Puntos de conexión de red de Microsoft Intune

En este artículo se enumeran las direcciones IP y la configuración de puerto necesaria para la configuración de proxy en las implementaciones de Microsoft Intune.

Como servicio solo en la nube, Intune no requiere una infraestructura local, como servidores o puertas de enlace.

Acceso para dispositivos administrados

Para administrar dispositivos que se encuentren detrás de firewalls y servidores proxy, debe habilitar la comunicación para Intune.

Nota:

La información de esta sección también se aplica a Microsoft Intune Certificate Connector. El conector tiene los mismos requisitos de red que los dispositivos administrados.

  • Los puntos de conexión de este artículo permiten el acceso a los puertos identificados en las tablas siguientes.

  • Para algunas tareas, Intune requiere acceso al servidor proxy no autenticado a manage.microsoft.com, *.azureedge.net y graph.microsoft.com.

    Nota:

    No se admite la inspección del tráfico SSL para los puntos de conexión de "manage.microsoft.com", "dm.microsoft.com" o " Atestación de estado del dispositivo" (DHA) enumerados en la sección cumplimiento.

Puede modificar la configuración del servidor proxy en equipos cliente individuales. También puede usar la opción de directiva de grupo para cambiar la configuración de todos los equipos cliente que se encuentran detrás de un servidor proxy especificado.

Los dispositivos administrados requieren configuraciones que dejen acceder a Todos los usuarios a los servicios a través de firewalls.

Script de PowerShell

Para facilitar la configuración de servicios a través de firewalls, se ha incorporado con el servicio de punto de conexión de Office 365. En este momento, se accede a la información del punto de conexión de Intune a través de un script de PowerShell. Hay otros servicios dependientes para Intune, que ya están cubiertos como parte del servicio de Microsoft 365 y están marcados como "obligatorios". Los servicios ya cubiertos por Microsoft 365 no se incluyen en el script para evitar la duplicación.

Mediante el siguiente script de PowerShell, puede recuperar la lista de direcciones IP del servicio Intune.

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips

Mediante el siguiente script de PowerShell, puede recuperar la lista de FQDN usados por Intune y los servicios dependientes. Al ejecutar el script, las direcciones URL de la salida del script pueden ser diferentes de las direcciones URL de las tablas siguientes. Como mínimo, asegúrese de incluir las direcciones URL en las tablas.

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls

El script proporciona un método práctico para enumerar y revisar todos los servicios necesarios para Intune y Autopilot en una sola ubicación. Se pueden devolver propiedades adicionales desde el servicio de punto de conexión, como la propiedad category, que indica si el FQDN o la dirección IP deben configurarse como Permitir, Optimizar o Predeterminado.

Puntos de conexión

También necesitará FQDN que se cubran como parte de los requisitos de Microsoft 365. Como referencia, las tablas siguientes muestran el servicio al que están vinculados y la lista de direcciones URL devueltas.

Las columnas de datos que se muestran en las tablas son:

  • Identificador: el número de identificador de la fila, también conocido como conjunto de puntos de conexión. Este identificador es el mismo que devuelve el servicio web para el conjunto de puntos de conexión.

  • Categoría: muestra si el conjunto de puntos de conexión se clasifica como Optimizar, Permitir o Predeterminado. En esta columna también se enumeran los conjuntos de puntos de conexión necesarios para tener conectividad de red. En el caso de los conjuntos de puntos de conexión que no son necesarios para tener conectividad de red, se proporcionan notas en este campo para indicar qué funcionalidad faltaría si el conjunto de puntos de conexión está bloqueado. Si excluye un área de servicio completa, los conjuntos de puntos de conexión enumerados como necesarios no requieren conectividad.

    Puede leer estas categorías e instrucciones para su administración en Nuevas categorías de punto de conexión de Microsoft 365.

  • ER: esto es Sí/True si el conjunto de puntos de conexión se admite a través de Azure ExpressRoute con prefijos de ruta de Microsoft 365. La comunidad BGP que incluye los prefijos de ruta que se muestran se alinea con el área de servicio enumerada. Cuando ER es No o False, ExpressRoute no se admite para este conjunto de puntos de conexión.

  • Direcciones: Listas los FQDN o los nombres de dominio comodín y los intervalos de direcciones IP del conjunto de puntos de conexión. Tenga en cuenta que un intervalo de direcciones IP está en formato CIDR y puede incluir muchas direcciones IP individuales en la red especificada.

  • Puertos: Listas los puertos TCP o UDP que se combinan con las direcciones IP enumeradas para formar el punto de conexión de red. Es posible que observe alguna duplicación en intervalos de direcciones IP en los que se enumeran distintos puertos.

Intune servicio principal

Id. Descripción Categoría EMERGENCIA Addresses Puertos
163 Cliente y servicio host de Endpoint Manager Permitir
Obligatorio
Falso *.manage.microsoft.com
manage.microsoft.com
EnterpriseEnrollment.manage.microsoft.com
104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.71.199.64/28, 13.73.244.48/28, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 20.49.93.160/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29
TCP: 80, 443
172 Optimización de entrega de MDM Predeterminada
Obligatorio
Falso *.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
kv801.prod.do.dsp.mp.microsoft.com
geo.prod.do.dsp.mp.microsoft.com
emdl.ws.microsoft.com
2.dl.delivery.mp.microsoft.com
bg.v4.emdl.ws.microsoft.com
TCP: 80, 443
170 MEM: PS y Win32Apps Predeterminada
Obligatorio
Falso swda01-mscdn.azureedge.net
swda02-mscdn.azureedge.net
swdb01-mscdn.azureedge.net
swdb02-mscdn.azureedge.net
swdc01-mscdn.azureedge.net
swdc02-mscdn.azureedge.net
swdd01-mscdn.azureedge.net
swdd02-mscdn.azureedge.net
swdin01-mscdn.azureedge.net
swdin02-mscdn.azureedge.net
TCP: 443
97 Outlook.com de consumidor y OneDrive Predeterminada
Falso account.live.com
login.live.com
TCP: 443

Dependencias de Autopilot

Id. Descripción Categoría EMERGENCIA Addresses Puertos
164 Autopilot: Windows Update Predeterminada
Obligatorio
Falso *.download.windowsupdate.com
*.windowsupdate.com
*.dl.delivery.mp.microsoft.com
*.prod.do.dsp.mp.microsoft.com
emdl.ws.microsoft.com
*.delivery.mp.microsoft.com
*.update.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com
au.download.windowsupdate.com
2.dl.delivery.mp.microsoft.com
download.windowsupdate.com
dl.delivery.mp.microsoft.com
geo.prod.do.dsp.mp.microsoft.com
catalog.update.microsoft.com
TCP: 443
165 Autopilot: sincronización NTP Predeterminada
Obligatorio
Falso time.windows.com
www.msftncsi.com
www.msftconnecttest.com
UDP: 123
169 Autopilot: dependencias de WNS Predeterminada
Obligatorio
Falso clientconfig.passport.net
windowsphone.com
*.s-microsoft.com
www.msftncsi.com
c.s-microsoft.com
TCP: 443
173 Autopilot: dependencias de implementación de terceros Predeterminada
Obligatorio
Falso ekop.intel.com
ekcert.spserv.microsoft.com
ftpm.amd.com
TCP: 443
182 Autopilot: carga de diagnóstico Predeterminada
Obligatorio
Falso lgmsapeweu.blob.core.windows.net
TCP: 443

Ayuda remota

Id. Descripción Categoría EMERGENCIA Addresses Puertos Notas
181 MEM: característica de Ayuda remota Predeterminada
Obligatorio
Falso *.support.services.microsoft.com
remoteassistance.support.services.microsoft.com
rdprelayv3eastusprod-0.support.services.microsoft.com
*.trouter.skype.com
remoteassistanceprodacs.communication.azure.com
edge.skype.com
aadcdn.msftauth.net
aadcdn.msauth.net
alcdn.msauth.net
wcpstatic.microsoft.com
*.aria.microsoft.com
browser.pipe.aria.microsoft.com
*.events.data.microsoft.com
v10.events.data.microsoft.com
*.monitor.azure.com
js.monitor.azure.com
edge.microsoft.com
*.trouter.communication.microsoft.com
go.trouter.communication.microsoft.com
*.trouter.teams.microsoft.com
trouter2-usce-1-a.trouter.teams.microsoft.com
api.flightproxy.skype.com
ecs.communication.microsoft.com
remotehelp.microsoft.com
trouter-azsc-usea-0-a.trouter.skype.com
TCP: 443
187 Dependencia: Ayuda remota web pubsub Predeterminada
Obligatorio
Falso *.webpubsub.azure.com
AMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com
TCP: 443
188 dependencia de Ayuda remota para clientes de GCC Predeterminada
Obligatorio
Falso remoteassistanceweb-gcc.usgov.communication.azure.us
gcc.remotehelp.microsoft.com
gcc.relay.remotehelp.microsoft.com
*.gov.teams.microsoft.us
TCP: 443

dependencias de Intune

En esta sección, en las tablas siguientes se enumeran las dependencias de Intune y los puertos y servicios a los que accede el cliente Intune.

Dependencias de Servicios de notificaciones push de Windows (WNS)

Id. Descripción Categoría EMERGENCIA Addresses Puertos
171 MEM: dependencias de WNS Predeterminada
Obligatorio
Falso *.notify.windows.com
*.wns.windows.com
sinwns1011421.wns.windows.com
sin.notify.windows.com
TCP: 443

En los dispositivos de Windows administrados por Intune que se administran mediante administración de dispositivos móviles (MDM), las acciones de dispositivos y otras actividades inmediatas requieren el uso de servicios de notificaciones de inserción de Windows (WNS). Para obtener más información, consulte Permitir el tráfico de notificaciones de Windows a través de firewalls empresariales.

Dependencias de optimización de entrega

Id. Descripción Categoría EMERGENCIA Addresses Puertos
172 MDM: dependencias de optimización de distribución Predeterminada
Obligatorio
Falso *.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
kv801.prod.do.dsp.mp.microsoft.com
geo.prod.do.dsp.mp.microsoft.com
emdl.ws.microsoft.com
2.dl.delivery.mp.microsoft.com
bg.v4.emdl.ws.microsoft.com
TCP: 80, 443

Requisitos de puerto : para el tráfico punto a punto, optimización de distribución usa 7680 para TCP/IP o 3544 para el recorrido NAT (opcionalmente Teredo). Para la comunicación entre servicio y cliente, utiliza HTTP o HTTPS a través del puerto 80/443.

Requisitos de proxy : para usar optimización de distribución, debe permitir solicitudes de intervalo de bytes. Para más información, vea Requisitos de proxy para Windows Update.

Requisitos de firewall : permita que los siguientes nombres de host a través del firewall admitan la optimización de distribución. Para la comunicación entre los clientes y el servicio en la nube de optimización de distribución:

  • *.do.dsp.mp.microsoft.com

Para los metadatos de optimización de distribución:

  • *.dl.delivery.mp.microsoft.com
  • *.emdl.ws.microsoft.com

Dependencias de Apple

Id. Descripción Categoría EMERGENCIA Addresses Puertos
178 MEM: dependencias de Apple Predeterminada
Obligatorio
Falso itunes.apple.com
*.itunes.apple.com
*.mzstatic.com
*.phobos.apple.com
phobos.itunes-apple.com.akadns.net
5-courier.push.apple.com
phobos.apple.com
ocsp.apple.com
ax.itunes.apple.com
ax.itunes.apple.com.edgesuite.net
s.mzstatic.com
a1165.phobos.apple.com
TCP: 80, 443, 5223

Para obtener más información, consulte los recursos siguientes:

Dependencias de Android AOSP

Id. Descripción Categoría EMERGENCIA Addresses Puertos
179 MEM: dependencia de Android AOSP Predeterminada
Obligatorio
Falso intunecdnpeasd.azureedge.net
TCP: 443

Nota:

Como Google Mobile Services no está disponible en China, los clientes en China administrados por Intune no pueden usar características que requieran Google Mobile Services. Estas características incluyen: funciones de Google Play Protect como la atestación de dispositivos SafetyNet, la administración de aplicaciones desde Google Play Store, las funciones de Android Enterprise (consulte esta documentación de Google). Además, la aplicación Portal de empresa de Intune para Android usa Google Mobile Services para comunicarse con el servicio Microsoft Intune. Como los servicios de Google Play no están disponible en China, algunas tareas pueden tardar hasta ocho horas en completarse. Para obtener más información, vea Limitaciones de la administración de Intune cuando GMS no está disponible.

Información del puerto Android : en función de cómo elija administrar dispositivos Android, es posible que tenga que abrir los puertos de Google Android Enterprise o la notificación push de Android. Para obtener más información sobre los métodos de administración de Android admitidos, consulte la documentación de inscripción de Android.

Dependencias de Android Enterprise

Google Android Enterprise : Google proporciona documentación sobre los puertos de red y los nombres de host de destino necesarios en su Android Enterprise Bluebook, en la sección Firewall de ese documento.

Notificación push de Android: Intune aprovecha Google Firebase Cloud Messaging (FCM) para la notificación push para desencadenar acciones y check-ins del dispositivo. Esto es necesario tanto para Android Device Administrator como para Android Enterprise. Para obtener información sobre los requisitos de red de FCM, vea los puertos de FCM y el firewall de Google.

Microsoft Azure Attestation

Id. Descripción Categoría EMERGENCIA Addresses Puertos
186 Microsoft Azure Attestation Predeterminada
Obligatorio
Falso intunemaape1.eus.attest.azure.net
intunemaape2.eus2.attest.azure.net
intunemaape3.cus.attest.azure.net
intunemaape4.wus.attest.azure.net
intunemaape5.scus.attest.azure.net
intunemaape6.ncus.attest.azure.net
intunemaape7.neu.attest.azure.net
intunemaape8.neu.attest.azure.net
intunemaape9.neu.attest.azure.net
intunemaape10.weu.attest.azure.net
intunemaape11.weu.attest.azure.net
intunemaape12.weu.attest.azure.net
intunemaape13.jpe.attest.azure.net
intunemaape17.jpe.attest.azure.net
intunemaape18.jpe.attest.azure.net
intunemaape19.jpe.attest.azure.net
TCP: 443

Dependencias de autenticación

Id. Descripción Categoría EMERGENCIA Addresses Puertos
56 Autenticación e identidad, incluye servicios relacionados con Azure Active Directory y Azure AD. Permitir
Obligatorio
Verdadero login.microsoftonline.com
graph.windows.net
TCP: 80, 443
150 El servicio de personalización de Office proporciona Office 365 ProPlus configuración de implementación, configuración de aplicaciones y administración de directivas basada en la nube. Predeterminada Falso *.officeconfig.msocdn.com
config.office.com
TCP: 443
59 Servicios de compatibilidad de identidades & CDN. Predeterminada
Obligatorio
Falso enterpriseregistration.windows.net
TCP: 80, 443

Para obtener más información, vaya a Office 365 direcciones URL e intervalos de direcciones IP.

Requisitos de red para aplicaciones Win32 y scripts de PowerShell

Si usa Intune para implementar scripts de PowerShell o aplicaciones Win32, también deberá conceder acceso a los puntos de conexión en los que reside actualmente el inquilino.

Para buscar la ubicación del inquilino (o Unidad de escalado de Azure (ASU), inicie sesión en el centro de administración de Microsoft Intune, elija Administración de inquilinos>Detalles del inquilino. La ubicación aparece en Ubicación de inquilino como algo semejante a Norteamérica 0501 o Europa 0202. Busque el número correspondiente en la siguiente tabla. Esa fila le indicará a qué nombre de almacenamiento y puntos de conexión de CDN debe conceder acceso. Las filas se diferencian por región geográfica, como indican las dos primeras letras de los nombres (na = Norteamérica, eu = Europa, ap = Asia Pacífico). La ubicación del inquilino es una de estas tres regiones, aunque la ubicación geográfica real de la organización podría estar en otra parte.

Nota:

Se requiere la respuesta parcial DE HTTP para scripts & puntos de conexión de Win32 Apps.

Unidad de escalado de Azure (ASU) Nombre de almacenamiento CDN Puerto
AMSUA0601
AMSUA0602
AMSUA0101
AMSUA0102
AMSUA0201
AMSUA0202
AMSUA0401
AMSUA0402
AMSUA0501
AMSUA0502
AMSUA0601
AMSUA0701
AMSUA0702
AMSUA0801
AMSUA0901
naprodimedatapri
naprodimedatasec
naprodimedatahotfix
naprodimedatapri.azureedge.net
naprodimedatasec.azureedge.net
naprodimedatahotfix.azureedge.net
TCP: 443
AMSUB0101
AMSUB0102
AMSUB0201
AMSUB0202
AMSUB0301
AMSUB0302
AMSUB0501
AMSUB0502
AMSUB0601
AMSUB0701
euprodimedatapri
euprodimedatasec
euprodimedatahotfix
euprodimedatapri.azureedge.net
euprodimedatasec.azureedge.net
euprodimedatahotfix.azureedge.net
TCP: 443
AMSUC0101
AMSUC0201
AMSUC0301
AMSUC0501
AMSUC0601
AMSUD0101
approdimedatapri
approdimedatasec
approdimedatahotifx
approdimedatapri.azureedge.net
approdimedatasec.azureedge.net
approdimedatahotfix.azureedge.net
TCP: 443

Microsoft Store

Los dispositivos Windows administrados con Microsoft Store, ya sea para adquirir, instalar o actualizar aplicaciones, necesitarán acceso a estos puntos de conexión.

API de Microsoft Store (AppInstallManager):

  • displaycatalog.md.mp.microsoft.com
  • purchase.md.mp.microsoft.com
  • licensing.mp.microsoft.com
  • storeedgefd.dsx.mp.microsoft.com

agente de Windows Update:

Para obtener más información, consulte los siguientes recursos:

Descarga de contenido de Win32:

Las ubicaciones y puntos de conexión de descarga de contenido de Win32 son únicos por aplicación y los proporciona el publicador externo. Puede encontrar la ubicación de cada aplicación de la Tienda Win32 mediante el siguiente comando en un sistema de prueba (puede obtener el [PackageId] de una aplicación de la Tienda haciendo referencia a la propiedad Identificador de paquete de la aplicación después de agregarla a Microsoft Intune):

winget show [PackageId]

La propiedad Dirección URL del instalador mostrará la ubicación de descarga externa o la caché de reserva basada en regiones (hospedada por Microsoft) en función de si la caché está en uso. Tenga en cuenta que la ubicación de descarga de contenido puede cambiar entre la caché y la ubicación externa.

Caché de reserva de aplicaciones Win32 hospedadas por Microsoft:

  • Varía según la región, por ejemplo: sparkcdneus2.azureedge.net, sparkcdnwus2.azureedge.net

Optimización de distribución (opcional, necesaria para el emparejamiento):

Para obtener más información, consulte el siguiente recurso:

Migración de directivas de cumplimiento de atestación de estado del dispositivo a la atestación de Microsoft Azure

Si un cliente habilita cualquiera de las directivas de cumplimiento de Windows 10/11: configuración de estado del dispositivo, los dispositivos Windows 11 comenzarán a usar un servicio de Microsoft Azure Attestation (MAA) en función de su ubicación de inquilino Intune. Sin embargo, los entornos de Windows 10 y GCCH/DOD seguirán usando el punto de conexión dha de atestación de estado de dispositivo existente "has.spserv.microsoft.com" para los informes de atestación de estado del dispositivo y no se verá afectado por este cambio.

Si un cliente tiene directivas de firewall que impiden el acceso al nuevo servicio maa de Intune para Windows 11, Windows 11 dispositivos con directivas de cumplimiento asignadas mediante cualquiera de las configuraciones de estado del dispositivo (BitLocker, Arranque seguro, Integridad de código) se quedarán fuera del cumplimiento, ya que no podrán acceder a los puntos de conexión de atestación de MAA para su ubicación.

Asegúrese de que no haya reglas de firewall que bloqueen el tráfico HTTPS/443 saliente y de que no se haya implementado la inspección del tráfico SSL para los puntos de conexión enumerados en esta sección, en función de la ubicación del inquilino de Intune.

Para buscar la ubicación del inquilino, vaya al centro>> de administración de Intune Administración de inquilinosEstado> delinquilino Detalles del inquilino, consulte Ubicación del inquilino.

  • 'https://intunemaape1.eus.attest.azure.net'

  • 'https://intunemaape2.eus2.attest.azure.net'

  • 'https://intunemaape3.cus.attest.azure.net'

  • 'https://intunemaape4.wus.attest.azure.net'

  • 'https://intunemaape5.scus.attest.azure.net'

  • 'https://intunemaape6.ncus.attest.azure.net'

Análisis de puntos de conexión

Para obtener más información sobre los puntos de conexión necesarios para Análisis de puntos de conexión, consulte Configuración del proxy de Análisis de puntos de conexión.

Microsoft Defender para punto de conexión

Para obtener más información sobre cómo configurar la conectividad de Defender para punto de conexión, consulte Requisitos de conectividad.

Permita que los siguientes nombres de host a través del firewall admitan la administración de la configuración de seguridad de Defender para punto de conexión. Para la comunicación entre los clientes y el servicio en la nube:

  • *.dm.microsoft.com: el uso de un carácter comodín admite los puntos de conexión de servicio en la nube que se usan para la inscripción, la protección y los informes, y que pueden cambiar a medida que el servicio se escala.

    Importante

    La inspección SSL no se admite en el punto de conexión "dm.microsoft.com".

Administración con privilegios para puntos de conexión de Microsoft Intune

Permita los siguientes nombres de host en el puerto TCP 443 a través del firewall para admitir la administración de privilegios de punto de conexión.

Para la comunicación entre los clientes y el servicio en la nube:

  • *.dm.microsoft.com: el uso de un carácter comodín admite los puntos de conexión de servicio en la nube que se usan para la inscripción, la protección y los informes, y que pueden cambiar a medida que el servicio se escala.

  • *.events.data.microsoft.com: lo usan los dispositivos administrados por Intune para enviar datos de informes opcionales al punto de conexión de recopilación de datos Intune.

    Importante

    La inspección SSL no se admite en el punto de conexión "dm.microsoft.com".

Para obtener más información, consulte información general sobre la administración de privilegios de punto de conexión.

Direcciones URL e intervalos de direcciones IP de Office 365

Información general de conectividad de red de Microsoft 365

Redes de entrega de contenido (CDN)

Otros puntos de conexión adicionales no incluidos en el servicio web de URL ni en la dirección IP de Office 365

Administrar puntos de conexión de Office 365