管理 Windows 10 企业版版本 21H2 的连接终结点

适用范围

  • Windows 10 企业版版本 21H2

某些 Windows 组件、应用和相关服务会将数据传输到 Microsoft 网络终结点。 一些示例如下:

  • 连接到 Microsoft Office 和 Windows 站点来下载最新的应用和安全更新。
  • 连接到电子邮件服务器来发送和接收电子邮件。
  • 连接到 Web 以进行日常的 Web 浏览。
  • 连接到云来存储和访问备份。
  • 使用你的位置来显示天气预报。

请参阅管理 Windows 操作系统组件与 Microsoft 服务之间的连接,详细了解对到这些终结点的流量进行控制的不同方法。 如果适用,本文章中涵盖的每个终结点都包含有关如何控制该流量的特定详细信息的链接。

以下方法用于派生这些网络终结点:

  1. 使用默认设置来设置测试虚拟机上的 Windows 10 最新版本。
  2. 使设备在一周内处于空闲状态(“空闲”表示用户不与系统/设备交互)。
  3. 使用全局接受的网络协议分析器/捕获工具,并记录所有后台出口流量。
  4. 编译转到公共 IP 地址的流量报告。
  5. 测试虚拟机已使用本地帐户登录,但未加入域或 Azure Active Directory。
  6. 所有流量均在我们的实验室中通过 IPV4 网络来捕获。 因此,此处不会报告任何 IPV6 流量。
  7. 这些测试在经批准的 Microsoft 实验室中执行。 你的结果可能会有所不同。
  8. 这些测试已执行一周,但如果你捕获较长时间的流量,则可能会产生不同的结果。

注意

Microsoft 使用可能会出现在网络跟踪路径中的全局负载均衡器。 例如,*.akadns.net 的终结点可能用于向 Azure 数据中心发出的负载平衡请求,这可能随时间更改。

Windows 10 21H2 企业版连接终结点

区域 说明 协议 目标
应用 了解如何关闭到以下终结点的流量。
以下终结点用于 Weather 应用。 若要关闭此终结点的流量,请卸载“电子钱包”应用或禁用 Microsoft Store。 如果禁用 Microsoft Store,则无法安装或更新其他应用商店应用。 而且,Microsoft Store 将无法撤销恶意的 Microsoft Store 应用,用户仍然能够将其打开。 HTTP tile-service.weather.microsoft.com
以下终结点用于 OneNote 动态磁贴。 若要关闭此终结点的流量,请卸载 OneNote 或禁用 Microsoft Store。 如果禁用 Microsoft Store,则无法安装或更新其他应用商店应用。 而且,Microsoft Store 将无法撤销恶意的 Microsoft Store 应用,用户仍然能够将其打开。 TLSv1.2/HTTPS/HTTP cdn.onenote.net
以下终结点由“照片”应用用于下载配置文件,并连接到 Office 365 门户的共享基础架构(包括浏览器中的 Office)。 若要关闭此终结点的流量,请卸载“照片”应用或禁用 Microsoft Store。 如果禁用 Microsoft Store,则无法安装或更新其他应用商店应用。 而且,Microsoft Store 将无法撤销恶意的 Microsoft Store 应用,用户仍然能够将其打开。 TLSv1.2/HTTPS evoke-windowsservices-tas.msedge.net
证书 证书是存储在客户端设备上的数字文件,用于加密数据和验证个人或组织的身份。 证书颁发机构 (CA) 颁发的受信任根证书存储在证书信任列表 (CTL) 中。 自动根证书更新机制与 Windows 更新联系以更新 CTL。 如果标识 CTL 的新版本,则本地设备上缓存的受信任根证书列表将更新。 不受信任的证书是服务器证书颁发者未知或不受服务信任的证书。 不受信任的证书也存储在本地设备上的列表中,并通过自动根证书更新机制进行更新。

如果自动更新处于关闭状态,应用程序和网站可能会停止工作,因为它们未收到应用程序使用的更新根证书。 此外,将不再更新不受信任的证书列表,这会增加设备上的攻击途径。
了解如何关闭到以下所有终结点的流量。
TLSv1.2/HTTPS/HTTP ctldl.windowsupdate.com
Cortana 和动态磁贴 了解如何关闭到以下所有终结点的流量。
以下终结点与 Cortana 和动态磁贴相关。 如果关闭此终结点的流量,将阻止对 Cortana 问候语、提示和动态磁贴的更新。 TLSv1.2/HTTPS/HTTP www.bing.com*
TLSv1.2/HTTPS/HTTP fp.msedge.net
TLSv1.2 I-ring.msedge.net
HTTPS s-ring.msedge.net
设备身份验证 了解如何关闭到以下所有终结点的流量。
以下终结点用于对设备进行身份验证。 如果关闭此终结点的流量,将不会对设备进行身份验证。 HTTPS login.live.com*
设备元数据 以下终结点用于检索设备元数据。 如果关闭此终结点的流量,将不会更新设备的元数据。 了解如何关闭到以下所有终结点的流量。
HTTP dmd.metaservices.microsoft.com
诊断数据 以下终结点由已连接的用户体验和遥测组件使用并连接到 Microsoft 数据管理服务。
如果关闭此终结点的流量,诊断和使用情况信息(帮助 Microsoft 查找并解决问题,并改进我们的产品和服务)将不会发送回 Microsoft。
了解如何关闭到以下所有终结点的流量。
TLSv1.2/HTTPS/HTTP v10.events.data.microsoft.com
以下终结点由 Windows 错误报告使用。 若要关闭这些终结点的流量,请启用以下组策略:“管理模板”>“Windows 组件”>“Windows 错误报告”>“禁用 Windows 错误报告”。 这意味着错误报告信息不会发送回 Microsoft。 TLSv1.2 telecommand.telemetry.microsoft.com
TLS v1.2/HTTPS/HTTP watson.*.microsoft.com
字体流式传输 以下终结点用于按需下载字体。 如果关闭这些终结点的流量,将无法按需下载字体。 了解如何关闭到以下所有终结点的流量。
HTTPS fs.microsoft.com
许可 以下终结点用于联机激活和某些应用许可。 若要关闭此终结点的流量,请禁用 Windows 许可证管理器服务。 这还将阻止联机激活,应用许可可能无法工作。 了解如何关闭到以下所有终结点的流量。
TLSv1.2/HTTPS/HTTP licensing.mp.microsoft.com
地图 了解如何关闭到以下所有终结点的流量。
以下终结点用于检查已下载以供脱机使用的地图的更新。 如果 关闭此终结点的流量,则不会更新脱机地图。 TLSv1.2/HTTPS/HTTP maps.windows.com
Microsoft 帐户 了解如何关闭到以下所有终结点的流量。
以下终结点用于登录要使用的 Microsoft 帐户。 如果 关闭这些终结点的流量,则用户无法使用 Microsoft 帐户登录。 TLSv1.2/HTTPS login.live.com
Microsoft Edge 了解如何关闭到以下所有终结点的流量。
此流量与 Microsoft Edge 浏览器相关。 HTTPS iecvlist.microsoft.com
以下终结点由 Microsoft Edge 更新服务用于检查新更新。 如果禁用此终结点,Microsoft Edge 将无法检查和应用新的 Edge 更新。 TLSv1.2/HTTPS/HTTP msedge.api.cdp.microsoft.com
Microsoft 正向链接重定向服务 (FWLink) 以下终结点被 Microsoft 正向链接重定向服务 (FWLink) 用来将永久的 Web 链接重定向到其实际的 URL(有时是暂时性的)。 FWlink 类似于 URL 缩短器,只不过会更长一些。 如果禁用此终结点,Windows Defender 将无法更新其恶意软件定义;Windows 及其他 Microsoft 产品的 Web 链接将失效;而且 PowerShell 的可更新帮助将不会更新。 若要禁用此流量,应改为禁用正向的流量。 HTTP go.microsoft.com
Microsoft Store 了解如何关闭到以下所有终结点的流量。
以下终结点用于下载在应用程序运行时调用的图像文件(Microsoft Store 或收件箱 MSN 应用)。 如果 关闭这些终结点的流量,则不会下载映像文件,并且无法从Microsoft Store安装或更新应用。 而且,Microsoft Store 将无法撤销恶意应用,用户仍然能够将其打开。 HTTPS img-prod-cms-rt-microsoft-com.akamaized.net
需要以下终结点才能在 Microsoft 应用商店应用中加载内容。 HTTPS livetileedge.dsx.mp.microsoft.com
以下终结点用于 Windows 推送通知服务 (WNS)。 WNS 使第三方开发人员可从自己的云服务发送 Toast、磁贴、锁屏提醒和原始更新。 这提供了一种高效而可靠地向用户提供新更新的机制。 如果关闭此终结点的流量,推送通知将无法再工作,包括 MDM 设备管理、邮件同步、设置同步。 TLSv1.2/HTTPS *.wns.windows.com
以下终结点用于撤销 Microsoft Store 中恶意应用的许可证。 若要关闭此终结点的流量,请卸载该应用或禁用 Microsoft Store。 如果禁用 Microsoft Store,则无法安装或更新其他 Microsoft Store 应用。 此外,Microsoft Store 将无法撤销恶意应用,用户仍然能够将其打开 TLSv1.2/HTTPS/HTTP storecatalogrevocation.storequality.microsoft.com
下面的终结点用于获取 Microsoft Store 分析。 HTTPS manage.devcenter.microsoft.com
以下终结点用于与 Microsoft Store 通信。 如果 关闭这些终结点的流量,则无法从Microsoft Store安装或更新应用。 TLSv1.2/HTTPS/HTTP *displaycatalog.mp.microsoft.com
HTTP share.microsoft.com
下面的终结点用于获取 Microsoft Store 分析。 TLSv1.2/HTTPS/HTTP manage.devcenter.microsoft.com
网络连接状态指示器 (NCSI) 了解如何关闭到以下所有终结点的流量。
网络连接状态指示器 (NCSI) 检测到 Internet 连接和公司网络连接状态。 NCSI 会向此终结点发送 DNS 请求和 HTTP 查询,以确定该设备是否可以与 Internet 通信。 如果关闭此终结点的流量,NCSI 将无法确定设备是否已连接到 Internet,网络状态任务栏图标将显示警告。 HTTPS www.msftconnecttest.com
Office 以下终结点用于连接到 Office 365 门户的共享基础架构,包括浏览器中的 Office。 有关详细信息,请参阅 Office 365 URL 和 IP 地址范围。 可以通过删除所有 Microsoft Office 应用以及“邮件”和“日历”应用来关闭此终结点。 如果关闭这些终结点的流量,用户会无法将文档保存到云或无法查看最近使用的文档。 了解如何关闭到以下所有终结点的流量。
HTTPS www.office.com
HTTPS blobs.officehome.msocdn.com
HTTPS officehomeblobs.blob.core.windows.net
HTTPS self.events.data.microsoft.com
TLSv1.2/HTTPS/HTTP outlookmobile-office365-tas.msedge.net
OneDrive 以下终结点与 OneDrive 相关。 如果关闭这些终结点的流量,依赖于 g.live.com 以获取更新的 URL 信息的任何内容将不再有效。 了解如何关闭到以下所有终结点的流量。
TLSv1.2/HTTPS/HTTP g.live.com
TLSv1.2/HTTPS/HTTP oneclient.sfx.ms
HTTPS logincdn.msauth.net
“设置” 应用可使用以下终结点动态地更新其配置。 System Initiated User Feedback 和 Xbox 应用等会使用它。 如果关闭此终结点的流量,使用此终结点的应用可能停止工作。 了解如何关闭到以下所有终结点的流量。
TLSv1.2/HTTPS/HTTP settings-win.data.microsoft.com
HTTPS settings.data.microsoft.com
Skype 以下终结点用于检索 Skype 配置值。 若要关闭此终结点的流量,请卸载该应用或禁用 Microsoft Store。 如果禁用 Microsoft Store,则无法安装或更新其他Microsoft Store应用。 而且,Microsoft Store 将无法撤销恶意应用,用户仍然能够将其打开。 了解如何关闭到以下所有终结点的流量。
HTTPS/HTTP *.pipe.aria.microsoft.com
TLSv1.2/HTTPS/HTTP config.edge.skype.com
团队 以下端点用于 Microsoft Teams 应用程序。 了解如何关闭到以下所有终结点的流量。
TLSv1.2/HTTPS/HTTP config.teams.microsoft.com
Windows Defender 以下终结点在启用基于云的保护时用于 Windows Defender。 如果 关闭此终结点的流量,设备将不会使用基于云的保护。 了解如何关闭到以下所有终结点的流量。
HTTPS/TLSv1.2 wdcp.microsoft.com
以下终结点用于 Windows Defender SmartScreen 报告和通知。 如果关闭这些终结点的流量,将不会显示 Smartscreen 通知。 HTTPS *.smartscreen-prod.microsoft.com
HTTPS/HTTP checkappexec.microsoft.com
Windows 聚焦 以下终结点用于检索描述内容(如对图像位置的引用)的 Windows 聚焦元数据,以及建议的应用、Microsoft 帐户通知和 Windows 提示。 如果关闭这些终结点的流量,Windows 聚焦仍会尝试提供新的锁屏界面图像和更新的内容,但会失败;建议的应用、Microsoft 帐户通知和 Windows 提示将不会下载。 有关详细信息,请参阅 Windows 聚焦。 了解如何关闭到以下所有终结点的流量。
TLSv1.2/HTTPS/HTTP arc.msn.com
HTTPS ris.api.iris.microsoft.com
Windows 更新 以下终结点用于应用和操作系统更新的 Windows 更新下载,包括 HTTP 下载或与对等方混合的 HTTP 下载。 如果关闭此终结点的流量,因为用于让下载更具复原能力的关键元数据将被阻止,将不会管理 Windows 更新的下载。 下载可能会受到损坏(导致重新下载完整文件)。 此外,同一本地网络上多个设备下载同一更新不会使用对等设备来减少带宽。 了解如何关闭到以下所有终结点的流量。
TLSv1.2/HTTPS/HTTP *.prod.do.dsp.mp.microsoft.com
以下终结点用于从 Microsoft Store 下载操作系统修补程序、更新和应用。 如果关闭这些终结点的流量,设备将无法下载操作系统的更新。 TLSv1.2/HTTPS/HTTP *.dl.delivery.mp.microsoft.com
HTTP *.windowsupdate.com
以下终结点启用与 Windows 更新、Microsoft 更新和 Microsoft Store 的在线服务的连接。 如果关闭这些终结点的流量,设备将无法连接到 Windows 更新和 Microsoft 更新来帮助保护设备的安全。 而且,设备将无法从 Microsoft Store 获取和更新应用。 它们还依赖于“设备身份验证”和“Microsoft 帐户”终结点的启用。 TLSv1.2/HTTPS/HTTP *.delivery.mp.microsoft.com
TLSv1.2/HTTPS/HTTP *.update.microsoft.com
下面的终结点用于 Windows 的兼容数据库更新。 HTTPS adl.windows.com
以下终结点用于内容监管。 如果关闭此终结点的流量,Windows 更新代理将无法联系此终结点,从而采取回退行为。 这可能导致内容被错误下载或根本不下载。 TLSv1.2/HTTPS/HTTP tsfe.trafficshaping.dsp.mp.microsoft.com
Xbox Live 以下终结点用于 Xbox Live。 了解如何关闭到以下所有终结点的流量。
HTTPS dlassets-ssl.xboxlive.com

其他 Windows 10 版本

若要查看其他版本 Windows 10 企业版的终结点,请参阅: