Поделиться через


URL-адреса и диапазоны IP-адресов Microsoft 365

Для Microsoft 365 требуется подключение к Интернету. Приведенные ниже конечные точки должны быть доступны для клиентов, использующих планы Microsoft 365, включая облако сообщества для государственных организаций (GCC).

Microsoft 365 Worldwide (+GCC) | Microsoft 365 под управлением 21 Vianet | Microsoft 365 ДЛЯ государственных организаций США DoD | Microsoft 365 ДЛЯ государственных организаций США GCC High |

Примечания Скачать Использовать
Последнее обновление: 31.10.2024 — RSS.Изменение подписки журнала Скачивание: все обязательные и необязательные назначения в одном списке в формате JSON. Используйте: наши PAC-файлы прокси-сервера

Начните с управления конечными точками Microsoft 365 , чтобы понять наши рекомендации по управлению сетевым подключением с помощью этих данных. По мере необходимости в начале каждого месяца данные конечной точки обновляются новыми IP- и URL-адресами, публикуемыми за 30 дней до активации. Такая периодичность позволяет клиентам, у которых еще нет автоматических обновлений, завершить свои процессы до того, как потребуется новое подключение. Кроме того, конечные точки могут обновляться и в течение месяца, если это требуется для повышения уровня обращений в службу поддержки, устранения инцидентов в области безопасности или немедленного выполнения других действий. Данные, представленные ниже на этой странице, сгенерированы с помощью веб-служб на основе REST. Если вы используете скрипт или сетевое устройство для доступа к этим данным, перейдите к веб-службе напрямую.

Ниже приведены требования к подключению компьютера пользователя к Microsoft 365. Дополнительные сведения об IP-адресах, используемых для сетевых подключений корпорации Майкрософт к клиентской сети, иногда называются гибридными или входящими сетевыми подключениями, см. в разделе Дополнительные конечные точки.

Конечные точки сгруппированы в четыре области службы — три основные рабочие нагрузки и набор общих ресурсов. Эти группы могут использоваться для связывания потоков трафика с конкретным приложением, но учитывая, что функции часто используют конечные точки в нескольких рабочих нагрузках, эти группы не могут эффективно применяться для ограничения доступа.

Показанные столбцы с данными:

  • Идентификатор. Идентификатор строки, также известный как набор конечных точек. Этот идентификатор совпадает с тем, что возвращается веб-службой для набора конечных точек.

  • Категория. Показывает, относится ли набор конечных точек к категории Optimize, Allow или Default. В этом столбце также перечислены наборы конечных точек, необходимые для сетевого подключения. Для наборов конечных точек, для которых не требуется сетевое подключение, мы предоставляем заметки в этом поле, чтобы указать, какие функции будут отсутствуют, если набор конечных точек заблокирован. Если вы исключаете всю область обслуживания, наборы конечных точек, перечисленные как обязательные, не требуют подключения.

    Вы можете ознакомиться с этими категориями и рекомендациями по управлению ими в статье Оптимизация подключения к службам Microsoft 365.

  • ER: это да , если набор конечных точек поддерживается через Azure ExpressRoute с префиксами маршрутов Microsoft 365. Сообщество BGP, включающее указанные префиксы маршрутов, соответствует указанной области обслуживания. Если ER имеет значение Нет, это означает, что ExpressRoute не поддерживается для этого набора конечных точек.

    Некоторые маршруты могут объявляться в нескольких сообществах BGP, что позволяет конечным точкам в заданном диапазоне IP-адресов проходить по каналу ER, но оставаться неподдерживаемыми. Во всех случаях следует учитывать значение столбца ER заданного набора конечных точек.

  • Адреса: Списки полные доменные имена или доменные имена с подстановочными знаками и диапазоны IP-адресов для набора конечных точек. Обратите внимание, что диапазон IP-адресов имеет формат CIDR и может включать множество отдельных IP-адресов в указанной сети.

  • Порты: Списки порты TCP или UDP, объединенные со списком IP-адресов для формирования конечной точки сети. Вы можете заметить некоторое дублирование в диапазонах IP-адресов, где перечислены разные порты.

Единые домены Microsoft 365

Примечание.

В ответ на отзывы клиентов и для оптимизации управления конечными точками корпорация Майкрософт инициировала процесс объединения приложений и служб Microsoft 365 в выбранную группу выделенных, защищенных и целевых управляемых доменов в домене верхнего уровня (TLD).

Чтобы избежать проблем с подключением для пользователей, убедитесь, что следующие основные домены включены в список разрешений и подключение к этим доменам не заблокировано.

ID Категория Доменное имя Назначение Порты
184 Обязательный *.cloud.microsoft Предназначено для работы с продуктами Microsoft SaaS для пользователей, прошедших проверку подлинности. TCP: 443,80
UDP: 443
184 Обязательный *.static.microsoft Выделено для статического (не созданного клиентом) содержимого, размещенного в сетях CDN. TCP: 443,80
UDP: 443
184 Обязательный *.usercontent.microsoft Содержимое, используемое в интерфейсах Microsoft 365, требующее изоляции домена от приложений. TCP: 443,80
UDP: 443

Exchange Online

ID Категория ER Addresses Порты
1 Оптимизация
Обязательно
Да outlook.cloud.microsoft, outlook.office.com, outlook.office365.com
13.107.6.152/31, 13.107.18.10/31, 13.107.128.0/22, 23.103.160.0/20, 40.96.0.0/13, 40.104.0.0/15, 52.96.0.0/14, 131.253.33.215/32, 132.245.0.0/16, 150.171.32.0/22, 204.79.197.215/32, 2603:1006::/40, 2603:1016::/36, 2603:1026::/36, 2603:1036::/36, 2603:1046::/36, 2603:1056::/36, 2620:1ec:4::152/128, 2620:1ec:4::153/128, 2620:1ec:c::10/128, 2620:1ec:c::11/128, 2620:1ec:d::10/128, 2620:1ec:d::11/128, 2620:1ec:8f0::/46, 2620:1ec:900::/46, 2620:1ec:a92::152/128, 2620:1ec:a92::153/128
TCP: 443, 80
UDP: 443
2 Разрешить
Необязательный
Примечания: Трафик клиента POP3, IMAP4, SMTP
Да outlook.office365.com, smtp.office365.com
13.107.6.152/31, 13.107.18.10/31, 13.107.128.0/22, 23.103.160.0/20, 40.96.0.0/13, 40.104.0.0/15, 52.96.0.0/14, 131.253.33.215/32, 132.245.0.0/16, 150.171.32.0/22, 204.79.197.215/32, 2603:1006::/40, 2603:1016::/36, 2603:1026::/36, 2603:1036::/36, 2603:1046::/36, 2603:1056::/36, 2620:1ec:4::152/128, 2620:1ec:4::153/128, 2620:1ec:c::10/128, 2620:1ec:c::11/128, 2620:1ec:d::10/128, 2620:1ec:d::11/128, 2620:1ec:8f0::/46, 2620:1ec:900::/46, 2620:1ec:a92::152/128, 2620:1ec:a92::153/128
TCP: 587, 993, 995, 143
8 По умолчанию
Обязательно
Нет *.outlook.com, autodiscover.<tenant>.onmicrosoft.com TCP: 443, 80
9 Разрешить
Обязательно
Да *.protection.outlook.com
40.92.0.0/15, 40.107.0.0/16, 52.100.0.0/14, 52.238.78.88/32, 104.47.0.0/17, 2a01:111:f400::/48, 2a01:111:f403::/48
TCP: 443
10 Разрешить
Обязательно
Да *.mail.protection.outlook.com, *.mx.microsoft
40.92.0.0/15, 40.107.0.0/16, 52.100.0.0/14, 104.47.0.0/17, 2a01:111:f400::/48, 2a01:111:f403::/48
TCP: 25

SharePoint и OneDrive

ID Категория ER Addresses Порты
31 Оптимизация
Обязательно
Да *.sharepoint.com
13.107.136.0/22, 40.108.128.0/17, 52.104.0.0/14, 104.146.128.0/17, 150.171.40.0/22, 2603:1061:1300::/40, 2603:1063:6000::/35, 2620:1ec:8f8::/46, 2620:1ec:908::/46, 2a01:111:f402::/48
TCP: 443, 80
32 По умолчанию
Необязательный
Примечания: OneDrive для бизнеса: наличие поддержки, телеметрия, API и внедренные ссылки электронной почты
Нет ssw.live.com, storage.live.com TCP: 443
33 По умолчанию
Необязательный
Примечания: гибридный поиск в SharePoint — конечная точка подключения к SearchContentService, где гибридная программа-обходчик подает документы
Нет *.search.production.apac.trafficmanager.net, *.search.production.emea.trafficmanager.net, *.search.production.us.trafficmanager.net TCP: 443
35 По умолчанию
Обязательно
Нет *.wns.windows.com, admin.onedrive.com, officeclient.microsoft.com TCP: 443, 80
36 По умолчанию
Обязательно
Нет g.live.com, oneclient.sfx.ms TCP: 443, 80
37 По умолчанию
Обязательно
Нет *.sharepointonline.com, spoprod-a.akamaihd.net TCP: 443, 80
39 По умолчанию
Обязательно
Нет *.svc.ms TCP: 443, 80

Microsoft Teams

ID Категория ER Addresses Порты
11 Оптимизация
Обязательно
Да 52.112.0.0/14, 52.122.0.0/15, 2603:1063::/38 UDP: 3478, 3479, 3480, 3481
12 Разрешить
Обязательно
Да *.lync.com, *.teams.cloud.microsoft, *.teams.microsoft.com, teams.cloud.microsoft, teams.microsoft.com
52.112.0.0/14, 52.122.0.0/15, 52.238.119.141/32, 52.244.160.207/32, 2603:1027::/48, 2603:1037::/48, 2603:1047::/48, 2603:1057::/48, 2603:1063::/38, 2620:1ec:6::/48, 2620:1ec:40::/42
TCP: 443, 80
16 По умолчанию
Обязательно
Нет *.keydelivery.mediaservices.windows.net, *.streaming.mediaservices.windows.net, mlccdn.blob.core.windows.net TCP: 443
17 По умолчанию
Обязательно
Нет aka.ms TCP: 443
18 По умолчанию
Необязательный
Примечания: федерация со Skype и общедоступной службой обмена мгновенными сообщениями: извлечение фотографий контактов
Нет *.users.storage.live.com TCP: 443
19 По умолчанию
Необязательный
Примечания: применяется только к тем, кто использует системы конференц-зала
Нет adl.windows.com TCP: 443, 80
27 По умолчанию
Обязательно
Нет *.secure.skypeassets.com, mlccdnprod.azureedge.net TCP: 443
127 По умолчанию
Обязательно
Нет *.skype.com TCP: 443, 80
180 По умолчанию
Обязательно
Нет compass-ssl.microsoft.com TCP: 443

Общие для Microsoft 365 и Office Online

ID Категория ER Addresses Порты
46 Разрешить
Обязательно
Да *.officeapps.live.com, *.online.office.com, office.live.com
13.107.6.171/32, 13.107.18.15/32, 13.107.140.6/32, 52.108.0.0/14, 52.244.37.168/32, 2603:1006:1400::/40, 2603:1016:2400::/40, 2603:1026:2400::/40, 2603:1036:2400::/40, 2603:1046:1400::/40, 2603:1056:1400::/40, 2603:1063:2000::/38, 2620:1ec:c::15/128, 2620:1ec:8fc::6/128, 2620:1ec:a92::171/128, 2a01:111:f100:2000::a83e:3019/128, 2a01:111:f100:2002::8975:2d79/128, 2a01:111:f100:2002::8975:2da8/128, 2a01:111:f100:7000::6fdd:6cd5/128, 2a01:111:f100:a004::bfeb:88cf/128
TCP: 443, 80
47 По умолчанию
Обязательно
Нет *.office.net TCP: 443, 80
UDP: 443
49 По умолчанию
Обязательно
Нет *.onenote.com TCP: 443
50 По умолчанию
Необязательный
Примечания: записные книжки OneNote (подстановочные знаки)
Нет *.microsoft.com TCP: 443
51 По умолчанию
Обязательно
Нет *cdn.onenote.net TCP: 443
53 По умолчанию
Обязательно
Нет ajax.aspnetcdn.com, apis.live.net, officeapps.live.com, www.onedrive.com TCP: 443
56 Разрешить
Обязательно
Да *.auth.microsoft.com, *.msftidentity.com, *.msidentity.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com
20.20.32.0/19, 20.190.128.0/18, 20.231.128.0/19, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48
TCP: 443, 80
59 По умолчанию
Обязательно
Нет *.hip.live.com, *.microsoftonline-p.com, *.microsoftonline.com, *.msauth.net, *.msauthimages.net, *.msecnd.net, *.msftauth.net, *.msftauthimages.net, *.phonefactor.net, enterpriseregistration.windows.net, policykeyservice.dc.ad.msft.net TCP: 443, 80
64 Разрешить
Обязательно
Да *.protection.office.com, *.security.microsoft.com, compliance.microsoft.com, defender.microsoft.com, protection.office.com, purview.microsoft.com, security.microsoft.com
13.107.6.192/32, 13.107.9.192/32, 2620:1ec:4::192/128, 2620:1ec:a92::192/128
TCP: 443
66 По умолчанию
Обязательно
Нет *.portal.cloudappsecurity.com TCP: 443
68 По умолчанию
Необязательный
Примечания: Портал и общий доступ: интеграция с office стороннего производителя. (включая CDN)
Нет firstpartyapps.oaspapps.com, prod.firstpartyapps.oaspapps.com.akadns.net, telemetryservice.firstpartyapps.oaspapps.com, wus-firstpartyapps.oaspapps.com TCP: 443
69 По умолчанию
Обязательно
Нет *.aria.microsoft.com, *.events.data.microsoft.com TCP: 443
70 По умолчанию
Обязательно
Нет *.o365weve.com, amp.azure.net, appsforoffice.microsoft.com, assets.onestore.ms, auth.gfx.ms, c1.microsoft.com, dgps.support.microsoft.com, docs.microsoft.com, msdn.microsoft.com, platform.linkedin.com, prod.msocdn.com, shellprod.msocdn.com, support.microsoft.com, technet.microsoft.com TCP: 443
71 По умолчанию
Обязательно
Нет *.office365.com TCP: 443, 80
73 По умолчанию
Обязательно
Нет *.aadrm.com, *.azurerms.com, *.informationprotection.azure.com, ecn.dev.virtualearth.net, informationprotection.hosting.portal.azure.net TCP: 443
75 По умолчанию
Необязательный
Примечания: Graph.windows.net, пакет управления Office 365 для Operations Manager, SecureScore, регистрация устройств Azure AD, формы, StaffHub, Application Insights, службы captcha
Нет *.sharepointonline.com, dc.services.visualstudio.com, mem.gfx.ms, staffhub.ms, staffhubweb.azureedge.net TCP: 443
78 По умолчанию
Необязательный
Примечания: Для некоторых функций Office 365 требуются конечные точки в этих доменах (включая СЕТИ CDN). Многие конкретные полные доменные имена в этих подстановочных знаках были опубликованы недавно, так как мы работаем над удалением или более точным объяснением наших рекомендаций, связанных с этими подстановочными знаками.
Нет *.microsoft.com, *.msocdn.com, *.onmicrosoft.com TCP: 443, 80
79 По умолчанию
Обязательно
Нет o15.officeredir.microsoft.com, officepreviewredir.microsoft.com, officeredir.microsoft.com, r.office.microsoft.com TCP: 443, 80
83 По умолчанию
Обязательно
Нет activation.sls.microsoft.com TCP: 443
84 По умолчанию
Обязательно
Нет crl.microsoft.com TCP: 443, 80
86 По умолчанию
Обязательно
Нет office15client.microsoft.com, officeclient.microsoft.com TCP: 443
89 По умолчанию
Обязательно
Нет go.microsoft.com TCP: 443, 80
91 По умолчанию
Обязательно
Нет ajax.aspnetcdn.com, cdn.odc.officeapps.live.com TCP: 443, 80
92 По умолчанию
Обязательно
Нет officecdn.microsoft.com, officecdn.microsoft.com.edgesuite.net, otelrules.azureedge.net TCP: 443, 80
93 По умолчанию
Необязательный
Примечания: профессиональный плюс: вспомогательные URL-адреса
Нет *.virtualearth.net, c.bing.net, ocos-office365-s2s.msedge.net, tse1.mm.bing.net, www.bing.com TCP: 443, 80
95 По умолчанию
Необязательный
Примечания: Outlook для Android и iOS
Нет *.acompli.net, *.outlookmobile.com TCP: 443
96 По умолчанию
Необязательный
Примечания: Outlook для Android и iOS: аутентификация
Нет login.windows-ppe.net TCP: 443
97 По умолчанию
Необязательный
Примечания: Outlook для Android и iOS: интеграция с обычными учетными записями Outlook.com и OneDrive
Нет account.live.com, login.live.com TCP: 443
105 По умолчанию
Необязательный
Примечания: Outlook для Android и iOS: конфиденциальность в Outlook
Нет www.acompli.com TCP: 443
114 По умолчанию
Необязательный
Примечания: URL-адреса Office Mobile
Нет *.appex-rf.msn.com, *.appex.bing.com, c.bing.com, c.live.com, d.docs.live.net, docs.live.net, partnerservices.getmicrosoftkey.com, signup.live.com TCP: 443, 80
116 По умолчанию
Необязательный
Примечания: URL-адреса Office для iPad
Нет account.live.com, auth.gfx.ms, login.live.com TCP: 443, 80
117 По умолчанию
Необязательный
Примечания: Yammer
Нет *.yammer.com, *.yammerusercontent.com TCP: 443
118 По умолчанию
Необязательный
Примечания: сеть доставки содержимого Yammer
Нет *.assets-yammer.com TCP: 443
121 По умолчанию
Необязательный
Примечания: Планировщик: вспомогательные URL-адреса
Нет www.outlook.com TCP: 443, 80
122 По умолчанию
Необязательный
Примечания: сети доставки содержимого Sway
Нет eus-www.sway-cdn.com, eus-www.sway-extensions.com, wus-www.sway-cdn.com, wus-www.sway-extensions.com TCP: 443
124 По умолчанию
Необязательный
Примечания: Sway
Нет sway.com, www.sway.com TCP: 443
125 По умолчанию
Обязательно
Нет *.entrust.net, *.geotrust.com, *.omniroot.com, *.public-trust.com, *.symcb.com, *.symcd.com, *.verisign.com, *.verisign.net, apps.identrust.com, cacerts.digicert.com, cert.int-x3.letsencrypt.org, crl.globalsign.com, crl.globalsign.net, crl.identrust.com, crl3.digicert.com, crl4.digicert.com, isrg.trustid.ocsp.identrust.com, mscrl.microsoft.com, ocsp.digicert.com, ocsp.globalsign.com, ocsp.msocsp.com, ocsp2.globalsign.com, ocspx.digicert.com, secure.globalsign.com, www.digicert.com, www.microsoft.com TCP: 443, 80
126 По умолчанию
Необязательный
Примечания. Для функций диктовки Office требуется подключение к службе распознавания речи. Если подключение запрещено, диктовка будет отключена.
Нет officespeech.platform.bing.com TCP: 443
147 По умолчанию
Обязательно
Нет *.office.com, www.microsoft365.com TCP: 443, 80
152 По умолчанию
Необязательный
Примечания: Эти конечные точки обеспечивают функциональность сценариев Office в клиентах Office, доступных на вкладке Автоматизация, а также функции Python в Excel, доступные на вкладке Формулы. Функцию сценариев Office также можно отключить на портале Администратор Office 365. Сведения об административных элементах управления, связанных с Python в Excel, см. в статье Безопасность данных и Python в Excel.
Нет *.microsoftusercontent.com TCP: 443
153 По умолчанию
Обязательно
Нет *.azure-apim.net, *.flow.microsoft.com, *.powerapps.com, *.powerautomate.com TCP: 443
156 По умолчанию
Обязательно
Нет *.activity.windows.com, activity.windows.com TCP: 443
158 По умолчанию
Обязательно
Нет *.cortana.ai TCP: 443
159 По умолчанию
Обязательно
Нет admin.microsoft.com TCP: 443, 80
160 По умолчанию
Обязательно
Нет cdn.odc.officeapps.live.com, cdn.uci.officeapps.live.com TCP: 443, 80
184 По умолчанию
Обязательно
Нет *.cloud.microsoft, *.static.microsoft, *.usercontent.microsoft TCP: 443, 80
UDP: 443

Примечания для таблицы.

  • Центр безопасности и соответствия требованиям (SCC) обеспечивает поддержку Azure ExpressRoute для Microsoft 365. То же самое относится ко многим функциям, предоставляемым через SCC, таким как отчеты, аудит, обнаружение электронных данных (премиум), единая защита от потери данных и управление данными. Две конкретные функции, импорт PST и экспорт обнаружения электронных данных, в настоящее время не поддерживают Azure ExpressRoute только с фильтрами маршрутов Microsoft 365 из-за их зависимости от Хранилище BLOB-объектов Azure (*.blob.core.windows.net). Чтобы использовать эти функции, необходимо отдельное подключение к Хранилище BLOB-объектов Azure с помощью любых вариантов подключения Azure, включая подключение к Интернету или Azure ExpressRoute с общедоступными фильтрами маршрутов Azure. Необходимо оценить, как установить такое подключение для обеих этих функций. Команда Information Protection Microsoft 365 знает об этом ограничении и активно работает над тем, чтобы обеспечить поддержку Azure ExpressRoute для Microsoft 365, ограничиваясь фильтрами маршрутов Microsoft 365 для обеих этих функций.

Дополнительные конечные точки, не включенные в веб-службу IP-адресов и URL-адресов Microsoft 365

Управление конечными точками Microsoft 365

Общие конечные точки Microsoft Stream

Проверка подключения Microsoft 365

Подключение клиентских компьютеров

Сети доставки содержимого

Диапазоны IP-адресов и теги служб Microsoft Azure — общедоступное облако

Диапазоны IP-адресов и теги служб Microsoft Azure — облако для государственных организаций США

Диапазоны IP-адресов и теги служб Microsoft Azure — облако в Китае

Пространство публичных IP-адресов корпорации Майкрософт

Реестр имен служб и номеров портов транспортного протокола