Azure Virtual Desktop (AVD) セッション ホストとクラウド PC Windows 365には、2 つのAzure プラットフォーム IP アドレスへの接続が必要です。 これらのアドレスは、プロビジョニング、正常性監視、ID、プラットフォーム通信をサポートするコア インフラストラクチャ サービスへのアクセスを提供します。
これらのアドレスへのトラフィックは、Azure プラットフォーム ファブリック レベルで動作します。 これは、トラフィックから FQDN ベースのエンドポイントへの動作が異なり、それに応じて処理する必要があります。
この記事では、これらの IP アドレスとは何か、なぜ重要なのか、他のエンドポイントとの違い、接続が成功したことを確認する方法について説明します。
概要
Azure Virtual Desktop セッション ホストとクラウド PC Windows 365には、次の IP アドレスへの接続が必要です。
| アドレス | プロトコル | 送信ポート | 用途 | サービス タグ |
|---|---|---|---|---|
169.254.169.254 |
TCP | 80 | Azure インスタンス メタデータ サービス (IMDS) | 該当なし |
168.63.129.16 |
TCP | 80, 32526 | セッション ホストの正常性の監視 | 該当なし |
重要
これらのアドレスは、パブリック クラウド、Azure Government、中国Azureなど、すべてのAzureリージョンとクラウド環境Azure使用されます。 いずれかのアドレスへの接続が失われると、プロビジョニングエラー、正常性レポートの問題、およびサービスの低下が発生します。
Azure インスタンス メタデータ サービス (169.254.169.254)
Azure インスタンス メタデータ サービス (IMDS) は、実行中の仮想マシンに関する情報を提供する REST API エンドポイントです。 仮想マシン (VM) 内のソフトウェアでは、IMDS を使用してAzure環境と統合します。
VM は IMDS を使用して取得します。
VM ID と構成データ
Azure サービスへの認証用のマネージド ID トークン
スケジュールされたイベントとメンテナンス通知
リージョン、可用性ゾーン、VM サイズ、ネットワーク構成などのメタデータ
アドレス 169.254.169.254 はリンクローカル IP アドレスです。 これはルーティング不可能であり、VM 内からのみアクセスできます。 このアドレスに対する要求は、物理ホストから離れることはありません。 Azureハイパーバイザーは、トラフィックをローカルでインターセプトして応答します。
IMDS はハイパーバイザー レベルで動作します。 これは、ネットワーク セキュリティ グループ、ユーザー定義ルート、またはAzure Firewallルールの影響を受けません。 ただし、ホスト ファイアウォールや VPN クライアントなど、VM 内のオペレーティング システム構成によってアクセスがブロックされる可能性があります。
Azure プラットフォームの正常性監視 (168.63.129.16)
アドレス 168.63.129.16 は、AZURE プラットフォーム サービスが VM と通信するために使用する仮想パブリック IP アドレスです。 このアドレスは WireServer エンドポイントとも呼ばれます。
VM では、次の場合にこのアドレスが使用されます。
Azure VM エージェントからの正常性の監視とハートビート通信
Azure提供された DNS を使用する場合の DNS 解決
IP アドレスの割り当てと更新のための DHCP 通信
168.63.129.16 へのトラフィックは、Azure仮想ネットワーク ファブリックを通過します。 プラットフォーム ルーティングAzureは、制限の厳しいセキュリティまたはルーティング構成のネットワークでアドレスに到達可能な状態を維持するために、特別な処理を適用します。
標準エンドポイントとの違い
Azure Virtual Desktop と Windows 365 では、コントロール プレーン サービス、Microsoft Entra IDなど、FQDN ベースのエンドポイントへの接続も必要です。これらのエンドポイントへのトラフィックは、パブリック IP アドレスへの標準インターネット トラフィックと同様に動作します。 RDP などのこのトラフィックの一部では、顧客ネットワークでの最適化が必要ですが、通常は通常のパブリック エンドポイントのように扱うことができます。
ただし、169.254.169.254 および 168.63.129.16 へのトラフィックの動作は異なります。
Azure内部およびルーティング不可能。 これらのアドレスは、Azure内部プラットフォーム インフラストラクチャの一部です。 インターネット エンドポイントではなく、パブリック DNS を介して解決せず、外部Azureまたはオンプレミス ネットワークからアクセスすることはできません。
プロキシ サーバーがこれらのアドレスに到達できないため、プロキシすることはできません。 PAC ファイル、グループ ポリシー、またはアプリケーション プロキシ設定を介して、プロキシ経由でこのトラフィックを送信しようとしても成功しません。
VPN トンネルまたはセキュリティで保護された Web ゲートウェイを経由することはできません。 完全トンネルモードまたは強制トンネル モードで動作する VPN クライアントとセキュリティで保護された Web ゲートウェイ エージェントは、VM からのすべてのトラフィックをキャプチャします。 これらのアドレスへのトラフィックをキャプチャすると、VPN トンネルまたはサードパーティのセキュリティ インフラストラクチャ経由でアドレスに到達できないため、接続が失敗します。
Azure プラットフォーム ルーティングによって部分的に保護されます。 Azureネットワークには、ファブリック レイヤーでこれらのアドレスへの接続を確保するための保護が含まれています。 0.0.0.0/0 などの既定のルートと、ほとんどのネットワーク セキュリティ グループ規則では、このトラフィックはブロックされません。 ただし、これらの保護は、VM 内の構成や、これらのアドレスまたはそのサービス タグを対象とする明示的なネットワーク 規則には適用されません。
そのため、次の構成の問題が環境内に存在しないことを確認することが重要です。
VM 内構成の問題
ほとんどの接続の問題は、ネットワーク層の構成ではなく VM 内の構成Azure原因です。
VPN クライアントとセキュリティで保護された Web ゲートウェイ エージェント
組織は、クラウド PC とセッション ホストに VPN クライアントまたはセキュリティで保護された Web ゲートウェイ エージェントをデプロイして、セキュリティ ポリシーを適用します。 例としては、Zscaler Internet Access、Microsoft Entra Internet Access、PaloAlto Global Protect などがあります。
これらのエージェントが強制トンネル モードで実行されると、すべてのトラフィックが仮想アダプターを介してリダイレクトされます。 この構成には、Azure プラットフォーム アドレスへのトラフィックを含めることができます。これにより、接続が切断されます。
チェックする内容:
Azure プラットフォーム トラフィックがローカルのままになるようにスプリット トンネリングを使用する
169.254.169.254 および 168.63.129.16 の明示的なバイパスまたは除外規則を構成する
プロキシと PAC の構成
PAC ファイル、グループ ポリシー、WinHTTP、WinINET、またはアプリケーション固有の設定を介して適用されたプロキシ設定により、VM がプラットフォーム トラフィックAzureプロキシされる可能性があります。
チェックする内容:
PAC ファイルは、これらのアドレスの直接接続を返します
プロキシ バイパス リストには両方のアドレスが含まれます
ユーザー レベルおよびマシン レベルのプロキシ設定が確認される
ホスト ファイアウォール規則
ホスト ベースのファイアウォールまたはエンドポイント保護ソフトウェアは、送信 TCP トラフィックをブロックする可能性があります。
チェックする内容:
ポート 80 で 169.254.169.254 への送信 TCP トラフィックを許可する
ポート 80 および 32526 で 168.63.129.16 への送信 TCP トラフィックを許可する
エンドポイント セキュリティとネットワーク フィルタリング ソフトウェア
ウイルス対策、エンドポイント検出 & 応答 (EDR)、またはデータ損失防止 (DLP) ツールには、ネットワーク検査機能が含まれる場合があります。
チェックする内容:
これらのツールがこれらのアドレスへのトラフィックをブロックまたは検査しないようにする
必要に応じて IP ベースの許可または除外規則を追加する
ネットワーク層の構成に関する問題のAzure
ネットワーク セキュリティ グループ
Azureは、次のエンドポイントのサービス タグを定義します。
169.254.169.254 用 AzurePlatformIMDS
AzurePlatformDNS for 168.63.129.16
これらのサービス タグを対象とする明示的な拒否規則は、接続に干渉する可能性があります。
チェックする内容:
これらのサービス タグまたはアドレスを対象とする拒否ルールを削除する
制限の厳しい deny-all 送信規則に、これらのサービス タグの明示的な許可規則が含まれるようにする
ユーザー定義ルートとネットワーク仮想アプライアンス
Azureプラットフォーム ルーティングは、通常、既定のルートに関係なく到達可能性を確保します。 ただし、明示的なルートまたは複雑なルーティング トポロジによって問題が発生する可能性があります。
チェックする内容:
169.254.169.254 または 168.63.129.16 を明示的にターゲットとするルートはありません
パス内のファイアウォールまたはネットワーク仮想アプライアンスは、これらのアドレスとポートへの送信トラフィックを許可します
ネットワーク接続の正常性チェックをAzureする
Windows 365 Enterpriseでは、Azureネットワーク接続を使用してクラウド PC をプロビジョニングします。 各接続には、ネットワーク接続を検証する自動正常性チェックが含まれています。
正常性チェックで検証される内容
Azure プラットフォーム エンドポイントへのネットワーク ファブリック接続
ネットワーク セキュリティ グループの構成
ルート テーブルの構成
Azure提供の DNS を使用した DNS 解決
検証されない正常性チェック
プロビジョニング後にインストールされた VPN クライアントまたはセキュリティで保護された Web ゲートウェイ エージェント
グループ ポリシーまたはIntuneを介して適用されるプロキシまたは PAC 構成
ファイアウォール規則またはエンドポイント セキュリティ ソフトウェアをホストする
割り当て後に VM 内で適用される構成
合格正常性チェックは、Azure ネットワークでプラットフォーム トラフィックが許可されていることを確認します。 VM 内構成が適用された後、クラウド PC またはセッション ホストがこれらのエンドポイントに到達できることを保証するものではありません。
まとめ
仮想デスクトップとWindows 365には、169.254.169.254 および 168.63.129.16 への接続が Azure必要です。 これらのエンドポイントをブロックすると、Windows 365とAzure Virtual Desktop の両方でプロビジョニングと運用上の問題が発生します。
これらのアドレスは、Azure内部プラットフォーム エンドポイントです。 これらのアドレスへのトラフィックは、VPN トンネルまたはセキュリティで保護された Web ゲートウェイを介してプロキシ、インターセプト、またはルーティングしてはなりません。
ほとんどの接続エラーは、VPN クライアント、プロキシ設定、ホスト ファイアウォール、エンドポイント セキュリティ ソフトウェアなど、VM 内の構成が原因です。 ネットワーク層の問題はあまり一般的ではありませんが、明示的なルールがこれらのアドレスまたはそのサービス タグをターゲットにしている場合に発生する可能性があります。
Azureネットワーク接続の正常性チェックでは、ネットワーク層の接続のみが検証されます。 VM 内構成の問題は検出されません。