共用方式為


Microsoft Intune 的網路端點

本文列出 Microsoft Intune 部署中 Proxy 設定所需的IP位址和埠設定。

作為僅限雲端的服務,Intune 不需要內部部署基礎結構,例如伺服器或閘道。

受控裝置的存取權

若要管理防火牆和 Proxy 伺服器後方的裝置,您必須啟用 Intune 的通訊。

注意事項

本節中的資訊也適用於 Microsoft Intune 憑證連接器。 連接器與受控裝置具有相同的網路需求。

您可以修改個別客戶端電腦上的 Proxy 伺服器設定。 您也可以使用 群組原則 設定來變更位於指定 Proxy 伺服器後方之所有用戶端電腦的設定。

受控裝置需要可讓 所有使用者 透過防火牆存取服務的設定。

PowerShell 指令碼

為了更輕鬆地透過防火牆設定服務,我們已使用 Office 365 端點服務上線。 此時,會透過PowerShell腳本存取 Intune端點資訊。 Intune 還有其他相依服務已涵蓋為 Microsoft 365 服務的一部分,並標示為「必要」。 腳本中未包含已涵蓋Microsoft 365 的服務,以避免重複。

藉由使用下列 PowerShell 腳本,您可以擷取 Intune 服務的 IP 位址清單。

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips

藉由使用下列 PowerShell 腳本,您可以擷取 Intune 和相依服務所使用的 FQDN 清單。 當您執行文稿時,腳本輸出中的URL可能會與下表中的URL不同。 請至少確定您在資料表中包含 URL。

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls

此腳本提供方便的方法來列出和檢閱 Intune 和 Autopilot 在一個位置所需的所有服務。 其他屬性可以從端點服務傳回,例如類別屬性,指出 FQDN 或 IP 是否應該設定為 [ 允許]、[ 優化 ] 或 [ 預設]

端點

您也需要 365 需求Microsoft涵蓋的 FQDN。 為供參考,下表顯示其系結的服務,以及傳回的URL清單。

資料表中顯示的數據列如下:

  • 標識碼:數據列的標識碼,也稱為端點集。 此標識碼與 Web 服務針對端點集所傳回的識別碼相同。

  • 類別:顯示端點集是否分類為 [優化]、[ 允許] 或 [ 預設]。 此數據行也會列出需要哪些端點集合才能有網路連線能力。 對於不需要有網路連線的端點集,我們會在此欄位中提供附註,以指出如果端點集被封鎖,將會遺失哪些功能。 如果您要排除整個服務區域,則列出為必要端點的集合不需要連線。

    您可以在 新增Microsoft 365端點類別中閱讀這些類別及其管理指引。

  • ER:如果透過具有Microsoft 365 路由前置詞的 Azure ExpressRoute 支援端點集,則為 [是/True]。 包含所顯示路由前置詞的 BGP 社群會與列出的服務區域一致。 當 ER 為 No / False 時,則此端點集不支援 ExpressRoute。

  • 位址:清單 端點集合的 FQDN 或通配符域名和IP位址範圍。 請注意,IP 位址範圍是 CIDR 格式,而且可能在指定的網路中包含許多個別 IP 位址。

  • :清單 與列出的IP位址結合的TCP或UDP埠,以形成網路端點。 您可能會注意到IP位址範圍中有一些重複,其中列出了不同的埠。

Intune 核心服務

注意事項

如果您使用的防火牆可讓您使用功能變數名稱建立防火牆規則,請使用 *.manage.microsoft.com 和 manage.microsoft.com 網域。 不過,如果您使用的防火牆提供者不允許您使用功能變數名稱建立防火牆規則,建議您使用本節中所有子網的核准清單。

識別碼 Desc 類別 ER Addresses 連接埠
163 Intune 用戶端和主機服務 允許
必要
*.manage.microsoft.com
manage.microsoft.com
EnterpriseEnrollment.manage.microsoft.com
104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.71.199.64/28, 13.73.244.48/28, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 20.49.93.160/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29
TCP: 80、443
172 MDM 傳遞優化 預設
必要
*.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
TCP: 80、443
170 MEM - Win32Apps 預設
必要
swda01-mscdn.manage.microsoft.com
swda02-mscdn.manage.microsoft.com
swdb01-mscdn.manage.microsoft.com
swdb02-mscdn.manage.microsoft.com
swdc01-mscdn.manage.microsoft.com
swdc02-mscdn.manage.microsoft.com
swdd01-mscdn.manage.microsoft.com
swdd02-mscdn.manage.microsoft.com
swdin01-mscdn.manage.microsoft.com
swdin02-mscdn.manage.microsoft.com
TCP:443
97 取用者 Outlook.com、OneDrive、裝置驗證和Microsoft帳戶 預設
必要
account.live.com
login.live.com
TCP:443
190 端點探索 預設
必要
go.microsoft.com TCP: 80、443
189 相依性 - 功能部署 預設
必要
config.edge.skype.com
TCP:443

Autopilot 相依性

識別碼 Desc 類別 ER Addresses 連接埠
164 Autopilot - Windows Update 預設
必要
*.windowsupdate.com
*.dl.delivery.mp.microsoft.com
*.prod.do.dsp.mp.microsoft.com
*.delivery.mp.microsoft.com
*.update.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com
adl.windows.com
TCP: 80、443
165 Autopilot - NTP 同步 預設
必要
time.windows.com UDP: 123
169 Autopilot - WNS 相依性 預設
必要
clientconfig.passport.net
windowsphone.com
*.s-microsoft.com
c.s-microsoft.com
TCP:443
173 Autopilot - 第三方部署相依性 預設
必要
ekop.intel.com
ekcert.spserv.microsoft.com
ftpm.amd.com
TCP:443
182 Autopilot - 診斷上傳 預設
必要
lgmsapeweu.blob.core.windows.net
TCP:443

遠端說明

識別碼 Desc 類別 ER Addresses 連接埠 附註
181 MEM - 遠端說明 功能 預設
必要
*.support.services.microsoft.com
remoteassistance.support.services.microsoft.com
rdprelayv3eastusprod-0.support.services.microsoft.com
*.trouter.skype.com
remoteassistanceprodacs.communication.azure.com
edge.skype.com
aadcdn.msftauth.net
aadcdn.msauth.net
alcdn.msauth.net
wcpstatic.microsoft.com
*.aria.microsoft.com
browser.pipe.aria.microsoft.com
*.events.data.microsoft.com
v10.events.data.microsoft.com
*.monitor.azure.com
js.monitor.azure.com
edge.microsoft.com
*.trouter.communication.microsoft.com
go.trouter.communication.microsoft.com
*.trouter.teams.microsoft.com
trouter2-usce-1-a.trouter.teams.microsoft.com
api.flightproxy.skype.com
ecs.communication.microsoft.com
remotehelp.microsoft.com
trouter-azsc-usea-0-a.trouter.skype.com
TCP:443
187 相依性 - 遠端說明 Web pubsub 預設
必要
*.webpubsub.azure.com
AMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com
TCP:443
188 遠端說明 GCC 客戶的相依性 預設
必要
remoteassistanceweb-gcc.usgov.communication.azure.us
gcc.remotehelp.microsoft.com
gcc.relay.remotehelp.microsoft.com
*.gov.teams.microsoft.us
TCP:443

Intune 相依性

在本節中,下表列出 Intune 相依性,以及 Intune 用戶端存取的埠和服務。

Windows 推播通知服務 (WNS) 相依性

識別碼 Desc 類別 ER Addresses 連接埠
171 MEM - WNS 相依性 預設
必要
*.notify.windows.com
*.wns.windows.com
sinwns1011421.wns.windows.com
sin.notify.windows.com
TCP:443

針對使用行動裝置 裝置管理 (MDM) 管理 Intune 受控 Windows 裝置,裝置動作和其他立即活動需要使用 Windows 推播通知服務 (WNS) 。 如需詳細資訊,請 參閱允許 Windows 通知流量通過企業防火牆

傳遞優化相依性

識別碼 Desc 類別 ER Addresses 連接埠
172 MDM - 傳遞優化相依性 預設
必要
*.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
TCP: 80、443

埠需求 - 針對用戶端服務通訊,它會透過埠 80/443 使用 HTTP 或 HTTPS。 對於點對點流量,傳遞優化會針對 TCP/IP 使用 7680,針對 NAT 周遊使用埠 3544 上的 Teredo。 如需詳細資訊,請參閱 傳遞優化檔

Proxy 需求 - 若要使用傳遞優化,您必須允許位元組範圍要求。 如需詳細資訊,請參閱 傳遞優化的 Proxy 需求

防火牆需求 - 允許下列主機名通過您的防火牆,以支援傳遞優化。 針對客戶端與傳遞優化雲端服務之間的通訊:

  • *.do.dsp.mp.microsoft.com

針對傳遞優化元數據:

  • *.dl.delivery.mp.microsoft.com

Apple 相依性

識別碼 Desc 類別 ER Addresses 連接埠
178 MEM - Apple 相依性 預設
必要
itunes.apple.com
*.itunes.apple.com
*.mzstatic.com
*.phobos.apple.com
phobos.itunes-apple.com.akadns.net
5-courier.push.apple.com
phobos.apple.com
ocsp.apple.com
ax.itunes.apple.com
ax.itunes.apple.com.edgesuite.net
s.mzstatic.com
a1165.phobos.apple.com
TCP: 80、443、5223

如需詳細資訊,請參閱下列資源:

Android AOSP 相依性

識別碼 Desc 類別 ER Addresses 連接埠
179 MEM - Android AOSP 相依性 預設
必要
intunecdnpeasd.azureedge.net
TCP:443

注意事項

由於中國無法使用Google行動服務,因此受Intune管理的裝置無法使用需要Google行動服務的功能。 這些功能包括:Google Play 保護功能,例如 SafetyNet 裝置證明、從 Google Play 商店管理應用程式、Android Enterprise 功能 (請參閱此 Google 檔案) 。 此外,適用於 Android 的 Intune 公司入口網站 應用程式會使用 Google 行動服務來與 Microsoft Intune 服務通訊。 由於中國無法使用Google Play服務,因此某些工作最多可能需要8小時才能完成。 如需詳細資訊,請參閱 GMS 無法使用時 Intune 管理的限制

Android 連接埠資訊 - 根據您選擇管理 Android 裝置的方式,您可能需要開啟 Google Android Enterprise 連接埠和/或 Android 推播通知。 如需 Android 管理方法支援的詳細資訊,請參閱 Android 註冊檔

Android Enterprise 相依性

Google Android Enterprise - Google 在該檔的 [防火牆] 區段下,提供其 Android Enterprise Bluebook 中所需網路埠和目的地主機名的檔。

Android 推播通知 - Intune 使用 Google Firebase 雲端通訊 (FCM) 來觸發裝置動作和簽入的推播通知。這是 Android 裝置系統管理員和 Android Enterprise 的必要專案。 如需 FCM 網路需求的資訊,請參閱 Google 的 FCM 埠和防火牆

驗證相依性

識別碼 Desc 類別 ER Addresses 連接埠
56 驗證和身分識別包括 Azure Active Directory 和 Azure AD 相關服務。 允許
必要
True login.microsoftonline.com
graph.windows.net
TCP: 80、443
150 Office 自定義服務提供 Office 365 專業增強版 部署組態、應用程式設定和雲端式原則管理。 預設 *.officeconfig.msocdn.com
config.office.com
TCP:443
59 支援服務 & CDN 的身分識別。 預設
必要
enterpriseregistration.windows.net
TCP: 80、443

如需詳細資訊,請移至 Office 365 URL 和 IP 位址範圍

PowerShell 腳本和 Win32 應用程式的網路需求

如果您使用 Intune 部署 PowerShell 腳本或 Win32 應用程式,您也需要授與租使用者目前所在端點的存取權。

若要尋找您的租使用者位置 (或 Azure 縮放單位 (ASU) ,請登入 Microsoft Intune 系統管理中心,選擇 [租使用者管理>租使用者詳細數據]。 此位置位於 [租使用者位置] 底下,例如 北美洲 0501 或歐洲 0202。 在下表中尋找相符的數位。 該數據列會告訴您要授與存取權的記憶體名稱和CDN端點。 數據列會依地理區域區分,如名稱中的前兩個字母 (na = 北美洲、eu = Europe、ap = 亞太地區) 所示。 雖然貴組織的實際地理位置可能位於其他地方,但您的租使用者位置是這三個區域的其中之一。

注意事項

& Win32 Apps 端點的腳本需要允許 HTTP 部分回應

Azure 縮放單位 (ASU) 記憶體名稱 CDN 連接埠
AMSUA0601
AMSUA0602
AMSUA0101
AMSUA0102
AMSUA0201
AMSUA0202
AMSUA0401
AMSUA0402
AMSUA0501
AMSUA0502
AMSUA0601
AMSUA0701
AMSUA0702
AMSUA0801
AMSUA0901
naprodimedatapri
naprodimedatasec
naprodimedatahotfix
naprodimedatapri.azureedge.net
naprodimedatasec.azureedge.net
naprodimedatahotfix.azureedge.net
TCP:443
AMSUB0101
AMSUB0102
AMSUB0201
AMSUB0202
AMSUB0301
AMSUB0302
AMSUB0501
AMSUB0502
AMSUB0601
AMSUB0701
euprodimedatapri
euprodimedatasec
euprodimedatahotfix
euprodimedatapri.azureedge.net
euprodimedatasec.azureedge.net
euprodimedatahotfix.azureedge.net
TCP:443
AMSUC0101
AMSUC0201
AMSUC0301
AMSUC0501
AMSUC0601
AMSUD0101
approdimedatapri
approdimedatasec
approdimedatahotifx
approdimedatapri.azureedge.net
approdimedatasec.azureedge.net
approdimedatahotfix.azureedge.net
TCP:443

Microsoft Store

使用 Microsoft 市集的受控 Windows 裝置 - 取得、安裝或更新應用程式 - 需要存取這些端點。

Microsoft Store API (AppInstallManager) :

  • displaycatalog.mp.microsoft.com
  • purchase.md.mp.microsoft.com
  • licensing.mp.microsoft.com
  • storeedgefd.dsx.mp.microsoft.com

Windows Update 代理程式:

如需詳細資訊,請參閱下列資源:

Win32 內容下載:

Win32 內容下載位置和端點在每個應用程式中都是唯一的,並由外部發行者提供。 您可以在測試系統上使用下列命令來尋找每個 Win32 市集應用程式的位置 (您可以在將應用程式新增至 Microsoft Intune) 之後參考應用程式的 [套件標識符] 屬性,以取得市集應用程式的 [PackageId]:

winget show [PackageId]

Installer Url 屬性會根據快取是否在使用中,顯示外部下載位置或區域型 (Microsoft裝載的) 後援快取。 請注意,內容下載位置可以在快取與外部位置之間變更。

Microsoft裝載的 Win32 應用程式後援快取:

  • 依區域而異,例如: sparkcdneus2.azureedge.net、sparkcdnwus2.azureedge.net

傳遞優化 (選擇性,對等互連) 需要:

如需詳細資訊,請參閱下列資源:

將裝置健康情況證明合規性原則移轉至Microsoft Azure 證明

如果客戶啟用任何 Windows 10/11 合規性政策 - 裝置健康情況設定,則 Windows 11 裝置會根據其 Intune 租使用者位置,開始使用Microsoft Azure 證明 (MAA) 服務。 不過,Windows 10 和 GCCH/DOD 環境會繼續針對裝置健康情況證明報告使用現有的裝置健康情況證明 DHA 端點 'has.spserv.microsoft.com',而且不會受到這項變更的影響。

如果客戶的防火牆原則無法存取適用於 Windows 11 的新 Intune MAA 服務,則 Windows 11 使用 BitLocker、安全開機、程式代碼) 完整性 (任何裝置健康情況設定指派合規性原則的裝置,將會因為無法連線到其位置的 MAA 證明端點而不符合規範。

請確定沒有任何防火牆規則會封鎖輸出 HTTPS/443 流量,而且根據您 Intune 租使用者的位置,未針對本節所列的端點進行 SSL 流量檢查。

若要尋找您的租使用者位置,請流覽至 Intune 系統管理中心>租使用者管理>租用戶狀態>租使用者詳細數據,請參閱租使用者位置。

  • 'https://intunemaape1.eus.attest.azure.net'

  • 'https://intunemaape2.eus2.attest.azure.net'

  • 'https://intunemaape3.cus.attest.azure.net'

  • 'https://intunemaape4.wus.attest.azure.net'

  • 'https://intunemaape5.scus.attest.azure.net'

  • 'https://intunemaape6.ncus.attest.azure.net'

商務用 Windows Update 部署服務

如需商務用 Windows Update 部署服務所需端點的詳細資訊,請參閱商務用 Windows Update 部署服務必要條件

端點分析

如需端點分析所需端點的詳細資訊,請參閱 端點分析 Proxy 設定

適用於端點的 Microsoft Defender

如需設定適用於端點的 Defender 連線能力的詳細資訊,請參閱 連線需求

若要支援適用於端點的 Defender 安全性設定管理,請允許下列主機名通過防火牆。 針對客戶端與雲端服務之間的通訊:

  • *.dm.microsoft.com - 通配符的使用支持用於註冊、簽入和報告的雲端服務端點,而且可隨著服務調整而變更。

    重要事項

    適用於端點的 Microsoft Defender 所需的端點不支援 SSL 檢查。

Microsoft Intune 端點權限管理

若要支援端點許可權管理,請透過防火牆在 tcp 連接埠 443 上允許下列主機名

針對客戶端與雲端服務之間的通訊:

  • *.dm.microsoft.com - 通配符的使用支持用於註冊、簽入和報告的雲端服務端點,而且可隨著服務調整而變更。

  • *.events.data.microsoft.com - 由 Intune 管理的裝置用來將選擇性報告數據傳送至 Intune 數據收集端點。

    重要事項

    端點許可權管理所需的端點不支援 SSL 檢查。

如需詳細資訊,請參閱 端點許可權管理概觀

Office 365 URL 與 IP 位址範圍

Microsoft 365 網路連線能力概覯

CDN (內容傳遞網路)

Office 365 IP 位址和 URL Web 服務中未包含的其他端點

管理 Office 365 端點