次の方法で共有


Azure Virtual Desktop に必要な FQDN とエンドポイント

Azure Virtual Desktop をデプロイするためと、ユーザーが接続するためには、特定の FQDN とエンドポイントを許可する必要があります。 また、ユーザーが Azure Virtual Desktop リソースにアクセスするには、特定の FQDN とエンドポイントに接続できることも必要です。 この記事では、セッション ホストとユーザーに対して許可する必要がある必須の FQDN とエンドポイントの一覧を示します。

Azure Firewall やプロキシ サービスなどのファイアウォールを使っている場合、これらの FQDN とエンドポイントがブロックされる可能性があります。 Azure Virtual Desktop でのプロキシ サービスの使用に関するガイダンスについては、Azure Virtual Desktop についてのプロキシ サービスのガイドラインに関する記事をご覧ください。 この記事には、Microsoft Entra ID、Office 365、カスタム DNS プロバイダー、タイム サービスなどの他のサービスのための FQDN とエンドポイントは含まれません。 Microsoft Entra の FQDN とエンドポイントは、「Office 365 の URL と IP アドレスの範囲」の ID 5659125 で見つかります。

セッション ホストの VM がこれらの FQDN とエンドポイントに接続できることを確認するには、「Azure Virtual Desktop に必要な FQDN とエンドポイントへのアクセスを調べる」の Azure Virtual Desktop エージェント URL ツールを実行する手順に従います。 Azure Virtual Desktop エージェント URL ツールは、各 FQDN とエンドポイントを検証し、セッション ホストがそれらにアクセスできるかどうかを示します。

重要

この記事に記載されている FQDN とエンドポイントがブロックされている Azure Virtual Desktop のデプロイは、Microsoft によってサポートされません。

セッション ホスト仮想マシン

Azure Virtual Desktop のためにセッション ホスト VM からアクセスする必要がある FQDN とエンドポイントの一覧を次の表に示します。 すべてのエントリはアウトバウンドです。Azure Virtual Desktop のためにインバウンド ポートを開く必要はありません。 使用しているクラウドに基づいて、関連するタブを選択してください。

アドレス プロトコル 送信ポート 目的 サービス タグ
login.microsoftonline.com TCP 443 Microsoft オンライン サービスへの認証
*.wvd.microsoft.com TCP 443 サービス トラフィック WindowsVirtualDesktop
*.prod.warm.ingest.monitor.core.windows.net TCP 443 エージェント トラフィック
診断結果の出力
AzureMonitor
catalogartifact.azureedge.net TCP 443 Azure Marketplace AzureFrontDoor.Frontend
gcs.prod.monitoring.core.windows.net TCP 443 エージェント トラフィック AzureCloud
azkms.core.windows.net TCP 1688 Windows のライセンス認証 インターネット
mrsglobalsteus2prod.blob.core.windows.net TCP 443 エージェントとサイド バイ サイド (SXS) スタックの更新 AzureCloud
wvdportalstorageblob.blob.core.windows.net TCP 443 Azure portal のサポート AzureCloud
169.254.169.254 TCP 80 Azure Instance Metadata Service エンドポイント 該当なし
168.63.129.16 TCP 80 セッション ホストの正常性の監視 該当なし
oneocsp.microsoft.com TCP 80 証明書 該当なし
www.microsoft.com TCP 80 証明書 該当なし

次の表は、セッション ホスト仮想マシンから他のサービスにアクセスするためにやはり必要になる可能性があるオプションの FQDN とエンドポイントの一覧です。

アドレス プロトコル 送信ポート 目的 サービス タグ
login.windows.net TCP 443 Microsoft Online Services および Microsoft 365 へのサインイン 該当なし
*.events.data.microsoft.com TCP 443 テレメトリ サービス 該当なし
www.msftconnecttest.com TCP 80 セッション ホストがインターネットに接続されているかどうかの検出 該当なし
*.prod.do.dsp.mp.microsoft.com TCP 443 Windows Update 該当なし
*.sfx.ms TCP 443 OneDrive クライアント ソフトウェアの更新 該当なし
*.digicert.com TCP 80 証明書失効の確認 該当なし
*.azure-dns.com TCP 443 Azure DNS 解決 該当なし
*.azure-dns.net TCP 443 Azure DNS 解決 該当なし
*eh.servicebus.windows.net TCP 443 診断設定 EventHub

この一覧には、Microsoft Entra ID、Office 365、カスタム DNS プロバイダー、タイム サービスなどの他のサービスのための FQDN とエンドポイントは含まれません。 Microsoft Entra の FQDN とエンドポイントは、「Office 365 の URL と IP アドレスの範囲」の ID 5659125 で見つかります。

ヒント

"サービス トラフィック" に関係のある FQDN には、ワイルドカード文字 (*) を使う必要があります。 "エージェント トラフィック" でワイルドカードを使うのが望ましくない場合に、許可する特定の FQDN を見つける方法を次に示します。

  1. セッション ホスト仮想マシンがホスト プールに登録されていることを確認します。
  2. セッション ホストで、イベント ビューアーを開き、[Windows ログ]>[アプリケーション]>[WVD-Agent] に移動して、イベント ID 3701 を探します。
  3. イベント ID 3701 で示されている FQDN のブロックを解除します。 イベント ID 3701 の FQDN はリージョン固有です。 セッション ホスト仮想マシンをデプロする Azure リージョンごとに、関連する FQDN を使って、このプロセスを繰り返す必要があります。

サービス タグと FQDN タグ

仮想ネットワーク サービス タグは、指定された Azure サービスからの IP アドレス プレフィックスのグループを表します。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。これにより、ネットワーク セキュリティ規則に対する頻繁な更新の複雑さを最小限に抑えられます。 サービス タグは、ネットワーク セキュリティ グループ (NSG) と Azure Firewall 両方のルールで使用して、送信ネットワーク アクセスを制限できます。 サービス タグは、ユーザー定義ルート (UDR) でも使用され、トラフィック ルーティングの動作をカスタマイズできます。

Azure Firewall では、Azure Virtual Desktop が FQDN タグとしてサポートされます。 詳細については、「Azure Firewall を使用して Azure Virtual Desktop のデプロイを保護する」を参照してください。

構成を簡単にするため、FQDN タグまたはサービス タグを使うことをお勧めします。 一覧で示されている FQDN、エンドポイント、タグは、Azure Virtual Desktop のサイトとリソースにのみ対応します。 Microsoft Entra ID などの他のサービスの FQDN とエンドポイントは含まれません。 他のサービスのサービス タグについては、「利用可能なサービス タグ」をご覧ください。

Azure Virtual Desktop には、ネットワーク トラフィックを許可するために FQDN の代わりにブロックを解除できる IP アドレス範囲のリストはありません。 次世代ファイアウォール (NGFW) を使っている場合は、確実に接続できるよう、Azure IP アドレス用に作られた動的リストを使う必要があります。

エンド ユーザーのデバイス

Azure Virtual Desktop に接続するためにリモート デスクトップ クライアントの 1 つを使っているデバイスは、次の FQDN とエンドポイントにアクセスできる必要があります。 信頼できるクライアント エクスペリエンスのためには、これらの FQDN とエンドポイントを許可することが不可欠です。 これらの FQDN とエンドポイントへのアクセスをブロックすることはサポートされておらず、サービスの機能に影響します。

使用しているクラウドに基づいて、関連するタブを選択してください。

アドレス プロトコル 送信ポート 目的 クライアント
login.microsoftonline.com TCP 443 Microsoft オンライン サービスへの認証 すべて
*.wvd.microsoft.com TCP 443 サービス トラフィック すべて
*.servicebus.windows.net TCP 443 データのトラブルシューティング すべて
go.microsoft.com TCP 443 Microsoft の FWLink すべて
aka.ms TCP 443 Microsoft URL 短縮ツール すべて
learn.microsoft.com TCP 443 ドキュメント すべて
privacy.microsoft.com TCP 443 プライバシー ステートメント すべて
query.prod.cms.rt.microsoft.com TCP 443 MSI をダウンロードしてクライアントを更新します。 自動更新のために必要です。 Windows デスクトップ

これらの FQDN とエンドポイントは、クライアントのサイトとリソースにのみ対応します。 このリストには、Microsoft Entra ID や Office 365 などの他のサービス用の FQDN とエンドポイントは含まれません。 Microsoft Entra の FQDN とエンドポイントは、「Office 365 の URL と IP アドレスの範囲」の ID 5659125 で見つかります。

次のステップ