Azure Virtual Desktop をデプロイし、ユーザーが接続できるようにするには、特定の FQDN とエンドポイントを許可する必要があります。 また、ユーザーは特定の FQDN とエンドポイントに接続して、Azure Virtual Desktop リソースにアクセスできる必要があります。 この記事では、セッション ホストとユーザーを許可するために必要な FQDN とエンドポイントの一覧を示します。
これらの FQDN とエンドポイントは、Azure Firewallやプロキシ サービスなどのファイアウォールを使用している場合にブロックされる可能性があります。 Azure Virtual Desktop でのプロキシ サービスの使用に関するガイダンスについては、「Azure Virtual Desktop のプロキシ サービスガイドライン」を参照してください。
セッション ホスト VM がこれらの FQDN とエンドポイントに接続できることをチェックするには、「Azure Virtual Desktop の必要な FQDN とエンドポイントへのアクセスを確認する」の Azure Virtual Desktop エージェント URL ツールを実行する手順に従います。 Azure Virtual Desktop エージェント URL ツールは、各 FQDN とエンドポイントを検証し、セッション ホストがそれらにアクセスできるかどうかを示します。
重要
Microsoft では、この記事に記載されている FQDN とエンドポイントがブロックされている Azure Virtual Desktop デプロイはサポートされていません。
この記事には、Microsoft Entra ID、Office 365、カスタム DNS プロバイダー、タイム サービスなど、他のサービスの FQDN とエンドポイントは含まれません。 Microsoft Entra FQDN とエンドポイントは、OFFICE 365 URL と IP アドレス範囲の ID 56、59、125 の下にあります。
サービス タグと FQDN タグ
サービス タグ は、特定の Azure サービスからの IP アドレス プレフィックスのグループを表します。 Microsoft は、サービス タグに含まれるアドレス プレフィックスを管理し、アドレスの変更に応じてサービス タグを自動的に更新し、ネットワーク セキュリティ規則に対する頻繁な更新の複雑さを最小限に抑えます。 サービス タグは、ネットワーク セキュリティ グループ (NSG) のルールで使用でき、送信ネットワーク アクセスを制限するためにAzure Firewallできます。 サービス タグは、 ユーザー定義ルート (UDR) でも使用して、トラフィック ルーティングの動作をカスタマイズできます。
Azure Firewallでは、既知の Azure やその他の Microsoft サービスに関連付けられた完全修飾ドメイン名 (FQDN) のグループを表す FQDN タグもサポートされています。 Azure Virtual Desktop には、ネットワーク トラフィックを許可する FQDN の代わりにブロックを解除できる IP アドレス範囲の一覧がありません。 次世代ファイアウォール (NGFW) を使用している場合は、Azure IP アドレス用に作成された動的リストを使用して、接続できることを確認する必要があります。 詳細については、「Azure Firewallを使用して Azure Virtual Desktop デプロイを保護する」を参照してください。
Azure Virtual Desktop には、サービス タグと FQDN タグ エントリの両方が使用できます。 サービス タグと FQDN タグを使用して、Azure ネットワーク構成を簡略化することをお勧めします。
セッション ホスト仮想マシン
次の表は、セッション ホスト VM が Azure Virtual Desktop にアクセスするために必要な FQDN とエンドポイントの一覧です。 すべてのエントリは送信されます。Azure Virtual Desktop の受信ポートを開く必要はありません。 使用しているクラウドに基づいて、関連するタブを選択します。
| Address | プロトコル | 送信ポート | 用途 | サービス タグ |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Microsoft Online Services への認証 | AzureActiveDirectory |
*.wvd.microsoft.com |
TCP | 443 | サービス トラフィック | WindowsVirtualDesktop |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | エージェント トラフィック 診断出力 |
AzureMonitor |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | エージェント トラフィック | AzureMonitor |
azkms.core.windows.net |
TCP | 1688 | Windows のライセンス認証 | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | エージェントとサイド バイ サイド (SXS) スタックの更新 | Storage |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Azure ポータルのサポート | AzureCloud |
169.254.169.254 |
TCP | 80 | Azure Instance Metadata サービス エンドポイント | 該当なし |
168.63.129.16 |
TCP | 80 | セッション ホストの正常性の監視 | 該当なし |
oneocsp.microsoft.com |
TCP | 80 | 証明書 | AzureFrontDoor.FirstParty |
www.microsoft.com |
TCP | 80 | 証明書 | 該当なし |
ctldl.windowsupdate.com |
TCP | 80 | 証明書 | 該当なし |
aka.ms |
TCP | 443 | Azure Localでのセッション ホストの展開中に使用される Microsoft URL 短縮ツール | 該当なし |
次の表に、セッション ホスト仮想マシンが他のサービスにもアクセスする必要があるオプションの FQDN とエンドポイントを示します。
| Address | プロトコル | 送信ポート | 用途 | サービス タグ |
|---|---|---|---|---|
login.windows.net |
TCP | 443 | Microsoft Online Services と Microsoft 365 にサインインする | AzureActiveDirectory |
*.events.data.microsoft.com |
TCP | 443 | テレメトリ サービス | 該当なし |
www.msftconnecttest.com |
TCP | 80 | セッション ホストがインターネットに接続されているかどうかを検出します | 該当なし |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | 該当なし |
*.sfx.ms |
TCP | 443 | OneDrive クライアント ソフトウェアのUpdates | 該当なし |
*.digicert.com |
TCP | 80 | 証明書失効チェック | 該当なし |
*.azure-dns.com |
TCP | 443 | Azure DNS 解決 | 該当なし |
*.azure-dns.net |
TCP | 443 | Azure DNS 解決 | 該当なし |
*eh.servicebus.windows.net |
TCP | 443 | 診断設定 | EventHub |
ヒント
サービス トラフィックに関係する FQDN にはワイルドカード文字 (*) を使用する必要があります。
エージェント トラフィックの場合、ワイルドカードを使用しない場合は、許可する特定の FQDN を検索する方法を次に示します。
- セッション ホストがホスト プールに登録されていることを確認します。
- セッション ホストで イベント ビューアーを開き、 Windows ログ>Application>WVD-Agent に移動し、イベント ID 3701 を探します。
- イベント ID 3701 で見つけた FQDN のブロックを解除します。 イベント ID 3701 の FQDN はリージョン固有です。 セッション ホストをデプロイする Azure リージョンごとに、関連する FQDN でこのプロセスを繰り返す必要があります。
エンド ユーザー デバイス
いずれかのリモート デスクトップ クライアントを使用して Azure Virtual Desktop に接続するデバイスは、次の FQDN とエンドポイントにアクセスできる必要があります。 信頼性の高いクライアント エクスペリエンスを実現するには、これらの FQDN とエンドポイントを許可することが不可欠です。 これらの FQDN とエンドポイントへのアクセスをブロックすることはサポートされておらず、サービス機能に影響します。
使用しているクラウドに基づいて、関連するタブを選択します。
| Address | プロトコル | 送信ポート | 用途 | クライアント |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Microsoft Online Services への認証 | すべて |
*.wvd.microsoft.com |
TCP | 443 | サービス トラフィック | すべて |
*.servicebus.windows.net |
TCP | 443 | データのトラブルシューティング | すべて |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | すべて |
aka.ms |
TCP | 443 | Microsoft URL 短縮ツール | すべて |
learn.microsoft.com |
TCP | 443 | ドキュメント | すべて |
privacy.microsoft.com |
TCP | 443 | プライバシーに関する声明 | すべて |
*.cdn.office.net |
TCP | 443 | 自動更新 | Windows デスクトップ |
graph.microsoft.com |
TCP | 443 | サービス トラフィック | すべて |
windows.cloud.microsoft |
TCP | 443 | 接続センター | すべて |
windows365.microsoft.com |
TCP | 443 | サービス トラフィック | すべて |
ecs.office.com |
TCP | 443 | 接続センター | すべて |
*.events.data.microsoft.com |
TCP | 443 | クライアント テレメトリ | すべて |
インターネット アクセスが制限された閉じたネットワーク上にいる場合は、証明書の確認のためにここに記載されている FQDN を許可する必要がある場合もあります。 Azure 証明機関の詳細 |Microsoft Learn。
次の手順
Azure Firewallでこれらの FQDN とエンドポイントのブロックを解除する方法については、「Azure Firewallを使用して Azure Virtual Desktop を保護する」を参照してください。
ネットワーク接続の詳細については、「Azure Virtual Desktop ネットワーク接続について」を参照してください。