Puntos de conexión de red de Microsoft Intune

En esta página se enumeran las direcciones IP y los valores de puerto necesarios para la configuración del proxy en las implementaciones de Intune.

Como un servicio solo en la nube, Intune no requiere una infraestructura local como servidores o puertas de enlace.

Acceso para dispositivos administrados

Para administrar dispositivos que se encuentren detrás de firewalls y servidores proxy, debe habilitar la comunicación para Intune.

Nota:

La información de esta sección también se aplica a Microsoft Intune Certificate Connector. El conector tiene los mismos requisitos de red que los dispositivos administrados.

  • El servidor proxy debe ser compatible con HTTP (80) y HTTPS (443), ya que los clientes de Intune usan ambos protocolos. Windows Information Protection utiliza el puerto 444.
  • Para algunas tareas (como descargar actualizaciones de software para el agente de PC clásico), Intune necesita acceso de un servidor proxy no autenticado a manage.microsoft.com.

Nota:

La inspección del tráfico SSL no se admite en el punto de conexión "manage.microsoft.com".

Puede modificar la configuración del servidor proxy en equipos cliente individuales. También puede usar la opción de directiva de grupo para cambiar la configuración de todos los equipos cliente que se encuentran detrás de un servidor proxy especificado.

Los dispositivos administrados requieren configuraciones que dejen acceder a Todos los usuarios a los servicios a través de firewalls.

Para facilitar la configuración de servicios a través de firewalls, se ha incorporado con el servicio de punto de conexión de Office 365. En este momento, se accede a los servicios de Intune a través de un script de PowerShell. Hay otros servicios dependientes para Intune que ya están cubiertos como parte del servicio M365 y están marcados como "obligatorios". Los servicios ya cubiertos por M365 no se incluyen en el script para evitar la duplicación. Mediante el siguiente script de PowerShell, puede recuperar la lista de direcciones IP del servicio Intune. Esto proporciona la misma lista que las subredes indicadas en la tabla de direcciones IP siguiente.

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips

Mediante el siguiente script de PowerShell, puede recuperar la lista de FQDN usados por Intune y Autopilot.

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls

Esto proporciona un método práctico para enumerar y revisar todos los servicios necesarios para Intune y autopilot en una sola ubicación. También necesitará FQDN que se cubran como parte de los requisitos de M365. Como referencia, esta es la lista de direcciones URL devueltas y el servicio al que están asociados.

FQDN Servicio asociado
*.manage.microsoft.com servicio Intune
manage.microsoft.com servicio Intune
*.delivery.mp.microsoft.com Optimización de entrega
*.prod.do.dsp.mp.microsoft.com Optimización de entrega
*.update.microsoft.com Optimización de entrega
*.windowsupdate.com Optimización de entrega
emdl.ws.microsoft.com Optimización de entrega
tsfe.trafficshaping.dsp.mp.microsoft.com Optimización de entrega
time.windows.com Sincronización de NTP
www.msftconnecttest.com Sincronización de NTP
www.msftncsi.com Sincronización de NTP
*.s-microsoft.com Tienda de notificaciones de & Windows
clientconfig.passport.net Tienda de notificaciones de & Windows
windowsphone.com Tienda de notificaciones de & Windows
approdimedatahotfix.azureedge.net Aplicaciones Win32 de Scripts &
approdimedatapri.azureedge.net Aplicaciones Win32 de Scripts &
approdimedatasec.azureedge.net Aplicaciones Win32 de Scripts &
euprodimedatahotfix.azureedge.net Aplicaciones Win32 de Scripts &
euprodimedatapri.azureedge.net Aplicaciones Win32 de Scripts &
euprodimedatasec.azureedge.net Aplicaciones Win32 de Scripts &
naprodimedatahotfix.azureedge.net Aplicaciones Win32 de Scripts &
naprodimedatapri.azureedge.net Aplicaciones Win32 de Scripts &
naprodimedatasec.azureedge.net Aplicaciones Win32 de Scripts &
*.notify.windows.com Notificaciones push
*.wns.windows.com Notificaciones push
*.dl.delivery.mp.microsoft.com Optimización de entrega
*.do.dsp.mp.microsoft.com Optimización de entrega
*.emdl.ws.microsoft.com Optimización de entrega
ekcert.spserv.microsoft.com Autoimplementación automática de Autopilot
ekop.intel.com Autoimplementación automática de Autopilot
ftpm.amd.com Autoimplementación automática de Autopilot
*.itunes.apple.com Apple Administración de dispositivos
*.mzstatic.com Apple Administración de dispositivos
*.phobos.apple.com Apple Administración de dispositivos
5-courier.push.apple.com Apple Administración de dispositivos
ax.itunes.apple.com.edgesuite.net Apple Administración de dispositivos
itunes.apple.com Apple Administración de dispositivos
ocsp.apple.com Apple Administración de dispositivos
phobos.apple.com Apple Administración de dispositivos
phobos.itunes-apple.com.akadns.net Apple Administración de dispositivos
intunecdnpeasd.azureedge.net
*.channelservices.microsoft.com Ayuda remota
*.go-mpulse.net Ayuda remota
*.infra.lync.com Ayuda remota
*.resources.lync.com Ayuda remota
*.support.services.microsoft.com Ayuda remota
*.trouter.skype.com Ayuda remota
*.vortex.data.microsoft.com Ayuda remota
edge.skype.com Ayuda remota
remoteassistanceprodacs.communication.azure.com Ayuda remota
lgmsapeweu.blob.core.windows.net Recopilación de diagnósticos

En las siguientes tablas se enumeran los puertos y los servicios a los que accede el cliente de Intune:

Dominios Dirección IP
login.microsoftonline.com
*.officeconfig.msocdn.com
config.office.com
graph.windows.net
enterpriseregistration.windows.net
Más información URL de Office 365 e intervalos de direcciones IP
*.manage.microsoft.com
manage.microsoft.com
104.46.162.96/27
13.67.13.176/28
13.67.15.128/27
13.69.231.128/28
13.69.67.224/28
13.70.78.128/28
13.70.79.128/27
13.71.199.64/28
13.73.244.48/28
13.74.111.192/27
13.77.53.176/28
13.86.221.176/28
13.89.174.240/28
13.89.175.192/28
20.189.172.160/27
20.189.229.0/25
20.191.167.0/25
20.37.153.0/24
20.37.192.128/25
20.38.81.0/24
20.41.1.0/24
20.42.1.0/24
20.42.130.0/24
20.42.224.128/25
20.43.129.0/24
20.44.19.224/27
20.49.93.160/27
20.192.174.216/29
20.192.159.40/29
20.204.193.12/30
20.204.193.10/31
40.119.8.128/25
40.67.121.224/27
40.70.151.32/28
40.71.14.96/28
40.74.25.0/24
40.78.245.240/28
40.78.247.128/27
40.79.197.64/27
40.79.197.96/28
40.80.180.208/28
40.80.180.224/27
40.80.184.128/25
40.82.248.224/28
40.82.249.128/25
52.150.137.0/25
52.162.111.96/28
52.168.116.128/27
52.182.141.192/27
52.236.189.96/27
52.240.244.160/27

Requisitos de red para aplicaciones Win32 y scripts de PowerShell

Si usa Intune para implementar scripts de PowerShell o aplicaciones Win32, también deberá conceder acceso a los puntos de conexión en los que reside actualmente el inquilino.

Para buscar la ubicación del inquilino (o la unidad de escalado de Azure, también conocida como ASU), inicie sesión en el Centro de administración de Microsoft Endpoint Manager y elija Administración de inquilinos>Detalles del inquilino. La ubicación aparece en Ubicación de inquilino como algo semejante a Norteamérica 0501 o Europa 0202. Busque el número correspondiente en la siguiente tabla. Esa fila le indicará a qué nombre de almacenamiento y puntos de conexión de CDN debe conceder acceso. Las filas se diferencian por región geográfica, como indican las dos primeras letras de los nombres (na = Norteamérica, eu = Europa, ap = Asia Pacífico). La ubicación del inquilino será una de estas tres regiones, aunque la ubicación geográfica real de la organización podría estar en otro lugar.

Unidad de escalado de Azure (ASU) Nombre de almacenamiento CDN
AMSUA0601
AMSUA0602
AMSUA0101
AMSUA0102
AMSUA0201
AMSUA0202
AMSUA0401
AMSUA0402
AMSUA0501
AMSUA0502
AMSUA0701
AMSUA0702
AMSUA0801
AMSUA0901
naprodimedatapri
naprodimedatasec
naprodimedatahotfix
naprodimedatapri.azureedge.net
naprodimedatasec.azureedge.net
naprodimedatahotfix.azureedge.net
AMSUB0101
AMSUB0102
AMSUB0201
AMSUB0202
AMSUB0301
AMSUB0302
AMSUB0501
AMSUB0502
AMSUB0601
AMSUB0701
euprodimedatapri
euprodimedatasec
euprodimedatahotfix
euprodimedatapri.azureedge.net
euprodimedatasec.azureedge.net
euprodimedatahotfix.azureedge.net
AMSUC0101
AMSUC0201
AMSUC0301
AMSUC0501
AMSUD0101
approdimedatapri
approdimedatasec
approdimedatahotifx
approdimedatapri.azureedge.net
approdimedatasec.azureedge.net
approdimedatahotfix.azureedge.net

Servicios de notificaciones de inserción de Windows (WNS)

En los dispositivos de Windows administrados por Intune que se administran mediante administración de dispositivos móviles (MDM), las acciones de dispositivos y otras actividades inmediatas requieren el uso de servicios de notificaciones de inserción de Windows (WNS). Para obtener más información, consulte Permitir el tráfico de notificaciones de Windows a través de firewalls empresariales.

Requisitos de puerto para la optimización de entrega

Requisitos de puerto

En el tráfico de punto a punto, la optimización de entrega usa 7680 para TCP/IP o 3544 para NAT transversal (si lo desea, Teredo). Para la comunicación entre servicio y cliente, utiliza HTTP o HTTPS a través del puerto 80/443.

Requisitos de proxy

Para usar la optimización de entrega, debe permitir las solicitudes de intervalo de bytes. Para más información, vea Requisitos de proxy para Windows Update.

Requisitos de firewall

Permita los nombres de host siguientes a través del firewall para admitir la optimización de entrega. Para la comunicación entre los clientes y el servicio en la nube de optimización de distribución:

  • *.do.dsp.mp.microsoft.com

Para los metadatos de optimización de distribución:

  • *.dl.delivery.mp.microsoft.com
  • *.emdl.ws.microsoft.com

Información de red de dispositivo de Apple

Usado para Nombre de host (dirección IP/subred) Protocolo Puerto
Recuperación y visualización de contenido de los servidores de Apple itunes.apple.com
*.itunes.apple.com
*.mzstatic.com
*.phobos.apple.com
*.phobos.itunes-apple.com.akadns.net
HTTP 80
Comunicaciones con servidores APNS #-courier.push.apple.com
"#" es un número aleatorio entre 0 y 50.
TCP 5223 y 443
Distintas funcionalidades, como acceso a la World Wide Web, iTunes Store, App Store de macOS, iCloud, mensajería, etc. phobos.apple.com
ocsp.apple.com
ax.itunes.apple.com
ax.itunes.apple.com.edgesuite.net
HTTP/HTTPS 80 o 443

Para más información, vea Usar productos de Apple en redes empresariales, Puertos TCP y UDP usados por los productos de software de Apple, Acerca de las conexiones de host de servidor de iTunes, iOS/iPadOS y macOS y los procesos en segundo plano de iTunesy Si los clientes de macOS e iOS/iPadOS no reciben notificaciones push de Apple.

Información del puerto de Android

En función de cómo decida administrar los dispositivos Android, es posible que tenga que abrir los puertos de Google Android Enterprise o la notificación de inserción de Android. Para obtener más información sobre los métodos de administración de Android admitidos, consulte la documentación de inscripción de Android.

Nota:

Como Google Mobile Services no está disponible en China, los clientes en China administrados por Intune no pueden usar características que requieran Google Mobile Services. Estas características incluyen: funciones de Google Play Protect como la atestación de dispositivos SafetyNet, la administración de aplicaciones desde Google Play Store, las funciones de Android Enterprise (consulte esta documentación de Google). Además, la aplicación Portal de empresa de Intune para Android usa Google Mobile Services para comunicarse con el servicio Microsoft Intune. Como los servicios de Google Play no están disponible en China, algunas tareas pueden tardar hasta ocho horas en completarse. Para más información, consulte este artículo.

Android (AOSP)

Usado para Nombre de host (dirección IP/subred) Protocolo Puerto
Descarga e instalación de aplicaciones de Microsoft Intune y Microsoft Authenticator intunecdnpeasd.azureedge.net HTTPS 443

Google Android Enterprise

Google proporciona documentación sobre los puertos de red y los nombres de host de destino obligatorios en la sección Firewall de su documento Android Enterprise Bluebook.

Notificación de inserción de Android

Intune aprovecha la Mensajería en la nube de Firebase (FCM) de Google para notificaciones de inserción a fin de desencadenar acciones e inserciones de dispositivo. Esto es necesario para el Administrador de dispositivos Android y Android Enterprise. Para obtener información sobre los requisitos de red de FCM, vea los puertos de FCM y el firewall de Google.

Análisis de puntos de conexión

Para obtener más información sobre los puntos de conexión necesarios para al análisis de puntos de conexión, consulte Configuración de proxy para el análisis de puntos de conexión.

Direcciones URL e intervalos de direcciones IP de Office 365

Información general de conectividad de red de Microsoft 365

Redes de entrega de contenido (CDN)

Otros puntos de conexión adicionales no incluidos en el servicio web de URL ni en la dirección IP de Office 365

Administrar puntos de conexión de Office 365