Adresses IP et URL de domaine autorisées

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Si votre organisation est sécurisée avec un pare-feu ou un serveur proxy, vous devez ajouter certaines adresses IP (Internet Protocol) et des url (URL) à la liste verte. L’ajout de ces ADRESSES IP et URL à la liste verte vous permet de vous assurer que vous disposez de la meilleure expérience avec Azure DevOps. Vous savez que vous devez mettre à jour votre liste verte si vous ne pouvez pas accéder à Azure DevOps sur votre réseau. Consultez les sections suivantes de cet article :

• URL de domaine autorisées
• Adresses IP et restrictions de plage

Conseil

Pour que Visual Studio et Les services Azure fonctionnent correctement sans problème réseau, vous devez ouvrir les ports et protocoles sélectionnés. Pour plus d’informations, consultez Installer et utiliser Visual Studio derrière un pare-feu ou un serveur proxy, utiliser Visual Studio et les services Azure.

Adresses IP et restrictions de plage

Connexions sortantes

Les connexions sortantes ciblent d’autres sites dépendants . Voici quelques exemples de ces connexions :

• Navigateurs se connectant au site web Azure DevOps à mesure que les utilisateurs accèdent aux fonctionnalités d’Azure DevOps
• Agents Azure Pipelines installés sur le réseau de votre organisation se connectant à Azure DevOps pour interroger les travaux en attente
• Événements CI envoyés à partir d’un référentiel de code source hébergé dans le réseau de votre organisation vers Azure DevOps

Vérifiez que les adresses IP suivantes sont autorisées pour les connexions sortantes, de sorte que votre organisation fonctionne avec n’importe quelle restriction de pare-feu ou d’adresse IP existante. Les données de point de terminaison dans le graphique suivant répertorient les exigences en matière de connectivité d’une machine de votre organisation à Azure DevOps Services.

Plages IP V4

13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24

Plages IP V6

2620:1ec:4::/48
2620:1ec:a92::/48
2620:1ec:21::/48
2620:1ec:22::/48

Si vous autorisez actuellement les adresses IP et 13.107.9.183 les 13.107.6.183 adresses IP, laissez-les en place, car vous n’avez pas besoin de les supprimer.

Remarque

Les balises de service Azure ne sont pas prises en charge pour les connexions sortantes .

Connexions entrantes

Les connexions entrantes proviennent d’Azure DevOps et de ressources cibles au sein du réseau de votre organisation. Voici quelques exemples de ces connexions :

• Azure DevOps Services se connectant aux points de terminaison pour les hooks de service
• Azure DevOps Services se connectant à des machines virtuelles SQL Azure contrôlées par le client pour l’importation de données
• Azure Pipelines se connectant à des référentiels de code source locaux tels que GitHub Enterprise ou Bitbucket Server
• Azure DevOps Services Audit Streaming se connectant à Splunk local ou cloud

Vérifiez que les adresses IP suivantes sont autorisées pour les connexions entrantes, de sorte que votre organisation fonctionne avec n’importe quelle restriction de pare-feu ou d’adresse IP existante. Les données de point de terminaison dans le graphique suivant répertorient les exigences de connectivité d’Azure DevOps Services à vos services cloud locaux ou autres.

Pays	Région	Plages IP V4
Australie	Australie Est	20.37.194.0/24
	Sud-Est de l’Australie	20.42.226.0/24
Brésil	Brésil Sud	191.235.226.0/24
Canada	Canada central	52.228.82.0/24
Asie-Pacifique	Asie Sud-Est (Singapour)	20.195.68.0/24
Inde	Inde Sud	20.41.194.0/24
	Inde centrale	20.204.197.192/26
États-Unis	États-Unis central	20.37.158.0/23
	États-Unis Centre-Ouest	52.150.138.0/24
	États-Unis Est	20.42.5.0/24
	Est 2 États-Unis	20.41.6.0/23
	États-Unis nord	40.80.187.0/24
	États-Unis sud	40.119.10.0/24
	États-Unis Ouest	40.82.252.0/24
	Ouest 2 États-Unis	20.42.134.0/23
	Ouest 3 États-Unis	20.125.155.0/24
Europe	Europe de l’Ouest	40.74.28.0/23
	Europe Nord	20.166.41.0/24
Royaume-Uni	Royaume-Uni Sud	51.104.26.0/24

Les balises de service Azure sont prises en charge uniquement pour les connexions entrantes . Au lieu d’autoriser les plages d’adresses IP répertoriées précédemment, vous pouvez utiliser la balise de service AzureDevOps pour Pare-feu Azure et le groupe de sécurité réseau (NSG) ou le pare-feu local via un téléchargement de fichier JSON.

Remarque

La balise de service ou les adresses IP entrantes mentionnées précédemment ne s’appliquent pas aux agents hébergés par Microsoft. Les clients sont toujours tenus d’autoriser l’intégralité de la zone géographique pour les agents hébergés par Microsoft. Si l’ensemble de la zone géographique est un problème, nous vous recommandons d’utiliser les agents azure Virtual Machine Scale Set. Les agents de groupe identique sont une forme d’agents auto-hébergés qui peuvent être mis à l’échelle automatiquement pour répondre à vos demandes.
Les agents macOS hébergés sont hébergés dans le cloud macOS de GitHub. Les plages d’adresses IP peuvent être récupérées avec l’API de métadonnées GitHub en suivant les instructions fournies ici.

Autres adresses IP

La plupart des adresses IP suivantes concernent Microsoft 365 Common and Bureau Online.

40.82.190.38
52.108.0.0/14
52.237.19.6
52.238.106.116/32
52.244.37.168/32
52.244.203.72/32
52.244.207.172/32
52.244.223.198/32
52.247.150.191/32

Pour plus d’informations, consultez points de terminaison mondiaux et ajout de règles d’adresse IP.

Connexions Azure DevOps ExpressRoute

Si votre organisation utilise ExpressRoute, vérifiez que les adresses IP suivantes sont autorisées pour les connexions sortantes et entrantes.

Plages IP V4

13.107.6.175/32
13.107.6.176/32
13.107.6.183/32
13.107.9.175/32
13.107.9.176/32
13.107.9.183/32
13.107.42.18/32
13.107.42.19/32
13.107.42.20/32
13.107.43.18/32
13.107.43.19/32
13.107.43.20/32

Plages IP V6

2620:1ec:a92::175/128
2620:1ec:a92::176/128
2620:1ec:a92::183/128
2620:1ec:4::175/128
2620:1ec:4::176/128
2620:1ec:4::183/128
2620:1ec:21::18/128
2620:1ec:21::19/128
2620:1ec:21::20/128
2620:1ec:22::18/128
2620:1ec:22::19/128
2620:1ec:22::20/128

Pour plus d’informations sur Azure DevOps et ExpressRoute, consultez ExpressRoute pour Azure DevOps.

URL de domaine autorisées

Les problèmes de connexion réseau peuvent se produire en raison de vos appliances de sécurité, ce qui peut bloquer les connexions : Visual Studio utilise TLS 1.2 et versions ultérieures. Lorsque vous utilisez NuGet ou que vous vous connectez à partir de Visual Studio 2015 et versions ultérieures, mettez à jour les appliances de sécurité pour prendre en charge TLS 1.2 et versions ultérieures pour les connexions suivantes.

Pour vous assurer que votre organisation fonctionne avec les restrictions existantes de pare-feu ou d’adresse IP, assurez-vous qu’elle dev.azure.com est ouverte et *.dev.azure.com ouverte.

La section suivante inclut les URL de domaine les plus courantes pour prendre en charge les connexions de connexion et de licence.

https://dev.azure.com
https://*.dev.azure.com
https://aex.dev.azure.com
https://aexprodea1.vsaex.visualstudio.com
https://*vstmrblob.vsassets.io
https://amp.azure.net
https://app.vssps.dev.azure.com
https://app.vssps.visualstudio.com
https://*.vsblob.visualstudio.com
https://*.vssps.visualstudio.com
https://*.vstmr.visualstudio.com
https://azure.microsoft.com
https://go.microsoft.com
https://graph.microsoft.com
https://login.microsoftonline.com
https://management.azure.com
https://management.core.windows.net
https://microsoft.com
https://microsoftonline.com
https://static2.sharepointonline.com
https://visualstudio.com
https://vsrm.dev.azure.com
https://vstsagentpackage.azureedge.net
https://*.windows.net
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com

Azure DevOps uses content delivery network (CDN) to serve static content. The following URLs are part of that. 
https://cdn.vsassets.io
https://*.vsassets.io
https://*gallerycdn.vsassets.io
https://aadcdn.msauth.net
https://aadcdn.msftauth.net
https://amcdn.msftauth.net
https://azurecomcdn.azureedge.net

Les points de terminaison suivants sont utilisés pour authentifier les organisations Azure DevOps à l’aide d’un compte Microsoft (MSA). Ces points de terminaison sont uniquement nécessaires pour les organisations Azure DevOps sauvegardées par les comptes Microsoft (MSA). Les organisations Azure DevOps soutenues par un locataire Microsoft Entra n’ont pas besoin des URL suivantes.

https://live.com 
https://login.live.com 

L’URL suivante est requise si vous migrez du serveur Azure DevOps vers le service cloud à l’aide de notre outil de migration de données.

https://dataimport.dev.azure.com

Remarque

Azure DevOps utilise des réseau de distribution de contenu (CDN) pour servir du contenu statique. Les utilisateurs en Chine doivent également ajouter les URL de domaine suivantes à une liste verte :

https://*.vsassetscdn.azure.cn
https://*.gallerycdn.azure.cn

Nous vous recommandons d’ouvrir le port 443 vers tout le trafic sur les adresses IP et domaines suivants. Nous vous recommandons également d’ouvrir le port 22 vers un sous-ensemble plus petit d’adresses IP ciblées.

Autres URL de domaine	Descriptions
https://login.microsoftonline.com	Authentification et connexion associées
https ://*.vssps.visualstudio.com	Authentification et connexion associées
https ://*gallerycdn.vsassets.io	Héberge les extensions Azure DevOps
https ://*vstmrblob.vsassets.io	Héberge les données du journal TCM Azure DevOps
https://cdn.vsassets.io	Héberge le contenu azure DevOps réseau de distribution de contenu s (CDN)
https://static2.sharepointonline.com	Héberge certaines ressources utilisées par Azure DevOps dans le kit d’interface utilisateur « office fabric » pour les polices, et ainsi de suite
https://vsrm.dev.azure.com	Versions d’hôtes
https://vstsagentpackage.azureedge.net	Requis pour configurer l’agent auto-hébergé dans des machines au sein de votre réseau
https://amp.azure.net	Nécessaire pour le déploiement sur Azure App Service
https://go.microsoft.com	Accès aux liens go

Azure Artifacts

Vérifiez que les URL de domaine suivantes sont autorisées pour Azure Artifacts :

https://*.blob.core.windows.net
https://*.visualstudio.com
https://*.dedup.microsoft.com

Autorisez également toutes les adresses IP dans le « nom » : « Stockage.{ section « region} » du fichier suivant (mis à jour hebdomadairement) : plages d’adresses IP Azure et balises de service - Cloud public. {region} est la même zone géographique Azure que votre organisation.

Connexions NuGet

Vérifiez que les URL de domaine suivantes sont autorisées pour les connexions NuGet :

https://azurewebsites.net
https://nuget.org

Remarque

Les URL de serveur NuGet détenues en privé peuvent ne pas être incluses dans la liste précédente. Vous pouvez case activée les serveurs NuGet que vous utilisez en ouvrant %APPData%\Nuget\NuGet.Config.

Connexions SSH

Si vous devez vous connecter aux référentiels Git sur Azure DevOps avec SSH, autorisez les requêtes au port 22 pour les hôtes suivants :

ssh.dev.azure.com
vs-ssh.visualstudio.com

Autorisez également les adresses IP dans la section « name » : « AzureDevOps » de ce fichier téléchargeable (mis à jour chaque semaine) nommé : Plages d’adresses IP Azure et balises de service - Cloud public

Agents hébergés par Microsoft Azure Pipelines

Si vous utilisez l’agent hébergé par Microsoft pour exécuter vos travaux et que vous avez besoin des informations sur les adresses IP utilisées, consultez les plages d’adresses IP des agents hébergés par Microsoft. Consultez tous les agents du groupe de machines virtuelles identiques Azure.

Pour plus d’informations sur les agents Windows, Linux et macOS hébergés, consultez les plages d’adresses IP de l’agent hébergé par Microsoft.

Agents auto-hébergés Azure Pipelines

Si vous exécutez un pare-feu et que votre code se trouve dans Azure Repos, consultez les FAQ sur les agents Linux auto-hébergés, les FAQ sur les agents macOS auto-hébergés ou les faq sur les agents Windows auto-hébergés. Cet article contient des informations sur les URL de domaine et adresses IP avec lesquelles votre agent privé doit communiquer.

Service d’importation Azure DevOps

Pendant le processus d’importation, nous vous recommandons vivement de restreindre l’accès à votre machine virtuelle à des adresses IP d’Azure DevOps uniquement. Pour restreindre l’accès, autorisez uniquement les connexions à partir de l’ensemble d’adresses IP Azure DevOps, qui ont été impliquées dans le processus d’importation de base de données de collection. Pour plus d’informations sur l’identification des adresses IP correctes, consultez (Facultatif) Restreindre l’accès aux adresses IP Azure DevOps Services uniquement.

Articles connexes

• Balises de service disponibles
• Plages d’adresses IP des agents hébergés par Microsoft
• FAQ sur les agents Windows auto-hébergés
• Configurer des pare-feu et des réseaux virtuels dans Stockage Azure
• Installer et utiliser Visual Studio derrière un pare-feu ou un serveur proxy