Compartilhar via

FQDNs e pontos de extremidade necessários na Área de Trabalho Virtual do Azure

  • Artigo

Para implantar a Área de Trabalho Virtual do Azure e para que os usuários se conectem, você deve permitir FQDNs e pontos de extremidade específicos. Os usuários também precisam poder se conectar a determinados FQDNs e pontos de extremidade para acessarem os recursos da Área de Trabalho Virtual do Azure. Este artigo lista os FQDNs e pontos de extremidade necessários que você precisa permitir para seus hosts e usuários de sessão.

Esses FQDNs e pontos de extremidade poderão ser bloqueados se você estiver usando um firewall, como Firewall do Azureou serviço proxy. Para obter diretrizes sobre como usar um serviço proxy com a Área de Trabalho Virtual do Azure, consulte Diretrizes de serviço proxy da Área de Trabalho Virtual do Azure.

Você pode verificar se as VMs de host de sessão podem se conectar a esses FQDNs e pontos de extremidade seguindo as etapas para executar a Ferramenta de URL do Agente de Área de Trabalho Virtual do Azure em Verificar o acesso às FQDNs e pontos de extremidade necessários na Área de Trabalho Virtual do Azure. A Ferramenta de URL do Agente de Área de Trabalho Virtual do Azure valida os FQDNs e pontos de extremidade e mostra se os hosts de sessão podem acessá-los.

Importante

  • A Microsoft não dá suporte às implantações da Área de Trabalho Virtual do Azure em que os FQDNs e os pontos de extremidade listados neste artigo estão bloqueados.

  • Este artigo não inclui FQDNs e pontos de extremidade para outros serviços, como Microsoft Entra ID, Office 365, provedores DNS personalizados ou serviços de tempo. Os FQDNs e pontos de extremidade do Microsoft Entra podem ser encontrados na ID 56, 59 e 125 nas URLs do Office 365 e intervalos de endereços de IP.

Marcas de serviço e marcas FQDN

Marcas de serviço representam grupos de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços, minimizando a complexidade de atualizações frequentes das regras de segurança de rede. As marcas de serviço podem ser usadas em regras para NSGs (Grupos de Segurança de Rede) e Firewall do Azure para restringir o acesso à rede de saída. As tags de serviço também podem ser usadas em rotas definidas pelo usuário (UDRs) para personalizar o comportamento de roteamento de tráfego.

O Firewall do Azure também dá suporte a marcas FQDN, que representam um grupo de FQDNs (nomes de domínio totalmente qualificados) associados ao Azure conhecido e a outros serviços da Microsoft. A Área de Trabalho Virtual do Azure não tem uma lista de intervalos de endereços de IP que você pode desbloquear em vez de FQDNs para permitir o tráfego de rede. Se você estiver usando um Firewall de Próxima Geração (NGFW), precisará usar uma lista dinâmica feita para os endereços de IP do Azure para garantir que você possa se conectar. Para obter mais informações, confira Usar o Firewall do Azure para proteger implantações da Área de Trabalho Virtual do Azure.

A Área de Trabalho Virtual do Azure tem uma marca de serviço e uma entrada de marca FQDN disponíveis. Recomendamos que você use marcas de serviço e marcas FQDN para simplificar a configuração de rede do Azure.

Máquinas virtuais do host da sessão

A tabela a seguir é a lista de FQDNs e pontos de extremidade que as VMs de host de sessão precisam acessar na Área de Trabalho Virtual do Azure. Todas as entradas são de saída; você não precisa abrir as portas de entrada da Área de Trabalho Virtual do Azure. Selecione a guia relevante com base em qual nuvem você está usando.

Endereço Protocolo Porta de saída Objetivo Marca de serviço
login.microsoftonline.com TCP 443 Autenticação no Microsoft Online Services AzureActiveDirectory
*.wvd.microsoft.com TCP 443 Tráfego de serviço WindowsVirtualDesktop
catalogartifact.azureedge.net TCP 443 Azure Marketplace AzureFrontDoor.Frontend
*.prod.warm.ingest.monitor.core.windows.net TCP 443 Tráfego de agente
Resultado do diagnóstico		 AzureMonitor
gcs.prod.monitoring.core.windows.net TCP 443 Tráfego de agente AzureMonitor
azkms.core.windows.net TCP 1688 Ativação do Windows Internet
mrsglobalsteus2prod.blob.core.windows.net TCP 443 Atualizações de pilha SXS (lado a lado) e do agente AzureStorage
wvdportalstorageblob.blob.core.windows.net TCP 443 Suporte do portal do Azure AzureCloud
169.254.169.254 TCP 80 Ponto de extremidade do Serviço de Metadados de Instância do Azure N/D
168.63.129.16 TCP 80 Monitoramento de integridade do host da sessão N/D
oneocsp.microsoft.com TCP 80 Certificados AzureFrontDoor.FirstParty
www.microsoft.com TCP 80 Certificados N/D

A tabela a seguir lista os FQDNs e pontos de extremidade opcionais que suas máquinas virtuais de host de sessão também podem precisar acessar em outros serviços:

Endereço Protocolo Porta de saída Objetivo Marca de serviço
login.windows.net TCP 443 Entrar nos Serviços Online da Microsoft e no Microsoft 365 AzureActiveDirectory
*.events.data.microsoft.com TCP 443 Serviço de telemetria N/D
www.msftconnecttest.com TCP 80 Detecta se o host da sessão está conectado à Internet N/D
*.prod.do.dsp.mp.microsoft.com TCP 443 Windows Update N/D
*.sfx.ms TCP 443 Atualizações do software cliente do OneDrive N/D
*.digicert.com TCP 80 Verificação de revogação do certificado N/D
*.azure-dns.com TCP 443 Resolução de DNS do Azure N/D
*.azure-dns.net TCP 443 Resolução de DNS do Azure N/D
*eh.servicebus.windows.net TCP 443 Configurações de Diagnóstico EventHub

Dica

Você deve usar o caractere coringa (*) nos FQDNs envolvendo o tráfego de serviço.

No tráfego do agente, se você preferir não usar um coringa, veja como encontrar FQDNs específicos para permitir:

  1. Verifique se os hosts da sessão estão registrados em um pool de hosts.
  2. Em um host de sessão, abra o Visualizador de eventos e acesse os Logs do Windows>Application>WVD-Agent e procure a ID do evento 3701.
  3. Desbloqueie os FQDNs que você encontrou na ID do evento 3701. Os FQDNs na ID do evento 3701 são específicos da região. Você precisa repetir esse processo com os FQDNs relevantes para cada região do Azure na qual deseja implantar seus hosts de sessão.

Dispositivos de usuário final

Qualquer dispositivo no qual você usa um dos clientes da Área de Trabalho Remota para se conectar à Área de Trabalho Virtual do Azure deve ter acesso aos seguintes FQDNs e pontos de extremidade. Permitir esses FQDNs e pontos de extremidade é essencial para uma experiência de cliente confiável. Não há suporte para o bloqueio do acesso a esses FQDNs e pontos de extremidade e afeta a funcionalidade do serviço.

Selecione a guia relevante com base em qual nuvem você está usando.

Endereço Protocolo Porta de saída Objetivo Cliente(s)
login.microsoftonline.com TCP 443 Autenticação no Microsoft Online Services Tudo
*.wvd.microsoft.com TCP 443 Tráfego de serviço Tudo
*.servicebus.windows.net TCP 443 Solucionar problemas de dados Tudo
go.microsoft.com TCP 443 FWLinks da Microsoft Tudo
aka.ms TCP 443 Redutor de URL da Microsoft Tudo
learn.microsoft.com TCP 443 Documentação Tudo
privacy.microsoft.com TCP 443 Política de privacidade Tudo
*.cdn.office.net TCP 443 Atualizações automáticas Área de Trabalho do Windows
graph.microsoft.com TCP 443 Tráfego de serviço Tudo
windows.cloud.microsoft TCP 443 Central de conexões Tudo
windows365.microsoft.com TCP 443 Tráfego de serviço Tudo
ecs.office.com TCP 443 Central de conexões Tudo

Se você estiver em uma rede fechada com acesso restrito à Internet, talvez também seja necessário permitir os FQDNs listados aqui para verificações de certificado: Detalhes da Autoridade de Certificação do Azure | Microsoft Learn.

Próximas etapas