Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Para implementar Azure Virtual Desktop e para que os seus utilizadores se liguem, tem de permitir FQDNs e pontos finais específicos. Os utilizadores também precisam de conseguir ligar a determinados FQDNs e pontos finais para aceder aos respetivos Azure recursos do Virtual Desktop. Este artigo lista os FQDNs e os pontos finais necessários que tem de permitir para os anfitriões e utilizadores da sessão.
Estes FQDNs e pontos finais podem ser bloqueados se estiver a utilizar uma firewall, como Firewall do Azure ou o serviço proxy. Para obter orientações sobre como utilizar um serviço proxy com o Azure Virtual Desktop, veja Diretrizes do serviço Proxy para Azure Virtual Desktop.
Pode marcar que as VMs anfitriãs de sessão se podem ligar a estes FQDNs e pontos finais ao seguir os passos para executar a Ferramenta de URL do Agente de Ambiente de Trabalho Virtual Azure em Verificar o acesso aos FQDNs e pontos finais necessários para o Azure Virtual Desktop. A Ferramenta de URL do Agente do Azure Virtual Desktop valida cada FQDN e ponto final e mostra se os anfitriões de sessão podem aceder aos mesmos.
Importante
A Microsoft não suporta Azure implementações do Virtual Desktop onde os FQDNs e os pontos finais listados neste artigo estão bloqueados. Este artigo não inclui FQDNs e pontos finais para outros serviços, como Microsoft Entra ID, Office 365, fornecedores DNS personalizados ou serviços de tempo. Microsoft Entra os FQDNs e os pontos finais podem ser encontrados em ID 46, 56, 59 e 125 em urls de Office 365 e intervalos de endereços IP, que podem ser necessários em ambientes de rede restritos.
Etiquetas de serviço e etiquetas FQDN
As etiquetas de serviço representam grupos de prefixos de endereços IP de um determinado serviço Azure. A Microsoft gere os prefixos de endereços englobados pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam, minimizando a complexidade das atualizações frequentes às regras de segurança de rede. As etiquetas de serviço podem ser utilizadas em regras para Grupos de Segurança de Rede (NSGs) e Firewall do Azure para restringir o acesso à rede de saída. As etiquetas de serviço também podem ser utilizadas em Rotas Definidas pelo Utilizador (UDRs) para personalizar o comportamento de encaminhamento de tráfego.
Firewall do Azure também suporta etiquetas FQDN, que representam um grupo de nomes de domínio completamente qualificados (FQDNs) associados a Azure conhecidos e outros serviços Microsoft. Azure Virtual Desktop não tem uma lista de intervalos de endereços IP que pode desbloquear em vez de FQDNs para permitir o tráfego de rede. Se estiver a utilizar uma Firewall de Próxima Geração (NGFW), terá de utilizar uma lista dinâmica feita para Azure endereços IP para se certificar de que consegue estabelecer ligação. Para obter mais informações, veja Utilizar Firewall do Azure para proteger Azure implementações do Virtual Desktop.
Azure Virtual Desktop tem uma etiqueta de serviço e uma entrada de etiqueta FQDN disponíveis. Recomendamos que utilize etiquetas de serviço e etiquetas FQDN para simplificar a configuração da rede Azure.
Máquinas virtuais do anfitrião de sessões
A tabela seguinte é a lista de FQDNs e pontos finais aos quais as VMs anfitriãs de sessão precisam de aceder para Azure Virtual Desktop. Todas as entradas são de saída; não precisa de abrir portas de entrada para o Azure Virtual Desktop. Selecione o separador relevante com base na nuvem que está a utilizar.
| Endereço | Protocolo | Porta de saída | Objetivo | Etiqueta de serviço |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Autenticação no Microsoft Online Services | AzureActiveDirectory |
51.5.0.0/16 |
UDP | 3478 | Conectividade RDP reencaminhada | WindowsVirtualDesktop |
*.wvd.microsoft.com |
TCP | 443 | Tráfego de serviço, incluindo conectividade RDP baseada em TCP | WindowsVirtualDesktop |
catalogartifact.azureedge.net |
TCP | 443 | Microsoft Azure Marketplace | AzureFrontDoor.Frontend |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Tráfego do agente Saída do diagnóstico |
AzureMonitor |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Tráfego do agente | AzureMonitor |
azkms.core.windows.net |
TCP | 1688 | Ativação do Windows | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Atualizações da pilha de agente e lado a lado (SXS) | Storage |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Portal de suporte do Azure | AzureCloud |
169.254.169.254 |
TCP | 80 | ponto final de serviço de Metadados de Instância do Azure | N/D |
168.63.129.16 |
TCP | 80 | Monitorização do estado de funcionamento do anfitrião da sessão | N/D |
oneocsp.microsoft.com |
TCP | 80 | Certificados | AzureFrontDoor.FirstParty |
www.microsoft.com |
TCP | 80 | Certificados | N/D |
*.aikcertaia.microsoft.com |
TCP | 80 | Certificados | N/D |
azcsprodeusaikpublish.blob.core.windows.net |
TCP | 80 | Certificados | N/D |
*.microsoftaik.azure.net |
TCP | 80 | Certificados | N/D |
ctldl.windowsupdate.com |
TCP | 80 | Certificados | N/D |
aka.ms |
TCP | 443 | Encurtador de URL da Microsoft, utilizado durante a implementação do anfitrião da sessão no Azure Local | N/D |
*.service.windows.cloud.microsoft |
TCP | 443 | Tráfego de Serviço | WindowsVirtualDesktop |
*.windows.cloud.microsoft |
TCP | 443 | Tráfego de Serviço | N/D |
*.windows.static.microsoft |
TCP | 443 | Tráfego de Serviço | N/D |
A tabela seguinte lista os FQDNs opcionais e os pontos finais aos quais as máquinas virtuais do anfitrião de sessões também poderão ter de aceder para outros serviços:
| Endereço | Protocolo | Porta de saída | Objetivo | Etiqueta de serviço |
|---|---|---|---|---|
login.windows.net |
TCP | 443 | Iniciar sessão no Microsoft Online Services e no Microsoft 365 | AzureActiveDirectory |
*.events.data.microsoft.com |
TCP | 443 | Serviço de Telemetria | N/D |
www.msftconnecttest.com |
TCP | 80 | Deteta se o anfitrião da sessão está ligado à Internet | N/D |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | N/D |
*.sfx.ms |
TCP | 443 | Atualizações para software de cliente do OneDrive | N/D |
*.digicert.com |
TCP | 80 | Marcar de revogação de certificados | N/D |
*.azure-dns.com |
TCP | 443 | resolução de DNS Azure | N/D |
*.azure-dns.net |
TCP | 443 | resolução de DNS Azure | N/D |
*eh.servicebus.windows.net |
TCP | 443 | Configurações de diagnóstico | EventHub |
Dica
Tem de utilizar o caráter universal (*) para FQDNs que envolvam o tráfego de serviço.
Para o tráfego do agente, se preferir não utilizar um caráter universal, eis como encontrar FQDNs específicos para permitir:
- Certifique-se de que os anfitriões de sessão estão registados num conjunto de anfitriões.
- Num anfitrião de sessão, abra o Visualizador de eventos e, em seguida, aceda a Registos>> do WindowsApplication WVD-Agent e procure o ID do evento 3701.
- Desbloqueie os FQDNs que encontrar no ID do evento 3701. Os FQDNs no ID do evento 3701 são específicos da região. Tem de repetir este processo com os FQDNs relevantes para cada região Azure onde pretende implementar os anfitriões de sessão.
Dispositivos de utilizador final
Qualquer dispositivo no qual utilize um dos clientes de Ambiente de Trabalho Remoto para ligar ao Azure Virtual Desktop tem de ter acesso aos seguintes FQDNs e pontos finais. Permitir estes FQDNs e pontos finais é essencial para uma experiência de cliente fiável. O bloqueio do acesso a estes FQDNs e pontos finais não é suportado e afeta a funcionalidade do serviço.
Selecione o separador relevante com base na nuvem que está a utilizar.
| Endereço | Protocolo | Porta de saída | Objetivo | Clientes |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Autenticação no Microsoft Online Services | Todos |
*.wvd.microsoft.com |
TCP | 443 | Tráfego de serviço | Todos |
*.servicebus.windows.net |
TCP | 443 | Resolver problemas de dados | Todos |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | Todos |
aka.ms |
TCP | 443 | Abreviador de URL da Microsoft | Todos |
learn.microsoft.com |
TCP | 443 | Documentação | Todos |
privacy.microsoft.com |
TCP | 443 | Política de privacidade | Todos |
*.cdn.office.net |
TCP | 443 | Atualizações automáticas | Windows Desktop |
graph.microsoft.com |
TCP | 443 | Tráfego de serviço | Todos |
windows.cloud.microsoft |
TCP | 443 | Centro de ligação | Todos |
windows365.microsoft.com |
TCP | 443 | Tráfego de serviço | Todos |
ecs.office.com |
TCP | 443 | Centro de ligação | Todos |
*.events.data.microsoft.com |
TCP | 443 | Telemetria do cliente | Todos |
*.microsoftaik.azure.net |
TCP | 80 | Certificados | Todos |
www.microsoft.com |
TCP | 80 | Certificados | Todos |
*.aikcertaia.microsoft.com |
TCP | 80 | Certificados | Todos |
azcsprodeusaikpublish.blob.core.windows.net |
TCP | 80 | Certificados | Todos |
Se estiver numa rede fechada com acesso restrito à Internet, também poderá ter de permitir que os FQDNs listados aqui para verificações de certificados: Azure detalhes da Autoridade de Certificação | Microsoft Learn.
Próximas etapas
Verifique o acesso aos FQDNs e pontos finais necessários para Azure Virtual Desktop.
Para saber como desbloquear estes FQDNs e pontos finais no Firewall do Azure, consulte Utilizar Firewall do Azure para proteger Azure Virtual Desktop.
Para obter mais informações sobre a conectividade de rede, veja Understanding Azure Virtual Desktop network connectivity (Compreender a conectividade de rede do Azure Virtual Desktop)