Dela via


Nätverksslutpunkter för Microsoft Intune

Den här artikeln innehåller IP-adresser och portinställningar som krävs för proxyinställningar i dina Microsoft Intune-distributioner.

Som en molnbaserad tjänst kräver Intune inte någon lokal infrastruktur, till exempel servrar eller gatewayer.

Åtkomst för hanterade enheter

Om du vill hantera enheter bakom brandväggar och proxyservrar måste du aktivera kommunikation för Intune.

Obs!

Informationen i det här avsnittet gäller även för Microsoft Intune Certificate Connector. Anslutningsappen har samma nätverkskrav som hanterade enheter.

  • Slutpunkterna i den här artikeln ger åtkomst till de portar som identifieras i följande tabeller.

  • För vissa uppgifter kräver Intune oautentiserad proxyserveråtkomst till manage.microsoft.com, *.azureedge.net och graph.microsoft.com.

    Obs!

    SSL-trafikgranskning stöds inte för slutpunkterna *.manage.microsoft.com, *.dm.microsoft.com eller enhetshälsoattestering (DHA) som anges i avsnittet efterlevnad.

Du kan ändra proxyserverinställningarna på enskilda klientdatorer. Du kan också använda grupprincip inställningar för att ändra inställningarna för alla klientdatorer som finns bakom en angiven proxyserver.

Hanterade enheter kräver konfigurationer som gör att alla användare kan komma åt tjänster via brandväggar.

PowerShell-skript

För att göra det enklare att konfigurera tjänster via brandväggar registrerade vi med tjänsten Office 365 Endpoint. För närvarande används Intune slutpunktsinformation via ett PowerShell-skript. Det finns andra beroende tjänster för Intune som redan omfattas som en del av Microsoft 365-tjänsten och som är markerade som "nödvändiga". Tjänster som redan omfattas av Microsoft 365 ingår inte i skriptet för att undvika duplicering.

Med hjälp av följande PowerShell-skript kan du hämta listan över IP-adresser för Intune-tjänsten.

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips

Med hjälp av följande PowerShell-skript kan du hämta listan över FQDN:er som används av Intune och beroende tjänster. När du kör skriptet kan URL:erna i skriptets utdata skilja sig från URL:erna i följande tabeller. Se minst till att du inkluderar URL:erna i tabellerna.

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls

Skriptet är en praktisk metod för att lista och granska alla tjänster som krävs av Intune och Autopilot på en plats. Ytterligare egenskaper kan returneras från slutpunktstjänsten, till exempel kategoriegenskapen, som anger om FQDN eller IP ska konfigureras som Tillåt, Optimera eller Standard.

Slutpunkter

Du behöver även FQDN som omfattas av Microsoft 365-kraven. Som referens visar följande tabeller den tjänst de är knutna till och listan över URL:er returneras.

De datakolumner som visas i tabellerna är:

  • ID: Raden för ID-numret, som även kallas för en slutpunktsuppsättning. Detta ID är samma som returneras av webbtjänsten för slutpunktsuppsättningen.

  • Kategori: Visar om slutpunktsuppsättningen kategoriseras som Optimera, Tillåt eller Standard. I den här kolumnen visas även vilka slutpunktsuppsättningar som krävs för nätverksanslutningar. För slutpunktsuppsättningar som inte är nödvändiga för att ha nätverksanslutning tillhandahåller vi anteckningar i det här fältet för att ange vilka funktioner som skulle saknas om slutpunktsuppsättningen är blockerad. Om du undantar ett helt tjänstområde kräver inte slutpunktsuppsättningarna som anges som krav anslutning.

    Du kan läsa om de här kategorierna och vägledningen för deras hantering i Nya Microsoft 365-slutpunktskategorier.

  • ER: Det här är Ja/Sant om slutpunktsuppsättningen stöds via Azure ExpressRoute med Vägprefix för Microsoft 365. BGP-communityn som innehåller de väg-prefix som visas är justeras med tjänstområdet som visas. När ER är Nej/Falskt stöds inte ExpressRoute för den här slutpunktsuppsättningen.

  • Adresser: listar FQDN-namn eller domännamn med jokertecken och IP-adressintervall för slutpunktsuppsättningen. Observera att ett IP-adressintervall är i CIDR-format och kan innehålla många enskilda IP-adresser i det angivna nätverket.

  • Portar: Listar de TCP-eller UDP-portar som kombineras med ip-adresser i listan för att skapa nätverksslutpunkten. Du märker kanske att det finns dubbletter i IP-adressintervall där olika portar finns med i listan.

Intune kärntjänst

Obs!

Om brandväggen som du använder tillåter att du skapar brandväggsregler med ett domännamn använder du domänen *.manage.microsoft.com och manage.microsoft.com. Men om brandväggsprovidern som du använder inte tillåter att du skapar en brandväggsregel med ett domännamn rekommenderar vi att du använder den godkända listan över alla undernät i det här avsnittet.

ID Desc Kategori ER Adresser Portar
163 Intune klient- och värdtjänst Tillåt
Obligatoriskt
Falskt *.manage.microsoft.com
manage.microsoft.com
EnterpriseEnrollment.manage.microsoft.com
104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.71.199.64/28, 13.73.244.48/28, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 20.49.93.160/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29
TCP: 80, 443
172 MDM-leveransoptimering Standard
Obligatoriskt
Falskt *.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
TCP: 80, 443
170 MEM – Win32Apps Standard
Obligatoriskt
Falskt swda01-mscdn.manage.microsoft.com
swda02-mscdn.manage.microsoft.com
swdb01-mscdn.manage.microsoft.com
swdb02-mscdn.manage.microsoft.com
swdc01-mscdn.manage.microsoft.com
swdc02-mscdn.manage.microsoft.com
swdd01-mscdn.manage.microsoft.com
swdd02-mscdn.manage.microsoft.com
swdin01-mscdn.manage.microsoft.com
swdin02-mscdn.manage.microsoft.com
TCP: 443
97 Konsument-Outlook.com, OneDrive, enhetsautentisering och Microsoft-konto Standard
Obligatoriskt
Falskt account.live.com
login.live.com
TCP: 443
190 Slutpunktsidentifiering Standard
Obligatoriskt
Falskt go.microsoft.com TCP: 80, 443
189 Beroende – funktionsdistribution Standard
Obligatoriskt
Falskt config.edge.skype.com
TCP: 443

Autopilot-beroenden

ID Desc Kategori ER Adresser Portar
164 Autopilot – Windows Update Standard
Obligatoriskt
Falskt *.windowsupdate.com
*.dl.delivery.mp.microsoft.com
*.prod.do.dsp.mp.microsoft.com
*.delivery.mp.microsoft.com
*.update.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com
adl.windows.com
TCP: 80, 443
165 Autopilot – NTP-synkronisering Standard
Obligatoriskt
Falskt time.windows.com UDP: 123
169 Autopilot – WNS-beroenden Standard
Obligatoriskt
Falskt clientconfig.passport.net
windowsphone.com
*.s-microsoft.com
c.s-microsoft.com
TCP: 443
173 Autopilot – distributionsberoenden från tredje part Standard
Obligatoriskt
Falskt ekop.intel.com
ekcert.spserv.microsoft.com
ftpm.amd.com
TCP: 443
182 Autopilot – Diagnostikuppladdning Standard
Obligatoriskt
Falskt lgmsapeweu.blob.core.windows.net
TCP: 443

Fjärrassistans

ID Desc Kategori ER Adresser Portar Kommentar
181 MEM – Fjärrassistans funktion Standard
Obligatoriskt
Falskt *.support.services.microsoft.com
remoteassistance.support.services.microsoft.com
rdprelayv3eastusprod-0.support.services.microsoft.com
*.trouter.skype.com
remoteassistanceprodacs.communication.azure.com
edge.skype.com
aadcdn.msftauth.net
aadcdn.msauth.net
alcdn.msauth.net
wcpstatic.microsoft.com
*.aria.microsoft.com
browser.pipe.aria.microsoft.com
*.events.data.microsoft.com
v10.events.data.microsoft.com
*.monitor.azure.com
js.monitor.azure.com
edge.microsoft.com
*.trouter.communication.microsoft.com
go.trouter.communication.microsoft.com
*.trouter.teams.microsoft.com
trouter2-usce-1-a.trouter.teams.microsoft.com
api.flightproxy.skype.com
ecs.communication.microsoft.com
remotehelp.microsoft.com
trouter-azsc-usea-0-a.trouter.skype.com
TCP: 443
187 Beroende – Fjärrassistans webbpub Standard
Obligatoriskt
Falskt *.webpubsub.azure.com
AMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com
TCP: 443
188 Fjärrassistans beroende för GCC-kunder Standard
Obligatoriskt
Falskt remoteassistanceweb-gcc.usgov.communication.azure.us
gcc.remotehelp.microsoft.com
gcc.relay.remotehelp.microsoft.com
*.gov.teams.microsoft.us
TCP: 443

Intune beroenden

I det här avsnittet visar följande tabeller de Intune beroenden och portar och tjänster som Intune klientåtkomst till.

WNS-beroenden (Windows Push Notification Services)

ID Desc Kategori ER Adresser Portar
171 MEM – WNS-beroenden Standard
Obligatoriskt
Falskt *.notify.windows.com
*.wns.windows.com
sinwns1011421.wns.windows.com
sin.notify.windows.com
TCP: 443

För Intune hanterade Windows-enheter som hanteras med mobile Enhetshantering (MDM) kräver enhetsåtgärder och andra omedelbara aktiviteter användning av Windows Push Notification Services (WNS). Mer information finns i Tillåta Windows-meddelandetrafik via företagsbrandväggar.

Beroenden för leveransoptimering

ID Desc Kategori ER Adresser Portar
172 MDM – Beroenden för leveransoptimering Standard
Obligatoriskt
Falskt *.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
TCP: 80, 443

Portkrav – För kommunikation mellan klient och tjänst använder den HTTP eller HTTPS via port 80/443. För peer-to-peer-trafik använder leveransoptimering 7680 för TCP/IP och Teredo på port 3544 för NAT-bläddringen. Mer information finns i dokumentationen om leveransoptimering

Proxykrav – Om du vill använda leveransoptimering måste du tillåta byteintervallbegäranden. Mer information finns i Proxykrav för leveransoptimering.

Brandväggskrav – Tillåt följande värdnamn via brandväggen för att stödja leveransoptimering. För kommunikation mellan klienter och molntjänsten Leveransoptimering:

  • *.do.dsp.mp.microsoft.com

För metadata för leveransoptimering:

  • *.dl.delivery.mp.microsoft.com

Apple-beroenden

ID Desc Kategori ER Adresser Portar
178 MEM – Apple-beroenden Standard
Obligatoriskt
Falskt itunes.apple.com
*.itunes.apple.com
*.mzstatic.com
*.phobos.apple.com
phobos.itunes-apple.com.akadns.net
5-courier.push.apple.com
phobos.apple.com
ocsp.apple.com
ax.itunes.apple.com
ax.itunes.apple.com.edgesuite.net
s.mzstatic.com
a1165.phobos.apple.com
TCP: 80, 443, 5223

Mer information finns i följande resurser:

Android AOSP-beroenden

ID Desc Kategori ER Adresser Portar
179 MEM – Android AOSP-beroende Standard
Obligatoriskt
Falskt intunecdnpeasd.azureedge.net
TCP: 443

Obs!

Eftersom Google Mobile Services inte är tillgängligt i Kina kan enheter i Kina som hanteras av Intune inte använda funktioner som kräver Google Mobile Services. Dessa funktioner är: Google Play Protect-funktioner som SafetyNet-enhetsattestering, Hantering av appar från Google Play Store, Android Enterprise-funktioner (se den här Google-dokumentationen). Dessutom använder Intune-företagsportal-appen för Android Google Mobile Services för att kommunicera med Microsoft Intune-tjänsten. Eftersom Google Play-tjänster inte är tillgängliga i Kina kan vissa uppgifter ta upp till 8 timmar att slutföra. Mer information finns i Begränsningar för Intune hantering när GMS inte är tillgängligt.

Android-portinformation – Beroende på hur du väljer att hantera Android-enheter kan du behöva öppna Google Android Enterprise-portarna och/eller Android-push-meddelandet. Mer information om vilka Android-hanteringsmetoder som stöds finns i dokumentationen för Android-registrering.

Android Enterprise-beroenden

Google Android Enterprise – Google tillhandahåller dokumentation om nödvändiga nätverksportar och målvärdnamn i sin Android Enterprise Bluebook, under avsnittet Brandvägg i dokumentet.

Push-meddelande för Android – Intune använder Google Firebase Cloud Messaging (FCM) för push-meddelanden för att utlösa enhetsåtgärder och incheckningar. Detta krävs av både Android-enhetsadministratör och Android Enterprise. Information om FCM-nätverkskrav finns i Googles FCM-portar och din brandvägg.

Autentiseringsberoenden

ID Desc Kategori ER Adresser Portar
56 Autentisering och identitet omfattar Azure Active Directory och Azure AD relaterade tjänster. Tillåt
Obligatoriskt
Sant login.microsoftonline.com
graph.windows.net
TCP: 80, 443
150 Office Customization Service tillhandahåller Office 365 ProPlus distributionskonfiguration, programinställningar och molnbaserad principhantering. Standard Falskt *.officeconfig.msocdn.com
config.office.com
TCP: 443
59 Identitetsbaserad support för tjänster & CDN:er. Standard
Obligatoriskt
Falskt enterpriseregistration.windows.net
TCP: 80, 443

Mer information finns i Office 365 URL:er och IP-adressintervall.

Nätverkskrav för PowerShell-skript och Win32-appar

Om du använder Intune för att distribuera PowerShell-skript eller Win32-appar måste du också bevilja åtkomst till slutpunkter där din klient för närvarande finns.

Om du vill hitta din klientplats (eller Azure Scale Unit (ASU) loggar du in på administrationscentret för Microsoft Intune och väljer KlientadministrationSinformation för klientorganisation>. Platsen är under Klientorganisationsplats som något som liknar Nordamerika 0501 eller Europa 0202. Leta efter matchande nummer i följande tabell. Den raden anger vilket lagringsnamn och CDN-slutpunkter som du vill bevilja åtkomst till. Raderna särskiljs efter geografisk region, vilket anges av de två första bokstäverna i namnen (na = Nordamerika, eu = Europa, ap = Asien och stillahavsområdet). Din klientplats är en av dessa tre regioner, även om organisationens faktiska geografiska plats kan finnas någon annanstans.

Obs!

Tillåt http-partiellt svar krävs för skript & Win32-appars slutpunkter.

Azure Scale Unit (ASU) Lagringsnamn CDN Port
AMSUA0601
AMSUA0602
AMSUA0101
AMSUA0102
AMSUA0201
AMSUA0202
AMSUA0401
AMSUA0402
AMSUA0501
AMSUA0502
AMSUA0601
AMSUA0701
AMSUA0702
AMSUA0801
AMSUA0901
naprodimedatapri
naprodimedatasec
naprodimedatahotfix
naprodimedatapri.azureedge.net
naprodimedatasec.azureedge.net
naprodimedatahotfix.azureedge.net
TCP: 443
AMSUB0101
AMSUB0102
AMSUB0201
AMSUB0202
AMSUB0301
AMSUB0302
AMSUB0501
AMSUB0502
AMSUB0601
AMSUB0701
euprodimedatapri
euprodimedatasec
euprodimedatahotfix
euprodimedatapri.azureedge.net
euprodimedatasec.azureedge.net
euprodimedatahotfix.azureedge.net
TCP: 443
AMSUC0101
AMSUC0201
AMSUC0301
AMSUC0501
AMSUC0601
AMSUD0101
approdimedatapri
approdimedatasec
approdimedatahotifx
approdimedatapri.azureedge.net
approdimedatasec.azureedge.net
approdimedatahotfix.azureedge.net
TCP: 443

Microsoft Store

Hanterade Windows-enheter som använder Microsoft Store – antingen för att hämta, installera eller uppdatera appar – behöver åtkomst till dessa slutpunkter.

Microsoft Store API (AppInstallManager):

  • displaycatalog.mp.microsoft.com
  • purchase.md.mp.microsoft.com
  • licensing.mp.microsoft.com
  • storeedgefd.dsx.mp.microsoft.com

Windows Update Agent:

Mer information finns i följande resurser:

Nedladdning av Win32-innehåll:

Nedladdningsplatser och slutpunkter för Win32-innehåll är unika per program och tillhandahålls av den externa utgivaren. Du hittar platsen för varje Win32 Store-app med hjälp av följande kommando i ett testsystem (du kan hämta [PackageId] för en Store-app genom att referera till egenskapen Paketidentifierare för appen när du har lagt till den i Microsoft Intune):

winget show [PackageId]

Egenskapen Installer URL visar antingen den externa nedladdningsplatsen eller den regionbaserade (Microsoft-värdbaserade) återställningscachen baserat på om cachen används. Observera att platsen för nedladdning av innehåll kan ändras mellan cacheminnet och den externa platsen.

Microsoft-värdbaserad Win32-appåterställningscache:

  • Varierar beroende på region, exempel: sparkcdneus2.azureedge.net, sparkcdnwus2.azureedge.net

Leveransoptimering (valfritt, krävs för peering):

Mer information finns i följande resurs:

Migrera efterlevnadsprinciper för enhetshälsoattestering till Microsoft Azure-attestering

Om en kund aktiverar någon av Windows 10/11 Efterlevnadsprincip – Inställningar för enhetshälsa börjar Windows 11 enheter använda en Microsoft Azure Attestation-tjänst (MAA) baserat på deras Intune klientplats. Men Windows 10- och GCCH-/DOD-miljöer fortsätter att använda den befintliga slutpunkten för hälsoattestering av hälsoattestering för hälsoattestering för enhet "has.spserv.microsoft.com" för attestering av enhetens hälsotillstånd och påverkas inte av den här ändringen.

Om en kund har brandväggsprinciper som förhindrar åtkomst till den nya Intune MAA-tjänsten för Windows 11, kommer Windows 11 enheter med tilldelade efterlevnadsprinciper med någon av enhetens hälsoinställningar (BitLocker, Säker start, Kodintegritet) att sluta uppfylla efterlevnaden eftersom de inte kan nå MAA-attesteringsslutpunkterna för deras plats.

Se till att det inte finns några brandväggsregler som blockerar utgående HTTPS/443-trafik och att SSL-trafikgranskning inte är på plats för slutpunkterna som anges i det här avsnittet, baserat på din Intune klientorganisationens plats.

Om du vill hitta din klientplats navigerar du till Intune administrationscenter > För klientorganisation>klientorganisationsstatus>Information om klientorganisation, se Klientplats.

  • 'https://intunemaape1.eus.attest.azure.net'

  • 'https://intunemaape2.eus2.attest.azure.net'

  • 'https://intunemaape3.cus.attest.azure.net'

  • 'https://intunemaape4.wus.attest.azure.net'

  • 'https://intunemaape5.scus.attest.azure.net'

  • 'https://intunemaape6.ncus.attest.azure.net'

Distributionstjänst för Windows Update för företag

Mer information om de slutpunkter som krävs för distributionstjänsten Windows Update för företag finns i Windows Update för affärsdistributionstjänstens krav.

Slutpunktsanalys

Mer information om de slutpunkter som krävs för slutpunktsanalys finns i Proxykonfiguration för slutpunktsanalys.

Microsoft Defender för Endpoint

Mer information om hur du konfigurerar Defender för Endpoint-anslutning finns i Anslutningskrav.

Om du vill ha stöd för hantering av säkerhetsinställningar för Defender för Endpoint tillåter du följande värdnamn via brandväggen. För kommunikation mellan klienter och molntjänsten:

  • *.dm.microsoft.com – Användningen av jokertecken stöder molntjänstslutpunkter som används för registrering, incheckning och rapportering och som kan ändras när tjänsten skalar.

    Viktigt

    SSL-inspektion stöds inte på slutpunkter som krävs för Microsoft Defender för Endpoint.

Microsoft Intune hantering av slutpunktsprivilegier

Tillåt följande värdnamn på tcp-port 443 via brandväggen för att stödja Endpoint Privilege Management

För kommunikation mellan klienter och molntjänsten:

  • *.dm.microsoft.com – Användningen av jokertecken stöder molntjänstslutpunkter som används för registrering, incheckning och rapportering och som kan ändras när tjänsten skalar.

  • *.events.data.microsoft.com – används av Intune hanterade enheter för att skicka valfria rapporteringsdata till slutpunkten för Intune datainsamling.

    Viktigt

    SSL-inspektion stöds inte på slutpunkter som krävs för Hantering av slutpunktsprivilegier.

Mer information finns i Översikt över Hantering av slutpunktsprivilegier.

URL-adresser och IP-adressintervall för Office 365

Översikt över Nätverksanslutning för Microsoft 365

Nätverk för innehållsleverans (CDN)

Andra slutpunkter ingår inte i Office 365 IP-adress och URL-webbtjänst

Hantera Office 365-slutpunkter