Teilen über


Internetzugriffsanforderungen

Einige Konfigurations-Manager-Features basieren auf internetkonnektiver Funktionalität. Wenn Ihre Organisation die Netzwerkkommunikation mit dem Internet über eine Firewall oder ein Proxygerät einschränkt, sollten Sie diese Endpunkte zulassen.

Der Konfigurations-Manager verwendet die folgenden Microsoft-URL-Weiterleitungsdienste im gesamten Produkt:

  • https://aka.ms
  • https://go.microsoft.com

Auch wenn sie in den folgenden Abschnitten nicht explizit aufgeführt sind, sollten Sie diese Endpunkte immer zulassen.

Dienstverbindungspunkt

Weitere Informationen finden Sie unter Informationen zum Dienstverbindungspunkt.

Diese Konfigurationen gelten für den Server, der den Dienstverbindungspunkt hostet, sowie für alle Firewalls zwischen diesem Server und dem Internet. Zulassen der Kommunikation über ausgehenden HTTPS-Port TCP 443 an die Internetspeicherorte.

Der Dienstverbindungspunkt unterstützt die Verwendung eines Webproxys mit oder ohne Authentifizierung, um diese Speicherorte zu verwenden. Weitere Informationen finden Sie unter Proxyserverunterstützung.

Wenn der Configuration Manager-Standort keine Verbindung mit den erforderlichen Endpunkten für einen Clouddienst herstellen kann, wird die kritische Statusmeldungs-ID 11488 ausgelöst. Wenn keine Verbindung mit dem Dienst hergestellt werden kann, ändert sich der SMS_SERVICE_CONNECTOR Komponentenstatus in Kritisch. Zeigen Sie den detaillierten Status im Knoten Komponentenstatus der Configuration Manager-Konsole an.

Ab Version 2010 überprüft der Dienstverbindungspunkt wichtige Internetendpunkte für die Mandantenanfügung. Diese Überprüfungen helfen sicherzustellen, dass die mit der Cloud verbundenen Dienste verfügbar sind. Es hilft Ihnen auch bei der Problembehandlung, indem schnell ermittelt wird, ob die Netzwerkkonnektivität ein Problem ist. Weitere Informationen finden Sie unter Überprüfen des Internetzugriffs.

Die spezifischen URLs, die für den Dienstverbindungspunkt erforderlich sind, variieren je nach Configuration Manager-Feature:

Tipp

Der Dienstverbindungspunkt verwendet den Microsoft Intune-Dienst, wenn er eine Verbindung mit oder manage.microsoft.comherstelltgo.microsoft.com. Es gibt ein bekanntes Problem, bei dem beim Intune-Connector Konnektivitätsprobleme auftreten, wenn das Baltimore CyberTrust-Stammzertifikat nicht installiert, abgelaufen ist oder auf dem Dienstverbindungspunkt beschädigt ist. Weitere Informationen finden Sie unter Dienstverbindungspunkt lädt keine Updates herunter.

Updates und Wartung

Weitere Informationen finden Sie unter Updates und Wartung.

Tipp

Aktivieren Sie diese Endpunkte für die VerwaltungserkenntnisseregelVerbinden des Standorts mit der Microsoft-Cloud für Configuration Manager-Updates.

  • *.akamaiedge.net

  • *.akamaitechnologies.com

  • *.manage.microsoft.com

  • go.microsoft.com

  • download.microsoft.com

  • download.windowsupdate.com

  • download.visualstudio.microsoft.com

  • sccmconnected-a01.cloudapp.net

  • definitionupdates.microsoft.com

  • configmgrbits.azureedge.net

    Wichtig

    Dieser Azure-Endpunkt unterstützt nur TLS 1.2 mit bestimmten Verschlüsselungssammlungen. Stellen Sie sicher, dass Ihre Umgebung diese Azure-Konfigurationen unterstützt. Weitere Informationen finden Sie unter Azure Front Door: Häufig gestellte Fragen zur TLS-Konfiguration.

  • cmbitsstore.blob.core.windows.net

  • ceuswatcab01.blob.core.windows.net

  • ceuswatcab02.blob.core.windows.net

  • eaus2watcab01.blob.core.windows.net

  • eaus2watcab02.blob.core.windows.net

  • weus2watcab01.blob.core.windows.net

  • weus2watcab02.blob.core.windows.net

  • cmbitsstore.blob.core.windows.net

  • umwatsonc.events.data.microsoft.com

  • *-umwatsonc.events.data.microsoft.com

Windows-Wartung

Weitere Informationen finden Sie unter Verwalten von Windows als Dienst.

  • download.microsoft.com

  • https://go.microsoft.com/fwlink/?LinkID=619849

  • dl.delivery.mp.microsoft.com

Azure-Dienste

Weitere Informationen finden Sie unter Konfigurieren von Azure-Diensten für die Verwendung mit Configuration Manager.

  • management.azure.com (Öffentliche Azure-Cloud)
  • management.usgovcloudapi.net (Azure US Government-Cloud)

Co-Management

Wenn Sie Windows-Geräte bei Microsoft Intune für die Co-Verwaltung registrieren, stellen Sie sicher, dass diese Geräte auf die für Intune erforderlichen Endpunkte zugreifen können. Weitere Informationen finden Sie unter Netzwerkendpunkte für Microsoft Intune.

Microsoft Store für Unternehmen

Wenn Sie Configuration Manager in den Microsoft Store für Unternehmen integrieren, stellen Sie sicher, dass der Dienstverbindungspunkt und die Zielgeräte auf den Clouddienst zugreifen können. Weitere Informationen finden Sie unter Proxykonfiguration im Microsoft Store für Unternehmen.

Übermittlungsoptimierung

Wenn Sie die Übermittlungsoptimierung verwenden, müssen Clients mit ihrem Clouddienst kommunizieren: *.do.dsp.mp.microsoft.com

Verteilungspunkte, die Microsoft Connected Cache unterstützen, erfordern auch diese Endpunkte.

Weitere Informationen finden Sie in den folgenden Artikeln:

Clouddienste

Weitere Informationen zum Cloud management Gateway (CMG) finden Sie unter Planen von CMG.

In diesem Abschnitt werden die folgenden Features behandelt:

  • Einrichten des Cloud-Management-Gateways (CMG)

  • Microsoft Entra-Integration

  • Microsoft Entra ID-basierte Ermittlung

  • Cloudverteilungspunkt (Cloud Distribution Point, CDP)

    Hinweis

    Der cloudbasierte Verteilungspunkt (CDP) ist veraltet. Ab Version 2107 können Sie keine neuen CDP-Instanzen erstellen. Um Inhalte für internetbasierte Geräte bereitzustellen, aktivieren Sie das CMG zum Verteilen von Inhalten.

In den folgenden Abschnitten werden die Endpunkte nach Rolle aufgelistet. Einige Endpunkte verweisen auf einen Dienst durch <prefix>, bei dem es sich um den Präfixnamen des CMG handelt. Wenn Ihr CMG beispielsweise ist GraniteFalls.WestUS.CloudApp.Azure.Com, ist der tatsächliche Speicherendpunkt GraniteFalls.blob.core.windows.net.

Tipp

So klären Sie einige Begriffe:

  • CMG-Dienstname: Der allgemeine Name (Common Name, CN) des CMG-Serverauthentifizierungszertifikats. Clients und die CMG-Verbindungspunkt-Standortsystemrolle kommunizieren mit diesem Dienstnamen. Zum Beispiel GraniteFalls.contoso.com oder GraniteFalls.WestUS.CloudApp.Azure.Com.

  • CMG-Bereitstellungsname: Der erste Teil des Dienstnamens sowie der Azure-Standort für die Clouddienstbereitstellung. Die Clouddienst-Manager-Komponente des Dienstverbindungspunkts verwendet diesen Namen bei der Bereitstellung des CMG in Azure. Der Bereitstellungsname befindet sich immer in einer Azure-Domäne. Der Azure-Standort hängt von der Bereitstellungsmethode ab, z. B.:

    • VM-Skalierungsgruppe: GraniteFalls.WestUS.CloudApp.Azure.Com
    • Klassische Bereitstellung: GraniteFalls.CloudApp.Net

In diesem Artikel werden Beispiele mit einer VM-Skalierungsgruppe als empfohlene Bereitstellungsmethode in Version 2107 und höher verwendet. Wenn Sie eine klassische Bereitstellung verwenden, beachten Sie den Unterschied, wenn Sie diesen Artikel lesen und den Internetzugriff konfigurieren.

Dienstverbindungspunkt für Clouddienste

Damit Configuration Manager den CMG-Dienst in Azure bereitstellen kann, benötigt der Dienstverbindungspunkt Zugriff auf:

  • Bestimmte Azure-Endpunkte, die je nach Konfiguration je nach Umgebung unterschiedlich sind. Configuration Manager speichert diese Endpunkte in der Standortdatenbank. Fragen Sie die AzureEnvironments-Tabelle in SQL Server nach der Liste der Azure-Endpunkte ab.

  • Azure-Dienste:

    • management.azure.com (Öffentliche Azure-Cloud)
    • management.usgovcloudapi.net (Azure US Government-Cloud)
  • Für die Microsoft Entra-Benutzerermittlung: Microsoft Graph-Endpunkt https://graph.microsoft.com/

CMG-Verbindungspunkt für Clouddienste

Der CMG-Verbindungspunkt benötigt Zugriff auf die folgenden Endpunkte:

Typ Öffentliche Azure-Cloud Azure US Government-Cloud
Dienstname <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
Speicherendpunkt 1 <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
Speicherendpunkt 2 <prefix>.table.core.windows.net <prefix>.table.core.usgovcloudapi.net
Schlüsseltresor <prefix>.vault.azure.net <prefix>.vault.usgovcloudapi.net

Das CMG-Verbindungspunkt-Standortsystem unterstützt die Verwendung eines Webproxys. Weitere Informationen zum Konfigurieren dieser Rolle für einen Proxy finden Sie unter Proxyserverunterstützung.

Der CMG-Verbindungspunkt muss nur eine Verbindung mit den CMG-Dienstendpunkten herstellen. Sie benötigt keinen Zugriff auf andere Azure-Endpunkte.

Configuration Manager-Client für Clouddienste

Jeder Configuration Manager-Client, der mit einem CMG kommunizieren muss, benötigt Zugriff auf die folgenden Endpunkte:

Typ Öffentliche Azure-Cloud Azure US Government-Cloud
Bereitstellungsname <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
Speicherendpunkt <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
Microsoft Entra-Endpunkt login.microsoftonline.com login.microsoftonline.us

Configuration Manager-Konsole für Clouddienste

Jedes Gerät mit der Configuration Manager-Konsole benötigt Zugriff auf die folgenden Endpunkte:

Typ Öffentliche Azure-Cloud Azure US Government-Cloud
Microsoft Entra-Endpunkte login.microsoftonline.com
aadcdn.msauth.net
aadcdn.msftauth.net
login.microsoftonline.us

Softwareupdates

Erlauben Sie dem aktiven Softwareupdatepunkt den Zugriff auf die folgenden Endpunkte, damit WSUS und automatische Updates mit dem Microsoft Update-Clouddienst kommunizieren können:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • http://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://ntservicepack.microsoft.com

Weitere Informationen zu Softwareupdates finden Sie unter Planen von Softwareupdates.

Intranetfirewall

In den folgenden Fällen müssen Sie möglicherweise Endpunkte zu einer Firewall hinzufügen, die sich zwischen zwei Standortsystemen befindet:

  • Wenn untergeordnete Standorte über einen Softwareupdatepunkt verfügen
  • Wenn an einem Standort ein aktiver internetbasierter Softwareupdatepunkt vorhanden ist

Softwareupdatepunkt am untergeordneten Standort

  • http://<FQDN for software update point on child site>

  • https://<FQDN for software update point on child site>

  • http://<FQDN for software update point on parent site>

  • https://<FQDN for software update point on parent site>

Verwalten von Microsoft 365 Apps

Hinweis

Ab dem 21. April 2020 wird Office 365 ProPlus in Microsoft 365 Apps for Enterprise umbenannt. Weitere Informationen finden Sie unter Namensänderung für Office 365 ProPlus. Möglicherweise werden in der Configuration Manager-Konsole und der unterstützenden Dokumentation weiterhin Verweise auf den alten Namen angezeigt, während die Konsole aktualisiert wird.

Wenn Sie Configuration Manager zum Bereitstellen und Aktualisieren von Microsoft 365 Apps for Enterprise verwenden, lassen Sie die folgenden Endpunkte zu:

  • officecdn.microsoft.com zum Synchronisieren des Softwareupdatepunkts für Microsoft 365 Apps for Enterprise-Clientupdates

  • config.office.com , um benutzerdefinierte Konfigurationen für Microsoft 365 Apps for Enterprise-Bereitstellungen zu erstellen

  • https://clients.config.office.net und https://go.microsoft.com/fwlink/?linkid=2190568 zur Unterstützung der Bereitstellung von Updates für Microsoft 365 Apps for Enterprise

  • contentstorage.osi.office.net zur Unterstützung der Auswertung der Office-Add-In-Bereitschaft

Ihr Standortserver der obersten Ebene benötigt Zugriff auf den folgenden Endpunkt, um die Microsoft Apps 365-Bereitschaftsdatei herunterzuladen:

  • Ab dem 2. März 2021: https://omex.cdn.office.net/mirrored/sccmreadiness/SOT_SCCM_AddinReadiness.CAB
    • Standort vor dem 2. März 2021: https://contentstorage.osi.office.net/sccmreadinessppe/sot_sccm_addinreadiness.cab

Hinweis

Der Speicherort dieser Datei ändert sich am 2. März 2021. Weitere Informationen finden Sie unter Änderung des Downloadspeicherorts für die Bereitschaftsdatei für Microsoft 365-Apps.

Configuration Manager-Konsole

Computer mit der Configuration Manager-Konsole benötigen Zugriff auf die folgenden Internetendpunkte für bestimmte Features:

Hinweis

Damit Pushbenachrichtigungen von Microsoft in der Konsole angezeigt werden, benötigt der Dienstverbindungspunkt Zugriff auf configmgrbits.azureedge.net. Es benötigt auch Zugriff auf diesen Endpunkt für Updates und Wartung, sodass Sie ihn möglicherweise bereits zugelassen haben.

Konsoleninternes Feedback

Lassen Sie auf dem Computer, auf dem Sie die Konsole ausführen, auf die folgenden Internetendpunkte zugreifen, um Diagnosedaten an Microsoft zu senden:

  • petrol.office.microsoft.com

  • ceuswatcab01.blob.core.windows.net

  • ceuswatcab02.blob.core.windows.net

  • eaus2watcab01.blob.core.windows.net

  • eaus2watcab02.blob.core.windows.net

  • weus2watcab01.blob.core.windows.net

  • weus2watcab02.blob.core.windows.net

  • umwatsonc.events.data.microsoft.com

  • *-umwatsonc.events.data.microsoft.com

Weitere Informationen zu diesem Feature finden Sie unter Produktfeedback.

Community-Arbeitsbereich

Knoten "Dokumentation"

Weitere Informationen zu diesem Konsolenknoten finden Sie unter Verwenden der Configuration Manager-Konsole.

  • https://aka.ms

  • https://raw.githubusercontent.com

Community-Hub

Weitere Informationen zu diesem Feature finden Sie unter Community Hub.

  • https://github.com

  • https://communityhub.microsoft.com

Mandantenanfügung

Weitere Informationen finden Sie unter Aktivieren der Mandantenanfügung.

  • https://aka.ms/configmgrgateway

  • https://*.manage.microsoft.com für Azure Public Cloud-Kunden

  • https://*.manage.microsoft.us für US Government Cloud-Kunden mit Version 2107 oder höher

  • https://dc.services.visualstudio.com

Der Dienstverbindungspunkt stellt eine lange ausgehende Verbindung mit dem Benachrichtigungsdienst her, der auf gehostet wird https://*.manage.microsoft.com. Vergewissern Sie sich, dass für den für den Dienstverbindungspunkt verwendeten Proxy kein Timeout für ausgehende Verbindungen auftritt. Es werden drei Minuten für ausgehende Verbindungen mit diesem Internetendpunkt empfohlen.

Wenn Ihre Umgebung über Proxyregeln verfügt, die nur bestimmte Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) oder OCSP-Überprüfungsspeicherorte (Online Certificate Status Protocol) zulassen, lassen Sie auch die folgenden CRL- und OCSP-URLs zu:

  • http://crl3.digicert.com
  • http://crl4.digicert.com
  • http://ocsp.digicert.com
  • http://www.d-trust.net
  • http://root-c3-ca2-2009.ocsp.d-trust.net
  • http://crl.microsoft.com
  • http://oneocsp.microsoft.com
  • http://ocsp.msocsp.com
  • http://www.microsoft.com/pkiops

Endpunktanalysen

Weitere Informationen finden Sie unter Proxykonfiguration für die Endpunktanalyse.

Endpunkte, die für von Configuration Manager verwaltete Geräte benötigt werden

Von Configuration Manager verwaltete Geräte senden Daten über den Connector für die Rolle „Configuration Manager“ an Intune und benötigen keinen direkten Zugriff auf die öffentliche Cloud von Microsoft.

Endpunkt Funktion
https://graph.windows.net Dient zum automatischen Abrufen von Einstellungen beim Anfügen Ihrer Hierarchie an die Serverrolle Endpoint Analytics in Configuration Manager. Weitere Informationen finden Sie unter Konfigurieren des Proxys für einen Standortsystemserver.
https://*.manage.microsoft.com Wird nur zum Synchronisieren von Gerätesammlungen und Geräten mit Der Endpunktanalyse auf der Configuration Manager-Serverrolle verwendet. Weitere Informationen finden Sie unter Konfigurieren des Proxys für einen Standortsystemserver.

Endpunkte für von Intune verwaltete Geräte erforderlich

Damit Geräte für die Endpunktanalyse registriert werden können, müssen sie die erforderlichen Funktionsdaten an die öffentliche Cloud von Microsoft senden. Endpoint Analytics verwendet den Windows-Client und die Komponente Windows Server Connected User Experiences and Telemetry (DiagTrack), um die Daten von mit Intune verwalteten Geräten zu sammeln. Stellen Sie sicher, dass der Dienst Benutzererfahrung und Telemetrie im verbundenen Modus auf dem Gerät ausgeführt wird.

Endpunkt Funktion
https://*.events.data.microsoft.com Wird von mit Intune verwalteten Geräten verwendet, um erforderliche Funktionsdaten an den Endpunkt für die Intune-Datensammlung zu senden.

Asset Intelligence

Wenn Sie Asset Intelligence verwenden, lassen Sie die Synchronisierung der folgenden Endpunkte für den Dienst zu:

  • https://sc.microsoft.com
  • https://ssu2.manage.microsoft.com

Bereitstellen von Microsoft Edge

Das Gerät, auf dem die Configuration Manager-Konsole ausgeführt wird, benötigt Zugriff auf die folgenden Endpunkte für die Bereitstellung von Microsoft Edge:

Standort Verwendung
https://aka.ms/cmedgeapi Informationen zu Releases von Microsoft Edge
https://edgeupdates.microsoft.com/api/products?view=enterprise Informationen zu Releases von Microsoft Edge
http://dl.delivery.mp.microsoft.com Inhalt für Microsoft Edge-Releases

Externe Benachrichtigungen

Weitere Informationen finden Sie unter Externe Benachrichtigungen.

Der Dienstverbindungspunkt muss mit dem Benachrichtigungsdienst kommunizieren, z. B. Azure Logic Apps. Der Zugriffsendpunkt für die Logik-App hat in der Regel das folgende Format: https://*.<RegionName>.logic.azure.com:443. Beispiel: https://prod1.westus2.logic.azure.com:443

Verwenden Sie den folgenden Prozess, um den Zugriffsendpunkt für die Logik-App sowie die zugehörigen IP-Adressen abzurufen:

  1. Wählen Sie im Azure-Portal unter Logic Apps die Logik-App für Ihre Benachrichtigung aus. Weitere Informationen finden Sie unter Verwalten von Logik-Apps im Azure-Portal.
  2. Wählen Sie im Menü der App im Abschnitt Einstellungen die Option Eigenschaften aus.
  3. Zeigen Sie die Werte für den Access-Endpunkt und die IP-Adressen des Access-Endpunkts an, oder kopieren Sie sie.

Öffentliche Microsoft-IP-Adressen

Weitere Informationen zu den Microsoft-IP-Adressbereichen finden Sie unter Öffentlicher MICROSOFT-IP-Adressraum. Diese Adressen werden regelmäßig aktualisiert. Es gibt keine Granularität nach Dienst, jede IP-Adresse in diesen Bereichen kann verwendet werden.

Nächste Schritte