允許的IP位址和網域URL

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

如果您的組織受到防火牆或 Proxy 伺服器保護，您必須將特定因特網通訊協定 （IP） 位址和網域統一資源定位器 （URL） 新增至 允許清單。 將這些IP和URL新增至allowlist有助於確保您擁有 Azure DevOps 的最佳體驗。 如果您無法存取網路上的 Azure DevOps，您必須更新允許清單。 請參閱本文中的下列各節：

• 允許的網域 URL
• IP 位址和範圍限制

提示

因此，Visual Studio 和 Azure 服務在沒有任何網路問題時運作良好，請開啟選取埠和通訊協定。 如需詳細資訊，請參閱 在防火牆或 Proxy 伺服器後方安裝和使用 Visual Studio、使用 Visual Studio 和 Azure 服務。

IP 位址和範圍限制

輸出連線

輸出連線 以其他相依網站為目標。 這類連線的範例包括：

• 當使用者移至 Azure DevOps 並使用 Azure DevOps 的功能時，連線到 Azure DevOps 網站的瀏覽器
• 安裝在您組織網路上的 Azure Pipelines 代理程式連線到 Azure DevOps，以輪詢擱置中的作業
• 從您組織網路內裝載的原始程式碼存放庫傳送至 Azure DevOps 的 CI 事件

請確定輸出連線允許下列IP位址，因此您的組織可與任何現有的防火牆或IP限制搭配使用。 下圖中的端點數據會列出從您組織中的計算機連線到 Azure DevOps Services 的需求。

IP V4 範圍

13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24
150.171.22.0/24 
150.171.23.0/24 
150.171.73.0/24 
150.171.74.0/24 
150.171.75.0/24 
150.171.76.0/24

IP V6 範圍

2620:1ec:4::/48
2620:1ec:a92::/48
2620:1ec:21::/48
2620:1ec:22::/48
2620:1ec:50::/48 
2620:1ec:51::/48 
2603:1061:10::/48

如果您目前允許 13.107.6.183 和 13.107.9.183 IP位址，請保留它們，因為您不需要將其移除。

注意

輸出連線不支援 Azure 服務標籤。

輸入連線

輸入連線 源自 Azure DevOps，並鎖定組織網路內的資源。 這類連線的範例包括：

• 聯機至服務攔截端點的 Azure DevOps Services
• 線上至客戶控制的 SQL Azure VM 以進行數據匯入的 Azure DevOps Services
• 聯機到內部部署原始程式碼存放庫的 Azure Pipelines，例如 GitHub Enterprise 或 Bitbucket 伺服器
• 聯機到內部部署或雲端式 Splunk 的 Azure DevOps Services 稽核串流

請確定允許下列IP位址進行輸入連線，因此您的組織可與任何現有的防火牆或IP限制搭配使用。 下圖中的端點數據列出從 Azure DevOps Services 到內部部署或其他雲端服務連線的需求。

地理位置	區域	IP V4 範圍
澳大利亞	澳大利亞東部	20.37.194.0/24
	澳大利亞東南部	20.42.226.0/24
巴西	巴西南部	191.235.226.0/24
加拿大	加拿大中部	52.228.82.0/24
亞太地區	東南亞 (新加坡)	20.195.68.0/24
印度	印度南部	20.41.194.0/24
	印度中部	20.204.197.192/26
美國	中央 美國	20.37.158.0/23
	中西部 美國	52.150.138.0/24
	東 美國	20.42.5.0/24
	東 2 美國	20.41.6.0/23
	北 美國	40.80.187.0/24
	南 美國	40.119.10.0/24
	西 美國	40.82.252.0/24
	西部 2 美國	20.42.134.0/23
	西部 3 美國	20.125.155.0/24
歐洲	西歐	40.74.28.0/23
	北歐	20.166.41.0/24
英國	英國南部	51.104.26.0/24

只有 輸入 連線才支援 Azure 服務標籤。 您可以透過 JSON 檔案下載，使用 AzureDevOps 服務標籤來 Azure 防火牆 和網路安全組 （NSG） 或內部部署防火牆，而不是允許先前列出的 IP 範圍。

注意

服務標籤或先前提及的輸入IP位址不適用於Microsoft裝載的代理程式。 客戶仍然需要允許 Microsoft託管代理程序的整個地理位置。 如果允許整個地理位置是一個考慮，建議您使用 Azure 虛擬機擴展集代理程式。 擴展集代理程式是一種自我裝載代理程式的形式，可自動調整以符合您的需求。
託管的 macOS 代理程式裝載於 GitHub 的 macOS 雲端中。 您可以使用此處提供的指示，使用 GitHub 元數據 API 來擷取 IP 範圍。

其他IP位址

下列大部分 IP 位址都與 Microsoft 365 Common and Office Online 有關。

40.82.190.38
52.108.0.0/14
52.237.19.6
52.238.106.116/32
52.244.37.168/32
52.244.203.72/32
52.244.207.172/32
52.244.223.198/32
52.247.150.191/32

如需詳細資訊，請參閱 全球端點 和 新增IP位址規則。

Azure DevOps ExpressRoute 連線

如果您的組織使用 ExpressRoute，請確定輸出和輸入連線都允許下列 IP 位址。

IP V4 範圍

13.107.6.175/32
13.107.6.176/32
13.107.6.183/32
13.107.9.175/32
13.107.9.176/32
13.107.9.183/32
13.107.42.18/32
13.107.42.19/32
13.107.42.20/32
13.107.43.18/32
13.107.43.19/32
13.107.43.20/32
150.171.73.14/32
150.171.73.15/32
150.171.73.16/32
150.171.74.14/32
150.171.74.15/32
150.171.74.16/32
150.171.75.14/32
150.171.75.15/32
150.171.75.16/32
150.171.76.14/32
150.171.76.15/32
150.171.76.16/32
150.171.22.17/32
150.171.22.18/32
150.171.22.19/32
150.171.23.17/32
150.171.23.18/32
150.171.23.19/32

IP V6 範圍

2620:1ec:a92::175/128
2620:1ec:a92::176/128
2620:1ec:a92::183/128
2620:1ec:4::175/128
2620:1ec:4::176/128
2620:1ec:4::183/128
2620:1ec:21::18/128
2620:1ec:21::19/128
2620:1ec:21::20/128
2620:1ec:22::18/128
2620:1ec:22::19/128
2620:1ec:22::20/128
2603:1061:10::14/128
2603:1061:10::15/128
2603:1061:10::16/128
2603:1061:10:1::14/128
2603:1061:10:1::15/128
2603:1061:10:1::16/128
2603:1061:10:2::14/128
2603:1061:10:2::15/128
2603:1061:10:2::16/128
2603:1061:10:3::14/128
2603:1061:10:3::15/128
2603:1061:10:3::16/128
2620:1ec:50::17/128
2620:1ec:50::18/128
2620:1ec:50::19/128
2620:1ec:51::17/128
2620:1ec:51::18/128
2620:1ec:51::19/128

如需 Azure DevOps 和 ExpressRoute 的詳細資訊，請參閱 適用於 Azure DevOps 的 ExpressRoute。

允許的網域 URL

網路連線問題可能會因為您的安全性設備而發生，這可能會封鎖連線 - Visual Studio 使用 TLS 1.2 和更新版本。 當您使用 NuGet 或從 Visual Studio 2015 和更新版本連線時，請更新安全性設備以支援 TLS 1.2 和更新版本以進行下列連線。

若要確保您的組織可搭配任何現有的防火牆或IP限制運作，請確定 dev.azure.com 和 *.dev.azure.com 已開啟。

下一節包含支援登入和授權連線的最常見網域 URL。

https://dev.azure.com
https://*.dev.azure.com
https://aex.dev.azure.com
https://aexprodea1.vsaex.visualstudio.com
https://*vstmrblob.vsassets.io
https://amp.azure.net
https://app.vssps.dev.azure.com
https://app.vssps.visualstudio.com
https://*.vsblob.visualstudio.com
https://*.vssps.visualstudio.com
https://*.vstmr.visualstudio.com
https://azure.microsoft.com
https://go.microsoft.com
https://graph.microsoft.com
https://login.microsoftonline.com
https://management.azure.com
https://management.core.windows.net
https://microsoft.com
https://microsoftonline.com
https://static2.sharepointonline.com
https://visualstudio.com
https://vsrm.dev.azure.com
https://vstsagentpackage.azureedge.net
https://*.windows.net
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com

Azure DevOps uses content delivery network (CDN) to serve static content. The following URLs are part of that. 
https://cdn.vsassets.io
https://*.vsassets.io
https://*gallerycdn.vsassets.io
https://aadcdn.msauth.net
https://aadcdn.msftauth.net
https://amcdn.msftauth.net
https://azurecomcdn.azureedge.net

下列端點可用來使用Microsoft帳戶 （MSA） 來驗證 Azure DevOps 組織。 這些端點僅適用於由 Microsoft 帳戶 （MSA） 支援的 Azure DevOps 組織。 Azure DevOps 組織支援 Microsoft Entra 租使用者不需要下列 URL。

https://live.com 
https://login.live.com 

如果您要使用我們的數據遷移工具，從 Azure DevOps 伺服器移轉至雲端服務，則需要下列 URL。

https://dataimport.dev.azure.com

注意

Azure DevOps 會使用 內容傳遞網路 （CDN） 來提供靜態內容。 中國的使用者也應該將下列網域 URL 新增至允許清單：

https://*.vsassetscdn.azure.cn
https://*.gallerycdn.azure.cn

建議您開啟下列IP位址和網域上所有流量的埠 443 。 我們也建議您將埠 22 開啟至較小的目標 IP 位址子集。

其他網域 URL	Description
https://login.microsoftonline.com	驗證和登入相關
https：//*.vssps.visualstudio.com	驗證和登入相關
https：//*gallerycdn.vsassets.io	裝載 Azure DevOps 擴充功能
https：//*vstmrblob.vsassets.io	裝載 Azure DevOps TCM 記錄數據
https://cdn.vsassets.io	裝載 Azure DevOps 內容傳遞網路 （CDN） 內容
https://static2.sharepointonline.com	裝載 Azure DevOps 在 「office Fabric」UI 套件中用於字型等的一些資源
https://vsrm.dev.azure.com	主機版本
https://vstsagentpackage.azureedge.net	在網路內的機器中設定自我裝載代理程式的必要專案
https://amp.azure.net	部署至 Azure App Service 所需的專案
https://go.microsoft.com	存取 go 連結

Azure Artifacts

確定 Azure Artifacts 允許下列網域 URL：

https://*.blob.core.windows.net
https://*.visualstudio.com
https://*.dedup.microsoft.com

也允許 「name」 ： “Storage” 中的所有 IP 位址。下列檔案的 {region}“ 區段（每周更新）： Azure IP 範圍和服務標籤 - 公用雲端。 {region} 與您的組織相同。

NuGet 連線

確定 NuGet 連線允許下列網域 URL：

https://azurewebsites.net
https://*.nuget.org

注意

私人擁有的 NuGet 伺服器 URL 可能不會包含在上一個清單中。 您可以開啟 %APPData%\Nuget\NuGet.Config來檢查您使用的 NuGet 伺服器。

SSL 連線

如果您需要使用 SSH 連線到 Azure DevOps 上的 Git 存放庫，請針對下列主機允許埠 22 的要求：

ssh.dev.azure.com
vs-ssh.visualstudio.com

也允許此可下載檔案的 「name」 ： “AzureDevOps” 區段中的 IP 位址，名為：Azure IP 範圍和服務卷標 - 公用雲端

Azure Pipelines Microsoft裝載的代理程式

如果您使用Microsoft裝載的代理程式來執行作業，而且您需要使用哪些IP位址的相關信息，請參閱 Microsoft裝載的代理程式IP範圍。 請參閱所有 Azure 虛擬機擴展集代理程式。

如需裝載 Windows、Linux 和 macOS 代理程式的詳細資訊，請參閱 Microsoft裝載的代理程式 IP 範圍。

Azure Pipelines 自我裝載代理程式

如果您正在執行防火牆，且您的程式代碼位於 Azure Repos 中，請參閱 自我裝載 Linux 代理程式常見問題、 自我裝載 macOS 代理程式常見問題 或 自我裝載 Windows 代理程式常見問題。 本文提供私人代理程式需要與哪些網域 URL 和 IP 位址通訊的相關信息。

Azure DevOps 匯入服務

在匯入程式期間，強烈建議您將虛擬機 （VM） 的存取限制為僅限來自 Azure DevOps 的 IP 位址。 若要限制存取，請只允許來自集合資料庫匯入程式之一組 Azure DevOps IP 位址的連線。 如需識別正確IP位址的相關信息，請參閱 （選擇性）僅限制對 Azure DevOps Services IP 的存取。

注意

Azure DevOps 原本就不支援直接在其設定內列出允許清單。 不過，您可以使用組織的防火牆或 Proxy 設定來管理網路層級的允許清單。

相關文章

• 可用的服務標籤
• Microsoft裝載的代理程式 IP 位址範圍
• 自我裝載 Windows 代理程式常見問題
• 設定 Azure 儲存體防火牆和虛擬網路
• 在防火牆或 Proxy 伺服器後方安裝及使用 Visual Studio