Конечные точки Microsoft 365 Для государственных организаций США DoD
Область применения: Microsoft 365 Admin
Для Microsoft 365 требуется подключение к Интернету. Следующие конечные точки должны быть доступны только для клиентов, использующих планы DoD Microsoft 365 для государственных организаций США.
Конечные точки Microsoft 365:По всему миру (включая GCC) | Microsoft 365, обслуживаемый 21 Vianet | Microsoft 365 ДЛЯ государственных организаций США DoD | Microsoft 365 ДЛЯ государственных организаций США GCC High
****
| Примечания | Скачать |
|---|---|
Последнее обновление: 02.04.2025 —  Изменение подписки журнала |
Скачать: полный список в формате JSON |
Начните с управления конечными точками Microsoft 365 , чтобы понять наши рекомендации по управлению сетевым подключением с помощью этих данных. По мере необходимости в начале каждого месяца данные конечной точки обновляются новыми IP- и URL-адресами, публикуемыми за 30 дней до активации. Это позволяет клиентам, у которых еще нет автоматических обновлений, завершить свои процессы до того, как потребуется новое подключение. Конечные точки также могут обновляться в течение месяца, если это необходимо для поддержки эскалации, инцидентов безопасности или других оперативных требований. Все данные, отображаемые на этой странице, создаются из веб-служб на основе REST. Если вы используете скрипт или сетевое устройство для доступа к этим данным, перейдите к веб-службе напрямую.
Ниже приведены требования к подключению компьютера пользователя к Microsoft 365. Он не включает сетевые подключения от корпорации Майкрософт к клиентской сети, иногда называемые гибридными или входящими сетевыми подключениями. Дополнительные сведения см. в разделе Дополнительные конечные точки, не включенные в веб-службу.
Набор Microsoft 365 состоит из четырех основных областей обслуживания, представляющих три основные рабочие нагрузки и набор общих ресурсов. Эти области обслуживания могут использоваться для связывания потоков трафика с определенным приложением, однако учитывая, что функции часто используют конечные точки в нескольких рабочих нагрузках, эти области обслуживания не могут эффективно использоваться для ограничения доступа.
Показанные столбцы с данными:
Идентификатор. Идентификатор строки, также известный как набор конечных точек. Этот идентификатор совпадает с тем, что возвращается веб-службой для набора конечных точек.
Категория. Показывает, относится ли набор конечных точек к категории "Optimize", "Allow" или "Default". Вы можете ознакомиться с этими категориями и рекомендациями по управлению ими на странице https://aka.ms/pnc. В этом столбце также перечислены наборы конечных точек, необходимые для сетевого подключения. Для наборов конечных точек, для которых не требуется сетевое подключение, мы предоставляем заметки в этом поле, чтобы указать, какие функции будут отсутствуют, если набор конечных точек заблокирован. Если вы исключаете всю область обслуживания, наборы конечных точек, перечисленные как обязательные, не требуют подключения.
ER: это да , если набор конечных точек поддерживается через Azure ExpressRoute с префиксами маршрутов Microsoft 365. Сообщество BGP, включающее указанные префиксы маршрутов, соответствует указанной области обслуживания. Если ER имеет значение Нет, это означает, что ExpressRoute не поддерживается для этого набора конечных точек. Однако не следует предполагать, что маршруты не объявляются для набора конечных точек, где ER имеет значение Нет. Если вы планируете использовать Microsoft Entra Connect, ознакомьтесь со специальными рекомендациями, чтобы убедиться, что у вас есть соответствующая конфигурация Microsoft Entra Connect.
Адреса: Списки полные доменные имена или доменные имена с подстановочными знаками и диапазоны IP-адресов для набора конечных точек. Диапазон IP-адресов имеет формат CIDR и может включать множество отдельных IP-адресов в указанной сети.
Порты: Списки порты TCP или UDP, объединенные с адресами для формирования конечной точки сети. Вы можете заметить некоторое дублирование в диапазонах IP-адресов, где перечислены разные порты.
Единые домены Microsoft 365
Примечание.
В ответ на отзывы клиентов и для оптимизации управления конечными точками корпорация Майкрософт инициировала процесс объединения приложений и служб Microsoft 365 в выбранную группу выделенных, защищенных и целевых управляемых доменов в домене верхнего уровня (TLD).
Чтобы избежать проблем с подключением у пользователей, убедитесь, что следующие основные домены включены в список разрешенных и подключение к этим доменам не заблокировано.
| ID | Категория | Доменное имя | Назначение | Порты |
|---|---|---|---|---|
| 12 | Обязательный | *.usgovcloud.microsoft |
Предназначено для работы с продуктами Microsoft SaaS для пользователей, прошедших проверку подлинности. |
TCP: 443,80 UDP: 443 |
| 12 | Обязательный | *.usgovcloud-static.microsoft |
Выделено для статического (не созданного клиентом) содержимого, размещенного в сетях CDN. |
TCP: 443,80 UDP: 443 |
| 12 | Обязательный | *.usgovcloud-usercontent.microsoft |
Содержимое, используемое в интерфейсах Microsoft 365, требующее изоляции домена от приложений. |
TCP: 443,80 UDP: 443 |
Exchange Online
| ID | Категория | ER | Addresses | Порты |
|---|---|---|---|---|
| 1 | Оптимизация Обязательно |
Да | outlook-dod.office365.us, webmail.apps.mil20.35.192.0/20, 40.66.24.0/21, 2001:489a:2200:500::/56, 2001:489a:2200:700::/56 |
TCP: 443, 80 |
| 4 | По умолчанию Обязательно |
Да | outlook-dod.office365.us, webmail.apps.mil |
TCP: 143, 25, 587, 993, 995 |
| 5 | По умолчанию Обязательно |
Да | attachments-dod.office365-net.us, autodiscover-s-dod.office365.us, autodiscover.<tenant>.mail.onmicrosoft.com, autodiscover.<tenant>.mail.onmicrosoft.us, autodiscover.<tenant>.onmicrosoft.com, autodiscover.<tenant>.onmicrosoft.us |
TCP: 443, 80 |
| 6 | Разрешить Обязательно |
Да | *.protection.apps.mil, *.protection.office365.us, *.usgovcloud-mx.microsoft23.103.191.0/24, 23.103.199.0/25, 23.103.204.0/22, 2001:489a:2202::/62, 2001:489a:2202:8::/62, 2001:489a:2202:2000::/63 |
TCP: 25, 443 |
SharePoint Online и OneDrive для бизнеса
| ID | Категория | ER | Addresses | Порты |
|---|---|---|---|---|
| 9 | Оптимизация Обязательно |
Да | *.dps.mil, *.sharepoint-mil.us20.34.12.0/22, 2001:489a:2204:902::/63, 2001:489a:2204:c00::/63 |
TCP: 443, 80 UDP: 443 |
| 10 | По умолчанию Обязательно |
Нет | *.wns.windows.com, g.live.com, oneclient.sfx.ms |
TCP: 443, 80 |
| 20 | По умолчанию Обязательно |
Нет | *.svc.ms, az741266.vo.msecnd.net, spoprod-a.akamaihd.net, static.sharepointonline.com |
TCP: 443, 80 |
Microsoft Teams
| ID | Категория | ER | Addresses | Порты |
|---|---|---|---|---|
| 7 | Оптимизация Обязательно |
Да | *.dod.teams.microsoft.us, *.online.dod.skypeforbusiness.us, dod.teams.microsoft.us13.72.128.0/20, 52.127.64.0/21, 104.212.32.0/22, 195.134.240.0/22, 2001:489a:2250::/44 |
TCP: 443 UDP: 3478, 3479, 3480, 3481 |
| 21 | По умолчанию Обязательно |
Нет | dodteamsapuiwebcontent.blob.core.usgovcloudapi.net, msteamsstatics.blob.core.usgovcloudapi.net, statics.teams.microsoft.com |
TCP: 443 |
| 22 | Разрешить Обязательно |
Да | endpoint1-proddodcecompsvc-dodc.streaming.media.usgovcloudapi.net, endpoint1-proddodeacompsvc-dode.streaming.media.usgovcloudapi.net52.181.167.113/32, 52.182.52.226/32, 2001:489a:2250::/44 |
TCP: 443 |
Общие для Microsoft 365 и Office Online
| ID | Категория | ER | Addresses | Порты |
|---|---|---|---|---|
| 11 | Разрешить Обязательно |
Да | *.dod.online.office365.us52.127.80.0/23, 2001:489a:2208:8000::/49 |
TCP: 443 |
| 12 | По умолчанию Обязательно |
Нет | *.apps.mil, *.office365.us, *.usgovcloud-static.microsoft, *.usgovcloud-usercontent.microsoft, *.usgovcloud.microsoft |
TCP: 443, 80 |
| 13 | Разрешить Обязательно |
Да | *.auth.microsoft.us, *.gov.us.microsoftonline.com, dod-graph.microsoft.us, graph.microsoftazure.us, login.microsoftonline.us20.140.232.0/23, 52.126.194.0/23, 2001:489a:3500::/50 |
TCP: 443 |
| 14 | По умолчанию Обязательно |
Нет | *.msauth.net, *.msauthimages.us, *.msftauth.net, *.msftauthimages.us, clientconfig.microsoftonline-p.net, graph.windows.net, login-us.microsoftonline.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, loginex.microsoftonline.com, mscrl.microsoft.com, nexus.microsoftonline-p.com, secure.aadcdn.microsoftonline-p.com |
TCP: 443 |
| 15 | Разрешить Обязательно |
Да | portal.apps.mil, reports.apps.mil, webshell.dodsuite.office365.us, www.ohome.apps.mil52.127.72.42/32, 52.127.76.42/32, 52.180.251.166/32, 52.181.24.112/32, 52.181.160.113/32, 52.182.24.200/32, 52.182.54.237/32 |
TCP: 443 |
| 16 | Разрешить Обязательно |
Да | dod.loki.office365.us52.127.72.0/21, 2001:489a:2206::/48 |
TCP: 443 |
| 17 | По умолчанию Обязательно |
Нет | activation.sls.microsoft.com, crl.microsoft.com, go.microsoft.com, insertmedia.bing.office.net, ocsa.officeapps.live.com, ocsredir.officeapps.live.com, ocws.officeapps.live.com, office15client.microsoft.com, officecdn.microsoft.com, officecdn.microsoft.com.edgesuite.net, officepreviewredir.microsoft.com, officeredir.microsoft.com, ols.officeapps.live.com, r.office.microsoft.com |
TCP: 443, 80 |
| 18 | По умолчанию Обязательно |
Нет | cdn.odc.officeapps.live.com, mrodevicemgr.officeapps.live.com, odc.officeapps.live.com, officeclient.microsoft.com |
TCP: 443, 80 |
| 24 | По умолчанию Обязательно |
Нет | lpcres.delve.office.com |
TCP: 443 |
| 25 | По умолчанию Обязательно |
Нет | *.cdn.office.net |
TCP: 443 |
| 26 | Разрешить Обязательно |
Да | *.security.apps.mil, compliance.apps.mil, purview.apps.mil, scc.protection.apps.mil, security.apps.mil23.103.204.0/22, 52.127.72.0/21 |
TCP: 443, 80 |
| 28 | По умолчанию Обязательно |
Нет | activity.windows.com, dod.activity.windows.us |
TCP: 443 |
| 29 | По умолчанию Обязательно |
Нет | dod-mtis.cortana.ai |
TCP: 443 |
| 30 | По умолчанию Обязательно |
Нет | *.aadrm.us, *.informationprotection.azure.us |
TCP: 443 |
| 31 | По умолчанию Обязательно |
Нет | pf.events.data.microsoft.com, pf.pipe.aria.microsoft.com |
TCP: 443, 80 |
Примечания для таблицы.
Центр безопасности и соответствия требованиям (SCC) обеспечивает поддержку Azure ExpressRoute для Microsoft 365. То же самое относится ко многим функциям, предоставляемым через SCC, таким как отчеты, аудит, обнаружение электронных данных (премиум), единая защита от потери данных и управление данными. Две конкретные функции, импорт PST и экспорт обнаружения электронных данных, в настоящее время не поддерживают Azure ExpressRoute только с фильтрами маршрутов Microsoft 365 из-за их зависимости от Хранилище BLOB-объектов Azure. Чтобы использовать эти функции, необходимо отдельное подключение к Хранилище BLOB-объектов Azure с помощью любых вариантов подключения Azure, включая подключение к Интернету или Azure ExpressRoute с общедоступными фильтрами маршрутов Azure. Необходимо оценить, как установить такое подключение для обеих этих функций. Команда Information Protection Microsoft 365 знает об этом ограничении и активно работает над тем, чтобы обеспечить поддержку Azure ExpressRoute для Microsoft 365, ограничиваясь фильтрами маршрутов Microsoft 365 для обеих этих функций.
Существуют другие необязательные конечные точки для Приложения Microsoft 365 для предприятий, которые не перечислены и не требуются пользователям для запуска Приложения Microsoft 365 для предприятий приложений и редактирования документов. Необязательные конечные точки размещаются в центрах обработки данных Майкрософт и не обрабатывают, не передают и не хранят данные клиентов. Рекомендуется, чтобы пользовательские подключения к этим конечным точкам направлялись в периметр исходящего трафика Через Интернет по умолчанию.