Netzwerkendpunkte für Microsoft Intune

Auf dieser Seite werden IP-Adressen und Porteinstellungen aufgelistet, die für Proxyeinstellungen in Ihren Intune-Bereitstellungen benötigt werden.

Da Intune ein Clouddienst ist, ist keine lokale Infrastruktur wie etwa Server oder Gateways erforderlich.

Zugriff für verwaltete Geräte

Sie müssen die Kommunikation für Intune aktivieren, um Geräte hinter Firewalls und Proxyservern zu verwalten.

Hinweis

Die Informationen in diesem Abschnitt gelten auch für den Microsoft Intune Certificate Connector. Der Connector hat die gleichen Netzwerkanforderungen wie verwaltete Geräte.

  • Der Proxyserver muss sowohl HTTP (80) als auch HTTPS (443) unterstützen, weil Intune-Clients beide Protokolle verwenden. Windows Information Protection verwendet Port 444.
  • Bei einigen Aufgaben (wie dem Herunterladen von Softwareupdates für den klassischen PC-Agent) erfordert Intune Zugriff auf nicht authentifizierte Proxyserver auf „manage.microsoft.com“.

Hinweis

Die Überprüfung des SSL-Datenverkehrs wird für den Endpunkt „manage.microsoft.com“ nicht unterstützt.

Sie können die Proxyservereinstellungen auf einzelnen Clientcomputern festlegen. Sie können zudem Gruppenrichtlinieneinstellungen verwenden, um die Einstellungen für alle Clientcomputer hinter einem bestimmten Proxyserver anzupassen.

Für verwaltete Geräte sind Konfigurationen erforderlich, über die Alle Benutzer über Firewalls auf Dienste zugreifen können.

Um die Konfiguration von Diensten über Firewalls zu vereinfachen, haben wir das Onboarding für den Office 365-Endpunktdienst vorgenommen. Zu diesem Zeitpunkt wird über ein PowerShell-Skript auf die Intune-Dienste zugegriffen. Es gibt weitere abhängige Dienste für Intune die bereits als Teil des M365-Diensts abgedeckt und als "erforderlich" gekennzeichnet sind. Dienste, die bereits von M365 abgedeckt werden, sind nicht im Skript enthalten, um Duplikate zu vermeiden. Mithilfe des folgenden PowerShell-Skripts können Sie die Liste der IP-Adressen für den Intune-Dienst abrufen. Dies enthält dieselbe Liste wie die Subnetze, die in der nachstehenden IP-Adresstabelle angegeben sind.

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips

Mithilfe des folgenden PowerShell-Skripts können Sie die Liste der FQDNs abrufen, die von Intune und Autopilot verwendet werden.

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls

Dies bietet eine praktische Methode zum Auflisten und Überprüfen aller Dienste, die von Intune und Autopilot an einem Ort benötigt werden. Sie benötigen auch FQDNs, die im Rahmen der M365-Anforderungen abgedeckt werden. Als Referenz ist dies die Liste der zurückgegebenen URLs und der Dienst, an den sie gebunden sind.

FQDN Zugeordneter Dienst
*.manage.microsoft.com Intune Service
manage.microsoft.com Intune Service
*.delivery.mp.microsoft.com Übermittlungsoptimierung
*.prod.do.dsp.mp.microsoft.com Übermittlungsoptimierung
*.update.microsoft.com Übermittlungsoptimierung
*.windowsupdate.com Übermittlungsoptimierung
emdl.ws.microsoft.com Übermittlungsoptimierung
tsfe.trafficshaping.dsp.mp.microsoft.com Übermittlungsoptimierung
time.windows.com NTP-Synchronisierung
www.msftconnecttest.com NTP-Synchronisierung
www.msftncsi.com NTP-Synchronisierung
*.s-microsoft.com Windows Notifications & Store
clientconfig.passport.net Windows Notifications & Store
windowsphone.com Windows Notifications & Store
approdimedatahotfix.azureedge.net Skripts für & Win32-Apps
approdimedatapri.azureedge.net Skripts für & Win32-Apps
approdimedatasec.azureedge.net Skripts für & Win32-Apps
euprodimedatahotfix.azureedge.net Skripts für & Win32-Apps
euprodimedatapri.azureedge.net Skripts für & Win32-Apps
euprodimedatasec.azureedge.net Skripts für & Win32-Apps
naprodimedatahotfix.azureedge.net Skripts für & Win32-Apps
naprodimedatapri.azureedge.net Skripts für & Win32-Apps
swda01-mscdn.azureedge.net Skripts für & Win32-Apps
swda02-mscdn.azureedge.net Skripts für & Win32-Apps
swdb01-mscdn.azureedge.net Skripts für & Win32-Apps
swdb02-mscdn.azureedge.net Skripts für & Win32-Apps
swdc01-mscdn.azureedge.net Skripts für & Win32-Apps
swdc02-mscdn.azureedge.net Skripts für & Win32-Apps
swdd01-mscdn.azureedge.net Skripts für & Win32-Apps
swdd02-mscdn.azureedge.net Skripts für & Win32-Apps
swdin01-mscdn.azureedge.net Skripts für & Win32-Apps
swdin02-mscdn.azureedge.net Skripts für & Win32-Apps
*.notify.windows.com Pushbenachrichtigungen
*.wns.windows.com Pushbenachrichtigungen
*.dl.delivery.mp.microsoft.com Übermittlungsoptimierung
*.do.dsp.mp.microsoft.com Übermittlungsoptimierung
*.emdl.ws.microsoft.com Übermittlungsoptimierung
ekcert.spserv.microsoft.com Autopilot Self-deploy
ekop.intel.com Autopilot Self-deploy
ftpm.amd.com Autopilot Self-deploy
*.itunes.apple.com Apple Geräteverwaltung
*.mzstatic.com Apple Geräteverwaltung
*.phobos.apple.com Apple Geräteverwaltung
5-courier.push.apple.com Apple Geräteverwaltung
ax.itunes.apple.com.edgesuite.net Apple Geräteverwaltung
itunes.apple.com Apple Geräteverwaltung
ocsp.apple.com Apple Geräteverwaltung
phobos.apple.com Apple Geräteverwaltung
phobos.itunes-apple.com.akadns.net Apple Geräteverwaltung
intunecdnpeasd.azureedge.net
*.channelservices.microsoft.com Remotehilfe
*.go-mpulse.net Remotehilfe
*.infra.lync.com Remotehilfe
*.resources.lync.com Remotehilfe
*.support.services.microsoft.com Remotehilfe
*.trouter.skype.com Remotehilfe
*.vortex.data.microsoft.com Remotehilfe
edge.skype.com Remotehilfe
remoteassistanceprodacs.communication.azure.com Remotehilfe
lgmsapeweu.blob.core.windows.net Diagnose erfassen

In den folgenden Tabellen sind die Ports und Dienste aufgeführt, auf die der Intune-Client zugreift:

Domänen IP-Adresse
login.microsoftonline.com
*.officeconfig.msocdn.com
config.office.com
graph.windows.net
enterpriseregistration.windows.net
Weitere Informationen finden Sie unter URLs und IP-Adressbereiche von Office 365
*.manage.microsoft.com
manage.microsoft.com
104.46.162.96/27
13.67.13.176/28
13.67.15.128/27
13.69.231.128/28
13.69.67.224/28
13.70.78.128/28
13.70.79.128/27
13.71.199.64/28
13.73.244.48/28
13.74.111.192/27
13.77.53.176/28
13.86.221.176/28
13.89.174.240/28
13.89.175.192/28
20.189.172.160/27
20.189.229.0/25
20.191.167.0/25
20.37.153.0/24
20.37.192.128/25
20.38.81.0/24
20.41.1.0/24
20.42.1.0/24
20.42.130.0/24
20.42.224.128/25
20.43.129.0/24
20.44.19.224/27
20.49.93.160/27
20.192.174.216/29
20.192.159.40/29
20.204.193.12/30
20.204.193.10/31
40.119.8.128/25
40.67.121.224/27
40.70.151.32/28
40.71.14.96/28
40.74.25.0/24
40.78.245.240/28
40.78.247.128/27
40.79.197.64/27
40.79.197.96/28
40.80.180.208/28
40.80.180.224/27
40.80.184.128/25
40.82.248.224/28
40.82.249.128/25
52.150.137.0/25
52.162.111.96/28
52.168.116.128/27
52.182.141.192/27
52.236.189.96/27
52.240.244.160/27

Netzwerkanforderungen für PowerShell-Skripts und Win32-Apps

Wenn Sie Intune zum Bereitstellen von PowerShell-Skripts oder Win32-Apps verwenden, müssen Sie auch Zugriff auf Endpunkte gewähren, in denen sich Ihr Mandant derzeit befindet.

Wenn Sie Ihren Mandantenstandort (oder eine Azure-Skalierungseinheit) suchen möchten, melden Sie sich beim Microsoft Endpoint Manager Admin Center an, und wählen Sie Mandantenverwaltung>Mandantendetails aus. Der Speicherort befindet sich unter Mandantenstandort, z. B. „Nordamerika 0501“ oder „Europa 0202“. Suchen Sie in der folgenden Tabelle nach der passenden Nummer. Diese Zeile gibt Aufschluss über den Speichernamen und die CDN-Endpunkte, auf die der Zugriff gewährt werden soll. Die Zeilen unterscheiden sich durch die geografische Region, wie durch die ersten beiden Buchstaben in den Namen (na = Nordamerika, eu = Europa, ap = Asien-Pazifik) angegeben. Ihr Mandantenstandort ist eine dieser drei Regionen, obwohl der tatsächliche geografische Standort Ihrer Organisation woanders liegen kann.

Azure-Skalierungseinheit Speichername CDN
AMSUA0601
AMSUA0602
AMSUA0101
AMSUA0102
AMSUA0201
AMSUA0202
AMSUA0401
AMSUA0402
AMSUA0501
AMSUA0502
AMSUA0701
AMSUA0702
AMSUA0801
AMSUA0901
naprodimedatapri
naprodimedatasec
naprodimedatahotfix
naprodimedatapri.azureedge.net
naprodimedatasec.azureedge.net
naprodimedatahotfix.azureedge.net
AMSUB0101
AMSUB0102
AMSUB0201
AMSUB0202
AMSUB0301
AMSUB0302
AMSUB0501
AMSUB0502
AMSUB0601
AMSUB0701
euprodimedatapri
euprodimedatasec
euprodimedatahotfix
euprodimedatapri.azureedge.net
euprodimedatasec.azureedge.net
euprodimedatahotfix.azureedge.net
AMSUC0101
AMSUC0201
AMSUC0301
AMSUC0501
AMSUD0101
approdimedatapri
approdimedatasec
approdimedatahotifx
approdimedatapri.azureedge.net
approdimedatasec.azureedge.net
approdimedatahotfix.azureedge.net

Windows-Pushbenachrichtigungsdienste (WNS)

Bei von Intune verwalteten Windows-Geräten, die mithilfe von mobiler Geräteverwaltung verwaltet werden, müssen für Geräteaktionen und andere sofortige Aktivitäten die Windows-Pushbenachrichtigungsdienste verwendet werden. Weitere Informationen finden Sie unter Zulassen von Windows Notification-Datenverkehr durch Unternehmensfirewalls.

Übermittlungsoptimierung bei Portanforderungen

Portanforderungen

Bei Peer-zu-Peer-Datenverkehr verwendet die Übermittlungsoptimierung 7680 für TCP/IP oder 3544 für NAT-Traversal (optional Teredo). Für die Client-Dienst-Kommunikation verwendet sie HTTP oder HTTPS über Port 80/443.

Proxyanforderungen

Um die Übermittlungsoptimierung nutzen zu können, müssen Sie Bytebereichsanforderungen zulassen. Weitere Informationen finden Sie unter Proxyanforderungen für Windows Update.

Firewallanforderungen

Lassen Sie die folgenden Hostnamen durch Ihre Firewall zur Unterstützung der Übermittlungsoptimierung zu. Für die Kommunikation zwischen Clients und dem Clouddienst zur Übermittlungsoptimierung:

  • *.do.dsp.mp.microsoft.com

Für Metadaten der Übermittlungsoptimierung:

  • *.dl.delivery.mp.microsoft.com
  • *.emdl.ws.microsoft.com

Informationen zum Netzwerk von Apple-Geräten

Verwendung für Hostname (IP-Adresse/-Subnetz) Protokoll Port
Abrufen und Anzeigen von Inhalten von Apple-Servern itunes.apple.com
*.itunes.apple.com
*.mzstatic.com
*.phobos.apple.com
*.phobos.itunes-apple.com.akadns.net
HTTP 80
Kommunikation mit APNs-Servern #-courier.push.apple.com
# ist eine zufällige Zahl zwischen 0 und 50.
TCP 5223 und 443
Verschiedene Funktionen, z.B. Zugriff auf das Internet, den iTunes Store, den Mac App Store, iCloud, Messaging usw. phobos.apple.com
ocsp.apple.com
ax.itunes.apple.com
ax.itunes.apple.com.edgesuite.net
HTTP/HTTPS 80 oder 443

Weitere Informationen finden Sie unter Verwendung von Apple-Produkten in Unternehmensnetzwerken, Von Apple-Softwareprodukten verwendete TCP- und UDP-Ports, Informationen zu Hostverbindungen für macOS-, iOS/iPadOS- und iTunes-Server und iTunes-Hintergrundprozessen und Wenn Ihre macOS- und iOS/iPadOS-Clients keine Apple Push-Benachrichtigungen empfangen.

Android-Portinformationen

Je nachdem, wie Sie Android-Geräte verwalten möchten, müssen Sie möglicherweise Google Android Enterprise-Ports öffnen und/oder Android-Pushbenachrichtigungen aktivieren. Weitere Informationen zu den unterstützten Verwaltungsmethoden für Android finden Sie in der Dokumentation zur Android-Registrierung.

Hinweis

Da Google Mobile Services in China nicht verfügbar ist, können von Intune verwaltete Geräte in China keine Features nutzen, die Google Mobile Services erfordern. Zu diesen Features gehören: Google Play Protect-Funktionen wie der SafetyNet-Gerätenachweis, die Verwaltung von Apps über den Google Play-Store und Android Enterprise-Funktionen (siehe Google-Dokumentation). Darüber hinaus erfolgt die Kommunikation mit dem Microsoft Intune-Dienst in der Intune-Unternehmensportal-App für Android über Google Mobile Services. Da Google Play Services in China nicht verfügbar ist, kann es bis zu 8 Stunden dauern, bis einige Aufgaben abgeschlossen sind. Weitere Informationen finden Sie in diesem Artikel.

Android (AOSP)

Verwendung für Hostname (IP-Adresse/-Subnetz) Protokoll Port
Herunterladen und Installieren von Microsoft Intune- und Microsoft Authenticator-Apps intunecdnpeasd.azureedge.net HTTPS 443

Google Android Enterprise

Google stellt Dokumentationen zu erforderlichen Netzwerkports und Zielhostnamen unter Android Enterprise Bluebook im Abschnitt Firewall bereit.

Android-Pushbenachrichtigungen

Intune nutzt Google Firebase Cloud Messaging (FCM) für Pushbenachrichtigungen, um Geräteaktionen und Check-ins auszulösen. Dies ist für den Android-Geräteadministrator und Android Enterprise erforderlich. Informationen zu den FCM-Netzwerkanforderungen finden Sie in Google unter FCM-Ports und Ihre Firewall.

Endpunktanalysen

Weitere Informationen zu den erforderlichen Endpunkten für die Endpunktanalyse finden Sie unter Proxykonfiguration.

URLs und IP-Adressbereiche für Office 365

Microsoft 365 – Überblick über die Netzwerkkonnektivität

Netzwerke für die Inhaltsübermittlung (Content Delivery Networks, CDNs)

Andere Endpunkte, die nicht im Office 365-Webdienst für IP-Adressen und URLs enthalten sind

Verwalten von Office 365-Endpunkten