网络和远程桌面客户端规划

网络

需要满足几项网络要求才能成功部署 Azure 虚拟桌面。这样，用户才能连接到他们的桌面和应用程序，同时获得最佳用户体验。

连接到 Azure 虚拟桌面的用户安全地与服务建立反向连接，这意味着无需打开任何入站端口。默认情况下使用端口 443 上的传输控制协议 (TCP)，但是 RDP 短路径可用于建立基于直接用户数据报协议 (UDP) 传输的“托管网络”和“公用网络”。

要成功部署 Azure 虚拟桌面，需要满足以下网络要求：

需要为会话主机创建虚拟网络和子网。如果在创建主机池的同时创建会话主机，则必须提前为会话主机创建此虚拟网络，这样，该虚拟网络才会显示在下拉列表中。虚拟网络必须位于会话主机所在的同一 Azure 区域。
如果使用 AD DS 或 Microsoft Entra 域服务，请确保此虚拟网络可以连接到你的域控制器和相关的 DNS 服务器，因为需要将会话主机加入域。
会话主机和用户需要能够连接到 Azure 虚拟桌面服务。这些连接还在端口 443 上使用 TCP 连接到特定的 URL 列表。有关详细信息，请参阅所需 URL 的列表。必须确保这些 URL 未被网络筛选或防火墙阻止，这样，部署才能正常进行并受支持。如果用户需要访问 Microsoft 365，请确保会话主机可以连接到 Microsoft 365 终结点。

也请考虑以下要求：

你的用户可能需要访问托管在不同网络上的应用程序和数据，因此请确保会话主机可以连接到这些网络。
从客户端网络到包含主机池的 Azure 区域的往返时间 (RTT) 延迟应小于 150 毫秒。若要查看哪些位置的延迟最短，请在 Azure 网络往返延迟统计信息中查找所需的位置。为了优化网络性能，我们建议在离用户最近的 Azure 区域中创建会话主机。
使用用于 Azure 虚拟桌面部署的 Azure 防火墙来帮助锁定环境并筛选出站流量。
为了帮助保护 Azure 中的 Azure 虚拟桌面环境，建议不要在会话主机上打开入站端口 3389。 Azure 虚拟桌面不需要打开入站端口。如果必须打开端口 3389 以进行故障排除，我们建议你使用实时 VM 访问。另外建议不要向会话主机分配公共 IP 地址。

注意

为了让 Azure 虚拟桌面保持可靠且可缩放，我们会聚合流量模式和使用情况，以检查基础结构控制平面的运行状况和性能。我们会从存在服务基础结构的所有位置聚合此信息，然后将其发送到美国区域。发送到美国区域的数据包括清理数据，但不包括客户数据。有关详细信息，请参阅 Azure 虚拟桌面的数据位置。

管理会话主机时，请考虑以下要点：

不要启用任何禁用 Windows Installer 的策略或配置。如果禁用 Windows Installer，则该服务将无法在你的会话主机上安装代理更新，并且会话主机将无法正常运行。
如果要将会话主机加入 AD DS 域并使用 Intune 管理它们，则需要配置 Microsoft Entra Connect 以启用 Microsoft Entra 混合加入。
如果要将会话主机加入 Microsoft Entra 域服务域，则无法使用 Intune 对其进行管理。
如果对会话主机使用 Microsoft Entra 联接和 Windows Server，则无法在 Intune 中对其进行注册，因为 Intune 不支持 Windows Server。需要在每个会话主机上使用 Active Directory 域中的 Microsoft Entra 混合加入和组策略，或者使用本地组策略。

你的用户需要远程桌面客户端来连接到桌面和应用程序。以下客户端支持 Azure 虚拟桌面：

重要

Azure 虚拟桌面不支持从 RemoteApp 和桌面连接 (RADC) 客户端或远程桌面连接 (MSTSC) 客户端进行连接。

若要了解客户端用于连接的 URL 以及必须允许哪些 URL 通过防火墙和 Internet 筛选器，请参阅所需 URL 的列表。