Microsoft Intune のネットワーク エンドポイント

  • [アーティクル]

この記事では、Microsoft Intune展開のプロキシ設定に必要な IP アドレスとポート設定の一覧を示します。

クラウド専用サービスとして、Intuneには、サーバーやゲートウェイなどのオンプレミス インフラストラクチャは必要ありません。

マネージド デバイスへのアクセス

ファイアウォールとプロキシ サーバーの背後にあるデバイスを管理するには、Intune のための通信を有効にする必要があります。

注:

セクション内の情報は、Microsoft Intune Certificate Connector にも適用されます。 このコネクタのネットワーク要件は、マネージド デバイスと同じです。

個々のクライアント コンピューターについて、プロキシ サーバーの設定を変更できます。 また、グループ ポリシーの設定を使用して、指定したプロキシ サーバーの背後にあるすべてのクライアント コンピューターの設定を変更することもできます。

マネージド デバイスは、すべてのユーザーがファイアウォール経由でサービスにアクセスできるように構成する必要があります。

PowerShell スクリプト

ファイアウォールを使用してサービスを簡単に構成できるように、Office 365 エンドポイント サービスをオンボードしました。 現時点では、Intune エンドポイント情報には PowerShell スクリプトを介してアクセスされます。 Intuneには他にも依存するサービスがあります。これは既に Microsoft 365 サービスの一部としてカバーされており、"必須" としてマークされています。 Microsoft 365 で既にカバーされているサービスは、重複を避けるためにスクリプトに含まれていません。

次の PowerShell スクリプトを使用すると、Intune サービスの IP アドレスの一覧を取得できます。

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips

次の PowerShell スクリプトを使用すると、Intuneおよび依存サービスで使用される FQDN の一覧を取得できます。 スクリプトを実行すると、スクリプト出力の URL が次の表の URL とは異なる場合があります。 少なくとも、テーブルに URL を含める必要があります。

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls

このスクリプトは、Intuneと Autopilot で必要なすべてのサービスを 1 か所に一覧表示して確認するための便利な方法を提供します。 エンドポイント サービスから追加のプロパティ (カテゴリ プロパティなど) を返すことができます。これは、FQDN または IP を 許可最適化または既定値として構成する必要があるかどうかを示します。

エンドポイント

また、Microsoft 365 要件の一部としてカバーされる FQDN も必要です。 参考までに、次の表は、関連付けられているサービスと、返される URL の一覧を示しています。

テーブルに表示されるデータ列は次のとおりです。

  • ID: エンドポイントのセットとして知られる、行の ID 番号です。 この ID は、エンドポイントの Web サービスによって返されるものと同じです。

  • カテゴリ: エンドポイント セットが [最適化][許可]、または [既定] として分類されているかどうかを示します。 この列には、ネットワーク接続に必要なエンドポイント セットも一覧表示されます。 ネットワーク接続が不要なエンドポイント セットについては、エンドポイント セットがブロックされた場合に失われる機能を示すために、このフィールドにメモを提供します。 サービス エリア全体を除外する場合、必須としてリストされているエンドポイント セットは接続を必要としません。

    これらのカテゴリと管理に関するガイダンスについては、「 新しい Microsoft 365 エンドポイント カテゴリ」を参照してください

  • ER: Microsoft 365 ルート プレフィックスを使用して Azure ExpressRoute 経由でエンドポイント セットがサポートされている場合、これははい/True です。 表示されているルート プレフィックスを含む BGP コミュニティは、表示されているサービス エリアと一致しています。 ER が No/False の場合、ExpressRoute はこのエンドポイント セットではサポートされません。

  • アドレス: FQDN またはワイルドカードを含むドメイン名と、エンドポイントのセットの IP アドレス範囲を一覧表示します。 IP アドレスの範囲は CIDR 形式となり、指定されたネットワークの個別の IP アドレスが多数含まれる場合があることに注意してください。

  • ポート: 記載された IP アドレスと組み合わさることによりネットワーク エンドポイントを形成する TCP または UDP ポートの一覧を表示します。 異なるポートが記載されている場合、IP アドレス範囲が重複している場合があります。

コア サービスIntune

ID 指定 カテゴリ ER アドレス ポート
163 Endpoint Manager クライアントとホスト サービス 許可
必須		 False *.manage.microsoft.com
manage.microsoft.com
EnterpriseEnrollment.manage.microsoft.com
104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.71.199.64/28, 13.73.244.48/28, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 20.49.93.160/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29		 TCP: 80、443
172 MDM 配信の最適化 既定値
必須		 False *.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
kv801.prod.do.dsp.mp.microsoft.com
geo.prod.do.dsp.mp.microsoft.com
emdl.ws.microsoft.com
2.dl.delivery.mp.microsoft.com
bg.v4.emdl.ws.microsoft.com
 TCP: 80、443
170 MEM - PS と Win32Apps 既定値
必須		 False swda01-mscdn.azureedge.net
swda02-mscdn.azureedge.net
swdb01-mscdn.azureedge.net
swdb02-mscdn.azureedge.net
swdc01-mscdn.azureedge.net
swdc02-mscdn.azureedge.net
swdd01-mscdn.azureedge.net
swdd02-mscdn.azureedge.net
swdin01-mscdn.azureedge.net
swdin02-mscdn.azureedge.net
 TCP: 443
97 コンシューマー Outlook.com と OneDrive 既定値
 False account.live.com
login.live.com
 TCP: 443

Autopilot の依存関係

ID 指定 カテゴリ ER アドレス ポート
164 Autopilot - Windows Update 既定値
必須		 False *.download.windowsupdate.com
*.windowsupdate.com
*.dl.delivery.mp.microsoft.com
*.prod.do.dsp.mp.microsoft.com
emdl.ws.microsoft.com
*.delivery.mp.microsoft.com
*.update.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com
au.download.windowsupdate.com
2.dl.delivery.mp.microsoft.com
download.windowsupdate.com
dl.delivery.mp.microsoft.com
geo.prod.do.dsp.mp.microsoft.com
catalog.update.microsoft.com
 TCP: 443
165 Autopilot - NTP Sync 既定値
必須		 False time.windows.com
www.msftncsi.com
www.msftconnecttest.com		 UDP: 123
169 Autopilot - WNS の依存関係 既定値
必須		 False clientconfig.passport.net
windowsphone.com
*.s-microsoft.com
www.msftncsi.com
c.s-microsoft.com		 TCP: 443
173 Autopilot - サード パーティのデプロイの依存関係 既定値
必須		 False ekop.intel.com
ekcert.spserv.microsoft.com
ftpm.amd.com
 TCP: 443
182 Autopilot - 診断のアップロード 既定値
必須		 False lgmsapeweu.blob.core.windows.net
 TCP: 443

リモート ヘルプ

ID 指定 カテゴリ ER アドレス ポート Notes
181 MEM - リモート ヘルプ機能 既定値
必須		 False *.support.services.microsoft.com
remoteassistance.support.services.microsoft.com
rdprelayv3eastusprod-0.support.services.microsoft.com
*.trouter.skype.com
remoteassistanceprodacs.communication.azure.com
edge.skype.com
aadcdn.msftauth.net
aadcdn.msauth.net
alcdn.msauth.net
wcpstatic.microsoft.com
*.aria.microsoft.com
browser.pipe.aria.microsoft.com
*.events.data.microsoft.com
v10.events.data.microsoft.com
*.monitor.azure.com
js.monitor.azure.com
edge.microsoft.com
*.trouter.communication.microsoft.com
go.trouter.communication.microsoft.com
*.trouter.teams.microsoft.com
trouter2-usce-1-a.trouter.teams.microsoft.com
api.flightproxy.skype.com
ecs.communication.microsoft.com
remotehelp.microsoft.com
trouter-azsc-usea-0-a.trouter.skype.com
 TCP: 443
187 依存関係 - web pubsub リモート ヘルプ 既定値
必須		 False *.webpubsub.azure.com
AMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com
 TCP: 443
188 GCC のお客様のリモート ヘルプ依存関係 既定値
必須		 False remoteassistanceweb-gcc.usgov.communication.azure.us
gcc.remotehelp.microsoft.com
gcc.relay.remotehelp.microsoft.com
*.gov.teams.microsoft.us		 TCP: 443

依存関係のIntune

このセクションでは、次の表に、Intuneの依存関係と、Intune クライアントがアクセスするポートとサービスを示します。

Windows プッシュ通知サービス (WNS) の依存関係

ID 指定 カテゴリ ER アドレス ポート
171 MEM - WNS の依存関係 既定値
必須		 False *.notify.windows.com
*.wns.windows.com
sinwns1011421.wns.windows.com
sin.notify.windows.com
 TCP: 443

モバイル デバイス管理 (MDM) を使用して管理されている Intune の管理対象 Windows デバイスの場合、デバイス アクションとその他の即時アクティビティでは Windows プッシュ通知サービス (WNS) の使用が必要です。 詳細については、「エンタープライズ ファイアウォールを介した Windows 通知トラフィックの許可」を参照してください。

配信の最適化の依存関係

ID 指定 カテゴリ ER アドレス ポート
172 MDM - 配信の最適化の依存関係 既定値
必須		 False *.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
kv801.prod.do.dsp.mp.microsoft.com
geo.prod.do.dsp.mp.microsoft.com
emdl.ws.microsoft.com
2.dl.delivery.mp.microsoft.com
bg.v4.emdl.ws.microsoft.com
 TCP: 80、443

ポート要件 - ピアツーピア トラフィックの場合、配信の最適化では TCP/IP に 7680、NAT トラバーサルに 3544 を使用します (必要に応じてTeredo)。 クライアント サービス通信では、ポート 80/443 経由で HTTP または HTTPS を使用します。

プロキシ要件 - 配信の最適化を使用するには、バイト範囲要求を許可する必要があります。 詳細については、Windows 更新プログラムのプロキシ要件に関するページを参照してください。

ファイアウォールの要件 - 配信の最適化をサポートするために、ファイアウォール経由で次のホスト名を許可します。 クライアントと配信の最適化クラウド サービス間の通信の場合:

  • *.do.dsp.mp.microsoft.com

配信の最適化メタデータの場合:

  • *.dl.delivery.mp.microsoft.com
  • *.emdl.ws.microsoft.com

Apple の依存関係

ID 指定 カテゴリ ER アドレス ポート
178 MEM - Apple の依存関係 既定値
必須		 False itunes.apple.com
*.itunes.apple.com
*.mzstatic.com
*.phobos.apple.com
phobos.itunes-apple.com.akadns.net
5-courier.push.apple.com
phobos.apple.com
ocsp.apple.com
ax.itunes.apple.com
ax.itunes.apple.com.edgesuite.net
s.mzstatic.com
a1165.phobos.apple.com
 TCP: 80、443、5223

詳細については、次のリソースを参照してください。

Android AOSP の依存関係

ID 指定 カテゴリ ER アドレス ポート
179 MEM - Android AOSP 依存関係 既定値
必須		 False intunecdnpeasd.azureedge.net
 TCP: 443

注:

中国では Google Mobile Services を使用できないため、Intune によって管理されている中国のデバイスでは、Google Mobile Services を必要とする機能を使用できません。 これらの機能には次を含みます: SafetyNet デバイス構成証明、Google Play ストアからのアプリの管理、Android Enterprise 機能などの Google Play Protect 機能が含まれます (このGoogle ドキュメントを参照)。 さらに、Android 用 Intune ポータル サイト アプリでは、Microsoft Intune サービスと通信するために Google Mobile Services が使用されます。 中国では Google Play サービスを使用できないため、一部のタスクは完了までに最大 8 時間かかることがあります。 詳細については、「GMS が使用できない場合のIntune管理の制限事項」を参照してください。

Android ポート情報 - Android デバイスの管理方法によっては、Google Android Enterprise ポートや Android プッシュ通知を開く必要がある場合があります。 サポートされている Android 管理方法の詳細については、Android の登録に関するドキュメントを参照してください。

Android Enterprise の依存関係

Google Android Enterprise - Google では、そのドキュメントの [ファイアウォール] セクションの下にある、Android Enterprise Bluebook で必要なネットワーク ポートと宛先ホスト名のドキュメントを提供しています。

Android プッシュ通知 - Intuneは、プッシュ通知に Google Firebase Cloud Messaging (FCM) を利用して、デバイスのアクションとチェックインをトリガーします。これは、Android デバイス管理者と Android Enterprise の両方で必要です。 FCM ネットワーク要件の詳細については、Google の「FCM ポートとファイアウォール」を参照してください。

認証の依存関係

ID 指定 カテゴリ ER アドレス ポート
56 認証と ID には、Azure Active Directory と Azure AD 関連のサービスが含まれます。 許可
必須		 はい login.microsoftonline.com
graph.windows.net		 TCP: 80、443
150 Office カスタマイズ サービスでは、展開の構成、アプリケーション設定、クラウドベースのポリシー管理Office 365 ProPlus提供します。 既定値 False *.officeconfig.msocdn.com
config.office.com		 TCP: 443
59 CDN & サービスをサポートする ID。 既定値
必須		 False enterpriseregistration.windows.net
 TCP: 80、443

詳細については、「OFFICE 365 URL と IP アドレス範囲」を参照してください。

PowerShell スクリプトと Win32 アプリのネットワーク要件

Intune を使用して PowerShell スクリプトまたは Win32 アプリをデプロイする場合は、テナントが現在、所在するエンドポイントへのアクセスを許可する必要もあります。

テナントの場所 (または Azure Scale Unit (ASU) を見つけるには、Microsoft Intune管理センターにサインインし、[テナント管理>] [テナントの詳細] を選択します。 場所は、[テナントの場所] (北米 0501 またはヨーロッパ 0202 など) にあります。 次の表で、一致する番号を探します。 その行には、アクセス権付与の対象となるストレージ名と CDN エンドポイントが表示されます。 行は、地理的リージョンごとに分けられており、その名前の最初の 2 文字 (na = 北米、eu = ヨーロッパ、ap = アジア太平洋) で示されます。 テナントの場所はこれら 3 つのリージョンのいずれかですが、organizationの実際の地理的な場所は他の場所にある可能性があります。

注:

Win32 Apps エンドポイントのスクリプト & HTTP 部分応答を許可する必要があります。

Azure スケール ユニット (ASU) ストレージ名 CDN ポート
AMSUA0601
AMSUA0602
AMSUA0101
AMSUA0102
AMSUA0201
AMSUA0202
AMSUA0401
AMSUA0402
AMSUA0501
AMSUA0502
AMSUA0601
AMSUA0701
AMSUA0702
AMSUA0801
AMSUA0901		 naprodimedatapri
naprodimedatasec
naprodimedatahotfix		 naprodimedatapri.azureedge.net
naprodimedatasec.azureedge.net
naprodimedatahotfix.azureedge.net		 TCP: 443
AMSUB0101
AMSUB0102
AMSUB0201
AMSUB0202
AMSUB0301
AMSUB0302
AMSUB0501
AMSUB0502
AMSUB0601
AMSUB0701		 euprodimedatapri
euprodimedatasec
euprodimedatahotfix		 euprodimedatapri.azureedge.net
euprodimedatasec.azureedge.net
euprodimedatahotfix.azureedge.net		 TCP: 443
AMSUC0101
AMSUC0201
AMSUC0301
AMSUC0501
AMSUC0601
AMSUD0101		 approdimedatapri
approdimedatasec
approdimedatahotifx		 approdimedatapri.azureedge.net
approdimedatasec.azureedge.net
approdimedatahotfix.azureedge.net		 TCP: 443

Microsoft Store

Microsoft Store を使用するマネージド Windows デバイス (アプリの取得、インストール、更新) には、これらのエンドポイントへのアクセスが必要です。

Microsoft Store API (AppInstallManager):

  • displaycatalog.md.mp.microsoft.com
  • purchase.md.mp.microsoft.com
  • licensing.mp.microsoft.com
  • storeedgefd.dsx.mp.microsoft.com

Windows Update エージェント:

詳細については、次のリソースを参照してください。

Win32 コンテンツのダウンロード:

Win32 コンテンツのダウンロード場所とエンドポイントは、アプリケーションごとに一意であり、外部発行元によって提供されます。 各 Win32 ストア アプリの場所は、テスト システムで次のコマンドを使用して見つけることができます (ストア アプリの [PackageId] を取得するには、アプリをMicrosoft Intuneに追加した後、アプリの Package Identifier プロパティを参照します)。

winget show [PackageId]

[インストーラー Url] プロパティには、キャッシュが使用中かどうかに基づいて、外部ダウンロードの場所またはリージョンベース (Microsoft ホスト型) フォールバック キャッシュが表示されます。 コンテンツのダウンロード場所は、キャッシュと外部の場所の間で変更される可能性があることに注意してください。

Microsoft でホストされる Win32 アプリ フォールバック キャッシュ:

  • リージョンによって異なります。例: sparkcdneus2.azureedge.net、sparkcdnwus2.azureedge.net

配信の最適化 (オプション、ピアリングに必要):

詳細については、次のリソースを参照してください。

デバイス正常性構成証明コンプライアンス ポリシーを Microsoft Azure 構成証明に移行する

お客様が Windows 10/11 コンプライアンス ポリシー - デバイス正常性設定のいずれかを有効にした場合、Windows 11デバイスは、Intuneテナントの場所に基づいて Microsoft Azure Attestation (MAA) サービスの使用を開始します。 ただし、Windows 10環境と GCCH/DOD 環境では、デバイス正常性構成証明レポートに既存の Device Health Attestation DHA エンドポイント 'has.spserv.microsoft.com' が引き続き使用され、この変更の影響を受けられません。

お客様がWindows 11の新しいIntune MAA サービスへのアクセスを禁止するファイアウォール ポリシーを持っている場合、デバイス正常性設定 (BitLocker、Secure Boot、Code Integrity) のいずれかを使用して、割り当てられたコンプライアンス ポリシーを持つデバイスをWindows 11すると、その場所の MAA 構成証明エンドポイントに到達できないため、コンプライアンスが低下します。

送信 HTTPS/443 トラフィックをブロックするファイアウォール規則がないことを確認し、Intuneテナントの場所に基づいて、このセクションに記載されているエンドポイントに対して SSL トラフィック検査が実施されていないことを確認します。

テナントの場所を見つけるには、Intune管理センター>のテナント管理>テナントの状態>テナントの詳細に移動する方法については、「テナントの場所」を参照してください。

  • 'https://intunemaape1.eus.attest.azure.net'

  • 'https://intunemaape2.eus2.attest.azure.net'

  • 'https://intunemaape3.cus.attest.azure.net'

  • 'https://intunemaape4.wus.attest.azure.net'

  • 'https://intunemaape5.scus.attest.azure.net'

  • 'https://intunemaape6.ncus.attest.azure.net'

エンドポイントの分析

エンドポイント分析に必要なエンドポイントの詳細については、「 エンドポイント分析プロキシの構成」を参照してください。

Microsoft Defender for Endpoint

Defender for Endpoint 接続の構成の詳細については、「 接続要件」を参照してください。

Defender for Endpoint セキュリティ設定の管理をサポートするには、ファイアウォール経由で次のホスト名を許可します。 クライアントとクラウド サービス間の通信の場合:

  • *.dm.microsoft.com - ワイルドカードの使用は、登録、チェック、レポートに使用されるクラウド サービス エンドポイントをサポートしており、サービスのスケーリングに応じて変更される可能性があります。

    重要

    SSL 検査は、'dm.microsoft.com' エンドポイントではサポートされていません。

Microsoft Intune エンドポイント特権管理

エンドポイント特権管理をサポートするには、ファイアウォールを介して tcp ポート 443 で次のホスト名を許可します。

クライアントとクラウド サービス間の通信の場合:

  • *.dm.microsoft.com - ワイルドカードの使用は、登録、チェック、レポートに使用されるクラウド サービス エンドポイントをサポートしており、サービスのスケーリングに応じて変更される可能性があります。

  • *.events.data.microsoft.com - Intuneマネージド デバイスが、オプションのレポート データをIntune データ収集エンドポイントに送信するために使用されます。

    重要

    SSL 検査は、'dm.microsoft.com' エンドポイントではサポートされていません。

詳細については、「 エンドポイント特権管理の概要」を参照してください。

Office 365 の URL および IP アドレスの範囲

Microsoft 365 ネットワーク接続の概要

コンテンツ配信ネットワーク (CDN)

Office 365 IP Address と URL Web サービスに含まれない、その他のエンドポイント

Office 365 エンドポイントを管理する