Udostępnij za pośrednictwem


Punkty końcowe DoD dla instytucji rządowych Usa platformy Microsoft 365

Dotyczy: Administracja Microsoft 365

Platforma Microsoft 365 wymaga łączności z Internetem. Poniższe punkty końcowe powinny być dostępne tylko dla klientów korzystających z planów DoD platformy Microsoft 365 dla instytucji rządowych USA.

Punkty końcowe platformy Microsoft 365:Worldwide (w tym GCC) | Microsoft 365 obsługiwany przez 21 vianet | Microsoft 365 U.S. Government DoD | Microsoft 365 U.S. Government GCC High


****
Uwagi Pobierz
Ostatnia aktualizacja: 30.09.2024 — RSS.Zmienianie subskrypcji dziennika Pobierz: pełna lista w formacie JSON

Zacznij od zarządzania punktami końcowymi platformy Microsoft 365 , aby poznać nasze zalecenia dotyczące zarządzania łącznością sieciową przy użyciu tych danych. Dane punktów końcowych są aktualizowane zgodnie z potrzebami na początku każdego miesiąca przy użyciu nowych adresów IP i adresów URL opublikowanych 30 dni przed uaktywnieniem. Dzięki temu klienci, którzy nie mają jeszcze automatycznych aktualizacji, mogą ukończyć swoje procesy, zanim będzie wymagana nowa łączność. Punkty końcowe mogą być również aktualizowane w ciągu miesiąca, jeśli jest to konieczne w celu realizacji eskalacji pomocy technicznej, zdarzeń zabezpieczeń lub innych natychmiastowych wymagań operacyjnych. Wszystkie dane wyświetlane na poniższej stronie są generowane na podstawie usług internetowych opartych na protokole REST. Jeśli do uzyskiwania dostępu do tych danych używasz skryptu lub urządzenia sieciowego, przejdź bezpośrednio do pozycji Usługa sieci Web.

Poniższe dane punktu końcowego zawierają listę wymagań dotyczących łączności z maszyny użytkownika do platformy Microsoft 365. Nie obejmuje ona połączeń sieciowych firmy Microsoft z siecią klienta, czasami nazywaną połączeniami sieciowymi hybrydowymi lub przychodzącymi. Aby uzyskać więcej informacji, zobacz Dodatkowe punkty końcowe, które nie są uwzględnione w usłudze internetowej.

Pakiet Microsoft 365 jest podzielony na cztery główne obszary usług reprezentujące trzy podstawowe obciążenia i zestaw wspólnych zasobów. Te obszary usług mogą służyć do kojarzenia przepływów ruchu z określoną aplikacją, jednak biorąc pod uwagę, że funkcje często używają punktów końcowych w wielu obciążeniach, tych obszarów usług nie można skutecznie używać do ograniczania dostępu.

Wyświetlane kolumny danych to:

  • ID: numer identyfikatora wiersza, znany również jako zestaw punktów końcowych. Ten identyfikator jest taki sam jak zwracany przez usługę sieci Web dla zestawu punktów końcowych.

  • Kategoria: pokazuje, czy zestaw punktów końcowych jest przydzielony do kategorii „Optymalizuj”, „Zezwalaj” lub „Domyślne”. Informacje o tych kategoriach i wskazówki dotyczące zarządzania nimi można znaleźć na stronie https://aka.ms/pnc. Ta kolumna zawiera również listę zestawów punktów końcowych wymaganych do łączności sieciowej. W przypadku zestawów punktów końcowych, które nie muszą mieć łączności sieciowej, w tym polu udostępniamy uwagi wskazujące, jakich funkcji brakowałoby w przypadku zablokowania zestawu punktów końcowych. Jeśli wykluczasz cały obszar usługi, zestawy punktów końcowych wymienione jako wymagane nie wymagają łączności.

  • ER: Jest tak, jeśli zestaw punktów końcowych jest obsługiwany za pośrednictwem usługi Azure ExpressRoute z prefiksami tras platformy Microsoft 365. Społeczność BGP zawierająca wyświetlane prefiksy tras jest zgodna z wymienionym obszarem usługi. Jeśli wartość ER to Nie, oznacza to, że usługa ExpressRoute nie jest obsługiwana dla tego zestawu punktów końcowych. Nie należy jednak zakładać, że żadne trasy nie są anonsowane dla zestawu punktów końcowych, w którym ER to Nie. Jeśli planujesz używać programu Microsoft Entra Connect, przeczytaj sekcję poświęconą zagadnieniom specjalnym, aby upewnić się, że masz odpowiednią konfigurację programu Microsoft Entra Connect.

  • Adresy: wyświetla listę nazw FQDN lub nazw domen z symbolami wieloznacznymi i zakresów adresów IP dla zestawu punktów końcowych. Należy pamiętać, że zakres adresów IP jest w formacie CIDR i może zawierać wiele pojedynczych adresów IP w określonej sieci.

  • Porty: wyświetla listę portów TCP lub UDP połączonych z adresami w celu utworzenia punktu końcowego sieci. Możesz zauważyć pewne duplikowanie zakresów adresów IP, gdzie znajdują się różne porty.

Exchange Online

ID Kategoria ER Adresy Porty
1 Optymalizuj
Wymagany
Tak outlook-dod.office365.us, webmail.apps.mil
20.35.192.0/20, 40.66.24.0/21, 2001:489a:2200:500::/56, 2001:489a:2200:700::/56
TCP: 443, 80
4 Domyślne
Wymagany
Tak outlook-dod.office365.us, webmail.apps.mil TCP: 143, 25, 587, 993, 995
5 Domyślne
Wymagany
Tak attachments-dod.office365-net.us, autodiscover-s-dod.office365.us, autodiscover.<tenant>.mail.onmicrosoft.com, autodiscover.<tenant>.mail.onmicrosoft.us, autodiscover.<tenant>.onmicrosoft.com, autodiscover.<tenant>.onmicrosoft.us TCP: 443, 80
6 Zezwalaj
Wymagany
Tak *.protection.apps.mil, *.protection.office365.us
23.103.191.0/24, 23.103.199.0/25, 23.103.204.0/22, 2001:489a:2202::/62, 2001:489a:2202:8::/62, 2001:489a:2202:2000::/63
TCP: 25, 443
34 Domyślne
Wymagany
Nie admin.exchange.apps.mil TCP: 443

Usługi SharePoint Online i OneDrive dla Firm

ID Kategoria ER Adresy Porty
9 Optymalizuj
Wymagany
Tak *.dps.mil, *.sharepoint-mil.us
20.34.12.0/22, 2001:489a:2204:902::/63, 2001:489a:2204:c00::/63
TCP: 443, 80
10 Domyślne
Wymagany
Nie *.wns.windows.com, g.live.com, oneclient.sfx.ms TCP: 443, 80
19 Zezwalaj
Wymagany
Tak *.od.apps.mil, od.apps.mil TCP: 443, 80
20 Domyślne
Wymagany
Nie *.svc.ms, az741266.vo.msecnd.net, spoprod-a.akamaihd.net, static.sharepointonline.com TCP: 443, 80

Microsoft Teams

ID Kategoria ER Adresy Porty
7 Optymalizuj
Wymagany
Tak *.dod.teams.microsoft.us, *.online.dod.skypeforbusiness.us, dod.teams.microsoft.us
13.72.128.0/20, 52.127.64.0/21, 104.212.32.0/22, 195.134.240.0/22, 2001:489a:2250::/44
TCP: 443
UDP: 3478, 3479, 3480, 3481
21 Domyślne
Wymagany
Nie dodteamsapuiwebcontent.blob.core.usgovcloudapi.net, msteamsstatics.blob.core.usgovcloudapi.net, statics.teams.microsoft.com TCP: 443
22 Zezwalaj
Wymagany
Tak endpoint1-proddodcecompsvc-dodc.streaming.media.usgovcloudapi.net, endpoint1-proddodeacompsvc-dode.streaming.media.usgovcloudapi.net
52.181.167.113/32, 52.182.52.226/32, 2001:489a:2250::/44
TCP: 443

Microsoft 365 Common i Office Online

ID Kategoria ER Adresy Porty
11 Zezwalaj
Wymagany
Tak *.dod.online.office365.us
52.127.80.0/23, 2001:489a:2208:8000::/49
TCP: 443
12 Domyślne
Wymagany
Nie *.office365.us TCP: 443, 80
13 Zezwalaj
Wymagany
Tak *.auth.microsoft.us, *.gov.us.microsoftonline.com, dod-graph.microsoft.us, graph.microsoftazure.us, login.microsoftonline.us
20.140.232.0/23, 52.126.194.0/23, 2001:489a:3500::/50
TCP: 443
14 Domyślne
Wymagany
Nie *.msauth.net, *.msauthimages.us, *.msftauth.net, *.msftauthimages.us, clientconfig.microsoftonline-p.net, graph.windows.net, login-us.microsoftonline.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, loginex.microsoftonline.com, mscrl.microsoft.com, nexus.microsoftonline-p.com, secure.aadcdn.microsoftonline-p.com TCP: 443
15 Zezwalaj
Wymagany
Tak portal.apps.mil, reports.apps.mil, webshell.dodsuite.office365.us, www.ohome.apps.mil
52.127.72.42/32, 52.127.76.42/32, 52.180.251.166/32, 52.181.24.112/32, 52.181.160.113/32, 52.182.24.200/32, 52.182.54.237/32
TCP: 443
16 Zezwalaj
Wymagany
Tak *.osi.apps.mil, dod.loki.office365.us
52.127.72.0/21, 2001:489a:2206::/48
TCP: 443
17 Domyślne
Wymagany
Nie activation.sls.microsoft.com, crl.microsoft.com, go.microsoft.com, insertmedia.bing.office.net, ocsa.officeapps.live.com, ocsredir.officeapps.live.com, ocws.officeapps.live.com, office15client.microsoft.com, officecdn.microsoft.com, officecdn.microsoft.com.edgesuite.net, officepreviewredir.microsoft.com, officeredir.microsoft.com, ols.officeapps.live.com, r.office.microsoft.com TCP: 443, 80
18 Domyślne
Wymagany
Nie cdn.odc.officeapps.live.com, mrodevicemgr.officeapps.live.com, odc.officeapps.live.com, officeclient.microsoft.com TCP: 443, 80
24 Domyślne
Wymagany
Nie lpcres.delve.office.com TCP: 443
25 Domyślne
Wymagany
Nie *.cdn.office.net TCP: 443
26 Zezwalaj
Wymagany
Tak *.security.apps.mil, compliance.apps.mil, purview.apps.mil, scc.protection.apps.mil, security.apps.mil
23.103.204.0/22, 52.127.72.0/21
TCP: 443, 80
28 Domyślne
Wymagany
Nie activity.windows.com, dod.activity.windows.us TCP: 443
29 Domyślne
Wymagany
Nie dod-mtis.cortana.ai TCP: 443
30 Domyślne
Wymagany
Nie *.aadrm.us, *.informationprotection.azure.us TCP: 443
31 Domyślne
Wymagany
Nie pf.events.data.microsoft.com, pf.pipe.aria.microsoft.com TCP: 443, 80
32 Domyślne
Wymagany
Nie config.apps.mil TCP: 443

Uwagi dotyczące tej tabeli:

  • Centrum zabezpieczeń i zgodności (SCC) zapewnia obsługę usługi Azure ExpressRoute dla platformy Microsoft 365. To samo dotyczy wielu funkcji udostępnianych za pośrednictwem SCC, takich jak raportowanie, inspekcja, zbieranie elektronicznych materiałów dowodowych (Premium), ujednolicone DLP i zarządzanie danymi. Dwie konkretne funkcje, PST Import i eDiscovery Export, obecnie nie obsługują usługi Azure ExpressRoute tylko z filtrami tras platformy Microsoft 365 ze względu na ich zależność od Azure Blob Storage. Aby korzystać z tych funkcji, potrzebujesz oddzielnej łączności z Azure Blob Storage przy użyciu dowolnych obsługiwanych opcji łączności platformy Azure, które obejmują łączność z Internetem lub usługę Azure ExpressRoute z filtrami tras publicznych platformy Azure. Należy ocenić ustanowienie takiej łączności dla obu tych funkcji. Zespół Information Protection platformy Microsoft 365 jest świadomy tego ograniczenia i aktywnie pracuje nad obsługą usługi Azure ExpressRoute dla platformy Microsoft 365 w zakresie ograniczonym do filtrów tras platformy Microsoft 365 dla obu tych funkcji.

  • Istnieją dodatkowe opcjonalne punkty końcowe dla Aplikacje Microsoft 365 dla przedsiębiorstw, które nie są wymienione i nie są wymagane, aby użytkownicy uruchamiali Aplikacje Microsoft 365 dla przedsiębiorstw aplikacje i edytowali dokumenty. Opcjonalne punkty końcowe są hostowane w centrach danych firmy Microsoft i nie przetwarzają, nie przesyłają ani nie przechowują danych klientów. Zalecamy, aby połączenia użytkowników z tymi punktami końcowymi były kierowane do domyślnego obwodu ruchu wychodzącego z Internetu.