Microsoft 開發箱網路需求
Microsoft 開發箱是一項服務,可讓使用者透過網際網路從任何地方的任何裝置連線至 Azure 中所執行的雲端式工作站。 若要支援這些網際網路連線,您必須遵循本文所列的網路需求。 您應該與組織的網路小組和安全性小組合作,以規劃和實作開發箱的網路存取。
Microsoft 開發箱與 Windows 365 和 Azure 虛擬桌面服務密切相關,在許多情況下,網路需求都相同。
一般網路需求
開發箱需要網路連線才能存取資源。 您也可以選擇 Microsoft 裝載的網路連線,以及您在自己的訂用帳戶中建立的 Azure 網路連線。 選擇允許存取網路資源的方法取決於資源所依據的位置。
使用 Microsoft 裝載的連線時:
- Microsoft 提供並完全管理基礎結構。
- 您可以從 Microsoft Intune 管理開發箱安全性。
若要使用您自己的網路並佈建已加入 Microsoft Entra 的開發箱,您必須符合下列需求:
- Azure 虛擬網路:您的 Azure 訂用帳戶中必須有虛擬網路。 您為虛擬網路選取的區域即為 Azure 部署開發箱的位置。
- 虛擬網路中的子網路和可用的 IP 位址空間。
- 網路頻寬:請參閱 Azure 的網路指導方針。
若要使用您自己的網路並佈建已加入 Microsoft Entra 混合式的開發箱,您必須符合上述需求和下列需求:
- Azure 虛擬網路必須能夠解析 Active Directory Domain Services (AD DS) 環境的網域名稱服務 (DNS) 項目。 若要支援此解析,請將您的 AD DS DNS 伺服器定義為虛擬網路的 DNS 伺服器。
- Azure 虛擬網路必須具有 Azure 或內部部署環境中企業網域控制站的網路存取權。
重要
使用您自己的網路時,Microsoft 開發箱目前不支援將網路介面移至不同的虛擬網路或不同的子網路。
允許網路連線能力
在您的網路設定中,您必須允許流量流向下列服務 URL 和連接埠,以支援開發箱的佈建、管理和遠端連線。
Microsoft 開發箱的必要 FQDN 和端點
若要設定開發箱,並允許使用者連線至資源,您必須允許特定完整網域名稱 (FQDN) 和端點的流量。 如果您使用防火牆,例如 Azure 防火牆或 Proxy 服務,可能會封鎖這些 FQDN 和端點。
您可以遵循檢查 Azure 虛擬桌面的必要 FQDN 和端點存取權中的步驟來執行 Azure 虛擬桌面代理程式 URL 工具,以檢查您的開發箱是否可以連線至這些 FQDN 和端點。 Azure 虛擬桌面代理程式 URL 工具會驗證每個 FQDN 和端點,並顯示您的開發箱是否可以對其進行存取。
重要
Microsoft 不支援開發箱部署,因為這類部署會封鎖本文所列的 FQDN 和端點。
透過 Azure 防火牆使用端點的 FQDN 標記和服務標記
管理開發箱的網路安全性控制可能相當複雜。 若要簡化設定,請使用完整網域名稱 (FQDN) 標記和服務標記來允許網路流量。
FQDN 標記
FQDN 標記是 Azure 防火牆中的預先定義標記,而此標記代表一組完整網域名稱。 使用 FQDN 標記,即可輕鬆地建立和維護 Windows 365 這類特定服務的輸出規則,而不需手動指定每個網域名稱。
FQDN 標籤定義的群組可以重疊。 例如,Windows365 FQDN 標籤包含標準埠的 AVD 端點,請參閱 參考。
非 Microsoft 防火牆通常不支援 FQDN 標記或服務標記。 相同的功能可能會有不同的字詞;請檢查您的防火牆文件。
服務標籤
服務標籤代表來自指定 Azure 服務的一組 IP 位址首碼。 Microsoft 會管理服務標籤包含的位址前置詞,並隨著位址變更自動更新服務標籤,而盡可能簡化網路安全性規則頻繁的更新。 服務標記可以用於網路安全性群組 (NSG) 和 Azure 防火牆規則來限制輸出網路存取,以及用於使用者定義的路由 (UDR) 以自訂流量路由行為。
實體裝置網路連線的必要端點
雖然大部分的設定都是針對雲端式開發箱網路,但終端使用者連線會從實體裝置進行。 因此,您也必須遵循實體裝置網路上的連線指導方針。
| 裝置或服務 | 所需的網路連線 URL 和連接埠 | 描述 |
|---|---|---|
| 實體裝置 | 連結 | 遠端桌面用戶端連線和更新。 |
| Microsoft Intune 服務 | 連結 | Intune 雲端服務,例如裝置管理、應用程式傳遞和端點分析。 |
| Azure 虛擬桌面工作階段主機虛擬機器 | 連結 | 開發箱與後端 Azure 虛擬桌面服務之間的遠端連線。 |
| Windows 365 服務 | 連結 | 佈建和健康情況檢查。 |
您用來連線到開發方塊的任何裝置都必須具有下列 FQDN 和端點的存取權。 允許這些 FQDN 和端點對於可靠的用戶端體驗至關重要。 封鎖對這些 FQDN 和端點的存取會影響服務功能,因此不提供支援。
| 位址 | 通訊協定 | 輸出連接埠 | 目的 | 用戶端 |
|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | 向 Microsoft Online Services 進行驗證 | 全部 |
| *.wvd.microsoft.com | TCP | 443 | 服務流量 | 全部 |
| *.servicebus.windows.net | TCP | 443 | 疑難排解資料 | 全部 |
| go.microsoft.com | TCP | 443 | Microsoft FWLinks | 全部 |
| aka.ms | TCP | 443 | Microsoft URL 縮短器 | 全部 |
| learn.microsoft.com | TCP | 443 | 文件 | 全部 |
| privacy.microsoft.com | TCP | 443 | 隱私權聲明 | 全部 |
| query.prod.cms.rt.microsoft.com | TCP | 443 | 下載 MSI 以更新用戶端。 自動更新所需。 | Windows 桌面 |
這些 FQDN 和端點只會對應至用戶端站台和資源。
開發方塊布建的必要端點
佈建開發箱和 Azure 網路連線 (ANC) 健康情況檢查需要下列 URL 和連接埠。 除非另有指定,否則所有端點都會透過連接埠 443 進行連線。
| 類別 | 端點 | FQDN 標籤或服務標籤 |
|---|---|---|
| 開發箱通訊端點 | .agentmanagement.dc.azure.com .cmdagent.trafficmanager.net |
N/A |
| Windows 365 服務和註冊端點 | 如需目前的 Windows 365 註冊端點,請參閱 Windows 365 網路需求。 | FQDN 標籤: Windows365 |
| Azure 虛擬桌面服務端點 | 如需目前的 AVD 服務端點,請參閱 工作階段主機虛擬機。 | FQDN 標籤: WindowsVirtualDesktop |
| Microsoft Entra ID | 您可以在 Office 365 URL 和 IP 位址範圍中的標識碼 56、59 和 125 中找到 Microsoft Entra 標識符的 FQDN 和端點。 | 服務標籤: AzureActiveDirectory |
| Microsoft Intune | 如需目前Microsoft Entra標識符的 FQDN 和端點,請參閱 Intune 核心服務。 | FQDN 標籤: MicrosoftIntune |
列出的 FQDN 和端點和標籤會對應至所需的資源。 它們不包含所有服務的 FQDN 和端點。 如需其他服務的服務標籤,請參閱可用的服務標籤。
Azure 虛擬桌面沒有您可將其解除鎖定,以允許網路流量的 IP 位址範圍 (而非 FQDN) 清單。 如果您使用新一代防火牆 (NGFW),您必須使用專為 Azure IP 位址所製作的動態清單來確保您可以連線。
如需詳細資訊,請參閱使用 Azure 防火牆來管理和保護 Windows 365 環境。
下表是開發箱需要存取的 FQDN 和端點清單。 所有項目都是輸出項目;您不需要開啟開發箱的輸入連接埠。
| 位址 | 通訊協定 | 輸出連接埠 | 目的 | 服務標籤 |
|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | 向 Microsoft Online Services 進行驗證 | AzureActiveDirectory |
| *.wvd.microsoft.com | TCP | 443 | 服務流量 | Windows 虛擬桌面 |
| *.prod.warm.ingest.monitor.core.windows.net | TCP | 443 | 代理程式流量診斷輸出 | AzureMonitor |
| catalogartifact.azureedge.net | TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
| gcs.prod.monitoring.core.windows.net | TCP | 443 | 代理程式流量 | AzureCloud |
| kms.core.windows.net | TCP | 1688 | Windows 啟用 | 網際網路 |
| azkms.core.windows.net | TCP | 1688 | Windows 啟用 | 網際網路 |
| mrsglobalsteus2prod.blob.core.windows.net | TCP | 443 | 代理程式和並存 (SXS) 堆疊更新 | AzureCloud |
| wvdportalstorageblob.blob.core.windows.net | TCP | 443 | Azure 入口網站支援 | AzureCloud |
| 169.254.169.254 | TCP | 80 | Azure Instance Metadata Service 端點 | N/A |
| 168.63.129.16 | TCP | 80 | 工作階段主機狀況監控 | N/A |
| oneocsp.microsoft.com | TCP | 80 | 憑證 | N/A |
| www.microsoft.com | TCP | 80 | 憑證 | N/A |
下表列出您的工作階段主機虛擬機器可能也需要存取其他服務的選擇性 FQDN 和端點:
| 位址 | 通訊協定 | 輸出連接埠 | 目的 |
|---|---|---|---|
| login.windows.net | TCP | 443 | 登入 Microsoft Online Services 以及 Microsoft 365 |
| *.events.data.microsoft.com | TCP | 443 | 遙測服務 |
| www.msftconnecttest.com | TCP | 80 | 偵測工作階段主機是否已連線到網際網路 |
| *.prod.do.dsp.mp.microsoft.com | TCP | 443 | Windows Update |
| *.sfx.ms | TCP | 443 | OneDrive 用戶端軟體的更新 |
| *.digicert.com | TCP | 80 | 憑證撤銷檢查 |
| *.azure-dns.com | TCP | 443 | Azure DNS 解析 |
| *.azure-dns.net | TCP | 443 | Azure DNS 解析 |
此清單未包括其他服務的 FQDN 和端點,例如 Microsoft Entra ID、Office 365、自訂 DNS 提供者或時間服務。 在 Office 365 URL 和 IP 位址範圍中的識別碼 56、59 和 125 下方,可以找到 Microsoft Entra FQDN 和端點。
提示
對於涉及「服務流量」的 FQDN,您必須使用萬用字元 (*)。 對於「代理程式流量」,如果您不想使用萬用字元,以下說明如何尋找要允許的特定 FQDN:
- 請確保您的工作階段主機虛擬機器已註冊到主機集區。
- 在工作階段主機上,開啟 [事件檢視器],並前往 [Windows 記錄]>[應用程式]>[WVD-Agent],然後尋找事件識別碼 3701。
- 將您在事件識別碼 3701 下找到的 FQDN 解除鎖定。 事件識別碼 3701 下的 FQDN 會隨區域而不同。 您必須針對要在其中部署工作階段主機虛擬機器的每個 Azure 區域,重複執行相關 FQDN 的程序。
遠端桌面通訊協定 (RDP) 訊息代理程式服務端點
針對開發箱的遠端效能,直接連線至 Azure 虛擬桌面 RDP 訊息代理程式服務端點非常重要。 這些端點會影響連線和延遲。 若要符合 Microsoft 365 網路連線原則,您應該將這些端點分類為「最佳化」端點,並使用從 Azure 虛擬網路到這些端點的遠端桌面通訊協定 (RDP) 短徑。 RDP 短徑可以提供另一個連線路徑來改善開發箱連線,特別是在次佳的網路狀況中。
若要更輕鬆地設定網路安全性控制,請使用 Azure 虛擬桌面服務標記來識別這些端點,以使用 Azure 網路使用者定義的路由 (UDR) 進行直接路由。 UDR 會導致虛擬網路與 RDP 訊息代理程式之間的直接路由,以取得最低的延遲。
變更開發箱的網路路由 (在網路層或 VPN 這類開發箱層) 可能會中斷開發箱與 Azure 虛擬桌面 RDP 訊息代理程式之間的連線。 如果是這樣,則除非重新建立連線,否則終端使用者與其開發箱的連線會中斷。
DNS 需求
作為 Microsoft Entra 混合式加入需求的一部分,您的開發箱必須能夠加入內部部署 Active Directory。 開發箱必須能夠解析內部部署 AD 環境的 DNS 記錄才能加入。
設定已佈建開發箱的 Azure 虛擬網路,如下所示:
- 請確定您的 Azure 虛擬網路具有 DNS 伺服器的網路連線能力,而 DNS 伺服器可以解析 Active Directory 網域。
- 從 Azure 虛擬網路的 [設定] 中,選取 [DNS 伺服器] > [自訂]。
- 輸入環境可解析 AD DS 網域的 DNS 伺服器 IP 位址。
提示
至少新增兩部 DNS 伺服器 (就像使用實體電腦一樣) 有助於降低名稱解析中單一失敗點的風險。 如需詳細資訊,請參閱設定 Azure 虛擬網路設定。
連線到內部部署資源
您可以允許開發箱透過混合式連線來連線至內部部署資源。 請與您的 Azure 網路專家合作,以實作中樞和支點網路拓撲。 中樞是連線到內部部署網路的中心點;您可以使用 Express Route、站對站 VPN 或點對站 VPN。 輪輻是包含開發箱的虛擬網路。 中樞和輪輻拓撲可協助您管理網路流量和安全性。 您可以將開發箱虛擬網路對等互連至內部部署連線的虛擬網路,以提供內部部署資源的存取權。
流量攔截技術
某些企業客戶會使用流量攔截、TLS 解密、深層封包檢查,以及安全性小組監視網路流量的其他類似技術。 這些流量攔截技術可能會導致執行 Azure 網路連線檢查或開發箱佈建問題。 請確定未針對 Microsoft 開發箱內所佈建的開發箱強制執行網路攔截。
流量攔截技術可能會加劇延遲問題。 您可以使用遠端桌面通訊協定 (RDP) 短徑來協助將延遲問題降到最低。
疑難排解
本節涵蓋一些常見的連線和網路問題。
連接問題
登入嘗試失敗
如果開發方塊使用者遇到登入問題,並看到錯誤訊息,指出登入嘗試失敗,請確定您已在本機計算機和會話主機上啟用 PKU2U 通訊協定。
如需針對登入錯誤進行疑難解答的詳細資訊,請參閱 針對 Microsoft已加入專案之 VM 的連線進行疑難解答 - Windows 桌面用戶端。
混合式環境中的群組原則問題
若要使用混合式環境,則可能會遇到群組原則問題。 您可以暫時從群組原則中排除開發箱,以測試問題是否與群組原則有關。
如需針對群組原則問題進行疑難排解的詳細資訊,請參閱套用群組原則疑難排解指導。
IPv6 定址問題
如果您遇到 IPv6 問題,請檢查 虛擬網路或子網上未啟用 Microsoft.AzureActiveDirectory 服務端點。 此服務端點會將 IPv4 轉換為 IPv6。
如需詳細資訊,請參閱虛擬網路服務端點。
更新開發箱映像問題
當您更新開發箱定義中使用的映像時,您必須確定您的虛擬網路中有足夠的 IP 位址。 Azure 網路連線健康情況檢查需要更多免費的 IP 位址。 如果健康情況檢查失敗,開發方塊定義不會更新。 每個開發方塊需要一個額外的IP位址,以及健康情況檢查和開發方塊基礎結構的一個IP位址。
如需更新開發箱定義映像的詳細資訊,請參閱更新開發箱定義。
相關內容
- 檢查 Azure 虛擬桌面所需 FQDN 和端點的存取。
- 了解如何解除封鎖 Azure 防火牆中的這些 FQDN 和端點,請參閱使用 Azure 防火牆來保護 Azure 虛擬桌面。
- 如需網路連線能力的詳細資訊,請參閱瞭解 Azure 虛擬桌面網路連線能力。