Direcciones URL necesarias para Azure Virtual Desktop
Para implementar y poner Azure Virtual Desktop a disposición de los usuarios, debe permitir direcciones URL específicas a las que las máquinas virtuales del host de sesión puedan acceder a ellas en cualquier momento. Los usuarios también deben poder conectarse a determinadas direcciones URL para acceder a sus recursos de Azure Virtual Desktop. En este artículo se enumeran las direcciones URL necesarias que debe permitir para los hosts de sesión y los usuarios. Estas direcciones URL podrían bloquearse si usa Azure Firewall o un servicio de proxy o firewall de terceros. Azure Virtual Desktop no admite implementaciones que bloqueen las direcciones URL que se muestran en este artículo.
Importante
Con Azure Virtual Desktop no se recomiendan los servicios de proxy que realizan lo siguiente. Para obtener más detalles, consulte el vínculo anterior o la tabla de contenido con respecto a las instrucciones de soporte técnico de proxy.
- Terminación SSL (interrupción e inspección)
- Requerir autenticación
Puede validar que las máquinas virtuales del host de sesión se conecten a estas direcciones URL siguiendo los pasos necesarios para ejecutar la herramienta de comprobación de direcciones URL requeridas. La herramienta de comprobación de direcciones URL requeridas validará cada dirección URL y mostrará si las máquinas virtuales del host de sesión pueden acceder a ellas. Solo puede usar para implementaciones en la nube pública de Azure, no comprueba el acceso para nubes soberanas.
Máquinas virtuales del host de sesión
A continuación se muestra la tabla con la lista de direcciones URL a las que necesitan acceder las máquinas virtuales del host de sesión para Azure Virtual Desktop. Seleccione la pestaña pertinente en función de la nube que use.
| Dirección | Puerto TCP de salida | Propósito | Etiqueta de servicio |
|---|---|---|---|
login.microsoftonline.com |
443 | Autenticación en Microsoft Online Services | |
*.wvd.microsoft.com |
443 | Tráfico de servicio | WindowsVirtualDesktop |
*.prod.warm.ingest.monitor.core.windows.net |
443 | Tráfico de agente | AzureMonitor |
catalogartifact.azureedge.net |
443 | Azure Marketplace | AzureFrontDoor.Frontend |
gcs.prod.monitoring.core.windows.net |
443 | Tráfico de agente | AzureCloud |
kms.core.windows.net |
1688 | Activación de Windows | Internet |
azkms.core.windows.net |
1688 | Activación de Windows | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
443 | Actualizaciones de la pila del agente y en paralelo (SXS) | AzureCloud |
wvdportalstorageblob.blob.core.windows.net |
443 | Soporte técnico de Azure Portal | AzureCloud |
169.254.169.254 |
80 | Punto de conexión de servicio de metadatos de instancias de Azure | N/D |
168.63.129.16 |
80 | Seguimiento de estado del host de sesión | N/D |
oneocsp.microsoft.com |
80 | Certificados | N/D |
www.microsoft.com |
80 | Certificados | N/D |
Importante
Actualmente estamos realizando la transición de las direcciones URL que usamos para el tráfico del agente. Ya no se admiten las direcciones URL siguientes. Para evitar que las máquinas virtuales del host de sesión muestren el estado de Necesidad de asistencia debido a esto, debe permitir la dirección URL *.prod.warm.ingest.monitor.core.windows.net si aún no lo ha hecho. También debe quitar las siguientes direcciones URL si las ha permitido explícitamente antes del cambio:
| Dirección | Puerto TCP de salida | Propósito | Etiqueta de servicio |
|---|---|---|---|
production.diagnostics.monitoring.core.windows.net |
443 | Tráfico de agente | AzureCloud |
*xt.blob.core.windows.net |
443 | Tráfico de agente | AzureCloud |
*eh.servicebus.windows.net |
443 | Tráfico de agente | AzureCloud |
*xt.table.core.windows.net |
443 | Tráfico de agente | AzureCloud |
*xt.queue.core.windows.net |
443 | Tráfico de agente | AzureCloud |
En la tabla siguiente se enumeran las direcciones URL opcionales a las que es posible que las máquinas virtuales del host de sesión también necesiten acceder a otros servicios:
| Dirección | Puerto TCP de salida | Propósito |
|---|---|---|
login.windows.net |
443 | Inicio de sesión en Microsoft Online Services y Microsoft 365 |
*.events.data.microsoft.com |
443 | Servicio de telemetría |
www.msftconnecttest.com |
443 | Detecta si el host de sesión está conectado a Internet |
*.prod.do.dsp.mp.microsoft.com |
443 | Windows Update |
*.sfx.ms |
443 | Actualizaciones del software cliente de OneDrive |
*.digicert.com |
443 | Comprobación de revocación de certificados |
*.azure-dns.com |
443 | Resolución de Azure DNS |
*.azure-dns.net |
443 | Resolución de Azure DNS |
Sugerencia
Debe usar el carácter comodín (*) para las direcciones URL que impliquen tráfico de servicio. Si prefiere no usar esto para el tráfico relacionado con el agente, aquí se muestra cómo buscar esas direcciones URL específicas que se usarán sin especificar caracteres comodín:
- Asegúrese de que las máquinas virtuales del host de sesión estén registradas en un grupo de hosts.
- Abra el Visor de eventos y, después, diríjase a Registros de Windows>Aplicación>WVD-Agent y busque el evento con el identificador 3701.
- Desbloquee las direcciones URL que se encuentran en el identificador de evento 3701. Las direcciones URL del identificador de evento 3701 son específicas de una región. Deberá repetir este proceso con las direcciones URL pertinentes de cada región de Azure en la que quiera implementar las máquinas virtuales del host de sesión.
No incluyen direcciones URL para otros servicios como Azure Active Directory u Office 365. Las direcciones URL de Azure Active Directory se pueden encontrar en los identificadores 56, 59 y 125 en las direcciones URL e intervalos de direcciones IP de Office 365.
Etiquetas de servicio y etiquetas FQDN
Una etiqueta de servicio de red virtual representa un grupo de prefijos de dirección IP de un servicio de Azure determinado. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian, lo que minimiza la complejidad de las actualizaciones frecuentes en las reglas de seguridad de red. Las etiquetas de servicio se pueden usar tanto en el grupo de seguridad de red (NSG) como en las reglas de Azure Firewall para restringir el acceso de red saliente. Las etiquetas de servicio también se pueden usar en la ruta definida por el usuario (UDR) para personalizar el comportamiento de enrutamiento del tráfico.
Azure Firewall admite Azure Virtual Desktop como una etiqueta FQDN. Para obtener más información, consulte Uso de Azure Firewall para proteger las implementaciones de Azure Virtual Desktop.
Se recomienda usar etiquetas FQDN o etiquetas de servicio, en lugar de las direcciones URL, para evitar problemas de servicio. Las direcciones URL y etiquetas de la lista solo corresponden a sitios y recursos de Azure Virtual Desktop. No incluyen direcciones URL para otros servicios como Azure Active Directory. Para otros servicios, consulte Etiquetas de servicio disponibles.
Azure Virtual Desktop actualmente no tiene una lista de intervalos de direcciones IP que puede desbloquear para permitir el tráfico de red. En este momento, solo se pueden desbloquear direcciones URL específicas. Si usa un firewall de última generación (NGFW), tendrá que usar una lista dinámica específica creada específicamente para las direcciones IP, a fin de asegurarse de que puede conectarse.
Clientes de Escritorio remoto
Los clientes de Escritorio remoto que use para conectarse a Azure Virtual Desktop deben tener acceso a las direcciones URL siguientes. Seleccione la pestaña pertinente en función de la nube que use. Para conseguir una experiencia de cliente confiable, es esencial abrir estas direcciones URL. No se admite el bloqueo del acceso a estas direcciones URL y afectará a la funcionalidad del servicio.
| Dirección | Puerto TCP de salida | Propósito | Cliente(s) |
|---|---|---|---|
login.microsoftonline.com |
443 | Autenticación en Microsoft Online Services | All |
*.wvd.microsoft.com |
443 | Tráfico de servicio | All |
*.servicebus.windows.net |
443 | Solución de problemas de los datos | All |
go.microsoft.com |
443 | Microsoft FWLinks | All |
aka.ms |
443 | Acortador de direcciones URL de Microsoft | All |
learn.microsoft.com |
443 | Documentación | All |
privacy.microsoft.com |
443 | Declaración de privacidad | All |
query.prod.cms.rt.microsoft.com |
443 | Actualizaciones de clientes | Escritorio de Windows |
Estas direcciones URL solo se corresponden con los sitios de cliente y los recursos. No incluyen direcciones URL para otros servicios como Azure Active Directory u Office 365. Las direcciones URL de Azure Active Directory se pueden encontrar en los identificadores 56, 59 y 125 en las direcciones URL e intervalos de direcciones IP de Office 365.
Pasos siguientes
Para obtener información sobre cómo desbloquear estas direcciones URL en Azure Firewall para la implementación de Azure Virtual Desktop, consulte Uso de Azure Firewall para proteger Azure Virtual Desktop.