Microsoft Intune 网络终结点
本文列出了Microsoft Intune部署中的代理设置所需的 IP 地址和端口设置。
作为仅限云的服务,Intune不需要本地基础结构,例如服务器或网关。
受管理设备的访问权限
若要管理防火墙和代理服务器后面的设备,必须启用 Intune 的通信。
注意
本部分中的信息也适用于 Microsoft Intune 证书连接器。 连接器的网络要求与托管设备相同。
本文中的终结点允许访问下表中标识的端口。
对于某些任务,Intune需要未经身份验证的代理服务器访问 manage.microsoft.com、*.azureedge.net 和 graph.microsoft.com。
注意
“*.manage.microsoft.com”、“*.dm.microsoft.com”或 设备运行状况证明 (DHA) 合规性部分中列出的终结点不支持 SSL 流量检查。
可以修改单个客户端计算机上的代理服务器设置。 还可以使用“组策略”设置来更改位于指定代理服务器后面的所有客户端计算机的设置。
托管的设备需要允许“所有用户”通过防火墙访问服务的配置。
PowerShell 脚本
为了更轻松地通过防火墙配置服务,我们载入了 Office 365 Endpoint 服务。 此时,可通过 PowerShell 脚本访问Intune终结点信息。 Intune的其他依赖服务已作为 Microsoft 365 服务的一部分涵盖,并标记为“必需”。 Microsoft 365 已涵盖的服务未包含在脚本中,以避免重复。
使用以下 PowerShell 脚本,可以检索Intune服务的 IP 地址列表。
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips
使用以下 PowerShell 脚本,可以检索Intune和相关服务使用的 FQDN 列表。 运行脚本时,脚本输出中的 URL 可能与下表中的 URL 不同。 至少,请确保在表中包括 URL。
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls
该脚本提供了一种便捷的方法,用于在一个位置列出和查看Intune和 Autopilot 所需的所有服务。 可以从终结点服务返回其他属性,例如类别属性,该属性指示 FQDN 或 IP 应配置为 “允许”、“ 优化” 还是 “默认”。
终结点
还需要作为Microsoft 365 要求一部分涵盖的 FQDN。 为了参考,下表显示了它们所绑定到的服务,以及返回的 URL 列表。
表中显示的数据列包括:
ID:行的 ID 号,也称为终结点集。 此 ID 与终结点集的 Web 服务返回的 ID 相同。
类别:显示终结点集是分类为“优化”、“允许”还是“默认”。 此列还列出了需要哪些终结点集才能建立网络连接。 对于不需要具有网络连接的终结点集,我们在此字段中提供注释,以指示如果阻止终结点集,将缺少哪些功能。 如果排除整个服务区域,则列为必需终结点集不需要连接。
可以在 新Microsoft 365 个终结点类别中了解这些类别及其管理指南。
ER:如果终结点集通过 Azure ExpressRoute 受支持,且Microsoft路由前缀为 365,则为“是/True”。 包含显示的路由前缀的 BGP 社区与列出的服务区域一致。 当 ER 为 No/False 时,此终结点集不支持 ExpressRoute。
地址:Lists终结点集的 FQDN 或通配符域名和 IP 地址范围。 请注意,IP 地址范围采用 CIDR 格式,可以在指定网络中包括多个单独的 IP 地址。
端口:Lists TCP 或 UDP 端口,这些端口与列出的 IP 地址组合在一起构成网络终结点。 你可能会注意到 IP 地址范围中的一些重复,其中列出了不同的端口。
Intune核心服务
注意
如果使用的防火墙允许使用域名创建防火墙规则,请使用 *.manage.microsoft.com 和 manage.microsoft.com 域。 但是,如果你使用的防火墙提供程序不允许使用域名创建防火墙规则,我们建议使用本部分中所有子网的已批准列表。
ID | 后代 | 类别 | ER | Addresses | 端口 |
---|---|---|---|---|---|
163 | Intune客户端和主机服务 | 允许 必填 |
False | *.manage.microsoft.com manage.microsoft.com EnterpriseEnrollment.manage.microsoft.com 104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.71.199.64/28, 13.73.244.48/28, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 20.49.93.160/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29 |
TCP: 80、443 |
172 | MDM 传递优化 | 默认值 必填 |
False | *.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com |
TCP: 80、443 |
170 | MEM - Win32Apps | 默认值 必填 |
False | swda01-mscdn.manage.microsoft.com swda02-mscdn.manage.microsoft.com swdb01-mscdn.manage.microsoft.com swdb02-mscdn.manage.microsoft.com swdc01-mscdn.manage.microsoft.com swdc02-mscdn.manage.microsoft.com swdd01-mscdn.manage.microsoft.com swdd02-mscdn.manage.microsoft.com swdin01-mscdn.manage.microsoft.com swdin02-mscdn.manage.microsoft.com |
TCP:443 |
97 | 使用者 Outlook.com、OneDrive、设备身份验证和Microsoft帐户 | 默认值 必填 |
False | account.live.com login.live.com |
TCP:443 |
190 | 终结点发现 | 默认值 必填 |
False | go.microsoft.com |
TCP: 80、443 |
189 | 依赖项 - 功能部署 | 默认值 必填 |
False | config.edge.skype.com |
TCP:443 |
Autopilot 依赖项
ID | 后代 | 类别 | ER | Addresses | 端口 |
---|---|---|---|---|---|
164 | Autopilot - Windows 更新 | 默认值 必填 |
False | *.windowsupdate.com *.dl.delivery.mp.microsoft.com *.prod.do.dsp.mp.microsoft.com *.delivery.mp.microsoft.com *.update.microsoft.com tsfe.trafficshaping.dsp.mp.microsoft.com adl.windows.com |
TCP: 80、443 |
165 | Autopilot - NTP 同步 | 默认值 必填 |
False | time.windows.com |
UDP: 123 |
169 | Autopilot - WNS 依赖项 | 默认值 必填 |
False | clientconfig.passport.net windowsphone.com *.s-microsoft.com c.s-microsoft.com |
TCP:443 |
173 | Autopilot - 第三方部署依赖项 | 默认值 必填 |
False | ekop.intel.com ekcert.spserv.microsoft.com ftpm.amd.com |
TCP:443 |
182 | Autopilot - 诊断上传 | 默认值 必填 |
False | lgmsapeweu.blob.core.windows.net |
TCP:443 |
远程帮助
ID | 后代 | 类别 | ER | Addresses | 端口 | 注意 |
---|---|---|---|---|---|---|
181 | MEM - 远程帮助功能 | 默认值 必填 |
False | *.support.services.microsoft.com remoteassistance.support.services.microsoft.com rdprelayv3eastusprod-0.support.services.microsoft.com *.trouter.skype.com remoteassistanceprodacs.communication.azure.com edge.skype.com aadcdn.msftauth.net aadcdn.msauth.net alcdn.msauth.net wcpstatic.microsoft.com *.aria.microsoft.com browser.pipe.aria.microsoft.com *.events.data.microsoft.com v10.events.data.microsoft.com *.monitor.azure.com js.monitor.azure.com edge.microsoft.com *.trouter.communication.microsoft.com go.trouter.communication.microsoft.com *.trouter.teams.microsoft.com trouter2-usce-1-a.trouter.teams.microsoft.com api.flightproxy.skype.com ecs.communication.microsoft.com remotehelp.microsoft.com trouter-azsc-usea-0-a.trouter.skype.com |
TCP:443 | |
187 | 依赖项 - 远程帮助 Web pubsub | 默认值 必填 |
False | *.webpubsub.azure.com AMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com |
TCP:443 | |
188 | GCC 客户的远程帮助依赖项 | 默认值 必填 |
False | remoteassistanceweb-gcc.usgov.communication.azure.us gcc.remotehelp.microsoft.com gcc.relay.remotehelp.microsoft.com *.gov.teams.microsoft.us |
TCP:443 |
Intune依赖项
在本部分中,下表列出了Intune依赖项以及Intune客户端访问的端口和服务。
Windows 推送通知服务 (WNS) 依赖项
ID | 后代 | 类别 | ER | Addresses | 端口 |
---|---|---|---|---|---|
171 | MEM - WNS 依赖项 | 默认值 必填 |
False | *.notify.windows.com *.wns.windows.com sinwns1011421.wns.windows.com sin.notify.windows.com |
TCP:443 |
对于使用移动设备管理 (MDM) 管理的由 Intune 管理的 Windows 设备,设备操作和其他即时活动需要使用 Windows 推送通知服务 (WNS)。 有关详细信息,请参阅允许 Windows 通知流量通过企业防火墙。
传递优化依赖项
ID | 后代 | 类别 | ER | Addresses | 端口 |
---|---|---|---|---|---|
172 | MDM - 传递优化依赖项 | 默认值 必填 |
False | *.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com |
TCP: 80、443 |
端口要求 - 对于对等流量,传递优化对 TCP/IP 使用 7680。 它在端口 3544 上使用 Teredo 进行 NAT 遍历 (Teredo 是可选的) 对于客户端服务通信,它通过端口 80/443 使用 HTTP 或 HTTPS。
代理要求 - 若要使用传递优化,必须允许字节范围请求。 有关详细信息,请参阅 Windows 更新的代理要求。
防火墙要求 - 允许以下主机名通过防火墙来支持传递优化。 对于客户端与传递优化云服务之间的通信:
- *.do.dsp.mp.microsoft.com
对于传递优化元数据:
- *.dl.delivery.mp.microsoft.com
Apple 依赖项
ID | 后代 | 类别 | ER | Addresses | 端口 |
---|---|---|---|---|---|
178 | MEM - Apple 依赖项 | 默认值 必填 |
False | itunes.apple.com *.itunes.apple.com *.mzstatic.com *.phobos.apple.com phobos.itunes-apple.com.akadns.net 5-courier.push.apple.com phobos.apple.com ocsp.apple.com ax.itunes.apple.com ax.itunes.apple.com.edgesuite.net s.mzstatic.com a1165.phobos.apple.com |
TCP: 80、443、5223 |
有关详细信息,请参阅以下资源:
- 在企业网络上使用 Apple 产品
- Apple 软件产品使用的 TCP 和 UDP 端口
- 关于 macOS、iOS/iPadOS 和 iTunes 服务器主机连接和 iTunes 后台进程
- 如果你的 macOS 和 iOS/iPadOS 客户端不获取 Apple 推送通知
Android AOSP 依赖项
ID | 后代 | 类别 | ER | Addresses | 端口 |
---|---|---|---|---|---|
179 | MEM - Android AOSP 依赖项 | 默认值 必填 |
False | intunecdnpeasd.azureedge.net |
TCP:443 |
注意
由于 Google 移动服务在中国不可用,因此在中国由 Intune 管理的设备无法使用需要 Google 移动服务的功能。 这些功能包括:Google Play保护功能,如 SafetyNet 设备证明、从Google Play 商店管理应用、Android Enterprise 功能(请参阅此 Google 文档)。 此外,Android 版 Intune 公司门户应用使用 Google 移动服务与 Microsoft Intune 服务进行通信。 由于 Google Play 服务在中国不可用,因此某些任务最长可能需要 8 小时才能完成。 有关详细信息,请参阅 GMS 不可用时Intune管理的限制。
Android 端口信息 - 根据选择管理 Android 设备的方式,可能需要打开 Google Android Enterprise 端口和/或 Android 推送通知。 有关支持的 Android 管理方法的更多信息,请参阅 Android 注册文档。
Android Enterprise 依赖项
Google Android Enterprise - Google 在其 Android Enterprise Bluebook 中提供所需网络端口和目标主机名的文档,该文档位于该文档的 “防火墙 ”部分下。
Android 推送通知 - Intune使用 Google Firebase Cloud Messaging (FCM) 推送通知来触发设备操作和检查。Android 设备管理员和 Android Enterprise 都需要这样做。 有关 FCM 网络要求的信息,请参阅 Google 的 FCM 端口和防火墙。
身份验证依赖项
ID | 后代 | 类别 | ER | Addresses | 端口 |
---|---|---|---|---|---|
56 | 身份验证和标识包括 Azure Active Directory 和 Azure AD 相关服务。 | 允许 必填 |
True | login.microsoftonline.com graph.windows.net |
TCP: 80、443 |
150 | Office 自定义服务提供Office 365 专业增强版部署配置、应用程序设置和基于云的策略管理。 | 默认值 | False | *.officeconfig.msocdn.com config.office.com |
TCP:443 |
59 | 标识支持服务 & CDN。 | 默认值 必填 |
False | enterpriseregistration.windows.net |
TCP: 80、443 |
有关详细信息,请转到Office 365 URL 和 IP 地址范围。
PowerShell 脚本和 Win32 应用的网络要求
如果使用 Intune 部署 PowerShell 脚本或 Win32 应用,则还需要授予对租户当前所在的终结点的访问权限。
若要 (或 Azure 缩放单元 (ASU) 查找租户位置,请登录到 Microsoft Intune 管理中心,选择“租户管理>租户详细信息”。 该位置位于“租户位置”下,例如“北美 0501”或“欧洲 0202”。 在下表中查找匹配的数字。 该行告知要授予访问权限的存储名称和 CDN 终结点。 行由地理区域进行区分,如名称中的前两个字母(na = 北美,eu = 欧洲,ap = 亚太)所示。 租户位置是这三个区域之一,尽管组织的实际地理位置可能位于其他位置。
注意
对于 Win32 应用终结点 & 脚本,需要允许 HTTP 部分响应。
Azure 缩放单元 (ASU) | 存储名称 | CDN | 端口 |
---|---|---|---|
AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0601 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901 |
naprodimedatapri naprodimedatasec naprodimedatahotfix |
naprodimedatapri.azureedge.net naprodimedatasec.azureedge.net naprodimedatahotfix.azureedge.net |
TCP:443 |
AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701 |
euprodimedatapri euprodimedatasec euprodimedatahotfix |
euprodimedatapri.azureedge.net euprodimedatasec.azureedge.net euprodimedatahotfix.azureedge.net |
TCP:443 |
AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUC0601 AMSUD0101 |
approdimedatapri approdimedatasec approdimedatahotifx |
approdimedatapri.azureedge.net approdimedatasec.azureedge.net approdimedatahotfix.azureedge.net |
TCP:443 |
Microsoft Store
使用 Microsoft 应用商店的托管 Windows 设备(用于获取、安装或更新应用)需要访问这些终结点。
Microsoft Store API (AppInstallManager) :
- displaycatalog.mp.microsoft.com
- purchase.md.mp.microsoft.com
- licensing.mp.microsoft.com
- storeedgefd.dsx.mp.microsoft.com
Windows 更新代理:
有关详细信息,请参阅以下资源:
Win32 内容下载:
Win32 内容下载位置和终结点对每个应用程序是唯一的,由外部发布者提供。 可以在测试系统上使用以下命令找到每个 Win32 应用商店应用的位置 (可以在将应用添加到Microsoft Intune) 后引用应用的包标识符属性来获取应用商店应用的 [PackageId] :
winget show [PackageId]
安装程序 Url 属性显示外部下载位置或基于区域的 (Microsoft托管) 回退缓存,具体取决于缓存是否正在使用。 请注意,内容下载位置可以在缓存和外部位置之间更改。
Microsoft托管的 Win32 应用回退缓存:
- 因区域而异,例如: sparkcdneus2.azureedge.net、sparkcdnwus2.azureedge.net
传递优化 (可选,用于对等互连) :
有关详细信息,请参阅以下资源:
将设备运行状况证明符合性策略迁移到 azure 证明Microsoft
如果客户启用任何 Windows 10/11 合规性策略 - 设备运行状况设置,则Windows 11设备将根据其Intune租户位置开始使用Microsoft Azure 证明 (MAA) 服务。 但是,Windows 10和 GCCH/DOD 环境将继续使用现有的设备运行状况证明 DHA 终结点“has.spserv.microsoft.com”来报告设备运行状况证明,并且不受此更改的影响。
如果客户具有阻止访问适用于 Windows 11 的新 Intune MAA 服务的防火墙策略,则使用 BitLocker、安全启动、代码完整性) (任何设备运行状况设置Windows 11具有分配符合性策略的设备,因为它们无法访问其所在位置的 MAA 证明终结点,因此不符合要求。
确保没有防火墙规则阻止出站 HTTPS/443 流量,并且没有针对此部分中列出的终结点执行 SSL 流量检查,具体取决于租户Intune位置。
若要查找租户位置,请导航到Intune管理中心>租户管理>状态>租户详细信息,请参阅租户位置。
'https://intunemaape1.eus.attest.azure.net'
'https://intunemaape2.eus2.attest.azure.net'
'https://intunemaape3.cus.attest.azure.net'
'https://intunemaape4.wus.attest.azure.net'
'https://intunemaape5.scus.attest.azure.net'
'https://intunemaape6.ncus.attest.azure.net'
适用于企业的 Windows 更新部署服务
有关 Windows 更新 for Business 部署服务所需的终结点的详细信息,请参阅 Windows 更新 for Business 部署服务先决条件。
终结点分析
有关终结点分析所需的终结点的详细信息,请参阅 终结点分析代理配置。
Microsoft Defender for Endpoint
有关配置 Defender for Endpoint 连接的详细信息,请参阅 连接要求。
若要支持 Defender for Endpoint 安全设置管理,请允许以下主机名通过防火墙。 对于客户端与云服务之间的通信:
*.dm.microsoft.com - 通配符的使用支持用于注册、检查和报告的云服务终结点,这些终结点可能会随着服务的扩展而更改。
重要
Microsoft Defender for Endpoint所需的终结点不支持 SSL 检查。
Microsoft Intune Endpoint Privilege Management
若要支持终结点特权管理,请允许 tcp 端口 443 上的以下主机名通过防火墙
对于客户端与云服务之间的通信:
*.dm.microsoft.com - 通配符的使用支持用于注册、检查和报告的云服务终结点,这些终结点可能会随着服务的扩展而更改。
*.events.data.microsoft.com - 由Intune管理的设备用来将可选报告数据发送到Intune数据收集终结点。
重要
终结点特权管理所需的终结点不支持 SSL 检查。
有关详细信息,请参阅 Endpoint Privilege Management 概述。