Requisitos de redes de Microsoft Dev Box
Microsoft Dev Box es un servicio que permite a los usuarios conectarse a una estación de trabajo basada en la nube que se ejecuta en Azure mediante Internet, desde cualquier dispositivo en cualquier lugar. Para admitir estas conexiones de Internet, debe seguir los requisitos de redes enumerados en este artículo. Debe trabajar con el equipo de red y el equipo de seguridad de su organización para planear e implementar el acceso a la red para los cuadros de desarrollo.
Microsoft Dev Box está estrechamente relacionado con los servicios de Windows 365 y Azure Virtual Desktop y, en muchos casos, los requisitos de red son los mismos.
Requisitos de red generales
Los equipos de desarrollo requieren una conexión de red para acceder a los recursos. Puede elegir entre una conexión de red hospedada por Microsoft y una conexión de red de Azure que cree en su propia suscripción. La elección de un método para permitir el acceso a los recursos de red depende de dónde estén basados los recursos.
Cuando se usa una conexión hospedada por Microsoft:
- Microsoft proporciona y administra completamente la infraestructura.
- Puede administrar la seguridad del equipo de desarrollo desde Microsoft Intune.
Para usar su propia red y aprovisionar equipos de desarrollo unidos a Microsoft Entra, debe cumplir los siguientes requisitos:
- Red virtual de Azure: debe tener una red virtual en la suscripción de Azure. La región que seleccione para la red virtual es donde Azure implementa los cuadros de desarrollo.
- Una subred dentro de la red virtual y el espacio de direcciones IP disponible.
- Ancho de banda de red: consulte Directrices de red de Azure.
Para usar su propia red y aprovisionar equipos de desarrollo unidos a Microsoft Entra híbrido, debe cumplir los requisitos anteriores y los siguientes requisitos:
- La red virtual de Azure debe poder resolver entradas de Domain Name Services (DNS) para el entorno de Active Directory Domain Services (AD DS). Para admitir esta resolución, defina los servidores DNS de AD DS como los servidores DNS de la red virtual.
- La red virtual de Azure debe tener acceso de red a un controlador de dominio empresarial, ya sea en Azure o en el entorno local.
Al conectarse a recursos locales mediante uniones a Microsoft Entra híbrido, trabaje con su experto en topología de red de Azure. El procedimiento recomendado es implementar una topología de red en estrella tipo hub-and-spoke. El centro es el punto central que se conecta a la red local; puede usar Express Route, una VPN de sitio a sitio o una VPN de punto a sitio. El radio es la red virtual que contiene los equipos de desarrollo. Empareje la red virtual del equipo de desarrollo a la red virtual conectada del entorno local para proporcionar acceso a los recursos locales. La topología en estrella tipo hub-and-spoke puede ayudarle a administrar el tráfico de red y la seguridad.
Importante
Al usar su propia red, Microsoft Dev Box no admite actualmente el traslado de interfaces de red a una red virtual o a una subred diferente.
Permitir la conectividad de red
En la configuración de red, debe permitir el tráfico a las siguientes direcciones URL y puertos de servicio para admitir el aprovisionamiento, la administración y la conectividad remota de los equipos de desarrollo.
FQDN y puntos de conexión necesarios para Microsoft Dev Box
Para configurar los equipos de desarrollo y permitir que los usuarios se conecten a los recursos, debe permitir el tráfico de nombres de dominio completos (FQDN) y puntos de conexión específicos. Estos FQDN y puntos de conexión podrían bloquearse si usa un firewall, como Azure Firewall o el servicio de proxy.
Puede comprobar que los equipos de desarrollo puedan conectarse a estos FQDN y puntos de conexión siguiendo los pasos para ejecutar la herramienta de dirección URL del agente de Azure Virtual Desktop en Comprobación del acceso a los FQDN y los puntos de conexión necesarios para Azure Virtual Desktop. La herramienta de dirección URL del agente de Azure Virtual Desktop valida cada FQDN y punto de conexión y muestra si los equipos de desarrollo pueden acceder a ellos.
Importante
Microsoft no admite implementaciones de equipos de desarrollo en las que estén bloqueados los FQDN y los puntos de conexión enumerados en este artículo.
Aunque la mayoría de la configuración es para la red de equipos de desarrollo basada en la nube, la conectividad del usuario final se produce desde un dispositivo físico. Por lo tanto, también debe seguir las directrices de conectividad de la red del dispositivo físico.
| Dispositivo o servicio | Puertos y direcciones URL necesarios para la conectividad de red | Descripción |
|---|---|---|
| Dispositivo físico | Vínculo | Conectividad y actualizaciones del cliente de Escritorio remoto. |
| Servicio Microsoft Intune | Vínculo | Servicios en la nube de Intune, como la administración de dispositivos, la entrega de aplicaciones y el análisis de puntos de conexión. |
| Máquina virtual del host de sesión de Azure Virtual Desktop | Vínculo | Conectividad remota entre los equipos de desarrollo y el servicio back-end de Azure Virtual Desktop. |
| Servicio Windows 365 | Vínculo | Comprobaciones de estado y aprovisionamiento. |
Puntos de conexión necesarios
Se requieren las siguientes direcciones URL y puertos para el aprovisionamiento de equipos de desarrollo y las comprobaciones de estado de conexión de red de Azure (ANC). Todos los puntos de conexión se conectan mediante el puerto 443 a menos que se especifique lo contrario.
- Puntos de conexión de servicio de Windows 365
- Puntos de conexión de comunicación del equipo de desarrollo
- Puntos de conexión de registro
- *.infra.windows365.microsoft.com
- cpcsaamssa1prodprap01.blob.core.windows.net
- cpcsaamssa1prodprau01.blob.core.windows.net
- cpcsaamssa1prodpreu01.blob.core.windows.net
- cpcsaamssa1prodpreu02.blob.core.windows.net
- cpcsaamssa1prodprna01.blob.core.windows.net
- cpcsaamssa1prodprna02.blob.core.windows.net
- cpcstcnryprodprap01.blob.core.windows.net
- cpcstcnryprodprau01.blob.core.windows.net
- cpcstcnryprodpreu01.blob.core.windows.net
- cpcstcnryprodpreu02.blob.core.windows.net
- cpcstcnryprodprna01.blob.core.windows.net
- cpcstcnryprodprna02.blob.core.windows.net
- cpcstprovprodpreu01.blob.core.windows.net
- cpcstprovprodpreu02.blob.core.windows.net
- cpcstprovprodprna01.blob.core.windows.net
- cpcstprovprodprna02.blob.core.windows.net
- cpcstprovprodprap01.blob.core.windows.net
- cpcstprovprodprau01.blob.core.windows.net
- prna01.prod.cpcgateway.trafficmanager.net
- prna02.prod.cpcgateway.trafficmanager.net
- preu01.prod.cpcgateway.trafficmanager.net
- preu02.prod.cpcgateway.trafficmanager.net
- prap01.prod.cpcgateway.trafficmanager.net
- prau01.prod.cpcgateway.trafficmanager.net
Uso de etiquetas de FQDN y etiquetas de servicio para puntos de conexión mediante Azure Firewall
La administración de los controles de seguridad de red para los equipos de desarrollo puede ser compleja. Para simplificar la configuración, use etiquetas de nombre de dominio completo (FQDN) y etiquetas de servicio para permitir el tráfico de red.
Etiquetas de nombre de dominio completo
Una etiqueta de FQDN es una etiqueta predefinida en Azure Firewall que representa un grupo de nombres de dominio completos. Mediante el uso de etiquetas de FQDN, puede crear y mantener fácilmente reglas de salida para servicios específicos como Windows 365 sin especificar manualmente cada nombre de dominio.
Los firewalls que no son de Microsoft normalmente no admiten etiquetas de FQDN ni etiquetas de servicio. Puede haber un término diferente para la misma funcionalidad; compruebe la documentación del firewall.
Etiquetas de servicio
Una etiqueta de servicio representa un grupo de prefijos de direcciones IP de un servicio de Azure determinado. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian, lo que minimiza la complejidad de las actualizaciones frecuentes en las reglas de seguridad de red. Las etiquetas de servicio se pueden usar en las reglas del grupo de seguridad de red (NSG) y las de Azure Firewall para restringir el acceso de red saliente, y en una ruta definida por el usuario (UDR) para personalizar el comportamiento de enrutamiento del tráfico.
Los FQDN y puntos de conexión y etiquetas de la lista solo corresponden a los recursos y sitios de Azure Virtual Desktop. No incluyen FQDN ni puntos de conexión para otros servicios como Microsoft Entra ID. Para obtener etiquetas de servicio de otros servicios, consulte Etiquetas de servicio disponibles.
Azure Virtual Desktop no tiene ninguna lista de intervalos de direcciones IP que pueda desbloquear en lugar de FQDN para permitir el tráfico de red. Si usa un firewall de próxima generación (NGFW), deberá usar una lista dinámica hecha para las direcciones IP de Azure para asegurarse de que puede conectarse.
Para más información, consulte Uso de Azure Firewall para administrar y proteger entornos de Windows 365.
En la tabla siguiente, se muestra la lista de los FQDN y los puntos de conexión a los que necesitan acceder los equipos de desarrollo. Todas las entradas de la lista son de salida; no es necesario abrir puertos de entrada para los equipos de desarrollo.
| Dirección | Protocolo | Puerto de salida | Fin | Etiqueta de servicio |
|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | Autenticación en Microsoft Online Services | |
| *.wvd.microsoft.com | TCP | 443 | Tráfico de servicio | WindowsVirtualDesktop |
| *.prod.warm.ingest.monitor.core.windows.net | TCP | 443 | Salida del diagnóstico del tráfico del agente | AzureMonitor |
| catalogartifact.azureedge.net | TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
| gcs.prod.monitoring.core.windows.net | TCP | 443 | Tráfico de agente | AzureCloud |
| kms.core.windows.net | TCP | 1688 | Activación de Windows | Internet |
| azkms.core.windows.net | TCP | 1688 | Activación de Windows | Internet |
| mrsglobalsteus2prod.blob.core.windows.net | TCP | 443 | Actualizaciones de la pila del agente y en paralelo (SXS) | AzureCloud |
| wvdportalstorageblob.blob.core.windows.net | TCP | 443 | Soporte técnico de Azure Portal | AzureCloud |
| 169.254.169.254 | TCP | 80 | Punto de conexión de servicio de metadatos de instancias de Azure | N/D |
| 168.63.129.16 | TCP | 80 | Seguimiento de estado del host de sesión | N/D |
| oneocsp.microsoft.com | TCP | 80 | Certificados | N/D |
| www.microsoft.com | TCP | 80 | Certificados | N/D |
En la tabla siguiente se enumeran los FQDN y puntos de conexión opcionales a los que es posible que las máquinas virtuales del host de sesión también necesiten acceder a otros servicios:
| Dirección | Protocolo | Puerto de salida | Propósito |
|---|---|---|---|
| login.windows.net | TCP | 443 | Inicio de sesión en Microsoft Online Services y Microsoft 365 |
| *.events.data.microsoft.com | TCP | 443 | Servicio de telemetría |
| www.msftconnecttest.com | TCP | 80 | Detecta si el host de sesión está conectado a Internet |
| *.prod.do.dsp.mp.microsoft.com | TCP | 443 | Windows Update |
| *.sfx.ms | TCP | 443 | Actualizaciones del software cliente de OneDrive |
| *.digicert.com | TCP | 80 | Comprobación de revocación de certificados |
| *.azure-dns.com | TCP | 443 | Resolución de Azure DNS |
| *.azure-dns.net | TCP | 443 | Resolución de Azure DNS |
En esta lista, no se incluyen los FQDN ni los puntos de conexión de otros servicios, como Microsoft Entra ID, Office 365, proveedores de DNS personalizados o servicios de hora. Los FQDN y los puntos de conexión de Microsoft Entra se pueden encontrar en los identificadores 56, 59 y 125 de Direcciones URL e intervalos de direcciones IP de Office 365.
Sugerencia
Debe usar el carácter comodín (*) para los FQDN que impliquen tráfico de servicio. En el caso del tráfico del agente, si prefiere no usar un carácter comodín, aquí se muestra cómo buscar FQDN específicos:
- Asegúrese de que las máquinas virtuales del host de sesión estén registradas en un grupo de hosts.
- En un host de sesión, abra Visor de eventos y vaya a Registros de Windows>Aplicación>WVD-Agent y busque el evento con el identificador 3701.
- Desbloquee los FQDN que encuentre en el evento con el identificador 3701. Los FQDN con el identificador de evento 3701 son específicos de la región. Deberá repetir este proceso con los FQDN pertinentes de cada región de Azure en la que quiera implementar las máquinas virtuales del host de sesión.
Puntos de conexión de servicio del agente de Protocolo de Escritorio remoto (RDP)
La conectividad directa con los puntos de conexión de servicio del agente de RDP de Azure Virtual Desktop es fundamental para el rendimiento remoto en un equipo de desarrollo. Estos puntos de conexión afectan tanto a la conectividad como a la latencia. Para alinearse con los principios de conectividad de red de Microsoft 365, debe clasificar estos puntos de conexión como puntos de conexión Optimizar y usar un Shortpath de Protocolo de escritorio remoto (RDP) desde la red virtual de Azure hasta esos puntos de conexión. Shortpath de RDP puede proporcionar otra ruta de conexión para mejorar la conectividad del equipo de desarrollo, especialmente en condiciones de red poco óptimas.
Para facilitar la configuración de los controles de seguridad de red, use etiquetas de servicio de Azure Virtual Desktop para identificar esos puntos de conexión para el enrutamiento directo mediante una ruta definida por el usuario (UDR) de Redes de Azure. Una UDR da como resultado el enrutamiento directo entre la red virtual y el agente de RDP para obtener una latencia más baja. Para obtener más información sobre las etiquetas de servicio de Azure, consulte Introducción a las etiquetas de servicio de Azure. Cambiar las rutas de red de un equipo de desarrollo (en la capa de red o en la capa del equipo de desarrollo, como una VPN) podría interrumpir la conexión entre el equipo de desarrollo y el agente de RDP de Azure Virtual Desktop. Si es así, se desconecta al usuario final de su equipo de desarrollo hasta que se vuelva a establecer una conexión.
Requisitos de DNS
Como parte de los requisitos de unión a Microsoft Entra híbrido, los equipos de desarrollo deben poder unirse a Active Directory local. Los equipos de desarrollo deben ser capaces de resolver registros DNS del entorno de AD local para unirse.
Configure la instancia de Azure Virtual Network donde se aprovisionan los equipos de desarrollo de la siguiente manera:
- Asegúrese de que Azure Virtual Network tenga conectividad de red con los servidores DNS que pueden resolver el dominio de Active Directory.
- En la configuración de Azure Virtual Network, seleccione Servidores DNS>Personalizado.
- Escriba la dirección IP de los servidores DNS del entorno que pueden resolver el dominio de AD DS.
Sugerencia
Agregar al menos dos servidores DNS, como lo haría con un equipo físico, ayuda a mitigar el riesgo de un único punto de error en la resolución de nombres. Para obtener más información, consulte Configuración de redes virtuales de Azure.
Conexión a recursos locales
Puede permitir que los equipos de desarrollo se conecten a los recursos locales mediante una conexión híbrida. Trabaje con su experto en red de Azure para implementar una topología de red en estrella tipo hub-and-spoke. El centro es el punto central que se conecta a la red local; puede usar Express Route, una VPN de sitio a sitio o una VPN de punto a sitio. El radio es la red virtual que contiene los equipos de desarrollo. La topología en estrella tipo hub-and-spoke puede ayudarle a administrar el tráfico de red y la seguridad. Empareje la red virtual del equipo de desarrollo a la red virtual conectada del entorno local para proporcionar acceso a los recursos locales.
Tecnologías de interceptación de tráfico
Algunos clientes empresariales usan la interceptación de tráfico, el descifrado SSL, la inspección profunda de paquetes y otras tecnologías similares para que los equipos de seguridad supervisen el tráfico de red. Es posible que el aprovisionamiento del equipo de desarrollo necesite acceso directo a la máquina virtual. Estas tecnologías de interceptación de tráfico pueden causar problemas con la ejecución de las comprobaciones de conexión de red de Azure o el aprovisionamiento de equipos de desarrollo. Asegúrese de que no se aplique ninguna interceptación de red para los equipos de desarrollo aprovisionados en Microsoft Dev Box.
Las tecnologías de interceptación de tráfico pueden agravar los problemas de latencia. Puede usar un Shortpath de Protocolo de escritorio remoto (RDP) para ayudar a minimizar los problemas de latencia.
Dispositivos de usuario final
Cualquier dispositivo en el que use uno de los clientes de Escritorio remoto para conectarse a Azure Virtual Desktop debe tener acceso a los siguientes FQDN y puntos de conexión. Permitir estos FQDN y puntos de conexión es esencial para una experiencia de cliente confiable. No se admite el bloqueo del acceso a estos FQDN y puntos de conexión y afecta a la funcionalidad del servicio.
| Dirección | Protocolo | Puerto de salida | Propósito | Clientes |
|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | Autenticación en Microsoft Online Services | All |
| *.wvd.microsoft.com | TCP | 443 | Tráfico de servicio | All |
| *.servicebus.windows.net | TCP | 443 | Solución de problemas de los datos | All |
| go.microsoft.com | TCP | 443 | Microsoft FWLinks | All |
| aka.ms | TCP | 443 | Acortador de direcciones URL de Microsoft | All |
| learn.microsoft.com | TCP | 443 | Documentación | All |
| privacy.microsoft.com | TCP | 443 | Declaración de privacidad | All |
| query.prod.cms.rt.microsoft.com | TCP | 443 | Descargue un MSI para actualizar el cliente. Necesario para las actualizaciones automáticas. | Escritorio de Windows |
Estos FQDN y puntos de conexión solo corresponden a los sitios y recursos de cliente. Esta lista no incluye FQDN ni puntos de conexión para otros servicios, como Microsoft Entra ID u Office 365. Los FQDN y los puntos de conexión de Microsoft Entra se pueden encontrar en los identificadores 56, 59 y 125 de Direcciones URL de Office 365 e intervalos de direcciones IP.
Solución de problemas
En esta sección se tratan algunos problemas comunes de conexión y red.
Problemas de conexión
Error al intentar iniciar sesión
Si el usuario del equipo de desarrollo experimenta problemas de inicio de sesión y ve un mensaje de error que indica que se produjo un error en el intento de inicio de sesión, asegúrese de haber habilitado el protocolo PKU2U en el equipo local y en el host de sesión.
Para obtener más información sobre cómo solucionar errores de inicio de sesión, consulte Solución de problemas de conexiones a máquinas virtuales unidas a Microsoft Entra: cliente de Escritorio de Windows.
Problemas de directiva de grupo en entornos híbridos
Si usa un entorno híbrido, es posible que experimente problemas de directiva de grupo. Puede probar si el problema está relacionado con la directiva de grupo excluyendo temporalmente el equipo de desarrollo de la directiva de grupo.
Para obtener más información sobre cómo solucionar problemas de directiva de grupo, consulte Guía para la solución de problemas de aplicación de directivas de grupo.
Problemas de direccionamiento IPv6
Si experimenta problemas de IPv6, compruebe que el punto de conexión de servicio Microsoft.AzureActiveDirectory no esté habilitado en la red virtual o la subred. Este punto de conexión de servicio convierte la dirección IPv4 en IPv6.
Para obtener más información, consulte Puntos de conexión de servicio de red virtual.
Actualización de problemas de imagen de definición de equipo de desarrollo
Al actualizar la imagen usada en una definición de cuadro de desarrollo, debe asegurarse de que tiene suficientes direcciones IP disponibles en la red virtual. Se necesitan direcciones IP gratuitas adicionales para la comprobación de estado de la conexión de red de Azure. Si se produce un error en la comprobación de estado, la definición de la casilla de desarrollo no se actualizará. Necesita una dirección IP adicional por cuadro de desarrollo y dos direcciones IP para la comprobación de estado y la infraestructura de Dev Box.
Para obtener más información sobre cómo actualizar imágenes de definición de equipo de desarrollo, consulte Actualización de una definición de equipo de desarrollo.
Contenido relacionado
- Compruebe el acceso a los FQDN y los puntos de conexión necesarios para Azure Virtual Desktop.
- Para obtener información sobre cómo desbloquear estos FQDN y puntos de conexión en Azure Firewall, consulte Uso de Azure Firewall para proteger Azure Virtual Desktop.
- Para obtener más información sobre la conectividad de red, consulte Descripción de la conectividad de red de Azure Virtual Desktop.