Noms de domaine complets et points de terminaison obligatoires pour Azure Virtual Desktop
Pour déployer Azure Virtual Desktop et pour que vos utilisateurs se connectent, vous devez autoriser des noms de domaine complets et des points de terminaison spécifiques. Les utilisateurs doivent également être en mesure de se connecter à certains noms de domaine complets et points de terminaison pour accéder à leurs ressources Azure Virtual Desktop. Cet article répertorie les noms de domaine complets et les points de terminaison requis que vous devez autoriser pour vos hôtes et utilisateurs de session.
Ces noms de domaine complets et points de terminaison peuvent être bloqués si vous utilisez un pare-feu, tel que Pare-feu Azureou le service proxy. Pour obtenir des conseils sur l’utilisation d’un service proxy avec Azure Virtual Desktop, consultez Instructions relatives au service proxy pour Azure Virtual Desktop. Cet article n’inclut pas les noms de domaine complets et les points de terminaison pour d’autres services tels que Microsoft Entra ID, Office 365, les fournisseurs DNS personnalisés ou les services de temps. Vous trouverez des noms de domaine complets et des points de terminaison Microsoft Entra sous ID 56, 59 et 125 dans URL et plages d’adresses IP Office 365.
Vous pouvez vérifier que vos machines virtuelles hôtes de session peuvent se connecter à ces noms de domaine complets et points de terminaison en suivant les étapes d’exécution de l’outil d’URL de l’agent Azure Virtual Desktop dans Vérifier l’accès aux noms de domaine complets et points de terminaison requis pour Azure Virtual Desktop. L’outil d’URL de l’agent Azure Virtual Desktop valide chaque nom de domaine complet et point de terminaison et indique si vos hôtes de session peuvent y accéder.
Important
Microsoft ne prend pas en charge les déploiements Azure Virtual Desktop où les noms de domaine complets et les points de terminaison répertoriés dans cet article sont bloqués.
Machines virtuelles hôtes de session
Le tableau suivant est la liste des noms de domaine complets et des points de terminaison dont vos machines virtuelles hôtes de session doivent accéder à Azure Virtual Desktop. Toutes les entrées sont sortantes ; vous n’avez pas besoin d’ouvrir des ports entrants pour Azure Virtual Desktop. Sélectionnez l’onglet approprié en fonction du cloud que vous utilisez.
Adresse | Protocol | Port sortant | Objectif | Balise du service |
---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Authentification auprès de Microsoft Online Services | |
*.wvd.microsoft.com |
TCP | 443 | Trafic de service | WindowsVirtualDesktop |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Trafic de l’agent Sortie du diagnostic |
AzureMonitor |
catalogartifact.azureedge.net |
TCP | 443 | Place de marché Azure | AzureFrontDoor.Frontend |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Trafic de l’agent | AzureCloud |
azkms.core.windows.net |
TCP | 1688 | Activation de Windows | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Mises à jour de la pile de l’agent et de la pile côte à côte (SXS) | AzureCloud |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Prise en charge du portail Azure | AzureCloud |
169.254.169.254 |
TCP | 80 | Point de terminaison Azure Instance Metadata Service | S/O |
168.63.129.16 |
TCP | 80 | Surveillance de l’intégrité de l’hôte de la session | S/O |
oneocsp.microsoft.com |
TCP | 80 | Certificats | S/O |
www.microsoft.com |
TCP | 80 | Certificats | S/O |
Le tableau suivant répertorie les noms de domaine complets facultatifs et les points de terminaison auxquels vos machines virtuelles hôtes de session peuvent également avoir besoin d’accéder à d’autres services :
Adresse | Protocol | Port sortant | Objectif | Balise du service |
---|---|---|---|---|
login.windows.net |
TCP | 443 | Connexion aux services en ligne de Microsoft et à Microsoft 365 | S/O |
*.events.data.microsoft.com |
TCP | 443 | Service de télémétrie | S/O |
www.msftconnecttest.com |
TCP | 80 | Détecte si l’hôte de la session est connecté à internet | S/O |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | S/O |
*.sfx.ms |
TCP | 443 | Mises à jour pour le logiciel client OneDrive | S/O |
*.digicert.com |
TCP | 80 | Vérification de la révocation de certificat | S/O |
*.azure-dns.com |
TCP | 443 | Résolution d’Azure DNS | S/O |
*.azure-dns.net |
TCP | 443 | Résolution d’Azure DNS | S/O |
*eh.servicebus.windows.net |
TCP | 443 | Paramètres de diagnostic | EventHub |
Cette liste n’inclut pas les noms de domaine complets et les points de terminaison pour d’autres services tels que Microsoft Entra ID, Office 365, les fournisseurs DNS personnalisés ou les services de temps. Vous trouverez des noms de domaine complets et des points de terminaison Microsoft Entra sous ID 56, 59 et 125 dans URL et plages d’adresses IP Office 365.
Conseil
Vous devez utiliser le caractère générique (*) pour les noms de domaine complets impliquant trafic de service. Pour trafic de l’agent, si vous préférez ne pas utiliser de caractères génériques, voici comment rechercher des noms de domaine complets spécifiques à autoriser :
- Vérifiez que vos machines virtuelles hôtes de session sont inscrites à un pool d’hôtes.
- Sur un hôte de session, ouvrez Observateur d’événements, puis accédez à journaux Windows>Application>Agent WVD et recherchez l’ID d’événement 3701.
- Débloquer les noms de domaine complets que vous trouvez sous l’ID d’événement 3701. Les noms de domaine complets sous l’ID d’événement 3701 sont spécifiques à la région. Vous devez répéter ce processus avec les noms de domaine complets appropriés pour chaque région Azure dans laquelle vous souhaitez déployer vos machines virtuelles hôtes de session.
Étiquettes de service et étiquettes FQDN
Une étiquette de service de réseau virtuel représente un groupe de préfixes d’adresses IP d’un service Azure donné. Microsoft gère les préfixes d’adresses englobés par l’étiquette de service et met à jour automatiquement l’étiquette de service quand les adresses changent, ce qui réduit la complexité des mises à jour fréquentes relatives aux règles de sécurité réseau. Les étiquettes de service peuvent être utilisées dans les règles de groupe de sécurité réseau (NSG) et de Pare-feu Azure pour restreindre l’accès réseau sortant. Les étiquettes de service peuvent également être utilisées dans l’itinéraire défini par l’utilisateur (UDR) pour personnaliser le comportement de routage du trafic.
Le Pare-feu Azure prend en charge Azure Virtual Desktop comme étiquette FQDN. Pour plus d’informations, consultez Utiliser le Pare-feu Azure pour protéger les déploiements Azure Virtual Desktop.
Nous vous recommandons d’utiliser des balises de nom de domaine complet ou des étiquettes de service pour simplifier la configuration. Les noms de domaine complets et les points de terminaison et balises répertoriés correspondent uniquement aux sites et ressources Azure Virtual Desktop. Ils n’incluent pas de noms de domaine complets et de points de terminaison pour d’autres services tels que Microsoft Entra ID. Pour connaître les étiquettes de service pour d’autres services, consultez Balises de service disponibles.
Azure Virtual Desktop n’a pas de liste de plages d’adresses IP que vous pouvez débloquer au lieu de noms de domaine complets pour autoriser le trafic réseau. Si vous utilisez un pare-feu de nouvelle génération (NGFW), vous devez utiliser une liste dynamique faite pour les adresses IP Azure pour vous assurer que vous pouvez vous connecter.
Appareils des utilisateurs finaux
Tout appareil sur lequel vous utilisez l’un des clients Bureau à distance pour vous connecter à Azure Virtual Desktop doit avoir accès aux noms de domaine complets et points de terminaison suivants. L’autorisation de ces noms de domaine complets et de points de terminaison est essentielle pour une expérience client fiable. Le blocage de l’accès à ces noms de domaine complets et points de terminaison n’est pas pris en charge et affecte les fonctionnalités de service.
Sélectionnez l’onglet approprié en fonction du cloud que vous utilisez.
Adresse | Protocol | Port sortant | Objectif | Client(s) |
---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Authentification auprès de Microsoft Online Services | Tous |
*.wvd.microsoft.com |
TCP | 443 | Trafic de service | Tous |
*.servicebus.windows.net |
TCP | 443 | Résolution des problèmes de données | Tous |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | Tous |
aka.ms |
TCP | 443 | Réducteur d’URL Microsoft | Tous |
learn.microsoft.com |
TCP | 443 | Documentation | Tous |
privacy.microsoft.com |
TCP | 443 | Déclaration de confidentialité | Tous |
query.prod.cms.rt.microsoft.com |
TCP | 443 | Téléchargez un package MSI ou MSIX pour mettre à jour le client. Obligatoire pour les mises à jour automatiques. | Windows Desktop |
graph.microsoft.com |
TCP | 443 | Trafic de service | Tous |
windows.cloud.microsoft |
TCP | 443 | Centre de connexion | Tous |
windows365.microsoft.com |
TCP | 443 | Trafic de service | Tous |
ecs.office.com |
TCP | 443 | Centre de connexion | Tous |
Ces noms de domaine complets et points de terminaison correspondent uniquement aux sites et ressources clients. Cette liste n’inclut pas de noms de domaine complets et de points de terminaison pour d’autres services tels que Microsoft Entra ID ou Office 365. Vous trouverez des noms de domaine complets et des points de terminaison Microsoft Entra sous ID 56, 59 et 125 dans URL et plages d’adresses IP Office 365.
Si vous êtes sur un réseau fermé avec un accès Internet restreint, il peut également être nécessaire d’autoriser les noms de domaine complets listés ici pour les vérifications de certificat : Détails de l’autorité de certification Azure | Microsoft Learn.
Étapes suivantes
Pour savoir comment débloquer ces noms de domaine complets et points de terminaison dans le Pare-feu Azure, consultez Utiliser le Pare-feu Azure pour protéger Azure Virtual Desktop.
Pour obtenir plus d’information sur la connectivité réseau, voir Comprendre la connectivité du réseau Azure Virtual Desktop