Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Aby wdrożyć usługę Azure Virtual Desktop i umożliwić użytkownikom nawiązywanie połączenia, należy zezwolić na określone nazwy FQDN i punkty końcowe. Użytkownicy muszą również mieć możliwość nawiązywania połączenia z niektórymi nazwami FQDN i punktami końcowymi, aby uzyskać dostęp do swoich zasobów Azure usługi Virtual Desktop. W tym artykule wymieniono wymagane nazwy FQDN i punkty końcowe, które należy zezwolić na hosty sesji i użytkowników.
Te nazwy FQDN i punkty końcowe mogą zostać zablokowane, jeśli używasz zapory, takiej jak Azure Firewall lub usługa serwera proxy. Aby uzyskać wskazówki dotyczące korzystania z usługi serwera proxy z usługą Azure Virtual Desktop, zobacz Wytyczne dotyczące usługi serwera proxy dla usługi Azure Virtual Desktop.
Możesz sprawdzić, czy maszyny wirtualne hosta sesji mogą łączyć się z tymi nazwami FQDN i punktami końcowymi, wykonując kroki uruchamiania narzędzia adresu URL agenta Azure pulpitu wirtualnego w temacie Sprawdzanie dostępu do wymaganych nazw FQDN i punktów końcowych dla usługi Azure Virtual Desktop. Narzędzie Azure Virtual Desktop Agent URL Tool weryfikuje każdą nazwę FQDN i punkt końcowy i pokazuje, czy hosty sesji mogą uzyskiwać do nich dostęp.
Ważna
Firma Microsoft nie obsługuje Azure wdrożeń pulpitu wirtualnego, w których są blokowane nazwy FQDN i punkty końcowe wymienione w tym artykule. Ten artykuł nie zawiera nazw FQDN i punktów końcowych dla innych usług, takich jak Tożsamość Microsoft Entra, Office 365, niestandardowych dostawców DNS ani usług czasowych. Microsoft Entra nazwY FQDN i punkty końcowe można znaleźć w obszarze Identyfikator 46, 56, 59 i 125 w Office 365 adresach URL i zakresach adresów IP, co może być wymagane w ograniczonych środowiskach sieciowych.
Tagi usługi i tagi FQDN
Tagi usługi reprezentują grupy prefiksów adresów IP z danej usługi Azure. Firma Microsoft zarządza prefiksami adresów objętymi tagiem usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów, minimalizując złożoność częstych aktualizacji reguł zabezpieczeń sieci. Tagów usług można używać w regułach sieciowych grup zabezpieczeń i Azure Firewall w celu ograniczenia dostępu do sieci wychodzącej. Tagów usługi można również używać w trasach zdefiniowanych przez użytkownika (UDR) w celu dostosowania zachowania routingu ruchu.
Azure Firewall obsługuje również tagi FQDN, które reprezentują grupę w pełni kwalifikowanych nazw domen (FQDN) skojarzonych z dobrze znanymi Azure i innymi usługami firmy Microsoft. Azure program Virtual Desktop nie ma listy zakresów adresów IP, które można odblokować zamiast nazw FQDN, aby zezwolić na ruch sieciowy. Jeśli używasz zapory nowej generacji (NGFW), musisz użyć listy dynamicznej utworzonej dla Azure adresów IP, aby upewnić się, że możesz nawiązać połączenie. Aby uzyskać więcej informacji, zobacz Use Azure Firewall to protect Azure Virtual Desktop deployments (Używanie Azure Firewall do ochrony wdrożeń usługi Virtual Desktop).
Azure program Virtual Desktop ma zarówno tag usługi, jak i wpis tagu FQDN. Zalecamy użycie tagów usługi i tagów FQDN, aby uprościć konfigurację sieci Azure.
Maszyny wirtualne hosta sesji
Poniższa tabela zawiera listę nazw FQDN i punktów końcowych, do których maszyny wirtualne hosta sesji muszą uzyskać dostęp dla Azure Virtual Desktop. Wszystkie wpisy są wychodzące; Nie musisz otwierać portów przychodzących dla Azure Virtual Desktop. Wybierz odpowiednią kartę na podstawie używanej chmury.
| Adres | Protocol (Protokół) | Port wychodzący | Cel | Tag usługi |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Uwierzytelnianie w usługach Microsoft Online Services | AzureActiveDirectory |
51.5.0.0/16 |
UDP | 3478 | Przekaźnik łączności RDP | WindowsVirtualDesktop |
*.wvd.microsoft.com |
TCP | 443 | Ruch usługi, w tym łączność RDP oparta na protokole TCP | WindowsVirtualDesktop |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Ruch agenta Dane wyjściowe diagnostyki |
AzureMonitor |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Ruch agenta | AzureMonitor |
azkms.core.windows.net |
TCP | 1688 | Aktywacja systemu Windows | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Aktualizacje stosu agenta i stosu side-by-side (SXS) | Storage |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | obsługa Azure Portal | AzureCloud |
169.254.169.254 |
TCP | 80 | punkt końcowy usługi metadanych wystąpienia Azure | Nie dotyczy |
168.63.129.16 |
TCP | 80 | Monitorowanie kondycji hosta sesji | Nie dotyczy |
oneocsp.microsoft.com |
TCP | 80 | Certyfikaty | AzureFrontDoor.FirstParty |
www.microsoft.com |
TCP | 80 | Certyfikaty | Nie dotyczy |
*.aikcertaia.microsoft.com |
TCP | 80 | Certyfikaty | Nie dotyczy |
azcsprodeusaikpublish.blob.core.windows.net |
TCP | 80 | Certyfikaty | Nie dotyczy |
*.microsoftaik.azure.net |
TCP | 80 | Certyfikaty | Nie dotyczy |
ctldl.windowsupdate.com |
TCP | 80 | Certyfikaty | Nie dotyczy |
aka.ms |
TCP | 443 | Skracacz adresu URL firmy Microsoft używany podczas wdrażania hosta sesji w Azure lokalnie | Nie dotyczy |
*.service.windows.cloud.microsoft |
TCP | 443 | Ruch usługi | WindowsVirtualDesktop |
*.windows.cloud.microsoft |
TCP | 443 | Ruch usługi | Nie dotyczy |
*.windows.static.microsoft |
TCP | 443 | Ruch usługi | Nie dotyczy |
W poniższej tabeli wymieniono opcjonalne nazwy FQDN i punkty końcowe, do których mogą być również potrzebne maszyny wirtualne hosta sesji dla innych usług:
| Adres | Protocol (Protokół) | Port wychodzący | Cel | Tag usługi |
|---|---|---|---|---|
login.windows.net |
TCP | 443 | Zaloguj się do usług Microsoft Online Services i Microsoft 365 | AzureActiveDirectory |
*.events.data.microsoft.com |
TCP | 443 | Usługa telemetrii | Nie dotyczy |
www.msftconnecttest.com |
TCP | 80 | Wykrywa, czy host sesji jest połączony z Internetem | Nie dotyczy |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | Nie dotyczy |
*.sfx.ms |
TCP | 443 | Aktualizacje oprogramowania klienckiego usługi OneDrive | Nie dotyczy |
*.digicert.com |
TCP | 80 | Sprawdzanie odwołania certyfikatu | Nie dotyczy |
*.azure-dns.com |
TCP | 443 | Azure rozpoznawanie nazw DNS | Nie dotyczy |
*.azure-dns.net |
TCP | 443 | Azure rozpoznawanie nazw DNS | Nie dotyczy |
*eh.servicebus.windows.net |
TCP | 443 | Ustawienia diagnostyczne | EventHub |
Porada
Należy użyć symbolu wieloznacznego (*) dla nazw FQDN obejmujących ruch usługi.
W przypadku ruchu agenta, jeśli nie chcesz używać symbolu wieloznacznego, poniżej przedstawiono sposób znajdowania określonych nazw FQDN w celu zezwolenia:
- Upewnij się, że hosty sesji są zarejestrowane w puli hostów.
- Na hoście sesji otwórz podgląd zdarzeń, a następnie przejdź do obszaru Dzienniki> systemu WindowsApplication>WVD-Agent i poszukaj identyfikatora zdarzenia 3701.
- Odblokuj nazwy FQDN znajdujące się w obszarze identyfikatora zdarzenia 3701. Nazwy FQDN o identyfikatorze zdarzenia 3701 są specyficzne dla regionu. Należy powtórzyć ten proces z odpowiednimi nazwami FQDN dla każdego regionu Azure, w których chcesz wdrożyć hosty sesji.
Urządzenia użytkowników końcowych
Każde urządzenie, na którym jest używany jeden z klientów pulpitu zdalnego do nawiązywania połączenia z usługą Azure Virtual Desktop, musi mieć dostęp do następujących nazw FQDN i punktów końcowych. Zezwolenie na te nazwy FQDN i punkty końcowe jest niezbędne dla niezawodnego środowiska klienta. Blokowanie dostępu do tych nazw FQDN i punktów końcowych nie jest obsługiwane i ma wpływ na funkcjonalność usługi.
Wybierz odpowiednią kartę na podstawie używanej chmury.
| Adres | Protocol (Protokół) | Port wychodzący | Cel | Klienci |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Uwierzytelnianie w usługach Microsoft Online Services | Wszystkie |
*.wvd.microsoft.com |
TCP | 443 | Ruch usługi | Wszystkie |
*.servicebus.windows.net |
TCP | 443 | Rozwiązywanie problemów z danymi | Wszystkie |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | Wszystkie |
aka.ms |
TCP | 443 | Skracacz adresu URL firmy Microsoft | Wszystkie |
learn.microsoft.com |
TCP | 443 | Dokumentacja | Wszystkie |
privacy.microsoft.com |
TCP | 443 | Polityka prywatności | Wszystkie |
*.cdn.office.net |
TCP | 443 | Aktualizacje automatyczne | Windows Desktop |
graph.microsoft.com |
TCP | 443 | Ruch usługi | Wszystkie |
windows.cloud.microsoft |
TCP | 443 | Centrum połączeń | Wszystkie |
windows365.microsoft.com |
TCP | 443 | Ruch usługi | Wszystkie |
ecs.office.com |
TCP | 443 | Centrum połączeń | Wszystkie |
*.events.data.microsoft.com |
TCP | 443 | Telemetria klienta | Wszystkie |
*.microsoftaik.azure.net |
TCP | 80 | Certyfikaty | Wszystkie |
www.microsoft.com |
TCP | 80 | Certyfikaty | Wszystkie |
*.aikcertaia.microsoft.com |
TCP | 80 | Certyfikaty | Wszystkie |
azcsprodeusaikpublish.blob.core.windows.net |
TCP | 80 | Certyfikaty | Wszystkie |
Jeśli jesteś w zamkniętej sieci z ograniczonym dostępem do Internetu, może być również konieczne zezwolenie na nazwy FQDN wymienione tutaj na potrzeby sprawdzania certyfikatów: Azure szczegóły urzędu certyfikacji | Microsoft Learn.
Następne kroki
Sprawdź dostęp do wymaganych nazw FQDN i punktów końcowych dla Azure Virtual Desktop.
Aby dowiedzieć się, jak odblokować te nazwy FQDN i punkty końcowe w Azure Firewall, zobacz Używanie Azure Firewall do ochrony Azure virtual desktop.
Aby uzyskać więcej informacji na temat łączności sieciowej, zobacz Understanding Azure Virtual Desktop network connectivity (Omówienie łączności sieciowej Azure virtual desktop)