Netzwerkendpunkte für Microsoft Intune
Auf dieser Seite werden IP-Adressen und Porteinstellungen aufgelistet, die für Proxyeinstellungen in Ihren Intune-Bereitstellungen benötigt werden.
Da Intune ein Clouddienst ist, ist keine lokale Infrastruktur wie etwa Server oder Gateways erforderlich.
Zugriff für verwaltete Geräte
Sie müssen die Kommunikation für Intune aktivieren, um Geräte hinter Firewalls und Proxyservern zu verwalten.
Hinweis
Die Informationen in diesem Abschnitt gelten auch für den Microsoft Intune Certificate Connector. Der Connector hat die gleichen Netzwerkanforderungen wie verwaltete Geräte.
- Der Proxyserver muss sowohl HTTP (80) als auch HTTPS (443) unterstützen, weil Intune-Clients beide Protokolle verwenden. Windows Information Protection verwendet Port 444.
- Bei einigen Aufgaben (wie dem Herunterladen von Softwareupdates für den klassischen PC-Agent) erfordert Intune Zugriff auf nicht authentifizierte Proxyserver auf „manage.microsoft.com“.
Hinweis
Die Überprüfung des SSL-Datenverkehrs wird für den Endpunkt „manage.microsoft.com“ nicht unterstützt.
Sie können die Proxyservereinstellungen auf einzelnen Clientcomputern festlegen. Sie können zudem Gruppenrichtlinieneinstellungen verwenden, um die Einstellungen für alle Clientcomputer hinter einem bestimmten Proxyserver anzupassen.
Für verwaltete Geräte sind Konfigurationen erforderlich, über die Alle Benutzer über Firewalls auf Dienste zugreifen können.
Um die Konfiguration von Diensten über Firewalls zu vereinfachen, haben wir das Onboarding für den Office 365-Endpunktdienst vorgenommen. Zu diesem Zeitpunkt wird über ein PowerShell-Skript auf die Intune-Dienste zugegriffen. Es gibt weitere abhängige Dienste für Intune die bereits als Teil des M365-Diensts abgedeckt und als "erforderlich" gekennzeichnet sind. Dienste, die bereits von M365 abgedeckt werden, sind nicht im Skript enthalten, um Duplikate zu vermeiden. Mithilfe des folgenden PowerShell-Skripts können Sie die Liste der IP-Adressen für den Intune-Dienst abrufen. Dies enthält dieselbe Liste wie die Subnetze, die in der nachstehenden IP-Adresstabelle angegeben sind.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips
Mithilfe des folgenden PowerShell-Skripts können Sie die Liste der FQDNs abrufen, die von Intune und Autopilot verwendet werden.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls
Dies bietet eine praktische Methode zum Auflisten und Überprüfen aller Dienste, die von Intune und Autopilot an einem Ort benötigt werden. Sie benötigen auch FQDNs, die im Rahmen der M365-Anforderungen abgedeckt werden. Als Referenz ist dies die Liste der zurückgegebenen URLs und der Dienst, an den sie gebunden sind.
| FQDN | Zugeordneter Dienst |
|---|---|
| *.manage.microsoft.com | Intune Service |
| manage.microsoft.com | Intune Service |
| *.delivery.mp.microsoft.com | Übermittlungsoptimierung |
| *.prod.do.dsp.mp.microsoft.com | Übermittlungsoptimierung |
| *.update.microsoft.com | Übermittlungsoptimierung |
| *.windowsupdate.com | Übermittlungsoptimierung |
| emdl.ws.microsoft.com | Übermittlungsoptimierung |
| tsfe.trafficshaping.dsp.mp.microsoft.com | Übermittlungsoptimierung |
| time.windows.com | NTP-Synchronisierung |
| www.msftconnecttest.com | NTP-Synchronisierung |
| www.msftncsi.com | NTP-Synchronisierung |
| *.s-microsoft.com | Windows Notifications & Store |
| clientconfig.passport.net | Windows Notifications & Store |
| windowsphone.com | Windows Notifications & Store |
| approdimedatahotfix.azureedge.net | Skripts für & Win32-Apps |
| approdimedatapri.azureedge.net | Skripts für & Win32-Apps |
| approdimedatasec.azureedge.net | Skripts für & Win32-Apps |
| euprodimedatahotfix.azureedge.net | Skripts für & Win32-Apps |
| euprodimedatapri.azureedge.net | Skripts für & Win32-Apps |
| euprodimedatasec.azureedge.net | Skripts für & Win32-Apps |
| naprodimedatahotfix.azureedge.net | Skripts für & Win32-Apps |
| naprodimedatapri.azureedge.net | Skripts für & Win32-Apps |
| swda01-mscdn.azureedge.net | Skripts für & Win32-Apps |
| swda02-mscdn.azureedge.net | Skripts für & Win32-Apps |
| swdb01-mscdn.azureedge.net | Skripts für & Win32-Apps |
| swdb02-mscdn.azureedge.net | Skripts für & Win32-Apps |
| swdc01-mscdn.azureedge.net | Skripts für & Win32-Apps |
| swdc02-mscdn.azureedge.net | Skripts für & Win32-Apps |
| swdd01-mscdn.azureedge.net | Skripts für & Win32-Apps |
| swdd02-mscdn.azureedge.net | Skripts für & Win32-Apps |
| swdin01-mscdn.azureedge.net | Skripts für & Win32-Apps |
| swdin02-mscdn.azureedge.net | Skripts für & Win32-Apps |
| *.notify.windows.com | Pushbenachrichtigungen |
| *.wns.windows.com | Pushbenachrichtigungen |
| *.dl.delivery.mp.microsoft.com | Übermittlungsoptimierung |
| *.do.dsp.mp.microsoft.com | Übermittlungsoptimierung |
| *.emdl.ws.microsoft.com | Übermittlungsoptimierung |
| ekcert.spserv.microsoft.com | Autopilot Self-deploy |
| ekop.intel.com | Autopilot Self-deploy |
| ftpm.amd.com | Autopilot Self-deploy |
| *.itunes.apple.com | Apple Geräteverwaltung |
| *.mzstatic.com | Apple Geräteverwaltung |
| *.phobos.apple.com | Apple Geräteverwaltung |
| 5-courier.push.apple.com | Apple Geräteverwaltung |
| ax.itunes.apple.com.edgesuite.net | Apple Geräteverwaltung |
| itunes.apple.com | Apple Geräteverwaltung |
| ocsp.apple.com | Apple Geräteverwaltung |
| phobos.apple.com | Apple Geräteverwaltung |
| phobos.itunes-apple.com.akadns.net | Apple Geräteverwaltung |
| intunecdnpeasd.azureedge.net | |
| *.channelservices.microsoft.com | Remotehilfe |
| *.go-mpulse.net | Remotehilfe |
| *.infra.lync.com | Remotehilfe |
| *.resources.lync.com | Remotehilfe |
| *.support.services.microsoft.com | Remotehilfe |
| *.trouter.skype.com | Remotehilfe |
| *.vortex.data.microsoft.com | Remotehilfe |
| edge.skype.com | Remotehilfe |
| remoteassistanceprodacs.communication.azure.com | Remotehilfe |
| lgmsapeweu.blob.core.windows.net | Diagnose erfassen |
In den folgenden Tabellen sind die Ports und Dienste aufgeführt, auf die der Intune-Client zugreift:
| Domänen | IP-Adresse |
|---|---|
| login.microsoftonline.com *.officeconfig.msocdn.com config.office.com graph.windows.net enterpriseregistration.windows.net |
Weitere Informationen finden Sie unter URLs und IP-Adressbereiche von Office 365 |
| *.manage.microsoft.com manage.microsoft.com |
104.46.162.96/27 13.67.13.176/28 13.67.15.128/27 13.69.231.128/28 13.69.67.224/28 13.70.78.128/28 13.70.79.128/27 13.71.199.64/28 13.73.244.48/28 13.74.111.192/27 13.77.53.176/28 13.86.221.176/28 13.89.174.240/28 13.89.175.192/28 20.189.172.160/27 20.189.229.0/25 20.191.167.0/25 20.37.153.0/24 20.37.192.128/25 20.38.81.0/24 20.41.1.0/24 20.42.1.0/24 20.42.130.0/24 20.42.224.128/25 20.43.129.0/24 20.44.19.224/27 20.49.93.160/27 20.192.174.216/29 20.192.159.40/29 20.204.193.12/30 20.204.193.10/31 40.119.8.128/25 40.67.121.224/27 40.70.151.32/28 40.71.14.96/28 40.74.25.0/24 40.78.245.240/28 40.78.247.128/27 40.79.197.64/27 40.79.197.96/28 40.80.180.208/28 40.80.180.224/27 40.80.184.128/25 40.82.248.224/28 40.82.249.128/25 52.150.137.0/25 52.162.111.96/28 52.168.116.128/27 52.182.141.192/27 52.236.189.96/27 52.240.244.160/27 |
Netzwerkanforderungen für PowerShell-Skripts und Win32-Apps
Wenn Sie Intune zum Bereitstellen von PowerShell-Skripts oder Win32-Apps verwenden, müssen Sie auch Zugriff auf Endpunkte gewähren, in denen sich Ihr Mandant derzeit befindet.
Wenn Sie Ihren Mandantenstandort (oder eine Azure-Skalierungseinheit) suchen möchten, melden Sie sich beim Microsoft Endpoint Manager Admin Center an, und wählen Sie Mandantenverwaltung>Mandantendetails aus. Der Speicherort befindet sich unter Mandantenstandort, z. B. „Nordamerika 0501“ oder „Europa 0202“. Suchen Sie in der folgenden Tabelle nach der passenden Nummer. Diese Zeile gibt Aufschluss über den Speichernamen und die CDN-Endpunkte, auf die der Zugriff gewährt werden soll. Die Zeilen unterscheiden sich durch die geografische Region, wie durch die ersten beiden Buchstaben in den Namen (na = Nordamerika, eu = Europa, ap = Asien-Pazifik) angegeben. Ihr Mandantenstandort ist eine dieser drei Regionen, obwohl der tatsächliche geografische Standort Ihrer Organisation woanders liegen kann.
| Azure-Skalierungseinheit | Speichername | CDN |
|---|---|---|
| AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901 |
naprodimedatapri naprodimedatasec naprodimedatahotfix |
naprodimedatapri.azureedge.net naprodimedatasec.azureedge.net naprodimedatahotfix.azureedge.net |
| AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701 |
euprodimedatapri euprodimedatasec euprodimedatahotfix |
euprodimedatapri.azureedge.net euprodimedatasec.azureedge.net euprodimedatahotfix.azureedge.net |
| AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUD0101 |
approdimedatapri approdimedatasec approdimedatahotifx |
approdimedatapri.azureedge.net approdimedatasec.azureedge.net approdimedatahotfix.azureedge.net |
Windows-Pushbenachrichtigungsdienste (WNS)
Bei von Intune verwalteten Windows-Geräten, die mithilfe von mobiler Geräteverwaltung verwaltet werden, müssen für Geräteaktionen und andere sofortige Aktivitäten die Windows-Pushbenachrichtigungsdienste verwendet werden. Weitere Informationen finden Sie unter Zulassen von Windows Notification-Datenverkehr durch Unternehmensfirewalls.
Übermittlungsoptimierung bei Portanforderungen
Portanforderungen
Bei Peer-zu-Peer-Datenverkehr verwendet die Übermittlungsoptimierung 7680 für TCP/IP oder 3544 für NAT-Traversal (optional Teredo). Für die Client-Dienst-Kommunikation verwendet sie HTTP oder HTTPS über Port 80/443.
Proxyanforderungen
Um die Übermittlungsoptimierung nutzen zu können, müssen Sie Bytebereichsanforderungen zulassen. Weitere Informationen finden Sie unter Proxyanforderungen für Windows Update.
Firewallanforderungen
Lassen Sie die folgenden Hostnamen durch Ihre Firewall zur Unterstützung der Übermittlungsoptimierung zu. Für die Kommunikation zwischen Clients und dem Clouddienst zur Übermittlungsoptimierung:
- *.do.dsp.mp.microsoft.com
Für Metadaten der Übermittlungsoptimierung:
- *.dl.delivery.mp.microsoft.com
- *.emdl.ws.microsoft.com
Informationen zum Netzwerk von Apple-Geräten
| Verwendung für | Hostname (IP-Adresse/-Subnetz) | Protokoll | Port |
|---|---|---|---|
| Abrufen und Anzeigen von Inhalten von Apple-Servern | itunes.apple.com *.itunes.apple.com *.mzstatic.com *.phobos.apple.com *.phobos.itunes-apple.com.akadns.net |
HTTP | 80 |
| Kommunikation mit APNs-Servern | #-courier.push.apple.com # ist eine zufällige Zahl zwischen 0 und 50. |
TCP | 5223 und 443 |
| Verschiedene Funktionen, z.B. Zugriff auf das Internet, den iTunes Store, den Mac App Store, iCloud, Messaging usw. | phobos.apple.com ocsp.apple.com ax.itunes.apple.com ax.itunes.apple.com.edgesuite.net |
HTTP/HTTPS | 80 oder 443 |
Weitere Informationen finden Sie unter Verwendung von Apple-Produkten in Unternehmensnetzwerken, Von Apple-Softwareprodukten verwendete TCP- und UDP-Ports, Informationen zu Hostverbindungen für macOS-, iOS/iPadOS- und iTunes-Server und iTunes-Hintergrundprozessen und Wenn Ihre macOS- und iOS/iPadOS-Clients keine Apple Push-Benachrichtigungen empfangen.
Android-Portinformationen
Je nachdem, wie Sie Android-Geräte verwalten möchten, müssen Sie möglicherweise Google Android Enterprise-Ports öffnen und/oder Android-Pushbenachrichtigungen aktivieren. Weitere Informationen zu den unterstützten Verwaltungsmethoden für Android finden Sie in der Dokumentation zur Android-Registrierung.
Hinweis
Da Google Mobile Services in China nicht verfügbar ist, können von Intune verwaltete Geräte in China keine Features nutzen, die Google Mobile Services erfordern. Zu diesen Features gehören: Google Play Protect-Funktionen wie der SafetyNet-Gerätenachweis, die Verwaltung von Apps über den Google Play-Store und Android Enterprise-Funktionen (siehe Google-Dokumentation). Darüber hinaus erfolgt die Kommunikation mit dem Microsoft Intune-Dienst in der Intune-Unternehmensportal-App für Android über Google Mobile Services. Da Google Play Services in China nicht verfügbar ist, kann es bis zu 8 Stunden dauern, bis einige Aufgaben abgeschlossen sind. Weitere Informationen finden Sie in diesem Artikel.
Android (AOSP)
| Verwendung für | Hostname (IP-Adresse/-Subnetz) | Protokoll | Port |
|---|---|---|---|
| Herunterladen und Installieren von Microsoft Intune- und Microsoft Authenticator-Apps | intunecdnpeasd.azureedge.net | HTTPS | 443 |
Google Android Enterprise
Google stellt Dokumentationen zu erforderlichen Netzwerkports und Zielhostnamen unter Android Enterprise Bluebook im Abschnitt Firewall bereit.
Android-Pushbenachrichtigungen
Intune nutzt Google Firebase Cloud Messaging (FCM) für Pushbenachrichtigungen, um Geräteaktionen und Check-ins auszulösen. Dies ist für den Android-Geräteadministrator und Android Enterprise erforderlich. Informationen zu den FCM-Netzwerkanforderungen finden Sie in Google unter FCM-Ports und Ihre Firewall.
Endpunktanalysen
Weitere Informationen zu den erforderlichen Endpunkten für die Endpunktanalyse finden Sie unter Proxykonfiguration.
Verwandte Themen
URLs und IP-Adressbereiche für Office 365
Microsoft 365 – Überblick über die Netzwerkkonnektivität
Netzwerke für die Inhaltsübermittlung (Content Delivery Networks, CDNs)
Andere Endpunkte, die nicht im Office 365-Webdienst für IP-Adressen und URLs enthalten sind