FQDN e endpoint necessari per Desktop virtuale Azure
Per distribuire Desktop virtuale Azure e consentire agli utenti di connettersi, è necessario consentire FQDN e endpoint specifici. Gli utenti devono anche essere in grado di connettersi a determinati FQDN ed endpoint per accedere alle risorse di Desktop virtuale Azure. Questo articolo elenca gli endpoint e gli FQDN necessari che è necessario consentire agli host e agli utenti della sessione.
Questi FQDN e endpoint possono essere bloccati se si usa un firewall, ad esempio Firewall di Azure o un servizio proxy. Per indicazioni sull'uso di un servizio proxy con Desktop virtuale Azure, vedere Linee guida per il servizio proxy per Desktop virtuale Azure. Questo articolo non include FQDN ed endpoint per altri servizi, ad esempio Microsoft Entra ID, Office 365, provider DNS personalizzati o servizi temporali. Gli FQDN e gli endpoint di Microsoft Entra sono disponibili in ID 56, 59 e 125 negli URL e negli intervalli di indirizzi IP di Office 365.
È possibile verificare che le macchine virtuali host di sessione possano connettersi a questi FQDN ed endpoint seguendo la procedura per eseguire lo strumento URL agente desktop virtuale Azure in Controllare l'accesso ai nomi di dominio completi e agli endpoint necessari per Desktop virtuale Azure. Lo strumento URL agente desktop virtuale Azure convalida ogni FQDN e endpoint e mostra se gli host di sessione possono accedervi.
Importante
Microsoft non supporta le distribuzioni di Desktop virtuale Azure in cui i nomi di dominio completo e gli endpoint elencati in questo articolo sono bloccati.
Macchine virtuali host sessione
La tabella seguente è l'elenco di FQDN ed endpoint a cui devono accedere le macchine virtuali dell'host di sessione per Desktop virtuale Azure. Tutte le voci sono in uscita; non è necessario aprire le porte in ingresso per Desktop virtuale Azure. Selezionare la scheda pertinente in base al cloud in uso.
Indirizzo | Protocollo | Porta in uscita | Scopo | Tag di servizio |
---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Autenticazione a Microsoft Online Services | |
*.wvd.microsoft.com |
TCP | 443 | Traffico del servizio | DesktopvirtualeWindows |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Traffico dell'agente Output di diagnostica |
AzureMonitor |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Traffico dell'agente | AzureCloud |
kms.core.windows.net |
TCP | 1688 | Attivazione di Windows | Internet |
azkms.core.windows.net |
TCP | 1688 | Attivazione di Windows | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Aggiornamenti dello stack di agenti e side-by-side (SXS) | AzureCloud |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Supporto del portale di Azure | AzureCloud |
169.254.169.254 |
TCP | 80 | Endpoint del servizio metadati dell'istanza di Azure | N/D |
168.63.129.16 |
TCP | 80 | Monitoraggio dell'integrità dell'host sessione | N/D |
oneocsp.microsoft.com |
TCP | 80 | Certificati | N/D |
www.microsoft.com |
TCP | 80 | Certificati | N/D |
La tabella seguente elenca gli endpoint e i nomi di dominio completi facoltativi a cui potrebbero essere necessarie anche le macchine virtuali host di sessione per altri servizi:
Indirizzo | Protocollo | Porta in uscita | Scopo |
---|---|---|---|
login.windows.net |
TCP | 443 | Accedere a Microsoft Online Services e Microsoft 365 |
*.events.data.microsoft.com |
TCP | 443 | Servizio di telemetria |
www.msftconnecttest.com |
TCP | 80 | Rileva se l'host di sessione è connesso a Internet |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update |
*.sfx.ms |
TCP | 443 | Aggiornamenti per il software client di OneDrive |
*.digicert.com |
TCP | 80 | Verifica della revoca del certificato |
*.azure-dns.com |
TCP | 443 | Risoluzione DNS di Azure |
*.azure-dns.net |
TCP | 443 | Risoluzione DNS di Azure |
Questo elenco non include FQDN ed endpoint per altri servizi, ad esempio Microsoft Entra ID, Office 365, provider DNS personalizzati o servizi temporali. Gli FQDN e gli endpoint di Microsoft Entra sono disponibili in ID 56, 59 e 125 negli URL e negli intervalli di indirizzi IP di Office 365.
Suggerimento
È necessario usare il carattere jolly (*) per i nomi di dominio completi che coinvolgono il traffico del servizio. Per il traffico dell'agente, se si preferisce non usare un carattere jolly, ecco come trovare FQDN specifici da consentire:
- Verificare che le macchine virtuali host di sessione siano registrate in un pool di host.
- In un host di sessione aprire Visualizzatore eventi, quindi passare a Log>di Windows Application WVD-Agent e cercare l'ID> evento 3701.
- Sbloccare i nomi di dominio completi disponibili nell'ID evento 3701. I nomi di dominio completi nell'ID evento 3701 sono specifici dell'area. È necessario ripetere questo processo con i nomi di dominio completi pertinenti per ogni area di Azure in cui si vogliono distribuire le macchine virtuali dell'host di sessione.
Tag del servizio e tag FQDN
Un tag del servizio di rete virtuale rappresenta un gruppo di prefissi di indirizzi IP da un determinato servizio di Azure. Microsoft gestisce i prefissi di indirizzo inclusi nel tag del servizio e aggiorna automaticamente il tag in base alla modifica degli indirizzi, riducendo la complessità degli aggiornamenti frequenti alle regole di sicurezza di rete. I tag del servizio possono essere usati sia nel gruppo di sicurezza di rete (NSG) che nelle regole di Firewall di Azure per limitare l'accesso alla rete in uscita. I tag di servizio possono essere usati anche in Route definita dall'utente (UDR) per personalizzare il comportamento di routing del traffico.
Firewall di Azure supporta Desktop virtuale Azure come Tag FQDN. Per altre informazioni, vedere Usare Firewall di Azure per proteggere le distribuzioni di Desktop virtuale Azure.
Per semplificare la configurazione, è consigliabile usare tag FQDN o tag di servizio. I nomi di dominio completi e gli endpoint e i tag elencati corrispondono solo ai siti e alle risorse di Desktop virtuale Azure. Non includono FQDN ed endpoint per altri servizi, ad esempio Microsoft Entra ID. Per i tag di servizio per altri servizi, vedere Tag del servizio disponibili.
Desktop virtuale Azure non dispone di un elenco di intervalli di indirizzi IP che è possibile sbloccare anziché FQDN per consentire il traffico di rete. Se si usa un firewall di nuova generazione (NGFW), è necessario usare un elenco dinamico creato per gli indirizzi IP di Azure per assicurarsi di potersi connettere.
Dispositivi dell'utente finale
Qualsiasi dispositivo in cui si usa uno dei client Desktop remoto per connettersi a Desktop virtuale Azure deve avere accesso ai nomi di dominio completi e agli endpoint seguenti. Consentire questi FQDN ed endpoint è essenziale per un'esperienza client affidabile. Il blocco dell'accesso a questi FQDN e endpoint non è supportato e influisce sulle funzionalità del servizio.
Selezionare la scheda pertinente in base al cloud in uso.
Indirizzo | Protocollo | Porta in uscita | Scopo | Client |
---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Autenticazione a Microsoft Online Services | Tutti |
*.wvd.microsoft.com |
TCP | 443 | Traffico del servizio | Tutti |
*.servicebus.windows.net |
TCP | 443 | Dati per la risoluzione dei problemi | Tutti |
go.microsoft.com |
TCP | 443 | FWLink Microsoft | Tutti |
aka.ms |
TCP | 443 | Abbreviazione URL Microsoft | Tutti |
learn.microsoft.com |
TCP | 443 | Documentazione | Tutti |
privacy.microsoft.com |
TCP | 443 | Informativa sulla privacy | Tutti |
query.prod.cms.rt.microsoft.com |
TCP | 443 | Scaricare un'identità del servizio gestito per aggiornare il client. Obbligatorio per gli aggiornamenti automatici. | Windows Desktop |
Questi FQDN e endpoint corrispondono solo a siti e risorse client. Questo elenco non include FQDN ed endpoint per altri servizi, ad esempio Microsoft Entra ID o Office 365. Gli FQDN e gli endpoint di Microsoft Entra sono disponibili in ID 56, 59 e 125 negli URL e negli intervalli di indirizzi IP di Office 365.
Passaggi successivi
Controllare l'accesso ai nomi di dominio completi e agli endpoint necessari per Desktop virtuale Azure.
Per informazioni su come sbloccare questi FQDN ed endpoint in Firewall di Azure, vedere Usare Firewall di Azure per proteggere Desktop virtuale Azure.
Per altre informazioni sulla connettività di rete, vedere Informazioni sulla connettività di rete di Desktop virtuale Azure