Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Als u Azure Virtual Desktop wilt implementeren en zodat uw gebruikers verbinding kunnen maken, moet u specifieke FQDN's en eindpunten toestaan. Gebruikers moeten ook verbinding kunnen maken met bepaalde FQDN's en eindpunten om toegang te krijgen tot hun Azure Virtual Desktop-resources. Dit artikel bevat de vereiste FQDN's en eindpunten die u moet toestaan voor uw sessiehosts en gebruikers.
Deze FQDN's en eindpunten kunnen worden geblokkeerd als u een firewall gebruikt, zoals Azure Firewall of proxyservice. Zie Proxyservicerichtlijnen voor Azure Virtual Desktop voor hulp bij het gebruik van een proxyservice met Azure Virtual Desktop.
U kunt controleren of uw sessiehost-VM's verbinding kunnen maken met deze FQDN's en eindpunten door de stappen uit te voeren voor het uitvoeren van het hulpprogramma Azure Virtual Desktop Agent URL in Toegang tot vereiste FQDN's en eindpunten controleren voor Azure Virtual Desktop. De Azure Virtual Desktop Agent URL Tool valideert elke FQDN en elk eindpunt en laat zien of uw sessiehosts er toegang toe hebben.
Belangrijk
Microsoft biedt geen ondersteuning voor Azure Virtual Desktop-implementaties waarbij de FQDN's en eindpunten die in dit artikel worden vermeld, worden geblokkeerd. Dit artikel bevat geen FQDN's en eindpunten voor andere services, zoals Microsoft Entra ID, Office 365, aangepaste DNS-providers of tijdservices. Microsoft Entra FQDN's en eindpunten vindt u onder id 46, 56, 59 en 125 in Office 365 URL's en IP-adresbereiken, die mogelijk vereist zijn in beperkte netwerkomgevingen.
Servicetags en FQDN-tags
Servicetags vertegenwoordigen groepen IP-adresvoorvoegsels van een bepaalde Azure service. Microsoft beheert de adresvoorvoegsels van de servicetag en werkt de servicetag automatisch bij naarmate adressen veranderen, waardoor de complexiteit van regelmatige updates van netwerkbeveiligingsregels wordt geminimaliseerd. Servicetags kunnen worden gebruikt in regels voor netwerkbeveiligingsgroepen (NSG's) en Azure Firewall om uitgaande netwerktoegang te beperken. Servicetags kunnen ook worden gebruikt in door de gebruiker gedefinieerde routes (UDR's) om het gedrag van verkeersroutering aan te passen.
Azure Firewall ondersteunt ook FQDN-tags, die een groep volledig gekwalificeerde domeinnamen (FQDN's) vertegenwoordigen die zijn gekoppeld aan bekende Azure en andere Microsoft-services. Azure Virtual Desktop heeft geen lijst met IP-adresbereiken die u kunt deblokkeren in plaats van FQDN's om netwerkverkeer toe te staan. Als u een Next Generation Firewall (NGFW) gebruikt, moet u een dynamische lijst gebruiken die is gemaakt voor Azure IP-adressen om ervoor te zorgen dat u verbinding kunt maken. Zie Azure Firewall gebruiken om Azure Virtual Desktop-implementaties te beveiligen voor meer informatie.
Azure Virtual Desktop zowel een servicetag als FQDN-tagvermelding beschikbaar heeft. U wordt aangeraden servicetags en FQDN-tags te gebruiken om de configuratie van uw Azure netwerk te vereenvoudigen.
Virtuele machines voor sessiehost
De volgende tabel bevat de lijst met FQDN's en eindpunten die uw sessiehost-VM's nodig hebben voor toegang tot Azure Virtual Desktop. Alle vermeldingen zijn uitgaand; u hoeft geen binnenkomende poorten te openen voor Azure Virtual Desktop. Selecteer het relevante tabblad op basis van welke cloud u gebruikt.
| Adres | Protocol | Uitgaande poort | Doel | Servicetag |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Verificatie voor Microsoft Online Services | AzureActiveDirectory |
51.5.0.0/16 |
UDP | 3478 | Relayed RDP-connectiviteit | WindowsVirtualDesktop |
*.wvd.microsoft.com |
TCP | 443 | Serviceverkeer, inclusief OP TCP gebaseerde RDP-connectiviteit | WindowsVirtualDesktop |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Agentverkeer Diagnostische uitvoer |
AzureMonitor |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Agentverkeer | AzureMonitor |
azkms.core.windows.net |
TCP | 1688 | Windows-activering | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Updates voor agent- en side-by-side-stack (SXS) | Storage |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Azure Portal ondersteuning | AzureCloud |
169.254.169.254 |
TCP | 80 | service-eindpunt voor Azure-exemplaarmetagegevens | N.v.t. |
168.63.129.16 |
TCP | 80 | Statuscontrole van sessiehost | N.v.t. |
oneocsp.microsoft.com |
TCP | 80 | Certificaten | AzureFrontDoor.FirstParty |
www.microsoft.com |
TCP | 80 | Certificaten | N.v.t. |
*.aikcertaia.microsoft.com |
TCP | 80 | Certificaten | N.v.t. |
azcsprodeusaikpublish.blob.core.windows.net |
TCP | 80 | Certificaten | N.v.t. |
*.microsoftaik.azure.net |
TCP | 80 | Certificaten | N.v.t. |
ctldl.windowsupdate.com |
TCP | 80 | Certificaten | N.v.t. |
aka.ms |
TCP | 443 | Microsoft URL-verkorting, gebruikt tijdens de implementatie van de sessiehost op Azure Lokaal | N.v.t. |
*.service.windows.cloud.microsoft |
TCP | 443 | Serviceverkeer | WindowsVirtualDesktop |
*.windows.cloud.microsoft |
TCP | 443 | Serviceverkeer | N.v.t. |
*.windows.static.microsoft |
TCP | 443 | Serviceverkeer | N.v.t. |
De volgende tabel bevat optionele FQDN's en eindpunten waartoe uw sessiehost virtuele machines mogelijk ook toegang nodig hebben voor andere services:
| Adres | Protocol | Uitgaande poort | Doel | Servicetag |
|---|---|---|---|---|
login.windows.net |
TCP | 443 | Aanmelden bij Microsoft Online Services en Microsoft 365 | AzureActiveDirectory |
*.events.data.microsoft.com |
TCP | 443 | Telemetry Service | N.v.t. |
www.msftconnecttest.com |
TCP | 80 | Detecteert of de sessiehost is verbonden met internet | N.v.t. |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | N.v.t. |
*.sfx.ms |
TCP | 443 | Updates voor OneDrive-clientsoftware | N.v.t. |
*.digicert.com |
TCP | 80 | Certificaatintrekkingscontrole | N.v.t. |
*.azure-dns.com |
TCP | 443 | dns-resolutie Azure | N.v.t. |
*.azure-dns.net |
TCP | 443 | dns-resolutie Azure | N.v.t. |
*eh.servicebus.windows.net |
TCP | 443 | Diagnostische instellingen | EventHub |
Tip
U moet het jokerteken (*) gebruiken voor FQDN's met serviceverkeer.
Als u liever geen jokerteken gebruikt voor agentverkeer, kunt u als volgt specifieke FQDN's zoeken om toe te staan:
- Zorg ervoor dat uw sessiehosts zijn geregistreerd bij een hostgroep.
- Open logboeken op een sessiehost, ga naar Windows-logboeken>Toepassing>WVD-Agent en zoek naar gebeurtenis-id3701.
- Deblokkeer de FQDN's die u onder gebeurtenis-id 3701 vindt. De FQDN's onder gebeurtenis-id 3701 zijn regio-specifiek. U moet dit proces herhalen met de relevante FQDN's voor elke Azure regio waarin u uw sessiehosts wilt implementeren.
Apparaten van eindgebruikers
Elk apparaat waarop u een van de Extern bureaublad-clients gebruikt om verbinding te maken met Azure Virtual Desktop, moet toegang hebben tot de volgende FQDN's en eindpunten. Het toestaan van deze FQDN's en eindpunten is essentieel voor een betrouwbare clientervaring. Het blokkeren van toegang tot deze FQDN's en eindpunten wordt niet ondersteund en heeft invloed op de servicefunctionaliteit.
Selecteer het relevante tabblad op basis van welke cloud u gebruikt.
| Adres | Protocol | Uitgaande poort | Doel | Client(s) |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Verificatie voor Microsoft Online Services | Alles |
*.wvd.microsoft.com |
TCP | 443 | Serviceverkeer | Alles |
*.servicebus.windows.net |
TCP | 443 | Problemen met gegevens oplossen | Alles |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | Alles |
aka.ms |
TCP | 443 | Microsoft URL-verkorting | Alles |
learn.microsoft.com |
TCP | 443 | Documentatie | Alles |
privacy.microsoft.com |
TCP | 443 | Privacyverklaring | Alles |
*.cdn.office.net |
TCP | 443 | Automatische updates | Windows Desktop |
graph.microsoft.com |
TCP | 443 | Serviceverkeer | Alles |
windows.cloud.microsoft |
TCP | 443 | Verbindingscentrum | Alles |
windows365.microsoft.com |
TCP | 443 | Serviceverkeer | Alles |
ecs.office.com |
TCP | 443 | Verbindingscentrum | Alles |
*.events.data.microsoft.com |
TCP | 443 | Clienttelemetrie | Alles |
*.microsoftaik.azure.net |
TCP | 80 | Certificaten | Alles |
www.microsoft.com |
TCP | 80 | Certificaten | Alles |
*.aikcertaia.microsoft.com |
TCP | 80 | Certificaten | Alles |
azcsprodeusaikpublish.blob.core.windows.net |
TCP | 80 | Certificaten | Alles |
Als u zich op een gesloten netwerk met beperkte internettoegang bevindt, moet u mogelijk ook de hier vermelde FQDN's toestaan voor certificaatcontroles: Azure details van certificeringsinstantie | Microsoft Learn.
Volgende stappen
Controleer de toegang tot vereiste FQDN's en eindpunten voor Azure Virtual Desktop.
Zie Use Azure Firewall to protect Azure Virtual Desktop (Azure Firewall gebruiken om Azure Virtual Desktop te beveiligen) voor meer informatie over het opheffen van deze FQDN's en eindpunten in Azure Firewall.
Zie Informatie over Azure Virtual Desktop-netwerkconnectiviteit voor meer informatie over netwerkconnectiviteit