microsoft nie obsługuje wdrożeń usługi Azure Virtual Desktop, w których nazwy FQDN i punkty końcowe wymienione w tym artykule są blokowane.

  • Ten artykuł nie zawiera nazw FQDN i punktów końcowych dla innych usług, takich jak Microsoft Entra ID, Office 365, niestandardowych dostawców DNS lub usług czasowych. Nazwy FQDN i punkty końcowe firmy Microsoft entra można znaleźć w obszarze identyfikatorów 56, 59 i 125 w zakresach adresów URL i adresów IP usługi Office 365.

Tagi usługi i tagi FQDN

Tagi usługi reprezentują grupy prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów, minimalizując złożoność częstych aktualizacji reguł zabezpieczeń sieci. Tagi usług mogą być używane w regułach dla sieciowych grup zabezpieczeń i usługi Azure Firewall w celu ograniczenia dostępu do sieci wychodzącej. Tagi usług mogą być również używane w trasach zdefiniowanych przez użytkownika (UDR), aby dostosować zachowanie routingu ruchu.

Usługa Azure Firewall obsługuje również tagi FQDN, które reprezentują grupę w pełni kwalifikowanych nazw domen (FQDN) skojarzonych z dobrze znaną platformą Azure i innymi usługi firmy Microsoft. Usługa Azure Virtual Desktop nie ma listy zakresów adresów IP, które można odblokować zamiast nazw FQDN, aby zezwolić na ruch sieciowy. Jeśli używasz zapory nowej generacji (NGFW), musisz użyć listy dynamicznej utworzonej dla adresów IP platformy Azure, aby upewnić się, że możesz nawiązać połączenie. Aby uzyskać więcej informacji, zobacz Używanie usługi Azure Firewall do ochrony wdrożeń usługi Azure Virtual Desktop.

Usługa Azure Virtual Desktop ma dostępny zarówno tag usługi, jak i wpis tagu FQDN. Zalecamy użycie tagów usługi i tagów FQDN, aby uprościć konfigurację sieci platformy Azure.

Maszyny wirtualne hosta sesji

Poniższa tabela zawiera listę nazw FQDN i punktów końcowych, do których maszyny wirtualne hosta sesji muszą uzyskiwać dostęp do usługi Azure Virtual Desktop. Wszystkie wpisy są wychodzące; Nie musisz otwierać portów przychodzących dla usługi Azure Virtual Desktop. Wybierz odpowiednią kartę na podstawie używanej chmury.

Adres Protokół Port wyjściowy Purpose Tag usługi
login.microsoftonline.com TCP 443 Uwierzytelnianie w usługach Microsoft Online Services AzureActiveDirectory
*.wvd.microsoft.com TCP 443 Ruch usługi WindowsVirtualDesktop
catalogartifact.azureedge.net TCP 443 Azure Marketplace AzureFrontDoor.Frontend
*.prod.warm.ingest.monitor.core.windows.net TCP 443 Ruch agenta
Dane wyjściowe diagnostyczne
AzureMonitor
gcs.prod.monitoring.core.windows.net TCP 443 Ruch agenta AzureMonitor
azkms.core.windows.net TCP 1688 Aktywacja systemu Windows Internet
mrsglobalsteus2prod.blob.core.windows.net TCP 443 Aktualizacje stosu agenta i równoległego (SXS) AzureStorage
wvdportalstorageblob.blob.core.windows.net TCP 443 Obsługa witryny Azure Portal AzureCloud
169.254.169.254 TCP 80 Punkt końcowy usługi Azure Instance Metadata Service Nie dotyczy
168.63.129.16 TCP 80 Monitorowanie kondycji hosta sesji Nie dotyczy
oneocsp.microsoft.com TCP 80 Certyfikaty AzureFrontDoor.FirstParty
www.microsoft.com TCP 80 Certyfikaty Nie dotyczy

W poniższej tabeli wymieniono opcjonalne nazwy FQDN i punkty końcowe, do których mogą być również wymagane maszyny wirtualne hosta sesji, aby uzyskać dostęp do innych usług:

Adres Protokół Port wyjściowy Purpose Tag usługi
login.windows.net TCP 443 Zaloguj się do usług Microsoft Online Services i Platformy Microsoft 365 AzureActiveDirectory
*.events.data.microsoft.com TCP 443 Usługa telemetrii Nie dotyczy
www.msftconnecttest.com TCP 80 Wykrywa, czy host sesji jest połączony z Internetem Nie dotyczy
*.prod.do.dsp.mp.microsoft.com TCP 443 Windows Update Nie dotyczy
*.sfx.ms TCP 443 Aktualizacje oprogramowania klienckiego usługi OneDrive Nie dotyczy
*.digicert.com TCP 80 Sprawdzanie odwołania certyfikatów Nie dotyczy
*.azure-dns.com TCP 443 Rozpoznawanie nazw DNS platformy Azure Nie dotyczy
*.azure-dns.net TCP 443 Rozpoznawanie nazw DNS platformy Azure Nie dotyczy
*eh.servicebus.windows.net TCP 443 Ustawienia diagnostyczne EventHub

Napiwek

Należy użyć symbolu wieloznakowego (*) dla nazw FQDN obejmujących ruch usługi.

W przypadku ruchu agenta, jeśli nie chcesz używać symbolu wieloznakowego, poniżej przedstawiono sposób znajdowania określonych nazw FQDN w celu umożliwienia:

  1. Upewnij się, że hosty sesji są zarejestrowane w puli hostów.
  2. Na hoście sesji otwórz podgląd zdarzeń, a następnie przejdź do obszaru Dzienniki>aplikacji>WVD-Agent i poszukaj zdarzenia o identyfikatorze 3701.
  3. Odblokuj nazwy FQDN, które można znaleźć pod identyfikatorem zdarzenia 3701. Nazwy FQDN o identyfikatorze zdarzenia 3701 są specyficzne dla regionu. Ten proces należy powtórzyć przy użyciu odpowiednich nazw FQDN dla każdego regionu świadczenia usługi Azure, w którym chcesz wdrożyć hosty sesji.

Urządzenia użytkowników końcowych

Każde urządzenie, na którym jest używany jeden z klientów pulpitu zdalnego do nawiązywania połączenia z usługą Azure Virtual Desktop, musi mieć dostęp do następujących nazw FQDN i punktów końcowych. Umożliwienie tych nazw FQDN i punktów końcowych jest niezbędne dla niezawodnego środowiska klienta. Blokowanie dostępu do tych nazw FQDN i punktów końcowych nie jest obsługiwane i wpływa na funkcjonalność usługi.

Wybierz odpowiednią kartę na podstawie używanej chmury.

Adres Protokół Port wyjściowy Purpose Klienci
login.microsoftonline.com TCP 443 Uwierzytelnianie w usługach Microsoft Online Services wszystkie
*.wvd.microsoft.com TCP 443 Ruch usługi wszystkie
*.servicebus.windows.net TCP 443 Rozwiązywanie problemów z danymi wszystkie
go.microsoft.com TCP 443 Microsoft FWLinks wszystkie
aka.ms TCP 443 Skrócenie adresu URL firmy Microsoft wszystkie
learn.microsoft.com TCP 443 Dokumentacja wszystkie
privacy.microsoft.com TCP 443 Oświadczenie o ochronie prywatności wszystkie
*.cdn.office.net TCP 443 Automatyczne aktualizacje Windows Desktop
graph.microsoft.com TCP 443 Ruch usługi wszystkie
windows.cloud.microsoft TCP 443 Centrum połączeń wszystkie
windows365.microsoft.com TCP 443 Ruch usługi wszystkie
ecs.office.com TCP 443 Centrum połączeń wszystkie

Jeśli korzystasz z zamkniętej sieci z ograniczonym dostępem do Internetu, może być również konieczne zezwolenie na nazwy FQDN wymienione tutaj w celu sprawdzenia certyfikatów: szczegóły urzędu certyfikacji platformy Azure | Microsoft Learn.

Następne kroki