FQDNs e pontos de extremidade necessários para a Área de Trabalho Virtual do Azure
Para implantar a Área de Trabalho Virtual do Azure e para que seus usuários se conectem, você deve permitir FQDNs e pontos de extremidade específicos. Os usuários também precisam ser capazes de se conectar a determinados FQDNs e pontos de extremidade para acessar seus recursos da Área de Trabalho Virtual do Azure. Este artigo lista os FQDNs e pontos de extremidade necessários que você precisa permitir para seus hosts e usuários de sessão.
Esses FQDNs e pontos de extremidade podem ser bloqueados se você estiver usando um firewall, como o Firewall do Azure ou o serviço de proxy. Para obter orientação sobre como usar um serviço de proxy com a Área de Trabalho Virtual do Azure, consulte Diretrizes de serviço de proxy para a Área de Trabalho Virtual do Azure. Este artigo não inclui FQDNs e pontos de extremidade para outros serviços, como Microsoft Entra ID, Office 365, provedores de DNS personalizados ou serviços de tempo. Os FQDNs e pontos de extremidade do Microsoft Entra podem ser encontrados em ID 56, 59 e 125 em URLs e intervalos de endereços IP do Office 365.
Você pode verificar se suas VMs de host de sessão podem se conectar a esses FQDNs e pontos de extremidade seguindo as etapas para executar a Ferramenta de URL do Agente de Área de Trabalho Virtual do Azure em Verificar acesso aos FQDNs e pontos de extremidade necessários para a Área de Trabalho Virtual do Azure. A Ferramenta de URL do Agente de Área de Trabalho Virtual do Azure valida cada FQDN e ponto de extremidade e mostra se seus hosts de sessão podem acessá-los.
Importante
A Microsoft não oferece suporte a implantações de Área de Trabalho Virtual do Azure em que os FQDNs e pontos de extremidade listados neste artigo estão bloqueados.
Máquinas virtuais de host de sessão
A tabela a seguir é a lista de FQDNs e pontos de extremidade que suas VMs de host de sessão precisam acessar para a Área de Trabalho Virtual do Azure. Todas as entradas são de saída; você não precisa abrir portas de entrada para a Área de Trabalho Virtual do Azure. Selecione a guia relevante com base na nuvem que você está usando.
| Endereço | Protocolo | Porta de saída | Propósito | Etiqueta de serviço |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Autenticação no Microsoft Online Services | |
*.wvd.microsoft.com |
TCP | 443 | Tráfego de serviço | WindowsVirtualDesktop |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Tráfego de agentes Saída de diagnóstico |
AzureMonitor |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Tráfego de agentes | AzureCloud |
azkms.core.windows.net |
TCP | 1688 | Ativação do Windows | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Atualizações de agente e pilha lado a lado (SXS) | AzureCloud |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Suporte do portal do Azure | AzureCloud |
169.254.169.254 |
TCP | 80 | Ponto de extremidade do serviço de Metadados de Instância do Azure | N/A |
168.63.129.16 |
TCP | 80 | Monitoramento da integridade do host da sessão | N/A |
oneocsp.microsoft.com |
TCP | 80 | Certificados | N/A |
www.microsoft.com |
TCP | 80 | Certificados | N/A |
A tabela a seguir lista FQDNs opcionais e pontos de extremidade que suas máquinas virtuais de host de sessão também podem precisar acessar para outros serviços:
| Endereço | Protocolo | Porta de saída | Propósito | Etiqueta de serviço |
|---|---|---|---|---|
login.windows.net |
TCP | 443 | Entre no Microsoft Online Services e no Microsoft 365 | N/A |
*.events.data.microsoft.com |
TCP | 443 | Serviço de Telemetria | N/A |
www.msftconnecttest.com |
TCP | 80 | Deteta se o host da sessão está conectado à Internet | N/A |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | N/A |
*.sfx.ms |
TCP | 443 | Atualizações para o software cliente do OneDrive | N/A |
*.digicert.com |
TCP | 80 | Verificação de revogação de certificados | N/A |
*.azure-dns.com |
TCP | 443 | Resolução de DNS do Azure | N/A |
*.azure-dns.net |
TCP | 443 | Resolução de DNS do Azure | N/A |
*eh.servicebus.windows.net |
TCP | 443 | Definições de diagnóstico | EventHub |
Esta lista não inclui FQDNs e pontos de extremidade para outros serviços, como Microsoft Entra ID, Office 365, provedores de DNS personalizados ou serviços de tempo. Os FQDNs e pontos de extremidade do Microsoft Entra podem ser encontrados em ID 56, 59 e 125 em URLs e intervalos de endereços IP do Office 365.
Gorjeta
Você deve usar o caractere curinga (*) para FQDNs envolvendo tráfego de serviço. Para o tráfego do agente, se você preferir não usar um curinga, veja como encontrar FQDNs específicos para permitir:
- Verifique se as máquinas virtuais do host de sessão estão registradas em um pool de hosts.
- Em um host de sessão, abra o Visualizador de eventos, vá para Logs>do Windows Application>WVD-Agent e procure a ID de evento 3701.
- Desbloqueie os FQDNs encontrados no evento ID 3701. Os FQDNs sob o evento ID 3701 são específicos da região. Você precisará repetir esse processo com os FQDNs relevantes para cada região do Azure na qual deseja implantar suas máquinas virtuais de host de sessão.
Tags de serviço e tags FQDN
Uma marca de serviço de rede virtual representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço incluídos pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam, minimizando a complexidade das atualizações frequentes das regras de segurança de rede. As tags de serviço podem ser usadas nas regras do NSG (Grupo de Segurança de Rede) e do Firewall do Azure para restringir o acesso à rede de saída. As tags de serviço também podem ser usadas no UDR (User Defined Route) para personalizar o comportamento de roteamento de tráfego.
O Firewall do Azure dá suporte à Área de Trabalho Virtual do Azure como uma marca FQDN. Para obter mais informações, consulte Usar o Firewall do Azure para proteger implantações da Área de Trabalho Virtual do Azure.
Recomendamos que você use tags FQDN ou tags de serviço para simplificar a configuração. Os FQDNs, pontos de extremidade e marcas listados correspondem apenas a sites e recursos da Área de Trabalho Virtual do Azure. Eles não incluem FQDNs e pontos de extremidade para outros serviços, como o Microsoft Entra ID. Para tags de serviço para outros serviços, consulte Tags de serviço disponíveis.
A Área de Trabalho Virtual do Azure não tem uma lista de intervalos de endereços IP que você pode desbloquear em vez de FQDNs para permitir o tráfego de rede. Se você estiver usando um Firewall de Próxima Geração (NGFW), precisará usar uma lista dinâmica criada para endereços IP do Azure para garantir que você possa se conectar.
Dispositivos do utilizador final
Qualquer dispositivo no qual você use um dos clientes de Área de Trabalho Remota para se conectar à Área de Trabalho Virtual do Azure deve ter acesso aos seguintes FQDNs e pontos de extremidade. Permitir esses FQDNs e endpoints é essencial para uma experiência confiável do cliente. O bloqueio do acesso a esses FQDNs e pontos de extremidade não é suportado e afeta a funcionalidade do serviço.
Selecione a guia relevante com base na nuvem que você está usando.
| Endereço | Protocolo | Porta de saída | Propósito | Cliente(s) |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Autenticação no Microsoft Online Services | Todos |
*.wvd.microsoft.com |
TCP | 443 | Tráfego de serviço | Todos |
*.servicebus.windows.net |
TCP | 443 | Solução de problemas de dados | Todos |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | Todos |
aka.ms |
TCP | 443 | Encurtador de URL da Microsoft | Todos |
video2.skills-academy.com |
TCP | 443 | Documentação | Todos |
privacy.microsoft.com |
TCP | 443 | Declaração de privacidade | Todos |
query.prod.cms.rt.microsoft.com |
TCP | 443 | Baixe um pacote MSI ou MSIX para atualizar o cliente. Necessário para atualizações automáticas. | Área de trabalho do Windows |
graph.microsoft.com |
TCP | 443 | Tráfego de serviço | Todos |
windows.cloud.microsoft |
TCP | 443 | Centro de conexões | Todos |
windows365.microsoft.com |
TCP | 443 | Tráfego de serviço | Todos |
ecs.office.com |
TCP | 443 | Centro de conexões | Todos |
Esses FQDNs e pontos de extremidade correspondem apenas a sites e recursos do cliente. Esta lista não inclui FQDNs e pontos de extremidade para outros serviços, como o Microsoft Entra ID ou o Office 365. Os FQDNs e pontos de extremidade do Microsoft Entra podem ser encontrados em ID 56, 59 e 125 em URLs e intervalos de endereços IP do Office 365.
Se você estiver em uma rede fechada com acesso restrito à Internet, talvez também seja necessário permitir os FQDNs listados aqui para verificações de certificado: Detalhes da Autoridade de Certificação do Azure | Microsoft Learn.
Próximos passos
Verifique o acesso aos FQDNs e pontos de extremidade necessários para a Área de Trabalho Virtual do Azure.
Para saber como desbloquear esses FQDNs e pontos de extremidade no Firewall do Azure, consulte Usar o Firewall do Azure para proteger a Área de Trabalho Virtual do Azure.
Para obter mais informações sobre conectividade de rede, consulte Noções básicas sobre conectividade de rede da Área de Trabalho Virtual do Azure