Pontos de extremidade de rede para o Microsoft Intune
Este artigo lista os endereços IP e as definições de porta necessárias para as definições de proxy nas implementações de Microsoft Intune.
Como serviço apenas na cloud, Intune não requer uma infraestrutura no local, como servidores ou gateways.
Acesso para dispositivos gerenciados
Para gerenciar dispositivos por trás de firewalls e servidores proxy, habilite a comunicação para o Intune.
Observação
As informações nessa seção também se aplicam ao Conector do Certificados do Microsoft Intune. O conector tem os mesmos requisitos de rede que os dispositivos gerenciados.
Os pontos finais neste artigo permitem o acesso às portas identificadas nas tabelas seguintes.
Para algumas tarefas, Intune requer acesso de servidor proxy não autenticado a manage.microsoft.com, *.azureedge.net e graph.microsoft.com.
Observação
A inspeção de tráfego SSL não é suportada para os pontos finais "*.manage.microsoft.com", "*.dm.microsoft.com" ou para os pontos finais do Atestado de Estado de Funcionamento do Dispositivo (DHA) listados na secção de conformidade.
Você pode modificar as configurações do servidor proxy em computadores clientes individuais. Você também pode usar as definições da Política de Grupo para alterar as configurações de todos os computadores cliente que estejam em um servidor proxy especificado.
Os dispositivos gerenciados exigem configurações que permitam que Todos os Usuários acessem os serviços através de firewalls.
Script do Windows PowerShell
Para facilitar a configuração dos serviços através de firewalls, integrámos o serviço Office 365 Endpoint. Neste momento, as informações do ponto final Intune são acedidas através de um script do PowerShell. Existem outros serviços dependentes para Intune que já estão abrangidos como parte do Serviço microsoft 365 e estão marcados como "obrigatórios". Os serviços já abrangidos pelo Microsoft 365 não estão incluídos no script para evitar duplicações.
Ao utilizar o seguinte script do PowerShell, pode obter a lista de endereços IP do serviço Intune.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips
Ao utilizar o seguinte script do PowerShell, pode obter a lista de FQDNs utilizados por Intune e serviços dependentes. Quando executa o script, os URLs na saída do script podem ser diferentes dos URLs nas tabelas seguintes. No mínimo, certifique-se de que inclui os URLs nas tabelas.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls
O script fornece um método conveniente para listar e rever todos os serviços necessários para Intune e Autopilot numa única localização. Podem ser devolvidas propriedades adicionais do serviço de ponto final, como a propriedade category, que indica se o FQDN ou o IP devem ser configurados como Permitir, Otimizar ou Predefinido.
Pontos de extremidade
Também precisa de FQDNs abrangidos como parte dos Requisitos do Microsoft 365. Para referência, as tabelas seguintes mostram o serviço ao qual estão ligados e a lista de URLs devolvidos.
As colunas de dados apresentadas nas tabelas são:
ID: O número da ID da linha, também conhecido como conjunto de pontos de extremidade. Essa ID é a mesma retornada pelo serviço Web para o conjunto de pontos de extremidade.
Categoria: Mostra se o conjunto de pontos de extremidade é classificado como Otimizar, Permitir ou Padrão. Essa coluna também lista quais conjuntos de terminais precisam ter conectividade de rede. Para os conjuntos de pontos de extremidade que não precisam ter conectividade com a rede, fornecemos observações nesse campo para indicar a funcionalidade que estaria ausente se o conjunto de pontos de extremidade estiver bloqueado. Se você estiver excluindo uma área de serviço inteira, os conjuntos de pontos de extremidade listados como necessários não exigirão conectividade.
Pode ler sobre estas categorias e documentação de orientação para a respetiva gestão em Novas categorias de pontos finais do Microsoft 365.
ER: Isto é Sim/Verdadeiro se o conjunto de pontos finais for suportado através do Azure ExpressRoute com prefixos de rota do Microsoft 365. A comunidade BGP que inclui os prefixos de rota mostrados se alinha com a área de serviço listada. Quando o ER é Não/Falso, o ExpressRoute não é suportado para este conjunto de pontos finais.
Endereço: Lista os FQDNs ou nomes de domínio curinga e intervalos de endereços IP para o conjunto de pontos de extremidade. Observe que um intervalo de endereços IP está no formato CIDR e pode incluir muitos endereços IP individuais na rede especificada.
Portas: Lista as portas TCP ou UDP que são combinadas com os endereços IP listados para formar o ponto de extremidade da rede. Você pode notar alguma duplicação nos intervalos de endereços IP em que há diferentes portas listadas.
Intune serviço principal
Observação
Se a firewall que está a utilizar lhe permitir criar regras de firewall com um nome de domínio, utilize o domínio *.manage.microsoft.com e manage.microsoft.com. No entanto, se o fornecedor de firewall que está a utilizar não permitir a criação de uma regra de firewall com um nome de domínio, recomendamos que utilize a lista aprovada de todas as sub-redes nesta secção.
ID | Desc | Categoria | ER | Endereços | Portas |
---|---|---|---|---|---|
163 | Intune cliente e serviço de anfitrião | Permitir Obrigatório |
Falso | *.manage.microsoft.com manage.microsoft.com EnterpriseEnrollment.manage.microsoft.com 104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.71.199.64/28, 13.73.244.48/28, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 20.49.93.160/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29 |
TCP: 80, 443 |
172 | Otimização da Entrega mdm | Padrão Obrigatório |
Falso | *.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com |
TCP: 80, 443 |
170 | MEM – Win32Apps | Padrão Obrigatório |
Falso | swda01-mscdn.manage.microsoft.com swda02-mscdn.manage.microsoft.com swdb01-mscdn.manage.microsoft.com swdb02-mscdn.manage.microsoft.com swdc01-mscdn.manage.microsoft.com swdc02-mscdn.manage.microsoft.com swdd01-mscdn.manage.microsoft.com swdd02-mscdn.manage.microsoft.com swdin01-mscdn.manage.microsoft.com swdin02-mscdn.manage.microsoft.com |
TCP: 443 |
97 | Outlook.com de consumidor, OneDrive, Autenticação de dispositivos e conta Microsoft | Padrão Obrigatório |
Falso | account.live.com login.live.com |
TCP: 443 |
190 | Deteção de pontos finais | Padrão Obrigatório |
Falso | go.microsoft.com |
TCP: 80, 443 |
189 | Dependência - Implementação de Funcionalidades | Padrão Obrigatório |
Falso | config.edge.skype.com |
TCP: 443 |
Dependências do Autopilot
ID | Desc | Categoria | ER | Endereços | Portas |
---|---|---|---|---|---|
164 | Autopilot - Windows Update | Padrão Obrigatório |
Falso | *.windowsupdate.com *.dl.delivery.mp.microsoft.com *.prod.do.dsp.mp.microsoft.com *.delivery.mp.microsoft.com *.update.microsoft.com tsfe.trafficshaping.dsp.mp.microsoft.com adl.windows.com |
TCP: 80, 443 |
165 | Autopilot - Sincronização NTP | Padrão Obrigatório |
Falso | time.windows.com |
UDP: 123 |
169 | Autopilot - Dependências WNS | Padrão Obrigatório |
Falso | clientconfig.passport.net windowsphone.com *.s-microsoft.com c.s-microsoft.com |
TCP: 443 |
173 | Autopilot – Dependências de implementação de terceiros | Padrão Obrigatório |
Falso | ekop.intel.com ekcert.spserv.microsoft.com ftpm.amd.com |
TCP: 443 |
182 | Autopilot – Carregamento de diagnósticos | Padrão Obrigatório |
Falso | lgmsapeweu.blob.core.windows.net |
TCP: 443 |
Ajuda remota
ID | Desc | Categoria | ER | Endereços | Portas | Notas |
---|---|---|---|---|---|---|
181 | MEM – Funcionalidade Ajuda remota | Padrão Obrigatório |
Falso | *.support.services.microsoft.com remoteassistance.support.services.microsoft.com rdprelayv3eastusprod-0.support.services.microsoft.com *.trouter.skype.com remoteassistanceprodacs.communication.azure.com edge.skype.com aadcdn.msftauth.net aadcdn.msauth.net alcdn.msauth.net wcpstatic.microsoft.com *.aria.microsoft.com browser.pipe.aria.microsoft.com *.events.data.microsoft.com v10.events.data.microsoft.com *.monitor.azure.com js.monitor.azure.com edge.microsoft.com *.trouter.communication.microsoft.com go.trouter.communication.microsoft.com *.trouter.teams.microsoft.com trouter2-usce-1-a.trouter.teams.microsoft.com api.flightproxy.skype.com ecs.communication.microsoft.com remotehelp.microsoft.com trouter-azsc-usea-0-a.trouter.skype.com |
TCP: 443 | |
187 | Dependency - Ajuda remota web pubsub | Padrão Obrigatório |
Falso | *.webpubsub.azure.com AMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com |
TCP: 443 | |
188 | Dependência do Ajuda remota para clientes GCC | Padrão Obrigatório |
Falso | remoteassistanceweb-gcc.usgov.communication.azure.us gcc.remotehelp.microsoft.com gcc.relay.remotehelp.microsoft.com *.gov.teams.microsoft.us |
TCP: 443 |
dependências de Intune
Nesta secção, as tabelas seguintes listam as dependências de Intune e as portas e serviços a que o cliente Intune acede.
- Dependências dos Serviços de Notificação Push do Windows
- Dependências de otimização da entrega
- Dependências da Apple
- Dependências dos AOSP para Android
Dependências do Windows Push Notification Services (WNS)
ID | Desc | Categoria | ER | Endereços | Portas |
---|---|---|---|---|---|
171 | MEM – Dependências WNS | Padrão Obrigatório |
Falso | *.notify.windows.com *.wns.windows.com sinwns1011421.wns.windows.com sin.notify.windows.com |
TCP: 443 |
Para dispositivos Windows gerenciados pelo Intune-gerenciados usando o Gerenciamento de Dispositivo Móvel (MDM), as ações do dispositivo e outras atividades imediatas exigem o uso dos Serviços de Notificação por Push do Windows (WNS). Para obter mais informações, confira Permitindo o tráfego da Notificação do Windows por meio de firewalls empresariais.
Dependências de otimização da entrega
ID | Desc | Categoria | ER | Endereços | Portas |
---|---|---|---|---|---|
172 | MDM – Dependências de Otimização da Entrega | Padrão Obrigatório |
Falso | *.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com |
TCP: 80, 443 |
Requisitos de porta – para a comunicação cliente-serviço, utiliza HTTP ou HTTPS através da porta 80/443. Opcionalmente, para o tráfego ponto a ponto, a Otimização da Entrega utiliza 7680 para TCP/IP e Teredo na porta 3544 para o NAT Traversal. Para obter mais informações, veja Documentação da Otimização da Entrega
Requisitos de proxy – para utilizar a Otimização da Entrega, tem de permitir pedidos de Intervalo de Bytes. Para obter mais informações, veja Requisitos de proxy para Otimização da Entrega.
Requisitos da firewall – permita que os seguintes nomes de anfitrião através da firewall suportem a Otimização da Entrega. Para a comunicação entre clientes e o serviço de nuvem Otimização de Entrega:
- *.do.dsp.mp.microsoft.com
Para os metadados da Otimização de Entrega:
- *.dl.delivery.mp.microsoft.com
Dependências da Apple
ID | Desc | Categoria | ER | Endereços | Portas |
---|---|---|---|---|---|
178 | MEM - Dependências da Apple | Padrão Obrigatório |
Falso | itunes.apple.com *.itunes.apple.com *.mzstatic.com *.phobos.apple.com phobos.itunes-apple.com.akadns.net 5-courier.push.apple.com phobos.apple.com ocsp.apple.com ax.itunes.apple.com ax.itunes.apple.com.edgesuite.net s.mzstatic.com a1165.phobos.apple.com |
TCP: 80, 443, 5223 |
Para obter mais informações, consulte os seguintes recursos:
- Utilizar produtos Apple em redes empresariais
- Portas TCP e UDP usadas pelos produtos de software da Apple
- Sobre as conexões de host do servidor do macOS, do iOS/iPadOS e do iTunes e os processos em segundo plano do iTunes
- Se os clientes do macOS e do iOS/iPadOS não estiverem obtendo notificações por push da Apple
Dependências dos AOSP para Android
ID | Desc | Categoria | ER | Endereços | Portas |
---|---|---|---|---|---|
179 | MEM – Dependência dos AOSP do Android | Padrão Obrigatório |
Falso | intunecdnpeasd.azureedge.net |
TCP: 443 |
Observação
Como o Google Mobile Services não está disponível na China, os dispositivos na China gerenciados pelo Intune não podem usar recursos que exijam o Google Mobile Services. Esses recursos incluem: Funcionalidades do Google Play Protect, tais como o atestado de dispositivo SafetyNet, Gerenciamento de aplicativos da Google Play Store, funcionalidades do Android Enterprise (consulte esta documentação do Google ). Além disso, o aplicativo Portal da Empresa do Intune para Android usa o Google Mobile Services para se comunicar com o serviço Microsoft Intune. Como o Google Play Services não está disponível na China, algumas tarefas podem exigir até 8 horas para serem concluídas. Para obter mais informações, veja Limitações da gestão de Intune quando o GMS está indisponível.
Informações da porta Android – consoante a forma como opta por gerir dispositivos Android, poderá ter de abrir as portas do Google Android Enterprise e/ou a notificação push do Android. Para obter mais informações sobre os métodos de gerenciamento do Android suportados, consulte a documentação de registro do Android.
Dependências do Android Enterprise
Google Android Enterprise – a Google fornece documentação sobre as portas de rede necessárias e os nomes de anfitrião de destino no respetivo Android Enterprise Bluebook, na secção Firewall desse documento.
Notificação push do Android - Intune utiliza o Google Firebase Cloud Messaging (FCM) para notificações push para acionar ações e marcar-ins do dispositivo. Tal é exigido tanto pelo Administrador de Dispositivos Android como pelo Android Enterprise. Para obter informações sobre os requisitos de rede do FCM, consulte portas FCM do Google e seu firewall.
Dependências de autenticação
ID | Desc | Categoria | ER | Endereços | Portas |
---|---|---|---|---|---|
56 | Autenticação e Identidade, inclui o Azure Active Directory e Azure AD serviços relacionados. | Permitir Obrigatório |
Verdadeiro | login.microsoftonline.com graph.windows.net |
TCP: 80, 443 |
150 | O Serviço de Personalização do Office fornece Office 365 ProPlus configuração de implementação, definições de aplicações e gestão de políticas baseadas na cloud. | Padrão | Falso | *.officeconfig.msocdn.com config.office.com |
TCP: 443 |
59 | Serviços de suporte de identidade & CDNs. | Padrão Obrigatório |
Falso | enterpriseregistration.windows.net |
TCP: 80, 443 |
Para obter mais informações, aceda a Office 365 URLs e intervalos de endereços IP.
Requisitos de rede para scripts do PowerShell e aplicativos Win32
Se estiver a utilizar Intune para implementar scripts do PowerShell ou aplicações Win32, também terá de conceder acesso a pontos finais nos quais o seu inquilino reside atualmente.
Para localizar a localização do inquilino (ou a Unidade de Escala do Azure (ASU), inicie sessão no centro de administração do Microsoft Intune, selecioneDetalhes do inquilinoda administração> do inquilino. A localização está em Localização do locatário e deve ser algo semelhante a América do Norte 0501 ou Europa 0202. Procure o número correspondente na tabela a seguir. Essa linha indica-lhe a que nome de armazenamento e pontos finais da CDN conceder acesso. As linhas são diferenciadas por região geográfica, conforme indicado pelas duas primeiras letras nos nomes (na = América do Norte, eu = Europa, ap = Pacífico Asiático). A localização do inquilino é uma destas três regiões, embora a localização geográfica real da sua organização possa estar noutro local.
Observação
A resposta parcial permitir HTTP é necessária para Scripts & pontos finais de Aplicações Win32.
ASI (Unidade de Escala do Azure) | Nome do armazenamento | CDN | Porta |
---|---|---|---|
AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0601 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901 |
naprodimedatapri naprodimedatasec naprodimedatahotfix |
naprodimedatapri.azureedge.net naprodimedatasec.azureedge.net naprodimedatahotfix.azureedge.net |
TCP: 443 |
AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701 |
euprodimedatapri euprodimedatasec euprodimedatahotfix |
euprodimedatapri.azureedge.net euprodimedatasec.azureedge.net euprodimedatahotfix.azureedge.net |
TCP: 443 |
AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUC0601 AMSUD0101 |
approdimedatapri approdimedatasec approdimedatahotifx |
approdimedatapri.azureedge.net approdimedatasec.azureedge.net approdimedatahotfix.azureedge.net |
TCP: 443 |
Microsoft Store
Os dispositivos Windows geridos que utilizam a Microsoft Store – para adquirir, instalar ou atualizar aplicações – precisam de acesso a estes pontos finais.
API da Microsoft Store (AppInstallManager):
- displaycatalog.mp.microsoft.com
- purchase.md.mp.microsoft.com
- licensing.mp.microsoft.com
- storeedgefd.dsx.mp.microsoft.com
Agente Windows Update:
Para obter detalhes, veja os seguintes recursos:
- Gerir pontos finais de ligação para Windows 11 Enterprise
- Gerir pontos finais de ligação para Windows 10 Enterprise, versão 21H2
Transferência de conteúdos do Win32:
As localizações e os pontos finais de transferência de conteúdos do Win32 são exclusivos por aplicação e são fornecidos pelo publicador externo. Pode encontrar a localização para cada aplicação da Loja Win32 com o seguinte comando num sistema de teste (pode obter o [PackageId] para uma aplicação da Loja ao referenciar a propriedade Identificador do Pacote da aplicação depois de a adicionar ao Microsoft Intune):
winget show [PackageId]
A propriedade Url do Instalador mostra a localização de transferência externa ou a cache de contingência baseada na região (alojada na Microsoft) com base no facto de a cache estar em utilização. Tenha em atenção que a localização de transferência de conteúdos pode ser alterada entre a cache e a localização externa.
Cache de contingência da aplicação Win32 alojada na Microsoft:
- Varia por região, por exemplo: sparkcdneus2.azureedge.net, sparkcdnwus2.azureedge.net
Otimização da Entrega (opcional, necessária para peering):
Para obter detalhes, veja o seguinte recurso:
Migrar políticas de conformidade do atestado de estado de funcionamento do dispositivo para o atestado do Microsoft Azure
Se um cliente ativar qualquer uma das políticas de Conformidade do Windows 10/11 – Definições do Estado de Funcionamento do Dispositivo, Windows 11 dispositivos começarão a utilizar um serviço microsoft Atestado do Azure (MAA) com base na respetiva localização de inquilino Intune. No entanto, Windows 10 e os ambientes GCCH/DOD continuarão a utilizar o ponto final do Atestado de Estado de Funcionamento do Dispositivo "has.spserv.microsoft.com" existente para relatórios de atestado de estado de funcionamento do dispositivo e não são afetados por esta alteração.
Se um cliente tiver políticas de firewall que impeçam o acesso ao novo Intune serviço MAA para Windows 11, Windows 11 dispositivos com políticas de conformidade atribuídas através de qualquer uma das definições de estado de funcionamento do dispositivo (BitLocker, Arranque Seguro, Integridade do Código) ficarão sem conformidade, uma vez que não conseguem aceder aos pontos finais de atestado do MAA para a respetiva localização.
Certifique-se de que não existem regras de firewall a bloquear o tráfego HTTPS/443 de saída e que a inspeção de Tráfego SSL não está em vigor para os pontos finais listados nesta secção, com base na localização do seu inquilino Intune.
Para localizar a localização do inquilino, navegue para o Inquilino de Administração de inquilinosdo centro > de administração > do Intunestatus>Definições do inquilino, veja Localização do inquilino.
'https://intunemaape1.eus.attest.azure.net'
'https://intunemaape2.eus2.attest.azure.net'
'https://intunemaape3.cus.attest.azure.net'
'https://intunemaape4.wus.attest.azure.net'
'https://intunemaape5.scus.attest.azure.net'
'https://intunemaape6.ncus.attest.azure.net'
Serviço de implantação do Windows Update para Empresas
Para obter mais informações sobre os pontos finais necessários para o serviço de implementação Windows Update para Empresas, veja pré-requisitos do serviço de implementação Windows Update para Empresas.
Análise do ponto de extremidade
Para obter mais informações sobre os pontos finais necessários para a Análise de pontos finais, veja Configuração do proxy de análise de pontos finais.
Microsoft Defender para Ponto de Extremidade
Para obter mais informações sobre como configurar a conectividade do Defender para Endpoint, veja Requisitos de Conectividade.
Para suportar a gestão de definições de segurança do Defender para Endpoint, permita os seguintes nomes de anfitrião através da firewall. Para comunicação entre clientes e o serviço cloud:
*.dm.microsoft.com - A utilização de um caráter universal suporta os pontos finais de serviço cloud que são utilizados para inscrição, marcar e relatórios e que podem ser alterados à medida que o serviço é dimensionado.
Importante
A Inspeção SSL não é suportada nos pontos finais necessários para Microsoft Defender para Ponto de Extremidade.
Gerenciamento de privilégios de ponto de extremidade do Microsoft Intune
Para suportar a Gestão de Privilégios de Ponto Final, permita os seguintes nomes de anfitrião na porta tcp 443 através da firewall
Para comunicação entre clientes e o serviço cloud:
*.dm.microsoft.com - A utilização de um caráter universal suporta os pontos finais de serviço cloud que são utilizados para inscrição, marcar e relatórios e que podem ser alterados à medida que o serviço é dimensionado.
*.events.data.microsoft.com - Utilizado por dispositivos geridos por Intune para enviar dados de relatórios opcionais para o ponto final de recolha de dados Intune.
Importante
A Inspeção SSL não é suportada nos pontos finais necessários para a Gestão de Privilégios de Ponto Final.
Para obter mais informações, veja Descrição geral da Gestão de Privilégios de Ponto Final.
Tópicos relacionados
Intervalos de URLs e de endereços IP do Office 365
Visão Geral da Conectividade de Rede do Microsoft 365
Redes de entrega de conteúdo (CDNs)
Outros pontos de extremidade não incluídos no serviço Web de URL e Endereço IP do Office 365