Compartir a través de

FQDN y puntos de conexión necesarios para Azure Virtual Desktop

Para implementar Azure Virtual Desktop y para que los usuarios se conecten, debe permitir FQDN y puntos de conexión específicos. Los usuarios también deben poder conectarse a determinados FQDN y puntos de conexión para acceder a sus recursos de Azure Virtual Desktop. En este artículo se enumeran los FQDN y puntos de conexión necesarios que debe permitir para los usuarios y los hosts de sesión.

Estos FQDN y puntos de conexión podrían bloquearse si usa un firewall, como Azure Firewall o un servicio proxy. Para obtener instrucciones sobre el uso de un servicio de proxy con Azure Virtual Desktop, consulte Instrucciones del servicio proxy para Azure Virtual Desktop.

Puede comprobar que las máquinas virtuales del host de sesión pueden conectarse a estos FQDN y puntos de conexión siguiendo los pasos para ejecutar la herramienta de dirección URL del agente de Azure Virtual Desktop en Comprobación del acceso a los FQDN y puntos de conexión necesarios para Azure Virtual Desktop. La herramienta de dirección URL del agente de Azure Virtual Desktop valida cada FQDN y punto de conexión y muestra si los hosts de sesión pueden acceder a ellos.

Importante

  • Microsoft no admite implementaciones de Azure Virtual Desktop donde se bloquean los FQDN y puntos de conexión enumerados en este artículo.

  • Este artículo no incluye FQDN ni puntos de conexión para otros servicios, como Microsoft Entra ID, Office 365, proveedores dns personalizados o servicios de hora. Microsoft Entra FQDN y puntos de conexión se pueden encontrar en id. 56, 59 y 125 en Office 365 direcciones URL e intervalos de direcciones IP.

Etiquetas de servicio y fqdN

Las etiquetas de servicio representan grupos de prefijos de dirección IP de un servicio de Azure determinado. Microsoft administra los prefijos de dirección incluidos en la etiqueta de servicio y actualiza automáticamente la etiqueta de servicio a medida que cambian las direcciones, lo que minimiza la complejidad de las actualizaciones frecuentes de las reglas de seguridad de red. Las etiquetas de servicio se pueden usar en reglas para grupos de seguridad de red (NSG) y Azure Firewall para restringir el acceso de red saliente. Las etiquetas de servicio también se pueden usar en rutas definidas por el usuario (UDR) para personalizar el comportamiento del enrutamiento del tráfico.

Azure Firewall también admite etiquetas FQDN, que representan un grupo de nombres de dominio completos (FQDN) asociados a conocidos servicios de Azure y otros servicios de Microsoft. Azure Virtual Desktop no tiene una lista de intervalos de direcciones IP que pueda desbloquear en lugar de FQDN para permitir el tráfico de red. Si usa un firewall de próxima generación (NGFW), debe usar una lista dinámica creada para las direcciones IP de Azure para asegurarse de que puede conectarse. Para obtener más información, consulte Uso de Azure Firewall para proteger las implementaciones de Azure Virtual Desktop.

Azure Virtual Desktop tiene una etiqueta de servicio y una entrada de etiqueta FQDN disponibles. Se recomienda usar etiquetas de servicio y fqdN para simplificar la configuración de red de Azure.

Máquinas virtuales de host de sesión

En la tabla siguiente se muestra la lista de FQDN y puntos de conexión a los que deben acceder las máquinas virtuales del host de sesión para Azure Virtual Desktop. Todas las entradas son salientes; no es necesario abrir puertos de entrada para Azure Virtual Desktop. Seleccione la pestaña correspondiente en función de la nube que esté usando.

Dirección Protocolo Puerto de salida Objetivo Etiqueta de servicio
login.microsoftonline.com TCP 443 Autenticación en Microsoft Online Services AzureActiveDirectory
*.wvd.microsoft.com TCP 443 Tráfico de servicio WindowsVirtualDesktop
catalogartifact.azureedge.net TCP 443 Azure Marketplace AzureFrontDoor.Frontend
*.prod.warm.ingest.monitor.core.windows.net TCP 443 Tráfico de agente
Salida de diagnóstico		 AzureMonitor
gcs.prod.monitoring.core.windows.net TCP 443 Tráfico de agente AzureMonitor
azkms.core.windows.net TCP 1688 Activación de Windows Internet
mrsglobalsteus2prod.blob.core.windows.net TCP 443 Actualizaciones del agente y de la pila en paralelo (SXS) Storage
wvdportalstorageblob.blob.core.windows.net TCP 443 Soporte del portal de Azure AzureCloud
169.254.169.254 TCP 80 Punto de conexión de servicio de metadatos de Azure Instance N/D
168.63.129.16 TCP 80 Supervisión del estado del host de sesión N/D
oneocsp.microsoft.com TCP 80 Certificados AzureFrontDoor.FirstParty
www.microsoft.com TCP 80 Certificados N/D
ctldl.windowsupdate.com TCP 80 Certificados N/D
aka.ms TCP 443 Acortador de direcciones URL de Microsoft, que se usa durante la implementación del host de sesión en Azure Local N/D

En la tabla siguiente se enumeran los FQDN y puntos de conexión opcionales a los que es posible que las máquinas virtuales del host de sesión también necesiten acceso para otros servicios:

Dirección Protocolo Puerto de salida Objetivo Etiqueta de servicio
login.windows.net TCP 443 Inicio de sesión en Microsoft Online Services y Microsoft 365 AzureActiveDirectory
*.events.data.microsoft.com TCP 443 Servicio de telemetría N/D
www.msftconnecttest.com TCP 80 Detecta si el host de sesión está conectado a Internet N/D
*.prod.do.dsp.mp.microsoft.com TCP 443 Windows Update N/D
*.sfx.ms TCP 443 Novedades para el software cliente de OneDrive N/D
*.digicert.com TCP 80 Comprobación de revocación de certificados N/D
*.azure-dns.com TCP 443 Resolución de Azure DNS N/D
*.azure-dns.net TCP 443 Resolución de Azure DNS N/D
*eh.servicebus.windows.net TCP 443 Configuración de diagnóstico EventHub

Sugerencia

Debe usar el carácter comodín (*) para los FQDN que implican tráfico de servicio.

Para el tráfico de agente, si prefiere no usar un carácter comodín, aquí se muestra cómo buscar FQDN específicos para permitir:

  1. Asegúrese de que los hosts de sesión están registrados en un grupo de hosts.
  2. En un host de sesión, abra el Visor de eventos, vaya a Registros> de WindowsAplicación>WVD-Agent y busque el identificador de evento 3701.
  3. Desbloquee los FQDN que encontrará en el identificador de evento 3701. Los FQDN con el identificador de evento 3701 son específicos de la región. Debe repetir este proceso con los FQDN pertinentes para cada región de Azure en la que quiera implementar los hosts de sesión.

Dispositivos de usuario final

Cualquier dispositivo en el que use uno de los clientes de Escritorio remoto para conectarse a Azure Virtual Desktop debe tener acceso a los siguientes FQDN y puntos de conexión. Permitir estos FQDN y puntos de conexión es esencial para una experiencia de cliente confiable. No se admite el bloqueo del acceso a estos FQDN y puntos de conexión y afecta a la funcionalidad del servicio.

Seleccione la pestaña correspondiente en función de la nube que esté usando.

Dirección Protocolo Puerto de salida Objetivo Clientes
login.microsoftonline.com TCP 443 Autenticación en Microsoft Online Services todas
*.wvd.microsoft.com TCP 443 Tráfico de servicio todas
*.servicebus.windows.net TCP 443 Solución de problemas de datos todas
go.microsoft.com TCP 443 Microsoft FWLinks todas
aka.ms TCP 443 Acortador de direcciones URL de Microsoft todas
learn.microsoft.com TCP 443 Documentación todas
privacy.microsoft.com TCP 443 Declaración de privacidad todas
*.cdn.office.net TCP 443 Actualizaciones automáticas Escritorio de Windows
graph.microsoft.com TCP 443 Tráfico de servicio todas
windows.cloud.microsoft TCP 443 Centro de conexión todas
windows365.microsoft.com TCP 443 Tráfico de servicio todas
ecs.office.com TCP 443 Centro de conexión todas
*.events.data.microsoft.com TCP 443 Telemetría de cliente todas

Si se encuentra en una red cerrada con acceso restringido a Internet, es posible que también tenga que permitir los FQDN enumerados aquí para las comprobaciones de certificados: Detalles de la entidad de certificación de Azure | Microsoft Learn.

Pasos siguientes