你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Dev Box 网络要求
Microsoft Dev Box 是一项服务,支持用户在任何位置的任何设备上通过 Internet 连接到在 Azure 中运行的基于云的工作站。 为了支持这些 Internet 连接,必须遵循本文中列出的网络要求。 应与组织的网络团队和安全团队合作,为开发箱规划和实施网络访问。
Microsoft Dev box 与 Windows 365 和 Azure 虚拟桌面服务密切相关,在许多情况下,网络要求是相同的。
一般网络要求
开发箱需要网络连接才能访问资源。 你可以选择是使用 Microsoft 托管的网络连接,还是你在自己的订阅中创建的 Azure 网络连接。 选择支持访问网络资源的方法根据资源所基于的位置来决定。
使用 Microsoft 托管的连接时:
- Microsoft 提供并完全管理基础结构。
- 你可以从 Microsoft Intune 管理开发箱安全性。
若要使用自己的网络并预配已建立 Microsoft Entra 联接的开发箱,你必须满足以下要求:
- Azure 虚拟网络:Azure 订阅中必须有虚拟网络。 为虚拟网络选择的区域是 Azure 部署开发箱的位置。
- 虚拟网络内的子网和可用的 IP 地址空间。
- 网络带宽:请参阅 Azure 网络指南。
若要使用自己的网络并预配已建立 Microsoft Entra 混合联接的开发箱,必须满足上述要求和下列要求:
- Azure 虚拟网络必须能够解析 Active Directory 域服务 (AD DS) 环境的域名服务 (DNS) 条目。 为了支持这种解析,请将 AD DS DNS 服务器定义为虚拟网络的 DNS 服务器。
- Azure 虚拟网络必须对 Azure 中或本地的企业域控制器具有网络访问权限。
重要
使用自己的网络时,Microsoft Dev Box 当前不支持将网络接口移动到其他虚拟网络或其他子网。
允许网络连接
在网络配置中,必须允许流量流向以下服务 URL 和端口,从而支持开发箱的预配、管理和远程连接。
Microsoft Dev Box 所需的 FQDN 和终结点
若要设置开发箱并允许用户连接到资源,必须允许特定完全限定的域名 (FQDN) 和终结点的流量。 如果你使用防火墙(例如 Azure 防火墙)或代理服务,则可能会阻止这些 FQDN 和终结点。
可按照检查对 Azure 虚拟桌面所需的 FQDN 和终结点的访问权限中有关运行 Azure 虚拟桌面代理 URL 工具的步骤,检查开发箱是否可以连接到这些 FQDN 和终结点。 Azure 虚拟桌面代理 URL 工具会验证每个 FQDN 和终结点,并显示开发箱是否可以访问它们。
重要
Microsoft 不支持阻止了本文中列出的 FQDN 和终结点的开发箱部署。
通过 Azure 防火墙对终结点使用 FQDN 标记和服务标记
管理开发箱的网络安全控制可能比较复杂。 若要简化配置,请使用完全限定的域名 (FQDN) 标记和服务标记来允许网络流量。
FQDN 标记
FQDN 标记是 Azure 防火墙中的预定义标记,表示一组完全限定的域名。 通过使用 FQDN 标记,可以轻松地为特定服务(例如 Windows 365)创建和维护出口规则,而不用手动指定每个域名。
FQDN 标记定义的分组可重叠。 例如,Windows365 FQDN 标记包含标准端口的 AVD 终结点,请参阅参考。
非 Microsoft 防火墙通常不支持 FQDN 标记或服务标记。 相同的功能可能有不同的术语;请查看检查防火墙文档。
服务标记
服务标记代表给定 Azure 服务中的一组 IP 地址前缀。 Microsoft 会管理服务标记包含的地址前缀,并在地址更改时自动更新服务标记,从而尽量减少频繁更新网络安全规则所需的复杂操作。 可在网络安全组 (NSG) 和 Azure 防火墙规则中使用服务标记来限制出站网络访问,在用户定义的路由 (UDR)使用服务标记来自定义流量路由行为。
物理设备网络连接所必需的终结点
尽管大部分配置都适合基于云的开发箱网络,但最终用户连接来自物理设备。 因此,还必须遵循物理设备网络上的连接指南。
| 设备或服务 | 网络连接所需的 URL 和端口 | 说明 | 必需? |
|---|---|---|---|
| 物理设备 | 链接。 | 远程桌面客户端连接和更新。 | 是 |
| Microsoft Intune 服务 | 链接。 | Intune 云服务,例如设备管理、应用程序交付和终结点分析。 | 是 |
| Azure 虚拟桌面会话主机虚拟机 | 链接。 | 开发箱与后端 Azure 虚拟桌面服务之间的远程连接。 | 是 |
| Windows 365 服务 | 链接。 | 预配和运行状况检查。 | 是 |
用于连接到开发箱的任何设备都必须有权访问以下 FQDN 和终结点。 若要获得可靠的客户端体验,必须打开这些 FQDN 和终结点。 不支持阻止访问这些 FQDN 和终结点,否则会影响服务功能。
| Address | 协议 | 出站端口 | 用途 | 客户端 | 必需? |
|---|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | 向 Microsoft Online Services 进行身份验证 | All | 是 |
| *.wvd.microsoft.com | TCP | 443 | 服务流量 | All | 是 |
| *.servicebus.windows.net | TCP | 443 | 排查数据问题 | All | 是 |
| go.microsoft.com | TCP | 443 | Microsoft FWLink | All | 是 |
| aka.ms | TCP | 443 | Microsoft URL 缩短符 | All | 是 |
| learn.microsoft.com | TCP | 443 | 文档 | All | 是 |
| privacy.microsoft.com | TCP | 443 | 隐私声明 | All | 是 |
| query.prod.cms.rt.microsoft.com | TCP | 443 | 下载 MSI 以更新客户端。 自动更新所必需的。 | Windows 桌面版 | 是 |
这些 FQDN 和终结点仅对应于客户端站点和资源。
开发箱预配所必需的终结点
要预配开发箱和 Azure 网络连接 (ANC) 运行状况检查,需要以下 URL 和端口。 除非另有指定,否则所有终结点都通过端口 443 进行连接。
| 类别 | 终结点 | FQDN 标记或服务标记 | 必需? |
|---|---|---|---|
| Dev box 通信终结点 | .agentmanagement.dc.azure.com .cmdagent.trafficmanager.net |
空值 | 是 |
| Windows 365 服务和注册终结点 | 有关当前 Windows 365 注册终结点,请参阅 Windows 365 网络要求。 | FQDN 标记:Windows365 | 是 |
| Azure 虚拟桌面服务终结点 | 有关当前 AVD 服务终结点,请参阅会话主机虚拟机。 | FQDN 标记:WindowsVirtualDesktop | 是 |
| Microsoft Entra ID | 可在 Office 365 URL 和 IP 地址范围中的 ID 56、59 和 125 下找到 Microsoft Entra 的 FQDN 和终结点。 | 服务标记:AzureActiveDirectory | 是 |
| Microsoft Intune | 有关当前 Microsoft Entra ID 的 FQDN 和终结点,请参阅 Intune 核心服务。 | FQDN 标记:MicrosoftIntune | 是 |
列出的 FQDN 和终结点及标记对应于所必需的资源。 它们不包括所有服务的 FQDN 和终结点。 对于其他服务的服务标记,请参阅可用的服务标记。
Azure 虚拟桌面没有你可以取消阻止的 IP 地址范围列表,而是依赖于 FQDN 来允许网络流量。 如果使用的是下一代防火墙 (NGFW),则需要使用为 Azure IP 地址创建的动态列表来确保你可以进行连接。
有关详细信息,请参阅利用 Azure 防火墙来管理和保护 Windows 365 环境。
下表列出了开发箱需要访问的 FQDN 和终结点。 所有条目都是出站的;你不需要打开开发箱的入站端口。
| Address | 协议 | 出站端口 | 目的 | 服务标记 | 必需? |
|---|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | 向 Microsoft Online Services 进行身份验证 | AzureActiveDirectory | 是 |
| *.wvd.microsoft.com | TCP | 443 | 服务流量 | WindowsVirtualDesktop | 是 |
| *.prod.warm.ingest.monitor.core.windows.net | TCP | 443 | 代理流量诊断输出 | AzureMonitor | 是 |
| catalogartifact.azureedge.net | TCP | 443 | Azure 市场 | AzureFrontDoor.Frontend | 是 |
| gcs.prod.monitoring.core.windows.net | TCP | 443 | 代理流量 | AzureCloud | 是 |
| kms.core.windows.net | TCP | 1688 | Windows 激活 | Internet | 是 |
| azkms.core.windows.net | TCP | 1688 | Windows 激活 | Internet | 是 |
| mrsglobalsteus2prod.blob.core.windows.net | TCP | 443 | 代理和并行 (SXS) 堆栈更新 | AzureCloud | 是 |
| wvdportalstorageblob.blob.core.windows.net | TCP | 443 | Azure 门户支持 | AzureCloud | 是 |
| 169.254.169.254 | TCP | 80 | Azure 实例元数据服务终结点 | 空值 | 是 |
| 168.63.129.16 | TCP | 80 | 会话主机运行状况监视 | 空值 | 是 |
| oneocsp.microsoft.com | TCP | 80 | 证书 | 空值 | 是 |
| www.microsoft.com | TCP | 80 | 证书 | 空值 | 是 |
下表列出了会话主机虚拟机可能还需要访问的用于其他服务的可选 FQDN 和终结点:
| Address | 协议 | 出站端口 | 用途 | 必需? |
|---|---|---|---|---|
| login.windows.net | TCP | 443 | 登录到 Microsoft Online Services 和 Microsoft 365 | 可选 |
| *.events.data.microsoft.com | TCP | 443 | 遥测服务 | 可选 |
| www.msftconnecttest.com | TCP | 80 | 检测会话主机是否已连接到 Internet | 可选 |
| *.prod.do.dsp.mp.microsoft.com | TCP | 443 | Windows 更新 | 可选 |
| *.sfx.ms | TCP | 443 | OneDrive 客户端软件更新 | 可选 |
| *.digicert.com | TCP | 80 | 证书吊销检查 | 可选 |
| *.azure-dns.com | TCP | 443 | Azure DNS 解析 | 可选 |
| *.azure-dns.net | TCP | 443 | Azure DNS 解析 | 可选 |
此列表不包括其他服务的 FQDN 和终结点,例如 Microsoft Entra ID、Office 365、自定义 DNS 提供程序或时间服务。 可以在 Office 365 URL 和 IP 地址范围的 ID 56、59 和 125 下找到 Microsoft Entra FQDN 和终结点。
提示
对于涉及服务流量的 FQDN,你必须使用通配符 (*)。 对于代理流量,如果不想使用通配符,下面介绍了如何查找要允许的特定 FQDN:
- 确保会话主机虚拟机已注册到主机池。
- 在会话主机上,打开“事件查看器”,转到“Windows 日志”>“应用程序”>“WVD-Agent”,查找事件 ID 3701。
- 取消阻止在事件 ID 3701 下找到的 FQDN。 事件 ID 3701 下的 FQDN 是特定于区域的。 你需要对要在其中部署会话主机虚拟机的每个 Azure 区域的相关 FQDN 重复此过程。
远程桌面协议 (RDP) 中转站服务终结点
与 Azure 虚拟桌面 RDP 代理服务终结点的直接连接对于开发箱的远程性能非常重要。 这些终结点会影响连接性和延迟。 为了符合 Microsoft 365 网络连接原则,应将这些终结点分类为“优化”终结点,并使用从 Azure 虚拟网络到这些终结点的远程桌面协议 (RDP) 短路径。 RDP 短路径可以提供另一个连接路径来改善开发箱连接,尤其是在网络欠佳的情况下。
若要更轻松地配置网络安全控制,请使用 Azure 虚拟桌面服务标记来标识这些终结点,以便使用 Azure 网络用户定义的路由 (UDR) 进行直接路由。 UDR 实现虚拟网络与 RDP 中转站之间的直接路由,延迟最低。
如果更改开发箱的网络路由(在网络层或在 VPN 等开发箱层),可能会中断开发箱与 Azure 虚拟桌面 RDP 中转站之间的连接。 如果是这样,最终用户会断开与开发箱框的连接,直到重新建立连接。
DNS 要求
作为 Microsoft Entra 混合联接要求的一部分,开发箱必须能够加入本地 Active Directory。 开发箱必须能够解析本地 AD 环境的 DNS 记录才能加入。
配置预配开发箱的 Azure 虚拟网络,如下所示:
- 确保 Azure 虚拟网络与可解析 Active Directory 域的 DNS 服务器建立网络连接。
- 在 Azure 虚拟网络的设置中,选择“DNS 服务器”>“自定义”。
- 输入环境中可解析 AD DS 域的 DNS 服务器的 IP 地址。
提示
添加至少两个 DNS 服务器,就像使用物理电脑一样,这有助于降低名称解析中出现单一故障点的风险。 有关详细信息,请参阅如何配置 Azure 虚拟网络设置。
连接到本地资源
可以允许开发箱通过混合连接连接到本地资源。 请与 Azure 网络专家协作,实现中心辐射型网络拓扑。 中心是连接到本地网络的中心点;你可以使用 Express Route、站点到站点 VPN 或点到站点 VPN。 分支是包含开发箱的虚拟网络。 中心辐射型拓扑可帮助你管理网络流量和安全性。 将开发箱虚拟网络对等互连到本地连接的虚拟网络,以提供对本地资源的访问权限。
流量拦截技术
一些企业客户使用流量拦截、TLS 解密、深度数据包检查和其他类似的技术供安全团队监视网络流量。 这些流量拦截技术可能会导致运行 Azure 网络连接检查或开发箱预配时出现问题。 请确保未对 Microsoft Dev Box 中预配的开发箱强制实施网络拦截。
流量拦截技术可能会加剧延迟问题。 可以使用 远程桌面协议 (RDP) 短路径来帮助最大程度地减少延迟问题。
故障排除
本部分介绍一些常见的连接和网络问题。
连接问题
登录尝试失败
如果开发箱用户遇到登录问题,并看到指示登录尝试失败的错误消息,请确保在本地电脑和会话主机上都启用了 PKU2U 协议。
有关排查登录错误的详细信息,请参阅排查与已建立 Microsoft Entra 联接的 VM 的连接问题 - Windows 桌面客户端。
混合环境中的组策略问题
如果使用混合环境,可能会遇到组策略问题。 可通过暂时从组策略中排除开发箱来测试该问题是否与组策略相关。
有关排查组策略问题的详细信息,请参阅应用组策略故障排除指南。
IPv6 解决问题
如果遇到 IPv6 问题,请检查虚拟网络或子网上是否未启用 Microsoft.AzureActiveDirectory 服务终结点。 此服务终结点会将 IPv4 转换为 IPv6。
有关详细信息,请参阅虚拟网络服务终结点。
更新开发箱定义映像问题
更新开发箱定义中使用的映像时,必须确保虚拟网络中有足够的 IP 地址可用。 Azure 网络连接运行状况检查需要更多的可用 IP 地址。 如果运行状况检查失败,则开发箱定义不更新。 每个开发箱需要一个额外的 IP 地址,还要有一个 IP 地址用于运行状况检查和 Dev Box 基础结构。
若要详细了解如何更新开发箱定义映像,请参阅更新开发箱定义。
相关内容
- 检查对 Azure 虚拟桌面所需的 FQDN 和终结点的访问权限。
- 若要了解如何在 Azure 防火墙中取消阻止这些 FQDN 和终结点,请参阅使用 Azure 防火墙保护 Azure 虚拟桌面。
- 有关网络连接的详细信息,请参阅了解 Azure 虚拟桌面网络连接。