Microsoft Intune 的網路端點
本文列出 Microsoft Intune 部署中 Proxy 設定所需的IP位址和埠設定。
作為僅限雲端的服務,Intune 不需要內部部署基礎結構,例如伺服器或閘道。
受控裝置的存取權
若要管理防火牆和 Proxy 伺服器後方的裝置,您必須啟用 Intune 的通訊。
注意事項
本節中的資訊也適用於 Microsoft Intune 憑證連接器。 連接器與受控裝置具有相同的網路需求。
本文中的端點允許存取下表中識別的埠。
針對某些工作,Intune 需要未經驗證的 Proxy 伺服器存取 manage.microsoft.com、*.azureedge.net 和 graph.microsoft.com。
注意事項
'*.manage.microsoft.com'、'*.dm.microsoft.com' 或 [ 裝置健康情況證明] (DHA) 合規性一節中所列的端點不支援 SSL 流量檢查。
您可以修改個別客戶端電腦上的 Proxy 伺服器設定。 您也可以使用 群組原則 設定來變更位於指定 Proxy 伺服器後方之所有用戶端電腦的設定。
受控裝置需要可讓 所有使用者 透過防火牆存取服務的設定。
PowerShell 指令碼
為了更輕鬆地透過防火牆設定服務,我們已使用 Office 365 端點服務上線。 此時,會透過PowerShell腳本存取 Intune端點資訊。 Intune 還有其他相依服務已涵蓋為 Microsoft 365 服務的一部分,並標示為「必要」。 腳本中未包含已涵蓋Microsoft 365 的服務,以避免重複。
藉由使用下列 PowerShell 腳本,您可以擷取 Intune 服務的 IP 位址清單。
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips
藉由使用下列 PowerShell 腳本,您可以擷取 Intune 和相依服務所使用的 FQDN 清單。 當您執行文稿時,腳本輸出中的URL可能會與下表中的URL不同。 請至少確定您在資料表中包含 URL。
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls
此腳本提供方便的方法來列出和檢閱 Intune 和 Autopilot 在一個位置所需的所有服務。 其他屬性可以從端點服務傳回,例如類別屬性,指出 FQDN 或 IP 是否應該設定為 [ 允許]、[ 優化 ] 或 [ 預設]。
端點
您也需要 365 需求Microsoft涵蓋的 FQDN。 為供參考,下表顯示其系結的服務,以及傳回的URL清單。
資料表中顯示的數據列如下:
標識碼:數據列的標識碼,也稱為端點集。 此標識碼與 Web 服務針對端點集所傳回的識別碼相同。
類別:顯示端點集是否分類為 [優化]、[ 允許] 或 [ 預設]。 此數據行也會列出需要哪些端點集合才能有網路連線能力。 對於不需要有網路連線的端點集,我們會在此欄位中提供附註,以指出如果端點集被封鎖,將會遺失哪些功能。 如果您要排除整個服務區域,則列出為必要端點的集合不需要連線。
您可以在 新增Microsoft 365端點類別中閱讀這些類別及其管理指引。
ER:如果透過具有Microsoft 365 路由前置詞的 Azure ExpressRoute 支援端點集,則為 [是/True]。 包含所顯示路由前置詞的 BGP 社群會與列出的服務區域一致。 當 ER 為 No / False 時,則此端點集不支援 ExpressRoute。
位址:清單 端點集合的 FQDN 或通配符域名和IP位址範圍。 請注意,IP 位址範圍是 CIDR 格式,而且可能在指定的網路中包含許多個別 IP 位址。
埠:清單 與列出的IP位址結合的TCP或UDP埠,以形成網路端點。 您可能會注意到IP位址範圍中有一些重複,其中列出了不同的埠。
Intune 核心服務
注意事項
如果您使用的防火牆可讓您使用功能變數名稱建立防火牆規則,請使用 *.manage.microsoft.com 和 manage.microsoft.com 網域。 不過,如果您使用的防火牆提供者不允許您使用功能變數名稱建立防火牆規則,建議您使用本節中所有子網的核准清單。
識別碼 | Desc | 類別 | ER | Addresses | 連接埠 |
---|---|---|---|---|---|
163 | Intune 用戶端和主機服務 | 允許 必要 |
錯 | *.manage.microsoft.com manage.microsoft.com EnterpriseEnrollment.manage.microsoft.com 104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.71.199.64/28, 13.73.244.48/28, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 20.49.93.160/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29 |
TCP: 80、443 |
172 | MDM 傳遞優化 | 預設 必要 |
錯 | *.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com |
TCP: 80、443 |
170 | MEM - Win32Apps | 預設 必要 |
錯 | swda01-mscdn.manage.microsoft.com swda02-mscdn.manage.microsoft.com swdb01-mscdn.manage.microsoft.com swdb02-mscdn.manage.microsoft.com swdc01-mscdn.manage.microsoft.com swdc02-mscdn.manage.microsoft.com swdd01-mscdn.manage.microsoft.com swdd02-mscdn.manage.microsoft.com swdin01-mscdn.manage.microsoft.com swdin02-mscdn.manage.microsoft.com |
TCP:443 |
97 | 取用者 Outlook.com、OneDrive、裝置驗證和Microsoft帳戶 | 預設 必要 |
錯 | account.live.com login.live.com |
TCP:443 |
190 | 端點探索 | 預設 必要 |
錯 | go.microsoft.com |
TCP: 80、443 |
189 | 相依性 - 功能部署 | 預設 必要 |
錯 | config.edge.skype.com |
TCP:443 |
Autopilot 相依性
識別碼 | Desc | 類別 | ER | Addresses | 連接埠 |
---|---|---|---|---|---|
164 | Autopilot - Windows Update | 預設 必要 |
錯 | *.windowsupdate.com *.dl.delivery.mp.microsoft.com *.prod.do.dsp.mp.microsoft.com *.delivery.mp.microsoft.com *.update.microsoft.com tsfe.trafficshaping.dsp.mp.microsoft.com adl.windows.com |
TCP: 80、443 |
165 | Autopilot - NTP 同步 | 預設 必要 |
錯 | time.windows.com |
UDP: 123 |
169 | Autopilot - WNS 相依性 | 預設 必要 |
錯 | clientconfig.passport.net windowsphone.com *.s-microsoft.com c.s-microsoft.com |
TCP:443 |
173 | Autopilot - 第三方部署相依性 | 預設 必要 |
錯 | ekop.intel.com ekcert.spserv.microsoft.com ftpm.amd.com |
TCP:443 |
182 | Autopilot - 診斷上傳 | 預設 必要 |
錯 | lgmsapeweu.blob.core.windows.net |
TCP:443 |
遠端說明
識別碼 | Desc | 類別 | ER | Addresses | 連接埠 | 附註 |
---|---|---|---|---|---|---|
181 | MEM - 遠端說明 功能 | 預設 必要 |
錯 | *.support.services.microsoft.com remoteassistance.support.services.microsoft.com rdprelayv3eastusprod-0.support.services.microsoft.com *.trouter.skype.com remoteassistanceprodacs.communication.azure.com edge.skype.com aadcdn.msftauth.net aadcdn.msauth.net alcdn.msauth.net wcpstatic.microsoft.com *.aria.microsoft.com browser.pipe.aria.microsoft.com *.events.data.microsoft.com v10.events.data.microsoft.com *.monitor.azure.com js.monitor.azure.com edge.microsoft.com *.trouter.communication.microsoft.com go.trouter.communication.microsoft.com *.trouter.teams.microsoft.com trouter2-usce-1-a.trouter.teams.microsoft.com api.flightproxy.skype.com ecs.communication.microsoft.com remotehelp.microsoft.com trouter-azsc-usea-0-a.trouter.skype.com |
TCP:443 | |
187 | 相依性 - 遠端說明 Web pubsub | 預設 必要 |
錯 | *.webpubsub.azure.com AMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com |
TCP:443 | |
188 | 遠端說明 GCC 客戶的相依性 | 預設 必要 |
錯 | remoteassistanceweb-gcc.usgov.communication.azure.us gcc.remotehelp.microsoft.com gcc.relay.remotehelp.microsoft.com *.gov.teams.microsoft.us |
TCP:443 |
Intune 相依性
在本節中,下表列出 Intune 相依性,以及 Intune 用戶端存取的埠和服務。
Windows 推播通知服務 (WNS) 相依性
識別碼 | Desc | 類別 | ER | Addresses | 連接埠 |
---|---|---|---|---|---|
171 | MEM - WNS 相依性 | 預設 必要 |
錯 | *.notify.windows.com *.wns.windows.com sinwns1011421.wns.windows.com sin.notify.windows.com |
TCP:443 |
針對使用行動裝置 裝置管理 (MDM) 管理 Intune 受控 Windows 裝置,裝置動作和其他立即活動需要使用 Windows 推播通知服務 (WNS) 。 如需詳細資訊,請 參閱允許 Windows 通知流量通過企業防火牆。
傳遞優化相依性
識別碼 | Desc | 類別 | ER | Addresses | 連接埠 |
---|---|---|---|---|---|
172 | MDM - 傳遞優化相依性 | 預設 必要 |
錯 | *.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com |
TCP: 80、443 |
埠需求 - 針對用戶端服務通訊,它會透過埠 80/443 使用 HTTP 或 HTTPS。 對於點對點流量,傳遞優化會針對 TCP/IP 使用 7680,針對 NAT 周遊使用埠 3544 上的 Teredo。 如需詳細資訊,請參閱 傳遞優化檔
Proxy 需求 - 若要使用傳遞優化,您必須允許位元組範圍要求。 如需詳細資訊,請參閱 傳遞優化的 Proxy 需求。
防火牆需求 - 允許下列主機名通過您的防火牆,以支援傳遞優化。 針對客戶端與傳遞優化雲端服務之間的通訊:
- *.do.dsp.mp.microsoft.com
針對傳遞優化元數據:
- *.dl.delivery.mp.microsoft.com
Apple 相依性
識別碼 | Desc | 類別 | ER | Addresses | 連接埠 |
---|---|---|---|---|---|
178 | MEM - Apple 相依性 | 預設 必要 |
錯 | itunes.apple.com *.itunes.apple.com *.mzstatic.com *.phobos.apple.com phobos.itunes-apple.com.akadns.net 5-courier.push.apple.com phobos.apple.com ocsp.apple.com ax.itunes.apple.com ax.itunes.apple.com.edgesuite.net s.mzstatic.com a1165.phobos.apple.com |
TCP: 80、443、5223 |
如需詳細資訊,請參閱下列資源:
- 在企業網路上使用Apple產品
- Apple 軟體產品所使用的 TCP 和 UDP 連接埠
- 關於 macOS、iOS/iPadOS 和 iTunes 伺服器主機連線和 iTunes 背景進程
- 如果您的macOS和iOS/iPadOS用戶端未收到Apple推播通知
Android AOSP 相依性
識別碼 | Desc | 類別 | ER | Addresses | 連接埠 |
---|---|---|---|---|---|
179 | MEM - Android AOSP 相依性 | 預設 必要 |
錯 | intunecdnpeasd.azureedge.net |
TCP:443 |
注意事項
由於中國無法使用Google行動服務,因此受Intune管理的裝置無法使用需要Google行動服務的功能。 這些功能包括:Google Play 保護功能,例如 SafetyNet 裝置證明、從 Google Play 商店管理應用程式、Android Enterprise 功能 (請參閱此 Google 檔案) 。 此外,適用於 Android 的 Intune 公司入口網站 應用程式會使用 Google 行動服務來與 Microsoft Intune 服務通訊。 由於中國無法使用Google Play服務,因此某些工作最多可能需要8小時才能完成。 如需詳細資訊,請參閱 GMS 無法使用時 Intune 管理的限制。
Android 連接埠資訊 - 根據您選擇管理 Android 裝置的方式,您可能需要開啟 Google Android Enterprise 連接埠和/或 Android 推播通知。 如需 Android 管理方法支援的詳細資訊,請參閱 Android 註冊檔。
Android Enterprise 相依性
Google Android Enterprise - Google 在該檔的 [防火牆] 區段下,提供其 Android Enterprise Bluebook 中所需網路埠和目的地主機名的檔。
Android 推播通知 - Intune 使用 Google Firebase 雲端通訊 (FCM) 來觸發裝置動作和簽入的推播通知。這是 Android 裝置系統管理員和 Android Enterprise 的必要專案。 如需 FCM 網路需求的資訊,請參閱 Google 的 FCM 埠和防火牆。
驗證相依性
識別碼 | Desc | 類別 | ER | Addresses | 連接埠 |
---|---|---|---|---|---|
56 | 驗證和身分識別包括 Azure Active Directory 和 Azure AD 相關服務。 | 允許 必要 |
True | login.microsoftonline.com graph.windows.net |
TCP: 80、443 |
150 | Office 自定義服務提供 Office 365 專業增強版 部署組態、應用程式設定和雲端式原則管理。 | 預設 | 錯 | *.officeconfig.msocdn.com config.office.com |
TCP:443 |
59 | 支援服務 & CDN 的身分識別。 | 預設 必要 |
錯 | enterpriseregistration.windows.net |
TCP: 80、443 |
如需詳細資訊,請移至 Office 365 URL 和 IP 位址範圍。
PowerShell 腳本和 Win32 應用程式的網路需求
如果您使用 Intune 部署 PowerShell 腳本或 Win32 應用程式,您也需要授與租使用者目前所在端點的存取權。
若要尋找您的租使用者位置 (或 Azure 縮放單位 (ASU) ,請登入 Microsoft Intune 系統管理中心,選擇 [租使用者管理>租使用者詳細數據]。 此位置位於 [租使用者位置] 底下,例如 北美洲 0501 或歐洲 0202。 在下表中尋找相符的數位。 該數據列會告訴您要授與存取權的記憶體名稱和CDN端點。 數據列會依地理區域區分,如名稱中的前兩個字母 (na = 北美洲、eu = Europe、ap = 亞太地區) 所示。 雖然貴組織的實際地理位置可能位於其他地方,但您的租使用者位置是這三個區域的其中之一。
注意事項
& Win32 Apps 端點的腳本需要允許 HTTP 部分回應。
Azure 縮放單位 (ASU) | 記憶體名稱 | CDN | 連接埠 |
---|---|---|---|
AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0601 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901 |
naprodimedatapri naprodimedatasec naprodimedatahotfix |
naprodimedatapri.azureedge.net naprodimedatasec.azureedge.net naprodimedatahotfix.azureedge.net |
TCP:443 |
AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701 |
euprodimedatapri euprodimedatasec euprodimedatahotfix |
euprodimedatapri.azureedge.net euprodimedatasec.azureedge.net euprodimedatahotfix.azureedge.net |
TCP:443 |
AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUC0601 AMSUD0101 |
approdimedatapri approdimedatasec approdimedatahotifx |
approdimedatapri.azureedge.net approdimedatasec.azureedge.net approdimedatahotfix.azureedge.net |
TCP:443 |
Microsoft Store
使用 Microsoft 市集的受控 Windows 裝置 - 取得、安裝或更新應用程式 - 需要存取這些端點。
Microsoft Store API (AppInstallManager) :
- displaycatalog.mp.microsoft.com
- purchase.md.mp.microsoft.com
- licensing.mp.microsoft.com
- storeedgefd.dsx.mp.microsoft.com
Windows Update 代理程式:
如需詳細資訊,請參閱下列資源:
Win32 內容下載:
Win32 內容下載位置和端點在每個應用程式中都是唯一的,並由外部發行者提供。 您可以在測試系統上使用下列命令來尋找每個 Win32 市集應用程式的位置 (您可以在將應用程式新增至 Microsoft Intune) 之後參考應用程式的 [套件標識符] 屬性,以取得市集應用程式的 [PackageId]:
winget show [PackageId]
Installer Url 屬性會根據快取是否在使用中,顯示外部下載位置或區域型 (Microsoft裝載的) 後援快取。 請注意,內容下載位置可以在快取與外部位置之間變更。
Microsoft裝載的 Win32 應用程式後援快取:
- 依區域而異,例如: sparkcdneus2.azureedge.net、sparkcdnwus2.azureedge.net
傳遞優化 (選擇性,對等互連) 需要:
如需詳細資訊,請參閱下列資源:
將裝置健康情況證明合規性原則移轉至Microsoft Azure 證明
如果客戶啟用任何 Windows 10/11 合規性政策 - 裝置健康情況設定,則 Windows 11 裝置會根據其 Intune 租使用者位置,開始使用Microsoft Azure 證明 (MAA) 服務。 不過,Windows 10 和 GCCH/DOD 環境會繼續針對裝置健康情況證明報告使用現有的裝置健康情況證明 DHA 端點 'has.spserv.microsoft.com',而且不會受到這項變更的影響。
如果客戶的防火牆原則無法存取適用於 Windows 11 的新 Intune MAA 服務,則 Windows 11 使用 BitLocker、安全開機、程式代碼) 完整性 (任何裝置健康情況設定指派合規性原則的裝置,將會因為無法連線到其位置的 MAA 證明端點而不符合規範。
請確定沒有任何防火牆規則會封鎖輸出 HTTPS/443 流量,而且根據您 Intune 租使用者的位置,未針對本節所列的端點進行 SSL 流量檢查。
若要尋找您的租使用者位置,請流覽至 Intune 系統管理中心>租使用者管理>租用戶狀態>租使用者詳細數據,請參閱租使用者位置。
'https://intunemaape1.eus.attest.azure.net'
'https://intunemaape2.eus2.attest.azure.net'
'https://intunemaape3.cus.attest.azure.net'
'https://intunemaape4.wus.attest.azure.net'
'https://intunemaape5.scus.attest.azure.net'
'https://intunemaape6.ncus.attest.azure.net'
商務用 Windows Update 部署服務
如需商務用 Windows Update 部署服務所需端點的詳細資訊,請參閱商務用 Windows Update 部署服務必要條件。
端點分析
如需端點分析所需端點的詳細資訊,請參閱 端點分析 Proxy 設定。
適用於端點的 Microsoft Defender
如需設定適用於端點的 Defender 連線能力的詳細資訊,請參閱 連線需求。
若要支援適用於端點的 Defender 安全性設定管理,請允許下列主機名通過防火牆。 針對客戶端與雲端服務之間的通訊:
*.dm.microsoft.com - 通配符的使用支持用於註冊、簽入和報告的雲端服務端點,而且可隨著服務調整而變更。
重要事項
適用於端點的 Microsoft Defender 所需的端點不支援 SSL 檢查。
Microsoft Intune 端點權限管理
若要支援端點許可權管理,請透過防火牆在 tcp 連接埠 443 上允許下列主機名
針對客戶端與雲端服務之間的通訊:
*.dm.microsoft.com - 通配符的使用支持用於註冊、簽入和報告的雲端服務端點,而且可隨著服務調整而變更。
*.events.data.microsoft.com - 由 Intune 管理的裝置用來將選擇性報告數據傳送至 Intune 數據收集端點。
重要事項
端點許可權管理所需的端點不支援 SSL 檢查。
如需詳細資訊,請參閱 端點許可權管理概觀。