Netwerkvereisten voor Microsoft Dev Box

Microsoft Dev Box is een service waarmee gebruikers verbinding kunnen maken met een cloudwerkstation dat via internet wordt uitgevoerd in Azure, vanaf elk apparaat waar dan ook. Als u deze internetverbinding wilt ondersteunen, moet u voldoen aan de netwerkvereisten die in dit artikel worden vermeld. U moet samenwerken met het netwerkteam en het beveiligingsteam van uw organisatie om netwerktoegang voor ontwikkelvakken te plannen en te implementeren.

Microsoft Dev box is nauw verwant aan de Windows 365- en Azure Virtual Desktop-services, en in veel gevallen zijn de netwerkvereisten hetzelfde.

Algemene netwerkvereisten

Voor dev-vakken is een netwerkverbinding vereist om toegang te krijgen tot resources. U kunt kiezen tussen een door Microsoft gehoste netwerkverbinding en een Azure-netwerkverbinding die u in uw eigen abonnement maakt. Het kiezen van een methode voor het toestaan van toegang tot uw netwerkbronnen is afhankelijk van waar uw resources zijn gebaseerd.

Wanneer u een door Microsoft gehoste verbinding gebruikt:

• Microsoft biedt en beheert de infrastructuur volledig.
• U kunt de beveiliging van dev boxs beheren vanuit Microsoft Intune.

Als u uw eigen netwerk wilt gebruiken en aan Microsoft Entra gekoppelde ontwikkelvakken wilt inrichten, moet u voldoen aan de volgende vereisten:

• Virtueel Azure-netwerk: u moet een virtueel netwerk in uw Azure-abonnement hebben. De regio die u voor het virtuele netwerk selecteert, is waar Azure de dev-vakken implementeert.
• Een subnet binnen het virtuele netwerk en beschikbare IP-adresruimte.
• Netwerkbandbreedte: zie de netwerkrichtlijnen van Azure.

Als u uw eigen netwerk wilt gebruiken en hybride gekoppelde dev-vakken voor Microsoft Entra wilt inrichten, moet u voldoen aan de bovenstaande vereisten en aan de volgende vereisten:

• Het virtuele Azure-netwerk moet DNS-vermeldingen (Domain Name Services) kunnen omzetten voor uw Active Directory-domein Services-omgeving (AD DS). Ter ondersteuning van deze resolutie definieert u uw AD DS DNS-servers als de DNS-servers voor het virtuele netwerk.
• Het virtuele Azure-netwerk moet netwerktoegang hebben tot een bedrijfsdomeincontroller, in Azure of on-premises.

Wanneer u on-premises verbinding maakt met resources via hybride Microsoft Entra-joins, neemt u contact op met uw azure-netwerktopologie-expert. Best practice is het implementeren van een hub-and-spoke-netwerktopologie. De hub is het centrale punt dat verbinding maakt met uw on-premises netwerk; u kunt een Express Route, een site-naar-site-VPN of een punt-naar-site-VPN gebruiken. De spoke is het virtuele netwerk dat de dev-vakken bevat. U koppelt het virtuele netwerk van het ontwikkelvak aan het on-premises verbonden virtuele netwerk om toegang te bieden tot on-premises resources. Hub- en spoke-topologie kan u helpen bij het beheren van netwerkverkeer en -beveiliging.

Belangrijk

Wanneer u uw eigen netwerk gebruikt, biedt Microsoft Dev Box momenteel geen ondersteuning voor het verplaatsen van netwerkinterfaces naar een ander virtueel netwerk of een ander subnet.

Netwerkconnectiviteit toestaan

In uw netwerkconfiguratie moet u verkeer naar de volgende service-URL's en poorten toestaan ter ondersteuning van inrichting, beheer en externe connectiviteit van dev-vakken.

Vereiste FQDN's en eindpunten voor Microsoft Dev Box

Als u ontwikkelvakken wilt instellen en uw gebruikers verbinding wilt laten maken met resources, moet u verkeer toestaan voor specifieke FQDN's (Fully Qualified Domain Names) en eindpunten. Deze FQDN's en eindpunten kunnen worden geblokkeerd als u een firewall gebruikt, zoals Azure Firewall of proxyservice.

U kunt controleren of uw dev-vakjes verbinding kunnen maken met deze FQDN's en eindpunten door de stappen uit te voeren om het URL-hulpprogramma van de Azure Virtual Desktop-agent uit te voeren in Controleer de toegang tot de vereiste FQDN's en eindpunten voor Azure Virtual Desktop. Het URL-hulpprogramma van de Azure Virtual Desktop-agent valideert elke FQDN en elk eindpunt en geeft aan of uw ontwikkelvakken toegang hebben tot deze vakken.

Belangrijk

Microsoft biedt geen ondersteuning voor dev box-implementaties waarbij de FQDN's en eindpunten die in dit artikel worden vermeld, worden geblokkeerd.

Hoewel de meeste configuratie voor het cloudnetwerk van dev box is, vindt de connectiviteit van eindgebruikers plaats vanaf een fysiek apparaat. Daarom moet u ook de connectiviteitsrichtlijnen op het fysieke apparaatnetwerk volgen.

Apparaat of service	Vereiste URL's en poorten voor netwerkconnectiviteit	Beschrijving
Fysiek apparaat	Koppeling	Extern bureaublad-clientconnectiviteit en -updates.
Microsoft Intune-service	Koppeling	Intune-cloudservices, zoals apparaatbeheer, levering van toepassingen en eindpuntanalyses.
Virtuele azure Virtual Desktop-sessiehostmachine	Koppeling	Externe connectiviteit tussen ontwikkelvakken en de back-endservice van Azure Virtual Desktop.
Windows 365-service	Koppeling	Inrichting en statuscontroles.

Vereiste eindpunten

De volgende URL's en poorten zijn vereist voor het inrichten van dev-vakken en de ANC-statuscontroles (Azure Network Connection). Alle eindpunten maken verbinding via poort 443, tenzij anders is opgegeven.

Windows 365-service-eindpunten

• *.infra.windows365.microsoft.com
• cpcsaamssa1prodprap01.blob.core.windows.net
• cpcsaamssa1prodprau01.blob.core.windows.net
• cpcsaamssa1prodpreu01.blob.core.windows.net
• cpcsaamssa1prodpreu02.blob.core.windows.net
• cpcsaamssa1prodprna01.blob.core.windows.net
• cpcsaamssa1prodprna02.blob.core.windows.net
• cpcstcnryprodprap01.blob.core.windows.net
• cpcstcnryprodprau01.blob.core.windows.net
• cpcstcnryprodpreu01.blob.core.windows.net
• cpcstcnryprodpreu02.blob.core.windows.net
• cpcstcnryprodprna01.blob.core.windows.net
• cpcstcnryprodprna02.blob.core.windows.net
• cpcstprovprodpreu01.blob.core.windows.net
• cpcstprovprodpreu02.blob.core.windows.net
• cpcstprovprodprna01.blob.core.windows.net
• cpcstprovprodprna02.blob.core.windows.net
• cpcstprovprodprap01.blob.core.windows.net
• cpcstprovprodprau01.blob.core.windows.net
• prna01.prod.cpcgateway.trafficmanager.net
• prna02.prod.cpcgateway.trafficmanager.net
• preu01.prod.cpcgateway.trafficmanager.net
• preu02.prod.cpcgateway.trafficmanager.net
• prap01.prod.cpcgateway.trafficmanager.net
• prau01.prod.cpcgateway.trafficmanager.net

Communicatie-eindpunten voor Dev Box

• *.agentmanagement.dc.azure.com

• endpointdiscovery.cmdagent.trafficmanager.net

• registration.prna01.cmdagent.trafficmanager.net

• registration.preu01.cmdagent.trafficmanager.net

• registration.prap01.cmdagent.trafficmanager.net

• registration.prau01.cmdagent.trafficmanager.net

• registration.prna02.cmdagent.trafficmanager.net

Registratie-eindpunten

• login.microsoftonline.com
• login.live.com
• enterpriseregistration.windows.net
• global.azure-devices-provisioning.net (443 & 5671 uitgaand)
• hm-iot-in-prod-prap01.azure-devices.net (443 & 5671 uitgaand)
• hm-iot-in-prod-prau01.azure-devices.net (443 & 5671 uitgaand)
• hm-iot-in-prod-preu01.azure-devices.net (443 & 5671 uitgaand)
• hm-iot-in-prod-prna01.azure-devices.net (443 & 5671 uitgaand)
• hm-iot-in-prod-prna02.azure-devices.net (443 & 5671 uitgaand)
• hm-iot-in-2-prod-preu01.azure-devices.net (443 & 5671 uitgaand)
• hm-iot-in-2-prod-prna01.azure-devices.net (443 & 5671 uitgaand)
• hm-iot-in-3-prod-preu01.azure-devices.net (443 & 5671 uitgaand)
• hm-iot-in-3-prod-prna01.azure-devices.net (443 & 5671 uitgaand)

FQDN-tags en servicetags gebruiken voor eindpunten via Azure Firewall

Het beheren van netwerkbeveiligingsbesturingselementen voor ontwikkelvakken kan complex zijn. Gebruik FQDN-tags (Fully Qualified Domain Name) en servicetags om netwerkverkeer toe te staan om de configuratie te vereenvoudigen.

• FQDN-tags

  Een FQDN-tag is een vooraf gedefinieerde tag in Azure Firewall die een groep volledig gekwalificeerde domeinnamen vertegenwoordigt. Met FQDN-tags kunt u eenvoudig uitgaand verkeersregels maken en onderhouden voor specifieke services zoals Windows 365 zonder dat u handmatig elke domeinnaam hoeft op te geven.

  Niet-Microsoft-firewalls bieden meestal geen ondersteuning voor FQDN-tags of servicetags. Er is mogelijk een andere term voor dezelfde functionaliteit; controleer de firewalldocumentatie.

• Servicetags

  Een servicetag vertegenwoordigt een groep IP-adresvoorvoegsels van een bepaalde Azure-service. Microsoft beheert de adresvoorvoegsels die worden omvat door de servicetag en werkt de servicetag automatisch bij naarmate de adressen veranderen, waardoor de complexiteit van frequente updates voor netwerkbeveiligingsregels wordt geminimaliseerd. Servicetags kunnen worden gebruikt in zowel netwerkbeveiligingsgroep (NSG) als Azure Firewall-regels om uitgaande netwerktoegang te beperken en in door de gebruiker gedefinieerde route (UDR) om het gedrag van verkeersroutering aan te passen.

De vermelde FQDN's en eindpunten en tags komen alleen overeen met Azure Virtual Desktop-sites en -resources. Ze bevatten geen FQDN's en eindpunten voor andere services, zoals Microsoft Entra-id. Zie Beschikbare servicetags voor andere services voor servicetags.

Azure Virtual Desktop heeft geen lijst met IP-adresbereiken die u kunt deblokkeren in plaats van FQDN's om netwerkverkeer toe te staan. Als u een Next Generation Firewall (NGFW) gebruikt, moet u een dynamische lijst voor Azure IP-adressen gebruiken om ervoor te zorgen dat u verbinding kunt maken.

Zie Azure Firewall gebruiken voor het beheren en beveiligen van Windows 365-omgevingen voor meer informatie.

De volgende tabel is de lijst met FQDN's en eindpunten die nodig zijn voor uw ontwikkelvakken. Alle vermeldingen zijn uitgaand; U hoeft geen binnenkomende poorten te openen voor dev-vakken.

Adres	Protocol	Uitgaande poort	Doel	Servicetag
login.microsoftonline.com	TCP	443	Verificatie voor Microsoft Online Services
*.wvd.microsoft.com	TCP	443	Serviceverkeer	WindowsVirtualDesktop
*.prod.warm.ingest.monitor.core.windows.net	TCP	443	Diagnostische uitvoer van agentverkeer	AzureMonitor
catalogartifact.azureedge.net	TCP	443	Azure Marketplace	AzureFrontDoor.Frontend
gcs.prod.monitoring.core.windows.net	TCP	443	Agent-verkeer	AzureCloud
kms.core.windows.net	TCP	1688	Windows-activering	Internet
azkms.core.windows.net	TCP	1688	Windows-activering	Internet
mrsglobalsteus2prod.blob.core.windows.net	TCP	443	Stack-updates voor agent en side-by-side (SXS)	AzureCloud
wvdportalstorageblob.blob.core.windows.net	TCP	443	Ondersteuning Azure-portal	AzureCloud
169.254.169.254	TCP	80	Service-eindpunt voor Metagegevens van Azure Instance	N.v.t.
168.63.129.16	TCP	80	Statuscontrole van sessiehost	N.v.t.
oneocsp.microsoft.com	TCP	80	Certificaten	N.v.t.
www.microsoft.com	TCP	80	Certificaten	N.v.t.

De volgende tabel bevat optionele FQDN's en eindpunten die uw sessiehost-VM's mogelijk ook nodig hebben voor andere services:

Adres	Protocol	Uitgaande poort	Doel
login.windows.net	TCP	443	Aanmelden bij Microsoft Online Services en Microsoft 365
*.events.data.microsoft.com	TCP	443	Telemetrieservice
www.msftconnecttest.com	TCP	80	Detecteert of de sessiehost is verbonden met internet
*.prod.do.dsp.mp.microsoft.com	TCP	443	Windows Update
*.sfx.ms	TCP	443	Updates voor OneDrive-clientsoftware
*.digicert.com	TCP	80	Controle van certificaatintrekking
*.azure-dns.com	TCP	443	Azure DNS-omzetting
*.azure-dns.net	TCP	443	Azure DNS-omzetting

Deze lijst bevat geen FQDN's en eindpunten voor andere services, zoals Microsoft Entra-id, Office 365, aangepaste DNS-providers of tijdservices. Microsoft Entra FQDN's en eindpunten vindt u onder id 56, 59 en 125 in Office 365-URL's en IP-adresbereiken.

Tip

U moet het jokerteken (*) gebruiken voor FQDN's die betrekking hebben op serviceverkeer. Als u voor agentverkeer liever geen jokerteken gebruikt, kunt u als volgt specifieke FQDN's vinden om dit toe te staan:

1. Zorg ervoor dat de virtuele machines van de sessiehost zijn geregistreerd bij een hostgroep.
2. Open logboeken op een sessiehost en ga vervolgens naar Windows-logboeken>application>WVD-Agent en zoek naar gebeurtenis-id 3701.
3. Deblokkeren de FQDN's die u vindt onder gebeurtenis-id 3701. De FQDN's onder gebeurtenis-id 3701 zijn regiospecifiek. U moet dit proces herhalen met de relevante FQDN's voor elke Azure-regio waarin u de virtuele machines van de sessiehost wilt implementeren.

RdP-brokerservice-eindpunten (Remote Desktop Protocol)

Directe connectiviteit met Azure Virtual Desktop RDP Broker-service-eindpunten is essentieel voor externe prestaties naar een dev-box. Deze eindpunten zijn van invloed op zowel connectiviteit als latentie. Als u wilt in overeenstemming zijn met de principes voor Microsoft 365-netwerkconnectiviteit, moet u deze eindpunten categoriseren als eindpunten optimaliseren en een RDP Shortpath (Remote Desktop Protocol) van uw virtuele Azure-netwerk gebruiken naar die eindpunten. RDP Shortpath kan een ander verbindingspad bieden voor verbeterde dev box-connectiviteit, met name in suboptimale netwerkomstandigheden.

Gebruik servicetags van Azure Virtual Desktop om deze eindpunten te identificeren voor directe routering met behulp van een door de gebruiker gedefinieerde route (UDR) van Azure Networking. Een UDR resulteert in directe routering tussen uw virtuele netwerk en de RDP-broker voor de laagste latentie. Zie het overzicht van Azure-servicetags voor meer informatie over Azure-servicetags. Als u de netwerkroutes van een dev-box wijzigt (op de netwerklaag of op de laag van de dev-box zoals VPN), kan de verbinding tussen het ontwikkelvak en de Azure Virtual Desktop RDP-broker worden verbroken. Zo ja, dan wordt de verbinding van de eindgebruiker met het ontwikkelvak verbroken totdat een verbinding opnieuw tot stand is gebracht.

DNS-vereisten

Als onderdeel van de vereisten voor hybride deelname van Microsoft Entra moeten uw ontwikkelvakken kunnen deelnemen aan on-premises Active Directory. Dev-vakken moeten DNS-records kunnen oplossen voor uw on-premises AD-omgeving om lid te worden.

Configureer uw virtuele Azure-netwerk waarin de dev-vakken als volgt worden ingericht:

1. Zorg ervoor dat uw virtuele Azure-netwerk netwerkverbinding heeft met DNS-servers die uw Active Directory-domein kunnen omzetten.
2. Selecteer in de instellingen van het virtuele Azure-netwerk de optie Aangepaste DNS-servers>.
3. Voer het IP-adres in van DNS-servers waarmee uw AD DS-domein kan worden omgezet.

Tip

Als u ten minste twee DNS-servers toevoegt, zoals u dat zou doen met een fysieke pc, kunt u het risico op een single point of failure in name resolution beperken. Zie Voor meer informatie het configureren van instellingen voor virtuele Netwerken van Azure.

Verbinding maken met on-premises resources

U kunt ontwikkelaarsvakken toestaan om via een hybride verbinding verbinding te maken met on-premises resources. Werk samen met uw Azure-netwerkexpert om een sternetwerktopologie te implementeren. De hub is het centrale punt dat verbinding maakt met uw on-premises netwerk; u kunt een Express Route, een site-naar-site-VPN of een punt-naar-site-VPN gebruiken. De spoke is het virtuele netwerk dat de dev-vakken bevat. Hub- en spoke-topologie kan u helpen bij het beheren van netwerkverkeer en -beveiliging. U koppelt het virtuele netwerk van het ontwikkelvak aan het on-premises verbonden virtuele netwerk om toegang te bieden tot on-premises resources.

Verkeersonderscheppingstechnologieën

Sommige zakelijke klanten gebruiken verkeersonderschepping, SSL-ontsleuteling, grondige pakketinspectie en andere vergelijkbare technologieën voor beveiligingsteams om netwerkverkeer te bewaken. Inrichting van dev boxs heeft mogelijk directe toegang nodig tot de virtuele machine. Deze verkeersonderscheppingstechnologieën kunnen problemen veroorzaken met het uitvoeren van controles van Azure-netwerkverbindingen of het inrichten van dev boxs. Zorg ervoor dat er geen netwerkonderschepping wordt afgedwongen voor dev-vakken die zijn ingericht in Microsoft Dev Box.

Verkeersonderscheppingstechnologieën kunnen latentieproblemen verergeren. U kunt een Remote Desktop Protocol (RDP) Shortpath gebruiken om latentieproblemen te minimaliseren.

Apparaten van eindgebruikers

Elk apparaat waarop u een van de Extern bureaublad-clients gebruikt om verbinding te maken met Azure Virtual Desktop, moet toegang hebben tot de volgende FQDN's en eindpunten. Het toestaan van deze FQDN's en eindpunten is essentieel voor een betrouwbare clientervaring. De toegang tot deze FQDN's en eindpunten wordt niet ondersteund en beïnvloedt de servicefunctionaliteit.

Adres	Protocol	Uitgaande poort	Doel	Clients
login.microsoftonline.com	TCP	443	Verificatie voor Microsoft Online Services	Alle
*.wvd.microsoft.com	TCP	443	Serviceverkeer	Alle
*.servicebus.windows.net	TCP	443	Probleemoplossingsgegevens	Alle
go.microsoft.com	TCP	443	Microsoft FWLinks	Alle
aka.ms	TCP	443	Microsoft URL-verkorter	Alle
learn.microsoft.com	TCP	443	Documentatie	Alle
privacy.microsoft.com	TCP	443	Privacyverklaring	Alle
query.prod.cms.rt.microsoft.com	TCP	443	Download een MSI om de client bij te werken. Vereist voor automatische updates.	Windows Desktop

Deze FQDN's en eindpunten komen alleen overeen met clientsites en -resources. Deze lijst bevat geen FQDN's en eindpunten voor andere services, zoals Microsoft Entra-id of Office 365. Microsoft Entra FQDN's en eindpunten vindt u onder id 56, 59 en 125 in Office 365-URL's en IP-adresbereiken.

Probleemoplossing

In deze sectie worden enkele veelvoorkomende verbindings- en netwerkproblemen behandeld.

Verbindingsproblemen

• Aanmeldingspoging is mislukt

  Als de gebruiker van het ontwikkelaarsvak aanmeldingsproblemen ondervindt en een foutbericht ziet dat de aanmeldingspoging is mislukt, controleert u of u het PKU2U-protocol hebt ingeschakeld op zowel de lokale pc als de sessiehost.

  Zie Verbindingsproblemen met aan Microsoft Entra gekoppelde VM's oplossen - Windows Desktop-client voor meer informatie over het oplossen van aanmeldingsfouten.

• Problemen met groepsbeleid in hybride omgevingen

  Als u een hybride omgeving gebruikt, kunnen er groepsbeleidsproblemen optreden. U kunt testen of het probleem betrekking heeft op groepsbeleid door het ontwikkelvak tijdelijk uit te sluiten van het groepsbeleid.

  Zie Richtlijnen voor het oplossen van problemen met groepsbeleid voor meer informatie over het oplossen van problemen met groepsbeleid.

Problemen oplossen met IPv6

Als u IPv6-problemen ondervindt, controleert u of het service-eindpunt Microsoft.AzureActiveDirectory niet is ingeschakeld in het virtuele netwerk of subnet. Met dit service-eindpunt wordt de IPv4 geconverteerd naar IPv6.

Zie Service-eindpunten voor virtueel netwerk voor meer informatie.

Problemen met definitie-installatiekopieën van dev box bijwerken

Wanneer u de installatiekopie bijwerkt die wordt gebruikt in een definitie van een ontwikkelaarsvak, moet u ervoor zorgen dat er voldoende IP-adressen beschikbaar zijn in uw virtuele netwerk. Aanvullende gratis IP-adressen zijn nodig voor de statuscontrole van de Azure-netwerkverbinding. Als de statuscontrole mislukt, wordt de definitie van het ontwikkelaarsvak niet bijgewerkt. U hebt 1 extra IP-adres per ontwikkelvak nodig en twee IP-adressen voor de statuscontrole en dev box-infrastructuur.

Zie Een definitie van een dev box bijwerken voor meer informatie over het bijwerken van definitie-installatiekopieën van dev boxs.

Gerelateerde inhoud

• Controleer de toegang tot de vereiste FQDN's en eindpunten voor Azure Virtual Desktop.
• Meer informatie over het deblokkeren van deze FQDN's en eindpunten in Azure Firewall. Zie Azure Firewall gebruiken om Azure Virtual Desktop te beveiligen.
• Zie Azure Virtual Desktop-netwerkconnectiviteit voor meer informatie over netwerkconnectiviteit.