Partager via


Conditions requises d'accès à l'internet

Certaines fonctionnalités Configuration Manager reposent sur la connectivité Internet pour toutes les fonctionnalités. Si votre organization restreint la communication réseau avec Internet à l’aide d’un pare-feu ou d’un appareil proxy, veillez à autoriser ces points de terminaison.

Configuration Manager utilise les services de transport d’URL Microsoft suivants dans l’ensemble du produit :

  • https://aka.ms
  • https://go.microsoft.com

Même s’ils ne sont pas explicitement répertoriés dans les sections ci-dessous, vous devez toujours autoriser ces points de terminaison.

Point de connexion de service

Pour plus d’informations, consultez À propos du point de connexion de service.

Ces configurations s’appliquent au serveur qui héberge le point de connexion de service et aux pare-feu entre ce serveur et Internet. Autorisez la communication via le port HTTPS sortant TCP 443 vers les emplacements Internet.

Le point de connexion de service prend en charge l’utilisation d’un proxy web avec ou sans authentification pour utiliser ces emplacements. Pour plus d’informations, consultez Prise en charge du serveur proxy.

Si le site Configuration Manager ne parvient pas à se connecter aux points de terminaison requis pour un service cloud, il déclenche un id de message de status critique 11488. Lorsqu’il ne peut pas se connecter au service, le composant SMS_SERVICE_CONNECTOR status devient critique. Affichez des status détaillées dans le nœud État du composant de la console Configuration Manager.

À compter de la version 2010, le point de connexion de service valide les points de terminaison Internet importants pour l’attachement du locataire. Ces vérifications permettent de s’assurer que les services connectés au cloud sont disponibles. Il vous permet également de résoudre les problèmes en déterminant rapidement si la connectivité réseau est un problème. Pour plus d’informations, consultez Valider l’accès à Internet.

Les URL spécifiques requises par le point de connexion de service varient selon Configuration Manager fonctionnalité :

Conseil

Le point de connexion de service utilise le service Microsoft Intune lorsqu’il se connecte à go.microsoft.com ou manage.microsoft.com. Il existe un problème connu dans lequel le connecteur Intune rencontre des problèmes de connectivité si le certificat racine Baltimore CyberTrust n’est pas installé, a expiré ou est endommagé sur le point de connexion de service. Pour plus d’informations, consultez Point de connexion de service ne télécharge pas les mises à jour.

Mises à jour et maintenance

Pour plus d’informations, consultez Mises à jour et maintenance.

Conseil

Activez ces points de terminaison pour la règle d’insight de gestion, Connectez le site au cloud Microsoft pour Configuration Manager mises à jour.

  • *.akamaiedge.net

  • *.akamaitechnologies.com

  • *.manage.microsoft.com

  • go.microsoft.com

  • download.microsoft.com

  • download.windowsupdate.com

  • download.visualstudio.microsoft.com

  • sccmconnected-a01.cloudapp.net

  • definitionupdates.microsoft.com

  • configmgrbits.azureedge.net

    Importante

    Ce point de terminaison Azure prend uniquement en charge TLS 1.2 avec des suites de chiffrement spécifiques. Assurez-vous que votre environnement prend en charge ces configurations Azure. Pour plus d’informations, consultez Azure Front Door : FAQ sur la configuration TLS.

  • cmbitsstore.blob.core.windows.net

  • ceuswatcab01.blob.core.windows.net

  • ceuswatcab02.blob.core.windows.net

  • eaus2watcab01.blob.core.windows.net

  • eaus2watcab02.blob.core.windows.net

  • weus2watcab01.blob.core.windows.net

  • weus2watcab02.blob.core.windows.net

  • cmbitsstore.blob.core.windows.net

  • umwatsonc.events.data.microsoft.com

  • *-umwatsonc.events.data.microsoft.com

Maintenance de Windows

Pour plus d’informations, consultez Gérer les Windows as a service.

  • download.microsoft.com

  • https://go.microsoft.com/fwlink/?LinkID=619849

  • dl.delivery.mp.microsoft.com

Services Azure

Pour plus d’informations, consultez Configurer les services Azure à utiliser avec Configuration Manager.

  • management.azure.com (Cloud public Azure)
  • management.usgovcloudapi.net (Cloud Azure US Government)

Cogestion

Si vous inscrivez des appareils Windows à Microsoft Intune pour la cogestion, assurez-vous que ces appareils peuvent accéder aux points de terminaison requis par Intune. Pour plus d’informations, consultez Points de terminaison réseau pour Microsoft Intune.

Microsoft Store pour Entreprises

Si vous intégrez Configuration Manager au Microsoft Store pour Entreprises, assurez-vous que le point de connexion de service et les appareils ciblés peuvent accéder au service cloud. Pour plus d’informations, consultez configuration du proxy Microsoft Store pour Entreprises.

Optimisation de la distribution

Si vous utilisez l’optimisation de la distribution, les clients doivent communiquer avec leur service cloud : *.do.dsp.mp.microsoft.com

Les points de distribution qui prennent en charge Microsoft Connected Cache nécessitent également ces points de terminaison.

Si vous souhaitez en savoir plus, consultez les articles suivants :

Services cloud

Pour plus d’informations sur la passerelle de gestion cloud (CMG), consultez Planifier la passerelle de gestion cloud.

Cette section couvre les fonctionnalités suivantes :

  • Passerelle de gestion du cloud (CMG)

  • intégration Microsoft Entra

  • Découverte basée sur Microsoft Entra ID

  • Point de distribution cloud (CDP)

    Remarque

    Le point de distribution cloud (CDP) est déconseillé. À compter de la version 2107, vous ne pouvez pas créer de nouvelles instances CDP. Pour fournir du contenu à des appareils Basés sur Internet, autorisez la passerelle de gestion cloud à distribuer du contenu.

Les sections suivantes répertorient les points de terminaison par rôle. Certains points de terminaison font référence à un service par <prefix>, qui est le nom de préfixe de la passerelle de gestion cloud. Par exemple, si votre passerelle de gestion cloud est GraniteFalls.WestUS.CloudApp.Azure.Com, le point de terminaison de stockage réel est GraniteFalls.blob.core.windows.net.

Conseil

Pour clarifier une terminologie :

  • Nom du service de passerelle de gestion cloud : nom commun (CN) du certificat d’authentification du serveur de passerelle de gestion cloud. Les clients et le rôle de système de site de point de connexion de passerelle de gestion cloud communiquent avec ce nom de service. Par exemple : GraniteFalls.contoso.com ou GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Nom du déploiement de la passerelle de gestion cloud : première partie du nom du service, plus l’emplacement Azure pour le déploiement du service cloud. Le composant Cloud Service Manager du point de connexion de service utilise ce nom lorsqu’il déploie la passerelle de gestion cloud dans Azure. Le nom du déploiement se trouve toujours dans un domaine Azure. L’emplacement Azure dépend de la méthode de déploiement, par exemple :

    • Groupe de machines virtuelles identiques : GraniteFalls.WestUS.CloudApp.Azure.Com
    • Déploiement classique : GraniteFalls.CloudApp.Net

Cet article utilise des exemples avec un groupe de machines virtuelles identiques comme méthode de déploiement recommandée dans les versions 2107 et ultérieures. Si vous utilisez un déploiement classique, notez la différence lorsque vous lisez cet article et configurez l’accès à Internet.

Point de connexion de service pour les services cloud

Pour Configuration Manager de déployer le service de passerelle de gestion cloud dans Azure, le point de connexion de service doit avoir accès à :

  • Des points de terminaison Azure spécifiques, qui sont différents selon l’environnement en fonction de la configuration. Configuration Manager stocke ces points de terminaison dans la base de données du site. Interrogez la table AzureEnvironments dans SQL Server pour obtenir la liste des points de terminaison Azure.

  • Services Azure :

    • management.azure.com (Cloud public Azure)
    • management.usgovcloudapi.net (Cloud Azure US Government)
  • Pour Microsoft Entra découverte d’utilisateurs : Point de terminaison Microsoft Graphhttps://graph.microsoft.com/

Point de connexion de passerelle de gestion cloud pour les services cloud

Le point de connexion de la passerelle de gestion cloud doit accéder aux points de terminaison suivants :

Type Cloud public Azure Cloud Azure US Government
Nom du service <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
Point de terminaison de stockage 1 <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
Point de terminaison de stockage 2 <prefix>.table.core.windows.net <prefix>.table.core.usgovcloudapi.net
Coffre de clés <prefix>.vault.azure.net <prefix>.vault.usgovcloudapi.net

Le système de site de point de connexion de la passerelle de gestion cloud prend en charge l’utilisation d’un proxy web. Pour plus d’informations sur la configuration de ce rôle pour un proxy, consultez Prise en charge du serveur proxy.

Le point de connexion de la passerelle de gestion cloud doit uniquement se connecter aux points de terminaison de service de la passerelle de gestion cloud. Il n’a pas besoin d’accéder à d’autres points de terminaison Azure.

client Configuration Manager pour les services cloud

Tout client Configuration Manager qui doit communiquer avec une passerelle de gestion cloud doit avoir accès aux points de terminaison suivants :

Type Cloud public Azure Cloud Azure US Government
Nom du déploiement <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
Point de terminaison de stockage <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
point de terminaison Microsoft Entra login.microsoftonline.com login.microsoftonline.us

console Configuration Manager pour les services cloud

Tout appareil doté de la console Configuration Manager a besoin d’accéder aux points de terminaison suivants :

Type Cloud public Azure Cloud Azure US Government
Microsoft Entra points de terminaison login.microsoftonline.com
aadcdn.msauth.net
aadcdn.msftauth.net
login.microsoftonline.us

Mises à jour logicielles

Autorisez le point de mise à jour logicielle actif à accéder aux points de terminaison suivants afin que WSUS et automatic Mises à jour puissent communiquer avec le service cloud Microsoft Update :

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • http://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://ntservicepack.microsoft.com

Pour plus d’informations sur les mises à jour logicielles, consultez Planifier les mises à jour logicielles.

Pare-feu intranet

Vous devrez peut-être ajouter des points de terminaison à un pare-feu qui se trouve entre deux systèmes de site dans les cas suivants :

  • Si les sites enfants ont un point de mise à jour logicielle
  • S’il existe un point de mise à jour logicielle internet actif à distance sur un site

Point de mise à jour logicielle sur le site enfant

  • http://<FQDN for software update point on child site>

  • https://<FQDN for software update point on child site>

  • http://<FQDN for software update point on parent site>

  • https://<FQDN for software update point on parent site>

Gérer Microsoft 365 Apps

Remarque

À compter du 21 avril 2020, Office 365 ProPlus sera renommé Applications Microsoft 365 pour les grandes entreprises. Pour plus d’informations, consultez Changement de nom pour Office 365 ProPlus. Vous pouvez toujours voir des références à l’ancien nom dans la console Configuration Manager et la documentation de support pendant la mise à jour de la console.

Si vous utilisez Configuration Manager pour déployer et mettre à jour Applications Microsoft 365 pour les grandes entreprises, autorisez les points de terminaison suivants :

  • officecdn.microsoft.compour synchroniser le point de mise à jour logicielle pour Applications Microsoft 365 pour les grandes entreprises mises à jour du client

  • config.office.compour créer des configurations personnalisées pour les déploiements Applications Microsoft 365 pour les grandes entreprises

  • https://clients.config.office.netet https://go.microsoft.com/fwlink/?linkid=2190568 pour prendre en charge le déploiement de mises à jour pour Applications Microsoft 365 pour les grandes entreprises

  • contentstorage.osi.office.net pour prendre en charge l’évaluation de la préparation des compléments Office

  • clients.config.office.netpour récupérer les noms des fichiers nécessaires pour une mise à jour Microsoft 365 Apps particulière. Pour plus d’informations, consultez Utilisation de l’API de liste de fichiers Microsoft 365 Apps.

Votre serveur de site de niveau supérieur a besoin d’accéder au point de terminaison suivant pour télécharger le fichier de préparation Microsoft Apps 365 :

  • À compter du 2 mars 2021 : https://omex.cdn.office.net/mirrored/sccmreadiness/SOT_SCCM_AddinReadiness.CAB
    • Emplacement avant le 2 mars 2021 : https://contentstorage.osi.office.net/sccmreadinessppe/sot_sccm_addinreadiness.cab

Remarque

L’emplacement de ce fichier change le 2 mars 2021. Pour plus d’informations, consultez Télécharger le changement d’emplacement pour Microsoft 365 Apps fichier de préparation.

console Configuration Manager

Les ordinateurs dotés de la console Configuration Manager nécessitent l’accès aux points de terminaison Internet suivants pour des fonctionnalités spécifiques :

Remarque

Pour que les notifications Push de Microsoft s’affichent dans la console, le point de connexion de service doit accéder à configmgrbits.azureedge.net. Il a également besoin d’accéder à ce point de terminaison pour les mises à jour et la maintenance. Vous l’avez peut-être déjà autorisé.

Commentaires dans la console

Sur l’ordinateur sur lequel vous exécutez la console, autorisez-la à accéder aux points de terminaison Internet suivants pour envoyer des données de diagnostic à Microsoft :

  • petrol.office.microsoft.com

  • ceuswatcab01.blob.core.windows.net

  • ceuswatcab02.blob.core.windows.net

  • eaus2watcab01.blob.core.windows.net

  • eaus2watcab02.blob.core.windows.net

  • weus2watcab01.blob.core.windows.net

  • weus2watcab02.blob.core.windows.net

  • umwatsonc.events.data.microsoft.com

  • *-umwatsonc.events.data.microsoft.com

Pour plus d’informations sur cette fonctionnalité, consultez Commentaires sur le produit.

Espace de travail de la communauté

Nœud de documentation

Pour plus d’informations sur ce nœud de console, consultez Utilisation de la console Configuration Manager.

  • https://aka.ms

  • https://raw.githubusercontent.com

Hub communauté

Pour plus d’informations sur cette fonctionnalité, consultez Hub Communauté.

  • https://github.com

  • https://communityhub.microsoft.com

Joint au client

Pour plus d’informations, consultez Activer l’attachement de locataire.

  • https://aka.ms/configmgrgateway

  • https://*.manage.microsoft.com pour les clients du cloud public Azure

  • https://*.manage.microsoft.us pour les clients cloud du gouvernement des États-Unis sur la version 2107 ou ultérieure

  • https://dc.services.visualstudio.com

Le point de connexion de service établit une connexion sortante de longue date au service de notification hébergé sur https://*.manage.microsoft.com. Vérifiez que le proxy utilisé pour le point de connexion de service n'interrompt pas trop rapidement les connexions sortantes. Nous vous recommandons 3 minutes pour les connexions sortantes à ce point de terminaison Internet.

Si votre environnement a des règles de proxy pour autoriser uniquement des listes de révocation de certificats (CRL) spécifiques ou des emplacements de vérification ocsp (online certificate status protocol), autorisez également les URL de liste de révocation de certificats et OCSP suivantes :

  • http://crl3.digicert.com
  • http://crl4.digicert.com
  • http://ocsp.digicert.com
  • http://www.d-trust.net
  • http://root-c3-ca2-2009.ocsp.d-trust.net
  • http://crl.microsoft.com
  • http://oneocsp.microsoft.com
  • http://ocsp.msocsp.com
  • http://www.microsoft.com/pkiops

Analyse des points de terminaison

Pour plus d’informations, consultez Configuration du proxy Endpoint Analytics.

Points de terminaison requis pour les appareils gérés par Configuration Manager

Les appareils gérés par Configuration Manager envoient des données à Intune via le connecteur sur le rôle Configuration Manager, et n’ont pas besoin d’accéder directement au cloud public Microsoft.

Point de terminaison Fonction
https://graph.windows.net Permet de récupérer automatiquement les paramètres lors de l’attachement de votre hiérarchie à Endpoint Analytics sur Configuration Manager rôle serveur. Pour plus d’informations, consultez Configurer le proxy pour un serveur de système de site.
https://*.manage.microsoft.com Permet de synchroniser le regroupement d’appareils et les appareils avec l’analytique de point de terminaison sur Configuration Manager rôle serveur uniquement. Pour plus d’informations, consultez Configurer le proxy pour un serveur de système de site.

Points de terminaison requis pour les appareils gérés par Intune

Pour pouvoir être inscrits auprès d’Endpoint Analytics, les appareils doivent envoyer des données fonctionnelles requises au cloud public Microsoft. Endpoint Analytics utilise le client Windows et le composant Expériences utilisateur connectées et télémétrie Windows Server (DiagTrack) pour collecter les données à partir d’appareils gérés par Intune. Assurez-vous que le service Expériences des utilisateurs connectés et télémétrie sur l’appareil est en cours d’exécution.

Point de terminaison Fonction
https://*.events.data.microsoft.com Permet aux appareils gérés par Intune d’envoyer des données fonctionnelles requises au point de terminaison de la collecte de données Intune.

Asset Intelligence

Si vous utilisez Asset Intelligence, autorisez la synchronisation des points de terminaison suivants pour le service :

  • https://sc.microsoft.com
  • https://ssu2.manage.microsoft.com

Déployer Microsoft Edge

L’appareil exécutant la console Configuration Manager a besoin d’accéder aux points de terminaison suivants pour le déploiement de Microsoft Edge :

Emplacement Utilisation
https://aka.ms/cmedgeapi Informations sur les versions de Microsoft Edge
https://edgeupdates.microsoft.com/api/products?view=enterprise Informations sur les versions de Microsoft Edge
http://dl.delivery.mp.microsoft.com Contenu des versions de Microsoft Edge

Notifications externes

Pour plus d’informations, consultez Notifications externes.

Le point de connexion de service doit communiquer avec le service de notification, par exemple Azure Logic Apps. Le point de terminaison d’accès pour l’application logique a généralement le format suivant : https://*.<RegionName>.logic.azure.com:443. Par exemple : https://prod1.westus2.logic.azure.com:443

Pour obtenir le point de terminaison d’accès de l’application logique, ainsi que les adresses IP associées, procédez comme suit :

  1. Dans la Portail Azure, sous Logic Apps, sélectionnez l’application logique pour votre notification. Pour plus d’informations, consultez Gérer les applications logiques dans la Portail Azure.
  2. Dans le menu de l’application, dans la section Paramètres , sélectionnez Propriétés.
  3. Affichez ou copiez les valeurs du point de terminaison Access et des adresses IP du point de terminaison d’accès.

Adresses IP publiques Microsoft

Pour plus d’informations sur les plages d’adresses IP Microsoft, consultez Espace IP public Microsoft. Ces adresses sont mises à jour régulièrement. Il n’y a pas de granularité par service, toutes les adresses IP de ces plages peuvent être utilisées.

Étapes suivantes