Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Pour déployer Azure Virtual Desktop et permettre à vos utilisateurs de se connecter, vous devez autoriser des noms de domaine complets et des points de terminaison spécifiques. Les utilisateurs doivent également être en mesure de se connecter à certains noms de domaine complets et points de terminaison pour accéder à leurs ressources Azure Virtual Desktop. Cet article répertorie les noms de domaine complets et les points de terminaison requis que vous devez autoriser pour vos hôtes et utilisateurs de session.
Ces noms de domaine complets et points de terminaison peuvent être bloqués si vous utilisez un pare-feu, tel que Pare-feu Azure ou un service proxy. Pour obtenir des conseils sur l’utilisation d’un service proxy avec Azure Virtual Desktop, consultez Instructions de service proxy pour Azure Virtual Desktop.
Vous pouvez case activée que vos machines virtuelles hôtes de session puissent se connecter à ces noms de domaine complets et points de terminaison en suivant les étapes d’exécution de l’outil AZURE’URL de l’agent Virtual Desktop dans Vérifier l’accès aux noms de domaine complets et aux points de terminaison requis pour Azure Virtual Desktop. L’outil d’URL de l’agent Azure Virtual Desktop valide chaque nom de domaine complet et point de terminaison et indique si vos hôtes de session peuvent y accéder.
Importante
Microsoft ne prend pas en charge les déploiements Azure Virtual Desktop où les noms de domaine complets et les points de terminaison répertoriés dans cet article sont bloqués. Cet article n’inclut pas les noms de domaine complets et les points de terminaison pour d’autres services tels que les Microsoft Entra ID, les Office 365, les fournisseurs DNS personnalisés ou les services de temps. Microsoft Entra noms de domaine complets et les points de terminaison se trouvent sous les ID 46, 56, 59 et 125 dans Office 365 URL et plages d’adresses IP, ce qui peut être nécessaire dans les environnements réseau restreints.
Balises de service et balises de nom de domaine complet
Les étiquettes de service représentent des groupes de préfixes d’adresses IP d’un service Azure donné. Microsoft gère les préfixes d’adresse inclus dans l’étiquette de service et met automatiquement à jour l’étiquette de service à mesure que les adresses changent, ce qui réduit la complexité des mises à jour fréquentes des règles de sécurité réseau. Les étiquettes de service peuvent être utilisées dans les règles pour les groupes de sécurité réseau (NSG) et les Pare-feu Azure pour restreindre l’accès réseau sortant. Les balises de service peuvent également être utilisées dans les itinéraires définis par l’utilisateur (UDR) pour personnaliser le comportement de routage du trafic.
Pare-feu Azure prend également en charge les balises FQDN, qui représentent un groupe de noms de domaine complets (FQDN) associés à des Azure connus et à d’autres services Microsoft. Azure Virtual Desktop ne dispose pas d’une liste de plages d’adresses IP que vous pouvez débloquer à la place des noms de domaine complets pour autoriser le trafic réseau. Si vous utilisez un pare-feu nouvelle génération (NGFW), vous devez utiliser une liste dynamique pour Azure adresses IP afin de vous assurer que vous pouvez vous connecter. Pour plus d’informations, consultez Utiliser Pare-feu Azure pour protéger Azure déploiements Virtual Desktop.
Azure Virtual Desktop dispose à la fois d’une étiquette de service et d’une entrée de balise de nom de domaine complet. Nous vous recommandons d’utiliser des étiquettes de service et des étiquettes FQDN pour simplifier votre configuration réseau Azure.
Machines virtuelles hôtes de session
Le tableau suivant répertorie les noms de domaine complets et les points de terminaison que vos machines virtuelles hôtes de session doivent accéder pour Azure Virtual Desktop. Toutes les entrées sont sortantes ; vous n’avez pas besoin d’ouvrir des ports d’entrée pour Azure Virtual Desktop. Sélectionnez l’onglet approprié en fonction du cloud que vous utilisez.
| Address | Protocole | Port sortant | Objectif | Étiquette de service |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Authentification auprès de Microsoft Online Services | AzureActiveDirectory |
51.5.0.0/16 |
UDP | 3478 | Connectivité RDP relayée | WindowsVirtualDesktop |
*.wvd.microsoft.com |
TCP | 443 | Trafic de service, y compris la connectivité RDP basée sur TCP | WindowsVirtualDesktop |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Trafic de l’agent Sortie de diagnostic |
AzureMonitor |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Trafic de l’agent | AzureMonitor |
azkms.core.windows.net |
TCP | 1688 | Activation de Windows | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Mises à jour de la pile de l’agent et côte à côte (SXS) | Storage |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Prise en charge du portail Azure | AzureCloud |
169.254.169.254 |
TCP | 80 | point de terminaison du service de métadonnées d’instance Azure | S/O |
168.63.129.16 |
TCP | 80 | Surveillance de l’intégrité de l’hôte de session | S/O |
oneocsp.microsoft.com |
TCP | 80 | Certificats | AzureFrontDoor.FirstParty |
www.microsoft.com |
TCP | 80 | Certificats | S/O |
*.aikcertaia.microsoft.com |
TCP | 80 | Certificats | S/O |
azcsprodeusaikpublish.blob.core.windows.net |
TCP | 80 | Certificats | S/O |
*.microsoftaik.azure.net |
TCP | 80 | Certificats | S/O |
ctldl.windowsupdate.com |
TCP | 80 | Certificats | S/O |
aka.ms |
TCP | 443 | Raccourcisseur d’URL Microsoft, utilisé lors du déploiement de l’hôte de session sur Azure Local | S/O |
*.service.windows.cloud.microsoft |
TCP | 443 | Trafic de service | WindowsVirtualDesktop |
*.windows.cloud.microsoft |
TCP | 443 | Trafic de service | S/O |
*.windows.static.microsoft |
TCP | 443 | Trafic de service | S/O |
Le tableau suivant répertorie les noms de domaine complets et les points de terminaison facultatifs auxquels vos machines virtuelles hôtes de session peuvent également avoir besoin d’accéder pour d’autres services :
| Address | Protocole | Port sortant | Objectif | Étiquette de service |
|---|---|---|---|---|
login.windows.net |
TCP | 443 | Se connecter à Microsoft Online Services et Microsoft 365 | AzureActiveDirectory |
*.events.data.microsoft.com |
TCP | 443 | Service de télémétrie | S/O |
www.msftconnecttest.com |
TCP | 80 | Détecte si l’hôte de session est connecté à Internet | S/O |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | S/O |
*.sfx.ms |
TCP | 443 | Mises à jour pour le logiciel client OneDrive | S/O |
*.digicert.com |
TCP | 80 | Case activée de révocation de certificats | S/O |
*.azure-dns.com |
TCP | 443 | résolution DNS Azure | S/O |
*.azure-dns.net |
TCP | 443 | résolution DNS Azure | S/O |
*eh.servicebus.windows.net |
TCP | 443 | Paramètres de diagnostic | EventHub |
Conseil
Vous devez utiliser le caractère générique (*) pour les noms de domaine complets impliquant le trafic de service.
Pour le trafic de l’agent, si vous préférez ne pas utiliser de caractère générique, voici comment trouver des noms de domaine complets spécifiques à autoriser :
- Vérifiez que vos hôtes de session sont inscrits auprès d’un pool d’hôtes.
- Sur un hôte de session, ouvrez Observateur d’événements, puis accédez à Journaux> WindowsApplication>WVD-Agent et recherchez l’ID d’événement 3701.
- Débloquez les noms de domaine complets que vous trouvez sous l’ID d’événement 3701. Les noms de domaine complets sous l’ID d’événement 3701 sont spécifiques à la région. Vous devez répéter ce processus avec les noms de domaine complets appropriés pour chaque région Azure dans laquelle vous souhaitez déployer vos hôtes de session.
Appareils des utilisateurs finaux
Tout appareil sur lequel vous utilisez l’un des clients Bureau à distance pour vous connecter à Azure Virtual Desktop doit avoir accès aux noms de domaine complets et aux points de terminaison suivants. L’autorisation de ces noms de domaine complets et points de terminaison est essentielle pour une expérience client fiable. Le blocage de l’accès à ces noms de domaine complets et points de terminaison n’est pas pris en charge et affecte les fonctionnalités du service.
Sélectionnez l’onglet approprié en fonction du cloud que vous utilisez.
| Address | Protocole | Port sortant | Objectif | Client(s) |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Authentification auprès de Microsoft Online Services | tous |
*.wvd.microsoft.com |
TCP | 443 | Trafic de service | tous |
*.servicebus.windows.net |
TCP | 443 | Résolution des problèmes de données | tous |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | tous |
aka.ms |
TCP | 443 | Raccourcisseur d’URL Microsoft | tous |
learn.microsoft.com |
TCP | 443 | Documentation | tous |
privacy.microsoft.com |
TCP | 443 | Déclaration de confidentialité | tous |
*.cdn.office.net |
TCP | 443 | Mises à jour automatiques | Bureau Windows |
graph.microsoft.com |
TCP | 443 | Trafic de service | tous |
windows.cloud.microsoft |
TCP | 443 | Centre de connexion | tous |
windows365.microsoft.com |
TCP | 443 | Trafic de service | tous |
ecs.office.com |
TCP | 443 | Centre de connexion | tous |
*.events.data.microsoft.com |
TCP | 443 | Télémétrie du client | tous |
*.microsoftaik.azure.net |
TCP | 80 | Certificats | tous |
www.microsoft.com |
TCP | 80 | Certificats | tous |
*.aikcertaia.microsoft.com |
TCP | 80 | Certificats | tous |
azcsprodeusaikpublish.blob.core.windows.net |
TCP | 80 | Certificats | tous |
Si vous êtes sur un réseau fermé avec accès Internet restreint, vous devrez peut-être également autoriser les noms de domaine complets répertoriés ici pour les vérifications de certificat : Azure détails de l’autorité de certification | Microsoft Learn.
Étapes suivantes
Pour savoir comment débloquer ces noms de domaine complets et points de terminaison dans Pare-feu Azure, consultez Utiliser Pare-feu Azure pour protéger Azure Virtual Desktop.
Pour plus d’informations sur la connectivité réseau, consultez Présentation de la connectivité réseau Azure Virtual Desktop