Sdílet prostřednictvím

Požadované plně kvalifikované názvy domén a koncové body pro Azure Virtual Desktop

Pokud chcete nasadit Azure Virtual Desktop a aby se vaši uživatelé mohli připojit, musíte povolit konkrétní plně kvalifikované názvy domén a koncové body. Uživatelé se také musí mít možnost připojit k určitým plně kvalifikovaným názvům domén a koncovým bodům, aby získali přístup k prostředkům služby Azure Virtual Desktop. Tento článek obsahuje seznam požadovaných plně kvalifikovaných názvů domén a koncových bodů, které potřebujete povolit pro hostitele a uživatele relací.

Tyto plně kvalifikované názvy domén a koncové body můžou být blokované, pokud používáte bránu firewall, například Azure Firewall nebo proxy službu. Pokyny k používání služby proxy se službou Azure Virtual Desktop najdete v tématu Pokyny ke službě proxy pro Azure Virtual Desktop.

Pokud chcete zkontrolovat, jestli se virtuální počítače hostitele relace můžou připojit k těmto plně kvalifikovaným názvům domén a koncovým bodům, postupujte podle kroků ke spuštění nástroje Adresa URL agenta Azure Virtual Desktopu v tématu Kontrola přístupu k požadovaným plně kvalifikovaným názvům domén a koncovým bodům pro Azure Virtual Desktop. Nástroj url agenta Azure Virtual Desktopu ověří každý plně kvalifikovaný název domény a koncový bod a ukáže, jestli k nim mají hostitelé relací přístup.

Důležité

  • Microsoft nepodporuje nasazení služby Azure Virtual Desktop, kde jsou plně kvalifikované názvy domén a koncové body uvedené v tomto článku blokované.

  • Tento článek nezahrnuje plně kvalifikované názvy domén a koncové body pro jiné služby, jako jsou Microsoft Entra ID, Office 365, vlastní poskytovatele DNS nebo časové služby. Microsoft Entra plně kvalifikované názvy domén a koncové body najdete v části ID 56, 59 a 125 v Office 365 adres URL a rozsahech IP adres.

Značky služeb a značky plně kvalifikovaného názvu domény

Značky služeb představují skupiny předpon IP adres z dané služby Azure. Microsoft spravuje předpony adres, které zahrnuje značka služby, a automaticky aktualizuje značku služby při změně adres, čímž minimalizuje složitost častých aktualizací pravidel zabezpečení sítě. Značky služeb je možné použít v pravidlech pro skupiny zabezpečení sítě (NSG) a Azure Firewall k omezení odchozího síťového přístupu. Značky služeb je také možné použít v trasách definovaných uživatelem k přizpůsobení chování směrování provozu.

Azure Firewall také podporuje značky plně kvalifikovaného názvu domény, které představují skupinu plně kvalifikovaných názvů domén přidružených k dobře známé službě Azure a dalším službám Microsoftu. Azure Virtual Desktop nemá seznam rozsahů IP adres, které můžete místo plně kvalifikovaných názvů domén odblokovat a povolit tak síťový provoz. Pokud používáte bránu firewall nové generace (NGFW), musíte použít dynamický seznam vytvořený pro IP adresy Azure, abyste měli jistotu, že se můžete připojit. Další informace najdete v tématu Použití Azure Firewall k ochraně nasazení služby Azure Virtual Desktop.

Azure Virtual Desktop má k dispozici značku služby i položku značky FQDN. Ke zjednodušení konfigurace sítě Azure doporučujeme používat značky služeb a značky plně kvalifikovaného názvu domény.

Virtuální počítače hostitele relace

V následující tabulce je seznam plně kvalifikovaných názvů domén a koncových bodů, ke které virtuální počítače, ke které vaše relace hostuje, potřebují přístup pro Azure Virtual Desktop. Všechny položky jsou odchozí; Nemusíte otevírat příchozí porty pro Službu Azure Virtual Desktop. Vyberte příslušnou kartu podle toho, který cloud používáte.

Adresa Protocol (Protokol) Odchozí port Účel Značka služby
login.microsoftonline.com TCP 443 Ověřování ve službách Microsoft Online Services AzureActiveDirectory
*.wvd.microsoft.com TCP 443 Provoz služby WindowsVirtualDesktop
catalogartifact.azureedge.net TCP 443 Azure Marketplace AzureFrontDoor.Frontend
*.prod.warm.ingest.monitor.core.windows.net TCP 443 Přenosy agentů
Výstup diagnostiky		 AzureMonitor
gcs.prod.monitoring.core.windows.net TCP 443 Přenosy agentů AzureMonitor
azkms.core.windows.net TCP 1688 Aktivace Windows Internet
mrsglobalsteus2prod.blob.core.windows.net TCP 443 Aktualizace agenta a souběžného (SXS) zásobníku Storage
wvdportalstorageblob.blob.core.windows.net TCP 443 podpora Azure Portal AzureCloud
169.254.169.254 TCP 80 Koncový bod služby Azure Instance Metadata Service Není k dispozici.
168.63.129.16 TCP 80 Monitorování stavu hostitele relace Není k dispozici.
oneocsp.microsoft.com TCP 80 Certifikáty AzureFrontDoor.FirstParty
www.microsoft.com TCP 80 Certifikáty Není k dispozici.
ctldl.windowsupdate.com TCP 80 Certifikáty Není k dispozici.
aka.ms TCP 443 Zkracovač adres URL od Microsoftu, který se používá při nasazování hostitele relace na Lokální Azure Není k dispozici.

Následující tabulka obsahuje seznam volitelných plně kvalifikovaných názvů domén a koncových bodů, ke kterým vaše relace hostuje virtuální počítače, které můžou také potřebovat přístup pro jiné služby:

Adresa Protocol (Protokol) Odchozí port Účel Značka služby
login.windows.net TCP 443 Přihlášení ke službám Microsoft Online Services a Microsoft 365 AzureActiveDirectory
*.events.data.microsoft.com TCP 443 Služba telemetrie Není k dispozici.
www.msftconnecttest.com TCP 80 Zjistí, jestli je hostitel relace připojený k internetu. Není k dispozici.
*.prod.do.dsp.mp.microsoft.com TCP 443 Windows Update Není k dispozici.
*.sfx.ms TCP 443 Aktualizace pro klientský software OneDrive Není k dispozici.
*.digicert.com TCP 80 Kontrola odvolání certifikátu Není k dispozici.
*.azure-dns.com TCP 443 Překlad Azure DNS Není k dispozici.
*.azure-dns.net TCP 443 Překlad Azure DNS Není k dispozici.
*eh.servicebus.windows.net TCP 443 Nastavení diagnostiky EventHub

Tip

Pro plně kvalifikované názvy domén zahrnující provoz služeb je nutné použít zástupný znak (*).

Pokud u provozu agenta nechcete používat zástupný znak, tady je postup, jak najít konkrétní plně kvalifikované názvy domén, které chcete povolit:

  1. Ujistěte se, že hostitelé relací jsou zaregistrovaní ve fondu hostitelů.
  2. Na hostiteli relace otevřete Prohlížeč událostí, přejděte do části Protokoly> WindowsApplication>WVD-Agent a vyhledejte ID události 3701.
  3. Odblokujte plně kvalifikované názvy domén, které najdete v id události 3701. Plně kvalifikované názvy domén s ID události 3701 jsou specifické pro danou oblast. Tento proces je potřeba zopakovat s příslušnými plně kvalifikovanými názvy domén pro každou oblast Azure, ve které chcete nasadit hostitele relací.

Zařízení koncových uživatelů

Každé zařízení, na kterém se připojujete ke službě Azure Virtual Desktop pomocí některého z klientů Vzdálené plochy , musí mít přístup k následujícím plně kvalifikovaným názvům domén a koncovým bodům. Povolení těchto plně kvalifikovaných názvů domén a koncových bodů je nezbytné pro spolehlivé prostředí klienta. Blokování přístupu k těmto plně kvalifikovaným názvům domén a koncovým bodům se nepodporuje a má vliv na funkčnost služby.

Vyberte příslušnou kartu podle toho, který cloud používáte.

Adresa Protocol (Protokol) Odchozí port Účel Klienti
login.microsoftonline.com TCP 443 Ověřování ve službách Microsoft Online Services Vše
*.wvd.microsoft.com TCP 443 Provoz služby Vše
*.servicebus.windows.net TCP 443 Řešení potíží s daty Vše
go.microsoft.com TCP 443 Microsoft FWLinks Vše
aka.ms TCP 443 Microsoft URL shortener Vše
learn.microsoft.com TCP 443 Dokumentace Vše
privacy.microsoft.com TCP 443 Prohlášení o zásadách ochrany osobních údajů Vše
*.cdn.office.net TCP 443 Automatické aktualizace Plocha Windows
graph.microsoft.com TCP 443 Provoz služby Vše
windows.cloud.microsoft TCP 443 Centrum připojení Vše
windows365.microsoft.com TCP 443 Provoz služby Vše
ecs.office.com TCP 443 Centrum připojení Vše
*.events.data.microsoft.com TCP 443 Telemetrie klienta Vše

Pokud jste v uzavřené síti s omezeným přístupem k internetu, možná budete také muset povolit tady uvedené plně kvalifikované názvy domén pro kontroly certifikátů: Podrobnosti o certifikační autoritě Azure | Microsoft Learn.

Další kroky