為了部署 Azure 虛擬桌面並讓使用者能夠連接,您必須允許特定的 FQDN 和端點。 使用者還需要能夠連接特定的 FQDN 和端點,才能存取他們的 Azure 虛擬桌面資源。 本文列出了你需要允許的 FQDN 和端點,適用於你的會話主機和使用者。
如果你使用防火牆,例如 Azure 防火牆或代理服務,這些 FQDN 和端點可能會被封鎖。 關於如何在 Azure Virtual Desktop 中使用代理服務的指引,請參閱 Azure Virtual Desktop 代理服務指引。
你可以依照步驟執行 Azure 虛擬桌面代理程式的 URL 工具,檢查你的會話主機虛擬機是否能連接到這些 FQDN 和端點,該工具是檢查 Azure 虛擬桌面所需 FQDN 與端點的存取權限。 Azure 虛擬桌面代理 URL 工具會驗證每個 FQDN 和端點,並顯示你的會話主機是否能存取它們。
重要事項
Microsoft 不支援 Azure 虛擬桌面部署,因為本文列出的 FQDN 和端點會被封鎖。 本文不包含其他服務的 FQDN 與端點,例如 Microsoft Entra ID、Office 365、自訂 DNS 提供者或時間服務。 Microsoft Entra FQDN 與端點可在 Office 365 網址及 IP 位址範圍內的 ID 46、56、59 和 125 中找到,這些在受限的網路環境中可能需要。
服務標籤與 FQDN 標籤
服務標籤代表來自特定 Azure 服務的 IP 位址前綴群組。 Microsoft 管理服務標籤所涵蓋的位址前綴,並在位址變更時自動更新服務標籤,降低頻繁更新網路安全規則的複雜度。 服務標籤可用於網路安全群組 (NSG) Azure 防火牆的規則中,以限制出站網路存取。 服務標籤也可用於 用戶定義路由 (UDR) 以自訂流量路由行為。
Azure 防火牆 也支援 FQDN 標籤,代表一組完全合格的網域名稱 (FQDN,) 與知名Azure及其他Microsoft服務相關聯。 Azure 虛擬桌面沒有一個可以解除封鎖的 IP 位址範圍清單,而不是用 FQDN 來允許網路流量。 如果你使用的是下一代防火牆 (NGFW) ,你需要使用為Azure IP 位址建立的動態清單,以確保你能連線。 欲了解更多資訊,請參閱使用 Azure 防火牆保護 Azure 虛擬桌面部署。
Azure 虛擬桌面同時提供服務標籤和 FQDN 標籤條目。 我們建議您使用服務標籤和 FQDN 標籤來簡化您的 Azure 網路設定。
會話主機虛擬機
下表列出您的會話主機虛擬機在 Azure 虛擬桌面中需要存取的 FQDN 與端點。 所有入境均為出境;你不需要為 Azure 虛擬桌面開啟入站埠。 根據你使用的雲端選擇相關的分頁。
| 地址 | Protocol (通訊協定) | 出港口 | 用途 | 服務標籤 |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | 與 Microsoft Online Services 的認證 | AzureActiveDirectory |
51.5.0.0/16 |
UDP | 3478 | 中繼式 RDP 連接 | WindowsVirtualDesktop |
*.wvd.microsoft.com |
TCP | 443 | 包括基於 TCP 的 RDP 連線在內的服務流量 | WindowsVirtualDesktop |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | 代理程式流量 診斷輸出 |
AzureMonitor |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | 代理程式流量 | AzureMonitor |
azkms.core.windows.net |
TCP | 1688 | Windows 啟用 | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | 代理與並排 (SXS) 堆疊更新 | Storage |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Azure 入口網站支援 | AzureCloud |
169.254.169.254 |
TCP | 80 | Azure Instance Metadata service endpoint | 不適用 |
168.63.129.16 |
TCP | 80 | 會話主機健康監控 | 不適用 |
oneocsp.microsoft.com |
TCP | 80 | 憑證 | AzureFrontDoor.FirstParty |
www.microsoft.com |
TCP | 80 | 憑證 | 不適用 |
*.aikcertaia.microsoft.com |
TCP | 80 | 憑證 | 不適用 |
azcsprodeusaikpublish.blob.core.windows.net |
TCP | 80 | 憑證 | 不適用 |
*.microsoftaik.azure.net |
TCP | 80 | 憑證 | 不適用 |
ctldl.windowsupdate.com |
TCP | 80 | 憑證 | 不適用 |
aka.ms |
TCP | 443 | Microsoft URL shortener, used during session host deployment on Azure Local | 不適用 |
*.service.windows.cloud.microsoft |
TCP | 443 | 服務流量 | WindowsVirtualDesktop |
*.windows.cloud.microsoft |
TCP | 443 | 服務流量 | 不適用 |
*.windows.static.microsoft |
TCP | 443 | 服務流量 | 不適用 |
下表列出了您的會話主機虛擬機可能也需要存取的其他服務的選用 FQDN 與端點:
| 地址 | Protocol (通訊協定) | 出港口 | 用途 | 服務標籤 |
|---|---|---|---|---|
login.windows.net |
TCP | 443 | 登入 Microsoft 線上服務與 Microsoft 365 | AzureActiveDirectory |
*.events.data.microsoft.com |
TCP | 443 | 遙測服務 | 不適用 |
www.msftconnecttest.com |
TCP | 80 | 偵測會話主機是否連上網際網路 | 不適用 |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | 不適用 |
*.sfx.ms |
TCP | 443 | OneDrive 用戶端軟體的匯報 | 不適用 |
*.digicert.com |
TCP | 80 | 證書撤銷檢查 | 不適用 |
*.azure-dns.com |
TCP | 443 | Azure DNS resolution | 不適用 |
*.azure-dns.net |
TCP | 443 | Azure DNS resolution | 不適用 |
*eh.servicebus.windows.net |
TCP | 443 | 診斷設定 | EventHub |
提示
對於涉及 服務流量的 FQDN,必須使用通配字元 (*) 。
對於 代理流量,如果你不想使用萬用卡,以下是如何找到允許的特定 FQDN:
- 確保你的會話主機已經註冊到主機池。
- 在會話主機上,打開 事件檢視器,然後到 Windows 日誌>應用程式>WVD-Agent ,尋找事件 ID 3701。
- 解除你在事件 ID 3701 下找到的 FQDNS 封鎖。 事件ID 3701下的FQDNS是區域特定的。 你需要對每個 Azure 區域的相關 FQDN 重複這個流程,部署你的會話主機。
終端使用者裝置
任何使用遠端桌面用戶端連接 Azure 虛擬桌面的裝置,都必須能存取以下 FQDN 和端點。 允許這些 FQDN 與端點對於可靠的客戶體驗至關重要。 不支援阻擋這些 FQDN 和端點的存取,且會影響服務功能。
根據你使用的雲端選擇相關的分頁。
| 地址 | Protocol (通訊協定) | 出港口 | 用途 | 客戶 () |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | 與 Microsoft Online Services 的認證 | 全部 |
*.wvd.microsoft.com |
TCP | 443 | 服務流量 | 全部 |
*.servicebus.windows.net |
TCP | 443 | 資料故障排除 | 全部 |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | 全部 |
aka.ms |
TCP | 443 | Microsoft URL shortener | 全部 |
learn.microsoft.com |
TCP | 443 | 文件 | 全部 |
privacy.microsoft.com |
TCP | 443 | 隱私權聲明 | 全部 |
*.cdn.office.net |
TCP | 443 | Automatic updates | Windows 桌面 |
graph.microsoft.com |
TCP | 443 | 服務流量 | 全部 |
windows.cloud.microsoft |
TCP | 443 | 連接中心 | 全部 |
windows365.microsoft.com |
TCP | 443 | 服務流量 | 全部 |
ecs.office.com |
TCP | 443 | 連接中心 | 全部 |
*.events.data.microsoft.com |
TCP | 443 | 用戶端遙測 | 全部 |
*.microsoftaik.azure.net |
TCP | 80 | 憑證 | 全部 |
www.microsoft.com |
TCP | 80 | 憑證 | 全部 |
*.aikcertaia.microsoft.com |
TCP | 80 | 憑證 | 全部 |
azcsprodeusaikpublish.blob.core.windows.net |
TCP | 80 | 憑證 | 全部 |
如果你在封閉網路且網路存取受限,可能還需要允許這裡列出的 FQDN 進行憑證檢查:Azure 憑證授權中心詳情 |Microsoft Learn。
後續步驟
欲了解如何解除 Azure 防火牆中這些 FQDN 與端點的阻擋,請參閱「使用 Azure 防火牆以保護 Azure 虛擬桌面」。
欲了解更多網路連線資訊,請參閱《了解 Azure 虛擬桌面網路連線》