Netzwerkendpunkte für Microsoft Intune
In diesem Artikel werden IP-Adressen und Porteinstellungen aufgeführt, die für Proxyeinstellungen in Ihren Microsoft Intune-Bereitstellungen erforderlich sind.
Als rein cloudbasierter Dienst erfordert Intune keine lokale Infrastruktur wie Server oder Gateways.
Zugriff für verwaltete Geräte
Sie müssen die Kommunikation für Intune aktivieren, um Geräte hinter Firewalls und Proxyservern zu verwalten.
Hinweis
Die Informationen in diesem Abschnitt gelten auch für den Microsoft Intune Certificate Connector. Der Connector hat die gleichen Netzwerkanforderungen wie verwaltete Geräte.
Die Endpunkte in diesem Artikel ermöglichen den Zugriff auf die in den folgenden Tabellen angegebenen Ports.
Für einige Aufgaben erfordert Intune nicht authentifizierten Proxyserverzugriff auf manage.microsoft.com, *.azureedge.net und graph.microsoft.com.
Hinweis
Die ÜBERPRÜFUNG des SSL-Datenverkehrs wird für "*.manage.microsoft.com"-, "*.dm.microsoft.com"-Endpunkte oder die im Konformitätsabschnitt aufgeführten ENDPUNKTe (Device Health Attestation, DHA) nicht unterstützt.
Sie können die Proxyservereinstellungen auf einzelnen Clientcomputern festlegen. Sie können zudem Gruppenrichtlinieneinstellungen verwenden, um die Einstellungen für alle Clientcomputer hinter einem bestimmten Proxyserver anzupassen.
Für verwaltete Geräte sind Konfigurationen erforderlich, über die Alle Benutzer über Firewalls auf Dienste zugreifen können.
PowerShell-Skript
Um die Konfiguration von Diensten über Firewalls zu vereinfachen, haben wir das Onboarding mit dem Office 365-Endpunktdiensts vorgenommen. Derzeit wird über ein PowerShell-Skript auf die Intune Endpunktinformationen zugegriffen. Es gibt weitere abhängige Dienste für Intune, die bereits als Teil des Microsoft 365-Diensts abgedeckt und als "erforderlich" gekennzeichnet sind. Dienste, die bereits von Microsoft 365 abgedeckt werden, sind nicht im Skript enthalten, um Duplizierung zu vermeiden.
Mithilfe des folgenden PowerShell-Skripts können Sie die Liste der IP-Adressen für den Intune-Dienst abrufen.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips
Mithilfe des folgenden PowerShell-Skripts können Sie die Liste der FQDNs abrufen, die von Intune und abhängigen Diensten verwendet werden. Wenn Sie das Skript ausführen, können sich die URLs in der Skriptausgabe von den URLs in den folgenden Tabellen unterscheiden. Stellen Sie mindestens sicher, dass Sie die URLs in die Tabellen einschließen.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls
Das Skript bietet eine praktische Methode zum Auflisten und Überprüfen aller Dienste, die von Intune und Autopilot an einem Ort benötigt werden. Vom Endpunktdienst können zusätzliche Eigenschaften zurückgegeben werden, z. B. die Category-Eigenschaft, die angibt, ob der FQDN oder die IP als Zulassen, Optimieren oder Standard konfiguriert werden soll.
Endpunkte
Außerdem benötigen Sie FQDNs, die im Rahmen der Microsoft 365-Anforderungen abgedeckt werden. Die folgenden Tabellen zeigen den Dienst, an den sie gebunden sind, und die Liste der zurückgegebenen URLs.
Die in den Tabellen angezeigten Datenspalten sind:
ID: Die ID-Nummer der Zeile, auch als Endpunktsatz bezeichnet. Diese ID entspricht der ID, die vom Webdienst für den Endpunktsatz zurückgegeben wird.
Kategorie: Zeigt an, ob der Endpunktsatz als "Optimieren", "Zulassen" oder " Standard" kategorisiert ist. In dieser Spalte wird auch aufgelistet, welche Endpunktsätze für netzwerkkonnektivität erforderlich sind. Für Endpunktsätze, die nicht über Netzwerkkonnektivität verfügen müssen, stellen wir Hinweise in diesem Feld bereit, um anzugeben, welche Funktionalität fehlen würde, wenn der Endpunktsatz blockiert wird. Wenn Sie einen gesamten Dienstbereich ausschließen, ist für die als erforderlich aufgeführten Endpunktsätze keine Konnektivität erforderlich.
Informationen zu diesen Kategorien und Anleitungen für deren Verwaltung finden Sie unter Neue Microsoft 365-Endpunktkategorien.
ER: Dies ist Ja/True, wenn der Endpunktsatz über Azure ExpressRoute mit Microsoft 365-Routenpräfixen unterstützt wird. Die BGP-Community, die die angezeigten Routenpräfixe enthält, entspricht dem aufgeführten Dienstbereich. Wenn ER den Wert No/False aufweist, wird ExpressRoute für diesen Endpunktsatz nicht unterstützt.
Adressen: Listen die FQDNs oder Die Domänennamen und IP-Adressbereiche für den Endpunktsatz. Beachten Sie, dass ein IP-Adressbereich im CIDR-Format vorliegt und viele einzelne IP-Adressen im angegebenen Netzwerk enthalten kann.
Ports: Listen die TCP- oder UDP-Ports, die mit aufgelisteten IP-Adressen kombiniert werden, um den Netzwerkendpunkt zu bilden. Möglicherweise stellen Sie eine Duplizierung in IP-Adressbereichen fest, in denen verschiedene Ports aufgeführt sind.
Intune Kerndienst
Hinweis
Wenn die verwendete Firewall es Ihnen ermöglicht, Firewallregeln mithilfe eines Domänennamens zu erstellen, verwenden Sie die *.manage.microsoft.com und manage.microsoft.com Domäne. Wenn der von Ihnen verwendete Firewallanbieter es Ihnen jedoch nicht erlaubt, eine Firewallregel mit einem Domänennamen zu erstellen, empfehlen wir Ihnen, die genehmigte Liste aller Subnetze in diesem Abschnitt zu verwenden.
ID | Beschr. | Kategorie | ER | Addresses | Ports |
---|---|---|---|---|---|
163 | Intune Client- und Hostdienst | Zulassen Erforderlich |
False | *.manage.microsoft.com manage.microsoft.com EnterpriseEnrollment.manage.microsoft.com 104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29, 104.208.197.64/27, 172.160.217.160/27, 172.201.237.160/27, 172.202.86.192/27, 172.205.63.0/25, 172.212.214.0/25, 172.215.131.0/27, 20.168.189.128/27, 20.199.207.192/28, 20.204.194.128/31, 20.208.149.192/27, 20.208.157.128/27, 20.214.131.176/29, 20.43.129.0/24, 20.91.147.72/29, 4.145.74.224/27, 4.150.254.64/27, 4.154.145.224/27, 4.200.254.32/27, 4.207.244.0/27, 4.213.25.64/27, 4.213.86.128/25, 4.216.205.32/27, 4.237.143.128/25, 40.84.70.128/25, 48.218.252.128/25, 57.151.0.192/27, 57.153.235.0/25, 57.154.140.128/25, 57.154.195.0/25, 57.155.45.128/25, 68.218.134.96/27, 74.224.214.64/27, 74.242.35.0/25, 172.208.170.0/25, 74.241.231.0/25, 74.242.184.128/25 |
TCP: 80, 443 |
172 | MDM-Übermittlungsoptimierung | Standard Erforderlich |
False | *.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com |
TCP: 80, 443 |
170 | MEM – Win32Apps | Standard Erforderlich |
False | swda01-mscdn.manage.microsoft.com swda02-mscdn.manage.microsoft.com swdb01-mscdn.manage.microsoft.com swdb02-mscdn.manage.microsoft.com swdc01-mscdn.manage.microsoft.com swdc02-mscdn.manage.microsoft.com swdd01-mscdn.manage.microsoft.com swdd02-mscdn.manage.microsoft.com swdin01-mscdn.manage.microsoft.com swdin02-mscdn.manage.microsoft.com |
TCP: 443 |
97 | Consumer Outlook.com, OneDrive, Geräteauthentifizierung und Microsoft-Konto | Standard Erforderlich |
False | account.live.com login.live.com |
TCP: 443 |
190 | Endpunktermittlung | Standard Erforderlich |
False | go.microsoft.com |
TCP: 80, 443 |
189 | Abhängigkeit – Featurebereitstellung | Standard Erforderlich |
False | config.edge.skype.com |
TCP: 443 |
Autopilot-Abhängigkeiten
ID | Beschr. | Kategorie | ER | Addresses | Ports |
---|---|---|---|---|---|
164 | Autopilot – Windows Update | Standard Erforderlich |
False | *.windowsupdate.com *.dl.delivery.mp.microsoft.com *.prod.do.dsp.mp.microsoft.com *.delivery.mp.microsoft.com *.update.microsoft.com tsfe.trafficshaping.dsp.mp.microsoft.com adl.windows.com |
TCP: 80, 443 |
165 | Autopilot – NTP-Synchronisierung | Standard Erforderlich |
False | time.windows.com |
UDP: 123 |
169 | Autopilot – WNS-Abhängigkeiten | Standard Erforderlich |
False | clientconfig.passport.net windowsphone.com *.s-microsoft.com c.s-microsoft.com |
TCP: 443 |
173 | Autopilot – Abhängigkeiten der Bereitstellung von Drittanbietern | Standard Erforderlich |
False | ekop.intel.com ekcert.spserv.microsoft.com ftpm.amd.com |
TCP: 443 |
182 | Autopilot – Diagnoseupload | Standard Erforderlich |
False | lgmsapeweu.blob.core.windows.net lgmsapewus2.blob.core.windows.net lgmsapesea.blob.core.windows.net lgmsapeaus.blob.core.windows.net lgmsapeind.blob.core.windows.net |
TCP: 443 |
Remotehilfe
ID | Beschr. | Kategorie | ER | Addresses | Ports | Hinweise |
---|---|---|---|---|---|---|
181 | MEM – Remotehilfe-Feature | Standard Erforderlich |
False | *.support.services.microsoft.com remoteassistance.support.services.microsoft.com rdprelayv3eastusprod-0.support.services.microsoft.com *.trouter.skype.com remoteassistanceprodacs.communication.azure.com edge.skype.com aadcdn.msftauth.net aadcdn.msauth.net alcdn.msauth.net wcpstatic.microsoft.com *.aria.microsoft.com browser.pipe.aria.microsoft.com *.events.data.microsoft.com v10.events.data.microsoft.com *.monitor.azure.com js.monitor.azure.com edge.microsoft.com *.trouter.communication.microsoft.com go.trouter.communication.microsoft.com *.trouter.teams.microsoft.com trouter2-usce-1-a.trouter.teams.microsoft.com api.flightproxy.skype.com ecs.communication.microsoft.com remotehelp.microsoft.com trouter-azsc-usea-0-a.trouter.skype.com |
TCP: 443 | |
187 | Abhängigkeit – Remotehilfe Web-Pubsub | Standard Erforderlich |
False | *.webpubsub.azure.com AMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com |
TCP: 443 | |
188 | Remotehilfe Abhängigkeit für GCC-Kunden | Standard Erforderlich |
False | remoteassistanceweb-gcc.usgov.communication.azure.us gcc.remotehelp.microsoft.com gcc.relay.remotehelp.microsoft.com *.gov.teams.microsoft.us |
TCP: 443 |
Intune Abhängigkeiten
In diesem Abschnitt sind in den folgenden Tabellen die Intune Abhängigkeiten sowie die Ports und Dienste aufgeführt, auf die der Intune Client zugreift.
- Abhängigkeiten der Windows-Pushbenachrichtigungsdienste
- Abhängigkeiten der Übermittlungsoptimierung
- Apple-Abhängigkeiten
- Android AOSP-Abhängigkeiten
WNS-Abhängigkeiten (Windows Push Notification Services)
ID | Beschr. | Kategorie | ER | Addresses | Ports |
---|---|---|---|---|---|
171 | MEM – WNS-Abhängigkeiten | Standard Erforderlich |
False | *.notify.windows.com *.wns.windows.com sinwns1011421.wns.windows.com sin.notify.windows.com |
TCP: 443 |
Bei von Intune verwalteten Windows-Geräten, die mithilfe von mobiler Geräteverwaltung verwaltet werden, müssen für Geräteaktionen und andere sofortige Aktivitäten die Windows-Pushbenachrichtigungsdienste verwendet werden. Weitere Informationen finden Sie unter Zulassen von Windows Notification-Datenverkehr durch Unternehmensfirewalls.
Abhängigkeiten der Übermittlungsoptimierung
ID | Beschr. | Kategorie | ER | Addresses | Ports |
---|---|---|---|---|---|
172 | MDM : Abhängigkeiten zur Übermittlungsoptimierung | Standard Erforderlich |
False | *.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com |
TCP: 80, 443 |
Portanforderungen : Für die Kommunikation zwischen Client und Dienst wird HTTP oder HTTPS über Port 80/443 verwendet. Optional verwendet die Übermittlungsoptimierung für Peer-to-Peer-Datenverkehr 7680 für TCP/IP und Teredo an Port 3544 für NAT-Traversal. Weitere Informationen finden Sie in der Dokumentation zur Übermittlungsoptimierung.
Proxyanforderungen : Um die Übermittlungsoptimierung verwenden zu können, müssen Sie Bytebereichsanforderungen zulassen. Weitere Informationen finden Sie unter Proxyanforderungen für die Übermittlungsoptimierung.
Firewallanforderungen : Lassen Sie die folgenden Hostnamen durch Ihre Firewall zu, um die Übermittlungsoptimierung zu unterstützen. Für die Kommunikation zwischen Clients und dem Clouddienst zur Übermittlungsoptimierung:
- *.do.dsp.mp.microsoft.com
Für Metadaten der Übermittlungsoptimierung:
- *.dl.delivery.mp.microsoft.com
Apple-Abhängigkeiten
ID | Beschr. | Kategorie | ER | Addresses | Ports |
---|---|---|---|---|---|
178 | MEM – Apple-Abhängigkeiten | Standard Erforderlich |
False | itunes.apple.com *.itunes.apple.com *.mzstatic.com *.phobos.apple.com phobos.itunes-apple.com.akadns.net 5-courier.push.apple.com phobos.apple.com ocsp.apple.com ax.itunes.apple.com ax.itunes.apple.com.edgesuite.net s.mzstatic.com a1165.phobos.apple.com |
TCP: 80, 443, 5223 |
Weitere Informationen finden Sie in den folgenden Ressourcen:
- Verwenden von Apple-Produkten in Unternehmensnetzwerken
- Von Apple-Softwareprodukten verwendete TCP- und UDP-Ports
- Informationen zu macOS-, iOS- und iTunes-Server-Hostverbindungen und iTunes-Hintergrundprozessen
- Wenn Ihre macOS- und iOS-Clients keine Apple Push-Benachrichtigungen empfangen
Android AOSP-Abhängigkeiten
ID | Beschr. | Kategorie | ER | Addresses | Ports |
---|---|---|---|---|---|
179 | MEM – Android AOSP-Abhängigkeit | Standard Erforderlich |
False | intunecdnpeasd.azureedge.net |
TCP: 443 |
Hinweis
Da Google Mobile Services in China nicht verfügbar ist, können von Intune verwaltete Geräte in China keine Features nutzen, die Google Mobile Services erfordern. Zu diesen Features gehören: Google Play Protect-Funktionen wie der SafetyNet-Gerätenachweis, die Verwaltung von Apps über den Google Play-Store und Android Enterprise-Funktionen (siehe Google-Dokumentation). Darüber hinaus erfolgt die Kommunikation mit dem Microsoft Intune-Dienst in der Intune-Unternehmensportal-App für Android über Google Mobile Services. Da Google Play Services in China nicht verfügbar ist, kann es bis zu 8 Stunden dauern, bis einige Aufgaben abgeschlossen sind. Weitere Informationen finden Sie unter Einschränkungen der Intune Verwaltung, wenn GMS nicht verfügbar ist.
Android-Portinformationen : Je nachdem, wie Sie Android-Geräte verwalten möchten, müssen Sie möglicherweise die Google Android Enterprise-Ports und/oder die Android-Pushbenachrichtigung öffnen. Weitere Informationen zu den unterstützten Verwaltungsmethoden für Android finden Sie in der Dokumentation zur Android-Registrierung.
Android Enterprise-Abhängigkeiten
Google Android Enterprise – Google stellt die Dokumentation der erforderlichen Netzwerkports und Zielhostnamen im Android Enterprise Bluebook im Abschnitt Firewall dieses Dokuments bereit.
Android-Pushbenachrichtigung: Intune verwendet Google Firebase Cloud Messaging (FCM) für Pushbenachrichtigungen, um Geräteaktionen und Check-Ins auszulösen. Dies ist sowohl für Android-Geräteadministrator als auch für Android Enterprise erforderlich. Informationen zu den FCM-Netzwerkanforderungen finden Sie in Google unter FCM-Ports und Ihre Firewall.
Authentifizierungsabhängigkeiten
ID | Beschr. | Kategorie | ER | Addresses | Ports |
---|---|---|---|---|---|
56 | Authentifizierung und Identität umfasst Azure Active Directory- und Azure AD-bezogene Dienste. | Zulassen Erforderlich |
Wahr | login.microsoftonline.com graph.windows.net |
TCP: 80, 443 |
150 | Der Office-Anpassungsdienst bietet Office 365 ProPlus Bereitstellungskonfiguration, Anwendungseinstellungen und cloudbasierte Richtlinienverwaltung. | Standard | False | *.officeconfig.msocdn.com config.office.com |
TCP: 443 |
59 | Identitätsunterstützungsdienste & CDNs. | Standard Erforderlich |
False | enterpriseregistration.windows.net |
TCP: 80, 443 |
Weitere Informationen findest du unter Office 365 URLs und IP-Adressbereiche.
Netzwerkanforderungen für PowerShell-Skripts und Win32-Apps
Wenn Sie Intune verwenden, um PowerShell-Skripts oder Win32-Apps bereitzustellen, müssen Sie auch Zugriff auf Endpunkte gewähren, in denen sich Ihr Mandant derzeit befindet.
Um Ihren Mandantenstandort oder Ihre Azure Scale Unit (ASU) zu ermitteln, melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Mandantenverwaltungsdetails> aus. Der Speicherort befindet sich unter Mandantenstandort, z. B. „Nordamerika 0501“ oder „Europa 0202“. Suchen Sie in der folgenden Tabelle nach der passenden Nummer. Diese Zeile gibt an, welchen Speichernamen und CDN-Endpunkten Der Zugriff gewährt werden soll. Die Zeilen unterscheiden sich durch die geografische Region, wie durch die ersten beiden Buchstaben in den Namen (na = Nordamerika, eu = Europa, ap = Asien-Pazifik) angegeben. Ihr Mandantenstandort ist eine dieser drei Regionen, obwohl der tatsächliche geografische Standort Ihres organization woanders liegt.
Hinweis
Http-Teilantwort zulassen ist für Skripts & Win32 Apps-Endpunkte erforderlich.
Azure-Skalierungseinheit | Speichername | CDN | Port |
---|---|---|---|
AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0601 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901 |
naprodimedatapri naprodimedatasec naprodimedatahotfix |
naprodimedatapri.azureedge.net naprodimedatasec.azureedge.net naprodimedatahotfix.azureedge.net imeswda-afd-primary.manage.microsoft.com imeswda-afd-secondary.manage.microsoft.com imeswda-afd-hotfix.manage.microsoft.com |
TCP: 443 |
AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701 |
euprodimedatapri euprodimedatasec euprodimedatahotfix |
euprodimedatapri.azureedge.net euprodimedatasec.azureedge.net euprodimedatahotfix.azureedge.net imeswdb-afd-primary.manage.microsoft.com imeswdb-afd-secondary.manage.microsoft.com imeswdb-afd-hotfix.manage.microsoft.com |
TCP: 443 |
AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUC0601 AMSUD0101 |
approdimedatapri approdimedatasec approdimedatahotifx |
approdimedatapri.azureedge.net approdimedatasec.azureedge.net approdimedatahotfix.azureedge.net imeswdc-afd-primary.manage.microsoft.com imeswdc-afd-secondary.manage.microsoft.com imeswdc-afd-hotfix.manage.microsoft.com |
TCP: 443 |
Netzwerkanforderungen für macOS-App- und Skriptbereitstellungen
Wenn Sie Intune verwenden, um Apps oder Skripts unter macOS bereitzustellen, müssen Sie auch Zugriff auf Endpunkte gewähren, in denen sich Ihr Mandant derzeit befindet.
Um Ihren Mandantenstandort oder Ihre Azure Scale Unit (ASU) zu ermitteln, melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Mandantenverwaltungsdetails> aus. Der Speicherort befindet sich unter Mandantenstandort, z. B. „Nordamerika 0501“ oder „Europa 0202“. Suchen Sie in der folgenden Tabelle nach der passenden Nummer. Diese Zeile gibt an, welchen Speichernamen und CDN-Endpunkten Der Zugriff gewährt werden soll. Die Zeilen unterscheiden sich durch die geografische Region, wie durch die ersten beiden Buchstaben in den Namen (na = Nordamerika, eu = Europa, ap = Asien-Pazifik) angegeben. Ihr Mandantenstandort ist eine dieser drei Regionen, obwohl der tatsächliche geografische Standort Ihres organization woanders liegt.
Azure-Skalierungseinheit | CDN | Port |
---|---|---|
AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0601 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901 |
macsidecar.manage.microsoft.com | TCP: 443 |
AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701 |
macsidecareu.manage.microsoft.com | TCP: 443 |
AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUC0601 AMSUD0101 |
macsidecarap.manage.microsoft.com | TCP: 443 |
Microsoft Store
Verwaltete Windows-Geräte, die den Microsoft Store verwenden – entweder zum Erwerben, Installieren oder Aktualisieren von Apps – benötigen Zugriff auf diese Endpunkte.
Microsoft Store-API (AppInstallManager):
- displaycatalog.mp.microsoft.com
- purchase.md.mp.microsoft.com
- licensing.mp.microsoft.com
- storeedgefd.dsx.mp.microsoft.com
Windows Update-Agent:
Ausführliche Informationen finden Sie in den folgenden Ressourcen:
- Verwalten von Verbindungsendpunkten für Windows 11 Enterprise
- Verwalten von Verbindungsendpunkten für Windows 10 Enterprise Version 21H2
Download von Win32-Inhalten:
Speicherorte und Endpunkte zum Herunterladen von Win32-Inhalten sind pro Anwendung eindeutig und werden vom externen Herausgeber bereitgestellt. Sie können den Speicherort für jede Win32 Store-App mit dem folgenden Befehl auf einem Testsystem ermitteln (Sie können die [PackageId] für eine Store-App abrufen, indem Sie auf die Eigenschaft Paketbezeichner der App verweisen, nachdem Sie sie zu Microsoft Intune hinzugefügt haben):
winget show [PackageId]
Die Eigenschaft Installer-URL zeigt entweder den externen Downloadspeicherort oder den regionsbasierten (von Microsoft gehosteten) Fallbackcache an, je nachdem, ob der Cache verwendet wird. Beachten Sie, dass sich der Speicherort des Inhaltsdownloads zwischen dem Cache und dem externen Speicherort ändern kann.
Von Microsoft gehosteter Fallbackcache für Win32-Apps:
- Variiert je nach Region, Beispiel: sparkcdneus2.azureedge.net, sparkcdnwus2.azureedge.net
Übermittlungsoptimierung (optional, für Peering erforderlich):
Weitere Informationen finden Sie in der folgenden Ressource:
Migrieren von Konformitätsrichtlinien für den Geräteintegritätsnachweis zum Microsoft Azure-Nachweis
Wenn ein Kunde eine der Einstellungen für die Windows 10/11-Konformitätsrichtlinie – Geräteintegrität aktiviert, beginnt Windows 11 Geräte, einen Microsoft Azure Attestation-Dienst (MAA) basierend auf ihrem Intune Mandantenstandort zu verwenden. Windows 10- und GCCH/DOD-Umgebungen verwenden jedoch weiterhin den vorhandenen DHA-Endpunkt "has.spserv.microsoft.com" für den Geräteintegritätsnachweis und ist von dieser Änderung nicht betroffen.
Wenn ein Kunde über Firewallrichtlinien verfügt, die den Zugriff auf den neuen Intune MAA-Dienst für Windows 11 verhindern, wird Windows 11 Geräte mit zugewiesenen Konformitätsrichtlinien unter Verwendung einer der Geräteintegritätseinstellungen (BitLocker, sicherer Start, Codeintegrität) nicht konform, da sie die MAA-Nachweisendpunkte für ihren Standort nicht erreichen können.
Stellen Sie sicher, dass keine Firewallregeln vorhanden sind, die ausgehenden HTTPS/443-Datenverkehr blockieren, und dass für die in diesem Abschnitt aufgeführten Endpunkte basierend auf dem Standort Ihres Intune Mandanten keine Überprüfung des SSL-Datenverkehrs vorhanden ist.
Navigieren Sie zum Intune Admin Center >Mandantenverwaltung Mandantenverwaltung>> Status Mandantendetails finden Sie unter Mandantenstandort.
'https://intunemaape1.eus.attest.azure.net'
'https://intunemaape2.eus2.attest.azure.net'
'https://intunemaape3.cus.attest.azure.net'
'https://intunemaape4.wus.attest.azure.net'
'https://intunemaape5.scus.attest.azure.net'
'https://intunemaape6.ncus.attest.azure.net'
Windows Update for Business-Bereitstellungsdienst
Weitere Informationen zu den erforderlichen Endpunkten für den Windows Update for Business-Bereitstellungsdienst finden Sie unter Voraussetzungen für den Windows Update for Business-Bereitstellungsdienst.
Endpunktanalysen
Weitere Informationen zu den erforderlichen Endpunkten für die Endpunktanalyse finden Sie unter Proxykonfiguration der Endpunktanalyse.
Microsoft Defender für Endpunkt
Weitere Informationen zum Konfigurieren der Defender für Endpunkt-Konnektivität finden Sie unter Konnektivitätsanforderungen.
Um die Verwaltung der Sicherheitseinstellungen von Defender für Endpunkt zu unterstützen, lassen Sie die folgenden Hostnamen durch Ihre Firewall zu. Für die Kommunikation zwischen Clients und dem Clouddienst:
*.dm.microsoft.com: Die Verwendung eines Wildcards unterstützt die Clouddienstendpunkte, die für die Registrierung, das Einchecken und die Berichterstellung verwendet werden und sich bei der Skalierung des Diensts ändern können.
Wichtig
Die SSL-Überprüfung wird auf Endpunkten, die für Microsoft Defender for Endpoint erforderlich sind, nicht unterstützt.
Microsoft Intune Endpoint Privilege Management
Um die Verwaltung von Endpunktberechtigungen zu unterstützen, lassen Sie die folgenden Hostnamen an TCP-Port 443 durch Ihre Firewall zu.
Für die Kommunikation zwischen Clients und dem Clouddienst:
*.dm.microsoft.com: Die Verwendung eines Wildcards unterstützt die Clouddienstendpunkte, die für die Registrierung, das Einchecken und die Berichterstellung verwendet werden und sich bei der Skalierung des Diensts ändern können.
*.events.data.microsoft.com: Wird von Intune verwalteten Geräten verwendet, um optionale Berichtsdaten an den Intune Datensammlungsendpunkt zu senden.
Wichtig
Die SSL-Überprüfung wird für Endpunkte, die für die Endpoint Privilege Management-Verwaltung erforderlich sind, nicht unterstützt.
Weitere Informationen finden Sie in der Übersicht über die Endpoint Privilege Management-Verwaltung.
Verwandte Themen
URLs und IP-Adressbereiche für Office 365
Microsoft 365 – Überblick über die Netzwerkkonnektivität
Netzwerke für die Inhaltsübermittlung (Content Delivery Networks, CDNs)
Andere Endpunkte, die nicht im Office 365-Webdienst für IP-Adressen und URLs enthalten sind