Krav för Microsoft Dev Box-nätverk
Microsoft Dev Box är en tjänst som låter användare ansluta till en molnbaserad arbetsstation som körs i Azure via Internet, från valfri enhet var som helst. Om du vill ha stöd för dessa internetanslutningar måste du följa de nätverkskrav som anges i den här artikeln. Du bör samarbeta med organisationens nätverksteam och säkerhetsteam för att planera och implementera nätverksåtkomst för dev-rutor.
Microsoft Dev box är nära relaterat till Windows 365- och Azure Virtual Desktop-tjänsterna, och i många fall är nätverkskraven desamma.
Allmänna nätverkskrav
Dev-rutor kräver en nätverksanslutning för att få åtkomst till resurser. Du kan välja mellan en Microsoft-värdbaserad nätverksanslutning och en Azure-nätverksanslutning som du skapar i din egen prenumeration. Att välja en metod för att tillåta åtkomst till dina nätverksresurser beror på var dina resurser är baserade.
När du använder en Microsoft-värdbaserad anslutning:
- Microsoft tillhandahåller och hanterar infrastrukturen fullständigt.
- Du kan hantera dev box-säkerhet från Microsoft Intune.
Om du vill använda ditt eget nätverk och etablera Microsoft Entra-anslutna dev-rutor måste du uppfylla följande krav:
- Virtuellt Azure-nätverk: Du måste ha ett virtuellt nätverk i din Azure-prenumeration. Den region som du väljer för det virtuella nätverket är den region där Azure distribuerar utvecklingsrutorna.
- Ett undernät i det virtuella nätverket och tillgängligt IP-adressutrymme.
- Nätverksbandbredd: Se Riktlinjerna för Azure-nätverk.
Om du vill använda ditt eget nätverk och etablera Microsoft Entra hybrid-kopplade dev-rutor måste du uppfylla ovanstående krav och följande krav:
- Det virtuella Azure-nätverket måste kunna matcha DNS-poster (Domain Name Services) för din Active Directory-domän Services-miljö (AD DS). För att stödja den här lösningen definierar du DINA AD DS DNS-servrar som DNS-servrar för det virtuella nätverket.
- Det virtuella Azure-nätverket måste ha nätverksåtkomst till en företagsdomänkontrollant, antingen i Azure eller lokalt.
Viktigt!
När du använder ditt eget nätverk har Microsoft Dev Box för närvarande inte stöd för att flytta nätverksgränssnitt till ett annat virtuellt nätverk eller ett annat undernät.
Tillåt nätverksanslutning
I nätverkskonfigurationen måste du tillåta trafik till följande tjänst-URL:er och portar för att stödja etablering, hantering och fjärranslutning av dev-rutor.
Nödvändiga FQDN:er och slutpunkter för Microsoft Dev Box
Om du vill konfigurera dev-rutor och tillåta att användarna ansluter till resurser måste du tillåta trafik för specifika fullständigt kvalificerade domännamn (FQDN) och slutpunkter. Dessa FQDN:er och slutpunkter kan blockeras om du använder en brandvägg, till exempel Azure Firewall eller proxytjänst.
Du kan kontrollera att dina utvecklingsrutor kan ansluta till dessa FQDN och slutpunkter genom att följa stegen för att köra URL-verktyget för Azure Virtual Desktop-agenten i Kontrollera åtkomsten till nödvändiga FQDN:er och slutpunkter för Azure Virtual Desktop. URL-verktyget för Azure Virtual Desktop-agenten verifierar varje FQDN och slutpunkt och visar om dina dev-rutor kan komma åt dem.
Viktigt!
Microsoft stöder inte dev box-distributioner där FQDN och slutpunkter som anges i den här artikeln blockeras.
Använda FQDN-taggar och tjänsttaggar för slutpunkter via Azure Firewall
Det kan vara komplicerat att hantera nätverkssäkerhetskontroller för dev-rutor. För att förenkla konfigurationen använder du fullständigt kvalificerade domännamnstaggar (FQDN) och tjänsttaggar för att tillåta nätverkstrafik.
FQDN-taggar
En FQDN-tagg är en fördefinierad tagg i Azure Firewall som representerar en grupp med fullständigt kvalificerade domännamn. Genom att använda FQDN-taggar kan du enkelt skapa och underhålla utgående regler för specifika tjänster som Windows 365 utan att ange varje domännamn manuellt.
Grupperingarna som definieras av FQDN-taggar kan överlappa varandra. Till exempel innehåller Windows365 FQDN-taggen AVD-slutpunkter för standardportar, se referens.
Brandväggar som inte kommer från Microsoft stöder vanligtvis inte FQDN-taggar eller tjänsttaggar. Det kan finnas en annan term för samma funktioner. kontrollera brandväggsdokumentationen.
Tjänsttaggar
En tjänsttagg representerar en grupp IP-adressprefix från en viss Azure-tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras, vilket minimerar komplexiteten i frekventa uppdateringar av nätverkssäkerhetsregler. Tjänsttaggar kan användas i både NSG (Network Security Group) och Azure Firewall-regler för att begränsa utgående nätverksåtkomst och i Användardefinierad väg (UDR) för att anpassa trafikroutningsbeteende.
Nödvändiga slutpunkter för nätverksanslutning för fysiska enheter
Även om det mesta av konfigurationen gäller för det molnbaserade dev box-nätverket sker slutanvändaranslutningen från en fysisk enhet. Därför måste du också följa anslutningsriktlinjerna för det fysiska enhetsnätverket.
| Enhet eller tjänst | Nödvändiga URL:er och portar för nätverksanslutning | beskrivning | Obligatorisk? |
|---|---|---|---|
| Fysisk enhet | Länk | Anslutning och uppdateringar för fjärrskrivbordsklienten. | Ja |
| Tjänsten Microsoft Intune | Länk | Intune-molntjänster som enhetshantering, programleverans och slutpunktsanalys. | Ja |
| Virtuell Azure Virtual Desktop-sessionsvärd för virtuell dator | Länk | Fjärranslutning mellan dev-rutor och serverdelens Azure Virtual Desktop-tjänst. | Ja |
| Windows 365-tjänsten | Länk | Etablerings- och hälsokontroller. | Ja |
Alla enheter som du använder för att ansluta till en utvecklingsruta måste ha åtkomst till följande FQDN och slutpunkter. Att tillåta dessa FQDN:er och slutpunkter är viktigt för en tillförlitlig klientupplevelse. Blockera åtkomst till dessa FQDN:er och slutpunkter stöds inte och påverkar tjänstens funktioner.
| Adress | Protokoll | Utgående port | Syfte | Klienter | Obligatorisk? |
|---|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | Autentisering till Microsoft Online Services | Allt | Ja |
| *.wvd.microsoft.com | TCP | 443 | Tjänsttrafik | Allt | Ja |
| *.servicebus.windows.net | TCP | 443 | Felsöka data | Allt | Ja |
| go.microsoft.com | TCP | 443 | Microsoft FWLinks | Allt | Ja |
| aka.ms | TCP | 443 | Microsoft URL-kortare | Allt | Ja |
| learn.microsoft.com | TCP | 443 | Dokumentation | Allt | Ja |
| privacy.microsoft.com | TCP | 443 | Sekretesspolicy | Allt | Ja |
| query.prod.cms.rt.microsoft.com | TCP | 443 | Ladda ned en MSI för att uppdatera klienten. Krävs för automatiska uppdateringar. | Windows-skrivbordet | Ja |
Dessa FQDN:er och slutpunkter motsvarar endast klientplatser och resurser.
Nödvändiga slutpunkter för dev box-etablering
Följande URL:er och portar krävs för etablering av dev-rutor och hälsokontroller för Azure Network Connection (ANC). Alla slutpunkter ansluter via port 443 om inget annat anges.
| Kategori | Slutpunkter | FQDN-tagg eller tjänsttagg | Obligatorisk? |
|---|---|---|---|
| Slutpunkter för Dev box-kommunikation | .agentmanagement.dc.azure.com .cmdagent.trafficmanager.net |
Ej tillämpligt | Ja |
| Windows 365-tjänst- och registreringsslutpunkter | Aktuella windows 365-registreringsslutpunkter finns i Nätverkskraven för Windows 365. | FQDN-tagg: Windows365 | Ja |
| Tjänstslutpunkter för Azure Virtual Desktop | Aktuella AVD-tjänstslutpunkter finns i Sessionsvärd för virtuella datorer. | FQDN-tagg: WindowsVirtualDesktop | Ja |
| Microsoft Entra ID | FQDN och slutpunkter för Microsoft Entra-ID finns under ID 56, 59 och 125 i Office 365-URL:er och IP-adressintervall. | Tjänsttagg: AzureActiveDirectory | Ja |
| Microsoft Intune | Aktuella FQDN:er och slutpunkter för Microsoft Entra-ID finns i Intune-kärntjänsten. | FQDN-tagg: MicrosoftIntune | Ja |
De listade FQDN:erna och slutpunkterna och taggarna motsvarar de resurser som krävs. De innehåller inte FQDN och slutpunkter för alla tjänster. Tjänsttaggar för andra tjänster finns i Tillgängliga tjänsttaggar.
Azure Virtual Desktop har ingen lista över IP-adressintervall som du kan avblockera i stället för FQDN för att tillåta nätverkstrafik. Om du använder en nästa generations brandvägg (NGFW) måste du använda en dynamisk lista som gjorts för Azure IP-adresser för att se till att du kan ansluta.
Mer information finns i Använda Azure Firewall för att hantera och skydda Windows 365-miljöer.
Följande tabell är en lista över FQDN:er och slutpunkter som dina dev-rutor behöver åtkomst till. Alla poster är utgående. du behöver inte öppna inkommande portar för dev-rutor.
| Adress | Protokoll | Utgående port | Syfte | Tjänsttagg | Obligatorisk? |
|---|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | Autentisering till Microsoft Online Services | AzureActiveDirectory | Ja |
| *.wvd.microsoft.com | TCP | 443 | Tjänsttrafik | WindowsVirtualDesktop | Ja |
| *.prod.warm.ingest.monitor.core.windows.net | TCP | 443 | Diagnostikutdata för agenttrafik | AzureMonitor | Ja |
| catalogartifact.azureedge.net | TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend | Ja |
| gcs.prod.monitoring.core.windows.net | TCP | 443 | Agenttrafik | AzureCloud | Ja |
| kms.core.windows.net | TCP | 1688 | Windows-aktivering | Internet | Ja |
| azkms.core.windows.net | TCP | 1688 | Windows-aktivering | Internet | Ja |
| mrsglobalsteus2prod.blob.core.windows.net | TCP | 443 | Uppdateringar av agent- och SXS-stackar (sida vid sida) | AzureCloud | Ja |
| wvdportalstorageblob.blob.core.windows.net | TCP | 443 | Azure Portal support | AzureCloud | Ja |
| 169.254.169.254 | TCP | 80 | Tjänstslutpunkt för Azure Instance Metadata | Ej tillämpligt | Ja |
| 168.63.129.16 | TCP | 80 | Hälsoövervakning av sessionsvärd | Ej tillämpligt | Ja |
| oneocsp.microsoft.com | TCP | 80 | Certifikat | Ej tillämpligt | Ja |
| www.microsoft.com | TCP | 80 | Certifikat | Ej tillämpligt | Ja |
I följande tabell visas valfria FQDN:er och slutpunkter som din session är värd för virtuella datorer kan också behöva komma åt för andra tjänster:
| Adress | Protokoll | Utgående port | Syfte | Obligatorisk? |
|---|---|---|---|---|
| login.windows.net | TCP | 443 | Logga in på Microsoft Online Services och Microsoft 365 | Valfritt |
| *.events.data.microsoft.com | TCP | 443 | Telemetry Service | Valfritt |
| www.msftconnecttest.com | TCP | 80 | Identifierar om sessionsvärden är ansluten till Internet | Valfritt |
| *.prod.do.dsp.mp.microsoft.com | TCP | 443 | Windows Update | Valfritt |
| *.sfx.ms | TCP | 443 | Uppdateringar för OneDrive-klientprogramvara | Valfritt |
| *.digicert.com | TCP | 80 | Kontroll av återkallade certifikat | Valfritt |
| *.azure-dns.com | TCP | 443 | Azure DNS-matchning | Valfritt |
| *.azure-dns.net | TCP | 443 | Azure DNS-matchning | Valfritt |
Den här listan innehåller inte FQDN och slutpunkter för andra tjänster som Microsoft Entra-ID, Office 365, anpassade DNS-leverantörer eller tidstjänster. Microsoft Entra FQDN och slutpunkter finns under ID 56, 59 och 125 i Office 365-URL:er och IP-adressintervall.
Dricks
Du måste använda jokertecknet (*) för FQDN som involverar tjänsttrafik. För agenttrafik, om du föredrar att inte använda ett jokertecken, så här hittar du specifika FQDN:er som tillåter:
- Kontrollera att dina virtuella sessionsvärddatorer är registrerade i en värdpool.
- Öppna Loggboken på en sessionsvärd och gå sedan till Windows-loggar>Program>WVD-Agent och leta efter händelse-ID 3701.
- Avblockera de FQDN:er som du hittar under händelse-ID 3701. FQDN:erna under händelse-ID 3701 är regionspecifika. Du måste upprepa den här processen med relevanta FQDN för varje Azure-region som du vill distribuera sessionsvärdens virtuella datorer i.
Tjänstslutpunkter för fjärrskrivbordsprotokoll (RDP)
Direktanslutning till Azure Virtual Desktop RDP-koordinatortjänstslutpunkter är avgörande för fjärrprestanda till en utvecklingsruta. Dessa slutpunkter påverkar både anslutning och svarstid. Om du vill anpassa dig till principerna för Microsoft 365-nätverksanslutning bör du kategorisera dessa slutpunkter som Optimera slutpunkter och använda en RDP-kortväg (Remote Desktop Protocol) från ditt virtuella Azure-nätverk till dessa slutpunkter. RDP Shortpath kan ge en annan anslutningssökväg för förbättrad dev box-anslutning, särskilt i underoptimala nätverksförhållanden.
Om du vill göra det enklare att konfigurera nätverkssäkerhetskontroller använder du Azure Virtual Desktop-tjänsttaggar för att identifiera dessa slutpunkter för direkt routning med hjälp av en Användardefinierad väg för Azure-nätverk (UDR). En UDR resulterar i direktdirigering mellan ditt virtuella nätverk och RDP-koordinatorn för lägsta svarstid.
Om du ändrar nätverksvägarna för en utvecklingsruta (i nätverksskiktet eller på dev box-lagret som VPN) kan anslutningen mellan utvecklingsrutan och Azure Virtual Desktop RDP-koordinatorn brytas. I så fall kopplas slutanvändaren från utvecklingsrutan tills en anslutning återupprättas.
DNS-krav
Som en del av kraven för Microsoft Entra-hybridanslutning måste dina utvecklingsrutor kunna ansluta lokal Active Directory. Dev-rutor måste kunna matcha DNS-poster för att din lokala AD-miljö ska kunna ansluta.
Konfigurera ditt virtuella Azure-nätverk där utvecklingsrutorna etableras på följande sätt:
- Kontrollera att ditt virtuella Azure-nätverk har nätverksanslutning till DNS-servrar som kan matcha din Active Directory-domän.
- Välj Anpassade DNS-servrar>i Azure Virtual Network-inställningarna.
- Ange IP-adressen för DNS-servrar som kan matcha din AD DS-domän.
Dricks
Genom att lägga till minst två DNS-servrar, precis som med en fysisk dator, kan du minska risken för en enskild felpunkt i namnmatchningen. Mer information finns i konfigurera inställningar för virtuella Azure-nätverk.
Ansluta till lokala resurser
Du kan tillåta att dev-rutor ansluter till lokala resurser via en hybridanslutning. Samarbeta med azure-nätverksexperten för att implementera en nätverkstopologi för nav och ekrar. Hubben är den centrala punkten som ansluter till ditt lokala nätverk. du kan använda en Express Route, ett plats-till-plats-VPN eller ett punkt-till-plats-VPN. Ekern är det virtuella nätverk som innehåller dev-rutorna. Nav- och ekertopologi kan hjälpa dig att hantera nätverkstrafik och säkerhet. Du peerkopplar det virtuella dev box-nätverket till det lokala anslutna virtuella nätverket för att ge åtkomst till lokala resurser.
Tekniker för trafikavlyssning
Vissa företagskunder använder trafikavlyssning, TLS-dekryptering, djup paketinspektion och andra liknande tekniker för säkerhetsteam för att övervaka nätverkstrafik. Dessa tekniker för trafikavlyssning kan orsaka problem med att köra Azure-nätverksanslutningskontroller eller dev box-etablering. Kontrollera att ingen nätverksavlyssning tillämpas för dev-rutor som etablerats i Microsoft Dev Box.
Trafikavlyssningstekniker kan förvärra problem med svarstider. Du kan använda en RDP-kortväg (Remote Desktop Protocol) för att minimera problem med svarstiden.
Felsökning
Det här avsnittet beskriver några vanliga anslutningsproblem och nätverksproblem.
Anslutningsproblem
Inloggningsförsöket misslyckades
Om dev box-användaren stöter på inloggningsproblem och ser ett felmeddelande som anger att inloggningsförsöket misslyckades kontrollerar du att du har aktiverat PKU2U-protokollet på både den lokala datorn och sessionsvärden.
Mer information om felsökning av inloggningsfel finns i Felsöka anslutningar till Microsoft Entra-anslutna virtuella datorer – Windows Desktop-klient.
Grupprincipproblem i hybridmiljöer
Om du använder en hybridmiljö kan du stöta på grupprincipproblem. Du kan testa om problemet är relaterat till grupprincipen genom att tillfälligt exkludera utvecklingsrutan från grupprincipen.
Mer information om hur du felsöker grupprincipproblem finns i Tillämpa grupprincip felsökningsvägledning.
IPv6-adresseringsproblem
Om du har problem med IPv6 kontrollerar du att tjänstslutpunkten Microsoft.AzureActiveDirectory inte är aktiverad i det virtuella nätverket eller undernätet. Den här tjänstslutpunkten konverterar IPv4 till IPv6.
Mer information finns i Tjänstslutpunkter för virtuellt nätverk.
Uppdatera problem med dev box-definitionsbild
När du uppdaterar avbildningen som används i en dev box-definition måste du se till att du har tillräckligt med TILLGÄNGLIGA IP-adresser i det virtuella nätverket. Det krävs fler kostnadsfria IP-adresser för hälsokontrollen av Azure Network-anslutningen. Om hälsokontrollen misslyckas uppdateras inte dev box-definitionen. Du behöver en extra IP-adress per utvecklingsruta och en IP-adress för hälsokontrollen och Dev Box-infrastrukturen.
Mer information om hur du uppdaterar dev box-definitionsavbildningar finns i Uppdatera en dev box-definition.
Relaterat innehåll
- Kontrollera åtkomsten till nödvändiga FQDN:er och slutpunkter för Azure Virtual Desktop.
- Lär dig hur du avblockera dessa FQDN och slutpunkter i Azure Firewall finns i Använda Azure Firewall för att skydda Azure Virtual Desktop.
- Mer information om nätverksanslutning finns i Förstå Nätverksanslutning för Azure Virtual Desktop.