Condividi tramite


Endpoint di rete per Microsoft Intune

Questo articolo elenca gli indirizzi IP e le impostazioni delle porte necessarie per le impostazioni proxy nelle distribuzioni Microsoft Intune.

Come servizio solo cloud, Intune non richiede un'infrastruttura locale, ad esempio server o gateway.

Accesso per i dispositivi gestiti

Per gestire i dispositivi dietro firewall e server proxy, è necessario abilitare la comunicazione per Intune.

Nota

Le informazioni in questa sezione si applicano anche al connettore di certificati Microsoft Intune. Il connettore ha gli stessi requisiti di rete dei dispositivi gestiti.

  • Gli endpoint in questo articolo consentono l'accesso alle porte identificate nelle tabelle seguenti.

  • Per alcune attività, Intune richiede l'accesso non autenticato al server proxy a manage.microsoft.com, *.azureedge.net e graph.microsoft.com.

    Nota

    L'ispezione del traffico SSL non è supportata per gli endpoint '*.manage.microsoft.com', '*.dm.microsoft.com' o per gli endpoint DHA (Device Health Attestation) elencati nella sezione conformità.

È possibile modificare le impostazioni del server proxy nei singoli computer client. È anche possibile usare Criteri di gruppo impostazioni per modificare le impostazioni per tutti i computer client che si trovano dietro un server proxy specificato.

I dispositivi gestiti richiedono configurazioni che consentono a Tutti gli utenti di accedere ai servizi tramite firewall.

Script di PowerShell

Per semplificare la configurazione dei servizi tramite firewall, è stata eseguita l'onboarding con il servizio endpoint Office 365. In questo momento, le informazioni sull'endpoint Intune sono accessibili tramite uno script di PowerShell. Esistono altri servizi dipendenti per Intune che sono già coperti come parte del servizio Microsoft 365 e sono contrassegnati come "obbligatori". I servizi già coperti da Microsoft 365 non sono inclusi nello script per evitare la duplicazione.

Usando lo script di PowerShell seguente, è possibile recuperare l'elenco di indirizzi IP per il servizio Intune.

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips

Usando lo script di PowerShell seguente, è possibile recuperare l'elenco di FQDN usati da Intune e servizi dipendenti. Quando si esegue lo script, gli URL nell'output dello script possono essere diversi dagli URL nelle tabelle seguenti. Assicurarsi almeno di includere gli URL nelle tabelle.

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls

Lo script fornisce un metodo pratico per elencare ed esaminare tutti i servizi richiesti da Intune e Autopilot in un'unica posizione. È possibile restituire proprietà aggiuntive dal servizio endpoint, ad esempio la proprietà category, che indica se l'FQDN o l'IP deve essere configurato come Allow, Optimize o Default.

Endpoint

Sono inoltre necessari FQDN coperti nell'ambito dei requisiti di Microsoft 365. Per riferimento, le tabelle seguenti mostrano il servizio a cui sono associati e l'elenco di URL restituiti.

Le colonne di dati visualizzate nelle tabelle sono:

  • ID: numero ID della riga, noto anche come set di endpoint. Questo ID è lo stesso restituito dal servizio Web per il set di endpoint.

  • Categoria: indica se il set di endpoint è categorizzato come Optimize, Allow o Default. Questa colonna elenca anche i set di endpoint necessari per la connettività di rete. Per i set di endpoint che non sono necessari per la connettività di rete, in questo campo vengono fornite note per indicare quali funzionalità mancano se il set di endpoint è bloccato. Se si esclude un'intera area del servizio, i set di endpoint elencati come obbligatori non richiedono la connettività.

    Per informazioni su queste categorie e indicazioni per la gestione, vedere Nuove categorie di endpoint di Microsoft 365.

  • ER: si tratta di Sì/True se il set di endpoint è supportato su Azure ExpressRoute con prefissi di route di Microsoft 365. La community BGP che include i prefissi di route visualizzati è allineata all'area di servizio elencata. Quando ER è No/False, ExpressRoute non è supportato per questo set di endpoint.

  • Indirizzi: Elenchi i nomi fqdn o i nomi di dominio con caratteri jolly e gli intervalli di indirizzi IP per il set di endpoint. Si noti che un intervallo di indirizzi IP è in formato CIDR e può includere molti singoli indirizzi IP nella rete specificata.

  • Porte: Elenchi le porte TCP o UDP combinate con gli indirizzi IP elencati per formare l'endpoint di rete. Si potrebbe notare una duplicazione negli intervalli di indirizzi IP in cui sono elencate porte diverse.

Intune servizio principale

Nota

Se il firewall in uso consente di creare regole del firewall usando un nome di dominio, usare il dominio *.manage.microsoft.com e manage.microsoft.com. Tuttavia, se il provider del firewall in uso non consente di creare una regola del firewall usando un nome di dominio, è consigliabile usare l'elenco approvato di tutte le subnet in questa sezione.

ID Desc Categoria ER Addresses Porte
163 Intune client e servizio host Consenti
Obbligatorio
Falso *.manage.microsoft.com
manage.microsoft.com
EnterpriseEnrollment.manage.microsoft.com
104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.71.199.64/28, 13.73.244.48/28, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 20.49.93.160/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29
TCP: 80, 443
172 Ottimizzazione recapito MDM Predefinita
Obbligatorio
Falso *.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
TCP: 80, 443
170 MEM - Win32Apps Predefinita
Obbligatorio
Falso swda01-mscdn.manage.microsoft.com
swda02-mscdn.manage.microsoft.com
swdb01-mscdn.manage.microsoft.com
swdb02-mscdn.manage.microsoft.com
swdc01-mscdn.manage.microsoft.com
swdc02-mscdn.manage.microsoft.com
swdd01-mscdn.manage.microsoft.com
swdd02-mscdn.manage.microsoft.com
swdin01-mscdn.manage.microsoft.com
swdin02-mscdn.manage.microsoft.com
TCP: 443
97 Consumer Outlook.com, OneDrive, Autenticazione del dispositivo e account Microsoft Predefinita
Obbligatorio
Falso account.live.com
login.live.com
TCP: 443
190 Individuazione degli endpoint Predefinita
Obbligatorio
Falso go.microsoft.com TCP: 80, 443
189 Dipendenza - Distribuzione delle funzionalità Predefinita
Obbligatorio
Falso config.edge.skype.com
TCP: 443

Dipendenze di Autopilot

ID Desc Categoria ER Addresses Porte
164 Autopilot - Windows Update Predefinita
Obbligatorio
Falso *.windowsupdate.com
*.dl.delivery.mp.microsoft.com
*.prod.do.dsp.mp.microsoft.com
*.delivery.mp.microsoft.com
*.update.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com
adl.windows.com
TCP: 80, 443
165 Autopilot - Sincronizzazione NTP Predefinita
Obbligatorio
Falso time.windows.com UDP: 123
169 Autopilot - Dipendenze WNS Predefinita
Obbligatorio
Falso clientconfig.passport.net
windowsphone.com
*.s-microsoft.com
c.s-microsoft.com
TCP: 443
173 Autopilot - Dipendenze di distribuzione di terze parti Predefinita
Obbligatorio
Falso ekop.intel.com
ekcert.spserv.microsoft.com
ftpm.amd.com
TCP: 443
182 Autopilot - Caricamento della diagnostica Predefinita
Obbligatorio
Falso lgmsapeweu.blob.core.windows.net
TCP: 443

Assistenza remota

ID Desc Categoria ER Addresses Porte Note
181 MEM - Funzionalità Assistenza remota Predefinita
Obbligatorio
Falso *.support.services.microsoft.com
remoteassistance.support.services.microsoft.com
rdprelayv3eastusprod-0.support.services.microsoft.com
*.trouter.skype.com
remoteassistanceprodacs.communication.azure.com
edge.skype.com
aadcdn.msftauth.net
aadcdn.msauth.net
alcdn.msauth.net
wcpstatic.microsoft.com
*.aria.microsoft.com
browser.pipe.aria.microsoft.com
*.events.data.microsoft.com
v10.events.data.microsoft.com
*.monitor.azure.com
js.monitor.azure.com
edge.microsoft.com
*.trouter.communication.microsoft.com
go.trouter.communication.microsoft.com
*.trouter.teams.microsoft.com
trouter2-usce-1-a.trouter.teams.microsoft.com
api.flightproxy.skype.com
ecs.communication.microsoft.com
remotehelp.microsoft.com
trouter-azsc-usea-0-a.trouter.skype.com
TCP: 443
187 Dipendenza - Assistenza remota web pubsub Predefinita
Obbligatorio
Falso *.webpubsub.azure.com
AMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com
TCP: 443
188 dipendenza Assistenza remota per i clienti GCC Predefinita
Obbligatorio
Falso remoteassistanceweb-gcc.usgov.communication.azure.us
gcc.remotehelp.microsoft.com
gcc.relay.remotehelp.microsoft.com
*.gov.teams.microsoft.us
TCP: 443

Intune dipendenze

In questa sezione le tabelle seguenti elencano le dipendenze Intune e le porte e i servizi a cui accede il client Intune.

Dipendenze di Windows Push Notification Services (WNS)

ID Desc Categoria ER Addresses Porte
171 MEM - Dipendenze WNS Predefinita
Obbligatorio
Falso *.notify.windows.com
*.wns.windows.com
sinwns1011421.wns.windows.com
sin.notify.windows.com
TCP: 443

Per i dispositivi Windows gestiti da Intune gestiti tramite Mobile Gestione dispositivi (MDM), le azioni dei dispositivi e altre attività immediate richiedono l'uso di Windows Push Notification Services (WNS). Per altre informazioni, vedere Consentire il traffico delle notifiche di Windows tramite firewall aziendali.

Dipendenze di ottimizzazione recapito

ID Desc Categoria ER Addresses Porte
172 MDM - Dipendenze di ottimizzazione recapito Predefinita
Obbligatorio
Falso *.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
TCP: 80, 443

Requisiti delle porte : per la comunicazione client-service, usa HTTP o HTTPS sulla porta 80/443. Facoltativamente, per il traffico peer-to-peer, Ottimizzazione recapito usa 7680 per TCP/IP e Teredo sulla porta 3544 per l'attraversamento NAT. Per altre informazioni, vedere la documentazione di Ottimizzazione recapito

Requisiti proxy : per usare Ottimizzazione recapito, è necessario consentire le richieste dell'intervallo di byte. Per altre informazioni, vedere Requisiti proxy per Ottimizzazione recapito.

Requisiti del firewall : consentire i nomi host seguenti attraverso il firewall per supportare Ottimizzazione recapito. Per la comunicazione tra i client e il servizio cloud ottimizzazione recapito:

  • *.do.dsp.mp.microsoft.com

Per i metadati di Ottimizzazione recapito:

  • *.dl.delivery.mp.microsoft.com

Dipendenze apple

ID Desc Categoria ER Addresses Porte
178 MEM - Dipendenze apple Predefinita
Obbligatorio
Falso itunes.apple.com
*.itunes.apple.com
*.mzstatic.com
*.phobos.apple.com
phobos.itunes-apple.com.akadns.net
5-courier.push.apple.com
phobos.apple.com
ocsp.apple.com
ax.itunes.apple.com
ax.itunes.apple.com.edgesuite.net
s.mzstatic.com
a1165.phobos.apple.com
TCP: 80, 443, 5223

Per ulteriori informazioni, vedere le seguenti risorse:

Dipendenze AOSP Android

ID Desc Categoria ER Addresses Porte
179 MEM - Dipendenza AOSP Android Predefinita
Obbligatorio
Falso intunecdnpeasd.azureedge.net
TCP: 443

Nota

Poiché Google Mobile Services non è disponibile in Cina, i dispositivi in Cina gestiti da Intune non possono usare funzionalità che richiedono Google Mobile Services. Queste funzionalità includono: funzionalità di Google Play Protect come attestazione del dispositivo SafetyNet, Gestione delle app da Google Play Store, funzionalità Android Enterprise (vedere questa documentazione di Google). Inoltre, l'app Portale aziendale Intune per Android usa Google Mobile Services per comunicare con il servizio Microsoft Intune. Poiché i servizi Google Play non sono disponibili in Cina, alcune attività possono richiedere fino a 8 ore per il completamento. Per altre informazioni, vedere Limitazioni della gestione Intune quando GMS non è disponibile.

Informazioni sulla porta Android : a seconda di come si sceglie di gestire i dispositivi Android, potrebbe essere necessario aprire le porte Di Google Android Enterprise e/o la notifica push Android. Per altre informazioni sui metodi di gestione Android supportati, vedere la documentazione sulla registrazione di Android.

Dipendenze di Android Enterprise

Google Android Enterprise - Google fornisce la documentazione delle porte di rete e dei nomi host di destinazione necessari nel bluebook Android Enterprise, nella sezione Firewall del documento.

Notifica push Android: Intune usa Google Firebase Cloud Messaging (FCM) per la notifica push per attivare le azioni e gli archivi dei dispositivi. Questa operazione è richiesta sia dall'amministratore di dispositivi Android che da Android Enterprise. Per informazioni sui requisiti di rete di FCM, vedere Le porte FCM di Google e il firewall.

Dipendenze di autenticazione

ID Desc Categoria ER Addresses Porte
56 L'autenticazione e l'identità includono i servizi correlati ad Azure Active Directory e Azure AD. Consenti
Obbligatorio
Vero login.microsoftonline.com
graph.windows.net
TCP: 80, 443
150 Il servizio di personalizzazione di Office offre Office 365 ProPlus configurazione della distribuzione, impostazioni dell'applicazione e gestione dei criteri basata sul cloud. Predefinita Falso *.officeconfig.msocdn.com
config.office.com
TCP: 443
59 Servizi di supporto delle identità & reti CDN. Predefinita
Obbligatorio
Falso enterpriseregistration.windows.net
TCP: 80, 443

Per altre informazioni, vedere Office 365 URL e intervalli di indirizzi IP.

Requisiti di rete per gli script di PowerShell e le app Win32

Se si usa Intune per distribuire script di PowerShell o app Win32, è anche necessario concedere l'accesso agli endpoint in cui risiede attualmente il tenant.

Per trovare la posizione del tenant (o l'unità di scalabilità di Azure), accedere all'interfaccia di amministrazione Microsoft Intune, scegliere Dettagli tenant di amministrazione> tenant. La posizione è in Posizione tenant come America del Nord 0501 o Europa 0202. Cercare il numero corrispondente nella tabella seguente. Tale riga indica il nome di archiviazione e gli endpoint della rete CDN a cui concedere l'accesso. Le righe sono differenziate per area geografica, come indicato dalle prime due lettere nei nomi (na = America del Nord, eu = Europe, ap = Asia Pacifico). La posizione del tenant è una di queste tre aree, anche se la posizione geografica effettiva dell'organizzazione potrebbe trovarsi altrove.

Nota

Consenti risposta parziale HTTP è necessaria per gli script & endpoint di App Win32.

Unità di scalabilità di Azure (ASU) Nome archiviazione Rete CDN Porta
AMSUA0601
AMSUA0602
AMSUA0101
AMSUA0102
AMSUA0201
AMSUA0202
AMSUA0401
AMSUA0402
AMSUA0501
AMSUA0502
AMSUA0601
AMSUA0701
AMSUA0702
AMSUA0801
AMSUA0901
naprodimedatapri
naprodimedatasec
naprodimedatahotfix
naprodimedatapri.azureedge.net
naprodimedatasec.azureedge.net
naprodimedatahotfix.azureedge.net
TCP: 443
AMSUB0101
AMSUB0102
AMSUB0201
AMSUB0202
AMSUB0301
AMSUB0302
AMSUB0501
AMSUB0502
AMSUB0601
AMSUB0701
euprodimedatapri
euprodimedatasec
euprodimedatahotfix
euprodimedatapri.azureedge.net
euprodimedatasec.azureedge.net
euprodimedatahotfix.azureedge.net
TCP: 443
AMSUC0101
AMSUC0201
AMSUC0301
AMSUC0501
AMSUC0601
AMSUD0101
approdimedatapri
approdimedatasec
approdimedatahotifx
approdimedatapri.azureedge.net
approdimedatasec.azureedge.net
approdimedatahotfix.azureedge.net
TCP: 443

Microsoft Store

I dispositivi Windows gestiti che usano Microsoft Store, per acquisire, installare o aggiornare le app, devono accedere a questi endpoint.

API di Microsoft Store (AppInstallManager):

  • displaycatalog.mp.microsoft.com
  • purchase.md.mp.microsoft.com
  • licensing.mp.microsoft.com
  • storeedgefd.dsx.mp.microsoft.com

agente Windows Update:

Per informazioni dettagliate, vedere le risorse seguenti:

Download del contenuto Win32:

I percorsi e gli endpoint di download del contenuto Win32 sono univoci per ogni applicazione e sono forniti dal server di pubblicazione esterno. Puoi trovare la posizione per ogni app Win32 Store usando il comando seguente in un sistema di test (puoi ottenere il [PackageId] per un'app dello Store facendo riferimento alla proprietà Identificatore pacchetto dell'app dopo averla aggiunta a Microsoft Intune):

winget show [PackageId]

La proprietà Url del programma di installazione mostra il percorso di download esterno o la cache di fallback basata sull'area (ospitata da Microsoft) in base al fatto che la cache sia in uso. Si noti che il percorso di download del contenuto può cambiare tra la cache e la posizione esterna.

Cache di fallback dell'app Win32 ospitata da Microsoft:

  • Varia in base all'area, ad esempio: sparkcdneus2.azureedge.net, sparkcdnwus2.azureedge.net

Ottimizzazione recapito (facoltativo, obbligatorio per il peering):

Per informazioni dettagliate, vedere la risorsa seguente:

Migrazione dei criteri di conformità dell'attestazione dell'integrità dei dispositivi all'attestazione di Microsoft Azure

Se un cliente abilita uno dei criteri di conformità Windows 10/11 - Impostazioni di integrità del dispositivo, Windows 11 dispositivi inizieranno a usare un servizio Microsoft attestazione di Azure (MAA) in base alla posizione del tenant Intune. Tuttavia, Windows 10 e gli ambienti GCCH/DOD continueranno a usare l'endpoint DHA di attestazione dell'integrità del dispositivo esistente "has.spserv.microsoft.com" per la segnalazione dell'attestazione dell'integrità dei dispositivi e non è interessato da questa modifica.

Se un cliente dispone di criteri firewall che impediscono l'accesso al nuovo servizio MAA Intune per Windows 11, Windows 11 dispositivi con criteri di conformità assegnati usando una qualsiasi delle impostazioni di integrità del dispositivo (BitLocker, Avvio protetto, Integrità del codice) non saranno conformi perché non riescono a raggiungere gli endpoint di attestazione MAA per la loro posizione.

Assicurarsi che non siano presenti regole del firewall che bloccano il traffico HTTPS/443 in uscita e che l'ispezione del traffico SSL non sia eseguita per gli endpoint elencati in questa sezione, in base alla posizione del tenant Intune.

Per trovare la posizione del tenant, passare all'interfaccia di amministrazione > Intune Stato tenant>Stato tenant>Dettagli tenant, vedere Percorso del tenant.

  • 'https://intunemaape1.eus.attest.azure.net'

  • 'https://intunemaape2.eus2.attest.azure.net'

  • 'https://intunemaape3.cus.attest.azure.net'

  • 'https://intunemaape4.wus.attest.azure.net'

  • 'https://intunemaape5.scus.attest.azure.net'

  • 'https://intunemaape6.ncus.attest.azure.net'

Servizio di distribuzione di Windows Update per le aziende

Per altre informazioni sugli endpoint necessari per il servizio di distribuzione Windows Update for Business, vedere Windows Update per i prerequisiti del servizio di distribuzione aziendale.

Analisi degli endpoint

Per altre informazioni sugli endpoint necessari per l'analisi degli endpoint, vedere Configurazione del proxy di analisi degli endpoint.

Microsoft Defender per endpoint

Per altre informazioni sulla configurazione della connettività di Defender per endpoint, vedere Requisiti di connettività.

Per supportare la gestione delle impostazioni di sicurezza di Defender per endpoint, consentire i nomi host seguenti tramite il firewall. Per la comunicazione tra i client e il servizio cloud:

  • *.dm.microsoft.com: l'uso di un carattere jolly supporta gli endpoint del servizio cloud usati per la registrazione, l'archiviazione e la creazione di report e che possono cambiare man mano che il servizio viene ridimensionato.

    Importante

    L'ispezione SSL non è supportata per gli endpoint necessari per Microsoft Defender per endpoint.

Gestione privilegi endpoint Microsoft Intune

Per supportare Endpoint Privilege Management, consentire i nomi host seguenti sulla porta TCP 443 tramite il firewall

Per la comunicazione tra i client e il servizio cloud:

  • *.dm.microsoft.com: l'uso di un carattere jolly supporta gli endpoint del servizio cloud usati per la registrazione, l'archiviazione e la creazione di report e che possono cambiare man mano che il servizio viene ridimensionato.

  • *.events.data.microsoft.com : usato dai dispositivi gestiti da Intune per inviare dati di report facoltativi all'endpoint di raccolta dati Intune.

    Importante

    L'ispezione SSL non è supportata sugli endpoint necessari per Endpoint Privilege Management.

Per altre informazioni, vedere Panoramica di Endpoint Privilege Management.

URL e intervalli di indirizzi IP per Office 365

Informazioni generali sulla connettività di rete di Microsoft 365

Reti per la distribuzione di contenuti (CDN)

Altri endpoint non inclusi nel servizio Web url e indirizzo IP Office 365

Gestione degli endpoint di Office 365