Requisitos de rede do Microsoft Dev Box
O Microsoft Dev Box é um serviço que permite aos utilizadores ligarem-se a uma estação de trabalho baseada na nuvem em execução no Azure através da Internet, a partir de qualquer dispositivo em qualquer lugar. Para suportar essas conexões com a Internet, você deve seguir os requisitos de rede listados neste artigo. Você deve trabalhar com a equipe de rede e a equipe de segurança da sua organização para planejar e implementar o acesso à rede para caixas de desenvolvimento.
A caixa de desenvolvimento da Microsoft está intimamente relacionada aos serviços de Área de Trabalho Virtual do Windows 365 e do Azure e, em muitos casos, os requisitos de rede são os mesmos.
Requisitos gerais da rede
As caixas de desenvolvimento exigem uma conexão de rede para acessar recursos. Você pode escolher entre uma conexão de rede hospedada pela Microsoft e uma conexão de rede do Azure que você cria em sua própria assinatura. A escolha de um método para permitir o acesso aos recursos da rede depende de onde os recursos estão baseados.
Ao usar uma conexão hospedada pela Microsoft:
- A Microsoft fornece e gerencia totalmente a infraestrutura.
- Pode gerir a segurança da caixa de desenvolvimento a partir do Microsoft Intune.
Para usar sua própria rede e provisionar caixas de desenvolvimento associadas ao Microsoft Entra, você deve atender aos seguintes requisitos:
- Rede virtual do Azure: você deve ter uma rede virtual em sua assinatura do Azure. A região selecionada para a rede virtual é onde o Azure implanta as caixas de desenvolvimento.
- Uma sub-rede na rede virtual e espaço de endereços IP disponível.
- Largura de banda de rede: consulte as diretrizes de rede do Azure.
Para usar sua própria rede e provisionar caixas de desenvolvimento híbridas associadas ao Microsoft Entra, você deve atender aos requisitos acima e aos seguintes requisitos:
- A rede virtual do Azure deve ser capaz de resolver entradas DNS (Serviços de Nomes de Domínio) para o seu ambiente dos Serviços de Domínio Ative Directory (AD DS). Para dar suporte a essa resolução, defina seus servidores AD DS DNS como os servidores DNS da rede virtual.
- A rede virtual do Azure deve ter acesso de rede a um controlador de domínio corporativo, no Azure ou localmente.
Importante
Ao usar sua própria rede, o Microsoft Dev Box atualmente não oferece suporte à movimentação de interfaces de rede para uma rede virtual diferente ou uma sub-rede diferente.
Permitir conectividade de rede
Na configuração de rede, você deve permitir o tráfego para as seguintes URLs e portas de serviço para oferecer suporte ao provisionamento, gerenciamento e conectividade remota de caixas de desenvolvimento.
FQDNs e pontos de extremidade necessários para o Microsoft Dev Box
Para configurar caixas de desenvolvimento e permitir que seus usuários se conectem a recursos, você deve permitir o tráfego para FQDNs (nomes de domínio totalmente qualificados) e pontos de extremidade específicos. Esses FQDNs e pontos de extremidade podem ser bloqueados se você estiver usando um firewall, como o Firewall do Azure ou o serviço de proxy.
Você pode verificar se suas caixas de desenvolvimento podem se conectar a esses FQDNs e pontos de extremidade seguindo as etapas para executar a Ferramenta de URL do Agente de Área de Trabalho Virtual do Azure em Verificar o acesso aos FQDNs e pontos de extremidade necessários para a Área de Trabalho Virtual do Azure. A Ferramenta de URL do Agente de Área de Trabalho Virtual do Azure valida cada FQDN e ponto de extremidade e mostra se suas caixas de desenvolvimento podem acessá-los.
Importante
A Microsoft não oferece suporte a implantações de caixa de desenvolvimento em que os FQDNs e pontos de extremidade listados neste artigo estão bloqueados.
Usar marcas FQDN e tags de serviço para pontos de extremidade por meio do Firewall do Azure
O gerenciamento de controles de segurança de rede para caixas de desenvolvimento pode ser complexo. Para simplificar a configuração, use tags de nome de domínio totalmente qualificado (FQDN) e tags de serviço para permitir o tráfego de rede.
Tags FQDN
Uma marca FQDN é uma marca predefinida no Firewall do Azure que representa um grupo de nomes de domínio totalmente qualificados. Usando tags FQDN, você pode facilmente criar e manter regras de saída para serviços específicos, como o Windows 365, sem especificar manualmente cada nome de domínio.
Os agrupamentos definidos pelas tags FQDN podem se sobrepor. Por exemplo, a marca FQDN do Windows365 inclui pontos de extremidade AVD para portas padrão, consulte referência.
Os firewalls que não são da Microsoft geralmente não suportam tags FQDN ou tags de serviço. Pode haver um termo diferente para a mesma funcionalidade; Verifique a documentação do firewall.
Etiquetas de serviço
Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço incluídos pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam, minimizando a complexidade das atualizações frequentes das regras de segurança de rede. As tags de serviço podem ser usadas nas regras do NSG (Grupo de Segurança de Rede) e do Firewall do Azure para restringir o acesso à rede de saída e na UDR (Rota Definida pelo Usuário) para personalizar o comportamento de roteamento de tráfego.
Pontos de extremidade necessários para conectividade de rede de dispositivo físico
Embora a maior parte da configuração seja para a rede de caixa de desenvolvimento baseada em nuvem, a conectividade do usuário final ocorre a partir de um dispositivo físico. Portanto, você também deve seguir as diretrizes de conectividade na rede do dispositivo físico.
| Dispositivo ou serviço | Conectividade de rede necessária URLs e portas | Description | Necessária? |
|---|---|---|---|
| Dispositivo físico | Ligação | Conectividade e atualizações do cliente de Área de Trabalho Remota. | Sim |
| Serviço do Microsoft Intune | Ligação | Serviços na nuvem do Intune, como gestão de dispositivos, entrega de aplicações e análise de pontos finais. | Sim |
| Máquina virtual de host de sessão da Área de Trabalho Virtual do Azure | Ligação | Conectividade remota entre caixas de desenvolvimento e o serviço de back-end da Área de Trabalho Virtual do Azure. | Sim |
| Serviço Windows 365 | Ligação | Provisionamento e verificações de integridade. | Sim |
Qualquer dispositivo usado para se conectar a uma caixa de desenvolvimento deve ter acesso aos seguintes FQDNs e pontos de extremidade. Permitir esses FQDNs e endpoints é essencial para uma experiência confiável do cliente. O bloqueio do acesso a esses FQDNs e pontos de extremidade não é suportado e afeta a funcionalidade do serviço.
| Endereço | Protocolo | Porta de saída | Propósito | Clientes | Necessária? |
|---|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | Autenticação no Microsoft Online Services | Todos | Sim |
| *.wvd.microsoft.com | TCP | 443 | Tráfego de serviço | Todos | Sim |
| *.servicebus.windows.net | TCP | 443 | Solução de problemas de dados | Todos | Sim |
| go.microsoft.com | TCP | 443 | Microsoft FWLinks | Todos | Sim |
| aka.ms | TCP | 443 | Encurtador de URL da Microsoft | Todos | Sim |
| learn.microsoft.com | TCP | 443 | Documentação | Todos | Sim |
| privacy.microsoft.com | TCP | 443 | Declaração de privacidade | Todos | Sim |
| query.prod.cms.rt.microsoft.com | TCP | 443 | Faça o download de um MSI para atualizar o cliente. Necessário para atualizações automáticas. | Windows Desktop | Sim |
Esses FQDNs e pontos de extremidade correspondem apenas a sites e recursos do cliente.
Pontos de extremidade necessários para provisionamento de caixa de desenvolvimento
As URLs e portas a seguir são necessárias para o provisionamento de caixas de desenvolvimento e as verificações de integridade da Conexão de Rede do Azure (ANC). Todos os pontos de extremidade se conectam pela porta 443, a menos que especificado de outra forma.
| Categoria | Pontos finais | Tag FQDN ou etiqueta de serviço | Necessária? |
|---|---|---|---|
| Pontos de extremidade de comunicação da caixa de desenvolvimento | .agentmanagement.dc.azure.com .cmdagent.trafficmanager.net |
N/A | Sim |
| Pontos de extremidade de serviço e registro do Windows 365 | Para obter os pontos de extremidade de registro atuais do Windows 365, consulte Requisitos de rede do Windows 365. | Tag FQDN: Windows365 | Sim |
| Pontos de extremidade do serviço de Área de Trabalho Virtual do Azure | Para pontos de extremidade de serviço AVD atuais, consulte Máquinas virtuais de host de sessão. | FQDN tag: WindowsVirtualDesktop | Sim |
| Microsoft Entra ID | FQDNs e pontos de extremidade para o Microsoft Entra ID podem ser encontrados em ID 56, 59 e 125 em URLs e intervalos de endereços IP do Office 365. | Etiqueta de serviço: AzureActiveDirectory | Sim |
| Microsoft Intune | Para FQDNs e pontos de extremidade atuais para o Microsoft Entra ID, consulte Serviço principal do Intune. | Tag FQDN: MicrosoftIntune | Sim |
Os FQDNs listados e pontos de extremidade e tags correspondem aos recursos necessários. Eles não incluem FQDNs e pontos de extremidade para todos os serviços. Para tags de serviço para outros serviços, consulte Tags de serviço disponíveis.
A Área de Trabalho Virtual do Azure não tem uma lista de intervalos de endereços IP que você pode desbloquear em vez de FQDNs para permitir o tráfego de rede. Se você estiver usando um Firewall de Próxima Geração (NGFW), precisará usar uma lista dinâmica criada para endereços IP do Azure para garantir que você possa se conectar.
Para obter mais informações, consulte Usar o Firewall do Azure para gerenciar e proteger ambientes do Windows 365.
A tabela a seguir é a lista de FQDNs e pontos de extremidade que suas caixas de desenvolvimento precisam acessar. Todas as entradas são de saída; Você não precisa abrir portas de entrada para caixas de desenvolvimento.
| Endereço | Protocolo | Porta de saída | Propósito | Etiqueta de serviço | Necessária? |
|---|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | Autenticação no Microsoft Online Services | AzureActiveDirectory | Sim |
| *.wvd.microsoft.com | TCP | 443 | Tráfego de serviço | WindowsVirtualDesktop | Sim |
| *.prod.warm.ingest.monitor.core.windows.net | TCP | 443 | Saída de diagnóstico de tráfego do agente | AzureMonitor | Sim |
| catalogartifact.azureedge.net | TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend | Sim |
| gcs.prod.monitoring.core.windows.net | TCP | 443 | Tráfego de agentes | AzureCloud | Sim |
| kms.core.windows.net | TCP | 1688 | Ativação do Windows | Internet | Sim |
| azkms.core.windows.net | TCP | 1688 | Ativação do Windows | Internet | Sim |
| mrsglobalsteus2prod.blob.core.windows.net | TCP | 443 | Atualizações de agente e pilha lado a lado (SXS) | AzureCloud | Sim |
| wvdportalstorageblob.blob.core.windows.net | TCP | 443 | Suporte do portal do Azure | AzureCloud | Sim |
| 169.254.169.254 | TCP | 80 | Ponto de extremidade do serviço de Metadados de Instância do Azure | N/A | Sim |
| 168.63.129.16 | TCP | 80 | Monitoramento da integridade do host da sessão | N/A | Sim |
| oneocsp.microsoft.com | TCP | 80 | Certificados | N/A | Sim |
| www.microsoft.com | TCP | 80 | Certificados | N/A | Sim |
A tabela a seguir lista FQDNs opcionais e pontos de extremidade que suas máquinas virtuais de host de sessão também podem precisar acessar para outros serviços:
| Endereço | Protocolo | Porta de saída | Propósito | Necessária? |
|---|---|---|---|---|
| login.windows.net | TCP | 443 | Entre no Microsoft Online Services e no Microsoft 365 | Opcional |
| *.events.data.microsoft.com | TCP | 443 | Serviço de Telemetria | Opcional |
| www.msftconnecttest.com | TCP | 80 | Deteta se o host da sessão está conectado à Internet | Opcional |
| *.prod.do.dsp.mp.microsoft.com | TCP | 443 | Windows Update | Opcional |
| *.sfx.ms | TCP | 443 | Atualizações para o software cliente do OneDrive | Opcional |
| *.digicert.com | TCP | 80 | Verificação de revogação de certificados | Opcional |
| *.azure-dns.com | TCP | 443 | Resolução de DNS do Azure | Opcional |
| *.azure-dns.net | TCP | 443 | Resolução de DNS do Azure | Opcional |
Esta lista não inclui FQDNs e pontos de extremidade para outros serviços, como Microsoft Entra ID, Office 365, provedores de DNS personalizados ou serviços de tempo. Os FQDNs e pontos de extremidade do Microsoft Entra podem ser encontrados em ID 56, 59 e 125 em URLs e intervalos de endereços IP do Office 365.
Gorjeta
Você deve usar o caractere curinga (*) para FQDNs envolvendo tráfego de serviço. Para o tráfego do agente, se você preferir não usar um curinga, veja como encontrar FQDNs específicos para permitir:
- Verifique se as máquinas virtuais do host de sessão estão registradas em um pool de hosts.
- Em um host de sessão, abra o Visualizador de eventos, vá para Logs>do Windows Application>WVD-Agent e procure a ID de evento 3701.
- Desbloqueie os FQDNs encontrados no evento ID 3701. Os FQDNs sob o evento ID 3701 são específicos da região. Você precisará repetir esse processo com os FQDNs relevantes para cada região do Azure na qual deseja implantar suas máquinas virtuais de host de sessão.
Pontos de extremidade do serviço de agente do protocolo RDP (Remote Desktop Protocol)
A conectividade direta com os pontos de extremidade do serviço de agente RDP da Área de Trabalho Virtual do Azure é crítica para o desempenho remoto de uma caixa de desenvolvimento. Esses pontos de extremidade afetam a conectividade e a latência. Para se alinhar com os princípios de conectividade de rede do Microsoft 365, você deve categorizar esses pontos de extremidade como Pontos de extremidade Otimizar e usar um caminho curto do protocolo RDP (Remote Desktop Protocol ) da sua rede virtual do Azure para esses pontos de extremidade. O RDP Shortpath pode fornecer outro caminho de conexão para melhorar a conectividade da caixa de desenvolvimento, especialmente em condições de rede subótimas.
Para facilitar a configuração de controles de segurança de rede, use as tags de serviço da Área de Trabalho Virtual do Azure para identificar esses pontos de extremidade para roteamento direto usando uma UDR (Rota Definida pelo Usuário de Rede do Azure). Um UDR resulta em roteamento direto entre sua rede virtual e o agente RDP para menor latência.
Alterar as rotas de rede de uma caixa de desenvolvimento (na camada de rede ou na camada de caixa de desenvolvimento, como VPN) pode quebrar a conexão entre a caixa de desenvolvimento e o agente RDP da Área de Trabalho Virtual do Azure. Em caso afirmativo, o usuário final será desconectado de sua caixa de desenvolvimento até que uma conexão seja restabelecida.
Requisitos de DNS
Como parte dos requisitos de associação híbrida do Microsoft Entra, suas caixas de desenvolvimento devem ser capazes de ingressar no Ative Directory local. As caixas de desenvolvimento devem ser capazes de resolver registros DNS para que seu ambiente AD local ingresse.
Configure sua Rede Virtual do Azure onde as caixas de desenvolvimento são provisionadas da seguinte maneira:
- Certifique-se de que sua Rede Virtual do Azure tenha conectividade de rede com servidores DNS que possam resolver seu domínio do Ative Directory.
- Nas Configurações da Rede Virtual do Azure, selecione Servidores DNS>Personalizados.
- Insira o endereço IP dos servidores DNS desse ambiente que pode resolver seu domínio do AD DS.
Gorjeta
Adicionar pelo menos dois servidores DNS, como faria com um PC físico, ajuda a reduzir o risco de um único ponto de falha na resolução de nomes. Para obter mais informações, consulte Definindo as configurações das Redes Virtuais do Azure.
Conectando-se a recursos locais
Você pode permitir que as caixas de desenvolvimento se conectem a recursos locais por meio de uma conexão híbrida. Trabalhe com seu especialista em rede do Azure para implementar uma topologia de rede hub e spoke. O hub é o ponto central que se conecta à sua rede local; você pode usar uma Rota Expressa, uma VPN site a site ou uma VPN ponto a site. O spoke é a rede virtual que contém as caixas de desenvolvimento. A topologia Hub and spoke pode ajudá-lo a gerenciar o tráfego e a segurança da rede. Você emparelha a rede virtual da caixa de desenvolvimento com a rede virtual conectada local para fornecer acesso aos recursos locais.
Tecnologias de interceção de tráfego
Alguns clientes corporativos usam intercetação de tráfego, descriptografia TLS, inspeção profunda de pacotes e outras tecnologias semelhantes para que as equipes de segurança monitorem o tráfego da rede. Essas tecnologias de intercetação de tráfego podem causar problemas com a execução de verificações de conexão de rede do Azure ou provisionamento de caixa de desenvolvimento. Certifique-se de que nenhuma intercetação de rede seja imposta para caixas de desenvolvimento provisionadas no Microsoft Dev Box.
As tecnologias de interceção de tráfego podem exacerbar os problemas de latência. Você pode usar um shortpath RDP (Remote Desktop Protocol) para ajudar a minimizar problemas de latência.
Resolução de Problemas
Esta seção aborda alguns problemas comuns de conexão e rede.
Problemas de ligação
Falha na tentativa de logon
Se o usuário da caixa de desenvolvimento encontrar problemas de entrada e vir uma mensagem de erro indicando que a tentativa de entrada falhou, certifique-se de habilitar o protocolo PKU2U no PC local e no host da sessão.
Para obter mais informações sobre como solucionar erros de entrada, consulte Solucionar problemas de conexões com VMs ingressadas do Microsoft Entra - cliente de área de trabalho do Windows.
Problemas de diretiva de grupo em ambientes híbridos
Se estiver a utilizar um ambiente híbrido, poderá encontrar problemas de política de grupo. Você pode testar se o problema está relacionado à diretiva de grupo excluindo temporariamente a caixa de desenvolvimento da diretiva de grupo.
Para obter mais informações sobre como solucionar problemas de diretiva de grupo, consulte Aplicando diretrizes de solução de problemas de Diretiva de Grupo.
Problemas de endereçamento de IPv6
Se você estiver enfrentando problemas de IPv6, verifique se o ponto de extremidade do serviço Microsoft.AzureActiveDirectory não está habilitado na rede virtual ou na sub-rede. Este ponto de extremidade de serviço converte o IPv4 em IPv6.
Para obter mais informações, consulte Pontos de extremidade de serviço de Rede Virtual.
Atualizando problemas de imagem de definição de caixa de desenvolvimento
Ao atualizar a imagem usada em uma definição de caixa de desenvolvimento, você deve garantir que tenha endereços IP suficientes disponíveis em sua rede virtual. São necessários mais endereços IP gratuitos para a verificação do estado de funcionamento da ligação de Rede do Azure. Se a verificação de integridade falhar, a definição da caixa de desenvolvimento não será atualizada. Você precisa de um endereço IP extra por caixa de desenvolvimento e um endereço IP para a verificação de integridade e a infraestrutura da Caixa de Desenvolvimento.
Para obter mais informações sobre como atualizar imagens de definição de caixa de desenvolvimento, consulte Atualizar uma definição de caixa de desenvolvimento.
Conteúdos relacionados
- Verifique o acesso aos FQDNs e pontos de extremidade necessários para a Área de Trabalho Virtual do Azure.
- Saiba como desbloquear esses FQDNs e pontos de extremidade no Firewall do Azure, consulte Usar o Firewall do Azure para proteger a Área de Trabalho Virtual do Azure.
- Para obter mais informações sobre conectividade de rede, consulte Noções básicas sobre conectividade de rede da Área de Trabalho Virtual do Azure.