通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 虚拟桌面所需的 FQDN 和终结点

若要部署 Azure 虚拟桌面并让用户进行连接,必须允许特定的 FQDN 和终结点。 用户还需要能够连接到某些 FQDN 和终结点才能访问其 Azure 虚拟桌面资源。 本文列出了会话主机和用户所需的所需 FQDN 和终结点。

如果使用防火墙(如Azure 防火墙或代理服务),可能会阻止这些 FQDN 和终结点。 有关将代理服务与 Azure 虚拟桌面配合使用的指南,请参阅 Azure 虚拟桌面的代理服务指南

可以检查会话主机 VM 可以连接到这些 FQDN 和终结点,方法是按照检查对 Azure 虚拟桌面所需的FQDN 和终结点的访问权限中的步骤运行 Azure 虚拟桌面代理 URL 工具。 Azure 虚拟桌面代理 URL 工具验证每个 FQDN 和终结点,并显示会话主机是否可以访问它们。

重要

  • Microsoft不支持阻止本文中列出的 FQDN 和终结点的 Azure 虚拟桌面部署。

  • 本文不包括 FQDN 和其他服务的终结点,例如Microsoft Entra ID、Office 365、自定义 DNS 提供程序或时间服务。 Microsoft Entra FQDN 和终结点可以在 ID 5659125找到Office 365 URL 和 IP 地址范围

服务标记和 FQDN 标记

服务标记 表示来自给定 Azure 服务的 IP 地址前缀组。 Microsoft管理服务标记包含的地址前缀,并在地址更改时自动更新服务标记,从而最大程度地降低网络安全规则频繁更新的复杂性。 可以在网络安全组的规则中使用服务标记, (NSG) 和Azure 防火墙来限制出站网络访问。 还可以在 用户定义的路由 (UDR) 中使用服务标记来自定义流量路由行为。

Azure 防火墙还支持 FQDN 标记,这些标记表示与已知 Azure 和其他Microsoft服务关联的 FQDN () 一组完全限定的域名。 Azure 虚拟桌面没有可以取消阻止(而不是 FQDN)以允许网络流量的 IP 地址范围列表。 如果使用下一代防火墙 (NGFW) ,则需要使用针对 Azure IP 地址创建的动态列表来确保可以连接。 有关详细信息,请参阅使用 Azure 防火墙 保护 Azure 虚拟桌面部署

Azure 虚拟桌面具有可用的服务标记和 FQDN 标记条目。 建议使用服务标记和 FQDN 标记来简化 Azure 网络配置。

会话主机虚拟机

下表列出会话主机 VM 需要访问 Azure 虚拟桌面的 FQDN 和终结点。 所有条目都是出站条目;无需为 Azure 虚拟桌面打开入站端口。 根据你正在使用的云选择相关选项卡。

地址 协议 出站端口 用途 服务标记
login.microsoftonline.com TCP 443 Microsoft Online Services 的身份验证 AzureActiveDirectory
*.wvd.microsoft.com TCP 443 服务流量 WindowsVirtualDesktop
catalogartifact.azureedge.net TCP 443 Azure 市场 AzureFrontDoor.Frontend
*.prod.warm.ingest.monitor.core.windows.net TCP 443 代理流量
诊断输出		 AzureMonitor
gcs.prod.monitoring.core.windows.net TCP 443 代理流量 AzureMonitor
azkms.core.windows.net TCP 1688 Windows 激活 Internet
mrsglobalsteus2prod.blob.core.windows.net TCP 443 代理和并行 (SXS) 堆栈更新 Storage
wvdportalstorageblob.blob.core.windows.net TCP 443 Azure 门户支持 AzureCloud
169.254.169.254 TCP 80 Azure 实例元数据服务终结点 不适用
168.63.129.16 TCP 80 会话主机运行状况监视 不适用
oneocsp.microsoft.com TCP 80 证书 AzureFrontDoor.FirstParty
www.microsoft.com TCP 80 证书 不适用
ctldl.windowsupdate.com TCP 80 证书 不适用
aka.ms TCP 443 Microsoft URL 缩短符,在Azure Local上的会话主机部署期间使用 不适用

下表列出了可选的 FQDN 和终结点,会话主机虚拟机可能还需要访问其他服务:

地址 协议 出站端口 用途 服务标记
login.windows.net TCP 443 登录到 Microsoft Online Services 和 Microsoft 365 AzureActiveDirectory
*.events.data.microsoft.com TCP 443 遥测服务 不适用
www.msftconnecttest.com TCP 80 检测会话主机是否已连接到 Internet 不适用
*.prod.do.dsp.mp.microsoft.com TCP 443 Windows 更新 不适用
*.sfx.ms TCP 443 OneDrive 客户端软件汇报 不适用
*.digicert.com TCP 80 证书吊销检查 不适用
*.azure-dns.com TCP 443 Azure DNS 解析 不适用
*.azure-dns.net TCP 443 Azure DNS 解析 不适用
*eh.servicebus.windows.net TCP 443 诊断设置 EventHub

提示

对于涉及 服务流量的 FQDN,必须使用通配符 (*) 。

对于 代理流量,如果不想使用通配符,下面介绍如何查找允许的特定 FQDN:

  1. 确保会话主机已注册到主机池。
  2. 在会话主机上,打开 事件查看器,然后转到 Windows 日志>应用程序>WVD-Agent 并查找事件 ID 3701
  3. 取消阻止事件 ID 3701 下找到的 FQDN。 事件 ID 3701 下的 FQDN 特定于区域。 对于要在其中部署会话主机的每个 Azure 区域,需要使用相关的 FQDN 重复此过程。

最终用户设备

使用其中一个 远程桌面客户端 连接到 Azure 虚拟桌面的任何设备都必须有权访问以下 FQDN 和终结点。 允许这些 FQDN 和终结点对于可靠的客户端体验至关重要。 不支持阻止对这些 FQDN 和终结点的访问,这会影响服务功能。

根据你正在使用的云选择相关选项卡。

地址 协议 出站端口 用途 客户端 ()
login.microsoftonline.com TCP 443 Microsoft Online Services 的身份验证 全部
*.wvd.microsoft.com TCP 443 服务流量 全部
*.servicebus.windows.net TCP 443 对数据进行故障排除 全部
go.microsoft.com TCP 443 Microsoft FWLinks 全部
aka.ms TCP 443 Microsoft URL 缩短器 全部
learn.microsoft.com TCP 443 文档 全部
privacy.microsoft.com TCP 443 隐私声明 全部
*.cdn.office.net TCP 443 自动更新 Windows 桌面
graph.microsoft.com TCP 443 服务流量 全部
windows.cloud.microsoft TCP 443 连接中心 全部
windows365.microsoft.com TCP 443 服务流量 全部
ecs.office.com TCP 443 连接中心 全部
*.events.data.microsoft.com TCP 443 客户端遥测 全部

如果位于 Internet 访问受限的封闭网络上,可能还需要允许此处列出的 FQDN 进行证书检查: Azure 证书颁发机构详细信息 |Microsoft Learn

后续步骤