FQDN y puntos de conexión necesarios para Azure Virtual Desktop
Para implementar Azure Virtual Desktop y que los usuarios se conecten, debe permitir FQDN y puntos de conexión específicos. Los usuarios también deben poder conectarse a determinados FQDN y puntos de conexión para acceder a sus recursos de Azure Virtual Desktop. En este artículo se enumeran los FQDN y los puntos de conexión necesarios para los hosts de sesión y los usuarios.
Estos FQDN y puntos de conexión podrían bloquearse si usa un firewall, como Azure Firewall o el servicio de proxy. Para obtener instrucciones sobre el uso de un servicio de proxy con Azure Virtual Desktop, consulte Directrices del servicio de proxy para Azure Virtual Desktop. En este artículo no se incluyen los FQDN ni los puntos de conexión de otros servicios, como Microsoft Entra ID, Office 365, proveedores DNS personalizados o servicios de hora. Los FQDN y los puntos de conexión de Microsoft Entra se pueden encontrar en los identificadores 56, 59 y 125 de Direcciones URL de Office 365 e intervalos de direcciones IP.
Puede comprobar que las máquinas virtuales del host de sesión pueden conectarse a estos FQDN y puntos de conexión siguiendo los pasos para ejecutar la herramienta de dirección URL del agente de Azure Virtual Desktop en Comprobación del acceso a los FQDN y los puntos de conexión necesarios para Azure Virtual Desktop. La herramienta de dirección URL del agente de Azure Virtual Desktop valida cada FQDN y punto de conexión y muestra si los hosts de sesión pueden acceder a ellos.
Importante
Microsoft no admite las implementaciones de Azure Virtual Desktop en las que se bloquean los FQDN y los puntos de conexión enumerados en este artículo.
Máquinas virtuales del host de sesión
En la tabla siguiente se muestra la lista de FQDN y puntos de conexión a los que necesitan acceder las máquinas virtuales del host de sesión para Azure Virtual Desktop. Todas las entradas son salientes; no es necesario abrir puertos de entrada para Azure Virtual Desktop. Seleccione la pestaña pertinente en función de la nube que use.
| Dirección | Protocolo | Puerto de salida | Fin | Etiqueta de servicio |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Autenticación en Microsoft Online Services | |
*.wvd.microsoft.com |
TCP | 443 | Tráfico de servicio | WindowsVirtualDesktop |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Tráfico de agente Salida de diagnóstico |
AzureMonitor |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Tráfico de agente | AzureCloud |
azkms.core.windows.net |
TCP | 1688 | Activación de Windows | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Actualizaciones de la pila del agente y en paralelo (SXS) | AzureCloud |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Soporte técnico de Azure Portal | AzureCloud |
169.254.169.254 |
TCP | 80 | Punto de conexión de servicio de metadatos de instancias de Azure | N/D |
168.63.129.16 |
TCP | 80 | Seguimiento de estado del host de sesión | N/D |
oneocsp.microsoft.com |
TCP | 80 | Certificados | N/D |
www.microsoft.com |
TCP | 80 | Certificados | N/D |
En la tabla siguiente se enumeran los FQDN y puntos de conexión opcionales a los que es posible que las máquinas virtuales del host de sesión también necesiten acceder a otros servicios:
| Dirección | Protocolo | Puerto de salida | Fin | Etiqueta de servicio |
|---|---|---|---|---|
login.windows.net |
TCP | 443 | Inicio de sesión en Microsoft Online Services y Microsoft 365 | N/D |
*.events.data.microsoft.com |
TCP | 443 | Servicio de telemetría | N/D |
www.msftconnecttest.com |
TCP | 80 | Detecta si el host de sesión está conectado a Internet | N/D |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | N/D |
*.sfx.ms |
TCP | 443 | Actualizaciones del software cliente de OneDrive | N/D |
*.digicert.com |
TCP | 80 | Comprobación de revocación de certificados | N/D |
*.azure-dns.com |
TCP | 443 | Resolución de Azure DNS | N/D |
*.azure-dns.net |
TCP | 443 | Resolución de Azure DNS | N/D |
*eh.servicebus.windows.net |
TCP | 443 | Configuración de diagnóstico | EventHub |
En esta lista no se incluyen los FQDN ni los puntos de conexión de otros servicios, como Microsoft Entra ID, Office 365, proveedores DNS personalizados o servicios de hora. Los FQDN y los puntos de conexión de Microsoft Entra se pueden encontrar en los identificadores 56, 59 y 125 de Direcciones URL de Office 365 e intervalos de direcciones IP.
Sugerencia
Debe usar el carácter comodín (*) para los FQDN que impliquen tráfico de servicio. En el caso del tráfico del agente, si prefiere no usar un carácter comodín, aquí se muestra cómo buscar FQDN específicos:
- Asegúrese de que las máquinas virtuales del host de sesión estén registradas en un grupo de hosts.
- En un host de sesión, abra Visor de eventos y vaya a Registros de Windows>Aplicación>WVD-Agent y busque el evento con el identificador 3701.
- Desbloquee los FQDN que encuentre en el evento con el identificador 3701. Los FQDN con el identificador de evento 3701 son específicos de la región. Deberá repetir este proceso con los FQDN pertinentes de cada región de Azure en la que quiera implementar las máquinas virtuales del host de sesión.
Etiquetas de servicio y etiquetas FQDN
Una etiqueta de servicio de red virtual representa un grupo de prefijos de dirección IP de un servicio de Azure determinado. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian, lo que minimiza la complejidad de las actualizaciones frecuentes en las reglas de seguridad de red. Las etiquetas de servicio se pueden usar tanto en el grupo de seguridad de red (NSG) como en las reglas de Azure Firewall para restringir el acceso de red saliente. Las etiquetas de servicio también se pueden usar en la ruta definida por el usuario (UDR) para personalizar el comportamiento de enrutamiento del tráfico.
Azure Firewall admite Azure Virtual Desktop como una etiqueta FQDN. Para obtener más información, consulte Uso de Azure Firewall para proteger las implementaciones de Azure Virtual Desktop.
Se recomienda usar etiquetas FQDN o etiquetas de servicio para simplificar la configuración. Los FQDN y puntos de conexión y etiquetas de la lista solo corresponden a los recursos y sitios de Azure Virtual Desktop. No incluyen FQDN ni puntos de conexión para otros servicios como Microsoft Entra ID. Para obtener etiquetas de servicio de otros servicios, consulte Etiquetas de servicio disponibles.
Azure Virtual Desktop no tiene ninguna lista de intervalos de direcciones IP que pueda desbloquear en lugar de FQDN para permitir el tráfico de red. Si usa un firewall de próxima generación (NGFW), deberá usar una lista dinámica hecha para las direcciones IP de Azure para asegurarse de que puede conectarse.
Dispositivos de usuario final
Cualquier dispositivo en el que use uno de los clientes de Escritorio remoto para conectarse a Azure Virtual Desktop debe tener acceso a los siguientes FQDN y puntos de conexión. Permitir estos FQDN y puntos de conexión es esencial para una experiencia de cliente confiable. No se admite el bloqueo del acceso a estos FQDN y puntos de conexión y afecta a la funcionalidad del servicio.
Seleccione la pestaña pertinente en función de la nube que use.
| Dirección | Protocolo | Puerto de salida | Fin | Cliente(s) |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Autenticación en Microsoft Online Services | All |
*.wvd.microsoft.com |
TCP | 443 | Tráfico de servicio | All |
*.servicebus.windows.net |
TCP | 443 | Solución de problemas de los datos | All |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | All |
aka.ms |
TCP | 443 | Acortador de direcciones URL de Microsoft | All |
learn.microsoft.com |
TCP | 443 | Documentación | All |
privacy.microsoft.com |
TCP | 443 | Declaración de privacidad | All |
query.prod.cms.rt.microsoft.com |
TCP | 443 | Descargue un paquete MSI o MSIX para actualizar el cliente. Necesario para las actualizaciones automáticas. | Escritorio de Windows |
graph.microsoft.com |
TCP | 443 | Tráfico de servicio | All |
windows.cloud.microsoft |
TCP | 443 | Centro de conexiones | All |
windows365.microsoft.com |
TCP | 443 | Tráfico de servicio | All |
ecs.office.com |
TCP | 443 | Centro de conexiones | All |
Estos FQDN y puntos de conexión solo corresponden a los sitios y recursos de cliente. Esta lista no incluye FQDN ni puntos de conexión para otros servicios, como Microsoft Entra ID u Office 365. Los FQDN y los puntos de conexión de Microsoft Entra se pueden encontrar en los identificadores 56, 59 y 125 de Direcciones URL de Office 365 e intervalos de direcciones IP.
Si está en una red cerrada con acceso restringido a Internet, es posible que también tenga que permitir los FQDN que se enumeran aquí para las comprobaciones de certificados: Detalles de la entidad de certificación de Azure | Microsoft Learn.
Pasos siguientes
Compruebe el acceso a los FQDN y los puntos de conexión necesarios para Azure Virtual Desktop.
Para obtener información sobre cómo desbloquear estos FQDN y puntos de conexión en Azure Firewall, consulte Uso de Azure Firewall para proteger Azure Virtual Desktop.
Para obtener más información sobre la conectividad de red, consulte Descripción de la conectividad de red de Azure Virtual Desktop