Поделиться через


Конечные точки сети для Microsoft Intune

В этой статье перечислены IP-адреса и параметры порта, необходимые для параметров прокси-сервера в развертываниях Microsoft Intune.

В качестве облачной службы Intune не требуется локальная инфраструктура, например серверы или шлюзы.

Доступ для управляемых устройств

Для управления устройствами, защищенными брандмауэрами и прокси-серверами, нужно включить возможность обмена данными с Intune.

Примечание.

Сведения в этом разделе также относятся к Microsoft Intune Certificate Connector. Соединитель предъявляет такие же требования к сети, что и управляемые устройства.

Параметры прокси-сервера можно изменить на отдельных клиентских компьютерах. Кроме того, с помощью параметров групповой политики можно изменить параметры для всех клиентских компьютеров, защищенных указанным прокси-сервером.

Управляемые устройства должны иметь конфигурации с выбранным параметром Все пользователи, чтобы все пользователи могли получать доступ к службам через брандмауэры.

Скрипт PowerShell

Чтобы упростить настройку служб через брандмауэры, мы подключены к службе конечной точки Office 365. В настоящее время доступ к сведениям о конечной точке Intune осуществляется через скрипт PowerShell. Существуют другие зависимые службы для Intune, которые уже охвачены как часть службы Microsoft 365 и помечены как обязательные. Службы, уже охваченные Microsoft 365, не включаются в скрипт, чтобы избежать дублирования.

С помощью следующего сценария PowerShell можно получить список IP-адресов для службы Intune.

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips

С помощью следующего сценария PowerShell можно получить список полных доменных имен, используемых Intune и зависимыми службами. При выполнении скрипта URL-адреса в выходных данных скрипта могут отличаться от URL-адресов в следующих таблицах. Как минимум, убедитесь, что url-адреса включены в таблицы.

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls

Скрипт предоставляет удобный метод для перечисления и проверки всех служб, необходимых Intune и Autopilot, в одном расположении. Служба конечных точек может возвращать дополнительные свойства, например свойство category, которое указывает, следует ли настроить полное доменное имя или IP-адрес как Allow, Optimize или Default.

Конечные точки

Вам также требуются полные доменные имена, которые охватываются в рамках требований Microsoft 365. Для справки в следующих таблицах показана служба, к которую они привязаны, и список возвращенных URL-адресов.

Столбцы данных, показанные в таблицах:

  • Идентификатор. Идентификатор строки, также известный как набор конечных точек. Этот идентификатор совпадает с тем, что возвращается веб-службой для набора конечных точек.

  • Категория. Показывает, относится ли набор конечных точек к категории Optimize, Allow или Default. В этом столбце также перечислены наборы конечных точек, необходимые для сетевого подключения. Для наборов конечных точек, для которых не требуется сетевое подключение, мы предоставляем заметки в этом поле, чтобы указать, какие функции будут отсутствуют, если набор конечных точек заблокирован. Если вы исключаете всю область обслуживания, наборы конечных точек, перечисленные как обязательные, не требуют подключения.

    Вы можете ознакомиться с этими категориями и рекомендациями по управлению ими в статье Новые категории конечных точек Microsoft 365.

  • ER: значение Да или True, если набор конечных точек поддерживается через Azure ExpressRoute с префиксами маршрутов Microsoft 365. Сообщество BGP, включающее указанные префиксы маршрутов, соответствует указанной области обслуживания. Если ER имеет значение No или False, ExpressRoute не поддерживается для этого набора конечных точек.

  • Адреса: Списки полные доменные имена или доменные имена с подстановочными знаками и диапазоны IP-адресов для набора конечных точек. Обратите внимание, что диапазон IP-адресов имеет формат CIDR и может включать множество отдельных IP-адресов в указанной сети.

  • Порты: Списки порты TCP или UDP, объединенные со списком IP-адресов для формирования конечной точки сети. Вы можете заметить некоторое дублирование в диапазонах IP-адресов, где перечислены разные порты.

Intune базовая служба

Примечание.

Если используемый брандмауэр позволяет создавать правила брандмауэра с использованием доменного имени, используйте домен *.manage.microsoft.com и manage.microsoft.com. Однако если используемый поставщик брандмауэра не позволяет создавать правило брандмауэра с использованием доменного имени, рекомендуется использовать утвержденный список всех подсетей в этом разделе.

ИД Убыв Категория ER Addresses Порты
163 Intune клиент и служба узла Разрешить
Обязательно
Неверно *.manage.microsoft.com
manage.microsoft.com
EnterpriseEnrollment.manage.microsoft.com
104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.71.199.64/28, 13.73.244.48/28, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 20.49.93.160/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29
TCP: 80, 443
172 Оптимизация доставки MDM По умолчанию
Обязательно
Неверно *.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
TCP: 80, 443
170 MEM — Win32Apps По умолчанию
Обязательно
Неверно swda01-mscdn.manage.microsoft.com
swda02-mscdn.manage.microsoft.com
swdb01-mscdn.manage.microsoft.com
swdb02-mscdn.manage.microsoft.com
swdc01-mscdn.manage.microsoft.com
swdc02-mscdn.manage.microsoft.com
swdd01-mscdn.manage.microsoft.com
swdd02-mscdn.manage.microsoft.com
swdin01-mscdn.manage.microsoft.com
swdin02-mscdn.manage.microsoft.com
TCP: 443
97 Outlook.com потребителей, OneDrive, проверка подлинности устройства и учетная запись Майкрософт По умолчанию
Обязательно
Неверно account.live.com
login.live.com
TCP: 443
190 Обнаружение конечных точек По умолчанию
Обязательно
Неверно go.microsoft.com TCP: 80, 443
189 Зависимость — развертывание компонентов По умолчанию
Обязательно
Неверно config.edge.skype.com
TCP: 443

Зависимости Autopilot

ИД Убыв Категория ER Addresses Порты
164 Autopilot - клиентский компонент Центра обновления Windows По умолчанию
Обязательно
Неверно *.windowsupdate.com
*.dl.delivery.mp.microsoft.com
*.prod.do.dsp.mp.microsoft.com
*.delivery.mp.microsoft.com
*.update.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com
adl.windows.com
TCP: 80, 443
165 Autopilot — синхронизация NTP По умолчанию
Обязательно
Неверно time.windows.com UDP: 123
169 Autopilot — зависимости WNS По умолчанию
Обязательно
Неверно clientconfig.passport.net
windowsphone.com
*.s-microsoft.com
c.s-microsoft.com
TCP: 443
173 Autopilot — зависимости стороннего развертывания По умолчанию
Обязательно
Неверно ekop.intel.com
ekcert.spserv.microsoft.com
ftpm.amd.com
TCP: 443
182 Autopilot — отправка диагностики По умолчанию
Обязательно
Неверно lgmsapeweu.blob.core.windows.net
TCP: 443

Удаленная помощь

ИД Убыв Категория ER Addresses Порты Примечания
181 MEM — функция Удаленная помощь По умолчанию
Обязательно
Неверно *.support.services.microsoft.com
remoteassistance.support.services.microsoft.com
rdprelayv3eastusprod-0.support.services.microsoft.com
*.trouter.skype.com
remoteassistanceprodacs.communication.azure.com
edge.skype.com
aadcdn.msftauth.net
aadcdn.msauth.net
alcdn.msauth.net
wcpstatic.microsoft.com
*.aria.microsoft.com
browser.pipe.aria.microsoft.com
*.events.data.microsoft.com
v10.events.data.microsoft.com
*.monitor.azure.com
js.monitor.azure.com
edge.microsoft.com
*.trouter.communication.microsoft.com
go.trouter.communication.microsoft.com
*.trouter.teams.microsoft.com
trouter2-usce-1-a.trouter.teams.microsoft.com
api.flightproxy.skype.com
ecs.communication.microsoft.com
remotehelp.microsoft.com
trouter-azsc-usea-0-a.trouter.skype.com
TCP: 443
187 Зависимость — Удаленная помощь web pubsub По умолчанию
Обязательно
Неверно *.webpubsub.azure.com
AMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com
TCP: 443
188 Зависимость Удаленная помощь для клиентов GCC По умолчанию
Обязательно
Неверно remoteassistanceweb-gcc.usgov.communication.azure.us
gcc.remotehelp.microsoft.com
gcc.relay.remotehelp.microsoft.com
*.gov.teams.microsoft.us
TCP: 443

Intune зависимости

В этом разделе в следующих таблицах перечислены Intune зависимости, а также порты и службы, к которым обращается клиент Intune.

Зависимости служб push-уведомлений Windows (WNS)

ИД Убыв Категория ER Addresses Порты
171 MEM — зависимости WNS По умолчанию
Обязательно
Неверно *.notify.windows.com
*.wns.windows.com
sinwns1011421.wns.windows.com
sin.notify.windows.com
TCP: 443

Для устройств с Windows под управлением Intune, использующих управление мобильными устройствами (MDM), действия устройства и другие непосредственные задачи требуют использования служб push-уведомлений Windows (WNS). Дополнительные сведения см. в разделе Пропуск трафика уведомлений Windows через брандмауэры предприятий.

Зависимости оптимизации доставки

ИД Убыв Категория ER Addresses Порты
172 MDM — зависимости оптимизации доставки По умолчанию
Обязательно
Неверно *.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
TCP: 80, 443

Требования к портам . Для обмена данными между клиентом и службой используется протокол HTTP или HTTPS через порт 80/443. При необходимости для однорангового трафика оптимизация доставки использует 7680 для TCP/IP и Teredo через порт 3544 для обхода NAT. Дополнительные сведения см. в документации по оптимизации доставки.

Требования к прокси-серверу . Чтобы использовать оптимизацию доставки, необходимо разрешить запросы диапазона байтов. Дополнительные сведения см. в разделе Требования к прокси-серверу для оптимизации доставки.

Требования к брандмауэру . Разрешите следующие имена узлов через брандмауэр для поддержки оптимизации доставки. Для обмена данными между клиентами и облачной службой оптимизации доставки:

  • *.do.dsp.mp.microsoft.com

Для метаданных оптимизации доставки:

  • *.dl.delivery.mp.microsoft.com

Зависимости Apple

ИД Убыв Категория ER Addresses Порты
178 MEM — зависимости Apple По умолчанию
Обязательно
Неверно itunes.apple.com
*.itunes.apple.com
*.mzstatic.com
*.phobos.apple.com
phobos.itunes-apple.com.akadns.net
5-courier.push.apple.com
phobos.apple.com
ocsp.apple.com
ax.itunes.apple.com
ax.itunes.apple.com.edgesuite.net
s.mzstatic.com
a1165.phobos.apple.com
TCP: 80, 443, 5223

Дополнительные сведения см. в следующих источниках:

Зависимости Android AOSP

ИД Убыв Категория ER Addresses Порты
179 MEM — зависимость AOSP Android По умолчанию
Обязательно
Неверно intunecdnpeasd.azureedge.net
TCP: 443

Примечание.

Так как Сервисы Google для мобильных устройств недоступны в Китае, управляемые службой Intune устройства в Китае не могут использовать зависящие от этих сервисов функции. Эти функции включают в себя: возможности Google Play Protect, такие как аттестация устройства SafetyNet, управление приложениями из магазина Google Play, возможности Android Enterprise (см. документацию Google). Кроме того, в приложении "Корпоративный портал" Intune для Android взаимодействие со службой Microsoft Intune осуществляется с помощью Сервисов Google для мобильных устройств. Так как Сервисы Google для мобильных устройств недоступны в Китае, для завершения некоторых задач может потребоваться до 8 часов. Дополнительные сведения см. в разделе Ограничения управления Intune, когда GMS недоступен.

Сведения о портах Android . В зависимости от того, как вы решили управлять устройствами Android, может потребоваться открыть порты Google Android Enterprise и (или) push-уведомление Android. Дополнительные сведения о поддерживаемых методах управления Android см. в документации по регистрации устройств Android.

Зависимости Android Enterprise

Google Android Для предприятий — Google предоставляет документацию по требуемым сетевым портам и именам узлов назначения в android Enterprise Bluebook в разделе Брандмауэр этого документа.

Push-уведомление Android— Intune использует Google Firebase Cloud Messaging (FCM) для push-уведомлений, чтобы активировать действия устройства и проверка. Это требуется как администратору устройств Android, так и Android Enterprise. Сведения о требованиях к сети для FCM см. в разделе о портах FCM и брандмауэре документа Google.

Зависимости проверки подлинности

ИД Убыв Категория ER Addresses Порты
56 Проверка подлинности и идентификация включают Azure Active Directory и Azure AD связанные службы. Разрешить
Обязательно
Верно login.microsoftonline.com
graph.windows.net
TCP: 80, 443
150 Служба настройки Office предоставляет Office 365 профессиональный плюс конфигурацию развертывания, параметры приложений и управление политиками на основе облака. По умолчанию Неверно *.officeconfig.msocdn.com
config.office.com
TCP: 443
59 Службы удостоверений, поддерживающие & CDN. По умолчанию
Обязательно
Неверно enterpriseregistration.windows.net
TCP: 80, 443

Дополнительные сведения см. в статье Office 365 URL-адреса и диапазоны IP-адресов.

Требования к сети для сценариев PowerShell и приложений Win32

Если вы используете Intune для развертывания сценариев PowerShell или приложений Win32, необходимо также предоставить доступ к конечным точкам, в которых сейчас находится ваш клиент.

Чтобы найти расположение клиента (или единицу масштабирования Azure (ASU), войдите в центр администрирования Microsoft Intune, выберите Администрирование>клиента Сведения о клиенте. Расположение указано в поле Расположение клиента, например Северная Америка 0501 или Европа 0202. Соответствующий номер можно найти в приведенной ниже таблице. Эта строка сообщает, какое имя хранилища и конечные точки CDN следует предоставить доступ. Строки различаются по географическому региону, обозначаемому первыми двумя буквами в имени (na = Северная Америка, eu = Европа, ap = Азиатско-Тихоокеанский регион). Расположение клиента является одним из этих трех регионов, хотя фактическое географическое расположение вашей организации может находиться в другом месте.

Примечание.

Для сценариев & конечных точек приложений Win32 требуется разрешить частичный ответ HTTP.

Единица масштабирования Azure (ASU) Имя хранилища Сеть доставки содержимого Порт
AMSUA0601
AMSUA0602
AMSUA0101
AMSUA0102
AMSUA0201
AMSUA0202
AMSUA0401
AMSUA0402
AMSUA0501
AMSUA0502
AMSUA0601
AMSUA0701
AMSUA0702
AMSUA0801
AMSUA0901
naprodimedatapri
naprodimedatasec
naprodimedatahotfix
naprodimedatapri.azureedge.net
naprodimedatasec.azureedge.net
naprodimedatahotfix.azureedge.net
TCP: 443
AMSUB0101
AMSUB0102
AMSUB0201
AMSUB0202
AMSUB0301
AMSUB0302
AMSUB0501
AMSUB0502
AMSUB0601
AMSUB0701
euprodimedatapri
euprodimedatasec
euprodimedatahotfix
euprodimedatapri.azureedge.net
euprodimedatasec.azureedge.net
euprodimedatahotfix.azureedge.net
TCP: 443
AMSUC0101
AMSUC0201
AMSUC0301
AMSUC0501
AMSUC0601
AMSUD0101
approdimedatapri
approdimedatasec
approdimedatahotifx
approdimedatapri.azureedge.net
approdimedatasec.azureedge.net
approdimedatahotfix.azureedge.net
TCP: 443

Microsoft Store

Управляемым устройствам Windows, использующим Microsoft Store, для получения, установки или обновления приложений, требуется доступ к этим конечным точкам.

API Microsoft Store (AppInstallManager):

  • displaycatalog.mp.microsoft.com
  • purchase.md.mp.microsoft.com
  • licensing.mp.microsoft.com
  • storeedgefd.dsx.mp.microsoft.com

агент клиентский компонент Центра обновления Windows:

Дополнительные сведения см. в следующих ресурсах:

Скачивание содержимого Win32:

Расположения и конечные точки загрузки содержимого Win32 уникальны для каждого приложения и предоставляются внешним издателем. Расположение для каждого приложения Магазина Win32 можно найти с помощью следующей команды в тестовой системе (вы можете получить [PackageId] для приложения Магазина, указав ссылку на свойство Package Identifier приложения после добавления его в Microsoft Intune):

winget show [PackageId]

В свойстве URL-адреса установщика отображается внешнее расположение загрузки или резервный кэш на основе региона (размещенный в Майкрософт) в зависимости от того, используется ли кэш. Обратите внимание, что расположение загрузки содержимого может изменяться между кэшем и внешним расположением.

Резервный кэш приложений Win32, размещенный корпорацией Майкрософт:

  • Зависит от региона, например : sparkcdneus2.azureedge.net, sparkcdnwus2.azureedge.net

Оптимизация доставки (необязательно, требуется для пиринга):

Дополнительные сведения см. в следующем ресурсе:

Перенос политик аттестации работоспособности устройств в аттестацию Microsoft Azure

Если клиент включает какие-либо из параметров Windows 10/11 "Политика соответствия — работоспособность устройств", Windows 11 устройства начнут использовать службу Microsoft Аттестация Azure (MAA) в зависимости от расположения клиента Intune. Однако среды Windows 10 и GCCH/DOD будут по-прежнему использовать существующую конечную точку DHA "has.spserv.microsoft.com" аттестации работоспособности устройств для создания отчетов об аттестации работоспособности устройств, и это изменение не повлияет на это.

Если у клиента есть политики брандмауэра, которые запрещают доступ к новой службе Intune MAA для Windows 11, то Windows 11 устройства с назначенными политиками соответствия, используя любые параметры работоспособности устройства (BitLocker, безопасная загрузка, целостность кода), не будут соответствовать требованиям, так как они не смогут связаться с конечными точками аттестации MAA для своего расположения.

Убедитесь, что нет правил брандмауэра, блокирующих исходящий трафик HTTPS/443, и что проверка трафика SSL не выполняется для конечных точек, перечисленных в этом разделе, в зависимости от расположения клиента Intune.

Чтобы найти расположение клиента, перейдите в центр администрирования Intune администрирования>> Состояниеклиента> Сведенияо клиенте, см. в разделе Расположение клиента.

  • 'https://intunemaape1.eus.attest.azure.net'

  • 'https://intunemaape2.eus2.attest.azure.net'

  • 'https://intunemaape3.cus.attest.azure.net'

  • 'https://intunemaape4.wus.attest.azure.net'

  • 'https://intunemaape5.scus.attest.azure.net'

  • 'https://intunemaape6.ncus.attest.azure.net'

Служба развертывания Windows Update для бизнеса

Дополнительные сведения о необходимых конечных точках для службы развертывания клиентский компонент Центра обновления Windows для бизнеса см. в разделе предварительные требования клиентский компонент Центра обновления Windows для службы развертывания для бизнеса.

Аналитика конечных точек

Дополнительные сведения о необходимых конечных точках для аналитики конечных точек см. в разделе Конфигурация прокси-сервера аналитики конечных точек.

Microsoft Defender для конечной точки

Дополнительные сведения о настройке подключения Defender для конечной точки см. в разделе Требования к подключению.

Чтобы поддерживать управление параметрами безопасности Defender для конечной точки, разрешите следующие имена узлов через брандмауэр. Для взаимодействия между клиентами и облачной службой:

  • *.dm.microsoft.com. Использование подстановочного знака поддерживает конечные точки облачной службы, которые используются для регистрации, проверка и создания отчетов и которые могут изменяться по мере масштабирования службы.

    Важно!

    Проверка SSL не поддерживается в конечных точках, необходимых для Microsoft Defender для конечной точки.

Управление привилегиями на конечных точках Microsoft Intune

Для поддержки управления привилегиями конечных точек разрешите следующие имена узлов на TCP-порте 443 через брандмауэр.

Для взаимодействия между клиентами и облачной службой:

  • *.dm.microsoft.com. Использование подстановочного знака поддерживает конечные точки облачной службы, которые используются для регистрации, проверка и создания отчетов и которые могут изменяться по мере масштабирования службы.

  • *.events.data.microsoft.com — используется управляемыми Intune устройствами для отправки необязательных данных отчетов в конечную точку сбора данных Intune.

    Важно!

    Проверка SSL не поддерживается для конечных точек, необходимых для управления привилегиями конечных точек.

Дополнительные сведения см. в статье Обзор управления привилегиями конечных точек.

URL-адреса и диапазоны IP-адресов для Office 365

Обзор сетевого подключения Microsoft 365

Сети доставки содержимого (CDN)

Другие конечные точки, не включенные в веб-службу IP-адресов и URL-адресов Office 365

Управление конечными точками Office 365