Nödvändiga FQDN:er och slutpunkter för Azure Virtual Desktop

För att kunna distribuera Azure Virtual Desktop och för att användarna ska kunna ansluta måste du tillåta specifika FQDN och slutpunkter. Användarna måste också kunna ansluta till vissa FQDN och slutpunkter för att få åtkomst till sina Azure Virtual Desktop-resurser. I den här artikeln visas de nödvändiga FQDN:er och slutpunkter som du behöver för att tillåta sessionsvärdar och användare.

Dessa FQDN:er och slutpunkter kan blockeras om du använder en brandvägg, till exempel Azure Firewall eller proxytjänst. Vägledning om hur du använder en proxytjänst med Azure Virtual Desktop finns i Riktlinjer för proxytjänsten för Azure Virtual Desktop. Den här artikeln innehåller inte FQDN och slutpunkter för andra tjänster som Microsoft Entra-ID, Office 365, anpassade DNS-leverantörer eller tidstjänster. Microsoft Entra FQDN och slutpunkter finns under ID 56, 59 och 125 i Office 365-URL:er och IP-adressintervall.

Du kan kontrollera att dina virtuella sessionsvärddatorer kan ansluta till dessa FQDN och slutpunkter genom att följa stegen för att köra URL-verktyget för Azure Virtual Desktop-agenten i Kontrollera åtkomsten till nödvändiga FQDN:er och slutpunkter för Azure Virtual Desktop. URL-verktyget för Azure Virtual Desktop-agenten verifierar varje FQDN och slutpunkt och visar om sessionsvärdarna kan komma åt dem.

Viktigt!

Microsoft stöder inte Azure Virtual Desktop-distributioner där de FQDN och slutpunkter som anges i den här artikeln blockeras.

Virtuella sessionsvärddatorer

Följande tabell är en lista över FQDN:er och slutpunkter som dina virtuella sessionsvärddatorer behöver åtkomst till för Azure Virtual Desktop. Alla poster är utgående. du behöver inte öppna inkommande portar för Azure Virtual Desktop. Välj relevant flik baserat på vilket moln du använder.

Adress Protokoll Utgående port Syfte Tjänsttagg
login.microsoftonline.com TCP 443 Autentisering till Microsoft Online Services
*.wvd.microsoft.com TCP 443 Tjänsttrafik WindowsVirtualDesktop
*.prod.warm.ingest.monitor.core.windows.net TCP 443 Agenttrafik
Diagnostikutdata
AzureMonitor
catalogartifact.azureedge.net TCP 443 Azure Marketplace AzureFrontDoor.Frontend
gcs.prod.monitoring.core.windows.net TCP 443 Agenttrafik AzureCloud
azkms.core.windows.net TCP 1688 Windows-aktivering Internet
mrsglobalsteus2prod.blob.core.windows.net TCP 443 Uppdateringar av agent- och SXS-stackar (sida vid sida) AzureCloud
wvdportalstorageblob.blob.core.windows.net TCP 443 Azure Portal support AzureCloud
169.254.169.254 TCP 80 Tjänstslutpunkt för Azure Instance Metadata Ej tillämpligt
168.63.129.16 TCP 80 Hälsoövervakning av sessionsvärd Ej tillämpligt
oneocsp.microsoft.com TCP 80 Certifikat Ej tillämpligt
www.microsoft.com TCP 80 Certifikat Ej tillämpligt

I följande tabell visas valfria FQDN:er och slutpunkter som din session är värd för virtuella datorer kan också behöva komma åt för andra tjänster:

Adress Protokoll Utgående port Syfte Tjänsttagg
login.windows.net TCP 443 Logga in på Microsoft Online Services och Microsoft 365 Ej tillämpligt
*.events.data.microsoft.com TCP 443 Telemetry Service Ej tillämpligt
www.msftconnecttest.com TCP 80 Identifierar om sessionsvärden är ansluten till Internet Ej tillämpligt
*.prod.do.dsp.mp.microsoft.com TCP 443 Windows Update Ej tillämpligt
*.sfx.ms TCP 443 Uppdateringar för OneDrive-klientprogramvara Ej tillämpligt
*.digicert.com TCP 80 Kontroll av återkallade certifikat Ej tillämpligt
*.azure-dns.com TCP 443 Azure DNS-matchning Ej tillämpligt
*.azure-dns.net TCP 443 Azure DNS-matchning Ej tillämpligt
*eh.servicebus.windows.net TCP 443 Diagnostikinställningar EventHub

Den här listan innehåller inte FQDN och slutpunkter för andra tjänster som Microsoft Entra-ID, Office 365, anpassade DNS-leverantörer eller tidstjänster. Microsoft Entra FQDN och slutpunkter finns under ID 56, 59 och 125 i Office 365-URL:er och IP-adressintervall.

Dricks

Du måste använda jokertecknet (*) för FQDN som involverar tjänsttrafik. För agenttrafik, om du föredrar att inte använda ett jokertecken, så här hittar du specifika FQDN:er som tillåter:

  1. Kontrollera att dina virtuella sessionsvärddatorer är registrerade i en värdpool.
  2. Öppna Loggboken på en sessionsvärd och gå sedan till Windows-loggar>Program>WVD-Agent och leta efter händelse-ID 3701.
  3. Avblockera de FQDN:er som du hittar under händelse-ID 3701. FQDN:erna under händelse-ID 3701 är regionspecifika. Du måste upprepa den här processen med relevanta FQDN för varje Azure-region som du vill distribuera sessionsvärdens virtuella datorer i.

Tjänsttaggar och FQDN-taggar

En tjänsttagg för virtuellt nätverk representerar en grupp IP-adressprefix från en viss Azure-tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras, vilket minimerar komplexiteten i frekventa uppdateringar av nätverkssäkerhetsregler. Tjänsttaggar kan användas i både NSG (Network Security Group) och Azure Firewall-regler för att begränsa utgående nätverksåtkomst. Tjänsttaggar kan också användas i Användardefinierad väg (UDR) för att anpassa trafikroutningsbeteende.

Azure Firewall stöder Azure Virtual Desktop som en FQDN-tagg. Mer information finns i Använda Azure Firewall för att skydda Azure Virtual Desktop-distributioner.

Vi rekommenderar att du använder FQDN-taggar eller tjänsttaggar för att förenkla konfigurationen. De listade FQDN:erna och slutpunkterna och taggarna motsvarar endast Azure Virtual Desktop-webbplatser och -resurser. De innehåller inte FQDN och slutpunkter för andra tjänster, till exempel Microsoft Entra-ID. Tjänsttaggar för andra tjänster finns i Tillgängliga tjänsttaggar.

Azure Virtual Desktop har ingen lista över IP-adressintervall som du kan avblockera i stället för FQDN för att tillåta nätverkstrafik. Om du använder en nästa generations brandvägg (NGFW) måste du använda en dynamisk lista som gjorts för Azure IP-adresser för att se till att du kan ansluta.

Slutanvändarenheter

Alla enheter där du använder en av fjärrskrivbordsklienterna för att ansluta till Azure Virtual Desktop måste ha åtkomst till följande FQDN och slutpunkter. Att tillåta dessa FQDN:er och slutpunkter är viktigt för en tillförlitlig klientupplevelse. Blockera åtkomst till dessa FQDN:er och slutpunkter stöds inte och påverkar tjänstens funktioner.

Välj relevant flik baserat på vilket moln du använder.

Adress Protokoll Utgående port Syfte Klienter
login.microsoftonline.com TCP 443 Autentisering till Microsoft Online Services Alla
*.wvd.microsoft.com TCP 443 Tjänsttrafik Alla
*.servicebus.windows.net TCP 443 Felsöka data Alla
go.microsoft.com TCP 443 Microsoft FWLinks Alla
aka.ms TCP 443 Microsoft URL-kortare Alla
video2.skills-academy.com TCP 443 Dokumentation Alla
privacy.microsoft.com TCP 443 Sekretesspolicy Alla
query.prod.cms.rt.microsoft.com TCP 443 Ladda ned ett MSI- eller MSIX-paket för att uppdatera klienten. Krävs för automatiska uppdateringar. Windows Desktop
graph.microsoft.com TCP 443 Tjänsttrafik Alla
windows.cloud.microsoft TCP 443 Anslutningscenter Alla
windows365.microsoft.com TCP 443 Tjänsttrafik Alla
ecs.office.com TCP 443 Anslutningscenter Alla

Dessa FQDN:er och slutpunkter motsvarar endast klientplatser och resurser. Den här listan innehåller inte FQDN och slutpunkter för andra tjänster som Microsoft Entra ID eller Office 365. Microsoft Entra FQDN och slutpunkter finns under ID 56, 59 och 125 i Office 365-URL:er och IP-adressintervall.

Om du är i ett stängt nätverk med begränsad Internetåtkomst kan du också behöva tillåta de FQDN:er som anges här för certifikatkontroller: Information om Azure Certificate Authority | Microsoft Learn.

Nästa steg