Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Per distribuire Desktop virtuale Azure e consentire agli utenti di connettersi, è necessario consentire fqdn ed endpoint specifici. Gli utenti devono anche essere in grado di connettersi a determinati FQDN e endpoint per accedere alle risorse di Desktop virtuale Azure. Questo articolo elenca gli FQDN e gli endpoint necessari per consentire gli host e gli utenti della sessione.
Questi fqdn ed endpoint potrebbero essere bloccati se si usa un firewall, ad esempio Firewall di Azure o un servizio proxy. Per indicazioni sull'uso di un servizio proxy con Desktop virtuale Azure, vedere Linee guida per il servizio proxy per Desktop virtuale Azure.
È possibile verificare che le macchine virtuali dell'host sessione possano connettersi a questi FQDN e endpoint seguendo la procedura per eseguire lo strumento URL dell'agente desktop virtuale di Azure in Controllare l'accesso agli FQDN e agli endpoint necessari per Desktop virtuale Azure. Lo strumento URL dell'agente Desktop virtuale Azure convalida ogni FQDN e endpoint e mostra se gli host di sessione possono accedervi.
Importante
Microsoft non supporta le distribuzioni di Desktop virtuale Azure in cui gli FQDN e gli endpoint elencati in questo articolo sono bloccati.
Questo articolo non include FQDN ed endpoint per altri servizi, ad esempio Microsoft Entra ID, Office 365, provider DNS personalizzati o servizi temporali. Microsoft Entra FQDN e gli endpoint sono disponibili in ID 56, 59 e 125 negli URL e negli intervalli di indirizzi IP Office 365.
Tag del servizio e tag FQDN
I tag di servizio rappresentano gruppi di prefissi di indirizzi IP da un determinato servizio di Azure. Microsoft gestisce i prefissi degli indirizzi inclusi nel tag di servizio e aggiorna automaticamente il tag di servizio man mano che gli indirizzi cambiano, riducendo al minimo la complessità degli aggiornamenti frequenti alle regole di sicurezza di rete. I tag di servizio possono essere usati nelle regole per i gruppi di sicurezza di rete (NSG) e Firewall di Azure per limitare l'accesso alla rete in uscita. I tag del servizio possono essere usati anche nelle route definite dall'utente per personalizzare il comportamento di routing del traffico.
Firewall di Azure supporta anche i tag FQDN, che rappresentano un gruppo di nomi di dominio completi associati ad Azure e ad altri servizi Microsoft noti. Desktop virtuale Azure non include un elenco di intervalli di indirizzi IP che è possibile sbloccare anziché I FQDN per consentire il traffico di rete. Se si usa un firewall di nuova generazione (NGFW), è necessario usare un elenco dinamico creato per gli indirizzi IP di Azure per assicurarsi di potersi connettere. Per altre informazioni, vedere Usare Firewall di Azure per proteggere le distribuzioni di Desktop virtuale Azure.
Desktop virtuale Azure include sia un tag di servizio che una voce di tag FQDN disponibili. È consigliabile usare tag di servizio e tag FQDN per semplificare la configurazione di rete di Azure.
Macchine virtuali host sessione
La tabella seguente è l'elenco di FQDN e endpoint a cui devono accedere le macchine virtuali host della sessione per Desktop virtuale Azure. Tutte le voci sono in uscita; non è necessario aprire le porte in ingresso per Desktop virtuale Azure. Selezionare la scheda pertinente in base al cloud in uso.
| Indirizzo | Protocollo | Porta in uscita | Finalità | Tag di servizio |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Autenticazione a Microsoft Online Services | AzureActiveDirectory |
*.wvd.microsoft.com |
TCP | 443 | Traffico servizio | WindowsVirtualDesktop |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Traffico agente Output di diagnostica |
AzureMonitor |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Traffico agente | AzureMonitor |
azkms.core.windows.net |
TCP | 1688 | Attivazione di Windows | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Aggiornamenti dello stack agente e side-by-side (SXS) | Storage |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Supporto del portale di Azure | AzureCloud |
169.254.169.254 |
TCP | 80 | Endpoint del servizio metadati dell'istanza di Azure | N/D |
168.63.129.16 |
TCP | 80 | Monitoraggio dell'integrità dell'host di sessione | N/D |
oneocsp.microsoft.com |
TCP | 80 | Certificati | AzureFrontDoor.FirstParty |
www.microsoft.com |
TCP | 80 | Certificati | N/D |
ctldl.windowsupdate.com |
TCP | 80 | Certificati | N/D |
aka.ms |
TCP | 443 | Abbreviatore URL Microsoft, usato durante la distribuzione dell'host di sessione in Azure Locale | N/D |
Nella tabella seguente sono elencati gli fqdn e gli endpoint facoltativi a cui potrebbero essere necessarie anche le macchine virtuali host sessione per altri servizi:
| Indirizzo | Protocollo | Porta in uscita | Finalità | Tag di servizio |
|---|---|---|---|---|
login.windows.net |
TCP | 443 | Accedere a Microsoft Online Services e Microsoft 365 | AzureActiveDirectory |
*.events.data.microsoft.com |
TCP | 443 | Servizio di telemetria | N/D |
www.msftconnecttest.com |
TCP | 80 | Rileva se l'host di sessione è connesso a Internet | N/D |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | N/D |
*.sfx.ms |
TCP | 443 | Aggiornamenti per il software client di OneDrive | N/D |
*.digicert.com |
TCP | 80 | Controllo della revoca del certificato | N/D |
*.azure-dns.com |
TCP | 443 | Risoluzione DNS di Azure | N/D |
*.azure-dns.net |
TCP | 443 | Risoluzione DNS di Azure | N/D |
*eh.servicebus.windows.net |
TCP | 443 | Impostazioni di diagnostica | EventHub |
Consiglio
È necessario usare il carattere jolly (*) per I FQDN che coinvolgono il traffico del servizio.
Per il traffico dell'agente, se si preferisce non usare un carattere jolly, ecco come trovare fqdn specifici per consentire:
- Verificare che gli host sessione siano registrati in un pool di host.
- In un host di sessione aprire Visualizzatore eventi, quindi passare a Log> di WindowsApplication>WVD-Agent e cercare l'ID evento 3701.
- Sbloccare i nomi FQDN disponibili nell'ID evento 3701. Gli FQDN nell'ID evento 3701 sono specifici dell'area. È necessario ripetere questo processo con i nomi FQDN pertinenti per ogni area di Azure in cui si vogliono distribuire gli host della sessione.
Dispositivi dell'utente finale
Qualsiasi dispositivo in cui si usa uno dei client Desktop remoto per connettersi a Desktop virtuale Azure deve avere accesso ai seguenti FQDN ed endpoint. Consentire questi FQDN e endpoint è essenziale per un'esperienza client affidabile. Il blocco dell'accesso a questi FQDN e endpoint non è supportato e influisce sulle funzionalità del servizio.
Selezionare la scheda pertinente in base al cloud in uso.
| Indirizzo | Protocollo | Porta in uscita | Finalità | Client/i |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Autenticazione a Microsoft Online Services | Tutti |
*.wvd.microsoft.com |
TCP | 443 | Traffico servizio | Tutti |
*.servicebus.windows.net |
TCP | 443 | Risoluzione dei problemi relativi ai dati | Tutti |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | Tutti |
aka.ms |
TCP | 443 | Abbreviatore URL Microsoft | Tutti |
learn.microsoft.com |
TCP | 443 | Documentazione | Tutti |
privacy.microsoft.com |
TCP | 443 | Informativa sulla privacy | Tutti |
*.cdn.office.net |
TCP | 443 | Aggiornamenti automatici | Desktop di Windows |
graph.microsoft.com |
TCP | 443 | Traffico servizio | Tutti |
windows.cloud.microsoft |
TCP | 443 | Centro connessioni | Tutti |
windows365.microsoft.com |
TCP | 443 | Traffico servizio | Tutti |
ecs.office.com |
TCP | 443 | Centro connessioni | Tutti |
*.events.data.microsoft.com |
TCP | 443 | Telemetria client | Tutti |
Se si usa una rete chiusa con accesso Internet limitato, potrebbe essere necessario consentire anche i nomi FQDN elencati qui per i controlli dei certificati: dettagli dell'autorità di certificazione di Azure | Microsoft Learn.
Passaggi successivi
Controllare l'accesso ai nomi FQDN e agli endpoint necessari per Desktop virtuale Azure.
Per informazioni su come sbloccare questi FQDN e endpoint in Firewall di Azure, vedere Usare Firewall di Azure per proteggere Desktop virtuale Azure.
Per altre informazioni sulla connettività di rete, vedere Informazioni sulla connettività di rete di Desktop virtuale Azure