Koncové body sítě pro Microsoft Intune

  • Článek

Tento článek obsahuje seznam IP adres a nastavení portů potřebných pro nastavení proxy serveru v nasazeních Microsoft Intune.

Jako výhradně cloudová služba Intune nevyžaduje místní infrastrukturu, jako jsou servery nebo brány.

Přístup pro spravovaná zařízení

Pokud chcete spravovat zařízení za branami firewall a proxy servery, musíte povolit komunikaci pro Intune.

Poznámka

Informace v této části platí také pro Microsoft Intune Certificate Connector. Konektor má stejné požadavky na síť jako spravovaná zařízení.

  • Koncové body v tomto článku umožňují přístup k portům identifikovaným v následujících tabulkách.

  • U některých úloh Intune vyžaduje přístup k manage.microsoft.com, *.azureedge.net a graph.microsoft.com neověřenému proxy serveru.

    Poznámka

    Kontrola provozu SSL není podporovaná pro koncové body manage.microsoft.com, dm.microsoft.com nebo DHA (Device Health Attestation).

Nastavení proxy serveru můžete upravit na jednotlivých klientských počítačích. Pomocí nastavení Zásady skupiny můžete také změnit nastavení pro všechny klientské počítače umístěné za zadaným proxy serverem.

Spravovaná zařízení vyžadují konfigurace, které všem uživatelům umožňují přístup ke službám prostřednictvím bran firewall.

Skript PowerShellu

Abychom usnadnili konfiguraci služeb prostřednictvím bran firewall, nasadili jsme službu Office 365 Endpoint. V tuto chvíli se k informacím o Intune koncovému bodu přistupuje prostřednictvím skriptu PowerShellu. Existují další závislé služby pro Intune, které už jsou součástí služby Microsoft 365 a jsou označené jako povinné. Služby, které už microsoft 365 pokrývá, nejsou součástí skriptu, aby nedocházelo k duplicitám.

Pomocí následujícího skriptu PowerShellu můžete načíst seznam IP adres pro službu Intune.

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips

Pomocí následujícího skriptu PowerShellu můžete načíst seznam plně kvalifikovaných názvů domén používaných Intune a závislými službami. Při spuštění skriptu se adresy URL ve výstupu skriptu můžou lišit od adres URL v následujících tabulkách. Ujistěte se, že jste do tabulek zahrnuli minimálně adresy URL.

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls

Skript poskytuje pohodlnou metodu pro výpis a kontrolu všech služeb požadovaných Intune a Autopilotem na jednom místě. Ze služby koncového bodu je možné vrátit další vlastnosti, například vlastnost category, která označuje, jestli má být plně kvalifikovaný název domény nebo IP adresa nakonfigurovaná jako Povolit, Optimalizovat nebo Výchozí.

Koncové body

Budete také potřebovat plně kvalifikované názvy domén, které jsou součástí požadavků Microsoftu 365. V následujících tabulkách najdete informace o službě, ke které jsou svázané, a seznam vrácených adres URL.

Datové sloupce zobrazené v tabulkách jsou:

  • ID: Číslo ID řádku, označované také jako sada koncových bodů. Toto ID je stejné jako vrácené webovou službou pro sadu koncových bodů.

  • Kategorie: Zobrazuje, jestli je sada koncových bodů zařazená do kategorie Optimize“ (Optimalizovat), Allow (Povolit), nebo Default“ (Výchozí). Tento sloupec také uvádí, které sady koncových bodů musí mít síťové připojení. Pro sady koncových bodů, které nemusí mít síťové připojení, poskytujeme do tohoto pole poznámky, které označují, jaké funkce by chyběly, pokud by byla sada koncových bodů blokovaná. Pokud vyloučíte celou oblast služby, sady koncových bodů uvedené jako požadované nevyžadují připojení.

    O těchto kategoriích a doprovodných materiálech pro jejich správu si můžete přečíst v tématu Nové kategorie koncových bodů Microsoftu 365.

  • ER: Pokud je sada koncových bodů podporovaná přes Azure ExpressRoute s předponami tras Microsoftu 365, jedná se o hodnotu Ano/Pravda. Komunita protokolu BGP, která obsahuje uvedené předpony tras, odpovídá uvedené oblasti služby. Pokud je ER ne/ Nepravda, expressRoute se pro tuto sadu koncových bodů nepodporuje.

  • Adresy: Vypíše plně kvalifikované názvy domén nebo názvy domén se zástupnými znaky a rozsahy IP adres pro sadu koncových bodů. Mějte na paměti, že rozsah IP adres je ve formátu CIDR a může obsahovat mnoho jednotlivých IP adres v zadané síti.

  • Porty: Zobrazí seznam portů TCP nebo UDP, které jsou zkombinovány s uvedenými IP adresami pro vytvoření koncového bodu sítě. V rozsazích IP adres, kde jsou uvedené různé porty, si můžete všimnout určité duplicity.

Intune core service

ID Desc Kategorie ER Adresy Porty
163 Klient a hostitelská služba Endpoint Manageru Povolit
Povinný		 Nepravda *.manage.microsoft.com
manage.microsoft.com
EnterpriseEnrollment.manage.microsoft.com
104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.71.199.64/28, 13.73.244.48/28, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 20.49.93.160/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29		 TCP: 80, 443
172 Optimalizace doručení MDM Výchozí
Povinný		 Nepravda *.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
kv801.prod.do.dsp.mp.microsoft.com
geo.prod.do.dsp.mp.microsoft.com
emdl.ws.microsoft.com
2.dl.delivery.mp.microsoft.com
bg.v4.emdl.ws.microsoft.com
 TCP: 80, 443
170 MEM – PS a Win32Apps Výchozí
Povinný		 Nepravda swda01-mscdn.azureedge.net
swda02-mscdn.azureedge.net
swdb01-mscdn.azureedge.net
swdb02-mscdn.azureedge.net
swdc01-mscdn.azureedge.net
swdc02-mscdn.azureedge.net
swdd01-mscdn.azureedge.net
swdd02-mscdn.azureedge.net
swdin01-mscdn.azureedge.net
swdin02-mscdn.azureedge.net
 TCP: 443
97 Consumer Outlook.com a OneDrive Výchozí
 Nepravda account.live.com
login.live.com
 TCP: 443

Závislosti Autopilotu

ID Desc Kategorie ER Adresy Porty
164 Autopilot – služba Windows Update Výchozí
Povinný		 Nepravda *.download.windowsupdate.com
*.windowsupdate.com
*.dl.delivery.mp.microsoft.com
*.prod.do.dsp.mp.microsoft.com
emdl.ws.microsoft.com
*.delivery.mp.microsoft.com
*.update.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com
au.download.windowsupdate.com
2.dl.delivery.mp.microsoft.com
download.windowsupdate.com
dl.delivery.mp.microsoft.com
geo.prod.do.dsp.mp.microsoft.com
catalog.update.microsoft.com
 TCP: 443
165 Autopilot – NTP Sync Výchozí
Povinný		 Nepravda time.windows.com
www.msftncsi.com
www.msftconnecttest.com		 UDP: 123
169 Autopilot – závislosti WNS Výchozí
Povinný		 Nepravda clientconfig.passport.net
windowsphone.com
*.s-microsoft.com
www.msftncsi.com
c.s-microsoft.com		 TCP: 443
173 Autopilot – závislosti nasazení třetích stran Výchozí
Povinný		 Nepravda ekop.intel.com
ekcert.spserv.microsoft.com
ftpm.amd.com
 TCP: 443
182 Autopilot – nahrávání diagnostiky Výchozí
Povinný		 Nepravda lgmsapeweu.blob.core.windows.net
 TCP: 443

Pomoc na dálku

ID Desc Kategorie ER Adresy Porty Poznámky
181 MEM – funkce Pomoc na dálku Výchozí
Povinný		 Nepravda *.support.services.microsoft.com
remoteassistance.support.services.microsoft.com
rdprelayv3eastusprod-0.support.services.microsoft.com
*.trouter.skype.com
remoteassistanceprodacs.communication.azure.com
edge.skype.com
aadcdn.msftauth.net
aadcdn.msauth.net
alcdn.msauth.net
wcpstatic.microsoft.com
*.aria.microsoft.com
browser.pipe.aria.microsoft.com
*.events.data.microsoft.com
v10.events.data.microsoft.com
*.monitor.azure.com
js.monitor.azure.com
edge.microsoft.com
*.trouter.communication.microsoft.com
go.trouter.communication.microsoft.com
*.trouter.teams.microsoft.com
trouter2-usce-1-a.trouter.teams.microsoft.com
api.flightproxy.skype.com
ecs.communication.microsoft.com
remotehelp.microsoft.com
trouter-azsc-usea-0-a.trouter.skype.com
 TCP: 443
187 Závislost – Pomoc na dálku web pubsub Výchozí
Povinný		 Nepravda *.webpubsub.azure.com
AMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com
 TCP: 443
188 závislost Pomoc na dálku pro zákazníky GCC Výchozí
Povinný		 Nepravda remoteassistanceweb-gcc.usgov.communication.azure.us
gcc.remotehelp.microsoft.com
gcc.relay.remotehelp.microsoft.com
*.gov.teams.microsoft.us		 TCP: 443

Intune závislostí

V této části jsou v následujících tabulkách uvedeny závislosti Intune a porty a služby, ke kterým Intune klient přistupuje.

Závislosti služby Windows Push Notification Services (WNS)

ID Desc Kategorie ER Adresy Porty
171 MEM – Závislosti WNS Výchozí
Povinný		 Nepravda *.notify.windows.com
*.wns.windows.com
sinwns1011421.wns.windows.com
sin.notify.windows.com
 TCP: 443

U Intune spravovaných zařízení s Windows spravovaných pomocí mobilních Správa zařízení (MDM) vyžadují akce zařízení a další okamžité aktivity použití služby Windows Push Notification Services (WNS). Další informace najdete v tématu Povolení provozu oznámení Windows přes podnikové brány firewall.

Závislosti optimalizace doručení

ID Desc Kategorie ER Adresy Porty
172 MDM – Závislosti optimalizace doručení Výchozí
Povinný		 Nepravda *.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
kv801.prod.do.dsp.mp.microsoft.com
geo.prod.do.dsp.mp.microsoft.com
emdl.ws.microsoft.com
2.dl.delivery.mp.microsoft.com
bg.v4.emdl.ws.microsoft.com
 TCP: 80, 443

Požadavky na porty – Pro přenosy mezi dvěma účastníky používá Optimalizace doručení 7680 pro TCP/IP nebo 3544 pro procházení nat (volitelně Teredo). Ke komunikaci mezi klientem a službou používá protokol HTTP nebo HTTPS přes port 80/443.

Požadavky na proxy server – Pokud chcete použít Optimalizaci doručení, musíte povolit požadavky na rozsah bajtů. Další informace najdete v tématu Požadavky na proxy server pro služba Windows Update.

Požadavky na bránu firewall – Povolte následující názvy hostitelů prostřednictvím brány firewall, aby podporovaly Optimalizaci doručení. Komunikace mezi klienty a cloudovou službou Optimalizace doručení:

  • *.do.dsp.mp.microsoft.com

Metadata optimalizace doručení:

  • *.dl.delivery.mp.microsoft.com
  • *.emdl.ws.microsoft.com

Závislosti Apple

ID Desc Kategorie ER Adresy Porty
178 MEM – Závislosti Apple Výchozí
Povinný		 Nepravda itunes.apple.com
*.itunes.apple.com
*.mzstatic.com
*.phobos.apple.com
phobos.itunes-apple.com.akadns.net
5-courier.push.apple.com
phobos.apple.com
ocsp.apple.com
ax.itunes.apple.com
ax.itunes.apple.com.edgesuite.net
s.mzstatic.com
a1165.phobos.apple.com
 TCP: 80, 443, 5223

Chcete-li se dozvědět více informací, podívejte se na následující zdroje:

Závislosti AOSP pro Android

ID Desc Kategorie ER Adresy Porty
179 MEM – Závislost AOSP pro Android Výchozí
Povinný		 Nepravda intunecdnpeasd.azureedge.net
 TCP: 443

Poznámka

Vzhledem k tomu, že služba Google Mobile Services není dostupná v Číně, zařízení v Číně spravovaná službou Intune nemůžou používat funkce, které vyžadují služby Google Mobile Services. Mezi tyto funkce patří: Funkce Google Play Protect, jako je ověřování zařízení SafetyNet, Správa aplikací z Obchodu Google Play, funkce Android Enterprise (viz tato dokumentace Google). Aplikace Portál společnosti Intune pro Android navíc ke komunikaci se službou Microsoft Intune používá Google Mobile Services. Vzhledem k tomu, že služby Google Play nejsou v Číně dostupné, může dokončení některých úkolů trvat až 8 hodin. Další informace najdete v tématu Omezení správy Intune při nedostupnosti GMS.

Informace o portu androidu – V závislosti na tom, jak se rozhodnete spravovat zařízení s Androidem, možná budete muset otevřít porty Google Android Enterprise nebo nabízené oznámení androidu. Další informace o podporovaných metodách správy Androidu najdete v dokumentaci k registraci Androidu.

Závislosti Androidu Enterprise

Google Android Enterprise – Google poskytuje dokumentaci k požadovaným síťovým portům a názvům cílových hostitelů v jejich android enterprise bluebooku v části Brána firewall tohoto dokumentu.

Nabízená oznámení pro Android – Intune využívá službu Google Firebase Cloud Messaging (FCM) pro nabízená oznámení k aktivaci akcí zařízení a ohlášení změn. To vyžaduje správce zařízení s Androidem i Android Enterprise. Informace o požadavcích na síť FCM najdete v tématu Porty FCM společnosti Google a brána firewall.

Závislosti ověřování

ID Desc Kategorie ER Adresy Porty
56 Ověřování a identita zahrnují Služby Azure Active Directory a služby související s Azure AD. Povolit
Povinný		 Pravda login.microsoftonline.com
graph.windows.net		 TCP: 80, 443
150 Služba přizpůsobení Office poskytuje Office 365 ProPlus konfiguraci nasazení, nastavení aplikací a správu cloudových zásad. Výchozí Nepravda *.officeconfig.msocdn.com
config.office.com		 TCP: 443
59 Služby podporující identitu & sítě CDN. Výchozí
Povinný		 Nepravda enterpriseregistration.windows.net
 TCP: 80, 443

Další informace najdete v tématu Office 365 adres URL a rozsahů IP adres.

Požadavky na síť pro skripty PowerShellu a aplikace Win32

Pokud k nasazení skriptů PowerShellu nebo aplikací Win32 používáte Intune, budete také muset udělit přístup ke koncovým bodům, ve kterých se váš tenant aktuálně nachází.

Pokud chcete najít umístění tenanta (nebo jednotku škálování Azure ( ASU), přihlaste se do Centra pro správu Microsoft Intune a zvolte Podrobnosti o správě>tenanta. Umístění je v části Umístění tenanta podobné Severní Amerika 0501 nebo Evropa 0202. V následující tabulce vyhledejte odpovídající číslo. Na řádku se dozvíte, ke kterému názvu úložiště a koncovým bodům CDN se má udělit přístup. Řádky se odlišují podle zeměpisné oblasti, jak je uvedeno prvními dvěma písmeny v názvech (na = Severní Amerika, eu = Evropa, ap = Asie a Tichomoří). Umístění vašeho tenanta je jednou z těchto tří oblastí, i když skutečná zeměpisná poloha vaší organizace může být jinde.

Poznámka

Pro skripty & koncové body aplikací Win32 se vyžaduje možnost Povolit částečnou odpověď HTTP.

Jednotka škálování Azure (ASU) Název úložiště CDN Port
AMSUA0601
AMSUA0602
AMSUA0101
AMSUA0102
AMSUA0201
AMSUA0202
AMSUA0401
AMSUA0402
AMSUA0501
AMSUA0502
AMSUA0601
AMSUA0701
AMSUA0702
AMSUA0801
AMSUA0901		 naprodimedatapri
naprodimedatasec
naprodimedatahotfix		 naprodimedatapri.azureedge.net
naprodimedatasec.azureedge.net
naprodimedatahotfix.azureedge.net		 TCP: 443
AMSUB0101
AMSUB0102
AMSUB0201
AMSUB0202
AMSUB0301
AMSUB0302
AMSUB0501
AMSUB0502
AMSUB0601
AMSUB0701		 euprodimedatapri
euprodimedatasec
euprodimedatahotfix		 euprodimedatapri.azureedge.net
euprodimedatasec.azureedge.net
euprodimedatahotfix.azureedge.net		 TCP: 443
AMSUC0101
AMSUC0201
AMSUC0301
AMSUC0501
AMSUC0601
AMSUD0101		 approdimedatapri
approdimedatasec
approdimedatahotifx		 approdimedatapri.azureedge.net
approdimedatasec.azureedge.net
approdimedatahotfix.azureedge.net		 TCP: 443

Microsoft Store

Spravovaná zařízení s Windows, která používají Microsoft Store – k získání, instalaci nebo aktualizaci aplikací – budou potřebovat přístup k těmto koncovým bodům.

Rozhraní API pro Microsoft Store (AppInstallManager):

  • displaycatalog.md.mp.microsoft.com
  • purchase.md.mp.microsoft.com
  • licensing.mp.microsoft.com
  • storeedgefd.dsx.mp.microsoft.com

agent služba Windows Update:

Podrobnosti najdete v následujících zdrojích informací:

Stažení obsahu Win32:

Umístění a koncové body pro stahování obsahu Win32 jsou pro každou aplikaci jedinečné a poskytují je externí vydavatel. Umístění každé aplikace Win32 Store můžete najít pomocí následujícího příkazu v testovacím systému ([PackageId] pro aplikaci Store můžete získat odkazem na vlastnost Identifikátor balíčku aplikace po jejím přidání do Microsoft Intune):

winget show [PackageId]

Vlastnost Adresa URL instalačního programu zobrazí umístění externího stahování nebo záložní mezipaměť pro oblast (hostovaná Microsoftem) podle toho, jestli se mezipaměť používá. Umístění pro stahování obsahu se může mezi mezipamětí a externím umístěním měnit.

Záložní mezipaměť aplikací Win32 hostovaná Microsoftem:

  • Liší se podle oblasti, například : sparkcdneus2.azureedge.net, sparkcdnwus2.azureedge.net

Optimalizace doručení (volitelné, povinné pro partnerský vztah):

Podrobnosti najdete v následujícím zdroji informací:

Migrace zásad dodržování předpisů ověření stavu zařízení na ověření identity v Microsoft Azure

Pokud zákazník povolí některou ze zásad dodržování předpisů Windows 10/11 – Nastavení stavu zařízení, začnou Windows 11 zařízení používat službu Microsoft Azure Attestation (MAA) na základě svého Intune umístění tenanta. Prostředí Windows 10 a GCCH/DOD však budou dál používat stávající koncový bod DHA has.spserv.microsoft.com ověření stavu zařízení pro generování sestav a ověření stavu zařízení a tato změna na ně nebude mít vliv.

Pokud má zákazník zásady brány firewall, které brání přístupu k nové službě Intune MAA pro Windows 11, pak Windows 11 zařízení s přiřazenými zásadami dodržování předpisů pomocí některého z nastavení stavu zařízení (BitLocker, Zabezpečené spouštění, Integrita kódu) přestanou dodržovat předpisy, protože se nebudou moct spojit s koncovými body ověření identity MAA pro svoji polohu.

Ujistěte se, že odchozí provoz HTTPS/443 neblokují žádná pravidla brány firewall a že pro koncové body uvedené v této části není zavedena kontrola provozu SSL na základě umístění vašeho tenanta Intune.

Pokud chcete najít umístění tenanta, přejděte do centra > pro správu Intune Správa> tenantaStav>tenanta Podrobnosti o tenantovi, viz Umístění tenanta.

  • 'https://intunemaape1.eus.attest.azure.net'

  • 'https://intunemaape2.eus2.attest.azure.net'

  • 'https://intunemaape3.cus.attest.azure.net'

  • 'https://intunemaape4.wus.attest.azure.net'

  • 'https://intunemaape5.scus.attest.azure.net'

  • 'https://intunemaape6.ncus.attest.azure.net'

Analýza koncových bodů

Další informace o požadovaných koncových bodech pro analýzu koncových bodů najdete v tématu Konfigurace proxy serveru analýzy koncových bodů.

Microsoft Defender for Endpoint

Další informace o konfiguraci připojení Defenderu pro koncové body najdete v tématu Požadavky na připojení.

Povolte následující názvy hostitelů prostřednictvím brány firewall, aby podporovaly správu nastavení zabezpečení defenderu for Endpoint. Komunikace mezi klienty a cloudovou službou:

  • *.dm.microsoft.com – Použití zástupného znaku podporuje koncové body cloudové služby, které se používají pro registraci, ohlášení se změnami a vytváření sestav a které se můžou při škálování služby měnit.

    Důležité

    Kontrola SSL není podporována v koncovém bodu dm.microsoft.com.

Správa oprávnění Microsoft Intune Endpoint

Povolte následující názvy hostitelů na portu TCP 443 prostřednictvím brány firewall, aby podporovaly správu oprávnění koncového bodu.

Komunikace mezi klienty a cloudovou službou:

  • *.dm.microsoft.com – Použití zástupného znaku podporuje koncové body cloudové služby, které se používají pro registraci, ohlášení se změnami a vytváření sestav a které se můžou při škálování služby měnit.

  • *.events.data.microsoft.com – používá zařízení spravovaná Intune k odesílání volitelných dat sestav do koncového bodu shromažďování dat Intune.

    Důležité

    Kontrola SSL není podporována v koncovém bodu dm.microsoft.com.

Další informace najdete v tématu Přehled správy oprávnění koncového bodu.

Rozsahy adres IP a URL Office 365.

Přehled připojení k síti Microsoftu 365

Sítě pro doručování obsahu (CDN)

Jiné koncové body, které nejsou součástí webové služby OFFICE 365 IP adresy a adresy URL

Správa koncových bodů Office 365