Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Pokud chcete nasadit Azure Virtual Desktop a aby se vaši uživatelé mohli připojit, musíte povolit konkrétní plně kvalifikované názvy domén a koncové body. Uživatelé se také musí mít možnost připojit k určitým plně kvalifikovaným názvům domén a koncovým bodům, aby získali přístup ke svým prostředkům Azure Virtual Desktopu. Tento článek obsahuje seznam požadovaných plně kvalifikovaných názvů domén a koncových bodů, které potřebujete povolit pro hostitele a uživatele relací.
Tyto plně kvalifikované názvy domén a koncové body můžou být blokované, pokud používáte bránu firewall, například Azure Firewall nebo proxy službu. Pokyny k používání služby proxy serveru se službou Azure Virtual Desktop najdete v tématu Pokyny ke službě proxy pro Azure Virtual Desktop.
Pokud chcete zkontrolovat, jestli se virtuální počítače hostitele relace můžou připojit k těmto plně kvalifikovaným názvům domén a koncovým bodům, postupujte podle kroků ke spuštění nástroje adresa URL agenta Azure Virtual Desktopu v tématu Kontrola přístupu k požadovaným plně kvalifikovaným názvům domén a koncovým bodům pro Azure Virtual Desktop. Nástroj Azure adresa URL agenta virtuálního počítače ověří každý plně kvalifikovaný název domény a koncový bod a ukáže, jestli k nim mají hostitelé relací přístup.
Důležité
Microsoft nepodporuje nasazení služby Virtual Desktop Azure, kde jsou plně kvalifikované názvy domén a koncové body uvedené v tomto článku blokované. Tento článek nezahrnuje plně kvalifikované názvy domén a koncové body pro jiné služby, jako jsou Microsoft Entra ID, Office 365, vlastní poskytovatelé DNS nebo časové služby. Microsoft Entra plně kvalifikované názvy domén a koncové body najdete v části ID 46, 56, 59 a 125 v Office 365 adres URL a rozsahech IP adres, které se můžou vyžadovat v prostředích s omezeným přístupem.
Značky služeb a značky plně kvalifikovaného názvu domény
Značky služeb představují skupiny předpon IP adres z dané služby Azure. Microsoft spravuje předpony adres, které zahrnuje značka služby, a automaticky aktualizuje značku služby při změně adres, čímž minimalizuje složitost častých aktualizací pravidel zabezpečení sítě. Značky služeb je možné použít v pravidlech pro skupiny zabezpečení sítě (NSG) a Azure Firewall k omezení odchozího síťového přístupu. Značky služeb je také možné použít v trasách definovaných uživatelem k přizpůsobení chování směrování provozu.
Azure Firewall také podporuje značky plně kvalifikovaného názvu domény, které představují skupinu plně kvalifikovaných názvů domén přidružených k dobře známým Azure a dalším službám Microsoftu. Azure Virtual Desktop nemá seznam rozsahů IP adres, které můžete místo plně kvalifikovaných názvů domén odblokovat a povolit tak síťový provoz. Pokud používáte bránu firewall nové generace (NGFW), musíte použít dynamický seznam pro Azure IP adresy, abyste měli jistotu, že se můžete připojit. Další informace najdete v tématu Ochrana nasazení Azure Virtual Desktopu pomocí Azure Firewall.
Azure Virtual Desktop má k dispozici značku služby i položku značky FQDN. Ke zjednodušení konfigurace Azure sítě doporučujeme používat značky služeb a značky plně kvalifikovaného názvu domény.
Virtuální počítače hostitele relace
V následující tabulce je seznam plně kvalifikovaných názvů domén a koncových bodů, ke které vaše relace hostuje virtuální počítače, které potřebují přístup pro Azure Virtual Desktop. Všechny položky jsou odchozí; Nemusíte otevírat příchozí porty pro Azure Virtual Desktop. Vyberte příslušnou kartu podle toho, který cloud používáte.
| Adresa | Protocol (Protokol) | Odchozí port | Účel | Značka služby |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Ověřování ve službách Microsoft Online Services | AzureActiveDirectory |
51.5.0.0/16 |
UDP | 3478 | Připojení předávaného protokolu RDP | WindowsVirtualDesktop |
*.wvd.microsoft.com |
TCP | 443 | Provoz služby včetně připojení protokolu RDP založených na protokolu TCP | WindowsVirtualDesktop |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Přenosy agentů Výstup diagnostiky |
AzureMonitor |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Přenosy agentů | AzureMonitor |
azkms.core.windows.net |
TCP | 1688 | Aktivace Windows | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Aktualizace agenta a souběžného (SXS) zásobníku | Storage |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | podpora Azure Portal | AzureCloud |
oneocsp.microsoft.com |
TCP | 80 | Certifikáty | AzureFrontDoor.FirstParty |
www.microsoft.com |
TCP | 80 | Certifikáty | Není k dispozici. |
*.aikcertaia.microsoft.com |
TCP | 80 | Certifikáty | Není k dispozici. |
azcsprodeusaikpublish.blob.core.windows.net |
TCP | 80 | Certifikáty | Není k dispozici. |
*.microsoftaik.azure.net |
TCP | 80 | Certifikáty | Není k dispozici. |
ctldl.windowsupdate.com |
TCP | 80 | Certifikáty | Není k dispozici. |
aka.ms |
TCP | 443 | Zkracovač adres URL od Microsoftu, který se používá při nasazování hostitele relace na Lokální Azure | Není k dispozici. |
*.service.windows.cloud.microsoft |
TCP | 443 | Provoz služby | WindowsVirtualDesktop |
*.windows.cloud.microsoft |
TCP | 443 | Provoz služby | Není k dispozici. |
*.windows.static.microsoft |
TCP | 443 | Provoz služby | Není k dispozici. |
IP adresy Azure komunikace s prostředky infrastruktury
Virtuální počítače hostitele relace a cloudové počítače vyžadují přístup ke dvěma IP adresám Azure platformy, aby načítaly metadata virtuálních počítačů a odesílaly signály monitorování stavu. Tyto adresy fungují jinak než plně kvalifikované názvy domén uvedené v předchozí tabulce a vyžadují specifickou konfiguraci sítě.
Důležité
Tyto IP adresy jsou Azure interními koncovými body platformy. Přenosy na tyto adresy nesmí být zachyceny, proxisovány ani přesměrovány. Konfigurace sítě, které blokují nebo přesměrovávají tento provoz, způsobí selhání zřizování, problémy s monitorováním stavu a problémy s připojením pro Azure Virtual Desktop i Windows 365.
| Adresa | Protocol (Protokol) | Odchozí port | Účel | Značka služby |
|---|---|---|---|---|
169.254.169.254 |
TCP | 80 | Azure Instance Metadata Service (IMDS) | Není k dispozici. |
168.63.129.16 |
TCP | 80, 32526 | Monitorování stavu hostitele relace | Není k dispozici. |
Proč se tyto adresy liší
169.254.169.254 (IMDS): Místní adresa odkazu, která poskytuje metadata virtuálního počítače a informace o identitě. Provoz je přístupný jenom z virtuálního počítače a nikdy neopustí hostitele.
168.63.129.16 (WireServer): Používá se agentem virtuálního počítače Azure pro signály stavu a komunikaci základní platformy, včetně DNS (při použití DNS poskytovaného Azure) a DHCP.
Tyto adresy jsou dostupné ve všech Azure oblastech a cloudech. Azure směrování platformy chrání tento provoz na vrstvě prostředků infrastruktury, takže standardní pravidla skupin zabezpečení sítě a trasy definované uživatelem ve výchozím nastavení neovlivňují připojení. V Azure nastavení sítě na hostiteli relace nebo v samotném cloudovém počítači ale existují konkrétní konfigurace, kterým je důležité se vyhnout. Další podrobnosti najdete v tomto dokumentu .
Další koncové body
Následující tabulka obsahuje seznam volitelných plně kvalifikovaných názvů domén a koncových bodů, ke kterým vaše relace hostuje virtuální počítače, které můžou také potřebovat přístup pro jiné služby:
| Adresa | Protocol (Protokol) | Odchozí port | Účel | Značka služby |
|---|---|---|---|---|
login.windows.net |
TCP | 443 | Přihlášení ke službám Microsoft Online Services a Microsoft 365 | AzureActiveDirectory |
*.events.data.microsoft.com |
TCP | 443 | Služba telemetrie | Není k dispozici. |
www.msftconnecttest.com |
TCP | 80 | Zjistí, jestli je hostitel relace připojený k internetu. | Není k dispozici. |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | Není k dispozici. |
*.sfx.ms |
TCP | 443 | Aktualizace pro klientský software OneDrive | Není k dispozici. |
*.digicert.com |
TCP | 80 | Kontrola odvolání certifikátu | Není k dispozici. |
*.azure-dns.com |
TCP | 443 | Azure překlad DNS | Není k dispozici. |
*.azure-dns.net |
TCP | 443 | Azure překlad DNS | Není k dispozici. |
*eh.servicebus.windows.net |
TCP | 443 | Nastavení diagnostiky | EventHub |
Tip
Pro plně kvalifikované názvy domén zahrnující provoz služeb je nutné použít zástupný znak (*).
Pokud u provozu agenta nechcete používat zástupný znak, tady je postup, jak najít konkrétní plně kvalifikované názvy domén, které chcete povolit:
- Ujistěte se, že hostitelé relací jsou zaregistrovaní ve fondu hostitelů.
- Na hostiteli relace otevřete Prohlížeč událostí, přejděte do části Protokoly> WindowsApplication>WVD-Agent a vyhledejte ID události 3701.
- Odblokujte plně kvalifikované názvy domén, které najdete v id události 3701. Plně kvalifikované názvy domén s ID události 3701 jsou specifické pro danou oblast. Tento proces musíte opakovat s příslušnými plně kvalifikovanými názvy domén pro každou Azure oblast, ve které chcete nasadit hostitele relace.
Zařízení koncových uživatelů
Každé zařízení, na kterém se pomocí některého z klientů Vzdálené plochy připojujete k Azure Virtual Desktop, musí mít přístup k následujícím plně kvalifikovaným názvům domén a koncovým bodům. Povolení těchto plně kvalifikovaných názvů domén a koncových bodů je nezbytné pro spolehlivé prostředí klienta. Blokování přístupu k těmto plně kvalifikovaným názvům domén a koncovým bodům se nepodporuje a má vliv na funkčnost služby.
Vyberte příslušnou kartu podle toho, který cloud používáte.
| Adresa | Protocol (Protokol) | Odchozí port | Účel | Klienti |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Ověřování ve službách Microsoft Online Services | Vše |
51.5.0.0/16 |
UDP | 3478 | Připojení předávaného protokolu RDP | Vše |
*.wvd.microsoft.com |
TCP | 443 | Provoz služby | Vše |
*.servicebus.windows.net |
TCP | 443 | Řešení potíží s daty | Vše |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | Vše |
aka.ms |
TCP | 443 | Microsoft URL shortener | Vše |
learn.microsoft.com |
TCP | 443 | Dokumentace | Vše |
privacy.microsoft.com |
TCP | 443 | Prohlášení o zásadách ochrany osobních údajů | Vše |
*.cdn.office.net |
TCP | 443 | Automatické aktualizace | Plocha Windows |
graph.microsoft.com |
TCP | 443 | Provoz služby | Vše |
windows.cloud.microsoft |
TCP | 443 | Centrum připojení | Vše |
windows365.microsoft.com |
TCP | 443 | Provoz služby | Vše |
ecs.office.com |
TCP | 443 | Centrum připojení | Vše |
*.events.data.microsoft.com |
TCP | 443 | Telemetrie klienta | Vše |
*.microsoftaik.azure.net |
TCP | 80 | Certifikáty | Vše |
www.microsoft.com |
TCP | 80 | Certifikáty | Vše |
*.aikcertaia.microsoft.com |
TCP | 80 | Certifikáty | Vše |
azcsprodeusaikpublish.blob.core.windows.net |
TCP | 80 | Certifikáty | Vše |
Pokud jste v uzavřené síti s omezeným přístupem k internetu, možná budete také muset povolit tady uvedené plně kvalifikované názvy domén pro kontroly certifikátů: Azure podrobnosti certifikační autority | Microsoft Learn.
Další kroky
Informace o odblokování těchto plně kvalifikovaných názvů domén a koncových bodů v Azure Firewall najdete v tématu Ochrana Azure Virtual Desktopu pomocí Azure Firewall.
Další informace o připojení k síti najdete v tématu Principy síťového připojení Azure virtuálních klientských počítačů.