Points de terminaison réseau pour Microsoft Intune
Cet article répertorie les adresses IP et les paramètres de port nécessaires pour les paramètres de proxy dans vos déploiements Microsoft Intune.
En tant que service cloud uniquement, Intune ne nécessite pas d’infrastructure locale telle que des serveurs ou des passerelles.
Accès pour les appareils gérés
Pour gérer les appareils qui se trouvent derrière des pare-feu et des serveurs proxy, vous devez activer la communication pour Intune.
Remarque
Les informations de cette section s’appliquent également à Microsoft Intune Certificate Connector. Le connecteur impose la même configuration réseau requise que les appareils managés.
Les points de terminaison de cet article autorisent l’accès aux ports identifiés dans les tableaux suivants.
Pour certaines tâches, Intune nécessite un accès non authentifié au serveur proxy à manage.microsoft.com, *.azureedge.net et graph.microsoft.com.
Remarque
L’inspection du trafic SSL n’est pas prise en charge pour « *.manage.microsoft.com », « *.dm.microsoft.com » ou les points de terminaison d’attestation d’intégrité de l’appareil (DHA) répertoriés dans la section conformité.
Vous pouvez modifier les paramètres du serveur proxy sur des ordinateurs clients. Vous pouvez également utiliser des paramètres de stratégie de groupe pour modifier les paramètres pour tous les ordinateurs clients situés derrière un serveur proxy spécifié.
Les appareils gérés nécessitent des configurations qui permettent à Tous les utilisateurs d’accéder à des services à travers des pare-feu.
Script PowerShell
Pour faciliter la configuration des services via des pare-feu, nous avons intégré le service de point de terminaison Office 365. À ce stade, les informations de point de terminaison Intune sont accessibles via un script PowerShell. D’autres services dépendants pour Intune sont déjà couverts dans le cadre du service Microsoft 365 et sont marqués comme « requis ». Les services déjà couverts par Microsoft 365 ne sont pas inclus dans le script pour éviter la duplication.
En utilisant le script PowerShell suivant, vous pouvez récupérer la liste des adresses IP pour le service Intune.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips
En utilisant le script PowerShell suivant, vous pouvez récupérer la liste des noms de domaine complets utilisés par Intune et les services dépendants. Lorsque vous exécutez le script, les URL dans la sortie du script peuvent être différentes des URL des tableaux suivants. Veillez au minimum à inclure les URL dans les tables.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls
Le script fournit une méthode pratique pour répertorier et examiner tous les services requis par Intune et Autopilot dans un même emplacement. Des propriétés supplémentaires peuvent être retournées à partir du service de point de terminaison, telles que la propriété category, qui indique si le nom de domaine complet ou l’adresse IP doit être configuré comme Autoriser, Optimiser ou Par défaut.
Points de terminaison
Vous avez également besoin de noms de domaine complets couverts dans le cadre des exigences de Microsoft 365. Pour référence, les tableaux suivants indiquent le service auquel ils sont liés et la liste des URL retournées.
Les colonnes de données affichées dans les tables sont les suivantes :
ID : numéro d’identification de la ligne, également appelé jeu de points de terminaison. Cet ID est identique à celui retourné par le service web pour l’ensemble de points de terminaison.
Catégorie : indique si l’ensemble de points de terminaison est classé comme Optimisé, Autoriser ou Par défaut. Cette colonne répertorie également les jeux de points de terminaison qui doivent disposer d’une connectivité réseau. Pour les jeux de points de terminaison qui ne sont pas requis pour disposer d’une connectivité réseau, nous fournissons des notes dans ce champ pour indiquer les fonctionnalités manquantes si l’ensemble de points de terminaison est bloqué. Si vous excluez une zone de service entière, les ensembles de points de terminaison répertoriés comme requis ne nécessitent pas de connectivité.
Vous pouvez en savoir plus sur ces catégories et des conseils pour leur gestion dans Nouvelles catégories de points de terminaison Microsoft 365.
ER : Cette valeur est Oui/True si l’ensemble de points de terminaison est pris en charge sur Azure ExpressRoute avec des préfixes de routage Microsoft 365. La communauté BGP qui inclut les préfixes d’itinéraire affichés s’aligne sur la zone de service répertoriée. Quand ER a la valeur No/False, ExpressRoute n’est pas pris en charge pour cet ensemble de points de terminaison.
Adresses : Listes les noms de domaine complets ou les noms de domaine génériques et les plages d’adresses IP pour le jeu de points de terminaison. Notez qu’une plage d’adresses IP est au format CIDR et peut inclure de nombreuses adresses IP individuelles dans le réseau spécifié.
Ports : Listes les ports TCP ou UDP qui sont combinés avec les adresses IP répertoriées pour former le point de terminaison réseau. Vous remarquerez peut-être une duplication dans les plages d’adresses IP où différents ports sont répertoriés.
service principal Intune
Remarque
Si le pare-feu que vous utilisez vous permet de créer des règles de pare-feu à l’aide d’un nom de domaine, utilisez le domaine *.manage.microsoft.com et manage.microsoft.com. Toutefois, si le fournisseur de pare-feu que vous utilisez ne vous permet pas de créer une règle de pare-feu à l’aide d’un nom de domaine, nous vous recommandons d’utiliser la liste approuvée de tous les sous-réseaux dans cette section.
ID | Desc | Catégorie | ER | Adresses | Ports |
---|---|---|---|---|---|
163 | Intune client et service hôte | Autoriser Obligatoire |
Faux | *.manage.microsoft.com manage.microsoft.com EnterpriseEnrollment.manage.microsoft.com 104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29, 104.208.197.64/27, 172.160.217.160/27, 172.201.237.160/27, 172.202.86.192/27, 172.205.63.0/25, 172.212.214.0/25, 172.215.131.0/27, 20.168.189.128/27, 20.199.207.192/28, 20.204.194.128/31, 20.208.149.192/27, 20.208.157.128/27, 20.214.131.176/29, 20.43.129.0/24, 20.91.147.72/29, 4.145.74.224/27, 4.150.254.64/27, 4.154.145.224/27, 4.200.254.32/27, 4.207.244.0/27, 4.213.25.64/27, 4.213.86.128/25, 4.216.205.32/27, 4.237.143.128/25, 40.84.70.128/25, 48.218.252.128/25, 57.151.0.192/27, 57.153.235.0/25, 57.154.140.128/25, 57.154.195.0/25, 57.155.45.128/25, 68.218.134.96/27, 74.224.214.64/27, 74.242.35.0/25, 172.208.170.0/25, 74.241.231.0/25, 74.242.184.128/25 |
TCP : 80, 443 |
172 | Optimisation de la distribution MDM | Par défaut Obligatoire |
Faux | *.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com |
TCP : 80, 443 |
170 | MEM - Win32Apps | Par défaut Obligatoire |
Faux | swda01-mscdn.manage.microsoft.com swda02-mscdn.manage.microsoft.com swdb01-mscdn.manage.microsoft.com swdb02-mscdn.manage.microsoft.com swdc01-mscdn.manage.microsoft.com swdc02-mscdn.manage.microsoft.com swdd01-mscdn.manage.microsoft.com swdd02-mscdn.manage.microsoft.com swdin01-mscdn.manage.microsoft.com swdin02-mscdn.manage.microsoft.com |
TCP : 443 |
97 | Outlook.com du consommateur, OneDrive, Authentification de l’appareil et compte Microsoft | Par défaut Obligatoire |
Faux | account.live.com login.live.com |
TCP : 443 |
190 | Découverte de point de terminaison | Par défaut Obligatoire |
Faux | go.microsoft.com |
TCP : 80, 443 |
189 | Dépendance - Déploiement de fonctionnalités | Par défaut Obligatoire |
Faux | config.edge.skype.com |
TCP : 443 |
Dépendances Autopilot
ID | Desc | Catégorie | ER | Adresses | Ports |
---|---|---|---|---|---|
164 | Autopilot - Windows Update | Par défaut Obligatoire |
Faux | *.windowsupdate.com *.dl.delivery.mp.microsoft.com *.prod.do.dsp.mp.microsoft.com *.delivery.mp.microsoft.com *.update.microsoft.com tsfe.trafficshaping.dsp.mp.microsoft.com adl.windows.com |
TCP : 80, 443 |
165 | Autopilot - Synchronisation NTP | Par défaut Obligatoire |
Faux | time.windows.com |
UDP : 123 |
169 | Autopilot - Dépendances WNS | Par défaut Obligatoire |
Faux | clientconfig.passport.net windowsphone.com *.s-microsoft.com c.s-microsoft.com |
TCP : 443 |
173 | Autopilot - Dépendances de déploiement tierces | Par défaut Obligatoire |
Faux | ekop.intel.com ekcert.spserv.microsoft.com ftpm.amd.com |
TCP : 443 |
182 | Autopilot - Chargement des diagnostics | Par défaut Obligatoire |
Faux | lgmsapeweu.blob.core.windows.net lgmsapewus2.blob.core.windows.net lgmsapesea.blob.core.windows.net lgmsapeaus.blob.core.windows.net lgmsapeind.blob.core.windows.net |
TCP : 443 |
Assistance à distance
ID | Desc | Catégorie | ER | Adresses | Ports | Notes |
---|---|---|---|---|---|---|
181 | MEM - fonctionnalité Assistance à distance | Par défaut Obligatoire |
Faux | *.support.services.microsoft.com remoteassistance.support.services.microsoft.com rdprelayv3eastusprod-0.support.services.microsoft.com *.trouter.skype.com remoteassistanceprodacs.communication.azure.com edge.skype.com aadcdn.msftauth.net aadcdn.msauth.net alcdn.msauth.net wcpstatic.microsoft.com *.aria.microsoft.com browser.pipe.aria.microsoft.com *.events.data.microsoft.com v10.events.data.microsoft.com *.monitor.azure.com js.monitor.azure.com edge.microsoft.com *.trouter.communication.microsoft.com go.trouter.communication.microsoft.com *.trouter.teams.microsoft.com trouter2-usce-1-a.trouter.teams.microsoft.com api.flightproxy.skype.com ecs.communication.microsoft.com remotehelp.microsoft.com trouter-azsc-usea-0-a.trouter.skype.com |
TCP : 443 | |
187 | Dépendance - Assistance à distance web pubsub | Par défaut Obligatoire |
Faux | *.webpubsub.azure.com AMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com |
TCP : 443 | |
188 | dépendance Assistance à distance pour les clients GCC | Par défaut Obligatoire |
Faux | remoteassistanceweb-gcc.usgov.communication.azure.us gcc.remotehelp.microsoft.com gcc.relay.remotehelp.microsoft.com *.gov.teams.microsoft.us |
TCP : 443 |
dépendances Intune
Dans cette section, les tableaux suivants répertorient les dépendances Intune et les ports et services auxquels le client Intune accède.
- Dépendances de Windows Push Notification Services
- Dépendances d’optimisation de la distribution
- Dépendances Apple
- Dépendances Android AOSP
Dépendances WNS (Windows Push Notification Services)
ID | Desc | Catégorie | ER | Adresses | Ports |
---|---|---|---|---|---|
171 | MEM - Dépendances WNS | Par défaut Obligatoire |
Faux | *.notify.windows.com *.wns.windows.com sinwns1011421.wns.windows.com sin.notify.windows.com |
TCP : 443 |
Pour les appareils Windows gérés par Intune à l’aide de la gestion des appareils mobiles (MDM), les actions et d’autres activités immédiates exigent l’utilisation des Services de notifications Push Windows (WNS). Pour plus d’informations, consultez Autorisation du passage du trafic de notification Windows à travers des pare-feu d’entreprise.
Dépendances d’optimisation de la distribution
ID | Desc | Catégorie | ER | Adresses | Ports |
---|---|---|---|---|---|
172 | GPM - Dépendances d’optimisation de la distribution | Par défaut Obligatoire |
Faux | *.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com |
TCP : 80, 443 |
Exigences de port : pour la communication client-service, il utilise HTTP ou HTTPS sur le port 80/443. Si vous le souhaitez, pour le trafic d’égal à égal, l’optimisation de la distribution utilise 7680 pour TCP/IP et Teredo sur le port 3544 pour la traversée NAT. Pour plus d’informations, consultez la documentation sur l’optimisation de la distribution.
Exigences de proxy : pour utiliser l’optimisation de la distribution, vous devez autoriser les demandes de plage d’octets. Pour plus d’informations, consultez Configuration requise du proxy pour l’optimisation de la distribution.
Exigences de pare-feu : autorisez les noms d’hôte suivants via votre pare-feu à prendre en charge l’optimisation de la distribution. Pour la communication entre les clients et le service cloud d’optimisation de la distribution :
- *.do.dsp.mp.microsoft.com
Pour les métadonnées d’optimisation de la distribution :
- *.dl.delivery.mp.microsoft.com
Dépendances Apple
ID | Desc | Catégorie | ER | Adresses | Ports |
---|---|---|---|---|---|
178 | MEM - Dépendances Apple | Par défaut Obligatoire |
Faux | itunes.apple.com *.itunes.apple.com *.mzstatic.com *.phobos.apple.com phobos.itunes-apple.com.akadns.net 5-courier.push.apple.com phobos.apple.com ocsp.apple.com ax.itunes.apple.com ax.itunes.apple.com.edgesuite.net s.mzstatic.com a1165.phobos.apple.com |
TCP : 80, 443, 5223 |
Pour plus d’informations, consultez les ressources suivantes :
- Utiliser les produits Apple sur les réseaux d’entreprise
- Ports TCP et UDP utilisés par les produits logiciels Apple
- À propos des connexions de macOS, iOS/iPadOS et iTunes aux serveurs hôtes et des processus exécutés en arrière-plan par iTunes
- Si vos clients macOS et iOS/iPadOS ne reçoivent pas les notifications Push d’Apple
Dépendances Android AOSP
ID | Desc | Catégorie | ER | Adresses | Ports |
---|---|---|---|---|---|
179 | MEM - Dépendance Android AOSP | Par défaut Obligatoire |
Faux | intunecdnpeasd.azureedge.net |
TCP : 443 |
Remarque
Étant donné que Google Mobile Services n’est pas disponible en Chine, les appareils en Chine gérés par Intune ne peuvent pas utiliser les fonctionnalités qui nécessitent Google Mobile Services. Ces fonctionnalités incluent : des fonctionnalités Google Play Protect telles que l’attestation d’appareil SafetyNet, la gestion des applications à partir du Google Play Store, les fonctionnalités d’Android Entreprise (voir cette documentation Google). De plus, l’application Portail d’entreprise Intune pour Android utilise Google Mobile Services pour communiquer avec le service Microsoft Intune. Étant donné que les services Google Play ne sont pas disponibles en Chine, certaines tâches peuvent nécessiter jusqu’à 8 heures pour s’exécuter. Pour plus d’informations, consultez Limitations de la gestion des Intune lorsque GMS n’est pas disponible.
Informations sur les ports Android : selon la façon dont vous choisissez de gérer les appareils Android, vous devrez peut-être ouvrir les ports Google Android Enterprise et/ou la notification Push Android. Pour plus d’informations sur les méthodes de gestion Android prises en charge, consultez la documentation relative à l’inscription Android.
Dépendances Android Enterprise
Google Android Enterprise : Google fournit une documentation sur les ports réseau requis et les noms d’hôtes de destination dans son Bluebook Android Enterprise, sous la section Pare-feu de ce document.
Notification Push Android : Intune utilise Google Firebase Cloud Messaging (FCM) pour la notification Push afin de déclencher des actions d’appareil et des case activée-ins. Cela est requis par l’administrateur d’appareil Android et Android Entreprise. Pour plus d’informations sur la configuration réseau requise pour FCM, consultez la page sur les ports FCM et votre pare-feu de Google.
Dépendances d’authentification
ID | Desc | Catégorie | ER | Adresses | Ports |
---|---|---|---|---|---|
56 | L’authentification et l’identité incluent Azure Active Directory et les services associés à Azure AD. | Autoriser Obligatoire |
Vrai | login.microsoftonline.com graph.windows.net |
TCP : 80, 443 |
150 | Le service de personnalisation Office fournit Office 365 ProPlus configuration du déploiement, les paramètres d’application et la gestion des stratégies basées sur le cloud. | Par défaut | Faux | *.officeconfig.msocdn.com config.office.com |
TCP : 443 |
59 | Services de prise en charge des identités & CDN. | Par défaut Obligatoire |
Faux | enterpriseregistration.windows.net |
TCP : 80, 443 |
Pour plus d’informations, consultez Office 365 URL et plages d’adresses IP.
Configuration réseau requise pour les scripts PowerShell et les applications Win32
Si vous utilisez Intune pour déployer des scripts PowerShell ou des applications Win32, vous devez également accorder l’accès aux points de terminaison dans lesquels votre locataire réside actuellement.
Pour rechercher l’emplacement de votre locataire ou Azure Scale Unit (ASU), connectez-vous au centre d’administration Microsoft Intune, choisissez Administration du locataire>Détails du locataire. La localisation figure sous Emplacement du locataire, par exemple Amérique du Nord 0501 ou Europe 0202. Recherchez le numéro correspondant dans le tableau suivant. Cette ligne vous indique le nom de stockage et les points de terminaison CDN auxquels accorder l’accès. Les lignes sont différenciées par région géographique, comme indiqué par les deux premières lettres des noms (na = Amérique du Nord, eu = Europe, ap = Asie-Pacifique). L’emplacement de votre locataire est l’une de ces trois régions, même si l’emplacement géographique réel de votre organization peut se trouver ailleurs.
Remarque
Autoriser la réponse partielle HTTP est requise pour les points de terminaison scripts & Win32 Apps.
Unité d’échelle Azure (ASU) | Nom de stockage | CDN | Port |
---|---|---|---|
AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0601 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901 |
naprodimedatapri naprodimedatasec naprodimedatahotfix |
naprodimedatapri.azureedge.net naprodimedatasec.azureedge.net naprodimedatahotfix.azureedge.net imeswda-afd-primary.manage.microsoft.com imeswda-afd-secondary.manage.microsoft.com imeswda-afd-hotfix.manage.microsoft.com |
TCP : 443 |
AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701 |
euprodimedatapri euprodimedatasec euprodimedatahotfix |
euprodimedatapri.azureedge.net euprodimedatasec.azureedge.net euprodimedatahotfix.azureedge.net imeswdb-afd-primary.manage.microsoft.com imeswdb-afd-secondary.manage.microsoft.com imeswdb-afd-hotfix.manage.microsoft.com |
TCP : 443 |
AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUC0601 AMSUD0101 |
approdimedatapri approdimedatasec approdimedatahotifx |
approdimedatapri.azureedge.net approdimedatasec.azureedge.net approdimedatahotfix.azureedge.net imeswdc-afd-primary.manage.microsoft.com imeswdc-afd-secondary.manage.microsoft.com imeswdc-afd-hotfix.manage.microsoft.com |
TCP : 443 |
Configuration réseau requise pour les déploiements d’applications et de scripts macOS
Si vous utilisez Intune pour déployer des applications ou des scripts sur macOS, vous devez également accorder l’accès aux points de terminaison dans lesquels votre locataire réside actuellement.
Pour rechercher l’emplacement de votre locataire ou Azure Scale Unit (ASU), connectez-vous au centre d’administration Microsoft Intune, choisissez Administration du locataire>Détails du locataire. La localisation figure sous Emplacement du locataire, par exemple Amérique du Nord 0501 ou Europe 0202. Recherchez le numéro correspondant dans le tableau suivant. Cette ligne vous indique le nom de stockage et les points de terminaison CDN auxquels accorder l’accès. Les lignes sont différenciées par région géographique, comme indiqué par les deux premières lettres des noms (na = Amérique du Nord, eu = Europe, ap = Asie-Pacifique). L’emplacement de votre locataire est l’une de ces trois régions, même si l’emplacement géographique réel de votre organization peut se trouver ailleurs.
Unité d’échelle Azure (ASU) | CDN | Port |
---|---|---|
AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0601 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901 |
macsidecar.manage.microsoft.com | TCP : 443 |
AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701 |
macsidecareu.manage.microsoft.com | TCP : 443 |
AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUC0601 AMSUD0101 |
macsidecarap.manage.microsoft.com | TCP : 443 |
Microsoft Store
Les appareils Windows gérés utilisant le Microsoft Store (pour acquérir, installer ou mettre à jour des applications) ont besoin d’accéder à ces points de terminaison.
API du Microsoft Store (AppInstallManager) :
- displaycatalog.mp.microsoft.com
- purchase.md.mp.microsoft.com
- licensing.mp.microsoft.com
- storeedgefd.dsx.mp.microsoft.com
agent Windows Update :
Pour plus d’informations, consultez les ressources suivantes :
- Gérer les points de terminaison de connexion pour Windows 11 Entreprise
- Gérer les points de terminaison de connexion pour Windows 10 Entreprise, version 21H2
Téléchargement de contenu Win32 :
Les emplacements et points de terminaison de téléchargement de contenu Win32 sont uniques par application et sont fournis par l’éditeur externe. Vous pouvez trouver l’emplacement de chaque application du Store Win32 à l’aide de la commande suivante sur un système de test (vous pouvez obtenir le [PackageId] pour une application du Store en référençant la propriété Identificateur de package de l’application après l’avoir ajoutée à Microsoft Intune) :
winget show [PackageId]
La propriété Url du programme d’installation indique l’emplacement de téléchargement externe ou le cache de secours basé sur la région (hébergé par Microsoft) selon que le cache est en cours d’utilisation. Notez que l’emplacement de téléchargement du contenu peut changer entre le cache et l’emplacement externe.
Cache de secours de l’application Win32 hébergée par Microsoft :
- Varie selon la région, exemple : sparkcdneus2.azureedge.net, sparkcdnwus2.azureedge.net
Optimisation de la distribution (facultatif, requis pour le peering) :
Pour plus d’informations, consultez la ressource suivante :
Migration des stratégies de conformité d’attestation d’intégrité des appareils vers l’attestation Microsoft Azure
Si un client active l’un des paramètres de stratégie de conformité Windows 10/11 - État de l’appareil, Windows 11 appareils commencent à utiliser un service Microsoft Azure Attestation (MAA) en fonction de leur emplacement de locataire Intune. Toutefois, les environnements Windows 10 et GCCH/DOD continueront d’utiliser le point de terminaison DHA d’attestation d’intégrité de l’appareil existant « has.spserv.microsoft.com » pour les rapports d’attestation d’intégrité de l’appareil et n’est pas affecté par cette modification.
Si un client a des stratégies de pare-feu qui empêchent l’accès au nouveau service Intune MAA pour Windows 11, Windows 11 appareils avec des stratégies de conformité attribuées à l’aide de l’un des paramètres d’intégrité de l’appareil (BitLocker, Démarrage sécurisé, Intégrité du code) ne seront plus conformes, car ils ne parviennent pas à atteindre les points de terminaison d’attestation MAA pour leur emplacement.
Assurez-vous qu’aucune règle de pare-feu ne bloque le trafic HTTPS/443 sortant et que l’inspection du trafic SSL n’est pas en place pour les points de terminaison répertoriés dans cette section, en fonction de l’emplacement de votre locataire Intune.
Pour trouver l’emplacement de votre locataire, accédez au centre > d’administration Intune Administration du>locataire status>Détails du locataire, consultez Emplacement du locataire.
'https://intunemaape1.eus.attest.azure.net'
'https://intunemaape2.eus2.attest.azure.net'
'https://intunemaape3.cus.attest.azure.net'
'https://intunemaape4.wus.attest.azure.net'
'https://intunemaape5.scus.attest.azure.net'
'https://intunemaape6.ncus.attest.azure.net'
Service de déploiement de Windows Update pour les entreprises
Pour plus d’informations sur les points de terminaison requis pour le service de déploiement Windows Update for Business, consultez prérequis du service de déploiement Windows Update entreprise.
Analyse des points de terminaison
Pour plus d’informations sur les points de terminaison requis pour l’analytique des points de terminaison, consultez Configuration du proxy d’analyse de point de terminaison.
Microsoft Defender pour point de terminaison
Pour plus d’informations sur la configuration de la connectivité de Defender pour point de terminaison, consultez Exigences de connectivité.
Pour prendre en charge la gestion des paramètres de sécurité de Defender pour point de terminaison, autorisez les noms d’hôte suivants via votre pare-feu. Pour la communication entre les clients et le service cloud :
*.dm.microsoft.com : l’utilisation d’un caractère générique prend en charge les points de terminaison de service cloud utilisés pour l’inscription, l’case activée et la création de rapports, et qui peuvent changer à mesure que le service est mis à l’échelle.
Importante
L’inspection SSL n’est pas prise en charge sur les points de terminaison requis pour Microsoft Defender pour point de terminaison.
Gestion des privilèges de points de terminaison Microsoft Intune
Pour prendre en charge Endpoint Privilege Management, autorisez les noms d’hôte suivants sur le port tcp 443 via votre pare-feu
Pour la communication entre les clients et le service cloud :
*.dm.microsoft.com : l’utilisation d’un caractère générique prend en charge les points de terminaison de service cloud utilisés pour l’inscription, l’case activée et la création de rapports, et qui peuvent changer à mesure que le service est mis à l’échelle.
*.events.data.microsoft.com : utilisé par les appareils gérés par Intune pour envoyer des données de création de rapports facultatives au point de terminaison de collecte de données Intune.
Importante
L’inspection SSL n’est pas prise en charge sur les points de terminaison requis pour la gestion des privilèges de point de terminaison.
Pour plus d’informations, consultez Vue d’ensemble de Endpoint Privilege Management.
Sujets associés
URL et plages d’adresses IP Office 365
Vue d’ensemble de la connectivité réseau Microsoft 365
Réseaux de distribution de contenu (CDN)
Autres points de terminaison non inclus dans le service Web d’adresse IP et d’URL Office 365