共用方式為


Azure 虛擬桌面的必要 FQDN 和端點

若要部署 Azure 虛擬桌面以供使用者連線,您必須允許特定的 FQDN 和端點。 使用者也必須能夠連線到特定 FQDN 和端點,才能存取其 Azure 虛擬桌面資源。 本文列出您需要允許工作階段主機和使用者必要的 FQDN 和端點。

如果您使用防火牆,例如 Azure 防火牆或 Proxy 服務,可能會封鎖這些 FQDN 和端點。 如需搭配 Azure 虛擬桌面使用 Proxy 服務的指引,請參閱 Azure 虛擬桌面的 Proxy 服務指導方針

遵循檢查 Azure 虛擬桌面的必要 FQDN 和端點存取權中的步驟來執行 Azure 虛擬桌面代理程式 URL 工具,即可檢查您的工作階段主機 VM 是否可連線到這些 FQDN 和端點。 Azure 虛擬桌面代理程式 URL 工具會驗證每個 FQDN 和端點,並顯示您的工作階段主機是否可以存取它們。

重要

  • Microsoft 不支援 Azure 虛擬桌面部署,因為本文所列的 FQDN 和端點遭到封鎖。

  • 本文不包含其他服務的 FQDN 和端點,例如 Microsoft Entra ID、Office 365、自訂 DNS 提供者或時間服務。 在 Office 365 URL 和 IP 位址範圍中的識別碼 5659125 之下可以找到 Microsoft Entra FQDN 和端點。

服務標籤和 FQDN 標籤

服務標籤 代表來自指定 Azure 服務的 IP 位址前綴群組。 Microsoft 會管理服務標籤包含的位址前置詞,並隨著位址變更自動更新服務標籤,而盡可能簡化網路安全性規則頻繁的更新。 服務標籤可用於網路安全組的規則(NSG)和 Azure 防火牆,以限制輸出網路存取。 服務標籤也可以在使用者定義的路由 (UDR) 中使用,以自定義流量路由行為。

Azure 防火牆 也支援FQDN 標籤,代表與已知 Azure 和其他 Microsoft 服務 相關聯的完整功能變數名稱 (FQDN) 群組。 Azure 虛擬桌面沒有您可將其解除鎖定,以允許網路流量的 IP 位址範圍 (而非 FQDN) 清單。 如果您使用新一代防火牆 (NGFW),您必須使用專為 Azure IP 位址所製作的動態清單來確保您可以連線。 如需詳細資訊,請參閱使用 Azure 防火牆來保護 Azure 虛擬桌面部署

Azure 虛擬桌面同時提供服務標籤和 FQDN 標籤專案。 建議您使用服務標籤和 FQDN 標籤來簡化 Azure 網路設定。

工作階段主機虛擬機器

下表是您的工作階段主機 VM 存取 Azure 虛擬桌面所需的 FQDN 和端點清單。 所有項目都是輸出項目;您不需要開啟 Azure 虛擬桌面的輸入連接埠。 根據您使用的雲端,選取相關索引標籤。

位址 通訊協定 輸出連接埠 目的 服務標籤
login.microsoftonline.com TCP 443 向 Microsoft Online Services 進行驗證 AzureActiveDirectory
*.wvd.microsoft.com TCP 443 服務流量 WindowsVirtualDesktop
catalogartifact.azureedge.net TCP 443 Azure Marketplace AzureFrontDoor.Frontend
*.prod.warm.ingest.monitor.core.windows.net TCP 443 代理程式流量
診斷輸出
AzureMonitor
gcs.prod.monitoring.core.windows.net TCP 443 代理程式流量 AzureMonitor
azkms.core.windows.net TCP 1688 Windows 啟用 Internet
mrsglobalsteus2prod.blob.core.windows.net TCP 443 代理程式和並存 (SXS) 堆疊更新 AzureStorage
wvdportalstorageblob.blob.core.windows.net TCP 443 Azure 入口網站支援 AzureCloud
169.254.169.254 TCP 80 Azure Instance Metadata Service 端點 N/A
168.63.129.16 TCP 80 工作階段主機狀況監控 N/A
oneocsp.microsoft.com TCP 80 憑證 AzureFrontDoor.FirstParty
www.microsoft.com TCP 80 憑證 N/A

下表列出您的工作階段主機虛擬機器可能也需要存取其他服務的選擇性 FQDN 和端點:

位址 通訊協定 輸出連接埠 目的 服務標籤
login.windows.net TCP 443 登入 Microsoft Online Services 以及 Microsoft 365 AzureActiveDirectory
*.events.data.microsoft.com TCP 443 遙測服務 N/A
www.msftconnecttest.com TCP 80 偵測工作階段主機是否已連線到網際網路 N/A
*.prod.do.dsp.mp.microsoft.com TCP 443 Windows Update N/A
*.sfx.ms TCP 443 OneDrive 用戶端軟體的更新 N/A
*.digicert.com TCP 80 憑證撤銷檢查 N/A
*.azure-dns.com TCP 443 Azure DNS 解析 N/A
*.azure-dns.net TCP 443 Azure DNS 解析 N/A
*eh.servicebus.windows.net TCP 443 診斷設定 EventHub

提示

對於涉及「服務流量」的 FQDN,您必須使用萬用字元 (*)。

對於「代理程式流量」,如果您不想使用萬用字元,以下說明如何尋找要允許的特定 FQDN:

  1. 請確定您的工作階段主機已註冊到主機集區。
  2. 在工作階段主機上,開啟 [事件檢視器],並前往 [Windows 記錄]>[應用程式]>[WVD-Agent],然後尋找事件識別碼 3701
  3. 將您在事件識別碼 3701 下找到的 FQDN 解除鎖定。 事件識別碼 3701 下的 FQDN 會隨區域而不同。 您必須針對您想要部署會話主機的每個 Azure 區域,使用相關的 FQDN 重複此程式。

終端使用者裝置

您使用其中一個遠端桌面用戶端連線到 Azure 虛擬桌面的任何裝置,都必須能夠存取下列 FQDN 和端點。 允許這些 FQDN 和端點對於可靠的用戶端體驗至關重要。 不支援封鎖對這些 FQDN 和端點的存取,並會影響服務功能。

根據您使用的雲端,選取相關索引標籤。

位址 通訊協定 輸出連接埠 目的 用戶端
login.microsoftonline.com TCP 443 向 Microsoft Online Services 進行驗證 全部
*.wvd.microsoft.com TCP 443 服務流量 全部
*.servicebus.windows.net TCP 443 疑難排解資料 全部
go.microsoft.com TCP 443 Microsoft FWLinks 全部
aka.ms TCP 443 Microsoft URL 縮短器 全部
learn.microsoft.com TCP 443 文件 全部
privacy.microsoft.com TCP 443 隱私權聲明 全部
*.cdn.office.net TCP 443 自動更新 Windows 桌面
graph.microsoft.com TCP 443 服務流量 全部
windows.cloud.microsoft TCP 443 連線中心 全部
windows365.microsoft.com TCP 443 服務流量 全部
ecs.office.com TCP 443 連線中心 全部

如果您是使用受限因特網存取的封閉式網路,您可能也需要允許此處列出的 FQDN 進行憑證檢查: Azure 證書頒發機構單位詳細數據 |Microsoft Learn

下一步