Wymagania dotyczące dostępu do Internetu
Niektóre funkcje Configuration Manager korzystają z łączności z Internetem w celu zapewnienia pełnej funkcjonalności. Jeśli Organizacja ogranicza komunikację sieciową z Internetem przy użyciu zapory lub urządzenia proxy, upewnij się, że zezwalaj na te punkty końcowe.
Configuration Manager korzysta z następujących usług przekazywania adresów URL firmy Microsoft w całym produkcie:
https://aka.mshttps://go.microsoft.com
Nawet jeśli nie są one jawnie wymienione w poniższych sekcjach, zawsze należy zezwolić na te punkty końcowe.
Punkt połączenia z usługą
Aby uzyskać więcej informacji, zobacz Informacje o punkcie połączenia z usługą.
Te konfiguracje dotyczą serwera hostującego punkt połączenia z usługą oraz wszelkich zapór między tym serwerem a Internetem. Zezwalaj na komunikację za pośrednictwem wychodzącego portu HTTPS TCP 443 z lokalizacjami internetowymi.
Punkt połączenia z usługą obsługuje używanie internetowego serwera proxy z uwierzytelnianiem lub bez niego w celu korzystania z tych lokalizacji. Aby uzyskać więcej informacji, zobacz Obsługa serwera proxy.
Jeśli lokacja Configuration Manager nie może nawiązać połączenia z wymaganymi punktami końcowymi dla usługi w chmurze, zostanie wyświetlony komunikat o stanie krytycznym o identyfikatorze 11488. Gdy nie można nawiązać połączenia z usługą, stan składnika SMS_SERVICE_CONNECTOR zmieni się na krytyczny. Wyświetl szczegółowy stan w węźle Stan składnika konsoli Configuration Manager.
Począwszy od wersji 2010, punkt połączenia z usługą weryfikuje ważne internetowe punkty końcowe dla dołączania dzierżawy. Te kontrole pomagają upewnić się, że usługi połączone z chmurą są dostępne. Pomaga również w rozwiązywaniu problemów, szybko określając, czy łączność sieciowa jest problemem. Aby uzyskać więcej informacji, zobacz Weryfikowanie dostępu do Internetu.
Określone adresy URL wymagane przez punkt połączenia z usługą różnią się w zależności od funkcji Configuration Manager:
- Aktualizacje i obsługa techniczna
- Obsługa systemu Windows
- Usługi platformy Azure
- Microsoft Store dla Firm
- Usługi w chmurze
- konsola Configuration Manager
- Dołączanie dzierżawy
- Powiadomienia zewnętrzne
Porada
Punkt połączenia usługi używa usługi Microsoft Intune podczas nawiązywania połączenia z go.microsoft.com usługą lub manage.microsoft.com. Istnieje znany problem polegający na tym, że łącznik Intune napotyka problemy z łącznością, jeśli certyfikat główny Baltimore CyberTrust nie jest zainstalowany, wygasł lub jest uszkodzony w punkcie połączenia z usługą. Aby uzyskać więcej informacji, zobacz Punkt połączenia usługi nie pobiera aktualizacji.
Aktualizacje i obsługa techniczna
Aby uzyskać więcej informacji, zobacz Aktualizacje i obsługa techniczna.
Porada
Włącz te punkty końcowe dla reguły analizy zarządzania. Połącz witrynę z chmurą firmy Microsoft w celu Configuration Manager aktualizacji.
*.akamaiedge.net*.akamaitechnologies.com*.manage.microsoft.comgo.microsoft.comdownload.microsoft.comdownload.windowsupdate.comdownload.visualstudio.microsoft.comsccmconnected-a01.cloudapp.netdefinitionupdates.microsoft.comconfigmgrbits.azureedge.netWażna
Ten punkt końcowy platformy Azure obsługuje tylko protokół TLS 1.2 z określonymi zestawami szyfrowania. Upewnij się, że środowisko obsługuje te konfiguracje platformy Azure. Aby uzyskać więcej informacji, zobacz Azure Front Door: Często zadawane pytania dotyczące konfiguracji protokołu TLS.
cmbitsstore.blob.core.windows.netceuswatcab01.blob.core.windows.netceuswatcab02.blob.core.windows.neteaus2watcab01.blob.core.windows.neteaus2watcab02.blob.core.windows.netweus2watcab01.blob.core.windows.netweus2watcab02.blob.core.windows.netcmbitsstore.blob.core.windows.netumwatsonc.events.data.microsoft.com*-umwatsonc.events.data.microsoft.com
Obsługa systemu Windows
Aby uzyskać więcej informacji, zobacz Zarządzanie systemem Windows jako usługą.
download.microsoft.comhttps://go.microsoft.com/fwlink/?LinkID=619849dl.delivery.mp.microsoft.com
Usługi platformy Azure
Aby uzyskać więcej informacji, zobacz Konfigurowanie usług platformy Azure do użycia z Configuration Manager.
-
management.azure.com(Chmura publiczna platformy Azure) -
management.usgovcloudapi.net(Chmura azure US Government)
Współzarządzane
Jeśli zarejestrujesz urządzenia z systemem Windows, aby Microsoft Intune do współzarządzania, upewnij się, że te urządzenia mogą uzyskiwać dostęp do punktów końcowych wymaganych przez Intune. Aby uzyskać więcej informacji, zobacz Punkty końcowe sieci dla Microsoft Intune.
Microsoft Store dla Firm
W przypadku integracji Configuration Manager z Microsoft Store dla Firm upewnij się, że punkt połączenia z usługą i urządzenia docelowe mogą uzyskiwać dostęp do usługi w chmurze. Aby uzyskać więcej informacji, zobacz Microsoft Store dla Firm konfiguracji serwera proxy.
Optymalizacja dostarczania
Jeśli używasz optymalizacji dostarczania, klienci muszą komunikować się z usługą w chmurze: *.do.dsp.mp.microsoft.com
Punkty dystrybucji obsługujące usługę Microsoft Connected Cache również wymagają tych punktów końcowych.
Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:
- Optymalizacja dostarczania — często zadawane pytania
- Podstawowe pojęcia dotyczące zarządzania zawartością w Configuration Manager
- Połączona pamięć podręczna firmy Microsoft z Configuration Manager
Usługi w chmurze
Aby uzyskać więcej informacji na temat bramy zarządzania chmurą (CMG), zobacz Planowanie cmg.
W tej sekcji opisano następujące funkcje:
Brama zarządzania chmurą (CMG)
integracja Microsoft Entra
Odnajdywanie oparte na Tożsamość Microsoft Entra
Punkt dystrybucji w chmurze (CDP)
Uwaga
Chmurowy punkt dystrybucji (CDP) jest przestarzały. Począwszy od wersji 2107, nie można tworzyć nowych wystąpień usługi CDP. Aby udostępnić zawartość urządzeniom internetowym, włącz dystrybucję zawartości przez grupę cmg.
W poniższych sekcjach wymieniono punkty końcowe według roli. Niektóre punkty końcowe odwołują się do usługi według <prefix>, która jest nazwą prefiksu cmg. Jeśli na przykład klucz cmg to GraniteFalls.WestUS.CloudApp.Azure.Com, rzeczywisty punkt końcowy magazynu to GraniteFalls.blob.core.windows.net.
Porada
Aby wyjaśnić pewną terminologię:
Nazwa usługi CMG: nazwa pospolita (CN) certyfikatu uwierzytelniania serwera CMG. Klienci i rola systemu lokacji punktu połączenia cmg komunikują się z tą nazwą usługi. Na przykład
GraniteFalls.contoso.comlubGraniteFalls.WestUS.CloudApp.Azure.Com.Nazwa wdrożenia cmg: pierwsza część nazwy usługi oraz lokalizacja platformy Azure dla wdrożenia usługi w chmurze. Składnik menedżera usług w chmurze punktu połączenia z usługą używa tej nazwy podczas wdrażania usługi CMG na platformie Azure. Nazwa wdrożenia jest zawsze w domenie platformy Azure. Lokalizacja platformy Azure zależy od metody wdrażania, na przykład:
- Zestaw skalowania maszyn wirtualnych:
GraniteFalls.WestUS.CloudApp.Azure.Com - Wdrożenie klasyczne:
GraniteFalls.CloudApp.Net
- Zestaw skalowania maszyn wirtualnych:
W tym artykule użyto przykładów z zestawem skalowania maszyn wirtualnych jako zalecanej metody wdrażania w wersji 2107 lub nowszej. Jeśli używasz wdrożenia klasycznego, zwróć uwagę na różnicę podczas czytania tego artykułu i konfigurowania dostępu do Internetu.
Punkt połączenia usługi dla usług w chmurze
Aby Configuration Manager wdrożyć usługę CMG na platformie Azure, punkt połączenia z usługą musi mieć dostęp do następujących elementów:
Określone punkty końcowe platformy Azure, które różnią się w zależności od środowiska w zależności od konfiguracji. Configuration Manager przechowuje te punkty końcowe w bazie danych lokacji. Wykonaj zapytanie do tabeli AzureEnvironments w SQL Server, aby uzyskać listę punktów końcowych platformy Azure.
Usługi platformy Azure:
-
management.azure.com(Chmura publiczna platformy Azure) -
management.usgovcloudapi.net(Chmura azure US Government)
-
W przypadku Microsoft Entra odnajdywania użytkowników: punkt końcowy programu Microsoft Graph
https://graph.microsoft.com/
Punkt połączenia cmg dla usług w chmurze
Punkt połączenia cmg wymaga dostępu do następujących punktów końcowych:
| Wpisać | Chmura publiczna platformy Azure | Azure US Government Cloud |
|---|---|---|
| Nazwa usługi | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| Punkt końcowy magazynu 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| Punkt końcowy magazynu 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
| Magazyn kluczy | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
System lokacji punktu połączenia cmg obsługuje korzystanie z internetowego serwera proxy. Aby uzyskać więcej informacji na temat konfigurowania tej roli dla serwera proxy, zobacz Obsługa serwera proxy.
Punkt połączenia cmg musi tylko łączyć się z punktami końcowymi usługi CMG. Nie potrzebuje dostępu do innych punktów końcowych platformy Azure.
klient Configuration Manager dla usług w chmurze
Każdy klient Configuration Manager, który musi komunikować się z grupą cmg, musi mieć dostęp do następujących punktów końcowych:
| Wpisać | Chmura publiczna platformy Azure | Azure US Government Cloud |
|---|---|---|
| Nazwa wdrożenia | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| Punkt końcowy magazynu | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| punkt końcowy Microsoft Entra | login.microsoftonline.com |
login.microsoftonline.us |
konsola Configuration Manager dla usług w chmurze
Każde urządzenie z konsolą Configuration Manager musi mieć dostęp do następujących punktów końcowych:
| Wpisać | Chmura publiczna platformy Azure | Azure US Government Cloud |
|---|---|---|
| punkty końcowe Microsoft Entra | login.microsoftonline.comaadcdn.msauth.netaadcdn.msftauth.net |
login.microsoftonline.us |
Aktualizacje oprogramowania
Zezwalaj aktywnemu punktowi aktualizacji oprogramowania na dostęp do następujących punktów końcowych, aby usługi WSUS i automatyczne Aktualizacje mogły komunikować się z usługą w chmurze Microsoft Update:
http://windowsupdate.microsoft.comhttp://*.windowsupdate.microsoft.comhttps://*.windowsupdate.microsoft.comhttp://*.update.microsoft.comhttps://*.update.microsoft.comhttp://*.windowsupdate.comhttp://download.windowsupdate.comhttp://download.microsoft.comhttp://*.download.windowsupdate.comhttp://ntservicepack.microsoft.com
Aby uzyskać więcej informacji na temat aktualizacji oprogramowania, zobacz Planowanie aktualizacji oprogramowania.
Zapora intranetowa
W następujących przypadkach może być konieczne dodanie punktów końcowych do zapory między dwoma systemami lokacji:
- Jeśli lokacje podrzędne mają punkt aktualizacji oprogramowania
- Jeśli w lokacji znajduje się zdalnie aktywny internetowy punkt aktualizacji oprogramowania
Punkt aktualizacji oprogramowania w lokacji podrzędnej
http://<FQDN for software update point on child site>https://<FQDN for software update point on child site>http://<FQDN for software update point on parent site>https://<FQDN for software update point on parent site>
Zarządzanie Aplikacje Microsoft 365
Uwaga
Od 21 kwietnia 2020 r. nazwa Office 365 ProPlus zostanie zmieniona na Aplikacje Microsoft 365 dla przedsiębiorstw. Aby uzyskać więcej informacji, zobacz Zmiana nazwy dla Office 365 ProPlus. Podczas aktualizowania konsoli nadal mogą być widoczne odwołania do starej nazwy w konsoli Configuration Manager i dokumentacja pomocnicza.
Jeśli używasz Configuration Manager do wdrażania i aktualizowania Aplikacje Microsoft 365 dla przedsiębiorstw, zezwól na następujące punkty końcowe:
officecdn.microsoft.comaby zsynchronizować punkt aktualizacji oprogramowania dla aktualizacji klienta Aplikacje Microsoft 365 dla przedsiębiorstwconfig.office.comtworzenie niestandardowych konfiguracji dla wdrożeń Aplikacje Microsoft 365 dla przedsiębiorstwhttps://clients.config.office.netihttps://go.microsoft.com/fwlink/?linkid=2190568do obsługi wdrażania aktualizacji dla Aplikacje Microsoft 365 dla przedsiębiorstwcontentstorage.osi.office.netdo obsługi oceny gotowości dodatku pakietu Officeclients.config.office.netw celu pobrania nazw plików potrzebnych do określonej aktualizacji Aplikacje Microsoft 365. Aby uzyskać więcej informacji, zobacz Korzystanie z interfejsu API listy plików Aplikacje Microsoft 365.
Serwer lokacji najwyższego poziomu musi mieć dostęp do następującego punktu końcowego, aby pobrać plik gotowości Microsoft Apps 365:
- Począwszy od 2 marca 2021 r.:
https://omex.cdn.office.net/mirrored/sccmreadiness/SOT_SCCM_AddinReadiness.CAB- Lokalizacja przed 2 marca 2021 r.:
https://contentstorage.osi.office.net/sccmreadinessppe/sot_sccm_addinreadiness.cab
- Lokalizacja przed 2 marca 2021 r.:
Uwaga
Lokalizacja tego pliku zmienia się 2 marca 2021 r. Aby uzyskać więcej informacji, zobacz Pobieranie zmiany lokalizacji dla pliku gotowości Aplikacje Microsoft 365.
konsola Configuration Manager
Komputery z konsolą Configuration Manager wymagają dostępu do następujących internetowych punktów końcowych dla określonych funkcji:
Uwaga
Aby powiadomienia wypychane od firmy Microsoft były wyświetlane w konsoli programu , punkt połączenia z usługą musi mieć dostęp do configmgrbits.azureedge.netprogramu . Wymaga on również dostępu do tego punktu końcowego na potrzeby aktualizacji i obsługi, więc być może już na to zezwoliłeś.
Opinie w konsoli
Na komputerze, na którym uruchamiasz konsolę, zezwól jej na dostęp do następujących internetowych punktów końcowych w celu wysyłania danych diagnostycznych do firmy Microsoft:
petrol.office.microsoft.comceuswatcab01.blob.core.windows.netceuswatcab02.blob.core.windows.neteaus2watcab01.blob.core.windows.neteaus2watcab02.blob.core.windows.netweus2watcab01.blob.core.windows.netweus2watcab02.blob.core.windows.netumwatsonc.events.data.microsoft.com*-umwatsonc.events.data.microsoft.com
Aby uzyskać więcej informacji na temat tej funkcji, zobacz Opinie o produkcie.
Obszar roboczy społeczności
Węzeł dokumentacji
Aby uzyskać więcej informacji na temat tego węzła konsoli, zobacz Korzystanie z konsoli Configuration Manager.
https://aka.mshttps://raw.githubusercontent.com
Centrum społeczności
Aby uzyskać więcej informacji na temat tej funkcji, zobacz Community Hub.
https://github.comhttps://communityhub.microsoft.com
Dołączanie dzierżawy
Aby uzyskać więcej informacji, zobacz artykuł Włączanie dołączania dzierżawy.
https://aka.ms/configmgrgatewayhttps://*.manage.microsoft.comdla klientów chmury publicznej platformy Azurehttps://*.manage.microsoft.usdla klientów w chmurze dla instytucji rządowych USA w wersji 2107 lub nowszejhttps://dc.services.visualstudio.com
Punkt połączenia z usługą tworzy długotrwałe połączenie wychodzące z usługą powiadomień hostowaną w programie https://*.manage.microsoft.com. Sprawdź, czy serwer proxy używany dla punktu połączenia z usługą nie limituje zbyt szybko połączeń wychodzących. Zalecamy 3 minuty dla połączeń wychodzących z tym internetowym punktem końcowym.
Jeśli środowisko ma reguły serwera proxy zezwalają tylko na określone listy odwołania certyfikatów (LISTY CRL) lub lokalizacje weryfikacji protokołu OCSP (Certificate Status Protocol), zezwalaj również na następujące adresy URL listy CRL i OCSP:
http://crl3.digicert.comhttp://crl4.digicert.comhttp://ocsp.digicert.comhttp://www.d-trust.nethttp://root-c3-ca2-2009.ocsp.d-trust.nethttp://crl.microsoft.comhttp://oneocsp.microsoft.comhttp://ocsp.msocsp.comhttp://www.microsoft.com/pkiops
Analiza punktu końcowego
Aby uzyskać więcej informacji, zobacz Konfiguracja serwera proxy analizy punktu końcowego.
Punkty końcowe wymagane dla urządzeń zarządzanych przez program Configuration Manager
Urządzenia zarządzane przez program Configuration Manager wysyłają dane do usługi Intune za pośrednictwem łącznika w roli programu Configuration Manager i nie potrzebują bezpośredniego dostępu do chmury publicznej firmy Microsoft.
| Punkt końcowy | Funkcja |
|---|---|
https://graph.windows.net |
Służy do automatycznego pobierania ustawień podczas dołączania hierarchii do analizy punktów końcowych w Configuration Manager roli serwera. Aby uzyskać więcej informacji, zobacz Skonfiguruj serwer proxy dla serwera systemu lokacji. |
https://*.manage.microsoft.com |
Służy do synchronizowania kolekcji urządzeń i urządzeń z analizą punktów końcowych tylko w Configuration Manager roli serwera. Aby uzyskać więcej informacji, zobacz Skonfiguruj serwer proxy dla serwera systemu lokacji. |
Punkty końcowe wymagane dla urządzeń zarządzanych przez usługę Intune
Aby zarejestrować urządzenia w usłudze Analiza punktów końcowych, muszą wysyłać wymagane dane funkcjonalne do chmury publicznej firmy Microsoft. Usługa Endpoint Analytics używa klienta systemu Windows i składnika Środowiska i telemetria połączonego użytkownika systemu Windows Server (DiagTrack) do zbierania danych z urządzeń zarządzanych Intune. Upewnij się, że usługa Środowiska i telemetria połączonego użytkownika na urządzeniu jest uruchomiona.
| Punkt końcowy | Funkcja |
|---|---|
https://*.events.data.microsoft.com |
Używane przez urządzenia zarządzane przez usługę Intune do wysyłania wymaganych danych funkcjonalnych do punktu końcowego zbierania danych usługi Intune. |
Analiza zasobów
Jeśli używasz analizy zasobów, zsynchronizuj następujące punkty końcowe usługi:
https://sc.microsoft.comhttps://ssu2.manage.microsoft.com
Wdrażanie przeglądarki Microsoft Edge
Urządzenie z uruchomioną konsolą Configuration Manager wymaga dostępu do następujących punktów końcowych w celu wdrożenia przeglądarki Microsoft Edge:
| Lokalizacja | Opcja, której należy użyć |
|---|---|
https://aka.ms/cmedgeapi |
Informacje o wersjach przeglądarki Microsoft Edge |
https://edgeupdates.microsoft.com/api/products?view=enterprise |
Informacje o wersjach przeglądarki Microsoft Edge |
http://dl.delivery.mp.microsoft.com |
Zawartość dla wersji przeglądarki Microsoft Edge |
Powiadomienia zewnętrzne
Aby uzyskać więcej informacji, zobacz Powiadomienia zewnętrzne.
Punkt połączenia usługi musi komunikować się z usługą powiadomień, na przykład z usługą Azure Logic Apps. Punkt końcowy dostępu dla aplikacji logiki zwykle ma następujący format: https://*.<RegionName>.logic.azure.com:443. Przykład: https://prod1.westus2.logic.azure.com:443
Aby uzyskać punkt końcowy dostępu dla aplikacji logiki, a także skojarzone adresy IP, użyj następującego procesu:
- W Azure Portal w obszarze Logic Apps wybierz aplikację logiki dla powiadomienia. Aby uzyskać więcej informacji, zobacz Zarządzanie aplikacjami logiki w Azure Portal.
- W menu aplikacji w sekcji Ustawienia wybierz pozycję Właściwości.
- Wyświetl lub skopiuj wartości dla punktu końcowego programu Access i adresów IP punktu końcowego programu Access.
Publiczne adresy IP firmy Microsoft
Aby uzyskać więcej informacji na temat zakresów adresów IP firmy Microsoft, zobacz Publiczna przestrzeń ADRESÓW IP firmy Microsoft. Te adresy są regularnie aktualizowane. Nie ma stopnia szczegółowości według usługi, można użyć dowolnego adresu IP w tych zakresach.