Nödvändiga FQDN:er och slutpunkter för Azure Virtual Desktop
För att kunna distribuera Azure Virtual Desktop och för att användarna ska kunna ansluta måste du tillåta specifika FQDN och slutpunkter. Användarna måste också kunna ansluta till vissa FQDN och slutpunkter för att få åtkomst till sina Azure Virtual Desktop-resurser. I den här artikeln visas de nödvändiga FQDN:er och slutpunkter som du behöver för att tillåta sessionsvärdar och användare.
Dessa FQDN:er och slutpunkter kan blockeras om du använder en brandvägg, till exempel Azure Firewall eller proxytjänst. Vägledning om hur du använder en proxytjänst med Azure Virtual Desktop finns i Riktlinjer för proxytjänsten för Azure Virtual Desktop.
Du kan kontrollera att dina virtuella sessionsvärddatorer kan ansluta till dessa FQDN och slutpunkter genom att följa stegen för att köra URL-verktyget för Azure Virtual Desktop-agenten i Kontrollera åtkomsten till nödvändiga FQDN:er och slutpunkter för Azure Virtual Desktop. URL-verktyget för Azure Virtual Desktop-agenten verifierar varje FQDN och slutpunkt och visar om sessionsvärdarna kan komma åt dem.
Viktigt!
Microsoft stöder inte Azure Virtual Desktop-distributioner där de FQDN och slutpunkter som anges i den här artikeln blockeras.
Den här artikeln innehåller inte FQDN och slutpunkter för andra tjänster som Microsoft Entra-ID, Office 365, anpassade DNS-leverantörer eller tidstjänster. Microsoft Entra FQDN och slutpunkter finns under ID 56, 59 och 125 i Office 365-URL:er och IP-adressintervall.
Tjänsttaggar och FQDN-taggar
Tjänsttaggar representerar grupper med IP-adressprefix från en viss Azure-tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras, vilket minimerar komplexiteten i frekventa uppdateringar av nätverkssäkerhetsregler. Tjänsttaggar kan användas i regler för nätverkssäkerhetsgrupper (NSG:er) och Azure Firewall för att begränsa utgående nätverksåtkomst. Tjänsttaggar kan också användas i användardefinierade vägar (UDR) för att anpassa trafikroutningsbeteende.
Azure Firewall stöder också FQDN-taggar, som representerar en grupp fullständigt kvalificerade domännamn (FQDN) som är associerade med välkända Azure och andra Microsoft-tjänster. Azure Virtual Desktop har ingen lista över IP-adressintervall som du kan avblockera i stället för FQDN för att tillåta nätverkstrafik. Om du använder en nästa generations brandvägg (NGFW) måste du använda en dynamisk lista som gjorts för Azure IP-adresser för att se till att du kan ansluta. Mer information finns i Använda Azure Firewall för att skydda Azure Virtual Desktop-distributioner.
Azure Virtual Desktop har både en tjänsttagg och FQDN-taggpost tillgänglig. Vi rekommenderar att du använder tjänsttaggar och FQDN-taggar för att förenkla din Azure-nätverkskonfiguration.
Virtuella sessionsvärddatorer
Följande tabell är en lista över FQDN:er och slutpunkter som dina virtuella sessionsvärddatorer behöver åtkomst till för Azure Virtual Desktop. Alla poster är utgående. du behöver inte öppna inkommande portar för Azure Virtual Desktop. Välj relevant flik baserat på vilket moln du använder.
| Adress | Protokoll | Utgående port | Syfte | Tjänsttagg |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Autentisering till Microsoft Online Services | AzureActiveDirectory |
*.wvd.microsoft.com |
TCP | 443 | Tjänsttrafik | WindowsVirtualDesktop |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Agenttrafik Diagnostikutdata |
AzureMonitor |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Agenttrafik | AzureMonitor |
azkms.core.windows.net |
TCP | 1688 | Windows-aktivering | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Uppdateringar av agent- och SXS-stackar (sida vid sida) | AzureStorage |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Azure Portal support | AzureCloud |
169.254.169.254 |
TCP | 80 | Tjänstslutpunkt för Azure Instance Metadata | Ej tillämpligt |
168.63.129.16 |
TCP | 80 | Hälsoövervakning av sessionsvärd | Ej tillämpligt |
oneocsp.microsoft.com |
TCP | 80 | Certifikat | AzureFrontDoor.FirstParty |
www.microsoft.com |
TCP | 80 | Certifikat | Ej tillämpligt |
I följande tabell visas valfria FQDN:er och slutpunkter som din session är värd för virtuella datorer kan också behöva komma åt för andra tjänster:
| Adress | Protokoll | Utgående port | Syfte | Tjänsttagg |
|---|---|---|---|---|
login.windows.net |
TCP | 443 | Logga in på Microsoft Online Services och Microsoft 365 | AzureActiveDirectory |
*.events.data.microsoft.com |
TCP | 443 | Telemetry Service | Ej tillämpligt |
www.msftconnecttest.com |
TCP | 80 | Identifierar om sessionsvärden är ansluten till Internet | Ej tillämpligt |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | Ej tillämpligt |
*.sfx.ms |
TCP | 443 | Uppdateringar för OneDrive-klientprogramvara | Ej tillämpligt |
*.digicert.com |
TCP | 80 | Kontroll av återkallade certifikat | Ej tillämpligt |
*.azure-dns.com |
TCP | 443 | Azure DNS-matchning | Ej tillämpligt |
*.azure-dns.net |
TCP | 443 | Azure DNS-matchning | Ej tillämpligt |
*eh.servicebus.windows.net |
TCP | 443 | Diagnostikinställningar | EventHub |
Dricks
Du måste använda jokertecknet (*) för FQDN som involverar tjänsttrafik.
För agenttrafik, om du föredrar att inte använda ett jokertecken, så här hittar du specifika FQDN:er som tillåter:
- Kontrollera att dina sessionsvärdar är registrerade i en värdpool.
- Öppna Loggboken på en sessionsvärd och gå sedan till Windows-loggar>Program>WVD-Agent och leta efter händelse-ID 3701.
- Avblockera de FQDN:er som du hittar under händelse-ID 3701. FQDN:erna under händelse-ID 3701 är regionspecifika. Du måste upprepa den här processen med relevanta FQDN för varje Azure-region som du vill distribuera sessionsvärdarna i.
Slutanvändarenheter
Alla enheter där du använder en av fjärrskrivbordsklienterna för att ansluta till Azure Virtual Desktop måste ha åtkomst till följande FQDN och slutpunkter. Att tillåta dessa FQDN:er och slutpunkter är viktigt för en tillförlitlig klientupplevelse. Blockering av åtkomst till dessa FQDN och slutpunkter stöds inte och påverkar tjänstens funktioner.
Välj relevant flik baserat på vilket moln du använder.
| Adress | Protokoll | Utgående port | Syfte | Klienter |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Autentisering till Microsoft Online Services | Alla |
*.wvd.microsoft.com |
TCP | 443 | Tjänsttrafik | Alla |
*.servicebus.windows.net |
TCP | 443 | Felsöka data | Alla |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | Alla |
aka.ms |
TCP | 443 | Microsoft URL-kortare | Alla |
learn.microsoft.com |
TCP | 443 | Dokumentation | Alla |
privacy.microsoft.com |
TCP | 443 | Sekretesspolicy | Alla |
*.cdn.office.net |
TCP | 443 | Automatiska uppdateringar | Windows Desktop |
graph.microsoft.com |
TCP | 443 | Tjänsttrafik | Alla |
windows.cloud.microsoft |
TCP | 443 | Anslutningscenter | Alla |
windows365.microsoft.com |
TCP | 443 | Tjänsttrafik | Alla |
ecs.office.com |
TCP | 443 | Anslutningscenter | Alla |
Om du är i ett stängt nätverk med begränsad Internetåtkomst kan du också behöva tillåta de FQDN:er som anges här för certifikatkontroller: Information om Azure Certificate Authority | Microsoft Learn.
Nästa steg
Kontrollera åtkomsten till nödvändiga FQDN:er och slutpunkter för Azure Virtual Desktop.
Mer information om hur du avblockera dessa FQDN och slutpunkter i Azure Firewall finns i Använda Azure Firewall för att skydda Azure Virtual Desktop.
Mer information om nätverksanslutning finns i Förstå Azure Virtual Desktop-nätverksanslutning