Puntos de conexión de red de Microsoft Intune
En este artículo se enumeran las direcciones IP y la configuración de puerto necesaria para la configuración de proxy en las implementaciones de Microsoft Intune.
Como servicio solo en la nube, Intune no requiere una infraestructura local, como servidores o puertas de enlace.
Acceso para dispositivos administrados
Para administrar dispositivos que se encuentren detrás de firewalls y servidores proxy, debe habilitar la comunicación para Intune.
Nota:
La información de esta sección también se aplica a Microsoft Intune Certificate Connector. El conector tiene los mismos requisitos de red que los dispositivos administrados.
Los puntos de conexión de este artículo permiten el acceso a los puertos identificados en las tablas siguientes.
Para algunas tareas, Intune requiere acceso al servidor proxy no autenticado a manage.microsoft.com, *.azureedge.net y graph.microsoft.com.
Nota:
No se admite la inspección de tráfico SSL para los puntos de conexión "*.manage.microsoft.com", "*.dm.microsoft.com" ni para los puntos de conexión de atestación de estado del dispositivo (DHA) enumerados en la sección cumplimiento.
Puede modificar la configuración del servidor proxy en equipos cliente individuales. También puede usar la opción de directiva de grupo para cambiar la configuración de todos los equipos cliente que se encuentran detrás de un servidor proxy especificado.
Los dispositivos administrados requieren configuraciones que dejen acceder a Todos los usuarios a los servicios a través de firewalls.
Script de PowerShell
Para facilitar la configuración de servicios a través de firewalls, se ha incorporado con el servicio de punto de conexión de Office 365. En este momento, se accede a la información del punto de conexión de Intune a través de un script de PowerShell. Hay otros servicios dependientes para Intune que ya están cubiertos como parte del servicio de Microsoft 365 y que están marcados como "obligatorios". Los servicios ya cubiertos por Microsoft 365 no se incluyen en el script para evitar la duplicación.
Mediante el siguiente script de PowerShell, puede recuperar la lista de direcciones IP del servicio Intune.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips
Mediante el siguiente script de PowerShell, puede recuperar la lista de FQDN usados por Intune y los servicios dependientes. Al ejecutar el script, las direcciones URL de la salida del script pueden ser diferentes de las direcciones URL de las tablas siguientes. Como mínimo, asegúrese de incluir las direcciones URL en las tablas.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls
El script proporciona un método práctico para enumerar y revisar todos los servicios necesarios para Intune y Autopilot en una sola ubicación. Se pueden devolver propiedades adicionales desde el servicio de punto de conexión, como la propiedad category, que indica si el FQDN o la dirección IP deben configurarse como Permitir, Optimizar o Predeterminado.
Puntos de conexión
También necesita FQDN que se cubran como parte de los requisitos de Microsoft 365. Como referencia, las tablas siguientes muestran el servicio al que están vinculados y la lista de direcciones URL devueltas.
Las columnas de datos que se muestran en las tablas son:
Identificador: el número de identificador de la fila, también conocido como conjunto de puntos de conexión. Este identificador es el mismo que devuelve el servicio web para el conjunto de puntos de conexión.
Categoría: muestra si el conjunto de puntos de conexión se clasifica como Optimizar, Permitir o Predeterminado. En esta columna también se enumeran los conjuntos de puntos de conexión necesarios para tener conectividad de red. En el caso de los conjuntos de puntos de conexión que no son necesarios para tener conectividad de red, se proporcionan notas en este campo para indicar qué funcionalidad faltaría si el conjunto de puntos de conexión está bloqueado. Si excluye un área de servicio completa, los conjuntos de puntos de conexión enumerados como necesarios no requieren conectividad.
Puede leer estas categorías e instrucciones para su administración en Nuevas categorías de punto de conexión de Microsoft 365.
ER: esto es Sí/True si el conjunto de puntos de conexión se admite a través de Azure ExpressRoute con prefijos de ruta de Microsoft 365. La comunidad BGP que incluye los prefijos de ruta que se muestran se alinea con el área de servicio enumerada. Cuando ER es No o False, ExpressRoute no se admite para este conjunto de puntos de conexión.
Direcciones: Listas los FQDN o los nombres de dominio comodín y los intervalos de direcciones IP del conjunto de puntos de conexión. Tenga en cuenta que un intervalo de direcciones IP está en formato CIDR y puede incluir muchas direcciones IP individuales en la red especificada.
Puertos: Listas los puertos TCP o UDP que se combinan con las direcciones IP enumeradas para formar el punto de conexión de red. Es posible que observe alguna duplicación en intervalos de direcciones IP en los que se enumeran distintos puertos.
Intune servicio principal
Nota:
Si el firewall que usa permite crear reglas de firewall mediante un nombre de dominio, use el dominio *.manage.microsoft.com y manage.microsoft.com. Sin embargo, si el proveedor de firewall que usa no le permite crear una regla de firewall con un nombre de dominio, se recomienda usar la lista aprobada de todas las subredes de esta sección.
Id. | Descripción | Categoría | EMERGENCIA | Addresses | Puertos |
---|---|---|---|---|---|
163 | Intune servicio cliente y host | Permitir Obligatorio |
Falso | *.manage.microsoft.com manage.microsoft.com EnterpriseEnrollment.manage.microsoft.com 104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.71.199.64/28, 13.73.244.48/28, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 20.49.93.160/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29 |
TCP: 80, 443 |
172 | Optimización de entrega de MDM | Predeterminada Obligatorio |
Falso | *.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com |
TCP: 80, 443 |
170 | MEM: Win32Apps | Predeterminada Obligatorio |
Falso | swda01-mscdn.manage.microsoft.com swda02-mscdn.manage.microsoft.com swdb01-mscdn.manage.microsoft.com swdb02-mscdn.manage.microsoft.com swdc01-mscdn.manage.microsoft.com swdc02-mscdn.manage.microsoft.com swdd01-mscdn.manage.microsoft.com swdd02-mscdn.manage.microsoft.com swdin01-mscdn.manage.microsoft.com swdin02-mscdn.manage.microsoft.com |
TCP: 443 |
97 | Outlook.com de consumidor, OneDrive, autenticación de dispositivos y cuenta Microsoft | Predeterminada Obligatorio |
Falso | account.live.com login.live.com |
TCP: 443 |
190 | Detección de puntos de conexión | Predeterminada Obligatorio |
Falso | go.microsoft.com |
TCP: 80, 443 |
189 | Dependencia: Implementación de características | Predeterminada Obligatorio |
Falso | config.edge.skype.com |
TCP: 443 |
Dependencias de Autopilot
Id. | Descripción | Categoría | EMERGENCIA | Addresses | Puertos |
---|---|---|---|---|---|
164 | Autopilot: Windows Update | Predeterminada Obligatorio |
Falso | *.windowsupdate.com *.dl.delivery.mp.microsoft.com *.prod.do.dsp.mp.microsoft.com *.delivery.mp.microsoft.com *.update.microsoft.com tsfe.trafficshaping.dsp.mp.microsoft.com adl.windows.com |
TCP: 80, 443 |
165 | Autopilot: sincronización NTP | Predeterminada Obligatorio |
Falso | time.windows.com |
UDP: 123 |
169 | Autopilot: dependencias de WNS | Predeterminada Obligatorio |
Falso | clientconfig.passport.net windowsphone.com *.s-microsoft.com c.s-microsoft.com |
TCP: 443 |
173 | Autopilot: dependencias de implementación de terceros | Predeterminada Obligatorio |
Falso | ekop.intel.com ekcert.spserv.microsoft.com ftpm.amd.com |
TCP: 443 |
182 | Autopilot: carga de diagnóstico | Predeterminada Obligatorio |
Falso | lgmsapeweu.blob.core.windows.net |
TCP: 443 |
Ayuda remota
Id. | Descripción | Categoría | EMERGENCIA | Addresses | Puertos | Notas |
---|---|---|---|---|---|---|
181 | MEM: característica de Ayuda remota | Predeterminada Obligatorio |
Falso | *.support.services.microsoft.com remoteassistance.support.services.microsoft.com rdprelayv3eastusprod-0.support.services.microsoft.com *.trouter.skype.com remoteassistanceprodacs.communication.azure.com edge.skype.com aadcdn.msftauth.net aadcdn.msauth.net alcdn.msauth.net wcpstatic.microsoft.com *.aria.microsoft.com browser.pipe.aria.microsoft.com *.events.data.microsoft.com v10.events.data.microsoft.com *.monitor.azure.com js.monitor.azure.com edge.microsoft.com *.trouter.communication.microsoft.com go.trouter.communication.microsoft.com *.trouter.teams.microsoft.com trouter2-usce-1-a.trouter.teams.microsoft.com api.flightproxy.skype.com ecs.communication.microsoft.com remotehelp.microsoft.com trouter-azsc-usea-0-a.trouter.skype.com |
TCP: 443 | |
187 | Dependencia: Ayuda remota web pubsub | Predeterminada Obligatorio |
Falso | *.webpubsub.azure.com AMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com |
TCP: 443 | |
188 | dependencia de Ayuda remota para clientes de GCC | Predeterminada Obligatorio |
Falso | remoteassistanceweb-gcc.usgov.communication.azure.us gcc.remotehelp.microsoft.com gcc.relay.remotehelp.microsoft.com *.gov.teams.microsoft.us |
TCP: 443 |
dependencias de Intune
En esta sección, en las tablas siguientes se enumeran las dependencias de Intune y los puertos y servicios a los que accede el cliente Intune.
- Dependencias de Windows Push Notification Services
- Dependencias de optimización de entrega
- Dependencias de Apple
- Dependencias de Android AOSP
Dependencias de Servicios de notificaciones push de Windows (WNS)
Id. | Descripción | Categoría | EMERGENCIA | Addresses | Puertos |
---|---|---|---|---|---|
171 | MEM: dependencias de WNS | Predeterminada Obligatorio |
Falso | *.notify.windows.com *.wns.windows.com sinwns1011421.wns.windows.com sin.notify.windows.com |
TCP: 443 |
En los dispositivos de Windows administrados por Intune que se administran mediante administración de dispositivos móviles (MDM), las acciones de dispositivos y otras actividades inmediatas requieren el uso de servicios de notificaciones de inserción de Windows (WNS). Para obtener más información, consulte Permitir el tráfico de notificaciones de Windows a través de firewalls empresariales.
Dependencias de optimización de entrega
Id. | Descripción | Categoría | EMERGENCIA | Addresses | Puertos |
---|---|---|---|---|---|
172 | MDM: dependencias de optimización de distribución | Predeterminada Obligatorio |
Falso | *.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com |
TCP: 80, 443 |
Requisitos de puerto : para la comunicación cliente-servicio, usa HTTP o HTTPS a través del puerto 80/443. Opcionalmente, para el tráfico punto a punto, optimización de distribución usa 7680 para TCP/IP y Teredo en el puerto 3544 para el recorrido NAT. Para obtener más información, consulte la documentación de optimización de distribución.
Requisitos de proxy : para usar optimización de distribución, debe permitir solicitudes de intervalo de bytes. Para obtener más información, vea Requisitos de proxy para la optimización de distribución.
Requisitos de firewall : permita que los siguientes nombres de host a través del firewall admitan la optimización de distribución. Para la comunicación entre los clientes y el servicio en la nube de optimización de distribución:
- *.do.dsp.mp.microsoft.com
Para los metadatos de optimización de distribución:
- *.dl.delivery.mp.microsoft.com
Dependencias de Apple
Id. | Descripción | Categoría | EMERGENCIA | Addresses | Puertos |
---|---|---|---|---|---|
178 | MEM: dependencias de Apple | Predeterminada Obligatorio |
Falso | itunes.apple.com *.itunes.apple.com *.mzstatic.com *.phobos.apple.com phobos.itunes-apple.com.akadns.net 5-courier.push.apple.com phobos.apple.com ocsp.apple.com ax.itunes.apple.com ax.itunes.apple.com.edgesuite.net s.mzstatic.com a1165.phobos.apple.com |
TCP: 80, 443, 5223 |
Para obtener más información, consulte los recursos siguientes:
- Uso de productos de Apple en redes empresariales
- Puertos TCP y UDP usados por los productos de software de Apple
- Acerca de los procesos en segundo plano de iTunes y las conexiones del host para el servidor de iTunes, iOS/iPadOS y macOS
- Si tus clientes macOS e iOS/iPadOS no reciben notificaciones push de Apple
Dependencias de Android AOSP
Id. | Descripción | Categoría | EMERGENCIA | Addresses | Puertos |
---|---|---|---|---|---|
179 | MEM: dependencia de Android AOSP | Predeterminada Obligatorio |
Falso | intunecdnpeasd.azureedge.net |
TCP: 443 |
Nota:
Como Google Mobile Services no está disponible en China, los clientes en China administrados por Intune no pueden usar características que requieran Google Mobile Services. Estas características incluyen: funciones de Google Play Protect como la atestación de dispositivos SafetyNet, la administración de aplicaciones desde Google Play Store, las funciones de Android Enterprise (consulte esta documentación de Google). Además, la aplicación Portal de empresa de Intune para Android usa Google Mobile Services para comunicarse con el servicio Microsoft Intune. Como los servicios de Google Play no están disponible en China, algunas tareas pueden tardar hasta ocho horas en completarse. Para obtener más información, vea Limitaciones de la administración de Intune cuando GMS no está disponible.
Información del puerto Android : en función de cómo elija administrar dispositivos Android, es posible que tenga que abrir los puertos de Google Android Enterprise o la notificación push de Android. Para obtener más información sobre los métodos de administración de Android admitidos, consulte la documentación de inscripción de Android.
Dependencias de Android Enterprise
Google Android Enterprise : Google proporciona documentación sobre los puertos de red y los nombres de host de destino necesarios en su Android Enterprise Bluebook, en la sección Firewall de ese documento.
Notificación push de Android: Intune usa Google Firebase Cloud Messaging (FCM) para la notificación push con el fin de desencadenar acciones y check-ins del dispositivo. Esto es necesario tanto para Android Device Administrator como para Android Enterprise. Para obtener información sobre los requisitos de red de FCM, vea los puertos de FCM y el firewall de Google.
Dependencias de autenticación
Id. | Descripción | Categoría | EMERGENCIA | Addresses | Puertos |
---|---|---|---|---|---|
56 | Autenticación e identidad, incluye servicios relacionados con Azure Active Directory y Azure AD. | Permitir Obligatorio |
Verdadero | login.microsoftonline.com graph.windows.net |
TCP: 80, 443 |
150 | El servicio de personalización de Office proporciona Office 365 ProPlus configuración de implementación, configuración de aplicaciones y administración de directivas basada en la nube. | Predeterminada | Falso | *.officeconfig.msocdn.com config.office.com |
TCP: 443 |
59 | Servicios de compatibilidad de identidades & CDN. | Predeterminada Obligatorio |
Falso | enterpriseregistration.windows.net |
TCP: 80, 443 |
Para obtener más información, vaya a Office 365 direcciones URL e intervalos de direcciones IP.
Requisitos de red para aplicaciones Win32 y scripts de PowerShell
Si usa Intune para implementar scripts de PowerShell o aplicaciones Win32, también debe conceder acceso a los puntos de conexión en los que reside actualmente el inquilino.
Para buscar la ubicación del inquilino (o Unidad de escalado de Azure (ASU), inicie sesión en el centro de administración de Microsoft Intune, elija Administración de inquilinos>Detalles del inquilino. La ubicación aparece en Ubicación de inquilino como algo semejante a Norteamérica 0501 o Europa 0202. Busque el número correspondiente en la siguiente tabla. Esa fila indica a qué nombre de almacenamiento y puntos de conexión de CDN se va a conceder acceso. Las filas se diferencian por región geográfica, como indican las dos primeras letras de los nombres (na = Norteamérica, eu = Europa, ap = Asia Pacífico). La ubicación del inquilino es una de estas tres regiones, aunque la ubicación geográfica real de la organización podría estar en otra parte.
Nota:
Se requiere la respuesta parcial DE HTTP para scripts & puntos de conexión de Win32 Apps.
Unidad de escalado de Azure (ASU) | Nombre de almacenamiento | CDN | Puerto |
---|---|---|---|
AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0601 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901 |
naprodimedatapri naprodimedatasec naprodimedatahotfix |
naprodimedatapri.azureedge.net naprodimedatasec.azureedge.net naprodimedatahotfix.azureedge.net |
TCP: 443 |
AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701 |
euprodimedatapri euprodimedatasec euprodimedatahotfix |
euprodimedatapri.azureedge.net euprodimedatasec.azureedge.net euprodimedatahotfix.azureedge.net |
TCP: 443 |
AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUC0601 AMSUD0101 |
approdimedatapri approdimedatasec approdimedatahotifx |
approdimedatapri.azureedge.net approdimedatasec.azureedge.net approdimedatahotfix.azureedge.net |
TCP: 443 |
Microsoft Store
Los dispositivos Windows administrados que usan Microsoft Store (ya sea para adquirir, instalar o actualizar aplicaciones) necesitan acceso a estos puntos de conexión.
API de Microsoft Store (AppInstallManager):
- displaycatalog.mp.microsoft.com
- purchase.md.mp.microsoft.com
- licensing.mp.microsoft.com
- storeedgefd.dsx.mp.microsoft.com
agente de Windows Update:
Para obtener más información, consulte los siguientes recursos:
- Administración de puntos de conexión para Windows 11 Empresas
- Administración de puntos de conexión para Windows 10 Enterprise, versión 21H2
Descarga de contenido de Win32:
Las ubicaciones y puntos de conexión de descarga de contenido de Win32 son únicos por aplicación y los proporciona el publicador externo. Puede encontrar la ubicación de cada aplicación de la Tienda Win32 mediante el siguiente comando en un sistema de prueba (puede obtener el [PackageId] de una aplicación de la Tienda haciendo referencia a la propiedad Identificador de paquete de la aplicación después de agregarla a Microsoft Intune):
winget show [PackageId]
La propiedad Dirección URL del instalador muestra la ubicación de descarga externa o la caché de reserva basada en regiones (hospedada por Microsoft) en función de si la caché está en uso. Tenga en cuenta que la ubicación de descarga de contenido puede cambiar entre la caché y la ubicación externa.
Caché de reserva de aplicaciones Win32 hospedadas por Microsoft:
- Varía según la región, por ejemplo: sparkcdneus2.azureedge.net, sparkcdnwus2.azureedge.net
Optimización de distribución (opcional, necesaria para el emparejamiento):
Para obtener más información, consulte el siguiente recurso:
Migración de directivas de cumplimiento de atestación de estado del dispositivo a la atestación de Microsoft Azure
Si un cliente habilita cualquiera de las directivas de cumplimiento de Windows 10/11: configuración de estado del dispositivo, los dispositivos Windows 11 comenzarán a usar un servicio de Microsoft Azure Attestation (MAA) en función de su ubicación de inquilino Intune. Sin embargo, los entornos de Windows 10 y GCCH/DOD seguirán usando el punto de conexión dha de atestación de estado de dispositivo existente "has.spserv.microsoft.com" para los informes de atestación de estado del dispositivo y no se verá afectado por este cambio.
Si un cliente tiene directivas de firewall que impiden el acceso al nuevo servicio maa de Intune para Windows 11, Windows 11 dispositivos con directivas de cumplimiento asignadas mediante cualquiera de las configuraciones de estado del dispositivo (BitLocker, Arranque seguro, Integridad de código) se quedarán fuera del cumplimiento, ya que no podrán acceder a los puntos de conexión de atestación de MAA para su ubicación.
Asegúrese de que no haya reglas de firewall que bloqueen el tráfico HTTPS/443 saliente y de que no se haya implementado la inspección del tráfico SSL para los puntos de conexión enumerados en esta sección, en función de la ubicación del inquilino de Intune.
Para buscar la ubicación del inquilino, vaya al centro>> de administración de Intune Administración de inquilinosEstado> delinquilino Detalles del inquilino, consulte Ubicación del inquilino.
'https://intunemaape1.eus.attest.azure.net'
'https://intunemaape2.eus2.attest.azure.net'
'https://intunemaape3.cus.attest.azure.net'
'https://intunemaape4.wus.attest.azure.net'
'https://intunemaape5.scus.attest.azure.net'
'https://intunemaape6.ncus.attest.azure.net'
Servicio de implementación de Windows Update para empresas
Para obtener más información sobre los puntos de conexión necesarios para el servicio de implementación de Windows Update for Business, consulte Windows Update for Business deployment service prerequisites (Requisitos previos del servicio de implementación de Windows Update for Business).
Análisis de puntos de conexión
Para obtener más información sobre los puntos de conexión necesarios para Análisis de puntos de conexión, consulte Configuración del proxy de Análisis de puntos de conexión.
Microsoft Defender para punto de conexión
Para obtener más información sobre cómo configurar la conectividad de Defender para punto de conexión, consulte Requisitos de conectividad.
Para admitir la administración de la configuración de seguridad de Defender para punto de conexión, permita los siguientes nombres de host a través del firewall. Para la comunicación entre los clientes y el servicio en la nube:
*.dm.microsoft.com: el uso de un carácter comodín admite los puntos de conexión de servicio en la nube que se usan para la inscripción, la protección y los informes, y que pueden cambiar a medida que el servicio se escala.
Importante
La inspección SSL no se admite en los puntos de conexión necesarios para Microsoft Defender para punto de conexión.
Administración con privilegios para puntos de conexión de Microsoft Intune
Para admitir la administración de privilegios de punto de conexión, permita los siguientes nombres de host en el puerto TCP 443 a través del firewall.
Para la comunicación entre los clientes y el servicio en la nube:
*.dm.microsoft.com: el uso de un carácter comodín admite los puntos de conexión de servicio en la nube que se usan para la inscripción, la protección y los informes, y que pueden cambiar a medida que el servicio se escala.
*.events.data.microsoft.com: lo usan los dispositivos administrados por Intune para enviar datos de informes opcionales al punto de conexión de recopilación de datos Intune.
Importante
La inspección SSL no se admite en los puntos de conexión necesarios para la administración de privilegios de punto de conexión.
Para obtener más información, consulte información general sobre la administración de privilegios de punto de conexión.
Temas relacionados
Direcciones URL e intervalos de direcciones IP de Office 365
Información general de conectividad de red de Microsoft 365