Endpoint di rete per Microsoft Intune
Questo articolo elenca gli indirizzi IP e le impostazioni delle porte necessarie per le impostazioni proxy nelle distribuzioni Microsoft Intune.
Come servizio solo cloud, Intune non richiede un'infrastruttura locale, ad esempio server o gateway.
Accesso per i dispositivi gestiti
Per gestire i dispositivi dietro firewall e server proxy, è necessario abilitare la comunicazione per Intune.
Nota
Le informazioni in questa sezione si applicano anche al connettore di certificati Microsoft Intune. Il connettore ha gli stessi requisiti di rete dei dispositivi gestiti.
Gli endpoint in questo articolo consentono l'accesso alle porte identificate nelle tabelle seguenti.
Per alcune attività, Intune richiede l'accesso non autenticato al server proxy a manage.microsoft.com, *.azureedge.net e graph.microsoft.com.
Nota
L'ispezione del traffico SSL non è supportata per gli endpoint '*.manage.microsoft.com', '*.dm.microsoft.com' o per gli endpoint DHA (Device Health Attestation) elencati nella sezione conformità.
È possibile modificare le impostazioni del server proxy nei singoli computer client. È anche possibile usare Criteri di gruppo impostazioni per modificare le impostazioni per tutti i computer client che si trovano dietro un server proxy specificato.
I dispositivi gestiti richiedono configurazioni che consentono a Tutti gli utenti di accedere ai servizi tramite firewall.
Script di PowerShell
Per semplificare la configurazione dei servizi tramite firewall, è stata eseguita l'onboarding con il servizio endpoint Office 365. In questo momento, le informazioni sull'endpoint Intune sono accessibili tramite uno script di PowerShell. Esistono altri servizi dipendenti per Intune che sono già coperti come parte del servizio Microsoft 365 e sono contrassegnati come "obbligatori". I servizi già coperti da Microsoft 365 non sono inclusi nello script per evitare la duplicazione.
Usando lo script di PowerShell seguente, è possibile recuperare l'elenco di indirizzi IP per il servizio Intune.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips
Usando lo script di PowerShell seguente, è possibile recuperare l'elenco di FQDN usati da Intune e servizi dipendenti. Quando si esegue lo script, gli URL nell'output dello script possono essere diversi dagli URL nelle tabelle seguenti. Assicurarsi almeno di includere gli URL nelle tabelle.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls
Lo script fornisce un metodo pratico per elencare ed esaminare tutti i servizi richiesti da Intune e Autopilot in un'unica posizione. È possibile restituire proprietà aggiuntive dal servizio endpoint, ad esempio la proprietà category, che indica se l'FQDN o l'IP deve essere configurato come Allow, Optimize o Default.
Endpoint
Sono inoltre necessari FQDN coperti nell'ambito dei requisiti di Microsoft 365. Per riferimento, le tabelle seguenti mostrano il servizio a cui sono associati e l'elenco di URL restituiti.
Le colonne di dati visualizzate nelle tabelle sono:
ID: numero ID della riga, noto anche come set di endpoint. Questo ID è lo stesso restituito dal servizio Web per il set di endpoint.
Categoria: indica se il set di endpoint è categorizzato come Optimize, Allow o Default. Questa colonna elenca anche i set di endpoint necessari per la connettività di rete. Per i set di endpoint che non sono necessari per la connettività di rete, in questo campo vengono fornite note per indicare quali funzionalità mancano se il set di endpoint è bloccato. Se si esclude un'intera area del servizio, i set di endpoint elencati come obbligatori non richiedono la connettività.
Per informazioni su queste categorie e indicazioni per la gestione, vedere Nuove categorie di endpoint di Microsoft 365.
ER: si tratta di Sì/True se il set di endpoint è supportato su Azure ExpressRoute con prefissi di route di Microsoft 365. La community BGP che include i prefissi di route visualizzati è allineata all'area di servizio elencata. Quando ER è No/False, ExpressRoute non è supportato per questo set di endpoint.
Indirizzi: Elenchi i nomi fqdn o i nomi di dominio con caratteri jolly e gli intervalli di indirizzi IP per il set di endpoint. Si noti che un intervallo di indirizzi IP è in formato CIDR e può includere molti singoli indirizzi IP nella rete specificata.
Porte: Elenchi le porte TCP o UDP combinate con gli indirizzi IP elencati per formare l'endpoint di rete. Si potrebbe notare una duplicazione negli intervalli di indirizzi IP in cui sono elencate porte diverse.
Intune servizio principale
Nota
Se il firewall in uso consente di creare regole del firewall usando un nome di dominio, usare il dominio *.manage.microsoft.com e manage.microsoft.com. Tuttavia, se il provider del firewall in uso non consente di creare una regola del firewall usando un nome di dominio, è consigliabile usare l'elenco approvato di tutte le subnet in questa sezione.
ID | Desc | Categoria | ER | Addresses | Porte |
---|---|---|---|---|---|
163 | Intune client e servizio host | Consenti Obbligatorio |
Falso | *.manage.microsoft.com manage.microsoft.com EnterpriseEnrollment.manage.microsoft.com 104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.71.199.64/28, 13.73.244.48/28, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 20.49.93.160/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29 |
TCP: 80, 443 |
172 | Ottimizzazione recapito MDM | Predefinita Obbligatorio |
Falso | *.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com |
TCP: 80, 443 |
170 | MEM - Win32Apps | Predefinita Obbligatorio |
Falso | swda01-mscdn.manage.microsoft.com swda02-mscdn.manage.microsoft.com swdb01-mscdn.manage.microsoft.com swdb02-mscdn.manage.microsoft.com swdc01-mscdn.manage.microsoft.com swdc02-mscdn.manage.microsoft.com swdd01-mscdn.manage.microsoft.com swdd02-mscdn.manage.microsoft.com swdin01-mscdn.manage.microsoft.com swdin02-mscdn.manage.microsoft.com |
TCP: 443 |
97 | Consumer Outlook.com, OneDrive, Autenticazione del dispositivo e account Microsoft | Predefinita Obbligatorio |
Falso | account.live.com login.live.com |
TCP: 443 |
190 | Individuazione degli endpoint | Predefinita Obbligatorio |
Falso | go.microsoft.com |
TCP: 80, 443 |
189 | Dipendenza - Distribuzione delle funzionalità | Predefinita Obbligatorio |
Falso | config.edge.skype.com |
TCP: 443 |
Dipendenze di Autopilot
ID | Desc | Categoria | ER | Addresses | Porte |
---|---|---|---|---|---|
164 | Autopilot - Windows Update | Predefinita Obbligatorio |
Falso | *.windowsupdate.com *.dl.delivery.mp.microsoft.com *.prod.do.dsp.mp.microsoft.com *.delivery.mp.microsoft.com *.update.microsoft.com tsfe.trafficshaping.dsp.mp.microsoft.com adl.windows.com |
TCP: 80, 443 |
165 | Autopilot - Sincronizzazione NTP | Predefinita Obbligatorio |
Falso | time.windows.com |
UDP: 123 |
169 | Autopilot - Dipendenze WNS | Predefinita Obbligatorio |
Falso | clientconfig.passport.net windowsphone.com *.s-microsoft.com c.s-microsoft.com |
TCP: 443 |
173 | Autopilot - Dipendenze di distribuzione di terze parti | Predefinita Obbligatorio |
Falso | ekop.intel.com ekcert.spserv.microsoft.com ftpm.amd.com |
TCP: 443 |
182 | Autopilot - Caricamento della diagnostica | Predefinita Obbligatorio |
Falso | lgmsapeweu.blob.core.windows.net |
TCP: 443 |
Assistenza remota
ID | Desc | Categoria | ER | Addresses | Porte | Note |
---|---|---|---|---|---|---|
181 | MEM - Funzionalità Assistenza remota | Predefinita Obbligatorio |
Falso | *.support.services.microsoft.com remoteassistance.support.services.microsoft.com rdprelayv3eastusprod-0.support.services.microsoft.com *.trouter.skype.com remoteassistanceprodacs.communication.azure.com edge.skype.com aadcdn.msftauth.net aadcdn.msauth.net alcdn.msauth.net wcpstatic.microsoft.com *.aria.microsoft.com browser.pipe.aria.microsoft.com *.events.data.microsoft.com v10.events.data.microsoft.com *.monitor.azure.com js.monitor.azure.com edge.microsoft.com *.trouter.communication.microsoft.com go.trouter.communication.microsoft.com *.trouter.teams.microsoft.com trouter2-usce-1-a.trouter.teams.microsoft.com api.flightproxy.skype.com ecs.communication.microsoft.com remotehelp.microsoft.com trouter-azsc-usea-0-a.trouter.skype.com |
TCP: 443 | |
187 | Dipendenza - Assistenza remota web pubsub | Predefinita Obbligatorio |
Falso | *.webpubsub.azure.com AMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com |
TCP: 443 | |
188 | dipendenza Assistenza remota per i clienti GCC | Predefinita Obbligatorio |
Falso | remoteassistanceweb-gcc.usgov.communication.azure.us gcc.remotehelp.microsoft.com gcc.relay.remotehelp.microsoft.com *.gov.teams.microsoft.us |
TCP: 443 |
Intune dipendenze
In questa sezione le tabelle seguenti elencano le dipendenze Intune e le porte e i servizi a cui accede il client Intune.
- Dipendenze di Windows Push Notification Services
- Dipendenze di ottimizzazione recapito
- Dipendenze apple
- Dipendenze AOSP Android
Dipendenze di Windows Push Notification Services (WNS)
ID | Desc | Categoria | ER | Addresses | Porte |
---|---|---|---|---|---|
171 | MEM - Dipendenze WNS | Predefinita Obbligatorio |
Falso | *.notify.windows.com *.wns.windows.com sinwns1011421.wns.windows.com sin.notify.windows.com |
TCP: 443 |
Per i dispositivi Windows gestiti da Intune gestiti tramite Mobile Gestione dispositivi (MDM), le azioni dei dispositivi e altre attività immediate richiedono l'uso di Windows Push Notification Services (WNS). Per altre informazioni, vedere Consentire il traffico delle notifiche di Windows tramite firewall aziendali.
Dipendenze di ottimizzazione recapito
ID | Desc | Categoria | ER | Addresses | Porte |
---|---|---|---|---|---|
172 | MDM - Dipendenze di ottimizzazione recapito | Predefinita Obbligatorio |
Falso | *.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com |
TCP: 80, 443 |
Requisiti delle porte : per la comunicazione client-service, usa HTTP o HTTPS sulla porta 80/443. Facoltativamente, per il traffico peer-to-peer, Ottimizzazione recapito usa 7680 per TCP/IP e Teredo sulla porta 3544 per l'attraversamento NAT. Per altre informazioni, vedere la documentazione di Ottimizzazione recapito
Requisiti proxy : per usare Ottimizzazione recapito, è necessario consentire le richieste dell'intervallo di byte. Per altre informazioni, vedere Requisiti proxy per Ottimizzazione recapito.
Requisiti del firewall : consentire i nomi host seguenti attraverso il firewall per supportare Ottimizzazione recapito. Per la comunicazione tra i client e il servizio cloud ottimizzazione recapito:
- *.do.dsp.mp.microsoft.com
Per i metadati di Ottimizzazione recapito:
- *.dl.delivery.mp.microsoft.com
Dipendenze apple
ID | Desc | Categoria | ER | Addresses | Porte |
---|---|---|---|---|---|
178 | MEM - Dipendenze apple | Predefinita Obbligatorio |
Falso | itunes.apple.com *.itunes.apple.com *.mzstatic.com *.phobos.apple.com phobos.itunes-apple.com.akadns.net 5-courier.push.apple.com phobos.apple.com ocsp.apple.com ax.itunes.apple.com ax.itunes.apple.com.edgesuite.net s.mzstatic.com a1165.phobos.apple.com |
TCP: 80, 443, 5223 |
Per ulteriori informazioni, vedere le seguenti risorse:
- Usare i prodotti Apple nelle reti aziendali
- Porte TCP e UDP usate dai prodotti software Apple
- Informazioni sulle connessioni host del server macOS, iOS/iPadOS e iTunes e sui processi in background di iTunes
- Se i client macOS e iOS/iPadOS non ricevono notifiche push Apple
Dipendenze AOSP Android
ID | Desc | Categoria | ER | Addresses | Porte |
---|---|---|---|---|---|
179 | MEM - Dipendenza AOSP Android | Predefinita Obbligatorio |
Falso | intunecdnpeasd.azureedge.net |
TCP: 443 |
Nota
Poiché Google Mobile Services non è disponibile in Cina, i dispositivi in Cina gestiti da Intune non possono usare funzionalità che richiedono Google Mobile Services. Queste funzionalità includono: funzionalità di Google Play Protect come attestazione del dispositivo SafetyNet, Gestione delle app da Google Play Store, funzionalità Android Enterprise (vedere questa documentazione di Google). Inoltre, l'app Portale aziendale Intune per Android usa Google Mobile Services per comunicare con il servizio Microsoft Intune. Poiché i servizi Google Play non sono disponibili in Cina, alcune attività possono richiedere fino a 8 ore per il completamento. Per altre informazioni, vedere Limitazioni della gestione Intune quando GMS non è disponibile.
Informazioni sulla porta Android : a seconda di come si sceglie di gestire i dispositivi Android, potrebbe essere necessario aprire le porte Di Google Android Enterprise e/o la notifica push Android. Per altre informazioni sui metodi di gestione Android supportati, vedere la documentazione sulla registrazione di Android.
Dipendenze di Android Enterprise
Google Android Enterprise - Google fornisce la documentazione delle porte di rete e dei nomi host di destinazione necessari nel bluebook Android Enterprise, nella sezione Firewall del documento.
Notifica push Android: Intune usa Google Firebase Cloud Messaging (FCM) per la notifica push per attivare le azioni e gli archivi dei dispositivi. Questa operazione è richiesta sia dall'amministratore di dispositivi Android che da Android Enterprise. Per informazioni sui requisiti di rete di FCM, vedere Le porte FCM di Google e il firewall.
Dipendenze di autenticazione
ID | Desc | Categoria | ER | Addresses | Porte |
---|---|---|---|---|---|
56 | L'autenticazione e l'identità includono i servizi correlati ad Azure Active Directory e Azure AD. | Consenti Obbligatorio |
Vero | login.microsoftonline.com graph.windows.net |
TCP: 80, 443 |
150 | Il servizio di personalizzazione di Office offre Office 365 ProPlus configurazione della distribuzione, impostazioni dell'applicazione e gestione dei criteri basata sul cloud. | Predefinita | Falso | *.officeconfig.msocdn.com config.office.com |
TCP: 443 |
59 | Servizi di supporto delle identità & reti CDN. | Predefinita Obbligatorio |
Falso | enterpriseregistration.windows.net |
TCP: 80, 443 |
Per altre informazioni, vedere Office 365 URL e intervalli di indirizzi IP.
Requisiti di rete per gli script di PowerShell e le app Win32
Se si usa Intune per distribuire script di PowerShell o app Win32, è anche necessario concedere l'accesso agli endpoint in cui risiede attualmente il tenant.
Per trovare la posizione del tenant (o l'unità di scalabilità di Azure), accedere all'interfaccia di amministrazione Microsoft Intune, scegliere Dettagli tenant di amministrazione> tenant. La posizione è in Posizione tenant come America del Nord 0501 o Europa 0202. Cercare il numero corrispondente nella tabella seguente. Tale riga indica il nome di archiviazione e gli endpoint della rete CDN a cui concedere l'accesso. Le righe sono differenziate per area geografica, come indicato dalle prime due lettere nei nomi (na = America del Nord, eu = Europe, ap = Asia Pacifico). La posizione del tenant è una di queste tre aree, anche se la posizione geografica effettiva dell'organizzazione potrebbe trovarsi altrove.
Nota
Consenti risposta parziale HTTP è necessaria per gli script & endpoint di App Win32.
Unità di scalabilità di Azure (ASU) | Nome archiviazione | Rete CDN | Porta |
---|---|---|---|
AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0601 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901 |
naprodimedatapri naprodimedatasec naprodimedatahotfix |
naprodimedatapri.azureedge.net naprodimedatasec.azureedge.net naprodimedatahotfix.azureedge.net |
TCP: 443 |
AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701 |
euprodimedatapri euprodimedatasec euprodimedatahotfix |
euprodimedatapri.azureedge.net euprodimedatasec.azureedge.net euprodimedatahotfix.azureedge.net |
TCP: 443 |
AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUC0601 AMSUD0101 |
approdimedatapri approdimedatasec approdimedatahotifx |
approdimedatapri.azureedge.net approdimedatasec.azureedge.net approdimedatahotfix.azureedge.net |
TCP: 443 |
Microsoft Store
I dispositivi Windows gestiti che usano Microsoft Store, per acquisire, installare o aggiornare le app, devono accedere a questi endpoint.
API di Microsoft Store (AppInstallManager):
- displaycatalog.mp.microsoft.com
- purchase.md.mp.microsoft.com
- licensing.mp.microsoft.com
- storeedgefd.dsx.mp.microsoft.com
agente Windows Update:
Per informazioni dettagliate, vedere le risorse seguenti:
- Gestire gli endpoint di connessione per Windows 11 Enterprise
- Gestire gli endpoint di connessione per Windows 10 Enterprise versione 21H2
Download del contenuto Win32:
I percorsi e gli endpoint di download del contenuto Win32 sono univoci per ogni applicazione e sono forniti dal server di pubblicazione esterno. Puoi trovare la posizione per ogni app Win32 Store usando il comando seguente in un sistema di test (puoi ottenere il [PackageId] per un'app dello Store facendo riferimento alla proprietà Identificatore pacchetto dell'app dopo averla aggiunta a Microsoft Intune):
winget show [PackageId]
La proprietà Url del programma di installazione mostra il percorso di download esterno o la cache di fallback basata sull'area (ospitata da Microsoft) in base al fatto che la cache sia in uso. Si noti che il percorso di download del contenuto può cambiare tra la cache e la posizione esterna.
Cache di fallback dell'app Win32 ospitata da Microsoft:
- Varia in base all'area, ad esempio: sparkcdneus2.azureedge.net, sparkcdnwus2.azureedge.net
Ottimizzazione recapito (facoltativo, obbligatorio per il peering):
Per informazioni dettagliate, vedere la risorsa seguente:
Migrazione dei criteri di conformità dell'attestazione dell'integrità dei dispositivi all'attestazione di Microsoft Azure
Se un cliente abilita uno dei criteri di conformità Windows 10/11 - Impostazioni di integrità del dispositivo, Windows 11 dispositivi inizieranno a usare un servizio Microsoft attestazione di Azure (MAA) in base alla posizione del tenant Intune. Tuttavia, Windows 10 e gli ambienti GCCH/DOD continueranno a usare l'endpoint DHA di attestazione dell'integrità del dispositivo esistente "has.spserv.microsoft.com" per la segnalazione dell'attestazione dell'integrità dei dispositivi e non è interessato da questa modifica.
Se un cliente dispone di criteri firewall che impediscono l'accesso al nuovo servizio MAA Intune per Windows 11, Windows 11 dispositivi con criteri di conformità assegnati usando una qualsiasi delle impostazioni di integrità del dispositivo (BitLocker, Avvio protetto, Integrità del codice) non saranno conformi perché non riescono a raggiungere gli endpoint di attestazione MAA per la loro posizione.
Assicurarsi che non siano presenti regole del firewall che bloccano il traffico HTTPS/443 in uscita e che l'ispezione del traffico SSL non sia eseguita per gli endpoint elencati in questa sezione, in base alla posizione del tenant Intune.
Per trovare la posizione del tenant, passare all'interfaccia di amministrazione > Intune Stato tenant>Stato tenant>Dettagli tenant, vedere Percorso del tenant.
'https://intunemaape1.eus.attest.azure.net'
'https://intunemaape2.eus2.attest.azure.net'
'https://intunemaape3.cus.attest.azure.net'
'https://intunemaape4.wus.attest.azure.net'
'https://intunemaape5.scus.attest.azure.net'
'https://intunemaape6.ncus.attest.azure.net'
Servizio di distribuzione di Windows Update per le aziende
Per altre informazioni sugli endpoint necessari per il servizio di distribuzione Windows Update for Business, vedere Windows Update per i prerequisiti del servizio di distribuzione aziendale.
Analisi degli endpoint
Per altre informazioni sugli endpoint necessari per l'analisi degli endpoint, vedere Configurazione del proxy di analisi degli endpoint.
Microsoft Defender per endpoint
Per altre informazioni sulla configurazione della connettività di Defender per endpoint, vedere Requisiti di connettività.
Per supportare la gestione delle impostazioni di sicurezza di Defender per endpoint, consentire i nomi host seguenti tramite il firewall. Per la comunicazione tra i client e il servizio cloud:
*.dm.microsoft.com: l'uso di un carattere jolly supporta gli endpoint del servizio cloud usati per la registrazione, l'archiviazione e la creazione di report e che possono cambiare man mano che il servizio viene ridimensionato.
Importante
L'ispezione SSL non è supportata per gli endpoint necessari per Microsoft Defender per endpoint.
Gestione privilegi endpoint Microsoft Intune
Per supportare Endpoint Privilege Management, consentire i nomi host seguenti sulla porta TCP 443 tramite il firewall
Per la comunicazione tra i client e il servizio cloud:
*.dm.microsoft.com: l'uso di un carattere jolly supporta gli endpoint del servizio cloud usati per la registrazione, l'archiviazione e la creazione di report e che possono cambiare man mano che il servizio viene ridimensionato.
*.events.data.microsoft.com : usato dai dispositivi gestiti da Intune per inviare dati di report facoltativi all'endpoint di raccolta dati Intune.
Importante
L'ispezione SSL non è supportata sugli endpoint necessari per Endpoint Privilege Management.
Per altre informazioni, vedere Panoramica di Endpoint Privilege Management.
Argomenti correlati
URL e intervalli di indirizzi IP per Office 365
Informazioni generali sulla connettività di rete di Microsoft 365
Reti per la distribuzione di contenuti (CDN)
Altri endpoint non inclusi nel servizio Web url e indirizzo IP Office 365