Vereiste FQDN's en eindpunten voor Azure Virtual Desktop
Als u Azure Virtual Desktop wilt implementeren en uw gebruikers verbinding kunnen maken, moet u specifieke FQDN's en eindpunten toestaan. Gebruikers moeten ook verbinding kunnen maken met bepaalde FQDN's en eindpunten om toegang te krijgen tot hun Azure Virtual Desktop-resources. Dit artikel bevat de vereiste FQDN's en eindpunten die u nodig hebt om uw sessiehosts en gebruikers toe te staan.
Deze FQDN's en eindpunten kunnen worden geblokkeerd als u een firewall gebruikt, zoals Azure Firewall of proxyservice. Zie proxyservicerichtlijnen voor Azure Virtual Desktop voor hulp bij het gebruik van een proxyservice met Azure Virtual Desktop. Dit artikel bevat geen FQDN's en eindpunten voor andere services, zoals Microsoft Entra-id, Office 365, aangepaste DNS-providers of tijdservices. Microsoft Entra FQDN's en eindpunten vindt u onder id 56, 59 en 125 in Office 365-URL's en IP-adresbereiken.
U kunt controleren of uw sessiehost-VM's verbinding kunnen maken met deze FQDN's en eindpunten door de stappen uit te voeren om het URL-hulpprogramma voor de Azure Virtual Desktop-agent uit te voeren in Controleer de toegang tot de vereiste FQDN's en eindpunten voor Azure Virtual Desktop. Het URL-hulpprogramma van de Azure Virtual Desktop-agent valideert elke FQDN en elk eindpunt en geeft aan of uw sessiehosts er toegang toe hebben.
Belangrijk
Microsoft biedt geen ondersteuning voor Azure Virtual Desktop-implementaties waarbij de FQDN's en eindpunten die in dit artikel worden vermeld, worden geblokkeerd.
Virtuele machines van sessiehost
De volgende tabel is de lijst met FQDN's en eindpunten die uw sessiehost-VM's nodig hebben voor Azure Virtual Desktop. Alle vermeldingen zijn uitgaand; U hoeft geen binnenkomende poorten te openen voor Azure Virtual Desktop. Selecteer het relevante tabblad op basis van de cloud die u gebruikt.
| Adres | Protocol | Uitgaande poort | Doel | Servicetag |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Verificatie voor Microsoft Online Services | |
*.wvd.microsoft.com |
TCP | 443 | Serviceverkeer | WindowsVirtualDesktop |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Agent-verkeer Diagnostische uitvoer |
AzureMonitor |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Agent-verkeer | AzureCloud |
azkms.core.windows.net |
TCP | 1688 | Windows-activering | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Stack-updates voor agent en side-by-side (SXS) | AzureCloud |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Ondersteuning Azure-portal | AzureCloud |
169.254.169.254 |
TCP | 80 | Service-eindpunt voor Metagegevens van Azure Instance | N.v.t. |
168.63.129.16 |
TCP | 80 | Statuscontrole van sessiehost | N.v.t. |
oneocsp.microsoft.com |
TCP | 80 | Certificaten | N.v.t. |
www.microsoft.com |
TCP | 80 | Certificaten | N.v.t. |
De volgende tabel bevat optionele FQDN's en eindpunten die uw sessiehost-VM's mogelijk ook nodig hebben voor andere services:
| Adres | Protocol | Uitgaande poort | Doel | Servicetag |
|---|---|---|---|---|
login.windows.net |
TCP | 443 | Aanmelden bij Microsoft Online Services en Microsoft 365 | N.v.t. |
*.events.data.microsoft.com |
TCP | 443 | Telemetrieservice | N.v.t. |
www.msftconnecttest.com |
TCP | 80 | Detecteert of de sessiehost is verbonden met internet | N.v.t. |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | N.v.t. |
*.sfx.ms |
TCP | 443 | Updates voor OneDrive-clientsoftware | N.v.t. |
*.digicert.com |
TCP | 80 | Controle van certificaatintrekking | N.v.t. |
*.azure-dns.com |
TCP | 443 | Azure DNS-omzetting | N.v.t. |
*.azure-dns.net |
TCP | 443 | Azure DNS-omzetting | N.v.t. |
*eh.servicebus.windows.net |
TCP | 443 | Diagnostische instellingen | EventHub |
Deze lijst bevat geen FQDN's en eindpunten voor andere services, zoals Microsoft Entra-id, Office 365, aangepaste DNS-providers of tijdservices. Microsoft Entra FQDN's en eindpunten vindt u onder id 56, 59 en 125 in Office 365-URL's en IP-adresbereiken.
Tip
U moet het jokerteken (*) gebruiken voor FQDN's die betrekking hebben op serviceverkeer. Als u voor agentverkeer liever geen jokerteken gebruikt, kunt u als volgt specifieke FQDN's vinden om dit toe te staan:
- Zorg ervoor dat de virtuele machines van de sessiehost zijn geregistreerd bij een hostgroep.
- Open logboeken op een sessiehost en ga vervolgens naar Windows-logboeken>application>WVD-Agent en zoek naar gebeurtenis-id 3701.
- Deblokkeren de FQDN's die u vindt onder gebeurtenis-id 3701. De FQDN's onder gebeurtenis-id 3701 zijn regiospecifiek. U moet dit proces herhalen met de relevante FQDN's voor elke Azure-regio waarin u de virtuele machines van de sessiehost wilt implementeren.
Servicetags en FQDN-tags
Een servicetag voor een virtueel netwerk vertegenwoordigt een groep IP-adresvoorvoegsels van een bepaalde Azure-service. Microsoft beheert de adresvoorvoegsels die worden omvat door de servicetag en werkt de servicetag automatisch bij naarmate de adressen veranderen, waardoor de complexiteit van frequente updates voor netwerkbeveiligingsregels wordt geminimaliseerd. Servicetags kunnen worden gebruikt in zowel netwerkbeveiligingsgroep (NSG) als Azure Firewall-regels om uitgaande netwerktoegang te beperken. Servicetags kunnen ook worden gebruikt in door de gebruiker gedefinieerde route (UDR) om het gedrag van verkeersroutering aan te passen.
Azure Firewall ondersteunt Azure Virtual Desktop als FQDN-tag. Zie Azure Firewall gebruiken om Azure Virtual Desktop-implementaties te beveiligen voor meer informatie.
U wordt aangeraden FQDN-tags of servicetags te gebruiken om de configuratie te vereenvoudigen. De vermelde FQDN's en eindpunten en tags komen alleen overeen met Azure Virtual Desktop-sites en -resources. Ze bevatten geen FQDN's en eindpunten voor andere services, zoals Microsoft Entra-id. Zie Beschikbare servicetags voor andere services voor servicetags.
Azure Virtual Desktop heeft geen lijst met IP-adresbereiken die u kunt deblokkeren in plaats van FQDN's om netwerkverkeer toe te staan. Als u een Next Generation Firewall (NGFW) gebruikt, moet u een dynamische lijst voor Azure IP-adressen gebruiken om ervoor te zorgen dat u verbinding kunt maken.
Apparaten van eindgebruikers
Elk apparaat waarop u een van de Extern bureaublad-clients gebruikt om verbinding te maken met Azure Virtual Desktop, moet toegang hebben tot de volgende FQDN's en eindpunten. Het toestaan van deze FQDN's en eindpunten is essentieel voor een betrouwbare clientervaring. De toegang tot deze FQDN's en eindpunten wordt niet ondersteund en beïnvloedt de servicefunctionaliteit.
Selecteer het relevante tabblad op basis van de cloud die u gebruikt.
| Adres | Protocol | Uitgaande poort | Doel | Client(s) |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Verificatie voor Microsoft Online Services | Alle |
*.wvd.microsoft.com |
TCP | 443 | Serviceverkeer | Alle |
*.servicebus.windows.net |
TCP | 443 | Probleemoplossingsgegevens | Alle |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | Alle |
aka.ms |
TCP | 443 | Microsoft URL-verkorter | Alle |
learn.microsoft.com |
TCP | 443 | Documentatie | Alle |
privacy.microsoft.com |
TCP | 443 | Privacyverklaring | Alle |
query.prod.cms.rt.microsoft.com |
TCP | 443 | Download een MSI- of MSIX-pakket om de client bij te werken. Vereist voor automatische updates. | Windows Desktop |
graph.microsoft.com |
TCP | 443 | Serviceverkeer | Alle |
windows.cloud.microsoft |
TCP | 443 | Verbindingscentrum | Alle |
windows365.microsoft.com |
TCP | 443 | Serviceverkeer | Alle |
ecs.office.com |
TCP | 443 | Verbindingscentrum | Alle |
Deze FQDN's en eindpunten komen alleen overeen met clientsites en -resources. Deze lijst bevat geen FQDN's en eindpunten voor andere services, zoals Microsoft Entra-id of Office 365. Microsoft Entra FQDN's en eindpunten vindt u onder id 56, 59 en 125 in Office 365-URL's en IP-adresbereiken.
Als u zich in een gesloten netwerk bevindt met beperkte internettoegang, moet u mogelijk ook de hier vermelde FQDN's toestaan voor certificaatcontroles: Azure Certificate Authority Details | Microsoft Learn.
Volgende stappen
Controleer de toegang tot de vereiste FQDN's en eindpunten voor Azure Virtual Desktop.
Zie Azure Firewall gebruiken om Azure Virtual Desktop te beveiligen voor meer informatie over het deblokkeren van deze FQDN's en eindpunten in Azure Firewall.
Zie Understanding Azure Virtual Desktop network connectivity (Azure Virtual Desktop-netwerkconnectiviteit) voor meer informatie over netwerkconnectiviteit