Freigeben über


Netzwerkendpunkte für Microsoft Intune

In diesem Artikel werden IP-Adressen und Porteinstellungen aufgeführt, die für Proxyeinstellungen in Ihren Microsoft Intune-Bereitstellungen erforderlich sind.

Als rein cloudbasierter Dienst erfordert Intune keine lokale Infrastruktur wie Server oder Gateways.

Zugriff für verwaltete Geräte

Sie müssen die Kommunikation für Intune aktivieren, um Geräte hinter Firewalls und Proxyservern zu verwalten.

Hinweis

Die Informationen in diesem Abschnitt gelten auch für den Microsoft Intune Certificate Connector. Der Connector hat die gleichen Netzwerkanforderungen wie verwaltete Geräte.

  • Die Endpunkte in diesem Artikel ermöglichen den Zugriff auf die in den folgenden Tabellen angegebenen Ports.

  • Für einige Aufgaben erfordert Intune nicht authentifizierten Proxyserverzugriff auf manage.microsoft.com, *.azureedge.net und graph.microsoft.com.

    Hinweis

    Die ÜBERPRÜFUNG des SSL-Datenverkehrs wird für "*.manage.microsoft.com"-, "*.dm.microsoft.com"-Endpunkte oder die im Konformitätsabschnitt aufgeführten ENDPUNKTe (Device Health Attestation, DHA) nicht unterstützt.

Sie können die Proxyservereinstellungen auf einzelnen Clientcomputern festlegen. Sie können zudem Gruppenrichtlinieneinstellungen verwenden, um die Einstellungen für alle Clientcomputer hinter einem bestimmten Proxyserver anzupassen.

Für verwaltete Geräte sind Konfigurationen erforderlich, über die Alle Benutzer über Firewalls auf Dienste zugreifen können.

PowerShell-Skript

Um die Konfiguration von Diensten über Firewalls zu vereinfachen, haben wir das Onboarding mit dem Office 365-Endpunktdiensts vorgenommen. Derzeit wird über ein PowerShell-Skript auf die Intune Endpunktinformationen zugegriffen. Es gibt weitere abhängige Dienste für Intune, die bereits als Teil des Microsoft 365-Diensts abgedeckt und als "erforderlich" gekennzeichnet sind. Dienste, die bereits von Microsoft 365 abgedeckt werden, sind nicht im Skript enthalten, um Duplizierung zu vermeiden.

Mithilfe des folgenden PowerShell-Skripts können Sie die Liste der IP-Adressen für den Intune-Dienst abrufen.

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips

Mithilfe des folgenden PowerShell-Skripts können Sie die Liste der FQDNs abrufen, die von Intune und abhängigen Diensten verwendet werden. Wenn Sie das Skript ausführen, können sich die URLs in der Skriptausgabe von den URLs in den folgenden Tabellen unterscheiden. Stellen Sie mindestens sicher, dass Sie die URLs in die Tabellen einschließen.

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls

Das Skript bietet eine praktische Methode zum Auflisten und Überprüfen aller Dienste, die von Intune und Autopilot an einem Ort benötigt werden. Vom Endpunktdienst können zusätzliche Eigenschaften zurückgegeben werden, z. B. die Category-Eigenschaft, die angibt, ob der FQDN oder die IP als Zulassen, Optimieren oder Standard konfiguriert werden soll.

Endpunkte

Außerdem benötigen Sie FQDNs, die im Rahmen der Microsoft 365-Anforderungen abgedeckt werden. Die folgenden Tabellen zeigen den Dienst, an den sie gebunden sind, und die Liste der zurückgegebenen URLs.

Die in den Tabellen angezeigten Datenspalten sind:

  • ID: Die ID-Nummer der Zeile, auch als Endpunktsatz bezeichnet. Diese ID entspricht der ID, die vom Webdienst für den Endpunktsatz zurückgegeben wird.

  • Kategorie: Zeigt an, ob der Endpunktsatz als "Optimieren", "Zulassen" oder " Standard" kategorisiert ist. In dieser Spalte wird auch aufgelistet, welche Endpunktsätze für netzwerkkonnektivität erforderlich sind. Für Endpunktsätze, die nicht über Netzwerkkonnektivität verfügen müssen, stellen wir Hinweise in diesem Feld bereit, um anzugeben, welche Funktionalität fehlen würde, wenn der Endpunktsatz blockiert wird. Wenn Sie einen gesamten Dienstbereich ausschließen, ist für die als erforderlich aufgeführten Endpunktsätze keine Konnektivität erforderlich.

    Informationen zu diesen Kategorien und Anleitungen für deren Verwaltung finden Sie unter Neue Microsoft 365-Endpunktkategorien.

  • ER: Dies ist Ja/True, wenn der Endpunktsatz über Azure ExpressRoute mit Microsoft 365-Routenpräfixen unterstützt wird. Die BGP-Community, die die angezeigten Routenpräfixe enthält, entspricht dem aufgeführten Dienstbereich. Wenn ER den Wert No/False aufweist, wird ExpressRoute für diesen Endpunktsatz nicht unterstützt.

  • Adressen: Listen die FQDNs oder Die Domänennamen und IP-Adressbereiche für den Endpunktsatz. Beachten Sie, dass ein IP-Adressbereich im CIDR-Format vorliegt und viele einzelne IP-Adressen im angegebenen Netzwerk enthalten kann.

  • Ports: Listen die TCP- oder UDP-Ports, die mit aufgelisteten IP-Adressen kombiniert werden, um den Netzwerkendpunkt zu bilden. Möglicherweise stellen Sie eine Duplizierung in IP-Adressbereichen fest, in denen verschiedene Ports aufgeführt sind.

Intune Kerndienst

Hinweis

Wenn die verwendete Firewall es Ihnen ermöglicht, Firewallregeln mithilfe eines Domänennamens zu erstellen, verwenden Sie die *.manage.microsoft.com und manage.microsoft.com Domäne. Wenn der von Ihnen verwendete Firewallanbieter es Ihnen jedoch nicht erlaubt, eine Firewallregel mit einem Domänennamen zu erstellen, empfehlen wir Ihnen, die genehmigte Liste aller Subnetze in diesem Abschnitt zu verwenden.

ID Beschr. Kategorie ER Addresses Ports
163 Intune Client- und Hostdienst Zulassen
Erforderlich
False *.manage.microsoft.com
manage.microsoft.com
EnterpriseEnrollment.manage.microsoft.com
104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29, 104.208.197.64/27, 172.160.217.160/27, 172.201.237.160/27, 172.202.86.192/27, 172.205.63.0/25, 172.212.214.0/25, 172.215.131.0/27, 20.168.189.128/27, 20.199.207.192/28, 20.204.194.128/31, 20.208.149.192/27, 20.208.157.128/27, 20.214.131.176/29, 20.43.129.0/24, 20.91.147.72/29, 4.145.74.224/27, 4.150.254.64/27, 4.154.145.224/27, 4.200.254.32/27, 4.207.244.0/27, 4.213.25.64/27, 4.213.86.128/25, 4.216.205.32/27, 4.237.143.128/25, 40.84.70.128/25, 48.218.252.128/25, 57.151.0.192/27, 57.153.235.0/25, 57.154.140.128/25, 57.154.195.0/25, 57.155.45.128/25, 68.218.134.96/27, 74.224.214.64/27, 74.242.35.0/25, 172.208.170.0/25, 74.241.231.0/25, 74.242.184.128/25
TCP: 80, 443
172 MDM-Übermittlungsoptimierung Standard
Erforderlich
False *.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
TCP: 80, 443
170 MEM – Win32Apps Standard
Erforderlich
False swda01-mscdn.manage.microsoft.com
swda02-mscdn.manage.microsoft.com
swdb01-mscdn.manage.microsoft.com
swdb02-mscdn.manage.microsoft.com
swdc01-mscdn.manage.microsoft.com
swdc02-mscdn.manage.microsoft.com
swdd01-mscdn.manage.microsoft.com
swdd02-mscdn.manage.microsoft.com
swdin01-mscdn.manage.microsoft.com
swdin02-mscdn.manage.microsoft.com
TCP: 443
97 Consumer Outlook.com, OneDrive, Geräteauthentifizierung und Microsoft-Konto Standard
Erforderlich
False account.live.com
login.live.com
TCP: 443
190 Endpunktermittlung Standard
Erforderlich
False go.microsoft.com TCP: 80, 443
189 Abhängigkeit – Featurebereitstellung Standard
Erforderlich
False config.edge.skype.com
TCP: 443

Autopilot-Abhängigkeiten

ID Beschr. Kategorie ER Addresses Ports
164 Autopilot – Windows Update Standard
Erforderlich
False *.windowsupdate.com
*.dl.delivery.mp.microsoft.com
*.prod.do.dsp.mp.microsoft.com
*.delivery.mp.microsoft.com
*.update.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com
adl.windows.com
TCP: 80, 443
165 Autopilot – NTP-Synchronisierung Standard
Erforderlich
False time.windows.com UDP: 123
169 Autopilot – WNS-Abhängigkeiten Standard
Erforderlich
False clientconfig.passport.net
windowsphone.com
*.s-microsoft.com
c.s-microsoft.com
TCP: 443
173 Autopilot – Abhängigkeiten der Bereitstellung von Drittanbietern Standard
Erforderlich
False ekop.intel.com
ekcert.spserv.microsoft.com
ftpm.amd.com
TCP: 443
182 Autopilot – Diagnoseupload Standard
Erforderlich
False lgmsapeweu.blob.core.windows.net
lgmsapewus2.blob.core.windows.net
lgmsapesea.blob.core.windows.net
lgmsapeaus.blob.core.windows.net
lgmsapeind.blob.core.windows.net
TCP: 443

Remotehilfe

ID Beschr. Kategorie ER Addresses Ports Hinweise
181 MEM – Remotehilfe-Feature Standard
Erforderlich
False *.support.services.microsoft.com
remoteassistance.support.services.microsoft.com
rdprelayv3eastusprod-0.support.services.microsoft.com
*.trouter.skype.com
remoteassistanceprodacs.communication.azure.com
edge.skype.com
aadcdn.msftauth.net
aadcdn.msauth.net
alcdn.msauth.net
wcpstatic.microsoft.com
*.aria.microsoft.com
browser.pipe.aria.microsoft.com
*.events.data.microsoft.com
v10.events.data.microsoft.com
*.monitor.azure.com
js.monitor.azure.com
edge.microsoft.com
*.trouter.communication.microsoft.com
go.trouter.communication.microsoft.com
*.trouter.teams.microsoft.com
trouter2-usce-1-a.trouter.teams.microsoft.com
api.flightproxy.skype.com
ecs.communication.microsoft.com
remotehelp.microsoft.com
trouter-azsc-usea-0-a.trouter.skype.com
TCP: 443
187 Abhängigkeit – Remotehilfe Web-Pubsub Standard
Erforderlich
False *.webpubsub.azure.com
AMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com
TCP: 443
188 Remotehilfe Abhängigkeit für GCC-Kunden Standard
Erforderlich
False remoteassistanceweb-gcc.usgov.communication.azure.us
gcc.remotehelp.microsoft.com
gcc.relay.remotehelp.microsoft.com
*.gov.teams.microsoft.us
TCP: 443

Intune Abhängigkeiten

In diesem Abschnitt sind in den folgenden Tabellen die Intune Abhängigkeiten sowie die Ports und Dienste aufgeführt, auf die der Intune Client zugreift.

WNS-Abhängigkeiten (Windows Push Notification Services)

ID Beschr. Kategorie ER Addresses Ports
171 MEM – WNS-Abhängigkeiten Standard
Erforderlich
False *.notify.windows.com
*.wns.windows.com
sinwns1011421.wns.windows.com
sin.notify.windows.com
TCP: 443

Bei von Intune verwalteten Windows-Geräten, die mithilfe von mobiler Geräteverwaltung verwaltet werden, müssen für Geräteaktionen und andere sofortige Aktivitäten die Windows-Pushbenachrichtigungsdienste verwendet werden. Weitere Informationen finden Sie unter Zulassen von Windows Notification-Datenverkehr durch Unternehmensfirewalls.

Abhängigkeiten der Übermittlungsoptimierung

ID Beschr. Kategorie ER Addresses Ports
172 MDM : Abhängigkeiten zur Übermittlungsoptimierung Standard
Erforderlich
False *.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
TCP: 80, 443

Portanforderungen : Für die Kommunikation zwischen Client und Dienst wird HTTP oder HTTPS über Port 80/443 verwendet. Optional verwendet die Übermittlungsoptimierung für Peer-to-Peer-Datenverkehr 7680 für TCP/IP und Teredo an Port 3544 für NAT-Traversal. Weitere Informationen finden Sie in der Dokumentation zur Übermittlungsoptimierung.

Proxyanforderungen : Um die Übermittlungsoptimierung verwenden zu können, müssen Sie Bytebereichsanforderungen zulassen. Weitere Informationen finden Sie unter Proxyanforderungen für die Übermittlungsoptimierung.

Firewallanforderungen : Lassen Sie die folgenden Hostnamen durch Ihre Firewall zu, um die Übermittlungsoptimierung zu unterstützen. Für die Kommunikation zwischen Clients und dem Clouddienst zur Übermittlungsoptimierung:

  • *.do.dsp.mp.microsoft.com

Für Metadaten der Übermittlungsoptimierung:

  • *.dl.delivery.mp.microsoft.com

Apple-Abhängigkeiten

ID Beschr. Kategorie ER Addresses Ports
178 MEM – Apple-Abhängigkeiten Standard
Erforderlich
False itunes.apple.com
*.itunes.apple.com
*.mzstatic.com
*.phobos.apple.com
phobos.itunes-apple.com.akadns.net
5-courier.push.apple.com
phobos.apple.com
ocsp.apple.com
ax.itunes.apple.com
ax.itunes.apple.com.edgesuite.net
s.mzstatic.com
a1165.phobos.apple.com
TCP: 80, 443, 5223

Weitere Informationen finden Sie in den folgenden Ressourcen:

Android AOSP-Abhängigkeiten

ID Beschr. Kategorie ER Addresses Ports
179 MEM – Android AOSP-Abhängigkeit Standard
Erforderlich
False intunecdnpeasd.azureedge.net
TCP: 443

Hinweis

Da Google Mobile Services in China nicht verfügbar ist, können von Intune verwaltete Geräte in China keine Features nutzen, die Google Mobile Services erfordern. Zu diesen Features gehören: Google Play Protect-Funktionen wie der SafetyNet-Gerätenachweis, die Verwaltung von Apps über den Google Play-Store und Android Enterprise-Funktionen (siehe Google-Dokumentation). Darüber hinaus erfolgt die Kommunikation mit dem Microsoft Intune-Dienst in der Intune-Unternehmensportal-App für Android über Google Mobile Services. Da Google Play Services in China nicht verfügbar ist, kann es bis zu 8 Stunden dauern, bis einige Aufgaben abgeschlossen sind. Weitere Informationen finden Sie unter Einschränkungen der Intune Verwaltung, wenn GMS nicht verfügbar ist.

Android-Portinformationen : Je nachdem, wie Sie Android-Geräte verwalten möchten, müssen Sie möglicherweise die Google Android Enterprise-Ports und/oder die Android-Pushbenachrichtigung öffnen. Weitere Informationen zu den unterstützten Verwaltungsmethoden für Android finden Sie in der Dokumentation zur Android-Registrierung.

Android Enterprise-Abhängigkeiten

Google Android Enterprise – Google stellt die Dokumentation der erforderlichen Netzwerkports und Zielhostnamen im Android Enterprise Bluebook im Abschnitt Firewall dieses Dokuments bereit.

Android-Pushbenachrichtigung: Intune verwendet Google Firebase Cloud Messaging (FCM) für Pushbenachrichtigungen, um Geräteaktionen und Check-Ins auszulösen. Dies ist sowohl für Android-Geräteadministrator als auch für Android Enterprise erforderlich. Informationen zu den FCM-Netzwerkanforderungen finden Sie in Google unter FCM-Ports und Ihre Firewall.

Authentifizierungsabhängigkeiten

ID Beschr. Kategorie ER Addresses Ports
56 Authentifizierung und Identität umfasst Azure Active Directory- und Azure AD-bezogene Dienste. Zulassen
Erforderlich
Wahr login.microsoftonline.com
graph.windows.net
TCP: 80, 443
150 Der Office-Anpassungsdienst bietet Office 365 ProPlus Bereitstellungskonfiguration, Anwendungseinstellungen und cloudbasierte Richtlinienverwaltung. Standard False *.officeconfig.msocdn.com
config.office.com
TCP: 443
59 Identitätsunterstützungsdienste & CDNs. Standard
Erforderlich
False enterpriseregistration.windows.net
TCP: 80, 443

Weitere Informationen findest du unter Office 365 URLs und IP-Adressbereiche.

Netzwerkanforderungen für PowerShell-Skripts und Win32-Apps

Wenn Sie Intune verwenden, um PowerShell-Skripts oder Win32-Apps bereitzustellen, müssen Sie auch Zugriff auf Endpunkte gewähren, in denen sich Ihr Mandant derzeit befindet.

Um Ihren Mandantenstandort oder Ihre Azure Scale Unit (ASU) zu ermitteln, melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Mandantenverwaltungsdetails> aus. Der Speicherort befindet sich unter Mandantenstandort, z. B. „Nordamerika 0501“ oder „Europa 0202“. Suchen Sie in der folgenden Tabelle nach der passenden Nummer. Diese Zeile gibt an, welchen Speichernamen und CDN-Endpunkten Der Zugriff gewährt werden soll. Die Zeilen unterscheiden sich durch die geografische Region, wie durch die ersten beiden Buchstaben in den Namen (na = Nordamerika, eu = Europa, ap = Asien-Pazifik) angegeben. Ihr Mandantenstandort ist eine dieser drei Regionen, obwohl der tatsächliche geografische Standort Ihres organization woanders liegt.

Hinweis

Http-Teilantwort zulassen ist für Skripts & Win32 Apps-Endpunkte erforderlich.

Azure-Skalierungseinheit Speichername CDN Port
AMSUA0601
AMSUA0602
AMSUA0101
AMSUA0102
AMSUA0201
AMSUA0202
AMSUA0401
AMSUA0402
AMSUA0501
AMSUA0502
AMSUA0601
AMSUA0701
AMSUA0702
AMSUA0801
AMSUA0901
naprodimedatapri
naprodimedatasec
naprodimedatahotfix
naprodimedatapri.azureedge.net
naprodimedatasec.azureedge.net
naprodimedatahotfix.azureedge.net
imeswda-afd-primary.manage.microsoft.com
imeswda-afd-secondary.manage.microsoft.com
imeswda-afd-hotfix.manage.microsoft.com
TCP: 443
AMSUB0101
AMSUB0102
AMSUB0201
AMSUB0202
AMSUB0301
AMSUB0302
AMSUB0501
AMSUB0502
AMSUB0601
AMSUB0701
euprodimedatapri
euprodimedatasec
euprodimedatahotfix
euprodimedatapri.azureedge.net
euprodimedatasec.azureedge.net
euprodimedatahotfix.azureedge.net
imeswdb-afd-primary.manage.microsoft.com
imeswdb-afd-secondary.manage.microsoft.com
imeswdb-afd-hotfix.manage.microsoft.com
TCP: 443
AMSUC0101
AMSUC0201
AMSUC0301
AMSUC0501
AMSUC0601
AMSUD0101
approdimedatapri
approdimedatasec
approdimedatahotifx
approdimedatapri.azureedge.net
approdimedatasec.azureedge.net
approdimedatahotfix.azureedge.net
imeswdc-afd-primary.manage.microsoft.com
imeswdc-afd-secondary.manage.microsoft.com
imeswdc-afd-hotfix.manage.microsoft.com
TCP: 443

Netzwerkanforderungen für macOS-App- und Skriptbereitstellungen

Wenn Sie Intune verwenden, um Apps oder Skripts unter macOS bereitzustellen, müssen Sie auch Zugriff auf Endpunkte gewähren, in denen sich Ihr Mandant derzeit befindet.

Um Ihren Mandantenstandort oder Ihre Azure Scale Unit (ASU) zu ermitteln, melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Mandantenverwaltungsdetails> aus. Der Speicherort befindet sich unter Mandantenstandort, z. B. „Nordamerika 0501“ oder „Europa 0202“. Suchen Sie in der folgenden Tabelle nach der passenden Nummer. Diese Zeile gibt an, welchen Speichernamen und CDN-Endpunkten Der Zugriff gewährt werden soll. Die Zeilen unterscheiden sich durch die geografische Region, wie durch die ersten beiden Buchstaben in den Namen (na = Nordamerika, eu = Europa, ap = Asien-Pazifik) angegeben. Ihr Mandantenstandort ist eine dieser drei Regionen, obwohl der tatsächliche geografische Standort Ihres organization woanders liegt.

Azure-Skalierungseinheit CDN Port
AMSUA0601
AMSUA0602
AMSUA0101
AMSUA0102
AMSUA0201
AMSUA0202
AMSUA0401
AMSUA0402
AMSUA0501
AMSUA0502
AMSUA0601
AMSUA0701
AMSUA0702
AMSUA0801
AMSUA0901
macsidecar.manage.microsoft.com TCP: 443
AMSUB0101
AMSUB0102
AMSUB0201
AMSUB0202
AMSUB0301
AMSUB0302
AMSUB0501
AMSUB0502
AMSUB0601
AMSUB0701
macsidecareu.manage.microsoft.com TCP: 443
AMSUC0101
AMSUC0201
AMSUC0301
AMSUC0501
AMSUC0601
AMSUD0101
macsidecarap.manage.microsoft.com TCP: 443

Microsoft Store

Verwaltete Windows-Geräte, die den Microsoft Store verwenden – entweder zum Erwerben, Installieren oder Aktualisieren von Apps – benötigen Zugriff auf diese Endpunkte.

Microsoft Store-API (AppInstallManager):

  • displaycatalog.mp.microsoft.com
  • purchase.md.mp.microsoft.com
  • licensing.mp.microsoft.com
  • storeedgefd.dsx.mp.microsoft.com

Windows Update-Agent:

Ausführliche Informationen finden Sie in den folgenden Ressourcen:

Download von Win32-Inhalten:

Speicherorte und Endpunkte zum Herunterladen von Win32-Inhalten sind pro Anwendung eindeutig und werden vom externen Herausgeber bereitgestellt. Sie können den Speicherort für jede Win32 Store-App mit dem folgenden Befehl auf einem Testsystem ermitteln (Sie können die [PackageId] für eine Store-App abrufen, indem Sie auf die Eigenschaft Paketbezeichner der App verweisen, nachdem Sie sie zu Microsoft Intune hinzugefügt haben):

winget show [PackageId]

Die Eigenschaft Installer-URL zeigt entweder den externen Downloadspeicherort oder den regionsbasierten (von Microsoft gehosteten) Fallbackcache an, je nachdem, ob der Cache verwendet wird. Beachten Sie, dass sich der Speicherort des Inhaltsdownloads zwischen dem Cache und dem externen Speicherort ändern kann.

Von Microsoft gehosteter Fallbackcache für Win32-Apps:

  • Variiert je nach Region, Beispiel: sparkcdneus2.azureedge.net, sparkcdnwus2.azureedge.net

Übermittlungsoptimierung (optional, für Peering erforderlich):

Weitere Informationen finden Sie in der folgenden Ressource:

Migrieren von Konformitätsrichtlinien für den Geräteintegritätsnachweis zum Microsoft Azure-Nachweis

Wenn ein Kunde eine der Einstellungen für die Windows 10/11-Konformitätsrichtlinie – Geräteintegrität aktiviert, beginnt Windows 11 Geräte, einen Microsoft Azure Attestation-Dienst (MAA) basierend auf ihrem Intune Mandantenstandort zu verwenden. Windows 10- und GCCH/DOD-Umgebungen verwenden jedoch weiterhin den vorhandenen DHA-Endpunkt "has.spserv.microsoft.com" für den Geräteintegritätsnachweis und ist von dieser Änderung nicht betroffen.

Wenn ein Kunde über Firewallrichtlinien verfügt, die den Zugriff auf den neuen Intune MAA-Dienst für Windows 11 verhindern, wird Windows 11 Geräte mit zugewiesenen Konformitätsrichtlinien unter Verwendung einer der Geräteintegritätseinstellungen (BitLocker, sicherer Start, Codeintegrität) nicht konform, da sie die MAA-Nachweisendpunkte für ihren Standort nicht erreichen können.

Stellen Sie sicher, dass keine Firewallregeln vorhanden sind, die ausgehenden HTTPS/443-Datenverkehr blockieren, und dass für die in diesem Abschnitt aufgeführten Endpunkte basierend auf dem Standort Ihres Intune Mandanten keine Überprüfung des SSL-Datenverkehrs vorhanden ist.

Navigieren Sie zum Intune Admin Center >Mandantenverwaltung Mandantenverwaltung>> Status Mandantendetails finden Sie unter Mandantenstandort.

  • 'https://intunemaape1.eus.attest.azure.net'

  • 'https://intunemaape2.eus2.attest.azure.net'

  • 'https://intunemaape3.cus.attest.azure.net'

  • 'https://intunemaape4.wus.attest.azure.net'

  • 'https://intunemaape5.scus.attest.azure.net'

  • 'https://intunemaape6.ncus.attest.azure.net'

Windows Update for Business-Bereitstellungsdienst

Weitere Informationen zu den erforderlichen Endpunkten für den Windows Update for Business-Bereitstellungsdienst finden Sie unter Voraussetzungen für den Windows Update for Business-Bereitstellungsdienst.

Endpunktanalysen

Weitere Informationen zu den erforderlichen Endpunkten für die Endpunktanalyse finden Sie unter Proxykonfiguration der Endpunktanalyse.

Microsoft Defender für Endpunkt

Weitere Informationen zum Konfigurieren der Defender für Endpunkt-Konnektivität finden Sie unter Konnektivitätsanforderungen.

Um die Verwaltung der Sicherheitseinstellungen von Defender für Endpunkt zu unterstützen, lassen Sie die folgenden Hostnamen durch Ihre Firewall zu. Für die Kommunikation zwischen Clients und dem Clouddienst:

  • *.dm.microsoft.com: Die Verwendung eines Wildcards unterstützt die Clouddienstendpunkte, die für die Registrierung, das Einchecken und die Berichterstellung verwendet werden und sich bei der Skalierung des Diensts ändern können.

    Wichtig

    Die SSL-Überprüfung wird auf Endpunkten, die für Microsoft Defender for Endpoint erforderlich sind, nicht unterstützt.

Microsoft Intune Endpoint Privilege Management

Um die Verwaltung von Endpunktberechtigungen zu unterstützen, lassen Sie die folgenden Hostnamen an TCP-Port 443 durch Ihre Firewall zu.

Für die Kommunikation zwischen Clients und dem Clouddienst:

  • *.dm.microsoft.com: Die Verwendung eines Wildcards unterstützt die Clouddienstendpunkte, die für die Registrierung, das Einchecken und die Berichterstellung verwendet werden und sich bei der Skalierung des Diensts ändern können.

  • *.events.data.microsoft.com: Wird von Intune verwalteten Geräten verwendet, um optionale Berichtsdaten an den Intune Datensammlungsendpunkt zu senden.

    Wichtig

    Die SSL-Überprüfung wird für Endpunkte, die für die Endpoint Privilege Management-Verwaltung erforderlich sind, nicht unterstützt.

Weitere Informationen finden Sie in der Übersicht über die Endpoint Privilege Management-Verwaltung.

URLs und IP-Adressbereiche für Office 365

Microsoft 365 – Überblick über die Netzwerkkonnektivität

Netzwerke für die Inhaltsübermittlung (Content Delivery Networks, CDNs)

Andere Endpunkte, die nicht im Office 365-Webdienst für IP-Adressen und URLs enthalten sind

Verwalten von Office 365-Endpunkten