Conditions requises d'accès à l'internet
Certaines fonctionnalités Configuration Manager reposent sur la connectivité Internet pour toutes les fonctionnalités. Si votre organization restreint la communication réseau avec Internet à l’aide d’un pare-feu ou d’un appareil proxy, veillez à autoriser ces points de terminaison.
Configuration Manager utilise les services de transport d’URL Microsoft suivants dans l’ensemble du produit :
https://aka.ms
https://go.microsoft.com
Même s’ils ne sont pas explicitement répertoriés dans les sections ci-dessous, vous devez toujours autoriser ces points de terminaison.
Point de connexion de service
Pour plus d’informations, consultez À propos du point de connexion de service.
Ces configurations s’appliquent au serveur qui héberge le point de connexion de service et aux pare-feu entre ce serveur et Internet. Autorisez la communication via le port HTTPS sortant TCP 443 vers les emplacements Internet.
Le point de connexion de service prend en charge l’utilisation d’un proxy web avec ou sans authentification pour utiliser ces emplacements. Pour plus d’informations, consultez Prise en charge du serveur proxy.
Si le site Configuration Manager ne parvient pas à se connecter aux points de terminaison requis pour un service cloud, il déclenche un id de message de status critique 11488. Lorsqu’il ne peut pas se connecter au service, le composant SMS_SERVICE_CONNECTOR status devient critique. Affichez des status détaillées dans le nœud État du composant de la console Configuration Manager.
À compter de la version 2010, le point de connexion de service valide les points de terminaison Internet importants pour l’attachement du locataire. Ces vérifications permettent de s’assurer que les services connectés au cloud sont disponibles. Il vous permet également de résoudre les problèmes en déterminant rapidement si la connectivité réseau est un problème. Pour plus d’informations, consultez Valider l’accès à Internet.
Les URL spécifiques requises par le point de connexion de service varient selon Configuration Manager fonctionnalité :
- Mises à jour et maintenance
- Maintenance de Windows
- Services Azure
- Application Microsoft Store pour les entreprises (Microsoft Store for Business)
- Services cloud
- console Configuration Manager
- Attachement du client
- Notifications externes
Conseil
Le point de connexion de service utilise le service Microsoft Intune lorsqu’il se connecte à go.microsoft.com
ou manage.microsoft.com
. Il existe un problème connu dans lequel le connecteur Intune rencontre des problèmes de connectivité si le certificat racine Baltimore CyberTrust n’est pas installé, a expiré ou est endommagé sur le point de connexion de service. Pour plus d’informations, consultez Point de connexion de service ne télécharge pas les mises à jour.
Mises à jour et maintenance
Pour plus d’informations, consultez Mises à jour et maintenance.
Conseil
Activez ces points de terminaison pour la règle d’insight de gestion, Connectez le site au cloud Microsoft pour Configuration Manager mises à jour.
*.akamaiedge.net
*.akamaitechnologies.com
*.manage.microsoft.com
go.microsoft.com
download.microsoft.com
download.windowsupdate.com
download.visualstudio.microsoft.com
sccmconnected-a01.cloudapp.net
definitionupdates.microsoft.com
configmgrbits.azureedge.net
Importante
Ce point de terminaison Azure prend uniquement en charge TLS 1.2 avec des suites de chiffrement spécifiques. Assurez-vous que votre environnement prend en charge ces configurations Azure. Pour plus d’informations, consultez Azure Front Door : FAQ sur la configuration TLS.
cmbitsstore.blob.core.windows.net
ceuswatcab01.blob.core.windows.net
ceuswatcab02.blob.core.windows.net
eaus2watcab01.blob.core.windows.net
eaus2watcab02.blob.core.windows.net
weus2watcab01.blob.core.windows.net
weus2watcab02.blob.core.windows.net
cmbitsstore.blob.core.windows.net
umwatsonc.events.data.microsoft.com
*-umwatsonc.events.data.microsoft.com
Maintenance de Windows
Pour plus d’informations, consultez Gérer les Windows as a service.
download.microsoft.com
https://go.microsoft.com/fwlink/?LinkID=619849
dl.delivery.mp.microsoft.com
Services Azure
Pour plus d’informations, consultez Configurer les services Azure à utiliser avec Configuration Manager.
-
management.azure.com
(Cloud public Azure) -
management.usgovcloudapi.net
(Cloud Azure US Government)
Cogestion
Si vous inscrivez des appareils Windows à Microsoft Intune pour la cogestion, assurez-vous que ces appareils peuvent accéder aux points de terminaison requis par Intune. Pour plus d’informations, consultez Points de terminaison réseau pour Microsoft Intune.
Microsoft Store pour Entreprises
Si vous intégrez Configuration Manager au Microsoft Store pour Entreprises, assurez-vous que le point de connexion de service et les appareils ciblés peuvent accéder au service cloud. Pour plus d’informations, consultez configuration du proxy Microsoft Store pour Entreprises.
Optimisation de la distribution
Si vous utilisez l’optimisation de la distribution, les clients doivent communiquer avec leur service cloud : *.do.dsp.mp.microsoft.com
Les points de distribution qui prennent en charge Microsoft Connected Cache nécessitent également ces points de terminaison.
Si vous souhaitez en savoir plus, consultez les articles suivants :
- FAQ sur l’optimisation de la distribution
- Concepts fondamentaux de la gestion de contenu dans Configuration Manager
- Cache connecté Microsoft avec Configuration Manager
Services cloud
Pour plus d’informations sur la passerelle de gestion cloud (CMG), consultez Planifier la passerelle de gestion cloud.
Cette section couvre les fonctionnalités suivantes :
Passerelle de gestion du cloud (CMG)
intégration Microsoft Entra
Découverte basée sur Microsoft Entra ID
Point de distribution cloud (CDP)
Remarque
Le point de distribution cloud (CDP) est déconseillé. À compter de la version 2107, vous ne pouvez pas créer de nouvelles instances CDP. Pour fournir du contenu à des appareils Basés sur Internet, autorisez la passerelle de gestion cloud à distribuer du contenu.
Les sections suivantes répertorient les points de terminaison par rôle. Certains points de terminaison font référence à un service par <prefix>
, qui est le nom de préfixe de la passerelle de gestion cloud. Par exemple, si votre passerelle de gestion cloud est GraniteFalls.WestUS.CloudApp.Azure.Com
, le point de terminaison de stockage réel est GraniteFalls.blob.core.windows.net
.
Conseil
Pour clarifier une terminologie :
Nom du service de passerelle de gestion cloud : nom commun (CN) du certificat d’authentification du serveur de passerelle de gestion cloud. Les clients et le rôle de système de site de point de connexion de passerelle de gestion cloud communiquent avec ce nom de service. Par exemple :
GraniteFalls.contoso.com
ouGraniteFalls.WestUS.CloudApp.Azure.Com
.Nom du déploiement de la passerelle de gestion cloud : première partie du nom du service, plus l’emplacement Azure pour le déploiement du service cloud. Le composant Cloud Service Manager du point de connexion de service utilise ce nom lorsqu’il déploie la passerelle de gestion cloud dans Azure. Le nom du déploiement se trouve toujours dans un domaine Azure. L’emplacement Azure dépend de la méthode de déploiement, par exemple :
- Groupe de machines virtuelles identiques :
GraniteFalls.WestUS.CloudApp.Azure.Com
- Déploiement classique :
GraniteFalls.CloudApp.Net
- Groupe de machines virtuelles identiques :
Cet article utilise des exemples avec un groupe de machines virtuelles identiques comme méthode de déploiement recommandée dans les versions 2107 et ultérieures. Si vous utilisez un déploiement classique, notez la différence lorsque vous lisez cet article et configurez l’accès à Internet.
Point de connexion de service pour les services cloud
Pour Configuration Manager de déployer le service de passerelle de gestion cloud dans Azure, le point de connexion de service doit avoir accès à :
Des points de terminaison Azure spécifiques, qui sont différents selon l’environnement en fonction de la configuration. Configuration Manager stocke ces points de terminaison dans la base de données du site. Interrogez la table AzureEnvironments dans SQL Server pour obtenir la liste des points de terminaison Azure.
Services Azure :
-
management.azure.com
(Cloud public Azure) -
management.usgovcloudapi.net
(Cloud Azure US Government)
-
Pour Microsoft Entra découverte d’utilisateurs : Point de terminaison Microsoft Graph
https://graph.microsoft.com/
Point de connexion de passerelle de gestion cloud pour les services cloud
Le point de connexion de la passerelle de gestion cloud doit accéder aux points de terminaison suivants :
Type | Cloud public Azure | Cloud Azure US Government |
---|---|---|
Nom du service | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
Point de terminaison de stockage 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
Point de terminaison de stockage 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
Coffre de clés | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
Le système de site de point de connexion de la passerelle de gestion cloud prend en charge l’utilisation d’un proxy web. Pour plus d’informations sur la configuration de ce rôle pour un proxy, consultez Prise en charge du serveur proxy.
Le point de connexion de la passerelle de gestion cloud doit uniquement se connecter aux points de terminaison de service de la passerelle de gestion cloud. Il n’a pas besoin d’accéder à d’autres points de terminaison Azure.
client Configuration Manager pour les services cloud
Tout client Configuration Manager qui doit communiquer avec une passerelle de gestion cloud doit avoir accès aux points de terminaison suivants :
Type | Cloud public Azure | Cloud Azure US Government |
---|---|---|
Nom du déploiement | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
Point de terminaison de stockage | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
point de terminaison Microsoft Entra | login.microsoftonline.com |
login.microsoftonline.us |
console Configuration Manager pour les services cloud
Tout appareil doté de la console Configuration Manager a besoin d’accéder aux points de terminaison suivants :
Type | Cloud public Azure | Cloud Azure US Government |
---|---|---|
Microsoft Entra points de terminaison | login.microsoftonline.com aadcdn.msauth.net aadcdn.msftauth.net |
login.microsoftonline.us |
Mises à jour logicielles
Autorisez le point de mise à jour logicielle actif à accéder aux points de terminaison suivants afin que WSUS et automatic Mises à jour puissent communiquer avec le service cloud Microsoft Update :
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
http://download.microsoft.com
http://*.download.windowsupdate.com
http://ntservicepack.microsoft.com
Pour plus d’informations sur les mises à jour logicielles, consultez Planifier les mises à jour logicielles.
Pare-feu intranet
Vous devrez peut-être ajouter des points de terminaison à un pare-feu qui se trouve entre deux systèmes de site dans les cas suivants :
- Si les sites enfants ont un point de mise à jour logicielle
- S’il existe un point de mise à jour logicielle internet actif à distance sur un site
Point de mise à jour logicielle sur le site enfant
http://<FQDN for software update point on child site>
https://<FQDN for software update point on child site>
http://<FQDN for software update point on parent site>
https://<FQDN for software update point on parent site>
Gérer Microsoft 365 Apps
Remarque
À compter du 21 avril 2020, Office 365 ProPlus sera renommé Applications Microsoft 365 pour les grandes entreprises. Pour plus d’informations, consultez Changement de nom pour Office 365 ProPlus. Vous pouvez toujours voir des références à l’ancien nom dans la console Configuration Manager et la documentation de support pendant la mise à jour de la console.
Si vous utilisez Configuration Manager pour déployer et mettre à jour Applications Microsoft 365 pour les grandes entreprises, autorisez les points de terminaison suivants :
officecdn.microsoft.com
pour synchroniser le point de mise à jour logicielle pour Applications Microsoft 365 pour les grandes entreprises mises à jour du clientconfig.office.com
pour créer des configurations personnalisées pour les déploiements Applications Microsoft 365 pour les grandes entrepriseshttps://clients.config.office.net
ethttps://go.microsoft.com/fwlink/?linkid=2190568
pour prendre en charge le déploiement de mises à jour pour Applications Microsoft 365 pour les grandes entreprisescontentstorage.osi.office.net
pour prendre en charge l’évaluation de la préparation des compléments Officeclients.config.office.net
pour récupérer les noms des fichiers nécessaires pour une mise à jour Microsoft 365 Apps particulière. Pour plus d’informations, consultez Utilisation de l’API de liste de fichiers Microsoft 365 Apps.
Votre serveur de site de niveau supérieur a besoin d’accéder au point de terminaison suivant pour télécharger le fichier de préparation Microsoft Apps 365 :
- À compter du 2 mars 2021 :
https://omex.cdn.office.net/mirrored/sccmreadiness/SOT_SCCM_AddinReadiness.CAB
- Emplacement avant le 2 mars 2021 :
https://contentstorage.osi.office.net/sccmreadinessppe/sot_sccm_addinreadiness.cab
- Emplacement avant le 2 mars 2021 :
Remarque
L’emplacement de ce fichier change le 2 mars 2021. Pour plus d’informations, consultez Télécharger le changement d’emplacement pour Microsoft 365 Apps fichier de préparation.
console Configuration Manager
Les ordinateurs dotés de la console Configuration Manager nécessitent l’accès aux points de terminaison Internet suivants pour des fonctionnalités spécifiques :
Remarque
Pour que les notifications Push de Microsoft s’affichent dans la console, le point de connexion de service doit accéder à configmgrbits.azureedge.net
. Il a également besoin d’accéder à ce point de terminaison pour les mises à jour et la maintenance. Vous l’avez peut-être déjà autorisé.
Commentaires dans la console
Sur l’ordinateur sur lequel vous exécutez la console, autorisez-la à accéder aux points de terminaison Internet suivants pour envoyer des données de diagnostic à Microsoft :
petrol.office.microsoft.com
ceuswatcab01.blob.core.windows.net
ceuswatcab02.blob.core.windows.net
eaus2watcab01.blob.core.windows.net
eaus2watcab02.blob.core.windows.net
weus2watcab01.blob.core.windows.net
weus2watcab02.blob.core.windows.net
umwatsonc.events.data.microsoft.com
*-umwatsonc.events.data.microsoft.com
Pour plus d’informations sur cette fonctionnalité, consultez Commentaires sur le produit.
Espace de travail de la communauté
Nœud de documentation
Pour plus d’informations sur ce nœud de console, consultez Utilisation de la console Configuration Manager.
https://aka.ms
https://raw.githubusercontent.com
Hub communauté
Pour plus d’informations sur cette fonctionnalité, consultez Hub Communauté.
https://github.com
https://communityhub.microsoft.com
Joint au client
Pour plus d’informations, consultez Activer l’attachement de locataire.
https://aka.ms/configmgrgateway
https://*.manage.microsoft.com
pour les clients du cloud public Azurehttps://*.manage.microsoft.us
pour les clients cloud du gouvernement des États-Unis sur la version 2107 ou ultérieurehttps://dc.services.visualstudio.com
Le point de connexion de service établit une connexion sortante de longue date au service de notification hébergé sur https://*.manage.microsoft.com
. Vérifiez que le proxy utilisé pour le point de connexion de service n'interrompt pas trop rapidement les connexions sortantes. Nous vous recommandons 3 minutes pour les connexions sortantes à ce point de terminaison Internet.
Si votre environnement a des règles de proxy pour autoriser uniquement des listes de révocation de certificats (CRL) spécifiques ou des emplacements de vérification ocsp (online certificate status protocol), autorisez également les URL de liste de révocation de certificats et OCSP suivantes :
http://crl3.digicert.com
http://crl4.digicert.com
http://ocsp.digicert.com
http://www.d-trust.net
http://root-c3-ca2-2009.ocsp.d-trust.net
http://crl.microsoft.com
http://oneocsp.microsoft.com
http://ocsp.msocsp.com
http://www.microsoft.com/pkiops
Analyse des points de terminaison
Pour plus d’informations, consultez Configuration du proxy Endpoint Analytics.
Points de terminaison requis pour les appareils gérés par Configuration Manager
Les appareils gérés par Configuration Manager envoient des données à Intune via le connecteur sur le rôle Configuration Manager, et n’ont pas besoin d’accéder directement au cloud public Microsoft.
Point de terminaison | Fonction |
---|---|
https://graph.windows.net |
Permet de récupérer automatiquement les paramètres lors de l’attachement de votre hiérarchie à Endpoint Analytics sur Configuration Manager rôle serveur. Pour plus d’informations, consultez Configurer le proxy pour un serveur de système de site. |
https://*.manage.microsoft.com |
Permet de synchroniser le regroupement d’appareils et les appareils avec l’analytique de point de terminaison sur Configuration Manager rôle serveur uniquement. Pour plus d’informations, consultez Configurer le proxy pour un serveur de système de site. |
Points de terminaison requis pour les appareils gérés par Intune
Pour pouvoir être inscrits auprès d’Endpoint Analytics, les appareils doivent envoyer des données fonctionnelles requises au cloud public Microsoft. Endpoint Analytics utilise le client Windows et le composant Expériences utilisateur connectées et télémétrie Windows Server (DiagTrack) pour collecter les données à partir d’appareils gérés par Intune. Assurez-vous que le service Expériences des utilisateurs connectés et télémétrie sur l’appareil est en cours d’exécution.
Point de terminaison | Fonction |
---|---|
https://*.events.data.microsoft.com |
Permet aux appareils gérés par Intune d’envoyer des données fonctionnelles requises au point de terminaison de la collecte de données Intune. |
Asset Intelligence
Si vous utilisez Asset Intelligence, autorisez la synchronisation des points de terminaison suivants pour le service :
https://sc.microsoft.com
https://ssu2.manage.microsoft.com
Déployer Microsoft Edge
L’appareil exécutant la console Configuration Manager a besoin d’accéder aux points de terminaison suivants pour le déploiement de Microsoft Edge :
Emplacement | Utilisation |
---|---|
https://aka.ms/cmedgeapi |
Informations sur les versions de Microsoft Edge |
https://edgeupdates.microsoft.com/api/products?view=enterprise |
Informations sur les versions de Microsoft Edge |
http://dl.delivery.mp.microsoft.com |
Contenu des versions de Microsoft Edge |
Notifications externes
Pour plus d’informations, consultez Notifications externes.
Le point de connexion de service doit communiquer avec le service de notification, par exemple Azure Logic Apps. Le point de terminaison d’accès pour l’application logique a généralement le format suivant : https://*.<RegionName>.logic.azure.com:443
. Par exemple : https://prod1.westus2.logic.azure.com:443
Pour obtenir le point de terminaison d’accès de l’application logique, ainsi que les adresses IP associées, procédez comme suit :
- Dans la Portail Azure, sous Logic Apps, sélectionnez l’application logique pour votre notification. Pour plus d’informations, consultez Gérer les applications logiques dans la Portail Azure.
- Dans le menu de l’application, dans la section Paramètres , sélectionnez Propriétés.
- Affichez ou copiez les valeurs du point de terminaison Access et des adresses IP du point de terminaison d’accès.
Adresses IP publiques Microsoft
Pour plus d’informations sur les plages d’adresses IP Microsoft, consultez Espace IP public Microsoft. Ces adresses sont mises à jour régulièrement. Il n’y a pas de granularité par service, toutes les adresses IP de ces plages peuvent être utilisées.