Noms de domaine complets et points de terminaison obligatoires pour Azure Virtual Desktop

Pour déployer Azure Virtual Desktop et pour que vos utilisateurs se connectent, vous devez autoriser des noms de domaine complets et des points de terminaison spécifiques. Les utilisateurs doivent également être en mesure de se connecter à certains noms de domaine complets et points de terminaison pour accéder à leurs ressources Azure Virtual Desktop. Cet article répertorie les noms de domaine complets et les points de terminaison requis que vous devez autoriser pour vos hôtes et utilisateurs de session.

Ces noms de domaine complets et points de terminaison peuvent être bloqués si vous utilisez un pare-feu, tel que Pare-feu Azureou le service proxy. Pour obtenir des conseils sur l’utilisation d’un service proxy avec Azure Virtual Desktop, consultez Instructions relatives au service proxy pour Azure Virtual Desktop. Cet article n’inclut pas les noms de domaine complets et les points de terminaison pour d’autres services tels que Microsoft Entra ID, Office 365, les fournisseurs DNS personnalisés ou les services de temps. Vous trouverez des noms de domaine complets et des points de terminaison Microsoft Entra sous ID 56, 59 et 125 dans URL et plages d’adresses IP Office 365.

Vous pouvez vérifier que vos machines virtuelles hôtes de session peuvent se connecter à ces noms de domaine complets et points de terminaison en suivant les étapes d’exécution de l’outil d’URL de l’agent Azure Virtual Desktop dans Vérifier l’accès aux noms de domaine complets et points de terminaison requis pour Azure Virtual Desktop. L’outil d’URL de l’agent Azure Virtual Desktop valide chaque nom de domaine complet et point de terminaison et indique si vos hôtes de session peuvent y accéder.

Important

Microsoft ne prend pas en charge les déploiements Azure Virtual Desktop où les noms de domaine complets et les points de terminaison répertoriés dans cet article sont bloqués.

Machines virtuelles hôtes de session

Le tableau suivant est la liste des noms de domaine complets et des points de terminaison dont vos machines virtuelles hôtes de session doivent accéder à Azure Virtual Desktop. Toutes les entrées sont sortantes ; vous n’avez pas besoin d’ouvrir des ports entrants pour Azure Virtual Desktop. Sélectionnez l’onglet approprié en fonction du cloud que vous utilisez.

Adresse Protocol Port sortant Objectif Balise du service
login.microsoftonline.com TCP 443 Authentification auprès de Microsoft Online Services
*.wvd.microsoft.com TCP 443 Trafic de service WindowsVirtualDesktop
*.prod.warm.ingest.monitor.core.windows.net TCP 443 Trafic de l’agent
Sortie du diagnostic
AzureMonitor
catalogartifact.azureedge.net TCP 443 Place de marché Azure AzureFrontDoor.Frontend
gcs.prod.monitoring.core.windows.net TCP 443 Trafic de l’agent AzureCloud
kms.core.windows.net TCP 1688 Activation de Windows Internet
azkms.core.windows.net TCP 1688 Activation de Windows Internet
mrsglobalsteus2prod.blob.core.windows.net TCP 443 Mises à jour de la pile de l’agent et de la pile côte à côte (SXS) AzureCloud
wvdportalstorageblob.blob.core.windows.net TCP 443 Prise en charge du portail Azure AzureCloud
169.254.169.254 TCP 80 Point de terminaison Azure Instance Metadata Service S/O
168.63.129.16 TCP 80 Surveillance de l’intégrité de l’hôte de la session S/O
oneocsp.microsoft.com TCP 80 Certificats S/O
www.microsoft.com TCP 80 Certificats S/O

Le tableau suivant répertorie les noms de domaine complets facultatifs et les points de terminaison auxquels vos machines virtuelles hôtes de session peuvent également avoir besoin d’accéder à d’autres services :

Adresse Protocol Port sortant Objectif
login.windows.net TCP 443 Connexion aux services en ligne de Microsoft et à Microsoft 365
*.events.data.microsoft.com TCP 443 Service de télémétrie
www.msftconnecttest.com TCP 80 Détecte si l’hôte de la session est connecté à internet
*.prod.do.dsp.mp.microsoft.com TCP 443 Windows Update
*.sfx.ms TCP 443 Mises à jour pour le logiciel client OneDrive
*.digicert.com TCP 80 Vérification de la révocation de certificat
*.azure-dns.com TCP 443 Résolution d’Azure DNS
*.azure-dns.net TCP 443 Résolution d’Azure DNS
*eh.servicebus.windows.net TCP 443 Paramètres de diagnostic

Cette liste n’inclut pas les noms de domaine complets et les points de terminaison pour d’autres services tels que Microsoft Entra ID, Office 365, les fournisseurs DNS personnalisés ou les services de temps. Vous trouverez des noms de domaine complets et des points de terminaison Microsoft Entra sous ID 56, 59 et 125 dans URL et plages d’adresses IP Office 365.

Conseil

Vous devez utiliser le caractère générique (*) pour les noms de domaine complets impliquant trafic de service. Pour trafic de l’agent, si vous préférez ne pas utiliser de caractères génériques, voici comment rechercher des noms de domaine complets spécifiques à autoriser :

  1. Vérifiez que vos machines virtuelles hôtes de session sont inscrites à un pool d’hôtes.
  2. Sur un hôte de session, ouvrez Observateur d’événements, puis accédez à journaux Windows>Application>Agent WVD et recherchez l’ID d’événement 3701.
  3. Débloquer les noms de domaine complets que vous trouvez sous l’ID d’événement 3701. Les noms de domaine complets sous l’ID d’événement 3701 sont spécifiques à la région. Vous devez répéter ce processus avec les noms de domaine complets appropriés pour chaque région Azure dans laquelle vous souhaitez déployer vos machines virtuelles hôtes de session.

Étiquettes de service et étiquettes FQDN

Une étiquette de service de réseau virtuel représente un groupe de préfixes d’adresses IP d’un service Azure donné. Microsoft gère les préfixes d’adresses englobés par l’étiquette de service et met à jour automatiquement l’étiquette de service quand les adresses changent, ce qui réduit la complexité des mises à jour fréquentes relatives aux règles de sécurité réseau. Les étiquettes de service peuvent être utilisées dans les règles de groupe de sécurité réseau (NSG) et de Pare-feu Azure pour restreindre l’accès réseau sortant. Les étiquettes de service peuvent également être utilisées dans l’itinéraire défini par l’utilisateur (UDR) pour personnaliser le comportement de routage du trafic.

Le Pare-feu Azure prend en charge Azure Virtual Desktop comme étiquette FQDN. Pour plus d’informations, consultez Utiliser le Pare-feu Azure pour protéger les déploiements Azure Virtual Desktop.

Nous vous recommandons d’utiliser des balises de nom de domaine complet ou des étiquettes de service pour simplifier la configuration. Les noms de domaine complets et les points de terminaison et balises répertoriés correspondent uniquement aux sites et ressources Azure Virtual Desktop. Ils n’incluent pas de noms de domaine complets et de points de terminaison pour d’autres services tels que Microsoft Entra ID. Pour connaître les étiquettes de service pour d’autres services, consultez Balises de service disponibles.

Azure Virtual Desktop n’a pas de liste de plages d’adresses IP que vous pouvez débloquer au lieu de noms de domaine complets pour autoriser le trafic réseau. Si vous utilisez un pare-feu de nouvelle génération (NGFW), vous devez utiliser une liste dynamique faite pour les adresses IP Azure pour vous assurer que vous pouvez vous connecter.

Appareils des utilisateurs finaux

Tout appareil sur lequel vous utilisez l’un des clients Bureau à distance pour vous connecter à Azure Virtual Desktop doit avoir accès aux noms de domaine complets et points de terminaison suivants. L’autorisation de ces noms de domaine complets et de points de terminaison est essentielle pour une expérience client fiable. Le blocage de l’accès à ces noms de domaine complets et points de terminaison n’est pas pris en charge et affecte les fonctionnalités de service.

Sélectionnez l’onglet approprié en fonction du cloud que vous utilisez.

Adresse Protocol Port sortant Objectif Client(s)
login.microsoftonline.com TCP 443 Authentification auprès de Microsoft Online Services Tous
*.wvd.microsoft.com TCP 443 Trafic de service Tous
*.servicebus.windows.net TCP 443 Résolution des problèmes de données Tous
go.microsoft.com TCP 443 Microsoft FWLinks Tous
aka.ms TCP 443 Réducteur d’URL Microsoft Tous
learn.microsoft.com TCP 443 Documentation Tous
privacy.microsoft.com TCP 443 Déclaration de confidentialité Tous
query.prod.cms.rt.microsoft.com TCP 443 Téléchargez un MSI pour mettre à jour le client. Obligatoire pour les mises à jour automatiques. Windows Desktop

Ces noms de domaine complets et points de terminaison correspondent uniquement aux sites et ressources clients. Cette liste n’inclut pas de noms de domaine complets et de points de terminaison pour d’autres services tels que Microsoft Entra ID ou Office 365. Vous trouverez des noms de domaine complets et des points de terminaison Microsoft Entra sous ID 56, 59 et 125 dans URL et plages d’adresses IP Office 365.

Étapes suivantes