Requisitos de rede do Computador de Desenvolvimento da Microsoft
O Computador de Desenvolvimento da Microsoft é um serviço que permite que os usuários se conectem a uma estação de trabalho baseada em nuvem em execução no Azure por meio da Internet, de qualquer dispositivo em qualquer lugar. Para dar suporte a essas conexões de Internet, você deve seguir os requisitos de rede listados neste artigo. Você deve trabalhar com a equipe de rede e a equipe de segurança da sua organização para planejar e implementar o acesso à rede para computadores de desenvolvimento.
A caixa de desenvolvimento da Microsoft está intimamente relacionada aos serviços da Área de Trabalho Virtual do Azure e do Windows 365 e, em muitos casos, os requisitos de rede são os mesmos.
Requisitos gerais de rede
As caixas de desenvolvimento exigem uma conexão de rede para acessar recursos. Você pode escolher entre uma conexão de rede hospedada pela Microsoft e uma conexão de rede do Azure que você cria em sua própria assinatura. Escolher um método para permitir o acesso aos recursos de rede depende de onde seus recursos estão baseados.
Ao usar uma conexão hospedada pela Microsoft:
- A Microsoft fornece e gerencia totalmente a infraestrutura.
- Você pode gerenciar a segurança da caixa de desenvolvimento do Microsoft Intune.
Para usar sua própria rede e provisionar caixas de desenvolvimento ingressadas no Microsoft Entra, você deve atender aos seguintes requisitos:
- Rede virtual do Azure: você deve ter uma rede virtual em sua assinatura do Azure. A região selecionada para a rede virtual é onde o Azure implanta os computadores de desenvolvimento.
- Uma sub-rede dentro da rede virtual e espaço de endereço IP disponível.
- Largura de banda de rede: consulte as Diretrizes de rede do Azure.
Para usar sua própria rede e provisionar caixas de desenvolvimento ingressadas híbridas do Microsoft Entra, você deve atender aos requisitos acima e aos seguintes requisitos:
- A rede virtual do Azure deve ser capaz de resolver entradas de DNS (Sistema de Nomes de Domínio) para seu ambiente do AD DS (Active Directory Domain Services). Para dar suporte a essa resolução, defina os servidores DNS do AD DS como os servidores DNS para a rede virtual.
- A rede virtual do Azure deve ter acesso à rede a um controlador de domínio corporativo, no Azure ou no local.
Importante
Quando você usa sua rede, o Computador de Desenvolvimento da Microsoft atualmente não dá suporte à movimentação de adaptadores de rede para uma rede virtual diferente ou uma sub-rede diferente.
Permitir conectividade de rede
Na configuração de rede, você deve permitir o tráfego para as seguintes URLs de serviço e portas para dar suporte ao provisionamento, gerenciamento e conectividade remota de caixas de desenvolvimento.
FQDNs e pontos de extremidade necessários para o Computador de Desenvolvimento da Microsoft
Para configurar caixas de desenvolvimento e permitir que os usuários se conectem aos recursos, você deve permitir o tráfego para FQDNs (nomes de domínio totalmente qualificados) e pontos de extremidade específicos. Esses FQDNs e pontos de extremidade poderão ser bloqueados se você estiver usando um firewall, como Firewall do Azureou serviço proxy.
Você pode verificar se suas caixas de desenvolvimento podem se conectar a esses FQDNs e pontos de extremidade seguindo as etapas para executar a Ferramenta de URL do Agente de Área de Trabalho Virtual do Azure em Verificar o acesso a FQDNs e pontos de extremidade necessários para a Área de Trabalho Virtual do Azure. A Ferramenta de URL do Agente da Área de Trabalho Virtual do Azure valida cada FQDN e ponto de extremidade e mostra se suas caixas de desenvolvimento podem acessá-las.
Importante
A Microsoft não dá suporte a implantações de caixa de desenvolvimento em que os FQDNs e os pontos de extremidade listados neste artigo estão bloqueados.
Usar marcas de FQDN e marcas de serviço para pontos de extremidade por meio do Firewall do Azure
O gerenciamento de controles de segurança de rede para caixas de desenvolvimento pode ser complexo. Para simplificar a configuração, use marcas FQDN (nome de domínio totalmente qualificado) e marcas de serviço para permitir o tráfego de rede.
Marcas de FQDN
Uma marca FQDN é uma marca predefinida no Firewall do Azure que representa um grupo de nomes de domínio totalmente qualificados. Usando marcas FQDN, você pode facilmente criar e manter regras de saída para serviços específicos, como o Windows 365, sem especificar manualmente cada nome de domínio.
Os agrupamentos definidos por marcas de FQDN podem se sobrepor. Por exemplo, a marca de FQDN do Windows365 inclui pontos de extremidade do AVD para portas padrão, consulte referência.
Firewalls que não são da Microsoft geralmente não dão suporte a marcas FQDN ou marcas de serviço. Pode haver um termo diferente para a mesma funcionalidade; verifique a documentação do firewall.
Marcas de serviço
Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços, minimizando a complexidade de atualizações frequentes das regras de segurança de rede. As marcas de serviço podem ser usadas nas regras NSG (Grupo de Segurança de Rede) e Firewall do Azure para restringir o acesso à rede de saída e na UDR (Rota Definida pelo Usuário) para personalizar o comportamento de roteamento de tráfego.
Pontos de extremidade necessários para conectividade de rede de dispositivo físico
Embora a maior parte da configuração seja para a rede de caixa de desenvolvimento baseada em nuvem, a conectividade do usuário final ocorre de um dispositivo físico. Portanto, você também deve seguir as diretrizes de conectividade na rede do dispositivo físico.
| Dispositivo ou serviço | URLs e portas necessárias para conectividade de rede | Descrição | Necessário? |
|---|---|---|---|
| Dispositivo físico | Link | Conectividade e atualizações do cliente da Área de Trabalho Remota. | Sim |
| Serviço do Microsoft Intune | Link | Serviços de nuvem do Intune, como gerenciamento de dispositivos, entrega de aplicativos e análise de ponto de extremidade. | Sim |
| Máquina virtual de host da sessão da Área de Trabalho Virtual do Azure | Link | Conectividade remota entre caixas de desenvolvimento e o serviço de Área de Trabalho Virtual do Azure de back-end. | Sim |
| Serviço do Windows 365 | Link | Provisionamento e verificações de integridade. | Sim |
Qualquer dispositivo usado para se conectar a um computador de desenvolvimento deve ter acesso aos seguintes FQDNs e pontos de extremidade. Permitir esses FQDNs e pontos de extremidade é essencial para uma experiência de cliente confiável. O bloqueio do acesso a esses FQDNs e pontos de extremidade não tem suporte e afeta a funcionalidade do serviço.
| Address | Protocolo | Porta de saída | Finalidade | Clientes | Necessário? |
|---|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | Autenticação no Microsoft Online Services | Tudo | Sim |
| *.wvd.microsoft.com | TCP | 443 | Tráfego de serviço | Tudo | Sim |
| *.servicebus.windows.net | TCP | 443 | Solucionar problemas de dados | Tudo | Sim |
| go.microsoft.com | TCP | 443 | FWLinks da Microsoft | Tudo | Sim |
| aka.ms | TCP | 443 | Redutor de URL da Microsoft | Tudo | Sim |
| learn.microsoft.com | TCP | 443 | Documentação | Tudo | Sim |
| privacy.microsoft.com | TCP | 443 | Política de privacidade | Tudo | Sim |
| query.prod.cms.rt.microsoft.com | TCP | 443 | Baixe uma MSI para atualizar o cliente. Necessário para atualizações automáticas. | Área de Trabalho do Windows | Sim |
Esses FQDNs e pontos de extremidade correspondem apenas aos sites e recursos do cliente.
Pontos de extremidade necessários para provisionamento de computador de desenvolvimento
As seguintes URLs e portas são necessárias para o provisionamento de caixas de desenvolvimento e as verificações de integridade da ANC (Conexão de Rede do Azure). Todos os pontos de extremidade se conectam pela porta 443, a menos que especificado de outra forma.
| Categoria | Pontos de extremidade | Marca de serviço ou marca de FQDN | Necessário? |
|---|---|---|---|
| Pontos de extremidade de comunicação de caixa de desenvolvimento | .agentmanagement.dc.azure.com .cmdagent.trafficmanager.net |
N/A | Sim |
| Pontos de extremidade de registro e de serviço do Windows 365 | Para os pontos de extremidade de registro atuais do Windows 365, consulte Requisitos de rede do Windows 365. | Marca de FQDN: Windows365 | Sim |
| Pontos de extremidade de serviço da Área de Trabalho Virtual do Azure | Para os pontos de extremidade de serviço atuais do AVD, consulte Máquinas virtuais de host da sessão. | Marca de FQDN: WindowsVirtualDesktop | Sim |
| Microsoft Entra ID | Os FQDNs e pontos de extremidade do Microsoft Entra ID podem ser encontrados nas IDs 56, 59 e 125 em Intervalos de endereços IP e URLs do Office 365. | Marca de serviço: AzureActiveDirectory | Sim |
| Microsoft Intune | Para obter FQDNs e pontos de extremidade atuais do Microsoft Entra ID, consulte Serviço principal do Intune. | Marca de FQDN: MicrosoftIntune | Sim |
Os FQDNs, pontos de extremidade e marcas listados correspondem aos recursos necessários. Eles não incluem FQDNs e pontos de extremidade para todos os serviços. Para as marcas de serviço de outros serviços, consulte Marcas de serviço disponíveis.
A Área de Trabalho Virtual do Azure não tem uma lista de intervalos de endereços de IP que você pode desbloquear em vez de FQDNs para permitir o tráfego de rede. Se você estiver usando um Firewall de Próxima Geração (NGFW), precisará usar uma lista dinâmica feita para os endereços de IP do Azure para garantir que você possa se conectar.
Para obter mais informações, consulte Usar o Firewall do Azure para gerenciar e proteger ambientes do Windows 365.
A tabela a seguir é a lista de FQDNs e pontos de extremidade que suas caixas de desenvolvimento precisam acessar. Todas as entradas são de saída; você não precisa abrir portas de entrada para caixas de desenvolvimento.
| Address | Protocolo | Porta de saída | Objetivo | Marca de serviço | Necessário? |
|---|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | Autenticação no Microsoft Online Services | AzureActiveDirectory | Sim |
| *.wvd.microsoft.com | TCP | 443 | Tráfego de serviço | WindowsVirtualDesktop | Sim |
| *.prod.warm.ingest.monitor.core.windows.net | TCP | 443 | Resultado do diagnóstico de tráfego do agente | AzureMonitor | Sim |
| catalogartifact.azureedge.net | TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend | Sim |
| gcs.prod.monitoring.core.windows.net | TCP | 443 | Tráfego de agente | AzureCloud | Sim |
| kms.core.windows.net | TCP | 1688 | Ativação do Windows | Internet | Sim |
| azkms.core.windows.net | TCP | 1688 | Ativação do Windows | Internet | Sim |
| mrsglobalsteus2prod.blob.core.windows.net | TCP | 443 | Atualizações de pilha SXS (lado a lado) e do agente | AzureCloud | Sim |
| wvdportalstorageblob.blob.core.windows.net | TCP | 443 | Suporte do portal do Azure | AzureCloud | Sim |
| 169.254.169.254 | TCP | 80 | Ponto de extremidade do Serviço de Metadados de Instância do Azure | N/A | Sim |
| 168.63.129.16 | TCP | 80 | Monitoramento de integridade do host da sessão | N/A | Sim |
| oneocsp.microsoft.com | TCP | 80 | Certificados | N/A | Sim |
| www.microsoft.com | TCP | 80 | Certificados | N/A | Sim |
A tabela a seguir lista os FQDNs e pontos de extremidade opcionais que suas máquinas virtuais de host de sessão também podem precisar acessar em outros serviços:
| Endereço | Protocolo | Porta de saída | Finalidade | Necessário? |
|---|---|---|---|---|
| login.windows.net | TCP | 443 | Entrar nos Serviços Online da Microsoft e no Microsoft 365 | Opcional |
| *.events.data.microsoft.com | TCP | 443 | Serviço de telemetria | Opcional |
| www.msftconnecttest.com | TCP | 80 | Detecta se o host da sessão está conectado à Internet | Opcional |
| *.prod.do.dsp.mp.microsoft.com | TCP | 443 | Windows Update | Opcional |
| *.sfx.ms | TCP | 443 | Atualizações do software cliente do OneDrive | Opcional |
| *.digicert.com | TCP | 80 | Verificação de revogação do certificado | Opcional |
| *.azure-dns.com | TCP | 443 | Resolução de DNS do Azure | Opcional |
| *.azure-dns.net | TCP | 443 | Resolução de DNS do Azure | Opcional |
Essa lista não inclui FQDNs e pontos de extremidade para outros serviços, como Microsoft Entra ID, Office 365, provedores DNS personalizados ou serviços de tempo. Os FQDNs e pontos de extremidade do Microsoft Entra podem ser encontrados nas IDs 56, 59 e 125 em URLs do Office 365 e intervalos de endereços IP.
Dica
Você deve usar o caractere coringa (*) nos FQDNs envolvendo o tráfego de serviço. No tráfego do agente, se você preferir não usar um coringa, veja como encontrar FQDNs específicos para permitir:
- Verifique se as máquinas virtuais do host de sessão estão registradas em um pool de hosts.
- Em um host de sessão, abra o Visualizador de eventos e acesse os Logs do Windows>Application>WVD-Agent e procure a ID do evento 3701.
- Desbloqueie os FQDNs que você encontrou na ID do evento 3701. Os FQDNs na ID do evento 3701 são específicos da região. Você precisará repetir esse processo com os FQDNs relevantes em cada região do Azure em que você queira implantar suas máquinas virtuais de host de sessão.
Pontos de extremidade de serviço do agente RDP (Protocolo de Área de Trabalho Remota)
A conectividade direta com os pontos de extremidade de serviço do agente RDP da Área de Trabalho Virtual do Azure é essencial para o desempenho remoto em uma caixa de desenvolvimento. Esses pontos de extremidade afetam a conectividade e a latência. Para se alinhar com os princípios de conectividade de rede do Microsoft 365, você deve categorizar esses pontos de extremidade como Otimizar pontos de extremidade e usar um Shortpath RDP (Protocolo de Área de Trabalho Remota) da rede virtual do Azure para esses pontos de extremidade. O Shortpath RDP pode fornecer outro caminho de conexão para conectividade de caixa de desenvolvimento aprimorada, especialmente em condições de rede abaixo do ideal.
Para facilitar a configuração dos controles de segurança de rede, use as marcas de serviço da Área de Trabalho Virtual do Azure para identificar esses pontos de extremidade para roteamento direto usando uma Rota Definida pelo Usuário (UDR) de Rede do Azure. Uma UDR resulta em roteamento direto entre sua rede virtual e o agente RDP para menor latência.
Alterar as rotas de rede de uma caixa de desenvolvimento (na camada de rede ou na camada da caixa de desenvolvimento como VPN) pode interromper a conexão entre a caixa de desenvolvimento e o agente RDP da Área de Trabalho Virtual do Azure. Nesse caso, o usuário final será desconectado da caixa de desenvolvimento até que uma conexão seja restabelecida.
Requisitos de DNS
Como parte dos requisitos de junção híbrida do Microsoft Entra, suas caixas de desenvolvimento devem ser capazes de ingressar no Active Directory local. As caixas de desenvolvimento devem ser capazes de resolver registros DNS para que seu ambiente do AD local ingresse.
Configure sua Rede Virtual do Azure em que as caixas de desenvolvimento são provisionadas da seguinte maneira:
- Verifique se sua Rede Virtual do Azure tem conectividade de rede com servidores DNS que podem resolver seu domínio do Active Directory.
- Nas Configurações da Rede Virtual do Azure, selecione Servidores DNS >Personalizados.
- Insira o endereço IP dos servidores DNS que podem resolver seu domínio do AD DS.
Dica
Adicionar pelo menos dois servidores DNS, como você faria com um computador físico, ajuda a reduzir o risco de um único ponto de falha na resolução de nomes. Para obter mais informações, consulte a configuração de configurações de Redes Virtuais do Azure.
Conexão com os recursos locais
Você pode permitir que caixas de desenvolvimento se conectem a recursos locais por meio de uma conexão híbrida. Trabalhe com seu especialista em rede do Azure para implementar um hub e uma topologia de rede spoke. O hub é o ponto central que se conecta à sua rede local; você pode usar uma Rota Expressa, uma VPN site a site ou uma VPN ponto a site. O spoke é a rede virtual que contém as caixas de desenvolvimento. A topologia hub e spoke pode ajudá-lo a gerenciar o tráfego de rede e a segurança. Você emparelha a rede virtual da caixa de desenvolvimento para a rede virtual conectada local para fornecer acesso aos recursos locais.
Tecnologias de interceptação de tráfego
Alguns clientes corporativos usam interceptação de tráfego, descriptografia de TLS, inspeção profunda de pacotes e outras tecnologias semelhantes para as equipes de segurança monitorarem o tráfego. Essas tecnologias de interceptação de tráfego podem causar problemas com a execução de verificações de conexão de rede do Azure ou provisionamento de caixa de desenvolvimento. Verifique se nenhuma interceptação de rede é imposta para caixas de desenvolvimento provisionadas no Computador de Desenvolvimento da Microsoft.
As tecnologias de interceptação de tráfego podem agravar problemas de latência. Você pode usar um Shortpath RDP (Protocolo de Área de Trabalho Remota) para ajudar a minimizar problemas de latência.
Solução de problemas
Esta seção aborda alguns problemas comuns de conexão e rede.
Problemas de conexão
Falha na tentativa de logon
Se o usuário do computador de desenvolvimento encontrar problemas de entrada e vir uma mensagem de erro indicando que a tentativa de entrada falhou, verifique se você habilitou o protocolo PKU2U no computador local e no host da sessão.
Para obter mais informações sobre como solucionar problemas de erros de entrada, consulte Solucionar problemas de conexões com VMs ingressadas no Microsoft Entra – cliente da Área de Trabalho do Windows.
Problemas de política de grupo em ambientes híbridos
Se você estiver usando um ambiente híbrido, poderá encontrar problemas de política de grupo. Você pode testar se o problema está relacionado à política de grupo excluindo temporariamente a caixa de desenvolvimento da política de grupo.
Para obter mais informações sobre como solucionar problemas de política de grupo, consulte Aplicar diretrizes de solução de problemas da Política de Grupo.
Problemas de endereçamento IPv6
Se você estiver enfrentando problemas de IPv6, verifique se o ponto de extremidade de serviço Microsoft.AzureActiveDirectory não está habilitado na sub-rede ou rede virtual. Esse ponto de extremidade de serviço converte o IPv4 em IPv6.
Para obter mais informações, confira Pontos de extremidade de serviço de rede virtual.
Como atualizar problemas de imagem de definição do computador de desenvolvimento
Ao atualizar a imagem usada em uma definição do computador de desenvolvimento, você precisa garantir que tenha endereços IP suficientes disponíveis na sua rede virtual. Para a verificação de integridade da conexão da Rede do Azure, são necessários mais endereços IP gratuitos. Se a verificação de integridade falhar, a definição do computador de desenvolvimento não será atualizada. Você precisa de um endereço IP adicional por computador de desenvolvimento e um endereço IP para a verificação de integridade e a infraestrutura do Computador de Desenvolvimento.
Para obter mais informações sobre como atualizar imagens de definição do computador de desenvolvimento, confira Atualizar uma definição do computador de desenvolvimento.
Conteúdo relacionado
- Verificar o acesso a FQDNs e pontos de extremidade necessários na Área de Trabalho Virtual do Azure.
- Saiba como desbloquear esses FQDNs e pontos de extremidade no Firewall do Azure, consulte Usar o Firewall do Azure para proteger a Área de Trabalho Virtual do Azure.
- Para obter mais informações sobre conectividade de rede, consulte Noções básicas sobre a conectividade de rede da Área de Trabalho Virtual do Azure.