Partilhar via

FQDNs e pontos de extremidade necessários para a Área de Trabalho Virtual do Azure

  • Artigo

Para implantar a Área de Trabalho Virtual do Azure e para que seus usuários se conectem, você deve permitir FQDNs e pontos de extremidade específicos. Os usuários também precisam ser capazes de se conectar a determinados FQDNs e pontos de extremidade para acessar seus recursos da Área de Trabalho Virtual do Azure. Este artigo lista os FQDNs e pontos de extremidade necessários que você precisa permitir para seus hosts e usuários de sessão.

Esses FQDNs e pontos de extremidade podem ser bloqueados se você estiver usando um firewall, como o Firewall do Azure ou o serviço de proxy. Para obter orientação sobre como usar um serviço de proxy com a Área de Trabalho Virtual do Azure, consulte Diretrizes de serviço de proxy para a Área de Trabalho Virtual do Azure.

Você pode verificar se suas VMs de host de sessão podem se conectar a esses FQDNs e pontos de extremidade seguindo as etapas para executar a Ferramenta de URL do Agente de Área de Trabalho Virtual do Azure em Verificar acesso aos FQDNs e pontos de extremidade necessários para a Área de Trabalho Virtual do Azure. A Ferramenta de URL do Agente de Área de Trabalho Virtual do Azure valida cada FQDN e ponto de extremidade e mostra se seus hosts de sessão podem acessá-los.

Importante

  • A Microsoft não oferece suporte a implantações de Área de Trabalho Virtual do Azure em que os FQDNs e pontos de extremidade listados neste artigo estão bloqueados.

  • Este artigo não inclui FQDNs e pontos de extremidade para outros serviços, como Microsoft Entra ID, Office 365, provedores de DNS personalizados ou serviços de tempo. Os FQDNs e pontos de extremidade do Microsoft Entra podem ser encontrados em ID 56, 59 e 125 em URLs e intervalos de endereços IP do Office 365.

Tags de serviço e tags FQDN

As tags de serviço representam grupos de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço incluídos pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam, minimizando a complexidade das atualizações frequentes das regras de segurança de rede. As tags de serviço podem ser usadas em regras para NSGs (Grupos de Segurança de Rede ) e Firewall do Azure para restringir o acesso à rede de saída. As tags de serviço também podem ser usadas em UDRs (User Defined Routes ) para personalizar o comportamento de roteamento de tráfego.

O Firewall do Azure também dá suporte a marcas FQDN, que representam um grupo de nomes de domínio totalmente qualificados (FQDNs) associados ao Azure e a outros serviços conhecidos da Microsoft. A Área de Trabalho Virtual do Azure não tem uma lista de intervalos de endereços IP que você pode desbloquear em vez de FQDNs para permitir o tráfego de rede. Se você estiver usando um Firewall de Próxima Geração (NGFW), precisará usar uma lista dinâmica criada para endereços IP do Azure para garantir que você possa se conectar. Para obter mais informações, consulte Usar o Firewall do Azure para proteger implantações da Área de Trabalho Virtual do Azure.

A Área de Trabalho Virtual do Azure tem uma tag de serviço e uma entrada de marca FQDN disponíveis. Recomendamos que você use tags de serviço e marcas FQDN para simplificar sua configuração de rede do Azure.

Máquinas virtuais de host de sessão

A tabela a seguir é a lista de FQDNs e pontos de extremidade que suas VMs de host de sessão precisam acessar para a Área de Trabalho Virtual do Azure. Todas as entradas são de saída; você não precisa abrir portas de entrada para a Área de Trabalho Virtual do Azure. Selecione a guia relevante com base na nuvem que você está usando.

Endereço Protocolo Porta de saída Propósito Etiqueta de serviço
login.microsoftonline.com TCP 443 Autenticação no Microsoft Online Services AzureActiveDirectory
*.wvd.microsoft.com TCP 443 Tráfego de serviço WindowsVirtualDesktop
catalogartifact.azureedge.net TCP 443 Azure Marketplace AzureFrontDoor.Frontend
*.prod.warm.ingest.monitor.core.windows.net TCP 443 Tráfego de agentes
Saída de diagnóstico		 AzureMonitor
gcs.prod.monitoring.core.windows.net TCP 443 Tráfego de agentes AzureMonitor
azkms.core.windows.net TCP 1688 Ativação do Windows Internet
mrsglobalsteus2prod.blob.core.windows.net TCP 443 Atualizações de agente e pilha lado a lado (SXS) AzureStorage
wvdportalstorageblob.blob.core.windows.net TCP 443 Suporte do portal do Azure AzureCloud
169.254.169.254 TCP 80 Ponto de extremidade do serviço de Metadados de Instância do Azure N/A
168.63.129.16 TCP 80 Monitoramento da integridade do host da sessão N/A
oneocsp.microsoft.com TCP 80 Certificados AzureFrontDoor.FirstParty
www.microsoft.com TCP 80 Certificados N/A

A tabela a seguir lista FQDNs opcionais e pontos de extremidade que suas máquinas virtuais de host de sessão também podem precisar acessar para outros serviços:

Endereço Protocolo Porta de saída Propósito Etiqueta de serviço
login.windows.net TCP 443 Entre no Microsoft Online Services e no Microsoft 365 AzureActiveDirectory
*.events.data.microsoft.com TCP 443 Serviço de Telemetria N/A
www.msftconnecttest.com TCP 80 Deteta se o host da sessão está conectado à Internet N/A
*.prod.do.dsp.mp.microsoft.com TCP 443 Windows Update N/A
*.sfx.ms TCP 443 Atualizações para o software cliente do OneDrive N/A
*.digicert.com TCP 80 Verificação de revogação de certificados N/A
*.azure-dns.com TCP 443 Resolução de DNS do Azure N/A
*.azure-dns.net TCP 443 Resolução de DNS do Azure N/A
*eh.servicebus.windows.net TCP 443 Definições de diagnóstico EventHub

Gorjeta

Você deve usar o caractere curinga (*) para FQDNs envolvendo tráfego de serviço.

Para o tráfego do agente, se você preferir não usar um curinga, veja como encontrar FQDNs específicos para permitir:

  1. Certifique-se de que os anfitriões de sessão estão registados num grupo de anfitriões.
  2. Em um host de sessão, abra o Visualizador de eventos, vá para Logs>do Windows Application>WVD-Agent e procure a ID de evento 3701.
  3. Desbloqueie os FQDNs encontrados no evento ID 3701. Os FQDNs sob o evento ID 3701 são específicos da região. Você precisa repetir esse processo com os FQDNs relevantes para cada região do Azure na qual deseja implantar seus hosts de sessão.

Dispositivos do utilizador final

Qualquer dispositivo no qual você use um dos clientes de Área de Trabalho Remota para se conectar à Área de Trabalho Virtual do Azure deve ter acesso aos seguintes FQDNs e pontos de extremidade. Permitir esses FQDNs e endpoints é essencial para uma experiência confiável do cliente. O bloqueio do acesso a esses FQDNs e pontos de extremidade não é suportado e afeta a funcionalidade do serviço.

Selecione a guia relevante com base na nuvem que você está usando.

Endereço Protocolo Porta de saída Propósito Cliente(s)
login.microsoftonline.com TCP 443 Autenticação no Microsoft Online Services Todos
*.wvd.microsoft.com TCP 443 Tráfego de serviço Todos
*.servicebus.windows.net TCP 443 Solução de problemas de dados Todos
go.microsoft.com TCP 443 Microsoft FWLinks Todos
aka.ms TCP 443 Encurtador de URL da Microsoft Todos
learn.microsoft.com TCP 443 Documentação Todos
privacy.microsoft.com TCP 443 Declaração de privacidade Todos
*.cdn.office.net TCP 443 Atualizações automáticas Área de trabalho do Windows
graph.microsoft.com TCP 443 Tráfego de serviço Todos
windows.cloud.microsoft TCP 443 Centro de conexões Todos
windows365.microsoft.com TCP 443 Tráfego de serviço Todos
ecs.office.com TCP 443 Centro de conexões Todos

Se você estiver em uma rede fechada com acesso restrito à Internet, talvez também seja necessário permitir os FQDNs listados aqui para verificações de certificado: Detalhes da Autoridade de Certificação do Azure | Microsoft Learn.

Próximos passos