允許的IP位址和網域URL

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

如果您的組織受到防火牆或 Proxy 伺服器保護，您必須將特定因特網通訊協定 （IP） 位址和網域統一資源定位器 （URL） 新增至 允許清單。 將這些IP和URL新增至allowlist有助於確保您擁有 Azure DevOps 的最佳體驗。 如果您無法存取網路上的 Azure DevOps，您必須更新允許清單。 請參閱本文中的下列各節：

• 允許的網域 URL
• IP 位址和範圍限制

提示

因此，Visual Studio 和 Azure 服務在沒有任何網路問題時運作良好，請開啟選取埠和通訊協定。 如需詳細資訊，請參閱 在防火牆或 Proxy 伺服器後方安裝和使用 Visual Studio、使用 Visual Studio 和 Azure 服務。

IP 位址和範圍限制

輸出連線

輸出連線 以其他相依網站為目標。 這類連線的範例包括：

• 當使用者移至 Azure DevOps 並使用 Azure DevOps 的功能時，連線到 Azure DevOps 網站的瀏覽器
• 安裝在您組織網路上的 Azure Pipelines 代理程式連線到 Azure DevOps，以輪詢擱置中的作業
• 從您組織網路內裝載的原始程式碼存放庫傳送至 Azure DevOps 的 CI 事件

請確定輸出連線允許下列IP位址，因此您的組織可與任何現有的防火牆或IP限制搭配使用。 下圖中的端點數據會列出從您組織中的計算機連線到 Azure DevOps Services 的需求。

IP V4 範圍

13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24
150.171.22.0/24 
150.171.23.0/24 
150.171.73.0/24 
150.171.74.0/24 
150.171.75.0/24 
150.171.76.0/24

IP V6 範圍

2620:1ec:4::/48
2620:1ec:a92::/48
2620:1ec:21::/48
2620:1ec:22::/48
2620:1ec:50::/48 
2620:1ec:51::/48 
2603:1061:10::/48

如果您目前允許 13.107.6.183 和 13.107.9.183 IP位址，請保留它們，因為您不需要將其移除。

注意

輸出連線不支援 Azure 服務標籤。

輸入連線

輸入連線 源自 Azure DevOps，並鎖定組織網路內的資源。 這類連線的範例包括：

• 聯機至服務攔截端點的 Azure DevOps Services
• 線上至客戶控制的 SQL Azure VM 以進行數據匯入的 Azure DevOps Services
• 聯機到內部部署原始程式碼存放庫的 Azure Pipelines，例如 GitHub Enterprise 或 Bitbucket 伺服器
• 聯機到內部部署或雲端式 Splunk 的 Azure DevOps Services 稽核串流

請確定允許下列IP位址進行輸入連線，因此您的組織可與任何現有的防火牆或IP限制搭配使用。 下圖中的端點數據列出從 Azure DevOps Services 到內部部署或其他雲端服務連線的需求。

地理位置	區域	IP V4 範圍
澳大利亞	澳大利亞東部	20.37.194.0/24
	澳大利亞東南部	20.42.226.0/24
巴西	巴西南部	191.235.226.0/24
加拿大	加拿大中部	52.228.82.0/24
亞太地區	東南亞 (新加坡)	20.195.68.0/24
印度	印度南部	20.41.194.0/24
	印度中部	20.204.197.192/26
美國	中央 美國	20.37.158.0/23
	中西部 美國	52.150.138.0/24
	東 美國	20.42.5.0/24
	東 2 美國	20.41.6.0/23
	北 美國	40.80.187.0/24
	南 美國	40.119.10.0/24
	西 美國	40.82.252.0/24
	西部 2 美國	20.42.134.0/23
	西部 3 美國	20.125.155.0/24
歐洲	西歐	40.74.28.0/23
	北歐	20.166.41.0/24
英國	英國南部	51.104.26.0/24

只有 輸入 連線才支援 Azure 服務標籤。 您可以透過 JSON 檔案下載，使用 AzureDevOps 服務標籤來 Azure 防火牆 和網路安全組 （NSG） 或內部部署防火牆，而不是允許先前列出的 IP 範圍。

注意

服務標籤或先前提及的輸入IP位址不適用於Microsoft裝載的代理程式。 客戶仍然需要允許 Microsoft託管代理程序的整個地理位置。 如果允許整個地理位置是一個考慮，建議您使用 Microsoft Managed DevOps Pools。 或者，您也可以使用 Azure 虛擬機擴展集代理程式。 受控DevOps集區和擴展集代理程式是一種自我裝載代理程式的形式，可自動調整以符合您的需求。
託管的 macOS 代理程式裝載於 GitHub 的 macOS 雲端中。 您可以使用此處提供的指示，使用 GitHub 元數據 API 來擷取 IP 範圍。

其他IP位址

下列大部分 IP 位址都與 Microsoft 365 Common and Office Online 有關。

40.82.190.38
52.108.0.0/14
52.237.19.6
52.238.106.116/32
52.244.37.168/32
52.244.203.72/32
52.244.207.172/32
52.244.223.198/32
52.247.150.191/32

如需詳細資訊，請參閱 全球端點 和 新增IP位址規則。

Azure DevOps ExpressRoute 連線

如果您的組織使用 ExpressRoute，請確定輸出和輸入連線都允許下列 IP 位址。

IP V4 範圍

13.107.6.175/32
13.107.6.176/32
13.107.6.183/32
13.107.9.175/32
13.107.9.176/32
13.107.9.183/32
13.107.42.18/32
13.107.42.19/32
13.107.42.20/32
13.107.43.18/32
13.107.43.19/32
13.107.43.20/32
150.171.73.14/32
150.171.73.15/32
150.171.73.16/32
150.171.74.14/32
150.171.74.15/32
150.171.74.16/32
150.171.75.14/32
150.171.75.15/32
150.171.75.16/32
150.171.76.14/32
150.171.76.15/32
150.171.76.16/32
150.171.22.17/32
150.171.22.18/32
150.171.22.19/32
150.171.23.17/32
150.171.23.18/32
150.171.23.19/32

IP V6 範圍

2620:1ec:a92::175/128
2620:1ec:a92::176/128
2620:1ec:a92::183/128
2620:1ec:4::175/128
2620:1ec:4::176/128
2620:1ec:4::183/128
2620:1ec:21::18/128
2620:1ec:21::19/128
2620:1ec:21::20/128
2620:1ec:22::18/128
2620:1ec:22::19/128
2620:1ec:22::20/128
2603:1061:10::14/128
2603:1061:10::15/128
2603:1061:10::16/128
2603:1061:10:1::14/128
2603:1061:10:1::15/128
2603:1061:10:1::16/128
2603:1061:10:2::14/128
2603:1061:10:2::15/128
2603:1061:10:2::16/128
2603:1061:10:3::14/128
2603:1061:10:3::15/128
2603:1061:10:3::16/128
2620:1ec:50::17/128
2620:1ec:50::18/128
2620:1ec:50::19/128
2620:1ec:51::17/128
2620:1ec:51::18/128
2620:1ec:51::19/128

如需 Azure DevOps 和 ExpressRoute 的詳細資訊，請參閱 適用於 Azure DevOps 的 ExpressRoute。

允許的網域 URL

網路連線問題可能會因為您的安全性設備而發生，這可能會封鎖連線 - Visual Studio 使用 TLS 1.2 和更新版本。 當您使用 NuGet 或從 Visual Studio 2015 和更新版本連線時，請更新安全性設備以支援 TLS 1.2 和更新版本以進行下列連線。

若要確保您的組織可搭配任何現有的防火牆或IP限制運作，請確定 dev.azure.com 和 *.dev.azure.com 已開啟。

下一節包含支援登入和授權連線的最常見網域 URL。

https://dev.azure.com
https://*.dev.azure.com
https://aex.dev.azure.com
https://aexprodea1.vsaex.visualstudio.com
https://*vstmrblob.vsassets.io
https://amp.azure.net
https://app.vssps.dev.azure.com
https://app.vssps.visualstudio.com
https://*.vsblob.visualstudio.com
https://*.vssps.visualstudio.com
https://*.vstmr.visualstudio.com
https://azure.microsoft.com
https://go.microsoft.com
https://graph.microsoft.com
https://login.microsoftonline.com
https://management.azure.com
https://management.core.windows.net
https://microsoft.com
https://microsoftonline.com
https://static2.sharepointonline.com
https://visualstudio.com
https://vsrm.dev.azure.com
https://vstsagentpackage.azureedge.net
https://*.windows.net
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com

Azure DevOps uses content delivery network (CDN) to serve static content. The following URLs are part of that. 
https://cdn.vsassets.io
https://*.vsassets.io
https://*gallerycdn.vsassets.io
https://aadcdn.msauth.net
https://aadcdn.msftauth.net
https://amcdn.msftauth.net
https://azurecomcdn.azureedge.net

下列端點可用來使用Microsoft帳戶 （MSA） 來驗證 Azure DevOps 組織。 這些端點僅適用於由 Microsoft 帳戶 （MSA） 支援的 Azure DevOps 組織。 Azure DevOps 組織支援 Microsoft Entra 租使用者不需要下列 URL。

https://live.com 
https://login.live.com 

如果您要使用我們的數據遷移工具，從 Azure DevOps 伺服器移轉至雲端服務，則需要下列 URL。

https://dataimport.dev.azure.com

注意

Azure DevOps 會使用 內容傳遞網路 （CDN） 來提供靜態內容。 中國的使用者也應該將下列網域 URL 新增至允許清單：

https://*.vsassetscdn.azure.cn
https://*.gallerycdn.azure.cn

建議您開啟下列IP位址和網域上所有流量的埠 443 。 我們也建議您將埠 22 開啟至較小的目標 IP 位址子集。

其他網域 URL	Description
https://login.microsoftonline.com	驗證和登入相關
https：//*.vssps.visualstudio.com	驗證和登入相關
https：//*gallerycdn.vsassets.io	裝載 Azure DevOps 擴充功能
https：//*vstmrblob.vsassets.io	裝載 Azure DevOps TCM 記錄數據
https://cdn.vsassets.io	裝載 Azure DevOps 內容傳遞網路 （CDN） 內容
https://static2.sharepointonline.com	裝載 Azure DevOps 在 「office Fabric」UI 套件中用於字型等的一些資源
https://vsrm.dev.azure.com	主機版本
https://vstsagentpackage.azureedge.net	在網路內的機器中設定自我裝載代理程式的必要專案
https://amp.azure.net	部署至 Azure App Service 所需的專案
https://go.microsoft.com	存取 go 連結

Azure Artifacts

確定 Azure Artifacts 允許下列網域 URL：

https://*.blob.core.windows.net
https://*.visualstudio.com
https://*.dedup.microsoft.com

也允許 「name」 ： “Storage” 中的所有 IP 位址。下列檔案的 {region}“ 區段（每周更新）： Azure IP 範圍和服務標籤 - 公用雲端。 {region} 與您的組織相同。

NuGet 連線

確定 NuGet 連線允許下列網域 URL：

https://azurewebsites.net
https://*.nuget.org

注意

私人擁有的 NuGet 伺服器 URL 可能不會包含在上一個清單中。 您可以開啟 %APPData%\Nuget\NuGet.Config來檢查您使用的 NuGet 伺服器。

SSL 連線

如果您需要使用 SSH 連線到 Azure DevOps 上的 Git 存放庫，請針對下列主機允許埠 22 的要求：

ssh.dev.azure.com
vs-ssh.visualstudio.com

也允許此可下載檔案的 「name」 ： “AzureDevOps” 區段中的 IP 位址，名為：Azure IP 範圍和服務卷標 - 公用雲端

Azure Pipelines Microsoft裝載的代理程式

如果您使用Microsoft裝載的代理程式來執行作業，而且您需要使用哪些IP位址的相關信息，請參閱 Microsoft裝載的代理程式IP範圍。 請參閱 Microsoft 受控 DevOps 集區的所有 和 Azure 虛擬機擴展集代理程式。

如需裝載 Windows、Linux 和 macOS 代理程式的詳細資訊，請參閱 Microsoft裝載的代理程式 IP 範圍。

Azure Pipelines 自我裝載代理程式

如果您正在執行防火牆，且您的程式代碼位於 Azure Repos 中，請參閱 自我裝載 Linux 代理程式常見問題、 自我裝載 macOS 代理程式常見問題 或 自我裝載 Windows 代理程式常見問題。 本文提供私人代理程式需要與哪些網域 URL 和 IP 位址通訊的相關信息。

Azure DevOps 匯入服務

在匯入程式期間，強烈建議您將虛擬機 （VM） 的存取限制為僅限來自 Azure DevOps 的 IP 位址。 若要限制存取，請只允許來自集合資料庫匯入程式之一組 Azure DevOps IP 位址的連線。 如需識別正確IP位址的相關信息，請參閱 （選擇性）僅限制對 Azure DevOps Services IP 的存取。

注意

Azure DevOps 原本就不支援直接在其設定內列出允許清單。 不過，您可以使用組織的防火牆或 Proxy 設定來管理網路層級的允許清單。

相關文章

• 可用的服務標籤
• Microsoft裝載的代理程式 IP 位址範圍
• 自我裝載 Windows 代理程式常見問題
• 設定 Azure 儲存體防火牆和虛擬網路
• 在防火牆或 Proxy 伺服器後方安裝及使用 Visual Studio