Condividi tramite


FQDN e endpoint necessari per Desktop virtuale Azure

Per distribuire Desktop virtuale Azure e consentire agli utenti di connettersi, è necessario consentire FQDN ed endpoint specifici. Gli utenti devono anche essere in grado di connettersi a determinati FQDN ed endpoint per accedere alle risorse di Desktop virtuale Azure. Questo articolo elenca gli endpoint e gli FQDN richiesti che è necessario consentire agli host e agli utenti della sessione.

Questi FQDN ed endpoint potrebbero essere bloccati se si usa un firewall, ad esempio Firewall di Azure o un servizio proxy. Per indicazioni sull'uso di un servizio proxy con Desktop virtuale Azure, vedere Linee guida per il servizio proxy per Desktop virtuale Azure.

È possibile verificare che le macchine virtuali host di sessione possano connettersi a questi FQDN ed endpoint seguendo la procedura per eseguire lo strumento URL agente desktop virtuale Azure in Controllare l'accesso ai nomi di dominio completi e agli endpoint necessari per Desktop virtuale Azure. Lo strumento URL agente desktop virtuale Azure convalida ogni FQDN ed endpoint e mostra se gli host di sessione possono accedervi.

Importante

  • Microsoft non supporta le distribuzioni di Desktop virtuale Azure in cui i nomi di dominio completo e gli endpoint elencati in questo articolo sono bloccati.

  • Questo articolo non include FQDN ed endpoint per altri servizi, ad esempio Microsoft Entra ID, Office 365, provider DNS personalizzati o servizi temporali. Gli FQDN e gli endpoint di Microsoft Entra sono disponibili in ID 56, 59 e 125 negli URL e negli intervalli di indirizzi IP di Office 365.

Tag del servizio e tag FQDN

I tag di servizio rappresentano gruppi di prefissi di indirizzi IP da un determinato servizio di Azure. Microsoft gestisce i prefissi di indirizzo inclusi nel tag del servizio e aggiorna automaticamente il tag in base alla modifica degli indirizzi, riducendo la complessità degli aggiornamenti frequenti alle regole di sicurezza di rete. I tag di servizio possono essere usati nelle regole per i gruppi di sicurezza di rete (NSG) e Firewall di Azure per limitare l'accesso alla rete in uscita. I tag di servizio possono essere usati anche nelle route definite dall'utente per personalizzare il comportamento di routing del traffico.

Firewall di Azure supporta ancheTag FQDN, che rappresentano un gruppo di nomi di dominio completi (FQDN) associati a Azure noto e ad altri servizi Microsoft. Desktop virtuale Azure non dispone di un elenco di intervalli di indirizzi IP che è possibile sbloccare anziché FQDN per consentire il traffico di rete. Se si usa un firewall di nuova generazione (NGFW), è necessario usare un elenco dinamico creato per gli indirizzi IP di Azure per assicurarsi di potersi connettere. Per altre informazioni, vedere Usare Firewall di Azure per proteggere le distribuzioni di Desktop virtuale Azure.

Desktop virtuale Azure include sia un tag di servizio che una voce di tag FQDN disponibile. È consigliabile usare tag di servizio e tag FQDN per semplificare la configurazione di rete di Azure.

Macchine virtuali host sessione

La tabella seguente è l'elenco di FQDN ed endpoint a cui devono accedere le macchine virtuali dell'host di sessione per Desktop virtuale Azure. Tutte le voci sono in uscita; non è necessario aprire le porte in ingresso per Desktop virtuale Azure. Selezionare la scheda pertinente in base al cloud in uso.

Address Protocollo Porta in uscita Scopo Tag di servizio
login.microsoftonline.com TCP 443 Autenticazione a Microsoft Online Services AzureActiveDirectory
*.wvd.microsoft.com TCP 443 Traffico del servizio WindowsVirtualDesktop
catalogartifact.azureedge.net TCP 443 Azure Marketplace AzureFrontDoor.Frontend
*.prod.warm.ingest.monitor.core.windows.net TCP 443 Traffico dell'agente
Output di dati diagnostici
AzureMonitor
gcs.prod.monitoring.core.windows.net TCP 443 Traffico dell'agente AzureMonitor
azkms.core.windows.net TCP 1688 Attivazione di Windows Internet
mrsglobalsteus2prod.blob.core.windows.net TCP 443 Aggiornamenti dello stack di agenti e affiancato AzureStorage
wvdportalstorageblob.blob.core.windows.net TCP 443 Supporto del portale di Azure AzureCloud
169.254.169.254 TCP 80 Endpoint del servizio metadati dell'istanza di Azure N/D
168.63.129.16 TCP 80 Monitoraggio dell'integrità dell'host sessione N/D
oneocsp.microsoft.com TCP 80 Certificati AzureFrontDoor.FirstParty
www.microsoft.com TCP 80 Certificati N/D

La tabella seguente elenca FQDN ed endpoint a cui le macchine virtuali dell'host di sessione potrebbero dover accedere per altri servizi:

Address Protocollo Porta in uscita Scopo Tag di servizio
login.windows.net TCP 443 Accedere a Microsoft Online Services e Microsoft 365 AzureActiveDirectory
*.events.data.microsoft.com TCP 443 Servizio di telemetria N/D
www.msftconnecttest.com TCP 80 Rileva se l'host di sessione è connesso a Internet N/D
*.prod.do.dsp.mp.microsoft.com TCP 443 Windows Update N/D
*.sfx.ms TCP 443 Aggiornamenti per il software client di OneDrive N/D
*.digicert.com TCP 80 Verifica della revoca del certificato N/D
*.azure-dns.com TCP 443 Risoluzione DNS di Azure N/D
*.azure-dns.net TCP 443 Risoluzione DNS di Azure N/D
*eh.servicebus.windows.net TCP 443 Impostazioni di diagnostica EventHub

Suggerimento

È necessario usare il carattere jolly (*) per gli FQDN che coinvolgono il traffico del servizio.

Per il traffico dell'agente, se si preferisce non usare un carattere jolly, ecco come trovare FQDN specifici per consentire:

  1. Verificare che gli host di sessione siano registrati in un pool di host.
  2. In un host di sessione aprire Visualizzatore eventi, quindi passare a Registri di Windows>Applicazione>WVD-Agent e cercare l'ID evento 3701.
  3. Sbloccare i nomi di dominio completi disponibili nell'ID evento 3701. I nomi di dominio completi nell'ID evento 3701 sono specifici dell'area. È necessario ripetere questo processo con i nomi di dominio completi pertinenti per ogni area di Azure in cui si vuole distribuire gli host di sessione.

Dispositivi utenti finali

Qualsiasi dispositivo in cui si usa uno dei client Desktop remoto per connettersi a Desktop virtuale Azure deve avere accesso ai nomi di dominio completi e agli endpoint seguenti. Consentire questi FQDN ed endpoint è essenziale per un'esperienza client affidabile. Il blocco dell'accesso a questi FQDN e endpoint non è supportato e influisce sulle funzionalità del servizio.

Selezionare la scheda pertinente in base al cloud in uso.

Address Protocollo Porta in uscita Scopo Client
login.microsoftonline.com TCP 443 Autenticazione a Microsoft Online Services Tutte le date
*.wvd.microsoft.com TCP 443 Traffico del servizio Tutte le date
*.servicebus.windows.net TCP 443 Dati per la risoluzione dei problemi Tutte le date
go.microsoft.com TCP 443 FWLink Microsoft Tutte le date
aka.ms TCP 443 Abbreviazione URL Microsoft Tutte le date
learn.microsoft.com TCP 443 Documentazione Tutte le date
privacy.microsoft.com TCP 443 Informativa sulla privacy Tutte le date
*.cdn.office.net TCP 443 Aggiornamenti automatici Windows Desktop
graph.microsoft.com TCP 443 Traffico del servizio Tutte le date
windows.cloud.microsoft TCP 443 Centro connessioni Tutte le date
windows365.microsoft.com TCP 443 Traffico del servizio Tutte le date
ecs.office.com TCP 443 Centro connessioni Tutte le date

Se si usa una rete chiusa con accesso a Internet con restrizioni, potrebbe essere necessario consentire anche i nomi di dominio completi elencati qui per i controlli dei certificati: dettagli dell'autorità di certificazione di Azure | Microsoft Learn.

Passaggi successivi