Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Pokud chcete nasadit Azure Virtual Desktop a aby se vaši uživatelé mohli připojit, musíte povolit konkrétní plně kvalifikované názvy domén a koncové body. Uživatelé se také musí mít možnost připojit k určitým plně kvalifikovaným názvům domén a koncovým bodům, aby získali přístup ke svým prostředkům Azure Virtual Desktopu. Tento článek obsahuje seznam požadovaných plně kvalifikovaných názvů domén a koncových bodů, které potřebujete povolit pro hostitele a uživatele relací.
Tyto plně kvalifikované názvy domén a koncové body můžou být blokované, pokud používáte bránu firewall, například Azure Firewall nebo proxy službu. Pokyny k používání služby proxy serveru se službou Azure Virtual Desktop najdete v tématu Pokyny ke službě proxy pro Azure Virtual Desktop.
Pokud chcete zkontrolovat, jestli se virtuální počítače hostitele relace můžou připojit k těmto plně kvalifikovaným názvům domén a koncovým bodům, postupujte podle kroků ke spuštění nástroje adresa URL agenta Azure Virtual Desktopu v tématu Kontrola přístupu k požadovaným plně kvalifikovaným názvům domén a koncovým bodům pro Azure Virtual Desktop. Nástroj Azure adresa URL agenta virtuálního počítače ověří každý plně kvalifikovaný název domény a koncový bod a ukáže, jestli k nim mají hostitelé relací přístup.
Důležité
Microsoft nepodporuje nasazení služby Virtual Desktop Azure, kde jsou plně kvalifikované názvy domén a koncové body uvedené v tomto článku blokované. Tento článek nezahrnuje plně kvalifikované názvy domén a koncové body pro jiné služby, jako jsou Microsoft Entra ID, Office 365, vlastní poskytovatelé DNS nebo časové služby. Microsoft Entra plně kvalifikované názvy domén a koncové body najdete v části ID 46, 56, 59 a 125 v Office 365 adres URL a rozsahech IP adres, které se můžou vyžadovat v prostředích s omezeným přístupem.
Značky služeb a značky plně kvalifikovaného názvu domény
Značky služeb představují skupiny předpon IP adres z dané služby Azure. Microsoft spravuje předpony adres, které zahrnuje značka služby, a automaticky aktualizuje značku služby při změně adres, čímž minimalizuje složitost častých aktualizací pravidel zabezpečení sítě. Značky služeb je možné použít v pravidlech pro skupiny zabezpečení sítě (NSG) a Azure Firewall k omezení odchozího síťového přístupu. Značky služeb je také možné použít v trasách definovaných uživatelem k přizpůsobení chování směrování provozu.
Azure Firewall také podporuje značky plně kvalifikovaného názvu domény, které představují skupinu plně kvalifikovaných názvů domén přidružených k dobře známým Azure a dalším službám Microsoftu. Azure Virtual Desktop nemá seznam rozsahů IP adres, které můžete místo plně kvalifikovaných názvů domén odblokovat a povolit tak síťový provoz. Pokud používáte bránu firewall nové generace (NGFW), musíte použít dynamický seznam pro Azure IP adresy, abyste měli jistotu, že se můžete připojit. Další informace najdete v tématu Ochrana nasazení Azure Virtual Desktopu pomocí Azure Firewall.
Azure Virtual Desktop má k dispozici značku služby i položku značky FQDN. Ke zjednodušení konfigurace Azure sítě doporučujeme používat značky služeb a značky plně kvalifikovaného názvu domény.
Virtuální počítače hostitele relace
V následující tabulce je seznam plně kvalifikovaných názvů domén a koncových bodů, ke které vaše relace hostuje virtuální počítače, které potřebují přístup pro Azure Virtual Desktop. Všechny položky jsou odchozí; Nemusíte otevírat příchozí porty pro Azure Virtual Desktop. Vyberte příslušnou kartu podle toho, který cloud používáte.
| Adresa | Protocol (Protokol) | Odchozí port | Účel | Značka služby |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Ověřování ve službách Microsoft Online Services | AzureActiveDirectory |
51.5.0.0/16 |
Protokol udp | 3478 | Připojení předávaného protokolu RDP | WindowsVirtualDesktop |
*.wvd.microsoft.com |
TCP | 443 | Provoz služby včetně připojení protokolu RDP založených na protokolu TCP | WindowsVirtualDesktop |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Přenosy agentů Výstup diagnostiky |
AzureMonitor |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Přenosy agentů | AzureMonitor |
azkms.core.windows.net |
TCP | 1688 | Aktivace Windows | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Aktualizace agenta a souběžného (SXS) zásobníku | Storage |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | podpora Azure Portal | AzureCloud |
169.254.169.254 |
TCP | 80 | koncový bod služby metadat Azure instance | Není k dispozici. |
168.63.129.16 |
TCP | 80 | Monitorování stavu hostitele relace | Není k dispozici. |
oneocsp.microsoft.com |
TCP | 80 | Certifikáty | AzureFrontDoor.FirstParty |
www.microsoft.com |
TCP | 80 | Certifikáty | Není k dispozici. |
*.aikcertaia.microsoft.com |
TCP | 80 | Certifikáty | Není k dispozici. |
azcsprodeusaikpublish.blob.core.windows.net |
TCP | 80 | Certifikáty | Není k dispozici. |
*.microsoftaik.azure.net |
TCP | 80 | Certifikáty | Není k dispozici. |
ctldl.windowsupdate.com |
TCP | 80 | Certifikáty | Není k dispozici. |
aka.ms |
TCP | 443 | Zkracovač adres URL od Microsoftu, který se používá při nasazování hostitele relace na Lokální Azure | Není k dispozici. |
*.service.windows.cloud.microsoft |
TCP | 443 | Provoz služby | WindowsVirtualDesktop |
*.windows.cloud.microsoft |
TCP | 443 | Provoz služby | Není k dispozici. |
*.windows.static.microsoft |
TCP | 443 | Provoz služby | Není k dispozici. |
Následující tabulka obsahuje seznam volitelných plně kvalifikovaných názvů domén a koncových bodů, ke kterým vaše relace hostuje virtuální počítače, které můžou také potřebovat přístup pro jiné služby:
| Adresa | Protocol (Protokol) | Odchozí port | Účel | Značka služby |
|---|---|---|---|---|
login.windows.net |
TCP | 443 | Přihlášení ke službám Microsoft Online Services a Microsoft 365 | AzureActiveDirectory |
*.events.data.microsoft.com |
TCP | 443 | Služba telemetrie | Není k dispozici. |
www.msftconnecttest.com |
TCP | 80 | Zjistí, jestli je hostitel relace připojený k internetu. | Není k dispozici. |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | Není k dispozici. |
*.sfx.ms |
TCP | 443 | Aktualizace pro klientský software OneDrive | Není k dispozici. |
*.digicert.com |
TCP | 80 | Kontrola odvolání certifikátu | Není k dispozici. |
*.azure-dns.com |
TCP | 443 | Azure překlad DNS | Není k dispozici. |
*.azure-dns.net |
TCP | 443 | Azure překlad DNS | Není k dispozici. |
*eh.servicebus.windows.net |
TCP | 443 | Nastavení diagnostiky | EventHub |
Tip
Pro plně kvalifikované názvy domén zahrnující provoz služeb je nutné použít zástupný znak (*).
Pokud u provozu agenta nechcete používat zástupný znak, tady je postup, jak najít konkrétní plně kvalifikované názvy domén, které chcete povolit:
- Ujistěte se, že hostitelé relací jsou zaregistrovaní ve fondu hostitelů.
- Na hostiteli relace otevřete Prohlížeč událostí, přejděte do části Protokoly> WindowsApplication>WVD-Agent a vyhledejte ID události 3701.
- Odblokujte plně kvalifikované názvy domén, které najdete v id události 3701. Plně kvalifikované názvy domén s ID události 3701 jsou specifické pro danou oblast. Tento proces musíte opakovat s příslušnými plně kvalifikovanými názvy domén pro každou Azure oblast, ve které chcete nasadit hostitele relace.
Zařízení koncových uživatelů
Každé zařízení, na kterém se pomocí některého z klientů Vzdálené plochy připojujete k Azure Virtual Desktop, musí mít přístup k následujícím plně kvalifikovaným názvům domén a koncovým bodům. Povolení těchto plně kvalifikovaných názvů domén a koncových bodů je nezbytné pro spolehlivé prostředí klienta. Blokování přístupu k těmto plně kvalifikovaným názvům domén a koncovým bodům se nepodporuje a má vliv na funkčnost služby.
Vyberte příslušnou kartu podle toho, který cloud používáte.
| Adresa | Protocol (Protokol) | Odchozí port | Účel | Klienti |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Ověřování ve službách Microsoft Online Services | Vše |
*.wvd.microsoft.com |
TCP | 443 | Provoz služby | Vše |
*.servicebus.windows.net |
TCP | 443 | Řešení potíží s daty | Vše |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | Vše |
aka.ms |
TCP | 443 | Microsoft URL shortener | Vše |
learn.microsoft.com |
TCP | 443 | Dokumentace | Vše |
privacy.microsoft.com |
TCP | 443 | Prohlášení o zásadách ochrany osobních údajů | Vše |
*.cdn.office.net |
TCP | 443 | Automatické aktualizace | Plocha Windows |
graph.microsoft.com |
TCP | 443 | Provoz služby | Vše |
windows.cloud.microsoft |
TCP | 443 | Centrum připojení | Vše |
windows365.microsoft.com |
TCP | 443 | Provoz služby | Vše |
ecs.office.com |
TCP | 443 | Centrum připojení | Vše |
*.events.data.microsoft.com |
TCP | 443 | Telemetrie klienta | Vše |
*.microsoftaik.azure.net |
TCP | 80 | Certifikáty | Vše |
www.microsoft.com |
TCP | 80 | Certifikáty | Vše |
*.aikcertaia.microsoft.com |
TCP | 80 | Certifikáty | Vše |
azcsprodeusaikpublish.blob.core.windows.net |
TCP | 80 | Certifikáty | Vše |
Pokud jste v uzavřené síti s omezeným přístupem k internetu, možná budete také muset povolit tady uvedené plně kvalifikované názvy domén pro kontroly certifikátů: Azure podrobnosti certifikační autority | Microsoft Learn.
Další kroky
Informace o odblokování těchto plně kvalifikovaných názvů domén a koncových bodů v Azure Firewall najdete v tématu Ochrana Azure Virtual Desktopu pomocí Azure Firewall.
Další informace o připojení k síti najdete v tématu Principy síťového připojení Azure virtuálních klientských počítačů.