Azure 虚拟桌面所需的 URL
若要部署 Azure 虚拟桌面并使其可供用户使用,必须允许会话主机虚拟机 (VM) 可以随时访问的特定 URL。 用户还必须能够连接到某些 URL 才能访问其 Azure 虚拟桌面资源。 本文列出了需要为会话主机和用户允许的所需 URL。 如果使用的是 Azure 防火墙或第三方防火墙或代理服务,可能会阻止这些 URL。 Azure 虚拟桌面不支持那些会阻止本文所列 URL 的部署。
重要
不建议在 Azure 虚拟桌面中使用执行以下操作的代理服务。 有关更多详细信息,请参阅上述链接或有关代理支持指南的目录。
- SSL 终止(中断并检查)
- “要求身份验证”
会话主机虚拟机
下表是会话主机 VM 需要访问的 Azure 虚拟桌面的 URL 列表。
| 地址 | 出站 TCP 端口 | 目的 | 服务标记 |
|---|---|---|---|
login.partner.microsoftonline.cn |
443 | 向 Microsoft Online Services 进行身份验证 | |
| *.wvd.azure.cn | 443 | 服务流量 | WindowsVirtualDesktop |
| mooncake.warmpath.chinacloudapi.cn | 443 | 代理流量 | AzureCloud |
| monitoring.core.chinacloudapi.cn | 443 | 代理流量 | AzureCloud |
| *xt.blob.core.chinacloudapi.cn | 443 | 代理流量 | AzureCloud |
| *.servicebus.chinacloudapi.cn | 443 | 代理流量 | AzureCloud |
| *xt.table.core.chinacloudapi.cn | 443 | 代理流量 | AzureCloud |
| *xt.queue.core.chinacloudapi.cn | 443 | 代理流量 | AzureCloud |
| kms.core.chinacloudapi.cn | 1688 | Windows 激活 | Internet |
| mrsglobalstcne2mc.blob.core.chinacloudapi.cn | 443 | 代理和 SXS 堆栈更新 | AzureCloud |
| wvdportalcontainer.blob.core.chinacloudapi.cn | 443 | Azure 门户支持 | AzureCloud |
| 169.254.169.254 | 80 | Azure 实例元数据服务终结点 | 不适用 |
| 168.63.129.16 | 80 | 会话主机运行状况监视 | 不适用 |
| crl.digincert.cn | 443 | 证书 | 空值 |
| microsoft.com | 443 | 证书 | 空值 |
| *.prod.warm.ingest.monitor.core.chinacloudapi.cn | 443 | 代理流量 |
重要
我们已完成对用于代理流量的 URL 的转换。 我们不再支持以下 URL。 为防止会话主机 VM 因此而显示“需要协助”状态,你必须允许 URL *.prod.warm.ingest.monitor.core.chinacloudapi.cn(如果尚未允许)。 如果在更改之前已显式允许以下 URL,还应删除这些 URL:
| 地址 | 出站 TCP 端口 | 目的 | 服务标记 |
|---|---|---|---|
production.diagnostics.monitoring.core.chinacloudapi.cn |
443 | 代理流量 | AzureCloud |
*xt.blob.core.chinacloudapi.cn |
443 | 代理流量 | AzureCloud |
*eh.servicebus.chinacloudapi.cn |
443 | 代理流量 | AzureCloud |
*xt.table.core.chinacloudapi.cn |
443 | 代理流量 | AzureCloud |
*xt.queue.core.chinacloudapi.cn |
443 | 代理流量 | AzureCloud |
下表列出了会话主机虚拟机可能还需要访问的其他服务的可选 URL:
| 地址 | 出站 TCP 端口 | 目的 | Azure 云世纪互联 |
|---|---|---|---|
| *.chinacloudapi.cn | 443 | 对 Azure Online Services 进行的身份验证 | login.chinacloudapi.cn |
| *.events.data.microsoft.com | 443 | 遥测服务 | 无 |
| www.msftconnecttest.com | 443 | 检测 OS 是否已连接到 Internet | 无 |
| *.prod.do.dsp.mp.microsoft.com | 443 | Windows 更新 | 无 |
| *.sfx.ms | 443 | OneDrive 客户端软件更新 | oneclient.sfx.ms |
| *.digicert.com | 443 | 证书吊销检查 | 无 |
| *.azure-dns.com | 443 | Azure DNS 解析 | 无 |
| *.azure-dns.net | 443 | Azure DNS 解析 | 无 |
提示
对于涉及服务流量的 URL,必须使用通配符 (*)。 如果不想对与代理相关的流量使用通配符,以下是在不指定通配符的情况下查找要使用的特定 URL 的方法:
- 确保会话主机虚拟机已注册到主机池。
- 打开“事件查看器”,转到“Windows 日志”>“应用程序”>“WVD-Agent”,查找事件 ID 3701。
- 取消阻止在事件 ID 3701 下找到的 URL。 事件 ID 3701 下的 URL 是特定于区域的。 你需要对要在其中部署会话主机虚拟机的每个 Azure 区域的相关 URL 重复此过程。
此列表不包括 Microsoft Entra ID 或 Office 365 等其他服务的 URL。 可在 Office 365 URL 和 IP 地址范围的 ID 10 下找到 Microsoft Entra URL。
服务标记和 FQDN 标记
虚拟网络服务标记表示给定 Azure 服务的一组 IP 地址前缀。 Microsoft 会管理服务标记包含的地址前缀,并在地址更改时自动更新服务标记,从而尽量简化网络安全规则的频繁更新。 可在网络安全组 (NSG) 和 Azure 防火墙规则中使用服务标记来限制出站网络访问。 还可以在用户定义的路由 (UDR) 中使用服务标记来自定义流量路由行为。
Azure 防火墙支持将 Azure 虚拟桌面作为 FQDN 标记。 有关详细信息,请参阅使用 Azure 防火墙保护 Azure 虚拟桌面部署。
建议使用 FQDN 标记或服务标记(而不是 URL)来防止服务问题。 列出的 URL 和标记只对应于 Azure 虚拟桌面站点和资源。 它们不包括 Microsoft Entra ID 等其他服务的 URL。 对于其他服务,请参阅可用的服务标记。
Azure 虚拟桌面目前没有可通过取消阻止它们来允许网络流量的 IP 地址范围列表。 仅支持取消阻止特定 URL。 如果使用的是下一代防火墙 (NGFW),则需要使用专门为 Azure IP 创建的动态列表来确保你可以进行连接。
远程桌面客户端
用于连接到 Azure 虚拟桌面的任何远程桌面客户端都必须可以访问以下 URL。 根据所使用的云选择相关选项卡。 若要获取可靠的客户端体验,必须打开这些 URL。 不支持阻止访问这些 URL,否则会影响服务功能。
| 地址 | 出站 TCP 端口 | 目的 | 客户端 | 由世纪互联运营的 Microsoft Azure |
|---|---|---|---|---|
| *.wvd.azure.cn | 443 | 服务流量 | All | *.wvd.azure.cn |
| *.servicebus.chinacloudapi.cn | 443 | 排查数据问题 | All | *.servicebus.chinacloudapi.cn |
| go.microsoft.com | 443 | Microsoft FWLink | All | 无 |
| aka.ms | 443 | Microsoft URL 缩短符 | All | 无 |
| learn.microsoft.com | 443 | 文档 | All | 无 |
| privacy.microsoft.com | 443 | 隐私声明 | All | 无 |
| query.prod.cms.rt.microsoft.com | 443 | 客户端更新 | Windows 桌面 | 无 |
这些 URL 仅对应于客户端站点和资源。 此列表不包括 Microsoft Entra ID 或 Office 365 等其他服务的 URL。 可在 Office 365 URL 和 IP 地址范围的 ID 10 下找到 Microsoft Entra URL。
后续步骤
若要了解如何在 Azure 防火墙中为 Azure 虚拟桌面部署取消阻止这些 URL,请参阅使用 Azure 防火墙保护 Azure 虚拟桌面。