你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 虚拟桌面所需的 FQDN 和终结点
若要部署 Azure 虚拟桌面并使用户能够进行连接,必须允许特定的 FQDN 和终结点。 用户还必须能够连接到某些 FQDN 和终结点才能访问其 Azure 虚拟桌面资源。 本文列出了需要为会话主机和用户允许的必需 FQDN 和终结点。
如果你使用防火墙(例如 Azure 防火墙)或代理服务,则可能会阻止这些 FQDN 和终结点。 有关将代理服务与 Azure 虚拟桌面配合使用的指导,请参阅 Azure 虚拟桌面的代理服务准则。 本文不包括其他服务的 FQDN 和终结点,例如 Microsoft Entra ID、Office 365、自定义 DNS 提供程序或时间服务。 可以在 Office 365 URL 和 IP 地址范围的 ID 56、59 和 125 下找到 Microsoft Entra FQDN 和终结点。
可以按照检查对 Azure 虚拟桌面所需的 FQDN 和终结点的访问权限中运行 Azure 虚拟桌面代理 URL 工具的步骤来检查会话主机 VM 是否可以连接到这些 FQDN 和终结点。 Azure 虚拟桌面代理 URL 工具会验证每个 FQDN 和终结点,并显示会话主机是否可以访问它们。
重要
Microsoft 不支持阻止了本文中列出的 FQDN 和终结点的 Azure 虚拟桌面部署。
会话主机虚拟机
下表列出了会话主机 VM 需要访问的用于 Azure 虚拟桌面的 FQDN 和终结点。 所有条目都是出站的;你不需要打开 Azure 虚拟桌面的入站端口。 根据所使用的云选择相关选项卡。
Address | 协议 | 出站端口 | 目的 | 服务标记 |
---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | 向 Microsoft Online Services 进行身份验证 | |
*.wvd.microsoft.com |
TCP | 443 | 服务流量 | WindowsVirtualDesktop |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | 代理流量 诊断输出 |
AzureMonitor |
catalogartifact.azureedge.net |
TCP | 443 | Azure 市场 | AzureFrontDoor.Frontend |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | 代理流量 | AzureCloud |
azkms.core.windows.net |
TCP | 1688 | Windows 激活 | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | 代理和并行 (SXS) 堆栈更新 | AzureCloud |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Azure 门户支持 | AzureCloud |
169.254.169.254 |
TCP | 80 | Azure 实例元数据服务终结点 | 不可用 |
168.63.129.16 |
TCP | 80 | 会话主机运行状况监视 | 不可用 |
oneocsp.microsoft.com |
TCP | 80 | 证书 | 不可用 |
www.microsoft.com |
TCP | 80 | 证书 | 不可用 |
下表列出了会话主机虚拟机可能还需要访问的用于其他服务的可选 FQDN 和终结点:
Address | 协议 | 出站端口 | 目的 | 服务标记 |
---|---|---|---|---|
login.windows.net |
TCP | 443 | 登录到 Microsoft Online Services 和 Microsoft 365 | 空值 |
*.events.data.microsoft.com |
TCP | 443 | 遥测服务 | 空值 |
www.msftconnecttest.com |
TCP | 80 | 检测会话主机是否已连接到 Internet | 空值 |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows 更新 | 空值 |
*.sfx.ms |
TCP | 443 | OneDrive 客户端软件更新 | 空值 |
*.digicert.com |
TCP | 80 | 证书吊销检查 | 空值 |
*.azure-dns.com |
TCP | 443 | Azure DNS 解析 | 空值 |
*.azure-dns.net |
TCP | 443 | Azure DNS 解析 | 空值 |
*eh.servicebus.windows.net |
TCP | 443 | 诊断设置 | EventHub |
此列表不包括其他服务的 FQDN 和终结点,例如 Microsoft Entra ID、Office 365、自定义 DNS 提供程序或时间服务。 可以在 Office 365 URL 和 IP 地址范围的 ID 56、59 和 125 下找到 Microsoft Entra FQDN 和终结点。
提示
对于涉及服务流量的 FQDN,你必须使用通配符 (*)。 对于代理流量,如果不想使用通配符,下面介绍了如何查找要允许的特定 FQDN:
- 确保会话主机虚拟机已注册到主机池。
- 在会话主机上,打开“事件查看器”,转到“Windows 日志”>“应用程序”>“WVD-Agent”,查找事件 ID 3701。
- 取消阻止在事件 ID 3701 下找到的 FQDN。 事件 ID 3701 下的 FQDN 是特定于区域的。 你需要对要在其中部署会话主机虚拟机的每个 Azure 区域的相关 FQDN 重复此过程。
服务标记和 FQDN 标记
虚拟网络服务标记表示给定 Azure 服务的一组 IP 地址前缀。 Microsoft 会管理服务标记包含的地址前缀,并在地址更改时自动更新服务标记,从而尽量简化网络安全规则的频繁更新。 可在网络安全组 (NSG) 和 Azure 防火墙规则中使用服务标记来限制出站网络访问。 还可以在用户定义的路由 (UDR) 中使用服务标记来自定义流量路由行为。
Azure 防火墙支持将 Azure 虚拟桌面作为 FQDN 标记。 有关详细信息,请参阅使用 Azure 防火墙保护 Azure 虚拟桌面部署。
建议使用 FQDN 标记或服务标记来简化配置。 列出的 FQDN 和终结点及标记只对应于 Azure 虚拟桌面站点和资源。 它们不包括其他服务(例如 Microsoft Entra ID)的 FQDN 和终结点。 对于其他服务的服务标记,请参阅可用的服务标记。
Azure 虚拟桌面没有你可以取消阻止的 IP 地址范围列表,而是依赖于 FQDN 来允许网络流量。 如果使用的是下一代防火墙 (NGFW),则需要使用为 Azure IP 地址创建的动态列表来确保你可以进行连接。
最终用户设备
你在其上使用远程桌面客户端之一连接到 Azure 虚拟桌面的任何设备都必须可以访问以下 FQDN 和终结点。 若要获得可靠的客户端体验,必须打开这些 FQDN 和终结点。 不支持阻止访问这些 FQDN 和终结点,否则会影响服务功能。
根据所使用的云选择相关选项卡。
Address | 协议 | 出站端口 | 目的 | 客户端 |
---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | 向 Microsoft Online Services 进行身份验证 | 全部 |
*.wvd.microsoft.com |
TCP | 443 | 服务流量 | 全部 |
*.servicebus.windows.net |
TCP | 443 | 排查数据问题 | 全部 |
go.microsoft.com |
TCP | 443 | Microsoft FWLink | 全部 |
aka.ms |
TCP | 443 | Microsoft URL 缩短符 | 全部 |
learn.microsoft.com |
TCP | 443 | 文档 | 全部 |
privacy.microsoft.com |
TCP | 443 | 隐私声明 | All |
query.prod.cms.rt.microsoft.com |
TCP | 443 | 下载 MSI 或 MSIX 包以更新客户端。 自动更新所必需的。 | Windows 桌面版 |
graph.microsoft.com |
TCP | 443 | 服务流量 | 全部 |
windows.cloud.microsoft |
TCP | 443 | 连接中心 | All |
windows365.microsoft.com |
TCP | 443 | 服务流量 | 全部 |
ecs.office.com |
TCP | 443 | 连接中心 | All |
这些 FQDN 和终结点仅对应于客户端站点和资源。 此列表不包括其他服务(例如 Microsoft Entra ID 或 Office 365)的 FQDN 和终结点。 可以在 Office 365 URL 和 IP 地址范围的 ID 56、59 和 125 下找到 Microsoft Entra FQDN 和终结点。
如果处于具有受限 Internet 访问权限的封闭网络中,则可能还需要允许此处列出的 FQDN 进行证书检查:Azure 证书颁发机构详细信息| Microsoft Learn。
后续步骤
若要了解如何在 Azure 防火墙中取消阻止这些 FQDN 和终结点,请参阅使用 Azure 防火墙保护 Azure 虚拟桌面。
有关网络连接的详细信息,请参阅了解 Azure 虚拟桌面网络连接