Freigeben über

Erforderliche FQDNs und Endpunkte für Azure Virtual Desktop

Um Azure Virtual Desktop bereitzustellen und für Ihre Benutzer eine Verbindung herzustellen, müssen Sie bestimmte FQDNs und Endpunkte zulassen. Benutzer müssen auch in der Lage sein, eine Verbindung mit bestimmten FQDNs und Endpunkten herzustellen, um auf ihre Azure Virtual Desktop-Ressourcen zuzugreifen. In diesem Artikel werden die erforderlichen FQDNs und Endpunkte aufgeführt, die Sie für Ihre Sitzungshosts und Benutzer zulassen müssen.

Diese FQDNs und Endpunkte können blockiert werden, wenn Sie eine Firewall wie Azure Firewall oder einen Proxydienst verwenden. Eine Anleitung zur Verwendung eines Proxydiensts mit Azure Virtual Desktop finden Sie unter Richtlinien für Proxydienste für Azure Virtual Desktop.

Sie können überprüfen, ob Ihre Sitzungshost-VMs eine Verbindung mit diesen FQDNs und Endpunkten herstellen können, indem Sie die Schritte zum Ausführen des Url-Tools des Azure Virtual Desktop-Agents unter Überprüfen des Zugriffs auf erforderliche FQDNs und Endpunkte für Azure Virtual Desktop ausführen. Das Url-Tool des Azure Virtual Desktop-Agents überprüft jeden FQDN und Endpunkt und zeigt an, ob Ihre Sitzungshosts darauf zugreifen können.

Wichtig

  • Microsoft unterstützt keine Azure Virtual Desktop-Bereitstellungen, bei denen die in diesem Artikel aufgeführten FQDNs und Endpunkte blockiert sind.

  • Dieser Artikel enthält keine FQDNs und Endpunkte für andere Dienste wie Microsoft Entra ID, Office 365, benutzerdefinierte DNS-Anbieter oder Zeitdienste. Microsoft Entra FQDNs und Endpunkte finden Sie unter ID 56, 59 und 125 in Office 365 URLs und IP-Adressbereichen.

Diensttags und FQDN-Tags

Diensttags stellen Gruppen von IP-Adresspräfixen aus einem bestimmten Azure-Dienst dar. Microsoft verwaltet die Adresspräfixe, die das Diensttag umfasst, und aktualisiert das Diensttag automatisch, wenn sich Adressen ändern, wodurch die Komplexität häufiger Updates von Netzwerksicherheitsregeln minimiert wird. Diensttags können in Regeln für Netzwerksicherheitsgruppen (NSGs) und Azure Firewall verwendet werden, um den ausgehenden Netzwerkzugriff einzuschränken. Diensttags können auch in benutzerdefinierten Routen (User Defined Routes , UDRs) verwendet werden, um das Datenverkehrsroutingverhalten anzupassen.

Azure Firewall unterstützt auch FQDN-Tags, die eine Gruppe vollqualifizierter Domänennamen (FQDNs) darstellen, die bekannten Azure- und anderen Microsoft-Diensten zugeordnet sind. Azure Virtual Desktop verfügt nicht über eine Liste von IP-Adressbereichen, die Sie anstelle von FQDNs entsperren können, um Netzwerkdatenverkehr zuzulassen. Wenn Sie eine Next Generation Firewall (NGFW) verwenden, müssen Sie eine dynamische Liste für Azure-IP-Adressen verwenden, um sicherzustellen, dass Sie eine Verbindung herstellen können. Weitere Informationen finden Sie unter Verwenden von Azure Firewall zum Schützen von Azure Virtual Desktop-Bereitstellungen.

Azure Virtual Desktop verfügt über ein Diensttag und einen FQDN-Tageintrag. Es wird empfohlen, Diensttags und FQDN-Tags zu verwenden, um die Azure-Netzwerkkonfiguration zu vereinfachen.

Sitzungshost-VMs

Die folgende Tabelle enthält die Liste der FQDNs und Endpunkte, auf die Ihre Sitzungshost-VMs für Azure Virtual Desktop zugreifen müssen. Alle Einträge sind ausgehend; Sie müssen keine eingehenden Ports für Azure Virtual Desktop öffnen. Wählen Sie die relevante Registerkarte basierend auf der von Ihnen verwendeten Cloud aus.

Adresse Protokoll Ausgehender Port Zweck Diensttag
login.microsoftonline.com TCP 443 Authentifizierung bei Microsoft Online Services AzureActiveDirectory
*.wvd.microsoft.com TCP 443 Dienstdatenverkehr WindowsVirtualDesktop
catalogartifact.azureedge.net TCP 443 Azure Marketplace AzureFrontDoor.Frontend
*.prod.warm.ingest.monitor.core.windows.net TCP 443 Agent-Datenverkehr
Diagnoseausgabe		 AzureMonitor
gcs.prod.monitoring.core.windows.net TCP 443 Agent-Datenverkehr AzureMonitor
azkms.core.windows.net TCP 1688 Windows-Aktivierung Internet
mrsglobalsteus2prod.blob.core.windows.net TCP 443 Agent- und parallele Stapelupdates (SXS) Storage
wvdportalstorageblob.blob.core.windows.net TCP 443 Azure-Portalunterstützung AzureCloud
169.254.169.254 TCP 80 Azure Instance Metadata Service-Endpunkt Nicht zutreffend
168.63.129.16 TCP 80 Integritätsüberwachung des Sitzungshosts Nicht zutreffend
oneocsp.microsoft.com TCP 80 Zertifikate AzureFrontDoor.FirstParty
www.microsoft.com TCP 80 Zertifikate Nicht zutreffend
ctldl.windowsupdate.com TCP 80 Zertifikate Nicht zutreffend
aka.ms TCP 443 Microsoft URL Shortener, der bei der Bereitstellung des Sitzungshosts auf Azure Local Nicht zutreffend

In der folgenden Tabelle sind optionale FQDNs und Endpunkte aufgeführt, auf die Ihre virtuellen Sitzungshostcomputer möglicherweise auch für andere Dienste zugreifen müssen:

Adresse Protokoll Ausgehender Port Zweck Diensttag
login.windows.net TCP 443 Anmelden bei Microsoft Online Services und Microsoft 365 AzureActiveDirectory
*.events.data.microsoft.com TCP 443 Telemetriedienst Nicht zutreffend
www.msftconnecttest.com TCP 80 Erkennt, ob der Sitzungshost mit dem Internet verbunden ist. Nicht zutreffend
*.prod.do.dsp.mp.microsoft.com TCP 443 Windows Update Nicht zutreffend
*.sfx.ms TCP 443 Updates für OneDrive-Clientsoftware Nicht zutreffend
*.digicert.com TCP 80 Zertifikatsperrprüfung Nicht zutreffend
*.azure-dns.com TCP 443 Azure DNS-Auflösung Nicht zutreffend
*.azure-dns.net TCP 443 Azure DNS-Auflösung Nicht zutreffend
*eh.servicebus.windows.net TCP 443 Diagnoseeinstellungen EventHub

Tipp

Sie müssen das Platzhalterzeichen (*) für FQDNs verwenden, die Dienstdatenverkehr betreffen.

Wenn Sie für Agent-Datenverkehr keinen Wildcard verwenden möchten, finden Sie hier die folgenden Informationen, um bestimmte FQDNs zu finden, die zugelassen werden sollen:

  1. Stellen Sie sicher, dass Ihre Sitzungshosts in einem Hostpool registriert sind.
  2. Öffnen Sie auf einem Sitzungshost die Ereignisanzeige, wechseln Sie dann zu Windows-Protokolle>Anwendung>WVD-Agent , und suchen Sie nach der Ereignis-ID 3701.
  3. Heben Sie die Blockierung der FQDNs auf, die Sie unter ereignis-ID 3701 finden. Die FQDNs unter ereignis-ID 3701 sind regionsspezifisch. Sie müssen diesen Prozess mit den relevanten FQDNs für jede Azure-Region wiederholen, in der Sie Ihre Sitzungshosts bereitstellen möchten.

Endbenutzergeräte

Jedes Gerät, auf dem Sie einen der Remotedesktopclients verwenden, um eine Verbindung mit Azure Virtual Desktop herzustellen, muss Zugriff auf die folgenden FQDNs und Endpunkte haben. Das Zulassen dieser FQDNs und Endpunkte ist für eine zuverlässige Clientumgebung unerlässlich. Das Blockieren des Zugriffs auf diese FQDNs und Endpunkte wird nicht unterstützt und wirkt sich auf die Dienstfunktionalität aus.

Wählen Sie die relevante Registerkarte basierend auf der von Ihnen verwendeten Cloud aus.

Adresse Protokoll Ausgehender Port Zweck Client(s)
login.microsoftonline.com TCP 443 Authentifizierung bei Microsoft Online Services Alle
*.wvd.microsoft.com TCP 443 Dienstdatenverkehr Alle
*.servicebus.windows.net TCP 443 Problembehandlung für Daten Alle
go.microsoft.com TCP 443 Microsoft FWLinks Alle
aka.ms TCP 443 Microsoft URL shortener Alle
learn.microsoft.com TCP 443 Dokumentation Alle
privacy.microsoft.com TCP 443 Datenschutzerklärung Alle
*.cdn.office.net TCP 443 Automatische Updates Windows Desktop
graph.microsoft.com TCP 443 Dienstdatenverkehr Alle
windows.cloud.microsoft TCP 443 Connection Center Alle
windows365.microsoft.com TCP 443 Dienstdatenverkehr Alle
ecs.office.com TCP 443 Connection Center Alle
*.events.data.microsoft.com TCP 443 Clienttelemetrie Alle

Wenn Sie sich in einem geschlossenen Netzwerk mit eingeschränktem Internetzugriff befinden, müssen Sie möglicherweise auch die hier aufgeführten FQDNs für Zertifikatüberprüfungen zulassen: Details zur Azure-Zertifizierungsstelle | Microsoft Learn.

Nächste Schritte