Requisiti di accesso a Internet
Alcune funzionalità di Configuration Manager si basano sulla connettività Internet per le funzionalità complete. Se l'organizzazione limita la comunicazione di rete con Internet usando un firewall o un dispositivo proxy, assicurarsi di consentire questi endpoint.
Configuration Manager usa i seguenti servizi di inoltro URL Microsoft nel prodotto:
https://aka.mshttps://go.microsoft.com
Anche se non sono elencati in modo esplicito nelle sezioni seguenti, è consigliabile consentire sempre questi endpoint.
Punto di connessione del servizio
Per altre informazioni, vedere Informazioni sul punto di connessione del servizio.
Queste configurazioni si applicano al server che ospita il punto di connessione del servizio e a eventuali firewall tra tale server e Internet. Consentire la comunicazione tramite la porta HTTPS in uscita TCP 443 verso le posizioni Internet.
Il punto di connessione del servizio supporta l'uso di un proxy Web con o senza autenticazione per usare queste posizioni. Per altre informazioni, vedere Supporto del server proxy.
Se il sito Configuration Manager non riesce a connettersi agli endpoint necessari per un servizio cloud, genera un ID messaggio di stato critico 11488. Quando non riesce a connettersi al servizio, lo stato del componente SMS_SERVICE_CONNECTOR diventa critico. Visualizzare lo stato dettagliato nel nodo Stato componente della console di Configuration Manager.
A partire dalla versione 2010, il punto di connessione del servizio convalida gli endpoint Internet importanti per il collegamento del tenant. Questi controlli consentono di verificare che i servizi connessi al cloud siano disponibili. Inoltre, consente di risolvere i problemi determinando rapidamente se la connettività di rete è un problema. Per altre informazioni, vedere Convalidare l'accesso a Internet.
Gli URL specifici richiesti dal punto di connessione del servizio variano in base alla funzionalità Configuration Manager:
- Aggiornamenti e servizi
- Manutenzione di Windows
- Servizi di Azure
- Microsoft Store per le aziende
- Servizi cloud
- console Configuration Manager
- Connessione tenant
- Notifiche esterne
Consiglio
Il punto di connessione del servizio usa il servizio Microsoft Intune quando si connette a go.microsoft.com o manage.microsoft.com. Esiste un problema noto in cui il connettore Intune presenta problemi di connettività se il certificato baltimore CyberTrust Root non è installato, è scaduto o è danneggiato nel punto di connessione del servizio. Per altre informazioni, vedere Il punto di connessione del servizio non scarica gli aggiornamenti.
Aggiornamenti e servizi
Per altre informazioni, vedere Aggiornamenti e manutenzione.
Consiglio
Abilitare questi endpoint per la regola informazioni dettagliate di gestione, Connettere il sito al cloud Microsoft per gli aggiornamenti Configuration Manager.
*.akamaiedge.net*.akamaitechnologies.com*.manage.microsoft.comgo.microsoft.comdownload.microsoft.comdownload.windowsupdate.comdownload.visualstudio.microsoft.comsccmconnected-a01.cloudapp.netdefinitionupdates.microsoft.comconfigmgrbits.azureedge.netImportante
Questo endpoint di Azure supporta solo TLS 1.2 con suite di crittografia specifiche. Assicurarsi che l'ambiente supporti queste configurazioni di Azure. Per altre informazioni, vedere Domande frequenti sulla configurazione di Frontdoor di Azure: TLS.
cmbitsstore.blob.core.windows.netceuswatcab01.blob.core.windows.netceuswatcab02.blob.core.windows.neteaus2watcab01.blob.core.windows.neteaus2watcab02.blob.core.windows.netweus2watcab01.blob.core.windows.netweus2watcab02.blob.core.windows.netcmbitsstore.blob.core.windows.netumwatsonc.events.data.microsoft.com*-umwatsonc.events.data.microsoft.com
Manutenzione di Windows
Per altre informazioni, vedere Gestire Windows as a Service.
download.microsoft.comhttps://go.microsoft.com/fwlink/?LinkID=619849dl.delivery.mp.microsoft.com
Servizi di Azure
Per altre informazioni, vedere Configurare i servizi di Azure per l'uso con Configuration Manager.
-
management.azure.com(Cloud pubblico di Azure) -
management.usgovcloudapi.net(Cloud di Azure US Government)
Co-gestione
Se si registrano i dispositivi Windows in Microsoft Intune per la co-gestione, assicurarsi che tali dispositivi possano accedere agli endpoint richiesti da Intune. Per altre informazioni, vedere Endpoint di rete per Microsoft Intune.
Microsoft Store per le aziende
Se si integra Configuration Manager con il Microsoft Store per le aziende, assicurarsi che il punto di connessione del servizio e i dispositivi di destinazione possano accedere al servizio cloud. Per altre informazioni, vedere Microsoft Store per le aziende configurazione del proxy.
Ottimizzazione recapito
Se si usa l'ottimizzazione del recapito, i client devono comunicare con il relativo servizio cloud: *.do.dsp.mp.microsoft.com
Anche i punti di distribuzione che supportano Microsoft Connected Cache richiedono questi endpoint.
Per altre informazioni, vedere gli articoli seguenti:
- Domande frequenti su Ottimizzazione recapito
- Concetti fondamentali per la gestione dei contenuti in Configuration Manager
- Microsoft Connected Cache con Configuration Manager
Servizi cloud
Per altre informazioni sul gateway di gestione cloud, vedere Pianificare cmg.
Questa sezione illustra le funzionalità seguenti:
Cloud Management Gateway (CMG)
integrazione Microsoft Entra
individuazione basata su Microsoft Entra ID
Punto di distribuzione cloud (CDP)
Nota
Il punto di distribuzione basato sul cloud (CDP) è deprecato. A partire dalla versione 2107, non è possibile creare nuove istanze CDP. Per fornire contenuto ai dispositivi basati su Internet, abilitare cmg per distribuire il contenuto.
Le sezioni seguenti elencano gli endpoint in base al ruolo. Alcuni endpoint fanno riferimento a un servizio di <prefix>, che è il nome del prefisso del cmg. Ad esempio, se il cmg è GraniteFalls.WestUS.CloudApp.Azure.Com, l'endpoint di archiviazione effettivo è GraniteFalls.blob.core.windows.net.
Consiglio
Per chiarire alcuni termini:
Nome del servizio CMG: nome comune (CN) del certificato di autenticazione del server CMG. I client e il ruolo del sistema del sito del punto di connessione cmg comunicano con questo nome di servizio. Ad esempio,
GraniteFalls.contoso.comoGraniteFalls.WestUS.CloudApp.Azure.Com.Nome distribuzione cmg: la prima parte del nome del servizio più la posizione di Azure per la distribuzione del servizio cloud. Il componente di Gestione servizi cloud del punto di connessione del servizio usa questo nome quando distribuisce il cmg in Azure. Il nome della distribuzione è sempre in un dominio di Azure. La posizione di Azure dipende dal metodo di distribuzione, ad esempio:
- Set di scalabilità di macchine virtuali:
GraniteFalls.WestUS.CloudApp.Azure.Com - Distribuzione classica:
GraniteFalls.CloudApp.Net
- Set di scalabilità di macchine virtuali:
Questo articolo usa esempi con un set di scalabilità di macchine virtuali come metodo di distribuzione consigliato nella versione 2107 e successive. Se si usa una distribuzione classica, tenere presente la differenza durante la lettura di questo articolo e la configurazione dell'accesso a Internet.
Punto di connessione del servizio per i servizi cloud
Per Configuration Manager per distribuire il servizio CMG in Azure, il punto di connessione del servizio deve accedere a:
Endpoint di Azure specifici, diversi per ambiente a seconda della configurazione. Configuration Manager archivia questi endpoint nel database del sito. Eseguire una query sulla tabella AzureEnvironments in SQL Server per l'elenco degli endpoint di Azure.
Servizi di Azure:
-
management.azure.com(Cloud pubblico di Azure) -
management.usgovcloudapi.net(Cloud di Azure US Government)
-
Per Microsoft Entra'individuazione utente: endpoint Microsoft Graph
https://graph.microsoft.com/
Punto di connessione cmg per i servizi cloud
Il punto di connessione cmg deve accedere agli endpoint seguenti:
| Tipo | Cloud pubblico di Azure | Cloud di Azure US Government |
|---|---|---|
| Nome servizio | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| Endpoint di archiviazione 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| Endpoint di archiviazione 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
| Insieme di credenziali delle chiavi | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
Il sistema del sito del punto di connessione cmg supporta l'uso di un proxy Web. Per altre informazioni sulla configurazione di questo ruolo per un proxy, vedere Supporto del server proxy.
Il punto di connessione cmg deve connettersi solo agli endpoint del servizio CMG. Non richiede l'accesso ad altri endpoint di Azure.
client Configuration Manager per i servizi cloud
Qualsiasi client Configuration Manager che deve comunicare con un cmg deve accedere agli endpoint seguenti:
| Tipo | Cloud pubblico di Azure | Cloud di Azure US Government |
|---|---|---|
| Nome distribuzione | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| Endpoint di archiviazione | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| endpoint Microsoft Entra | login.microsoftonline.com |
login.microsoftonline.us |
Configuration Manager console per i servizi cloud
Qualsiasi dispositivo con la console Configuration Manager deve accedere agli endpoint seguenti:
| Tipo | Cloud pubblico di Azure | Cloud di Azure US Government |
|---|---|---|
| endpoint Microsoft Entra | login.microsoftonline.comaadcdn.msauth.netaadcdn.msftauth.net |
login.microsoftonline.us |
Aggiornamenti software
Consentire al punto di aggiornamento software attivo di accedere agli endpoint seguenti in modo che WSUS e Automatic Aggiornamenti possano comunicare con il servizio cloud di Microsoft Update:
http://windowsupdate.microsoft.comhttp://*.windowsupdate.microsoft.comhttps://*.windowsupdate.microsoft.comhttp://*.update.microsoft.comhttps://*.update.microsoft.comhttp://*.windowsupdate.comhttp://download.windowsupdate.comhttp://download.microsoft.comhttp://*.download.windowsupdate.comhttp://ntservicepack.microsoft.com
Per altre informazioni sugli aggiornamenti software, vedere Pianificare gli aggiornamenti software.
Firewall Intranet
Potrebbe essere necessario aggiungere endpoint a un firewall tra due sistemi del sito nei casi seguenti:
- Se i siti figlio hanno un punto di aggiornamento software
- Se è presente un punto di aggiornamento software remoto attivo basato su Internet in un sito
Punto di aggiornamento software nel sito figlio
http://<FQDN for software update point on child site>https://<FQDN for software update point on child site>http://<FQDN for software update point on parent site>https://<FQDN for software update point on parent site>
Gestire gli aggiornamenti di Microsoft 365 Apps
Nota
A partire dal 21 aprile 2020, Office 365 ProPlus viene rinominato in Microsoft 365 Apps for enterprise. Per altre informazioni, vedere Modifica del nome per Office 365 ProPlus. È possibile che nella console di Configuration Manager e nella documentazione di supporto vengano ancora visualizzati riferimenti al nome precedente durante l'aggiornamento della console.
Se si usa Configuration Manager per distribuire e aggiornare Microsoft 365 Apps for enterprise, consentire gli endpoint seguenti:
officecdn.microsoft.comper sincronizzare il punto di aggiornamento software per gli aggiornamenti client Microsoft 365 Apps for enterpriseconfig.office.comper creare configurazioni personalizzate per le distribuzioni Microsoft 365 Apps for enterprisehttps://clients.config.office.netehttps://go.microsoft.com/fwlink/?linkid=2190568per supportare la distribuzione degli aggiornamenti per Microsoft 365 Apps for enterprisecontentstorage.osi.office.netper supportare la valutazione dell'idoneità dei componenti aggiuntivi di Office
Il server del sito di primo livello deve accedere all'endpoint seguente per scaricare il file di conformità Microsoft Apps 365:
- A partire dal 2 marzo 2021:
https://omex.cdn.office.net/mirrored/sccmreadiness/SOT_SCCM_AddinReadiness.CAB- Posizione precedente al 2 marzo 2021:
https://contentstorage.osi.office.net/sccmreadinessppe/sot_sccm_addinreadiness.cab
- Posizione precedente al 2 marzo 2021:
Nota
Il percorso di questo file sta cambiando il 2 marzo 2021. Per altre informazioni, vedere Modifica del percorso di download per Microsoft 365 Apps file di idoneità.
console Configuration Manager
I computer con la console Configuration Manager richiedono l'accesso agli endpoint Internet seguenti per funzionalità specifiche:
Nota
Per visualizzare le notifiche push da Microsoft nella console, il punto di connessione del servizio deve accedere a configmgrbits.azureedge.net. Deve anche accedere a questo endpoint per gli aggiornamenti e la manutenzione, quindi potrebbe essere già stato consentito.
Feedback sulla console
Nel computer in cui si esegue la console, consentire l'accesso agli endpoint Internet seguenti per inviare dati di diagnostica a Microsoft:
petrol.office.microsoft.comceuswatcab01.blob.core.windows.netceuswatcab02.blob.core.windows.neteaus2watcab01.blob.core.windows.neteaus2watcab02.blob.core.windows.netweus2watcab01.blob.core.windows.netweus2watcab02.blob.core.windows.netumwatsonc.events.data.microsoft.com*-umwatsonc.events.data.microsoft.com
Per altre informazioni su questa funzionalità, vedere Commenti e suggerimenti sui prodotti.
Area di lavoro della community
Nodo della documentazione
Per altre informazioni su questo nodo della console, vedere Uso della console Configuration Manager.
https://aka.mshttps://raw.githubusercontent.com
Hub della community
Per altre informazioni su questa funzionalità, vedere Hub della community.
https://github.comhttps://communityhub.microsoft.com
Connessione tenant
Per altre informazioni, vedere Abilita collegamento del tenant.
https://aka.ms/configmgrgatewayhttps://*.manage.microsoft.comper i clienti del cloud pubblico di Azurehttps://*.manage.microsoft.usper i clienti cloud us government nella versione 2107 o successivahttps://dc.services.visualstudio.com
Il punto di connessione del servizio effettua una connessione in uscita di lunga data al servizio di notifica ospitato in https://*.manage.microsoft.com. Verificare che il proxy utilizzato per il punto di connessione del servizio non raggiunga il timeout troppo rapidamente per le connessioni in uscita. Per questo endpoint Internet, è consigliabile usare 3 minuti per le connessioni in uscita.
Se l'ambiente dispone di regole proxy per consentire solo elenchi di revoche di certificati (CRL) specifici o percorsi di verifica OCSP (Online Certificate Status Protocol), consentire anche gli URL CRL e OCSP seguenti:
http://crl3.digicert.comhttp://crl4.digicert.comhttp://ocsp.digicert.comhttp://www.d-trust.nethttp://root-c3-ca2-2009.ocsp.d-trust.nethttp://crl.microsoft.comhttp://oneocsp.microsoft.comhttp://ocsp.msocsp.comhttp://www.microsoft.com/pkiops
Analisi degli endpoint
Per altre informazioni, vedere Configurazione del proxy di analisi degli endpoint.
Endpoint necessari per i dispositivi gestiti da Configuration Manager
I dispositivi gestiti da Configuration Manager inviano i dati a Intune tramite il connettore sul ruolo Configuration Manager e non hanno bisogno di accedere direttamente al cloud pubblico Microsoft.
| Endpoint | Funzione |
|---|---|
https://graph.windows.net |
Usato per recuperare automaticamente le impostazioni quando si collega la gerarchia a Analisi degli endpoint in Configuration Manager ruolo del server. Per altre informazioni, vedere Configurare il proxy per un server del sistema del sito. |
https://*.manage.microsoft.com |
Usato per sincronizzare la raccolta di dispositivi e i dispositivi con Analisi degli endpoint solo in Configuration Manager ruolo del server. Per altre informazioni, vedere Configurare il proxy per un server del sistema del sito. |
Endpoint necessari per i dispositivi gestiti da Intune
Per registrare i dispositivi per Analisi degli endpoint, è necessario inviare i dati funzionali richiesti al cloud pubblico Microsoft. Endpoint Analytics usa il client Windows e il componente Esperienze utente connesse e telemetria di Windows Server (DiagTrack) per raccogliere i dati dai dispositivi gestiti da Intune. Assicurarsi che il servizio Esperienze utente connesse e telemetria nel dispositivo sia in esecuzione.
| Endpoint | Funzione |
|---|---|
https://*.events.data.microsoft.com |
Usato dai dispositivi gestiti da Intune per inviare i dati funzionali richiesti all'endpoint di raccolta dati di Intune. |
Asset intelligence
Se si usa Asset Intelligence, consentire la sincronizzazione degli endpoint seguenti per il servizio:
https://sc.microsoft.comhttps://ssu2.manage.microsoft.com
Distribuzione di Microsoft Edge
Il dispositivo che esegue la console Configuration Manager deve accedere agli endpoint seguenti per la distribuzione di Microsoft Edge:
| Posizione | Uso |
|---|---|
https://aka.ms/cmedgeapi |
Informazioni sulle versioni di Microsoft Edge |
https://edgeupdates.microsoft.com/api/products?view=enterprise |
Informazioni sulle versioni di Microsoft Edge |
http://dl.delivery.mp.microsoft.com |
Contenuto per le versioni di Microsoft Edge |
Notifiche esterne
Per altre informazioni, vedere Notifiche esterne.
Il punto di connessione del servizio deve comunicare con il servizio di notifica, ad esempio App per la logica di Azure. L'endpoint di accesso per l'app per la logica ha in genere il formato seguente: https://*.<RegionName>.logic.azure.com:443. Ad esempio: https://prod1.westus2.logic.azure.com:443
Per ottenere l'endpoint di accesso per l'app per la logica, nonché gli indirizzi IP associati, usare il processo seguente:
- Nella portale di Azure, in App per la logica selezionare l'app per la logica per la notifica. Per altre informazioni, vedere Gestire le app per la logica nel portale di Azure.
- Nel menu dell'app selezionare Proprietà nella sezione Impostazioni.
- Visualizzare o copiare i valori per l'endpoint di Access e gli indirizzi IP dell'endpoint di Access.
Indirizzi IP pubblici Microsoft
Per altre informazioni sugli intervalli di indirizzi IP Microsoft, vedere Spazio IP pubblico Microsoft. Questi indirizzi vengono aggiornati regolarmente. Non c'è granularità in base al servizio, è possibile usare qualsiasi indirizzo IP in questi intervalli.