Požadavky na přístup k internetu
Některé Configuration Manager funkce spoléhají pro všechny funkce na připojení k internetu. Pokud vaše organizace omezuje síťovou komunikaci s internetem pomocí brány firewall nebo proxy zařízení, nezapomeňte tyto koncové body povolit.
Configuration Manager používá v celém produktu následující služby předávání adres URL společnosti Microsoft:
https://aka.ms
https://go.microsoft.com
I když nejsou explicitně uvedené v následujících částech, měli byste tyto koncové body vždy povolit.
Spojovací bod služby
Další informace najdete v tématu Informace o spojovacím bodu služby.
Tyto konfigurace platí pro server, který je hostitelem spojovacího bodu služby, a všech bran firewall mezi tímto serverem a internetem. Povolte komunikaci přes odchozí port HTTPS TCP 443 do internetových umístění.
Spojovací bod služby podporuje použití těchto umístění pomocí webového proxy serveru s ověřováním nebo bez ověřování. Další informace najdete v tématu Podpora proxy serveru.
Pokud se Configuration Manager lokalitě nepodaří připojit k požadovaným koncovým bodům cloudové služby, zobrazí se kritická stavová zpráva s ID 11488. Pokud se nemůže ke službě připojit, stav SMS_SERVICE_CONNECTOR komponenty se změní na kritický. Podrobný stav zobrazíte v uzlu Stav součásti konzoly Configuration Manager.
Od verze 2010 ověřuje spojovací bod služby důležité internetové koncové body pro připojení tenanta. Tyto kontroly pomáhají zajistit dostupnost služeb připojených ke cloudu. Pomáhá vám také řešit problémy tím, že rychle určí, jestli je problém s připojením k síti. Další informace najdete v tématu Ověření přístupu k internetu.
Konkrétní adresy URL vyžadované spojovacím bodem služby se liší podle Configuration Manager funkce:
- Aktualizace a servis
- Údržba Windows
- Služby Azure
- Microsoft Store pro firmy
- Cloudové služby
- Configuration Manager konzola
- Připojení tenanta
- Externí oznámení
Tip
Spojovací bod služby používá službu Microsoft Intune při připojení k go.microsoft.com
nebo manage.microsoft.com
. Existuje známý problém, kdy u konektoru Intune dochází k problémům s připojením, pokud kořenový certifikát Baltimore CyberTrust není nainstalovaný, vypršela jeho platnost nebo je v spojovacím bodu služby poškozen. Další informace najdete v tématu Spojovací bod služby nestahuje aktualizace.
Aktualizace a servis
Další informace najdete v tématu Aktualizace a údržba.
Tip
Povolte tyto koncové body pro pravidlo přehledu správyPřipojení webu ke cloudu Microsoftu pro Configuration Manager aktualizace.
*.akamaiedge.net
*.akamaitechnologies.com
*.manage.microsoft.com
go.microsoft.com
download.microsoft.com
download.windowsupdate.com
download.visualstudio.microsoft.com
sccmconnected-a01.cloudapp.net
definitionupdates.microsoft.com
configmgrbits.azureedge.net
Důležité
Tento koncový bod Azure podporuje pouze protokol TLS 1.2 s konkrétními šifrovacími sadami. Ujistěte se, že vaše prostředí podporuje tyto konfigurace Azure. Další informace najdete v tématu Azure Front Door: Nejčastější dotazy ke konfiguraci protokolu TLS.
cmbitsstore.blob.core.windows.net
ceuswatcab01.blob.core.windows.net
ceuswatcab02.blob.core.windows.net
eaus2watcab01.blob.core.windows.net
eaus2watcab02.blob.core.windows.net
weus2watcab01.blob.core.windows.net
weus2watcab02.blob.core.windows.net
cmbitsstore.blob.core.windows.net
umwatsonc.events.data.microsoft.com
*-umwatsonc.events.data.microsoft.com
Údržba Windows
Další informace najdete v tématu Správa Windows jako služby.
download.microsoft.com
https://go.microsoft.com/fwlink/?LinkID=619849
dl.delivery.mp.microsoft.com
Služby Azure
Další informace najdete v tématu Konfigurace služeb Azure pro použití s Configuration Manager.
-
management.azure.com
(Veřejný cloud Azure) -
management.usgovcloudapi.net
(Cloud Azure US Government)
Společné řízení
Pokud zaregistrujete zařízení s Windows do Microsoft Intune pro spolusprávu, ujistěte se, že mají přístup ke koncovým bodům požadovaným Intune. Další informace najdete v tématu Koncové body sítě pro Microsoft Intune.
Microsoft Store pro firmy
Pokud integrujete Configuration Manager s Microsoft Store pro firmy, ujistěte se, že spojovací bod služby a cílová zařízení mají přístup ke cloudové službě. Další informace najdete v tématu konfigurace proxy serveru Microsoft Store pro firmy.
Optimalizace doručení
Pokud používáte optimalizaci doručení, klienti musí komunikovat s cloudovou službou: *.do.dsp.mp.microsoft.com
Distribuční body, které podporují připojenou mezipaměť Microsoftu, vyžadují také tyto koncové body.
Další informace najdete v následujících článcích:
- Nejčastější dotazy k optimalizaci doručení
- Základní koncepty správy obsahu v Configuration Manager
- Microsoft Connected Cache with Configuration Manager
Cloudové služby
Další informace o bráně pro správu cloudu (CMG) najdete v tématu Plánování cmg.
Tato část se věnuje následujícím funkcím:
Brána pro správu cloudu (CMG)
integrace Microsoft Entra
zjišťování na základě Microsoft Entra ID
Cloudový distribuční bod (CDP)
Poznámka
Cloudový distribuční bod (CDP) je zastaralý. Od verze 2107 nemůžete vytvářet nové instance CDP. Pokud chcete poskytovat obsah internetovým zařízením, povolte cmg distribuci obsahu.
V následujících částech jsou uvedeny koncové body podle rolí. Některé koncové body odkazují na službu pomocí <prefix>
, což je název předpony cmg. Pokud je GraniteFalls.WestUS.CloudApp.Azure.Com
například cmg , pak skutečný koncový bod úložiště je GraniteFalls.blob.core.windows.net
.
Tip
Pro upřesnění terminologie:
Název služby CMG: Běžný název ověřovacího certifikátu serveru CMG. Klienti a role systému lokality spojovacího bodu CMG komunikují s tímto názvem služby. Například
GraniteFalls.contoso.com
neboGraniteFalls.WestUS.CloudApp.Azure.Com
.Název nasazení CMG: První část názvu služby plus umístění Azure pro nasazení cloudové služby. Komponenta správce cloudových služeb spojovacího bodu služby používá tento název při nasazování CMG v Azure. Název nasazení je vždy v doméně Azure. Umístění Azure závisí na metodě nasazení, například:
- Škálovací sada virtuálních počítačů:
GraniteFalls.WestUS.CloudApp.Azure.Com
- Nasazení Classic:
GraniteFalls.CloudApp.Net
- Škálovací sada virtuálních počítačů:
Tento článek používá příklady se škálovací sadou virtuálních počítačů jako doporučenou metodou nasazení ve verzi 2107 a novější. Pokud používáte klasické nasazení, všimněte si rozdílu při čtení tohoto článku a konfiguraci přístupu k internetu.
Spojovací bod služby pro cloudové služby
Aby Configuration Manager nasadit službu CMG v Azure, potřebuje spojovací bod služby přístup k:
Konkrétní koncové body Azure, které se liší podle prostředí v závislosti na konfiguraci. Configuration Manager tyto koncové body ukládá do databáze lokality. V SQL Server zadejte dotaz na seznam koncových bodů Azure v tabulce AzureEnvironments.
Služby Azure:
-
management.azure.com
(Veřejný cloud Azure) -
management.usgovcloudapi.net
(Cloud Azure US Government)
-
Pro Microsoft Entra zjišťování uživatelů: Koncový bod Microsoft Graphu
https://graph.microsoft.com/
Spojovací bod CMG pro cloudové služby
Spojovací bod CMG potřebuje přístup k následujícím koncovým bodům:
Typ | Veřejný cloud Azure | Cloud Azure US Government |
---|---|---|
Název služby | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
Koncový bod úložiště 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
Koncový bod úložiště 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
Trezor klíčů | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
Systém lokality spojovacího bodu CMG podporuje použití webového proxy serveru. Další informace o konfiguraci této role pro proxy server najdete v tématu Podpora proxy serveru.
Spojovací bod CMG se musí připojit jenom ke koncovým bodům služby CMG. Nepotřebuje přístup k jiným koncovým bodům Azure.
Configuration Manager klienta pro cloudové služby
Každý klient Configuration Manager, který potřebuje komunikovat s cmg, potřebuje přístup k následujícím koncovým bodům:
Typ | Veřejný cloud Azure | Cloud Azure US Government |
---|---|---|
Název nasazení | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
Koncový bod úložiště | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
koncový bod Microsoft Entra | login.microsoftonline.com |
login.microsoftonline.us |
konzola Configuration Manager pro cloudové služby
Každé zařízení s konzolou Configuration Manager potřebuje přístup k následujícím koncovým bodům:
Typ | Veřejný cloud Azure | Cloud Azure US Government |
---|---|---|
koncové body Microsoft Entra | login.microsoftonline.com aadcdn.msauth.net aadcdn.msftauth.net |
login.microsoftonline.us |
Aktualizace softwaru
Povolte aktivnímu bodu aktualizace softwaru přístup k následujícím koncovým bodům, aby služby WSUS a automatické Aktualizace mohly komunikovat s cloudovou službou Microsoft Update:
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
http://download.microsoft.com
http://*.download.windowsupdate.com
http://ntservicepack.microsoft.com
Další informace o aktualizacích softwaru najdete v tématu Plánování aktualizací softwaru.
Intranetová brána firewall
V následujících případech může být potřeba přidat koncové body do brány firewall, která je mezi dvěma systémy lokality:
- Pokud mají podřízené lokality bod aktualizace softwaru
- Pokud je v lokalitě vzdáleně aktivní internetový bod aktualizace softwaru
Bod aktualizace softwaru v podřízené lokalitě
http://<FQDN for software update point on child site>
https://<FQDN for software update point on child site>
http://<FQDN for software update point on parent site>
https://<FQDN for software update point on parent site>
Správa Microsoft 365 Apps
Poznámka
Od 21. dubna 2020 se Office 365 ProPlus přejmenovává na Microsoft 365 Apps pro velké organizace. Další informace najdete v tématu Změna názvu pro Office 365 ProPlus. V konzole Configuration Manager a v podpůrné dokumentaci se během aktualizace konzoly stále můžou zobrazovat odkazy na starý název.
Pokud k nasazení a aktualizaci Microsoft 365 Apps pro velké organizace používáte Configuration Manager, povolte následující koncové body:
officecdn.microsoft.com
synchronizace bodu aktualizace softwaru pro aktualizace klienta Microsoft 365 Apps pro velké organizaceconfig.office.com
vytvoření vlastních konfigurací pro nasazení Microsoft 365 Apps pro velké organizacehttps://clients.config.office.net
ahttps://go.microsoft.com/fwlink/?linkid=2190568
pro podporu nasazení aktualizací pro Microsoft 365 Apps pro velké organizacecontentstorage.osi.office.net
pro podporu vyhodnocení připravenosti doplňků pro Officeclients.config.office.net
a načíst názvy souborů potřebných pro konkrétní aktualizaci Microsoft 365 Apps. Další informace najdete v tématu Použití rozhraní API pro seznam souborů Microsoft 365 Apps.
Server lokality nejvyšší úrovně potřebuje přístup k následujícímu koncovému bodu ke stažení souboru připravenosti Microsoft Apps 365:
- Od 2. března 2021:
https://omex.cdn.office.net/mirrored/sccmreadiness/SOT_SCCM_AddinReadiness.CAB
- Umístění před 2. březnem 2021:
https://contentstorage.osi.office.net/sccmreadinessppe/sot_sccm_addinreadiness.cab
- Umístění před 2. březnem 2021:
Poznámka
Umístění tohoto souboru se mění 2. března 2021. Další informace najdete v tématu Stažení změny umístění pro Microsoft 365 Apps souboru připravenosti.
Configuration Manager konzola
Počítače s konzolou Configuration Manager vyžadují přístup k následujícím internetovým koncovým bodům pro konkrétní funkce:
Poznámka
Aby se nabízená oznámení od Microsoftu zobrazovala v konzole nástroje, potřebuje spojovací bod služby přístup k configmgrbits.azureedge.net
. Potřebuje také přístup k tomuto koncovému bodu kvůli aktualizacím a údržbě, takže jste ho možná už povolili.
Zpětná vazba v konzole
Na počítači, na kterém spouštíte konzolu, jí povolte přístup k následujícím internetovým koncovým bodům pro odesílání diagnostických dat společnosti Microsoft:
petrol.office.microsoft.com
ceuswatcab01.blob.core.windows.net
ceuswatcab02.blob.core.windows.net
eaus2watcab01.blob.core.windows.net
eaus2watcab02.blob.core.windows.net
weus2watcab01.blob.core.windows.net
weus2watcab02.blob.core.windows.net
umwatsonc.events.data.microsoft.com
*-umwatsonc.events.data.microsoft.com
Další informace o této funkci najdete v tématu Názory na produkty.
Pracovní prostor komunity
Uzel dokumentace
Další informace o tomto uzlu konzoly najdete v tématu Použití konzoly Configuration Manager.
https://aka.ms
https://raw.githubusercontent.com
Centrum komunity
Další informace o této funkci najdete v centru Komunity.
https://github.com
https://communityhub.microsoft.com
Připojení tenanta
Další informace najdete v tématu Povolení připojení tenanta.
https://aka.ms/configmgrgateway
https://*.manage.microsoft.com
pro zákazníky veřejného cloudu Azurehttps://*.manage.microsoft.us
pro zákazníky cloudu pro státní správu USA ve verzi 2107 nebo novějšíhttps://dc.services.visualstudio.com
Spojovací bod služby vytváří dlouhotrvající odchozí připojení ke službě oznámení hostované na https://*.manage.microsoft.com
. Ověřte, že proxy server použitý pro spojovací bod služby nevypadá příliš rychle na odchozí připojení. Pro odchozí připojení k tomuto internetovému koncovému bodu doporučujeme 3 minuty.
Pokud vaše prostředí obsahuje pravidla proxy serveru, která povolují pouze konkrétní seznamy odvolaných certifikátů (CRL) nebo umístění ověřování protokolu OCSP (Online Certificate Status Protocol), povolte také následující seznamy CRL a adresy URL protokolu OCSP:
http://crl3.digicert.com
http://crl4.digicert.com
http://ocsp.digicert.com
http://www.d-trust.net
http://root-c3-ca2-2009.ocsp.d-trust.net
http://crl.microsoft.com
http://oneocsp.microsoft.com
http://ocsp.msocsp.com
http://www.microsoft.com/pkiops
Analýza koncových bodů
Další informace najdete v tématu Konfigurace proxy serveru analýzy koncových bodů.
Koncové body požadované pro zařízení spravovaná přes nástroj Configuration Manager
Zařízení spravovaná přes nástroj Configuration Manager odesílají data do Intune prostřednictvím konektoru v roli Configuration Manageru a nepotřebují přímý přístup k veřejnému cloudu Microsoftu.
Koncový bod | Funkce |
---|---|
https://graph.windows.net |
Používá se k automatickému načtení nastavení při připojování hierarchie k analýze koncových bodů na Configuration Manager roli serveru. Další informace najdete v tématu Konfigurace proxy pro server systému lokality. |
https://*.manage.microsoft.com |
Používá se k synchronizaci kolekce zařízení a zařízení s analýzou koncového bodu pouze na Configuration Manager roli serveru. Další informace najdete v tématu Konfigurace proxy pro server systému lokality. |
Koncové body požadované pro zařízení spravovaná přes Intune
Aby bylo možné zařízení zaregistrovat do analýzy koncového bodu, je nutné, aby posílala požadovaná funkční data do veřejného cloudu Microsoftu. Analýza koncových bodů používá ke shromažďování dat ze zařízení spravovaných Intune klienta Windows a součásti Windows Server Connected User Experiences and Telemetry (DiagTrack). Ujistěte se, že služba Propojená uživatelská prostředí a telemetrie je na zařízení spuštěná.
Koncový bod | Funkce |
---|---|
https://*.events.data.microsoft.com |
Používá se zařízeními spravovanými v Intune k odesílání požadovaných funkčních dat do koncového bodu shromažďování dat Intune. |
Asset Intelligence
Pokud používáte funkci Asset Intelligence, povolte synchronizaci následujících koncových bodů služby:
https://sc.microsoft.com
https://ssu2.manage.microsoft.com
Nasazení Microsoft Edge
Zařízení se spuštěnou konzolou Configuration Manager potřebuje přístup k následujícím koncovým bodům pro nasazení aplikace Microsoft Edge:
Umístění | Použití |
---|---|
https://aka.ms/cmedgeapi |
Informace o vydaných verzích Microsoft Edge |
https://edgeupdates.microsoft.com/api/products?view=enterprise |
Informace o vydaných verzích Microsoft Edge |
http://dl.delivery.mp.microsoft.com |
Obsah pro verze Microsoft Edge |
Externí oznámení
Další informace najdete v tématu Externí oznámení.
Spojovací bod služby musí komunikovat se službou oznámení, například Azure Logic Apps. Koncový bod přístupu pro aplikaci logiky má obvykle následující formát: https://*.<RegionName>.logic.azure.com:443
. Například: https://prod1.westus2.logic.azure.com:443
Pokud chcete získat přístupový koncový bod pro aplikaci logiky a přidružené IP adresy, použijte následující postup:
- V Azure Portal v části Logic Apps vyberte aplikaci logiky pro vaše oznámení. Další informace najdete v tématu Správa aplikací logiky v Azure Portal.
- V nabídce aplikace v části Nastavení vyberte Vlastnosti.
- Zobrazte nebo zkopírujte hodnoty koncového bodu accessu a IP adresy koncových bodů accessu.
Veřejné IP adresy Microsoftu
Další informace o rozsahech IP adres Microsoftu najdete v tématu Veřejný prostor IP adres Microsoftu. Tyto adresy se pravidelně aktualizují. Neexistuje žádná členitost podle služby, je možné použít jakoukoli IP adresu v těchto rozsahech.