Punkty końcowe sieci dla Microsoft Intune
Ten artykuł zawiera listę adresów IP i ustawień portów wymaganych dla ustawień serwera proxy we wdrożeniach Microsoft Intune.
Jako usługa tylko w chmurze Intune nie wymaga infrastruktury lokalnej, takiej jak serwery lub bramy.
Dostęp dla urządzeń zarządzanych
Aby zarządzać urządzeniami za zaporami i serwerami proxy, należy włączyć komunikację dla Intune.
Uwaga
Informacje w tej sekcji dotyczą również łącznika certyfikatów Microsoft Intune. Łącznik ma takie same wymagania sieciowe jak urządzenia zarządzane.
Punkty końcowe w tym artykule zezwalają na dostęp do portów zidentyfikowanych w poniższych tabelach.
W przypadku niektórych zadań Intune wymaga nieuwierzytelnionego dostępu serwera proxy do manage.microsoft.com, *.azureedge.net i graph.microsoft.com.
Uwaga
Inspekcja ruchu SSL nie jest obsługiwana w przypadku punktów końcowych "*.manage.microsoft.com", "*.dm.microsoft.com" ani punktów końcowych zaświadczania o kondycji urządzenia wymienionych w sekcji zgodności.
Ustawienia serwera proxy można modyfikować na poszczególnych komputerach klienckich. Możesz również użyć ustawień zasady grupy, aby zmienić ustawienia dla wszystkich komputerów klienckich znajdujących się za określonym serwerem proxy.
Urządzenia zarządzane wymagają konfiguracji, które umożliwiają wszystkim użytkownikom dostęp do usług za pośrednictwem zapór.
Skrypt programu PowerShell
Aby ułatwić konfigurowanie usług za pośrednictwem zapór, dodaliśmy usługę Office 365 Endpoint. Obecnie Intune informacji o punkcie końcowym jest uzyskiwany za pośrednictwem skryptu programu PowerShell. Istnieją inne usługi zależne dla Intune, które są już objęte w ramach usługi Microsoft 365 i są oznaczone jako "wymagane". Usługi już objęte platformą Microsoft 365 nie są uwzględnione w skryptze, aby uniknąć duplikowania.
Za pomocą następującego skryptu programu PowerShell można pobrać listę adresów IP dla usługi Intune.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips
Za pomocą następującego skryptu programu PowerShell można pobrać listę nazw FQDN używanych przez usługi Intune i zależne. Po uruchomieniu skryptu adresy URL w danych wyjściowych skryptu mogą być inne niż adresy URL w poniższych tabelach. Upewnij się, że adresy URL są co najmniej uwzględniane w tabelach.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls
Skrypt udostępnia wygodną metodę wyświetlania i przeglądania wszystkich usług wymaganych przez Intune i rozwiązanie Autopilot w jednej lokalizacji. Dodatkowe właściwości mogą być zwracane z usługi punktu końcowego, takiej jak właściwość category, która wskazuje, czy nazwa FQDN lub adres IP powinny być skonfigurowane jako Zezwalaj, Optymalizuj lub Domyślnie.
Punkty końcowe
Potrzebne są również nazwy FQDN, które są objęte wymaganiami platformy Microsoft 365. W poniższych tabelach przedstawiono usługę, z którą są powiązani, oraz zwróconą listę adresów URL.
Kolumny danych wyświetlane w tabelach to:
ID: numer identyfikatora wiersza, znany również jako zestaw punktów końcowych. Ten identyfikator jest taki sam jak zwracany przez usługę sieci Web dla zestawu punktów końcowych.
Kategoria: pokazuje, czy zestaw punktów końcowych jest przydzielony do kategorii Optymalizuj, Zezwalaj lub Domyślne. Ta kolumna zawiera również listę zestawów punktów końcowych wymaganych do łączności sieciowej. W przypadku zestawów punktów końcowych, które nie muszą mieć łączności sieciowej, w tym polu udostępniamy uwagi wskazujące, jakich funkcji brakowałoby w przypadku zablokowania zestawu punktów końcowych. Jeśli wykluczasz cały obszar usługi, zestawy punktów końcowych wymienione jako wymagane nie wymagają łączności.
Możesz przeczytać o tych kategoriach i wskazówkach dotyczących zarządzania nimi w kategoriach Nowy punkt końcowy platformy Microsoft 365.
ER: Jest to wartość Tak/Prawda, jeśli zestaw punktów końcowych jest obsługiwany za pośrednictwem usługi Azure ExpressRoute z prefiksami tras platformy Microsoft 365. Społeczność BGP zawierająca wyświetlane prefiksy tras jest zgodna z wymienionym obszarem usługi. Gdy wartość ER to Nie/Fałsz, usługa ExpressRoute nie jest obsługiwana dla tego zestawu punktów końcowych.
Adresy: wyświetla listę nazw FQDN lub nazw domen z symbolami wieloznacznymi i zakresów adresów IP dla zestawu punktów końcowych. Należy pamiętać, że zakres adresów IP jest w formacie CIDR i może zawierać wiele pojedynczych adresów IP w określonej sieci.
Porty: wyświetla listę portów TCP lub UDP połączonych z wymienionymi adresami w celu utworzenia punktu końcowego sieci. Możesz zauważyć pewne duplikowanie w zakresach adresów IP, w których znajdują się różne porty.
usługa Intune core
Uwaga
Jeśli używana zapora umożliwia tworzenie reguł zapory przy użyciu nazwy domeny, użyj domeny *.manage.microsoft.com i manage.microsoft.com. Jeśli jednak używany dostawca zapory nie zezwala na tworzenie reguły zapory przy użyciu nazwy domeny, zalecamy użycie zatwierdzonej listy wszystkich podsieci w tej sekcji.
ID | Desc | Kategoria | ER | Adresy | Porty |
---|---|---|---|---|---|
163 | Intune klienta i usługę hosta | Zezwalaj Wymagany |
False | *.manage.microsoft.com manage.microsoft.com EnterpriseEnrollment.manage.microsoft.com 104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29, 104.208.197.64/27, 172.160.217.160/27, 172.201.237.160/27, 172.202.86.192/27, 172.205.63.0/25, 172.212.214.0/25, 172.215.131.0/27, 20.168.189.128/27, 20.199.207.192/28, 20.204.194.128/31, 20.208.149.192/27, 20.208.157.128/27, 20.214.131.176/29, 20.43.129.0/24, 20.91.147.72/29, 4.145.74.224/27, 4.150.254.64/27, 4.154.145.224/27, 4.200.254.32/27, 4.207.244.0/27, 4.213.25.64/27, 4.213.86.128/25, 4.216.205.32/27, 4.237.143.128/25, 40.84.70.128/25, 48.218.252.128/25, 57.151.0.192/27, 57.153.235.0/25, 57.154.140.128/25, 57.154.195.0/25, 57.155.45.128/25, 68.218.134.96/27, 74.224.214.64/27, 74.242.35.0/25, 172.208.170.0/25, 74.241.231.0/25, 74.242.184.128/25 |
TCP: 80, 443 |
172 | Optymalizacja dostarczania rozwiązania MDM | Domyślne Wymagany |
False | *.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com |
TCP: 80, 443 |
170 | MEM — Win32Apps | Domyślne Wymagany |
False | swda01-mscdn.manage.microsoft.com swda02-mscdn.manage.microsoft.com swdb01-mscdn.manage.microsoft.com swdb02-mscdn.manage.microsoft.com swdc01-mscdn.manage.microsoft.com swdc02-mscdn.manage.microsoft.com swdd01-mscdn.manage.microsoft.com swdd02-mscdn.manage.microsoft.com swdin01-mscdn.manage.microsoft.com swdin02-mscdn.manage.microsoft.com |
TCP: 443 |
97 | Outlook.com konsumentów, usługa OneDrive, uwierzytelnianie urządzenia i konto Microsoft | Domyślne Wymagany |
False | account.live.com login.live.com |
TCP: 443 |
190 | Odnajdywanie punktów końcowych | Domyślne Wymagany |
False | go.microsoft.com |
TCP: 80, 443 |
189 | Zależność — wdrażanie funkcji | Domyślne Wymagany |
False | config.edge.skype.com |
TCP: 443 |
Zależności rozwiązania Autopilot
ID | Desc | Kategoria | ER | Adresy | Porty |
---|---|---|---|---|---|
164 | Autopilot — Windows Update | Domyślne Wymagany |
False | *.windowsupdate.com *.dl.delivery.mp.microsoft.com *.prod.do.dsp.mp.microsoft.com *.delivery.mp.microsoft.com *.update.microsoft.com tsfe.trafficshaping.dsp.mp.microsoft.com adl.windows.com |
TCP: 80, 443 |
165 | Autopilot — ntp sync | Domyślne Wymagany |
False | time.windows.com |
UDP: 123 |
169 | Autopilot — zależności usługi WNS | Domyślne Wymagany |
False | clientconfig.passport.net windowsphone.com *.s-microsoft.com c.s-microsoft.com |
TCP: 443 |
173 | Autopilot — zależności wdrażania innych firm | Domyślne Wymagany |
False | ekop.intel.com ekcert.spserv.microsoft.com ftpm.amd.com |
TCP: 443 |
182 | Autopilot — przekazywanie diagnostyki | Domyślne Wymagany |
False | lgmsapeweu.blob.core.windows.net lgmsapewus2.blob.core.windows.net lgmsapesea.blob.core.windows.net lgmsapeaus.blob.core.windows.net lgmsapeind.blob.core.windows.net |
TCP: 443 |
Pomoc zdalna
ID | Desc | Kategoria | ER | Adresy | Porty | Uwagi |
---|---|---|---|---|---|---|
181 | MEM — funkcja Pomoc zdalna | Domyślne Wymagany |
False | *.support.services.microsoft.com remoteassistance.support.services.microsoft.com rdprelayv3eastusprod-0.support.services.microsoft.com *.trouter.skype.com remoteassistanceprodacs.communication.azure.com edge.skype.com aadcdn.msftauth.net aadcdn.msauth.net alcdn.msauth.net wcpstatic.microsoft.com *.aria.microsoft.com browser.pipe.aria.microsoft.com *.events.data.microsoft.com v10.events.data.microsoft.com *.monitor.azure.com js.monitor.azure.com edge.microsoft.com *.trouter.communication.microsoft.com go.trouter.communication.microsoft.com *.trouter.teams.microsoft.com trouter2-usce-1-a.trouter.teams.microsoft.com api.flightproxy.skype.com ecs.communication.microsoft.com remotehelp.microsoft.com trouter-azsc-usea-0-a.trouter.skype.com |
TCP: 443 | |
187 | Zależność — Pomoc zdalna web pubsub | Domyślne Wymagany |
False | *.webpubsub.azure.com AMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com |
TCP: 443 | |
188 | zależność Pomoc zdalna dla klientów GCC | Domyślne Wymagany |
False | remoteassistanceweb-gcc.usgov.communication.azure.us gcc.remotehelp.microsoft.com gcc.relay.remotehelp.microsoft.com *.gov.teams.microsoft.us |
TCP: 443 |
zależności Intune
W tej sekcji w poniższych tabelach wymieniono zależności Intune oraz porty i usługi, do których uzyskuje dostęp klient Intune.
- Zależności usług powiadomień wypychanych systemu Windows
- Zależności optymalizacji dostarczania
- Zależności firmy Apple
- Zależności usługi AOSP systemu Android
Zależności usług powiadomień wypychanych systemu Windows (WNS)
ID | Desc | Kategoria | ER | Adresy | Porty |
---|---|---|---|---|---|
171 | MEM — zależności usługi WNS | Domyślne Wymagany |
False | *.notify.windows.com *.wns.windows.com sinwns1011421.wns.windows.com sin.notify.windows.com |
TCP: 443 |
W przypadku zarządzanych przez Intune urządzeń z systemem Windows zarządzanych przy użyciu usługi Mobile Zarządzanie urządzeniami (MDM) akcje urządzenia i inne natychmiastowe działania wymagają korzystania z usług powiadomień wypychanych systemu Windows (WNS). Aby uzyskać więcej informacji, zobacz Zezwalanie na ruch powiadomień systemu Windows za pośrednictwem zapór przedsiębiorstwa.
Zależności optymalizacji dostarczania
ID | Desc | Kategoria | ER | Adresy | Porty |
---|---|---|---|---|---|
172 | MDM — zależności optymalizacji dostarczania | Domyślne Wymagany |
False | *.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com |
TCP: 80, 443 |
Wymagania dotyczące portów — w przypadku komunikacji klient-usługa używa protokołu HTTP lub HTTPS przez port 80/443. Opcjonalnie w przypadku ruchu równorzędnego optymalizacja dostarczania używa 7680 dla protokołu TCP/IP i teredo na porcie 3544 na potrzeby przechodzenia przez translator adresów sieciowych. Aby uzyskać więcej informacji, zobacz dokumentację optymalizacji dostarczania
Wymagania dotyczące serwera proxy — aby korzystać z optymalizacji dostarczania, należy zezwolić na żądania zakresu bajtów. Aby uzyskać więcej informacji, zobacz Wymagania serwera proxy dotyczące optymalizacji dostarczania.
Wymagania dotyczące zapory — zezwalaj następującym nazwom hostów za pośrednictwem zapory na obsługę optymalizacji dostarczania. W celu komunikacji między klientami a usługą optymalizacji dostarczania w chmurze:
- *.do.dsp.mp.microsoft.com
W przypadku metadanych optymalizacji dostarczania:
- *.dl.delivery.mp.microsoft.com
Zależności firmy Apple
ID | Desc | Kategoria | ER | Adresy | Porty |
---|---|---|---|---|---|
178 | MEM — zależności firmy Apple | Domyślne Wymagany |
False | itunes.apple.com *.itunes.apple.com *.mzstatic.com *.phobos.apple.com phobos.itunes-apple.com.akadns.net 5-courier.push.apple.com phobos.apple.com ocsp.apple.com ax.itunes.apple.com ax.itunes.apple.com.edgesuite.net s.mzstatic.com a1165.phobos.apple.com |
TCP: 80, 443, 5223 |
Aby uzyskać więcej informacji, zapoznaj się z następującymi zasobami:
- Korzystanie z produktów firmy Apple w sieciach przedsiębiorstwa
- Porty TCP i UDP używane przez produkty oprogramowania firmy Apple
- Informacje o połączeniach hosta serwera macOS, iOS/iPadOS i iTunes oraz procesach w tle programu iTunes
- Jeśli klienci systemów macOS i iOS/iPadOS nie otrzymują powiadomień wypychanych firmy Apple
Zależności usługi AOSP systemu Android
ID | Desc | Kategoria | ER | Adresy | Porty |
---|---|---|---|---|---|
179 | MEM — zależność dostawcy AOSP systemu Android | Domyślne Wymagany |
False | intunecdnpeasd.azureedge.net |
TCP: 443 |
Uwaga
Ponieważ usługi Google Mobile Services nie są dostępne w Chinach, urządzenia w Chinach zarządzane przez Intune nie mogą korzystać z funkcji wymagających usług Google Mobile Services. Te funkcje obejmują: funkcje usługi Google Play Protect, takie jak zaświadczanie urządzeń SafetyNet, zarządzanie aplikacjami ze sklepu Google Play, możliwości rozwiązania Android Enterprise (zobacz tę dokumentację firmy Google). Ponadto aplikacja Intune — Portal firmy dla systemu Android używa usług Google Mobile Services do komunikowania się z usługą Microsoft Intune. Ponieważ usługi Google Play nie są dostępne w Chinach, niektóre zadania mogą wymagać do 8 godzin. Aby uzyskać więcej informacji, zobacz Ograniczenia zarządzania Intune, gdy usługa GMS jest niedostępna.
Informacje o porcie systemu Android — w zależności od sposobu zarządzania urządzeniami z systemem Android może być konieczne otwarcie portów Google Android Enterprise i/lub powiadomienia wypychanego systemu Android. Aby uzyskać więcej informacji na temat obsługiwanych metod zarządzania systemem Android, zobacz dokumentację rejestracji systemu Android.
Zależności systemu Android Enterprise
Google Android Enterprise — firma Google udostępnia dokumentację wymaganych portów sieciowych i nazw hostów docelowych w podręczniku Android Enterprise Bluebook w sekcji Zapora tego dokumentu.
Powiadomienie wypychane systemu Android — Intune używa usługi Google Firebase Cloud Messaging (FCM) do wysyłania powiadomień wypychanych w celu wyzwalania akcji urządzenia i ewidencjonowania. Jest to wymagane zarówno przez administratora urządzeń z systemem Android, jak i system Android Enterprise. Aby uzyskać informacje na temat wymagań sieciowych usługi FCM, zobacz Porty usługi FCM firmy Google i zapora.
Zależności uwierzytelniania
ID | Desc | Kategoria | ER | Adresy | Porty |
---|---|---|---|---|---|
56 | Uwierzytelnianie i tożsamość, obejmuje usługę Azure Active Directory i Azure AD powiązanych usług. | Zezwalaj Wymagany |
True | login.microsoftonline.com graph.windows.net |
TCP: 80, 443 |
150 | Usługa dostosowywania pakietu Office zapewnia Office 365 ProPlus konfigurację wdrożenia, ustawienia aplikacji i zarządzanie zasadami opartymi na chmurze. | Domyślne | False | *.officeconfig.msocdn.com config.office.com |
TCP: 443 |
59 | Usługi obsługujące tożsamość & sieci CDN. | Domyślne Wymagany |
False | enterpriseregistration.windows.net |
TCP: 80, 443 |
Aby uzyskać więcej informacji, przejdź do Office 365 adresów URL i zakresów adresów IP.
Wymagania sieciowe dotyczące skryptów programu PowerShell i aplikacji Win32
Jeśli używasz Intune do wdrażania skryptów programu PowerShell lub aplikacji Win32, musisz również udzielić dostępu do punktów końcowych, w których obecnie znajduje się dzierżawa.
Aby znaleźć lokalizację dzierżawy lub usługę Azure Scale Unit (ASU), zaloguj się do centrum administracyjnego Microsoft Intune, wybierz pozycjęSzczegóły dzierżawyadministracji> dzierżawy. Lokalizacja znajduje się w obszarze Lokalizacja dzierżawy, podobnie jak Ameryka Północna 0501 lub Europa 0202. Poszukaj pasującej liczby w poniższej tabeli. Ten wiersz informuje o tym, do których punktów końcowych magazynu i punktów końcowych usługi CDN udzielić dostępu. Wiersze są zróżnicowane według regionu geograficznego, zgodnie z dwoma pierwszymi literami w nazwach (na = Ameryka Północna, eu = Europe, ap = Azja i Pacyfik). Lokalizacja dzierżawy jest jednym z tych trzech regionów, chociaż rzeczywista lokalizacja geograficzna organizacji może znajdować się w innym miejscu.
Uwaga
Zezwalaj na częściową odpowiedź HTTP jest wymagana dla skryptów & punktów końcowych aplikacji Win32.
Azure Scale Unit (ASU) | Nazwa magazynu | CDN | Port |
---|---|---|---|
AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0601 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901 |
naprodimedatapri naprodimedatasec naprodimedatahotfix |
naprodimedatapri.azureedge.net naprodimedatasec.azureedge.net naprodimedatahotfix.azureedge.net imeswda-afd-primary.manage.microsoft.com imeswda-afd-secondary.manage.microsoft.com imeswda-afd-hotfix.manage.microsoft.com |
TCP: 443 |
AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701 |
euprodimedatapri euprodimedatasec euprodimedatahotfix |
euprodimedatapri.azureedge.net euprodimedatasec.azureedge.net euprodimedatahotfix.azureedge.net imeswdb-afd-primary.manage.microsoft.com imeswdb-afd-secondary.manage.microsoft.com imeswdb-afd-hotfix.manage.microsoft.com |
TCP: 443 |
AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUC0601 AMSUD0101 |
approdimedatapri approdimedatasec approdimedatahotifx |
approdimedatapri.azureedge.net approdimedatasec.azureedge.net approdimedatahotfix.azureedge.net imeswdc-afd-primary.manage.microsoft.com imeswdc-afd-secondary.manage.microsoft.com imeswdc-afd-hotfix.manage.microsoft.com |
TCP: 443 |
Wymagania sieciowe dotyczące wdrożeń aplikacji i skryptów systemu macOS
Jeśli używasz Intune do wdrażania aplikacji lub skryptów w systemie macOS, musisz również udzielić dostępu do punktów końcowych, w których obecnie znajduje się dzierżawa.
Aby znaleźć lokalizację dzierżawy lub usługę Azure Scale Unit (ASU), zaloguj się do centrum administracyjnego Microsoft Intune, wybierz pozycjęSzczegóły dzierżawyadministracji> dzierżawy. Lokalizacja znajduje się w obszarze Lokalizacja dzierżawy, podobnie jak Ameryka Północna 0501 lub Europa 0202. Poszukaj pasującej liczby w poniższej tabeli. Ten wiersz informuje o tym, do których punktów końcowych magazynu i punktów końcowych usługi CDN udzielić dostępu. Wiersze są zróżnicowane według regionu geograficznego, zgodnie z dwoma pierwszymi literami w nazwach (na = Ameryka Północna, eu = Europe, ap = Azja i Pacyfik). Lokalizacja dzierżawy jest jednym z tych trzech regionów, chociaż rzeczywista lokalizacja geograficzna organizacji może znajdować się w innym miejscu.
Azure Scale Unit (ASU) | CDN | Port |
---|---|---|
AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0601 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901 |
macsidecar.manage.microsoft.com | TCP: 443 |
AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701 |
macsidecareu.manage.microsoft.com | TCP: 443 |
AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUC0601 AMSUD0101 |
macsidecarap.manage.microsoft.com | TCP: 443 |
Microsoft Store
Zarządzane urządzenia z systemem Windows korzystające ze Sklepu Microsoft — do uzyskiwania, instalowania lub aktualizowania aplikacji — wymagają dostępu do tych punktów końcowych.
Interfejs API sklepu Microsoft Store (AppInstallManager):
- displaycatalog.mp.microsoft.com
- purchase.md.mp.microsoft.com
- licensing.mp.microsoft.com
- storeedgefd.dsx.mp.microsoft.com
agent Windows Update:
Aby uzyskać szczegółowe informacje, zobacz następujące zasoby:
- Zarządzanie punktami końcowymi połączeń dla Windows 11 Enterprise
- Zarządzanie punktami końcowymi połączeń dla Windows 10 Enterprise w wersji 21H2
Pobieranie zawartości Win32:
Lokalizacje pobierania zawartości Win32 i punkty końcowe są unikatowe dla poszczególnych aplikacji i są udostępniane przez wydawcę zewnętrznego. Lokalizację dla każdej aplikacji ze sklepu Win32 Store można znaleźć za pomocą następującego polecenia w systemie testowym (możesz uzyskać identyfikator [PackageId] dla aplikacji ze Sklepu, odwołując się do właściwości Identyfikator pakietu aplikacji po dodaniu jej do Microsoft Intune):
winget show [PackageId]
Właściwość Adres URL instalatora pokazuje zewnętrzną lokalizację pobierania lub rezerwową pamięć podręczną opartą na regionie (hostowaną przez firmę Microsoft) w zależności od tego, czy pamięć podręczna jest używana. Należy pamiętać, że lokalizacja pobierania zawartości może się zmieniać między pamięcią podręczną a lokalizacją zewnętrzną.
Rezerwowa pamięć podręczna aplikacji Win32 hostowana przez firmę Microsoft:
- Różni się w zależności od regionu, przykład: sparkcdneus2.azureedge.net, sparkcdnwus2.azureedge.net
Optymalizacja dostarczania (opcjonalna, wymagana do komunikacji równorzędnej):
Aby uzyskać szczegółowe informacje, zobacz następujący zasób:
Migrowanie zasad zgodności zaświadczania o kondycji urządzenia do zaświadczania platformy Microsoft Azure
Jeśli klient włączy dowolną z zasad zgodności Windows 10/11 — ustawienia kondycji urządzenia, Windows 11 urządzenia zaczną korzystać z usługi Microsoft Azure Attestation (MAA) na podstawie Intune lokalizacji dzierżawy. Jednak środowiska Windows 10 i GCCH/DOD będą nadal używać istniejącego punktu końcowego dha zaświadczania o kondycji urządzenia "has.spserv.microsoft.com" do raportowania zaświadczania o kondycji urządzenia i ta zmiana nie ma na nie wpływu.
Jeśli klient ma zasady zapory, które uniemożliwiają dostęp do nowej usługi Intune MAA dla Windows 11, Windows 11 urządzenia z przypisanymi zasadami zgodności przy użyciu jakichkolwiek ustawień kondycji urządzenia (Funkcja BitLocker, bezpieczny rozruch, integralność kodu), ponieważ nie mogą uzyskać dostępu do punktów końcowych zaświadczania maa dla swojej lokalizacji.
Upewnij się, że żadne reguły zapory nie blokują ruchu wychodzącego HTTPS/443, a inspekcja ruchu SSL nie jest przeprowadzana dla punktów końcowych wymienionych w tej sekcji na podstawie lokalizacji dzierżawy Intune.
Aby znaleźć lokalizację dzierżawy, przejdź do centrum > administracyjnego IntuneSzczegóły dzierżawy administracji>> dzierżawy, zobacz Lokalizacja dzierżawy.
'https://intunemaape1.eus.attest.azure.net'
'https://intunemaape2.eus2.attest.azure.net'
'https://intunemaape3.cus.attest.azure.net'
'https://intunemaape4.wus.attest.azure.net'
'https://intunemaape5.scus.attest.azure.net'
'https://intunemaape6.ncus.attest.azure.net'
Usługa wdrażania usługi Windows Update dla Firm
Aby uzyskać więcej informacji na temat wymaganych punktów końcowych dla usługi wdrażania Windows Update for Business, zobacz wymagania wstępne usługi wdrażania Windows Update for Business.
Analiza punktu końcowego
Aby uzyskać więcej informacji na temat wymaganych punktów końcowych dla analizy punktów końcowych, zobacz Konfiguracja serwera proxy analizy punktów końcowych.
Ochrona punktu końcowego w usłudze Microsoft Defender
Aby uzyskać więcej informacji na temat konfigurowania usługi Defender na potrzeby łączności z punktem końcowym, zobacz Wymagania dotyczące łączności.
Aby obsługiwać zarządzanie ustawieniami zabezpieczeń usługi Defender for Endpoint, zezwalaj na następujące nazwy hostów za pośrednictwem zapory. W celu komunikacji między klientami a usługą w chmurze:
*.dm.microsoft.com — użycie symbolu wieloznacznego obsługuje punkty końcowe usługi w chmurze używane do rejestracji, ewidencjonowania i raportowania, które mogą ulec zmianie w miarę skalowania usługi.
Ważna
Inspekcja protokołu SSL nie jest obsługiwana w punktach końcowych wymaganych dla Ochrona punktu końcowego w usłudze Microsoft Defender.
Zarządzanie Uprawnieniami Punktów Końcowych w Microsoft Intune
Aby obsługiwać zarządzanie uprawnieniami punktu końcowego, zezwalaj na następujące nazwy hostów na porcie tcp 443 za pośrednictwem zapory
W celu komunikacji między klientami a usługą w chmurze:
*.dm.microsoft.com — użycie symbolu wieloznacznego obsługuje punkty końcowe usługi w chmurze używane do rejestracji, ewidencjonowania i raportowania, które mogą ulec zmianie w miarę skalowania usługi.
*.events.data.microsoft.com — używane przez urządzenia zarządzane przez Intune do wysyłania opcjonalnych danych raportowania do punktu końcowego zbierania danych Intune.
Ważna
Inspekcja protokołu SSL nie jest obsługiwana w punktach końcowych wymaganych do zarządzania uprawnieniami punktu końcowego.
Aby uzyskać więcej informacji, zobacz Omówienie usługi Endpoint Privilege Management.
Tematy pokrewne
Adresy URL i zakresy adresów IP usługi Office 365
Omówienie łączności sieciowej platformy Microsoft 365
Sieci dostarczania zawartości (CDN)
Inne punkty końcowe nie są uwzględnione w usłudze sieci Web Office 365 adresów IP i adresów URL