Azure 虚拟桌面所需的 FQDN 和终结点

若要部署 Azure 虚拟桌面并使用户能够进行连接,必须允许特定的 FQDN 和终结点。 用户还必须能够连接到某些 FQDN 和终结点才能访问其 Azure 虚拟桌面资源。 本文列出了需要为会话主机和用户允许的必需 FQDN 和终结点。

如果你使用防火墙(例如 Azure 防火墙)或代理服务,则可能会阻止这些 FQDN 和终结点。 有关将代理服务与 Azure 虚拟桌面配合使用的指导,请参阅 Azure 虚拟桌面的代理服务准则

重要

  • Microsoft 不支持阻止了本文中列出的 FQDN 和终结点的 Azure 虚拟桌面部署。

  • 本文不包括其他服务的 FQDN 和终结点,例如 Microsoft Entra ID、Office 365、自定义 DNS 提供程序或时间服务。 可在 Office 365 URL 和 IP 地址范围的 ID 10 下找到 Microsoft Entra FQDN 和终结点。

服务标记和 FQDN 标记

服务标记表示来自给定 Azure 服务的 IP 地址前缀组。 Microsoft 会管理服务标记包含的地址前缀,并在地址更改时自动更新服务标记,从而尽量减少频繁更新网络安全规则所需的复杂操作。 可在网络安全组 (NSG) 和 Azure 防火墙规则中使用服务标记来限制出站网络访问。 还可以在用户定义的路由 (UDR) 中使用服务标记来自定义流量路由行为。

Azure 防火墙还支持 FQDN 标记,该标记表示与已知的 Azure 和其他 Microsoft 服务关联的一组完全限定的域名 (FQDN)。 Azure 虚拟桌面没有你可以取消阻止的 IP 地址范围列表,而是依赖于 FQDN 来允许网络流量。 如果使用的是下一代防火墙 (NGFW),则需要使用为 Azure IP 地址创建的动态列表来确保你可以进行连接。 有关详细信息,请参阅使用 Azure 防火墙保护 Azure 虚拟桌面部署

Azure 虚拟桌面同时提供服务标记和 FQDN 标记条目。 建议使用服务标记和 FQDN 标记来简化 Azure 网络配置。

会话主机虚拟机

下表列出了会话主机 VM 需要访问的用于 Azure 虚拟桌面的 FQDN 和终结点。 所有条目都是出站的;你不需要打开 Azure 虚拟桌面的入站端口。

地址 出站 TCP 端口 目的 服务标记
login.partner.microsoftonline.cn 443 向 Microsoft Online Services 进行身份验证
*.wvd.azure.cn 443 服务流量 WindowsVirtualDesktop
mooncake.warmpath.chinacloudapi.cn 443 代理流量 AzureCloud
monitoring.core.chinacloudapi.cn 443 代理流量 AzureCloud
*xt.blob.core.chinacloudapi.cn 443 代理流量 AzureCloud
*.servicebus.chinacloudapi.cn 443 代理流量 AzureCloud
*xt.table.core.chinacloudapi.cn 443 代理流量 AzureCloud
*xt.queue.core.chinacloudapi.cn 443 代理流量 AzureCloud
kms.core.chinacloudapi.cn 1688 Windows 激活 Internet
mrsglobalstcne2mc.blob.core.chinacloudapi.cn 443 代理和 SXS 堆栈更新 AzureCloud
wvdportalcontainer.blob.core.chinacloudapi.cn 443 Azure 门户支持 AzureCloud
169.254.169.254 80 Azure 实例元数据服务终结点 不适用
168.63.129.16 80 会话主机运行状况监视 不适用
crl.digincert.cn 443 证书 空值
microsoft.com 443 证书 空值
*.prod.warm.ingest.monitor.core.chinacloudapi.cn 443 代理流量

重要

我们已完成对用于代理流量的 URL 的转换。 我们不再支持以下 URL。 为防止会话主机 VM 因此而显示“需要协助”状态,你必须允许 URL *.prod.warm.ingest.monitor.core.chinacloudapi.cn(如果尚未允许)。 如果在更改之前已显式允许以下 URL,还应删除这些 URL:

地址 出站 TCP 端口 目的 服务标记
production.diagnostics.monitoring.core.chinacloudapi.cn 443 代理流量 AzureCloud
*xt.blob.core.chinacloudapi.cn 443 代理流量 AzureCloud
*eh.servicebus.chinacloudapi.cn 443 代理流量 AzureCloud
*xt.table.core.chinacloudapi.cn 443 代理流量 AzureCloud
*xt.queue.core.chinacloudapi.cn 443 代理流量 AzureCloud

下表列出了会话主机虚拟机可能还需要访问的用于其他服务的可选 FQDN 和终结点:

地址 出站 TCP 端口 目的 Azure 云世纪互联
*.chinacloudapi.cn 443 对 Azure Online Services 进行的身份验证 login.chinacloudapi.cn
*.events.data.microsoft.com 443 遥测服务
www.msftconnecttest.com 443 检测 OS 是否已连接到 Internet
*.prod.do.dsp.mp.microsoft.com 443 Windows 更新
*.sfx.ms 443 OneDrive 客户端软件更新 oneclient.sfx.ms
*.digicert.com 443 证书吊销检查
*.azure-dns.com 443 Azure DNS 解析
*.azure-dns.net 443 Azure DNS 解析

提示

对于涉及服务流量的 FQDN,你必须使用通配符 (*)。

对于代理流量,如果不想使用通配符,下面介绍了如何查找要允许的特定 FQDN:

  1. 确保会话主机已注册到主机池。
  2. 在会话主机上,打开“事件查看器”,转到“Windows 日志”>“应用程序”>“WVD-Agent”,查找事件 ID 3701
  3. 取消阻止在事件 ID 3701 下找到的 FQDN。 事件 ID 3701 下的 FQDN 是特定于区域的。 你需要对要在其中部署会话主机的每个 Azure 区域的相关 FQDN 重复此过程。

最终用户设备

你在其上使用远程桌面客户端之一连接到 Azure 虚拟桌面的任何设备都必须可以访问以下 FQDN 和终结点。 若要获得可靠的客户端体验,必须打开这些 FQDN 和终结点。 不支持阻止访问这些 FQDN 和终结点,否则会影响服务功能。

地址 出站 TCP 端口 目的 客户端 由世纪互联运营的 Microsoft Azure
*.wvd.azure.cn 443 服务流量 All *.wvd.azure.cn
*.servicebus.chinacloudapi.cn 443 排查数据问题 All *.servicebus.chinacloudapi.cn
go.microsoft.com 443 Microsoft FWLink All
aka.ms 443 Microsoft URL 缩短符 All
learn.microsoft.com 443 文档 All
privacy.microsoft.com 443 隐私声明 All
query.prod.cms.rt.microsoft.com 443 下载 MSI 以更新客户端。 自动更新所必需的。 Windows 桌面版

如果处于具有受限 Internet 访问权限的封闭网络中,则可能还需要允许此处列出的 FQDN 进行证书检查:Azure 证书颁发机构详细信息 | Azure Learn

后续步骤