Erforderliche FQDNs und Endpunkte für Azure Virtual Desktop

  • Artikel

Damit Sie Azure Virtual Desktop bereitstellen und Ihre Benutzer*innen eine Verbindung herstellen können, müssen Sie bestimmte vollqualifizierte Domänennamen (Fully Qualified Domain Name, FQDN) und Endpunkte zulassen. Benutzer*innen müssen auch in der Lage sein, sich mit bestimmten FQDNs und Endpunkten zu verbinden, um auf ihre Azure Virtual Desktop-Ressourcen zuzugreifen. In diesem Artikel werden die erforderlichen FQDNs und Endpunkte aufgeführt, die Sie für Ihre Sitzungshosts und Benutzer*innen zulassen müssen.

Diese FQDNs und Endpunkte können blockiert werden, wenn Sie eine Firewall wie Azure Firewall oder einen Proxydienst verwenden. Einen Leitfaden zur Verwendung eines Proxydiensts mit Azure Virtual Desktop finden Sie unter Proxyserverrichtlinien für Azure Virtual Desktop. Dieser Artikel enthält keine FQDNs und Endpunkte für andere Dienste wie Microsoft Entra ID, Office 365, benutzerdefinierte DNS-Anbieter oder Zeitdienste. Microsoft Entra-FQDNs und -Endpunkte finden Sie unter den IDs 56, 59 und 125 in URLs und IP-Adressbereiche von Office 365.

Sie können überprüfen, ob Ihre Sitzungshost-VMs eine Verbindung mit diesen FQDNs und Endpunkten herstellen können, indem Sie die Schritte zum Ausführen des URL-Tools des Azure Virtual Desktop-Agents unter Überprüfen des Zugriffs auf erforderliche FQDNs und Endpunkte für Azure Virtual Desktop ausführen. Das URL-Tool des Azure Virtual Desktop-Agents überprüft jeden FQDN und Endpunkt und zeigt an, ob Ihre Sitzungshosts auf diese zugreifen können.

Wichtig

Microsoft unterstützt keine Azure Virtual Desktop-Bereitstellungen, bei denen die in diesem Artikel aufgeführten FQDNs und Endpunkte blockiert sind.

Virtuelle Sitzungshost-Computer

In der folgenden Tabelle finden Sie die Liste der FQDNs und Endpunkte, die für Ihre Sitzungshost-VMs zugänglich sein müssen, um auf Azure Virtual Desktop zuzugreifen. Bei allen Einträgen handelt es sich um ausgehende Ports. Sie müssen keine eingehenden Ports für Azure Virtual Desktop öffnen. Wählen Sie die relevante Registerkarte basierend auf der von Ihnen verwendeten Cloud aus.

Adresse Protokoll Ausgehender Port Purpose Diensttag
login.microsoftonline.com TCP 443 Authentifizierung bei Microsoft Online Services
*.wvd.microsoft.com TCP 443 Dienstdatenverkehr WindowsVirtualDesktop
*.prod.warm.ingest.monitor.core.windows.net TCP 443 Agent-Datenverkehr
Diagnoseausgabe		 AzureMonitor
catalogartifact.azureedge.net TCP 443 Azure Marketplace AzureFrontDoor.Frontend
gcs.prod.monitoring.core.windows.net TCP 443 Agent-Datenverkehr AzureCloud
kms.core.windows.net TCP 1688 Aktivierung von Windows Internet
azkms.core.windows.net TCP 1688 Aktivierung von Windows Internet
mrsglobalsteus2prod.blob.core.windows.net TCP 443 Agent- und parallele (Side-by-Side, SXS) Stapelupdates AzureCloud
wvdportalstorageblob.blob.core.windows.net TCP 443 Unterstützung des Azure-Portals AzureCloud
169.254.169.254 TCP 80 Azure-Instanzmetadatendienst-Endpunkt N/V
168.63.129.16 TCP 80 Sitzungshost-Systemüberwachung N/V
oneocsp.microsoft.com TCP 80 Zertifikate N/V
www.microsoft.com TCP 80 Zertifikate N/V

In der folgenden Tabelle sind optionale FQDNs und Endpunkte aufgeführt, auf die Ihre Sitzungshost-VMs möglicherweise für andere Dienste ebenfalls zugreifen müssen:

Adresse Protokoll Ausgehender Port Purpose
login.windows.net TCP 443 Anmelden bei Microsoft Online Services und Microsoft 365
*.events.data.microsoft.com TCP 443 Telemetriedienst
www.msftconnecttest.com TCP 80 Ermittelt, ob der Sitzungshost mit dem Internet verbunden ist.
*.prod.do.dsp.mp.microsoft.com TCP 443 Windows Update
*.sfx.ms TCP 443 Updates für die OneDrive-Clientsoftware
*.digicert.com TCP 80 Überprüfung der Zertifikatsperre
*.azure-dns.com TCP 443 Azure DNS-Auflösung
*.azure-dns.net TCP 443 Azure DNS-Auflösung
*eh.servicebus.windows.net TCP 443 Diagnoseeinstellungen

Diese Liste enthält keine FQDNs und Endpunkte für andere Dienste wie Microsoft Entra ID, Office 365, benutzerdefinierte DNS-Anbieter oder Zeitdienste. Microsoft Entra-FQDNs und -Endpunkte finden Sie unter den IDs 56, 59 und 125 in URLs und IP-Adressbereiche von Office 365.

Tipp

Sie müssen das Platzhalterzeichen (*) für FQDNs für Dienstdatenverkehr verwenden. Falls Sie für Agent-Datenverkehr kein Platzhalterzeichen verwenden, können Sie spezifische FQDNs, die zugelassen werden müssen, wie folgt ermitteln:

  1. Vergewissern Sie sich, dass die virtuellen Sitzungshost-Computer in einem Hostpool registriert sind.
  2. Öffnen Sie auf einem Sitzungshost die Ereignisanzeige, navigieren Sie zu Windows-Protokolle>Anwendung>WVD-Agent, und suchen Sie nach der Ereignis-ID 3701.
  3. Heben Sie die Blockierung von FQDNs auf, die Sie unter der Ereignis-ID 3701 finden. Die FQDNs unter der Ereignis-ID 3701 sind regionsspezifisch. Sie müssen diesen Vorgang mit den entsprechenden FQDNs für jede Azure-Region wiederholen, in der Sie Ihre Sitzungshost-VMs bereitstellen möchten.

Dienst-Tags und FQDN-Tags

Ein Dienst-Tag für ein virtuelles Netzwerk steht für eine Gruppe von IP-Adresspräfixen aus einem bestimmten Azure-Dienst. Microsoft verwaltet die Adresspräfixe, für die das Diensttag gilt, und aktualisiert das Tag automatisch, wenn sich die Adressen ändern. Auf diese Weise wird die Komplexität häufiger Updates an Netzwerksicherheitsregeln minimiert. Dienst-Tags können sowohl in der Netzwerksicherheitsgruppe (NSG) als auch in Azure Firewall-Regeln verwendet werden, um den ausgehenden Netzwerkzugriff einzuschränken. Dienst-Tags können auch in benutzerdefinierter Route (UDR) verwendet werden, um das Routing-Verhalten des Datenverkehrs anzupassen.

Azure Firewall unterstützt Azure Virtual Desktop als FQDN-Tag. Weitere Informationen finden Sie unter Verwenden von Azure Firewall zum Schutz von Azure Virtual Desktop-Bereitstellungen.

Wir empfehlen, FQDN- oder Diensttags zu verwenden, um die Konfiguration zu vereinfachen. Die aufgeführten FQDNs, Endpunkte und Tags beziehen sich nur auf Azure Virtual Desktop-Websites und -Ressourcen. FQDNs und Endpunkte für andere Dienste wie Microsoft Entra ID sind nicht enthalten. Diensttags für andere Dienste finden Sie unter Verfügbare Diensttags.

Azure Virtual Desktop verfügt nicht über eine Liste mit IP-Adressbereichen, die Sie anstelle von FQDNs entsperren können, um Netzwerkdatenverkehr zuzulassen. Wenn Sie eine Firewall der nächsten Generation (Next Generation Firewall, NGFW) verwenden, müssen Sie eine dynamische Liste verwenden, die für Azure-IP-Adressen erstellt wurde, um sicherzustellen, dass Sie eine Verbindung herstellen können.

Endbenutzergeräte

Alle Geräte, auf denen Sie mit einem der Remotedesktopclients eine Verbindung mit Azure Virtual Desktop herstellen, müssen auf die folgenden FQDNs und Endpunkte zugreifen können. Das Zulassen dieser FQDNs und Endpunkte ist für einen zuverlässigen Clientbetrieb von entscheidender Bedeutung. Das Blockieren des Zugriffs auf diese FQDNs und Endpunkte wird nicht unterstützt und beeinträchtigt die Dienstfunktionalität.

Wählen Sie die relevante Registerkarte basierend auf der von Ihnen verwendeten Cloud aus.

Adresse Protokoll Ausgehender Port Purpose Client(s)
login.microsoftonline.com TCP 443 Authentifizierung bei Microsoft Online Services All
*.wvd.microsoft.com TCP 443 Dienstdatenverkehr All
*.servicebus.windows.net TCP 443 Problembehandlung für Daten All
go.microsoft.com TCP 443 Microsoft FWLinks All
aka.ms TCP 443 Microsoft-URL-Verkürzung All
learn.microsoft.com TCP 443 Dokumentation All
privacy.microsoft.com TCP 443 Datenschutzbestimmungen All
query.prod.cms.rt.microsoft.com TCP 443 Laden Sie eine MSI-Datei herunter, um den Client zu aktualisieren. Erforderlich für automatische Updates. Windows Desktop

Diese FQDNs und Endpunkte gelten lediglich für die Clientstandorte und -ressourcen. Die Liste enthält keine FQDNs und Endpunkte für andere Dienste wie Microsoft Entra ID oder Office 365. Microsoft Entra-FQDNs und -Endpunkte finden Sie unter den IDs 56, 59 und 125 in URLs und IP-Adressbereiche von Office 365.

Nächste Schritte