Azure Virtual Desktop에 필요한 FQDN 및 엔드포인트
Azure Virtual Desktop을 배포하고 사용자가 연결하려면 특정 FQDN 및 엔드포인트를 허용해야 합니다. 또한 사용자는 특정 FQDN 및 엔드포인트에 연결하여 Azure Virtual Desktop 리소스에 액세스할 수 있어야 합니다. 이 문서에서는 세션 호스트 및 사용자에게 허용해야 하는 필수 FQDN 및 엔드포인트를 나열합니다.
Azure Firewall 또는 프록시 서비스와 같은 방화벽을 사용하는 경우 이러한 FQDN 및 엔드포인트를 차단할 수 있습니다. Azure Virtual Desktop에서 프록시 서비스를 사용하는 방법에 대한 지침은 Azure Virtual Desktop에 대한 프록시 서비스 지침을 참조하세요. 이 문서에는 Microsoft Entra ID, Office 365, 사용자 지정 DNS 공급자 또는 시간 서비스와 같은 다른 서비스에 대한 FQDN 및 엔드포인트가 포함되어 있지 않습니다. Microsoft Entra FQDN 및 엔드포인트는 Office 365 URL 및 IP 주소 범위의 ID 56, 59 및 125에서 찾을 수 있습니다.
Azure Virtual Desktop에 필요한 FQDN 및 엔드포인트에 대한 액세스 확인에서 Azure Virtual Desktop 에이전트 URL 도구를 실행하는 단계에 따라 세션 호스트 VM이 이러한 FQDN 및 엔드포인트에 연결할 수 있는지 확인할 수 있습니다. Azure Virtual Desktop 에이전트 URL 도구는 각 FQDN 및 엔드포인트의 유효성을 검사하고 세션 호스트가 액세스할 수 있는지 여부를 표시합니다.
Important
Microsoft는 이 문서에 나열된 FQDN 및 엔드포인트가 차단되는 Azure Virtual Desktop 배포를 지원하지 않습니다.
세션 호스트 가상 머신
다음 표는 세션 호스트 VM이 Azure Virtual Desktop에 액세스해야 하는 FQDN 및 엔드포인트 목록입니다. 모든 항목은 아웃바운드입니다. Azure Virtual Desktop에 대한 인바운드 포트를 열 필요가 없습니다. 사용 중인 클라우드에 따라 관련 탭을 선택합니다.
| 주소 | 프로토콜 | 아웃바운드 포트 | 목적 | 서비스 태그 |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Microsoft Online Services에 대한 인증 | |
*.wvd.microsoft.com |
TCP | 443 | 서비스 트래픽 | WindowsVirtualDesktop |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | 에이전트 트래픽 진단 출력 |
AzureMonitor |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | 에이전트 트래픽 | AzureCloud |
azkms.core.windows.net |
TCP | 1688 | Windows 정품 인증 | 인터넷 |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | 에이전트 및 SXS(병렬) 스택 업데이트 | AzureCloud |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Azure Portal 지원 | AzureCloud |
169.254.169.254 |
TCP | 80 | Azure Instance Metadata Service 엔드포인트 | 해당 없음 |
168.63.129.16 |
TCP | 80 | 세션 호스트 상태 모니터링 | 해당 없음 |
oneocsp.microsoft.com |
TCP | 80 | 인증서 | 해당 없음 |
www.microsoft.com |
TCP | 80 | 인증서 | 해당 없음 |
다음 표에서는 세션 호스트 가상 머신이 다른 서비스에 액세스하는 데 필요할 수도 있는 선택적 FQDN 및 엔드포인트를 나열합니다.
| 주소 | 프로토콜 | 아웃바운드 포트 | 목적 | 서비스 태그 |
|---|---|---|---|---|
login.windows.net |
TCP | 443 | Microsoft Online Services 및 Microsoft 365에 로그인 | 해당 없음 |
*.events.data.microsoft.com |
TCP | 443 | 원격 분석 서비스 | 해당 없음 |
www.msftconnecttest.com |
TCP | 80 | 세션 호스트가 인터넷에 연결되어 있는지 검색 | 해당 없음 |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows 업데이트 | 해당 없음 |
*.sfx.ms |
TCP | 443 | OneDrive 클라이언트 소프트웨어에 대한 업데이트 | 해당 없음 |
*.digicert.com |
TCP | 80 | 인증서 해지 확인 | 해당 없음 |
*.azure-dns.com |
TCP | 443 | Azure DNS 확인 | 해당 없음 |
*.azure-dns.net |
TCP | 443 | Azure DNS 확인 | 해당 없음 |
*eh.servicebus.windows.net |
TCP | 443 | 진단 설정 | EventHub |
이 목록에는 Microsoft Entra ID, Office 365, 사용자 지정 DNS 공급자 또는 시간 서비스와 같은 다른 서비스에 대한 FQDN 및 엔드포인트가 포함되어 있지 않습니다. Microsoft Entra FQDN 및 엔드포인트는 Office 365 URL 및 IP 주소 범위의 ID 56, 59 및 125에서 찾을 수 있습니다.
팁
서비스 트래픽과 관련된 FQDN에는 와일드카드 문자(*)를 사용해야 합니다. 에이전트 트래픽의 경우 와일드카드를 사용하지 않으려는 경우 허용되는 특정 FQDN을 찾는 방법은 다음과 같습니다.
- 세션 호스트 가상 머신이 호스트 풀에 등록되어 있는지 확인합니다.
- 세션 호스트에서 이벤트 뷰어를 연 다음, Windows 로그>애플리케이션>WVD-Agent로 이동하여 이벤트 ID 3701을 찾습니다.
- 이벤트 ID 3701 아래에 있는 FQDN을 차단 해제합니다. 이벤트 ID 3701 아래의 FQDN은 지역별로 다릅니다. 세션 호스트 가상 머신을 배포하려는 각 Azure 지역의 관련 FQDN을 사용하여 이 프로세스를 반복해야 합니다.
서비스 태그 및 FQDN 태그
가상 네트워크 서비스 태그는 지정된 Azure 서비스의 IP 주소 접두사 그룹을 나타냅니다. Microsoft는 서비스 태그에 포함되는 주소 접두사를 관리하고 주소가 변경되면 서비스 태그를 자동으로 업데이트하여 네트워크 보안 규칙을 자주 업데이트할 때 발생하는 복잡성을 최소화합니다. 서비스 태그는 네트워크 보안 그룹(NSG) 및 Azure Firewall 규칙 모두에서 사용하여 아웃바운드 네트워크 액세스를 제한할 수 있습니다. 서비스 태그는 UDR(사용자 지정 경로)에서도 사용하여 트래픽 라우팅 동작을 사용자 지정할 수 있습니다.
Azure Firewall은 Azure Virtual Desktop을 FQDN 태그로 지원합니다. 자세한 내용은 Azure Firewall을 사용하여 Azure Virtual Desktop 배포 보호를 참조하세요.
구성을 간소화하려면 FQDN 태그 또는 서비스 태그를 사용하는 것이 좋습니다. 나열된 FQDN 및 엔드포인트와 태그는 Azure Virtual Desktop 사이트 및 리소스에만 해당합니다. Microsoft Entra ID와 같은 다른 서비스에 대한 FQDN 및 엔드포인트는 포함되어 있지 않습니다. 다른 서비스의 서비스 태그는 사용 가능한 서비스 태그를 참조하세요.
Azure Virtual Desktop에는 네트워크 트래픽을 허용하기 위해 FQDN 대신 차단을 해제할 수 있는 IP 주소 범위 목록이 없습니다. NGFW(차세대 방화벽)를 사용하는 경우 Azure IP 주소에 대해 만들어진 동적 목록을 사용하여 연결할 수 있는지 확인해야 합니다.
최종 사용자 디바이스
원격 데스크톱 클라이언트 중 하나를 사용하여 Azure Virtual Desktop에 연결하는 모든 디바이스는 다음 FQDN 및 엔드포인트에 액세스할 수 있어야 합니다. 신뢰할 수 있는 클라이언트 환경에는 이러한 FQDN 및 엔드포인트를 허용하는 것이 필수적입니다. 이러한 FQDN 및 엔드포인트에 대한 액세스를 차단하는 것은 지원되지 않으며 서비스 기능에 영향을 줍니다.
사용 중인 클라우드에 따라 관련 탭을 선택합니다.
| 주소 | 프로토콜 | 아웃바운드 포트 | 목적 | 클라이언트 |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Microsoft Online Services에 대한 인증 | 모두 |
*.wvd.microsoft.com |
TCP | 443 | 서비스 트래픽 | 모두 |
*.servicebus.windows.net |
TCP | 443 | 데이터 문제 해결 | 모두 |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | 모두 |
aka.ms |
TCP | 443 | Microsoft URL 단축기 | 모두 |
learn.microsoft.com |
TCP | 443 | 설명서 | 모두 |
privacy.microsoft.com |
TCP | 443 | 개인정보처리방침 | 모두 |
query.prod.cms.rt.microsoft.com |
TCP | 443 | MSI 또는 MSIX 패키지를 다운로드하여 클라이언트를 업데이트합니다. 자동 업데이트에 필요합니다. | Windows 데스크톱 |
graph.microsoft.com |
TCP | 443 | 서비스 트래픽 | 모두 |
windows.cloud.microsoft |
TCP | 443 | 연결 센터 | 모두 |
windows365.microsoft.com |
TCP | 443 | 서비스 트래픽 | 모두 |
ecs.office.com |
TCP | 443 | 연결 센터 | 모두 |
이러한 FQDN 및 엔드포인트는 클라이언트 사이트 및 리소스에만 해당합니다. 이 목록에는 Microsoft Entra ID 또는 Office 365와 같은 다른 서비스에 대한 FQDN 및 엔드포인트가 포함되어 있지 않습니다. Microsoft Entra FQDN 및 엔드포인트는 Office 365 URL 및 IP 주소 범위의 ID 56, 59 및 125에서 찾을 수 있습니다.
인터넷 액세스가 제한된 폐쇄된 네트워크를 사용하는 경우 인증서 확인을 위해 여기에 나열된 FQDN을 허용해야 할 수도 있습니다. Azure 인증 기관 세부 정보 | Microsoft Learn
다음 단계
Azure Virtual Desktop에 필요한 FQDN 및 엔드포인트에 대한 액세스 확인.
Azure Firewall에서 이러한 FQDN 및 엔드포인트를 차단 해제하는 방법을 알아보려면 Azure Firewall을 사용하여 Azure Virtual Desktop 보호를 참조하세요.
네트워크 연결에 대한 자세한 내용은 Azure Virtual Desktop 네트워크 연결 이해를 참조하세요.