網路和遠端桌面用戶端規劃

網路

您需要符合數個網路需求，才能成功部署 Azure 虛擬桌面。這可讓使用者連線到其桌面和應用程式，同時為他們提供最佳的使用者體驗。

連線到 Azure 虛擬桌面的使用者可安全建立與服務的反向連線，這表示您不需要開啟任何輸入連接埠。預設會使用連接埠 443 上的傳輸控制通訊協定 (TCP)，不過 RDP 短徑可用於建立直接使用者資料包通訊協定 (UDP) 型傳輸的受控網路和公用網路。

若要成功部署 Azure 虛擬桌面，您必須符合下列網路需求：

您需要適用於工作階段主機的虛擬網路和子網路。如果您與主機集區同時建立工作階段主機，您必須事先建立此虛擬網路，才能使其出現在下拉式清單中。您的虛擬網路必須位於與工作階段主機相同的 Azure 區域。
如果您使用 AD DS 或 Microsoft Entra Domain Services，請確定此虛擬網路可以連線到網域控制站和相關 DNS 伺服器，因為您必須將工作階段主機加入網域。
您的工作階段主機和使用者必須能夠連線到 Azure 虛擬桌面服務。這些連線也會在連接埠 443 上使用 TCP 來連線到一組特定的 URL 清單。如需詳細資訊，請參閱必要的 URL 清單。您必須確定網路篩選或防火牆不會封鎖這些 URL，您的部署才能正常運作並受到支援。如果您的使用者需要存取 Microsoft 365，請確定您的工作階段主機可以連線到 Microsoft 365 端點。

並請考慮下列項目：

您的使用者可能需要存取裝載於不同網路上的應用程式和資料，因此請確定您的工作階段主機可以加以連線。
從用戶端的網路到包含主機集區之 Azure 區域的來回行程時間 (RTT) 延遲應少於 150 毫秒。若要查看哪些位置具有最佳的延遲，請在 Azure 網路來回延遲統計資料中查閱所需的位置。若要將網路效能最佳化，建議您在最接近使用者的 Azure 區域中建立工作階段主機。
針對 Azure 虛擬桌面部署使用 Azure 防火牆，以協助您鎖定環境並篩選輸出流量。
為了保護您在 Azure 中的 Azure 虛擬桌面環境，建議您不要在工作階段主機上開啟輸入連接埠 3389。 Azure 虛擬桌面不需要開啟輸入連接埠。如果您為了要進行疑難排解而必須開啟連接埠 3389，建議您使用 Just-In-Time VM 存取。我們也建議您不要將公用 IP 位址指派給工作階段主機。

注意

若要 Azure 虛擬桌面保持可靠並可調整，我們會彙總流量模式和使用量，並檢查基礎結構控制平面的健康情況和效能。我們會從服務基礎結構所在的所有位置彙總此資訊，然後將其傳送至美國區域。傳送至美國區域的資料包括清除的資料，但不包括客戶資料。如需詳細資訊，請參閱 Azure 虛擬桌面的資料位置。

管理工作階段主機時，請考慮下列重點：

請勿啟用任何停用 Windows Installer 的原則或設定。如果您停用 Windows Installer，服務會無法在您的工作階段主機上安裝代理程式更新，而您的工作階段主機將無法正常運作。
如果您要將工作階段主機加入 AD DS 網域，而且您想要使用 Intune 來管理這些主機，您必須設定 Microsoft Entra Connect 以啟用 Microsoft Entra 混合式聯結。
如果您要將工作階段主機加入 Microsoft Entra Domain Services 網域，則無法使用 Intune 來加以管理。
如果您要在工作階段主機中使用 Microsoft Entra 聯結搭配 Windows Server，則無法在 Intune 中註冊它們，因為 Intune 不支援 Windows Server。您必須使用 Active Directory 網域中的 Microsoft Entra 混合式聯結和群組原則，或使用每個工作階段主機上的本機群組原則。

您的使用者需要遠端桌面用戶端，以連線到桌面和應用程式。下列用戶端支援 Azure 虛擬桌面：

重要

Azure 虛擬桌面不支援來自 RemoteApp 和桌面連線 (RADC) 用戶端或遠端桌面連線 (MSTSC) 用戶端的連線。

若要了解用戶端會使用哪些 URL 進行連線，而且您必須在防火牆和網際網路篩選器中允許這些 URL，請參閱必要的 URL 清單。