FQDNs e pontos de extremidade necessários na Área de Trabalho Virtual do Azure
Para implantar a Área de Trabalho Virtual do Azure e para que os usuários se conectem, você deve permitir FQDNs e pontos de extremidade específicos. Os usuários também precisam poder se conectar a determinados FQDNs e pontos de extremidade para acessarem os recursos da Área de Trabalho Virtual do Azure. Este artigo lista os FQDNs e pontos de extremidade necessários que você precisa permitir para seus hosts e usuários de sessão.
Esses FQDNs e pontos de extremidade poderão ser bloqueados se você estiver usando um firewall, como Firewall do Azureou serviço proxy. Para obter diretrizes sobre como usar um serviço proxy com a Área de Trabalho Virtual do Azure, consulte Diretrizes de serviço proxy da Área de Trabalho Virtual do Azure. Este artigo não inclui FQDNs e pontos de extremidade para outros serviços, como Microsoft Entra ID, Office 365, provedores DNS personalizados ou serviços de tempo. Os FQDNs e pontos de extremidade do Microsoft Entra podem ser encontrados na ID 56, 59 e 125 nas URLs do Office 365 e intervalos de endereços de IP.
Você pode verificar se as VMs de host de sessão podem se conectar a esses FQDNs e pontos de extremidade seguindo as etapas para executar a Ferramenta de URL do Agente de Área de Trabalho Virtual do Azure em Verificar o acesso às FQDNs e pontos de extremidade necessários na Área de Trabalho Virtual do Azure. A Ferramenta de URL do Agente de Área de Trabalho Virtual do Azure valida os FQDNs e pontos de extremidade e mostra se os hosts de sessão podem acessá-los.
Importante
A Microsoft não dá suporte às implantações da Área de Trabalho Virtual do Azure em que os FQDNs e os pontos de extremidade listados neste artigo estão bloqueados.
Máquinas virtuais do host da sessão
A tabela a seguir é a lista de FQDNs e pontos de extremidade que as VMs de host de sessão precisam acessar na Área de Trabalho Virtual do Azure. Todas as entradas são de saída; você não precisa abrir as portas de entrada da Área de Trabalho Virtual do Azure. Selecione a guia relevante com base em qual nuvem você está usando.
Endereço | Protocolo | Porta de saída | Objetivo | Marca de serviço |
---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Autenticação no Microsoft Online Services | |
*.wvd.microsoft.com |
TCP | 443 | Tráfego de serviço | WindowsVirtualDesktop |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Tráfego de agente Resultado do diagnóstico |
AzureMonitor |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Tráfego de agente | AzureCloud |
azkms.core.windows.net |
TCP | 1688 | Ativação do Windows | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Atualizações de pilha SXS (lado a lado) e do agente | AzureCloud |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Suporte do portal do Azure | AzureCloud |
169.254.169.254 |
TCP | 80 | Ponto de extremidade do Serviço de Metadados de Instância do Azure | N/D |
168.63.129.16 |
TCP | 80 | Monitoramento de integridade do host da sessão | N/D |
oneocsp.microsoft.com |
TCP | 80 | Certificados | N/D |
www.microsoft.com |
TCP | 80 | Certificados | N/D |
A tabela a seguir lista os FQDNs e pontos de extremidade opcionais que suas máquinas virtuais de host de sessão também podem precisar acessar em outros serviços:
Endereço | Protocolo | Porta de saída | Objetivo | Marca de serviço |
---|---|---|---|---|
login.windows.net |
TCP | 443 | Entrar nos Serviços Online da Microsoft e no Microsoft 365 | N/D |
*.events.data.microsoft.com |
TCP | 443 | Serviço de telemetria | N/D |
www.msftconnecttest.com |
TCP | 80 | Detecta se o host da sessão está conectado à Internet | N/D |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | N/D |
*.sfx.ms |
TCP | 443 | Atualizações do software cliente do OneDrive | N/D |
*.digicert.com |
TCP | 80 | Verificação de revogação do certificado | N/D |
*.azure-dns.com |
TCP | 443 | Resolução de DNS do Azure | N/D |
*.azure-dns.net |
TCP | 443 | Resolução de DNS do Azure | N/D |
*eh.servicebus.windows.net |
TCP | 443 | Configurações de Diagnóstico | EventHub |
Essa lista não inclui FQDNs e pontos de extremidade de outros serviços, como Microsoft Entra ID, Office 365, provedores DNS personalizados ou serviços de tempo. Os FQDNs e pontos de extremidade do Microsoft Entra podem ser encontrados na ID 56, 59 e 125 nas URLs do Office 365 e intervalos de endereços de IP.
Dica
Você deve usar o caractere coringa (*) nos FQDNs envolvendo o tráfego de serviço. No tráfego do agente, se você preferir não usar um coringa, veja como encontrar FQDNs específicos para permitir:
- Verifique se as máquinas virtuais do host de sessão estão registradas em um pool de hosts.
- Em um host de sessão, abra o Visualizador de eventos e acesse os Logs do Windows>Application>WVD-Agent e procure a ID do evento 3701.
- Desbloqueie os FQDNs que você encontrou na ID do evento 3701. Os FQDNs na ID do evento 3701 são específicos da região. Você precisará repetir esse processo com os FQDNs relevantes em cada região do Azure em que você queira implantar suas máquinas virtuais de host de sessão.
Marcas de serviço e marcas FQDN
Uma marca de serviço de rede virtual representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços, minimizando a complexidade de atualizações frequentes das regras de segurança de rede. As marcas de serviço podem ser usadas no Grupo de Segurança de Rede (NSG) e nas regras do Firewall do Azure para restringir o acesso à rede de saída. As marcas de serviço também podem ser usadas na Rota Definida pelo Usuário (UDR) para personalizar o comportamento de roteamento de tráfego.
O Firewall do Azure dá suporte à Área de Trabalho Virtual do Azure como uma marca FQDN. Para obter mais informações, confira Usar o Firewall do Azure para proteger implantações da Área de Trabalho Virtual do Azure.
Recomendamos que você use marcas FQDN ou marcas de serviço para simplificar a configuração. Os FQDNs listados, os pontos de extremidade e as marcas correspondem apenas aos sites e recursos da Área de Trabalho Virtual do Azure. Eles não incluem FQDNs e pontos de extremidade de outros serviços, como o Microsoft Entra ID. Para as marcas de serviço de outros serviços, consulte Marcas de serviço disponíveis.
A Área de Trabalho Virtual do Azure não tem uma lista de intervalos de endereços de IP que você pode desbloquear em vez de FQDNs para permitir o tráfego de rede. Se você estiver usando um Firewall de Próxima Geração (NGFW), precisará usar uma lista dinâmica feita para os endereços de IP do Azure para garantir que você possa se conectar.
Dispositivos de usuário final
Qualquer dispositivo no qual você usa um dos clientes da Área de Trabalho Remota para se conectar à Área de Trabalho Virtual do Azure deve ter acesso aos seguintes FQDNs e pontos de extremidade. Permitir esses FQDNs e pontos de extremidade é essencial para uma experiência de cliente confiável. O bloqueio do acesso a esses FQDNs e pontos de extremidade não tem suporte e afeta a funcionalidade do serviço.
Selecione a guia relevante com base em qual nuvem você está usando.
Endereço | Protocolo | Porta de saída | Objetivo | Cliente(s) |
---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Autenticação no Microsoft Online Services | Tudo |
*.wvd.microsoft.com |
TCP | 443 | Tráfego de serviço | Tudo |
*.servicebus.windows.net |
TCP | 443 | Solucionar problemas de dados | Tudo |
go.microsoft.com |
TCP | 443 | FWLinks da Microsoft | Tudo |
aka.ms |
TCP | 443 | Redutor de URL da Microsoft | Tudo |
learn.microsoft.com |
TCP | 443 | Documentação | Tudo |
privacy.microsoft.com |
TCP | 443 | Política de privacidade | Tudo |
query.prod.cms.rt.microsoft.com |
TCP | 443 | Baixe um pacote MSI ou MSIX para atualizar o cliente. Necessário para atualizações automáticas. | Área de Trabalho do Windows |
graph.microsoft.com |
TCP | 443 | Tráfego de serviço | Tudo |
windows.cloud.microsoft |
TCP | 443 | Central de conexões | Tudo |
windows365.microsoft.com |
TCP | 443 | Tráfego de serviço | Tudo |
ecs.office.com |
TCP | 443 | Central de conexões | Tudo |
Esses FQDNs e pontos de extremidade correspondem apenas aos sites e recursos do cliente. Esta lista não inclui FQDNs e pontos de extremidade de outros serviços, como o Microsoft Entra ID ou o Office 365. Os FQDNs e pontos de extremidade do Microsoft Entra podem ser encontrados na ID 56, 59 e 125 nas URLs do Office 365 e intervalos de endereços de IP.
Se você estiver em uma rede fechada com acesso restrito à Internet, talvez também precise permitir os FQDNs aqui listados para verificações de certificado: detalhes da Autoridade de Certificação do Azure | Microsoft Learn.
Próximas etapas
Verificar o acesso a FQDNs e pontos de extremidade necessários na Área de Trabalho Virtual do Azure.
Para saber como desbloquear esses FQDNs e pontos de extremidade no Firewall do Azure, confira Usar o Firewall do Azure para proteger a Área de Trabalho Virtual do Azure.
Para mais informações sobre a conectividade de rede, confira Noções básicas sobre a conectividade de rede da Área de Trabalho Virtual do Azure