Koncové body sítě pro Microsoft Intune
Tento článek obsahuje seznam IP adres a nastavení portů potřebných pro nastavení proxy serveru v nasazeních Microsoft Intune.
Jako výhradně cloudová služba Intune nevyžaduje místní infrastrukturu, jako jsou servery nebo brány.
Přístup pro spravovaná zařízení
Pokud chcete spravovat zařízení za branami firewall a proxy servery, musíte povolit komunikaci pro Intune.
Poznámka
Informace v této části platí také pro Microsoft Intune Certificate Connector. Konektor má stejné požadavky na síť jako spravovaná zařízení.
Koncové body v tomto článku umožňují přístup k portům identifikovaným v následujících tabulkách.
U některých úloh Intune vyžaduje přístup k manage.microsoft.com, *.azureedge.net a graph.microsoft.com neověřenému proxy serveru.
Poznámka
Kontrola provozu SSL není podporovaná pro koncové body *.manage.microsoft.com, *.dm.microsoft.com nebo DHA (Device Health Attestation) uvedené v části dodržování předpisů.
Nastavení proxy serveru můžete upravit na jednotlivých klientských počítačích. Pomocí nastavení Zásady skupiny můžete také změnit nastavení pro všechny klientské počítače umístěné za zadaným proxy serverem.
Spravovaná zařízení vyžadují konfigurace, které všem uživatelům umožňují přístup ke službám prostřednictvím bran firewall.
Skript PowerShellu
Abychom usnadnili konfiguraci služeb prostřednictvím bran firewall, nasadili jsme službu Office 365 Endpoint. V tuto chvíli se k informacím o Intune koncovému bodu přistupuje prostřednictvím skriptu PowerShellu. Existují další závislé služby pro Intune, které už jsou součástí služby Microsoft 365 a jsou označené jako povinné. Služby, které už microsoft 365 pokrývá, nejsou součástí skriptu, aby nedocházelo k duplicitám.
Pomocí následujícího skriptu PowerShellu můžete načíst seznam IP adres pro službu Intune.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips
Pomocí následujícího skriptu PowerShellu můžete načíst seznam plně kvalifikovaných názvů domén používaných Intune a závislými službami. Při spuštění skriptu se adresy URL ve výstupu skriptu můžou lišit od adres URL v následujících tabulkách. Ujistěte se, že jste do tabulek zahrnuli minimálně adresy URL.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls
Skript poskytuje pohodlnou metodu pro výpis a kontrolu všech služeb požadovaných Intune a Autopilotem na jednom místě. Ze služby koncového bodu je možné vrátit další vlastnosti, například vlastnost category, která označuje, jestli má být plně kvalifikovaný název domény nebo IP adresa nakonfigurovaná jako Povolit, Optimalizovat nebo Výchozí.
Koncové body
Potřebujete také plně kvalifikované názvy domén, které jsou součástí požadavků Microsoftu 365. V následujících tabulkách najdete informace o službě, ke které jsou svázané, a seznam vrácených adres URL.
Datové sloupce zobrazené v tabulkách jsou:
ID: Číslo ID řádku, označované také jako sada koncových bodů. Toto ID je stejné jako vrácené webovou službou pro sadu koncových bodů.
Kategorie: Zobrazuje, jestli je sada koncových bodů zařazená do kategorie Optimize“ (Optimalizovat), Allow (Povolit), nebo Default“ (Výchozí). Tento sloupec také uvádí, které sady koncových bodů musí mít síťové připojení. Pro sady koncových bodů, které nemusí mít síťové připojení, poskytujeme do tohoto pole poznámky, které označují, jaké funkce by chyběly, pokud by byla sada koncových bodů blokovaná. Pokud vyloučíte celou oblast služby, sady koncových bodů uvedené jako požadované nevyžadují připojení.
O těchto kategoriích a doprovodných materiálech pro jejich správu si můžete přečíst v tématu Nové kategorie koncových bodů Microsoftu 365.
ER: Pokud je sada koncových bodů podporovaná přes Azure ExpressRoute s předponami tras Microsoftu 365, jedná se o hodnotu Ano/Pravda. Komunita protokolu BGP, která obsahuje uvedené předpony tras, odpovídá uvedené oblasti služby. Pokud je ER ne/ Nepravda, expressRoute se pro tuto sadu koncových bodů nepodporuje.
Adresy: Vypíše plně kvalifikované názvy domén nebo názvy domén se zástupnými znaky a rozsahy IP adres pro sadu koncových bodů. Mějte na paměti, že rozsah IP adres je ve formátu CIDR a může obsahovat mnoho jednotlivých IP adres v zadané síti.
Porty: Zobrazí seznam portů TCP nebo UDP, které jsou zkombinovány s uvedenými IP adresami pro vytvoření koncového bodu sítě. V rozsazích IP adres, kde jsou uvedené různé porty, si můžete všimnout určité duplicity.
Intune core service
Poznámka
Pokud brána firewall, kterou používáte, umožňuje vytvořit pravidla brány firewall pomocí názvu domény, použijte doménu *.manage.microsoft.com a manage.microsoft.com. Pokud ale poskytovatel brány firewall, který používáte, neumožňuje vytvořit pravidlo brány firewall pomocí názvu domény, doporučujeme použít seznam schválených všech podsítí v této části.
ID | Desc | Kategorie | ER | Adresy | Porty |
---|---|---|---|---|---|
163 | Intune klienta a hostitelské služby | Povolit Povinný |
Nepravda | *.manage.microsoft.com manage.microsoft.com EnterpriseEnrollment.manage.microsoft.com 104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29, 104.208.197.64/27, 172.160.217.160/27, 172.201.237.160/27, 172.202.86.192/27, 172.205.63.0/25, 172.212.214.0/25, 172.215.131.0/27, 20.168.189.128/27, 20.199.207.192/28, 20.204.194.128/31, 20.208.149.192/27, 20.208.157.128/27, 20.214.131.176/29, 20.43.129.0/24, 20.91.147.72/29, 4.145.74.224/27, 4.150.254.64/27, 4.154.145.224/27, 4.200.254.32/27, 4.207.244.0/27, 4.213.25.64/27, 4.213.86.128/25, 4.216.205.32/27, 4.237.143.128/25, 40.84.70.128/25, 48.218.252.128/25, 57.151.0.192/27, 57.153.235.0/25, 57.154.140.128/25, 57.154.195.0/25, 57.155.45.128/25, 68.218.134.96/27, 74.224.214.64/27, 74.242.35.0/25, 172.208.170.0/25, 74.241.231.0/25, 74.242.184.128/25 |
TCP: 80, 443 |
172 | Optimalizace doručení MDM | Výchozí Povinný |
Nepravda | *.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com |
TCP: 80, 443 |
170 | MEM – Win32Apps | Výchozí Povinný |
Nepravda | swda01-mscdn.manage.microsoft.com swda02-mscdn.manage.microsoft.com swdb01-mscdn.manage.microsoft.com swdb02-mscdn.manage.microsoft.com swdc01-mscdn.manage.microsoft.com swdc02-mscdn.manage.microsoft.com swdd01-mscdn.manage.microsoft.com swdd02-mscdn.manage.microsoft.com swdin01-mscdn.manage.microsoft.com swdin02-mscdn.manage.microsoft.com |
TCP: 443 |
97 | Spotřebitelské Outlook.com, OneDrive, ověřování zařízení a účet Microsoft | Výchozí Povinný |
Nepravda | account.live.com login.live.com |
TCP: 443 |
190 | Zjišťování koncových bodů | Výchozí Povinný |
Nepravda | go.microsoft.com |
TCP: 80, 443 |
189 | Závislost – nasazení funkcí | Výchozí Povinný |
Nepravda | config.edge.skype.com |
TCP: 443 |
Závislosti Autopilotu
ID | Desc | Kategorie | ER | Adresy | Porty |
---|---|---|---|---|---|
164 | Autopilot – služba Windows Update | Výchozí Povinný |
Nepravda | *.windowsupdate.com *.dl.delivery.mp.microsoft.com *.prod.do.dsp.mp.microsoft.com *.delivery.mp.microsoft.com *.update.microsoft.com tsfe.trafficshaping.dsp.mp.microsoft.com adl.windows.com |
TCP: 80, 443 |
165 | Autopilot – NTP Sync | Výchozí Povinný |
Nepravda | time.windows.com |
UDP: 123 |
169 | Autopilot – závislosti WNS | Výchozí Povinný |
Nepravda | clientconfig.passport.net windowsphone.com *.s-microsoft.com c.s-microsoft.com |
TCP: 443 |
173 | Autopilot – závislosti nasazení třetích stran | Výchozí Povinný |
Nepravda | ekop.intel.com ekcert.spserv.microsoft.com ftpm.amd.com |
TCP: 443 |
182 | Autopilot – nahrávání diagnostiky | Výchozí Povinný |
Nepravda | lgmsapeweu.blob.core.windows.net lgmsapewus2.blob.core.windows.net lgmsapesea.blob.core.windows.net lgmsapeaus.blob.core.windows.net lgmsapeind.blob.core.windows.net |
TCP: 443 |
Pomoc na dálku
ID | Desc | Kategorie | ER | Adresy | Porty | Poznámky |
---|---|---|---|---|---|---|
181 | MEM – funkce Pomoc na dálku | Výchozí Povinný |
Nepravda | *.support.services.microsoft.com remoteassistance.support.services.microsoft.com rdprelayv3eastusprod-0.support.services.microsoft.com *.trouter.skype.com remoteassistanceprodacs.communication.azure.com edge.skype.com aadcdn.msftauth.net aadcdn.msauth.net alcdn.msauth.net wcpstatic.microsoft.com *.aria.microsoft.com browser.pipe.aria.microsoft.com *.events.data.microsoft.com v10.events.data.microsoft.com *.monitor.azure.com js.monitor.azure.com edge.microsoft.com *.trouter.communication.microsoft.com go.trouter.communication.microsoft.com *.trouter.teams.microsoft.com trouter2-usce-1-a.trouter.teams.microsoft.com api.flightproxy.skype.com ecs.communication.microsoft.com remotehelp.microsoft.com trouter-azsc-usea-0-a.trouter.skype.com |
TCP: 443 | |
187 | Závislost – Pomoc na dálku web pubsub | Výchozí Povinný |
Nepravda | *.webpubsub.azure.com AMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com |
TCP: 443 | |
188 | závislost Pomoc na dálku pro zákazníky GCC | Výchozí Povinný |
Nepravda | remoteassistanceweb-gcc.usgov.communication.azure.us gcc.remotehelp.microsoft.com gcc.relay.remotehelp.microsoft.com *.gov.teams.microsoft.us |
TCP: 443 |
Intune závislostí
V této části jsou v následujících tabulkách uvedeny závislosti Intune a porty a služby, ke kterým Intune klient přistupuje.
- Závislosti Služby nabízených oznámení systému Windows
- Závislosti optimalizace doručení
- Závislosti Apple
- Závislosti AOSP pro Android
Závislosti služby WNS (Windows Push Notification Services)
ID | Desc | Kategorie | ER | Adresy | Porty |
---|---|---|---|---|---|
171 | MEM – Závislosti WNS | Výchozí Povinný |
Nepravda | *.notify.windows.com *.wns.windows.com sinwns1011421.wns.windows.com sin.notify.windows.com |
TCP: 443 |
U Intune spravovaných zařízení s Windows spravovaných pomocí mobilních Správa zařízení (MDM) vyžadují akce zařízení a další okamžité aktivity použití služby Windows Push Notification Services (WNS). Další informace najdete v tématu Povolení provozu oznámení Windows přes podnikové brány firewall.
Závislosti optimalizace doručení
ID | Desc | Kategorie | ER | Adresy | Porty |
---|---|---|---|---|---|
172 | MDM – Závislosti optimalizace doručení | Výchozí Povinný |
Nepravda | *.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com |
TCP: 80, 443 |
Požadavky na porty – Pro komunikaci klient-služba používá protokol HTTP nebo HTTPS přes port 80/443. Volitelně pro přenosy mezi dvěma účastníky používá Optimalizace doručení 7680 pro TCP/IP a Teredo na portu 3544 pro procházení NAT. Další informace najdete v dokumentaci k optimalizaci doručení.
Požadavky na proxy server – Pokud chcete použít Optimalizaci doručení, musíte povolit požadavky na rozsah bajtů. Další informace najdete v tématu Požadavky na proxy server pro optimalizaci doručení.
Požadavky na bránu firewall – Povolte následující názvy hostitelů prostřednictvím brány firewall, aby podporovaly Optimalizaci doručení. Komunikace mezi klienty a cloudovou službou Optimalizace doručení:
- *.do.dsp.mp.microsoft.com
Metadata optimalizace doručení:
- *.dl.delivery.mp.microsoft.com
Závislosti Apple
ID | Desc | Kategorie | ER | Adresy | Porty |
---|---|---|---|---|---|
178 | MEM – Závislosti Apple | Výchozí Povinný |
Nepravda | itunes.apple.com *.itunes.apple.com *.mzstatic.com *.phobos.apple.com phobos.itunes-apple.com.akadns.net 5-courier.push.apple.com phobos.apple.com ocsp.apple.com ax.itunes.apple.com ax.itunes.apple.com.edgesuite.net s.mzstatic.com a1165.phobos.apple.com |
TCP: 80, 443, 5223 |
Chcete-li se dozvědět více informací, podívejte se na následující zdroje:
- Používání produktů Apple v podnikových sítích
- Porty TCP a UDP používané softwarovými produkty Apple
- Informace o připojeních k hostiteli serverů macOS, iOS/iPadOS a iTunes a procesech iTunes na pozadí
- Pokud vaši klienti macOS a iOS/iPadOS nedostávají nabízená oznámení Apple
Závislosti AOSP pro Android
ID | Desc | Kategorie | ER | Adresy | Porty |
---|---|---|---|---|---|
179 | MEM – Závislost AOSP pro Android | Výchozí Povinný |
Nepravda | intunecdnpeasd.azureedge.net |
TCP: 443 |
Poznámka
Vzhledem k tomu, že služba Google Mobile Services není dostupná v Číně, zařízení v Číně spravovaná službou Intune nemůžou používat funkce, které vyžadují služby Google Mobile Services. Mezi tyto funkce patří: Funkce Google Play Protect, jako je ověřování zařízení SafetyNet, Správa aplikací z Obchodu Google Play, funkce Android Enterprise (viz tato dokumentace Google). Aplikace Portál společnosti Intune pro Android navíc ke komunikaci se službou Microsoft Intune používá Google Mobile Services. Vzhledem k tomu, že služby Google Play nejsou v Číně dostupné, může dokončení některých úkolů trvat až 8 hodin. Další informace najdete v tématu Omezení správy Intune při nedostupnosti GMS.
Informace o portu androidu – V závislosti na tom, jak se rozhodnete spravovat zařízení s Androidem, možná budete muset otevřít porty Google Android Enterprise nebo nabízené oznámení androidu. Další informace o podporovaných metodách správy Androidu najdete v dokumentaci k registraci Androidu.
Závislosti Androidu Enterprise
Google Android Enterprise – Google poskytuje dokumentaci k požadovaným síťovým portům a názvům cílových hostitelů v jejich android enterprise bluebooku v části Brána firewall tohoto dokumentu.
Nabízená oznámení androidu – Intune používá službu Google Firebase Cloud Messaging (FCM) k aktivaci akcí zařízení a ohlášení se změnami. To vyžaduje správce zařízení s Androidem i Android Enterprise. Informace o požadavcích na síť FCM najdete v tématu Porty FCM společnosti Google a brána firewall.
Závislosti ověřování
ID | Desc | Kategorie | ER | Adresy | Porty |
---|---|---|---|---|---|
56 | Ověřování a identita zahrnují Služby Azure Active Directory a služby související s Azure AD. | Povolit Povinný |
Pravda | login.microsoftonline.com graph.windows.net |
TCP: 80, 443 |
150 | Služba přizpůsobení Office poskytuje Office 365 ProPlus konfiguraci nasazení, nastavení aplikací a správu cloudových zásad. | Výchozí | Nepravda | *.officeconfig.msocdn.com config.office.com |
TCP: 443 |
59 | Služby podporující identitu & sítě CDN. | Výchozí Povinný |
Nepravda | enterpriseregistration.windows.net |
TCP: 80, 443 |
Další informace najdete v tématu Office 365 adres URL a rozsahů IP adres.
Požadavky na síť pro skripty PowerShellu a aplikace Win32
Pokud k nasazení skriptů PowerShellu nebo aplikací Win32 používáte Intune, musíte také udělit přístup ke koncovým bodům, ve kterých se aktuálně nachází váš tenant.
Pokud chcete zjistit umístění tenanta nebo jednotku škálování Azure (ASU), přihlaste se do Centra pro správu Microsoft Intune a zvolte Podrobnosti o správě>tenanta. Umístění je v části Umístění tenanta podobné Severní Amerika 0501 nebo Evropa 0202. V následující tabulce vyhledejte odpovídající číslo. Na řádku se dozvíte, ke kterému názvu úložiště a koncovým bodům CDN se má udělit přístup. Řádky se odlišují podle zeměpisné oblasti, jak je uvedeno prvními dvěma písmeny v názvech (na = Severní Amerika, eu = Evropa, ap = Asie a Tichomoří). Umístění vašeho tenanta je jednou z těchto tří oblastí, i když skutečná zeměpisná poloha vaší organizace může být jinde.
Poznámka
Pro skripty & koncové body aplikací Win32 se vyžaduje možnost Povolit částečnou odpověď HTTP.
Jednotka škálování Azure (ASU) | Název úložiště | CDN | Port |
---|---|---|---|
AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0601 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901 |
naprodimedatapri naprodimedatasec naprodimedatahotfix |
naprodimedatapri.azureedge.net naprodimedatasec.azureedge.net naprodimedatahotfix.azureedge.net imeswda-afd-primary.manage.microsoft.com imeswda-afd-secondary.manage.microsoft.com imeswda-afd-hotfix.manage.microsoft.com |
TCP: 443 |
AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701 |
euprodimedatapri euprodimedatasec euprodimedatahotfix |
euprodimedatapri.azureedge.net euprodimedatasec.azureedge.net euprodimedatahotfix.azureedge.net imeswdb-afd-primary.manage.microsoft.com imeswdb-afd-secondary.manage.microsoft.com imeswdb-afd-hotfix.manage.microsoft.com |
TCP: 443 |
AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUC0601 AMSUD0101 |
approdimedatapri approdimedatasec approdimedatahotifx |
approdimedatapri.azureedge.net approdimedatasec.azureedge.net approdimedatahotfix.azureedge.net imeswdc-afd-primary.manage.microsoft.com imeswdc-afd-secondary.manage.microsoft.com imeswdc-afd-hotfix.manage.microsoft.com |
TCP: 443 |
Požadavky na síť pro nasazení aplikací a skriptů pro macOS
Pokud k nasazení aplikací nebo skriptů v macOS používáte Intune, musíte také udělit přístup ke koncovým bodům, ve kterých se aktuálně nachází váš tenant.
Pokud chcete zjistit umístění tenanta nebo jednotku škálování Azure (ASU), přihlaste se do Centra pro správu Microsoft Intune a zvolte Podrobnosti o správě>tenanta. Umístění je v části Umístění tenanta podobné Severní Amerika 0501 nebo Evropa 0202. V následující tabulce vyhledejte odpovídající číslo. Na řádku se dozvíte, ke kterému názvu úložiště a koncovým bodům CDN se má udělit přístup. Řádky se odlišují podle zeměpisné oblasti, jak je uvedeno prvními dvěma písmeny v názvech (na = Severní Amerika, eu = Evropa, ap = Asie a Tichomoří). Umístění vašeho tenanta je jednou z těchto tří oblastí, i když skutečná zeměpisná poloha vaší organizace může být jinde.
Jednotka škálování Azure (ASU) | CDN | Port |
---|---|---|
AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0601 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901 |
macsidecar.manage.microsoft.com | TCP: 443 |
AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701 |
macsidecareu.manage.microsoft.com | TCP: 443 |
AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUC0601 AMSUD0101 |
macsidecarap.manage.microsoft.com | TCP: 443 |
Microsoft Store
Spravovaná zařízení s Windows, která používají Microsoft Store– k získání, instalaci nebo aktualizaci aplikací – potřebují přístup k těmto koncovým bodům.
Rozhraní API pro Microsoft Store (AppInstallManager):
- displaycatalog.mp.microsoft.com
- purchase.md.mp.microsoft.com
- licensing.mp.microsoft.com
- storeedgefd.dsx.mp.microsoft.com
agent služba Windows Update:
Podrobnosti najdete v následujících zdrojích informací:
- Správa koncových bodů připojení pro Windows 11 Enterprise
- Správa koncových bodů připojení pro Windows 10 Enterprise verze 21H2
Stažení obsahu Win32:
Umístění a koncové body pro stahování obsahu Win32 jsou pro každou aplikaci jedinečné a poskytují je externí vydavatel. Umístění každé aplikace Win32 Store můžete najít pomocí následujícího příkazu v testovacím systému ([PackageId] pro aplikaci Store můžete získat odkazem na vlastnost Identifikátor balíčku aplikace po jejím přidání do Microsoft Intune):
winget show [PackageId]
Vlastnost Adresa URL instalačního programu zobrazuje umístění externího stahování nebo záložní mezipaměť založenou na oblasti (hostované Microsoftem) podle toho, jestli se mezipaměť používá. Umístění pro stahování obsahu se může mezi mezipamětí a externím umístěním měnit.
Záložní mezipaměť aplikací Win32 hostovaná Microsoftem:
- Liší se podle oblasti, například : sparkcdneus2.azureedge.net, sparkcdnwus2.azureedge.net
Optimalizace doručení (volitelné, povinné pro partnerský vztah):
Podrobnosti najdete v následujícím zdroji informací:
Migrace zásad dodržování předpisů ověření stavu zařízení na ověření identity v Microsoft Azure
Pokud zákazník povolí některou ze zásad dodržování předpisů Windows 10/11 – Nastavení stavu zařízení, začnou Windows 11 zařízení používat službu Microsoft Azure Attestation (MAA) na základě svého Intune umístění tenanta. Prostředí Windows 10 a GCCH/DOD však budou dál používat stávající koncový bod DHA has.spserv.microsoft.com ověření stavu zařízení pro generování sestav a ověření stavu zařízení a tato změna na ně nebude mít vliv.
Pokud má zákazník zásady brány firewall, které brání přístupu k nové službě Intune MAA pro Windows 11, pak Windows 11 zařízení s přiřazenými zásadami dodržování předpisů pomocí některého z nastavení stavu zařízení (BitLocker, Zabezpečené spouštění, Integrita kódu) přestanou dodržovat předpisy, protože se nebudou moct spojit s koncovými body ověření identity MAA pro svoji polohu.
Ujistěte se, že odchozí provoz HTTPS/443 neblokují žádná pravidla brány firewall a že pro koncové body uvedené v této části není zavedena kontrola provozu SSL na základě umístění vašeho tenanta Intune.
Pokud chcete najít umístění tenanta, přejděte do centra > pro správu Intune Správa> tenantaStav>tenanta Podrobnosti o tenantovi, viz Umístění tenanta.
'https://intunemaape1.eus.attest.azure.net'
'https://intunemaape2.eus2.attest.azure.net'
'https://intunemaape3.cus.attest.azure.net'
'https://intunemaape4.wus.attest.azure.net'
'https://intunemaape5.scus.attest.azure.net'
'https://intunemaape6.ncus.attest.azure.net'
Služba nasazení Windows Update pro firmy
Další informace o požadovaných koncových bodech pro službu nasazení služba Windows Update for Business najdete v tématu požadavky služby nasazení služba Windows Update pro firmy.
Analýza koncových bodů
Další informace o požadovaných koncových bodech pro analýzu koncových bodů najdete v tématu Konfigurace proxy serveru analýzy koncových bodů.
Microsoft Defender for Endpoint
Další informace o konfiguraci připojení Defenderu pro koncové body najdete v tématu Požadavky na připojení.
Pokud chcete podporovat správu nastavení zabezpečení v Defenderu for Endpoint, povolte prostřednictvím brány firewall následující názvy hostitelů. Komunikace mezi klienty a cloudovou službou:
*.dm.microsoft.com – Použití zástupného znaku podporuje koncové body cloudové služby, které se používají pro registraci, ohlášení se změnami a vytváření sestav a které se můžou při škálování služby měnit.
Důležité
Kontrola SSL se nepodporuje u koncových bodů požadovaných pro Microsoft Defender for Endpoint.
Správa oprávnění Microsoft Intune Endpoint
Pokud chcete podporovat správu oprávnění koncového bodu, povolte následující názvy hostitelů na portu TCP 443 přes bránu firewall.
Komunikace mezi klienty a cloudovou službou:
*.dm.microsoft.com – Použití zástupného znaku podporuje koncové body cloudové služby, které se používají pro registraci, ohlášení se změnami a vytváření sestav a které se můžou při škálování služby měnit.
*.events.data.microsoft.com – používá zařízení spravovaná Intune k odesílání volitelných dat sestav do koncového bodu shromažďování dat Intune.
Důležité
Kontrola SSL se nepodporuje u koncových bodů požadovaných pro správu oprávnění koncového bodu.
Další informace najdete v tématu Přehled správy oprávnění koncového bodu.
Související témata
Rozsahy adres IP a URL Office 365.
Přehled připojení k síti Microsoftu 365
Sítě pro doručování obsahu (CDN)
Jiné koncové body, které nejsou součástí webové služby OFFICE 365 IP adresy a adresy URL