Azure Virtual Desktop に必要な FQDN とエンドポイント
Azure Virtual Desktop をデプロイするためと、ユーザーが接続するためには、特定の FQDN とエンドポイントを許可する必要があります。 また、ユーザーが Azure Virtual Desktop リソースにアクセスするには、特定の FQDN とエンドポイントに接続できることも必要です。 この記事では、セッション ホストとユーザーに対して許可する必要がある必須の FQDN とエンドポイントの一覧を示します。
Azure Firewall やプロキシ サービスなどのファイアウォールを使っている場合、これらの FQDN とエンドポイントがブロックされる可能性があります。 Azure Virtual Desktop でのプロキシ サービスの使用に関するガイダンスについては、Azure Virtual Desktop についてのプロキシ サービスのガイドラインに関する記事をご覧ください。 この記事には、Microsoft Entra ID、Office 365、カスタム DNS プロバイダー、タイム サービスなどの他のサービスのための FQDN とエンドポイントは含まれません。 Microsoft Entra の FQDN とエンドポイントは、「Office 365 の URL と IP アドレスの範囲」の ID 56、59、125 で見つかります。
セッション ホストの VM がこれらの FQDN とエンドポイントに接続できることを確認するには、「Azure Virtual Desktop に必要な FQDN とエンドポイントへのアクセスを調べる」の Azure Virtual Desktop エージェント URL ツールを実行する手順に従います。 Azure Virtual Desktop エージェント URL ツールは、各 FQDN とエンドポイントを検証し、セッション ホストがそれらにアクセスできるかどうかを示します。
重要
この記事に記載されている FQDN とエンドポイントがブロックされている Azure Virtual Desktop のデプロイは、Microsoft によってサポートされません。
セッション ホスト仮想マシン
Azure Virtual Desktop のためにセッション ホスト VM からアクセスする必要がある FQDN とエンドポイントの一覧を次の表に示します。 すべてのエントリはアウトバウンドです。Azure Virtual Desktop のためにインバウンド ポートを開く必要はありません。 使用しているクラウドに基づいて、関連するタブを選択してください。
| アドレス | プロトコル | 送信ポート | 目的 | サービス タグ |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Microsoft オンライン サービスへの認証 | |
*.wvd.microsoft.com |
TCP | 443 | サービス トラフィック | WindowsVirtualDesktop |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | エージェント トラフィック 診断結果の出力 |
AzureMonitor |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | エージェント トラフィック | AzureCloud |
kms.core.windows.net |
TCP | 1688 | Windows のライセンス認証 | インターネット |
azkms.core.windows.net |
TCP | 1688 | Windows のライセンス認証 | インターネット |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | エージェントとサイド バイ サイド (SXS) スタックの更新 | AzureCloud |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Azure portal のサポート | AzureCloud |
169.254.169.254 |
TCP | 80 | Azure Instance Metadata Service エンドポイント | 該当なし |
168.63.129.16 |
TCP | 80 | セッション ホストの正常性の監視 | 該当なし |
oneocsp.microsoft.com |
TCP | 80 | 証明書 | 該当なし |
www.microsoft.com |
TCP | 80 | 証明書 | 該当なし |
次の表は、セッション ホスト仮想マシンから他のサービスにアクセスするためにやはり必要になる可能性があるオプションの FQDN とエンドポイントの一覧です。
| アドレス | プロトコル | 送信ポート | 目的 |
|---|---|---|---|
login.windows.net |
TCP | 443 | Microsoft Online Services および Microsoft 365 へのサインイン |
*.events.data.microsoft.com |
TCP | 443 | テレメトリ サービス |
www.msftconnecttest.com |
TCP | 80 | セッション ホストがインターネットに接続されているかどうかの検出 |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update |
*.sfx.ms |
TCP | 443 | OneDrive クライアント ソフトウェアの更新 |
*.digicert.com |
TCP | 80 | 証明書失効の確認 |
*.azure-dns.com |
TCP | 443 | Azure DNS 解決 |
*.azure-dns.net |
TCP | 443 | Azure DNS 解決 |
*eh.servicebus.windows.net |
TCP | 443 | 診断設定 |
この一覧には、Microsoft Entra ID、Office 365、カスタム DNS プロバイダー、タイム サービスなどの他のサービスのための FQDN とエンドポイントは含まれません。 Microsoft Entra の FQDN とエンドポイントは、「Office 365 の URL と IP アドレスの範囲」の ID 56、59、125 で見つかります。
ヒント
"サービス トラフィック" に関係のある FQDN には、ワイルドカード文字 (*) を使う必要があります。 "エージェント トラフィック" でワイルドカードを使うのが望ましくない場合に、許可する特定の FQDN を見つける方法を次に示します。
- セッション ホスト仮想マシンがホスト プールに登録されていることを確認します。
- セッション ホストで、イベント ビューアーを開き、[Windows ログ]>[アプリケーション]>[WVD-Agent] に移動して、イベント ID 3701 を探します。
- イベント ID 3701 で示されている FQDN のブロックを解除します。 イベント ID 3701 の FQDN はリージョン固有です。 セッション ホスト仮想マシンをデプロする Azure リージョンごとに、関連する FQDN を使って、このプロセスを繰り返す必要があります。
サービス タグと FQDN タグ
仮想ネットワーク サービス タグは、指定された Azure サービスからの IP アドレス プレフィックスのグループを表します。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。これにより、ネットワーク セキュリティ規則に対する頻繁な更新の複雑さを最小限に抑えられます。 サービス タグは、ネットワーク セキュリティ グループ (NSG) と Azure Firewall 両方のルールで使用して、送信ネットワーク アクセスを制限できます。 サービス タグは、ユーザー定義ルート (UDR) でも使用され、トラフィック ルーティングの動作をカスタマイズできます。
Azure Firewall では、Azure Virtual Desktop が FQDN タグとしてサポートされます。 詳細については、「Azure Firewall を使用して Azure Virtual Desktop のデプロイを保護する」を参照してください。
構成を簡単にするため、FQDN タグまたはサービス タグを使うことをお勧めします。 一覧で示されている FQDN、エンドポイント、タグは、Azure Virtual Desktop のサイトとリソースにのみ対応します。 Microsoft Entra ID などの他のサービスの FQDN とエンドポイントは含まれません。 他のサービスのサービス タグについては、「利用可能なサービス タグ」をご覧ください。
Azure Virtual Desktop には、ネットワーク トラフィックを許可するために FQDN の代わりにブロックを解除できる IP アドレス範囲のリストはありません。 次世代ファイアウォール (NGFW) を使っている場合は、確実に接続できるよう、Azure IP アドレス用に作られた動的リストを使う必要があります。
エンド ユーザーのデバイス
Azure Virtual Desktop に接続するためにリモート デスクトップ クライアントの 1 つを使っているデバイスは、次の FQDN とエンドポイントにアクセスできる必要があります。 信頼できるクライアント エクスペリエンスのためには、これらの FQDN とエンドポイントを許可することが不可欠です。 これらの FQDN とエンドポイントへのアクセスをブロックすることはサポートされておらず、サービスの機能に影響します。
使用しているクラウドに基づいて、関連するタブを選択してください。
| アドレス | プロトコル | 送信ポート | 目的 | クライアント |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Microsoft オンライン サービスへの認証 | すべて |
*.wvd.microsoft.com |
TCP | 443 | サービス トラフィック | すべて |
*.servicebus.windows.net |
TCP | 443 | データのトラブルシューティング | すべて |
go.microsoft.com |
TCP | 443 | Microsoft の FWLink | すべて |
aka.ms |
TCP | 443 | Microsoft URL 短縮ツール | すべて |
learn.microsoft.com |
TCP | 443 | ドキュメント | すべて |
privacy.microsoft.com |
TCP | 443 | プライバシー ステートメント | すべて |
query.prod.cms.rt.microsoft.com |
TCP | 443 | MSI をダウンロードしてクライアントを更新します。 自動更新のために必要です。 | Windows デスクトップ |
これらの FQDN とエンドポイントは、クライアントのサイトとリソースにのみ対応します。 このリストには、Microsoft Entra ID や Office 365 などの他のサービス用の FQDN とエンドポイントは含まれません。 Microsoft Entra の FQDN とエンドポイントは、「Office 365 の URL と IP アドレスの範囲」の ID 56、59、125 で見つかります。
次のステップ
Azure Firewall でこれらの FQDN とエンドポイントのブロックを解除する方法については、Azure Firewall を使った Azure Virtual Desktop の保護に関する記事をご覧ください。
ネットワーク接続の詳細については、「Azure Virtual Desktop のネットワーク接続について」を参照してください。