インターネット アクセス要件

一部の構成マネージャー機能は、完全な機能の利用する上でインターネット接続を必要とします。 organizationがファイアウォールまたはプロキシ デバイスを使用してインターネットとのネットワーク通信を制限する場合は、これらのエンドポイントを許可してください。

構成マネージャーは、製品全体で次の Microsoft URL 転送サービスを使用します。

  • https://aka.ms
  • https://go.microsoft.com

以下のセクションに明示的に一覧表示されていない場合でも、これらのエンドポイントは常に許可する必要があります。

サービス接続ポイント

詳細については、「 サービス接続ポイントについて」を参照してください。

これらの構成は、サービス接続ポイントをホストするサーバーと、そのサーバーとインターネットの間のファイアウォールに適用されます。 インターネットの場所への送信 HTTPS ポート TCP 443 を介した通信を許可します。

サービス接続ポイントでは、認証の有無に関係なく Web プロキシを使用してこれらの場所を使用できます。 詳細については、「 プロキシ サーバーのサポート」を参照してください。

Configuration Manager サイトがクラウド サービスの必要なエンドポイントへの接続に失敗した場合、重要な状態メッセージ ID 11488 が発生します。 サービスに接続できない場合、SMS_SERVICE_CONNECTOR コンポーネントの状態は重大に変わります。 Configuration Manager コンソールの [コンポーネントの状態] ノードで詳細な状態を表示します。

バージョン 2010 以降、サービス接続ポイントは、Desktop Analyticsテナント接続の重要なインターネット エンドポイントを検証します。 これらのチェックは、クラウドに接続されたサービスが使用可能であることを確認するのに役立ちます。 また、ネットワーク接続に問題があるのかどうかを迅速に判断できるため、問題のトラブルシューティングにも役立ちます。 詳細については、「 インターネット アクセスの検証」を参照してください。

サービス接続ポイントに必要な特定の URL は、Configuration Manager機能によって異なります。

ヒント

サービス接続ポイントは、 または manage.microsoft.comに接続するときにMicrosoft Intune サービスをgo.microsoft.com使用します。 Intune コネクタで、Baltimore CyberTrust ルート証明書がインストールされていない場合、有効期限が切れている場合、またはサービス接続ポイントで破損している場合に接続の問題が発生する既知の問題があります。 詳細については、「 サービス接続ポイントが更新プログラムをダウンロードしない」を参照してください。

更新とサービス

詳細については、「更新とサービス」を参照してください。

ヒント

管理分析情報ルールに対してこれらのエンドポイントを有効にします。サイトを Microsoft クラウドに接続して、Configuration Manager更新します

  • *.akamaiedge.net

  • *.akamaitechnologies.com

  • *.manage.microsoft.com

  • go.microsoft.com

  • download.microsoft.com

  • download.windowsupdate.com

  • download.visualstudio.microsoft.com

  • sccmconnected-a01.cloudapp.net

  • definitionupdates.microsoft.com

  • configmgrbits.azureedge.net

    重要

    この Azure エンドポイントでは、特定の暗号スイートを持つ TLS 1.2 のみがサポートされます。 環境でこれらの Azure 構成がサポートされていることを確認します。 詳細については、「 Azure Front Door: TLS 構成に関する FAQ」を参照してください。

  • cmbitsstore.blob.core.windows.net

  • ceuswatcab01.blob.core.windows.net

  • ceuswatcab02.blob.core.windows.net

  • eaus2watcab01.blob.core.windows.net

  • eaus2watcab02.blob.core.windows.net

  • weus2watcab01.blob.core.windows.net

  • weus2watcab02.blob.core.windows.net

  • umwatsonc.events.data.microsoft.com

  • *-umwatsonc.events.data.microsoft.com

Windows サービス

詳細については、「サービスとしての Windowsの管理」を参照してください。

  • download.microsoft.com

  • https://go.microsoft.com/fwlink/?LinkID=619849

  • dl.delivery.mp.microsoft.com

Azure サービス

詳細については、「Configuration Managerで使用するように Azure サービスを構成する」を参照してください。

  • management.azure.com (Azure パブリック クラウド)
  • management.usgovcloudapi.net (Azure US Government クラウド)

共同管理

共同管理のために windows デバイスをMicrosoft Intuneに登録する場合は、それらのデバイスが Intune で必要なエンドポイントにアクセスできることを確認します。 詳細については、「Microsoft Intuneのネットワーク エンドポイント」を参照してください。

ビジネス向け Microsoft Store

Configuration Managerをビジネス向け Microsoft Storeと統合する場合は、サービス接続ポイントと対象デバイスがクラウド サービスにアクセスできることを確認します。 詳細については、「ビジネス向け Microsoft Store プロキシ構成」を参照してください。

配信の最適化

配信の最適化を使用する場合、クライアントはクラウド サービスと通信する必要があります。 *.do.dsp.mp.microsoft.com

Microsoft Connected Cache をサポートする配布ポイントには、これらのエンドポイントも必要です。

詳細については、次の記事を参照してください。

クラウド サービス

クラウド管理ゲートウェイ (CMG) の詳細については、「CMG の計画」を参照してください。

このセクションでは、次の機能について説明します。

  • クラウド管理ゲートウェイ (CMG)

  • Microsoft Entra統合

  • MICROSOFT ENTRA ID ベースの検出

  • クラウド配布ポイント (CDP)

    注:

    クラウドベースの配布ポイント (CDP) は非推奨です。 バージョン 2107 以降では、新しい CDP インスタンスを作成できません。 インターネット ベースのデバイスにコンテンツを提供するには、CMG がコンテンツを配布できるようにします。

次のセクションでは、エンドポイントをロール別に一覧表示します。 一部のエンドポイントは、 によって <prefix>サービスを参照します。これは CMG のプレフィックス名です。 たとえば、CMG が の場合、 GraniteFalls.WestUS.CloudApp.Azure.Com実際のストレージ エンドポイントは です GraniteFalls.blob.core.windows.net

ヒント

いくつかの用語を明確にするには:

  • CMG サービス名: CMG サーバー認証証明書の共通名 (CN)。 クライアントと CMG 接続ポイントサイト システムの役割は、このサービス名と通信します。 たとえば、GraniteFalls.contoso.com および GraniteFalls.WestUS.CloudApp.Azure.Com が禁止となります。

  • CMG デプロイ名: サービス名の最初の部分と、クラウド サービスデプロイの Azure の場所。 サービス接続ポイントのクラウド サービス マネージャー コンポーネントは、Azure に CMG をデプロイするときにこの名前を使用します。 デプロイ名は常に Azure ドメイン内にあります。 Azure の場所は、デプロイ方法によって異なります。例:

    • 仮想マシン スケール セット: GraniteFalls.WestUS.CloudApp.Azure.Com
    • クラシック デプロイ: GraniteFalls.CloudApp.Net

この記事では、バージョン 2107 以降で推奨されるデプロイ方法として、仮想マシン スケール セットの例を使用します。 クラシック デプロイを使用する場合は、この記事を読み、インターネット アクセスを構成するときに違いに注意してください。

クラウド サービスのサービス接続ポイント

Configuration Manager Azure に CMG サービスをデプロイするには、サービス接続ポイントが次にアクセスする必要があります。

  • 特定の Azure エンドポイント。構成に応じて環境ごとに異なります。 Configuration Managerは、これらのエンドポイントをサイト データベースに格納します。 SQL Serverの AzureEnvironments テーブルに対して、Azure エンドポイントの一覧を照会します。

  • Azure サービス:

    • management.azure.com (Azure パブリック クラウド)
    • management.usgovcloudapi.net (Azure US Government クラウド)
  • Microsoft Entraユーザー検出の場合: Microsoft Graph エンドポイントhttps://graph.microsoft.com/

クラウド サービスの CMG 接続ポイント

CMG 接続ポイントは、次のエンドポイントにアクセスする必要があります。

種類 Azure パブリック クラウド Azure US Government クラウド
サービス <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
ストレージ エンドポイント 1 <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
ストレージ エンドポイント 2 <prefix>.table.core.windows.net <prefix>.table.core.usgovcloudapi.net
キー コンテナー <prefix>.vault.azure.net <prefix>.vault.usgovcloudapi.net

CMG 接続ポイント サイト システムでは、Web プロキシの使用がサポートされています。 プロキシに対してこのロールを構成する方法の詳細については、「 プロキシ サーバーのサポート」を参照してください。

CMG 接続ポイントは、CMG サービス エンドポイントにのみ接続する必要があります。 他の Azure エンドポイントへのアクセスは必要ありません。

クラウド サービス用のConfiguration Manager クライアント

CMG と通信する必要があるConfiguration Manager クライアントは、次のエンドポイントにアクセスする必要があります。

種類 Azure パブリック クラウド Azure US Government クラウド
デプロイ <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
ストレージ エンドポイント <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
Microsoft Entra エンドポイント login.microsoftonline.com login.microsoftonline.us

クラウド サービス用のConfiguration Manager コンソール

Configuration Manager コンソールを使用するすべてのデバイスは、次のエンドポイントにアクセスする必要があります。

種類 Azure パブリック クラウド Azure US Government クラウド
エンドポイントのMicrosoft Entra login.microsoftonline.com
aadcdn.msauth.net
aadcdn.msftauth.net
login.microsoftonline.us

ソフトウェア更新プログラム

WSUS と自動更新が Microsoft Update クラウド サービスと通信できるように、アクティブなソフトウェアの更新ポイントが次のエンドポイントにアクセスできるようにします。

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • http://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://ntservicepack.microsoft.com

ソフトウェア更新プログラムの詳細については、「ソフトウェア更新プログラム の計画」を参照してください。

イントラネット ファイアウォール

次の場合は、2 つのサイト システム間のファイアウォールにエンドポイントを追加することが必要になる場合があります。

  • 子サイトにソフトウェアの更新ポイントがある場合
  • サイトにリモート アクティブなインターネット ベースのソフトウェアの更新ポイントがある場合

子サイトのソフトウェア更新ポイント

  • http://<FQDN for software update point on child site>

  • https://<FQDN for software update point on child site>

  • http://<FQDN for software update point on parent site>

  • https://<FQDN for software update point on parent site>

Microsoft 365 アプリの管理

注:

2020 年 4 月 21 日より、Office 365 ProPlus の名前が Microsoft 365 Apps for enterprise に変更されます。 詳細については、「Office 365 ProPlusの名前の変更」を参照してください。 コンソールの更新中も、Configuration Manager コンソールとサポート ドキュメントに古い名前への参照が表示される場合があります。

Configuration Managerを使用してMicrosoft 365 Apps for enterpriseのデプロイと更新を行う場合は、次のエンドポイントを許可します。

  • officecdn.microsoft.comクライアント更新プログラムのソフトウェア更新ポイントMicrosoft 365 Apps for enterprise同期するには

  • config.office.comMicrosoft 365 Apps for enterpriseデプロイ用のカスタム構成を作成するには

  • https://clients.config.office.netおよび https://go.microsoft.com/fwlink/?linkid=2190568 を使用して、Microsoft 365 Apps for enterpriseの更新プログラムの展開をサポートします

  • contentstorage.osi.office.net Office アドインの準備状況の評価をサポートする

最上位のサイト サーバーは、Microsoft Apps 365 準備ファイルをダウンロードするために、次のエンドポイントにアクセスする必要があります。

  • 2021 年 3 月 2 日以降: https://omex.cdn.office.net/mirrored/sccmreadiness/SOT_SCCM_AddinReadiness.CAB
    • 2021 年 3 月 2 日より前の場所: https://contentstorage.osi.office.net/sccmreadinessppe/sot_sccm_addinreadiness.cab

注:

このファイルの場所は、 2021 年 3 月 2 日に変更されています。 詳細については、「Microsoft 365 Apps準備ファイルのダウンロード場所の変更」を参照してください。

Configuration Manager コンソール

Configuration Manager コンソールを使用するコンピューターでは、特定の機能に対して次のインターネット エンドポイントにアクセスする必要があります。

注:

Microsoft からのプッシュ通知をコンソールに表示するには、サービス接続ポイントから にアクセスする configmgrbits.azureedge.net必要があります。 また、更新とサービスのためにこのエンドポイントにアクセスする必要があるため、既に許可されている可能性があります。

コンソール内のフィードバック

コンソールを実行するコンピューターで、次のインターネット エンドポイントにアクセスして診断データを Microsoft に送信できるようにします。

  • petrol.office.microsoft.com

  • ceuswatcab01.blob.core.windows.net

  • ceuswatcab02.blob.core.windows.net

  • eaus2watcab01.blob.core.windows.net

  • eaus2watcab02.blob.core.windows.net

  • weus2watcab01.blob.core.windows.net

  • weus2watcab02.blob.core.windows.net

  • umwatsonc.events.data.microsoft.com

  • *-umwatsonc.events.data.microsoft.com

この機能の詳細については、「 製品のフィードバック」を参照してください。

コミュニティ ワークスペース

ドキュメント ノード

このコンソール ノードの詳細については、「Configuration Manager コンソールの使用」を参照してください。

  • https://aka.ms

  • https://raw.githubusercontent.com

コミュニティ ハブ

この機能の詳細については、「 コミュニティ ハブ」を参照してください。

  • https://github.com

  • https://communityhub.microsoft.com

Desktop Analytics

詳細については、「 データ共有を有効にする」を参照してください。

サーバー接続エンドポイント

サービス接続ポイントは、次のエンドポイントと通信する必要があります。

エンドポイント 職務
https://aka.ms サービスの検索に使用されます
https://graph.windows.net 階層をDesktop Analyticsにアタッチするときに CommercialId などの設定を自動的に取得するために使用されます (サーバー ロールConfiguration Manager)。 詳しくは、「サイト システム サーバー用にプロキシを構成する」をご覧ください。
https://*.manage.microsoft.com デバイス コレクションのメンバーシップ、展開計画、デバイスの準備状態をDesktop Analyticsと同期するために使用されます (Configuration Managerサーバーロールのみ)。 詳しくは、「サイト システム サーバー用にプロキシを構成する」をご覧ください。
https://dc.services.visualstudio.com クラウドに接続されたサービスの正常性に関する分析情報を得るために、オンプレミスのサービス コネクタからの診断データの場合。

ユーザー エクスペリエンスと診断コンポーネント エンドポイント

クライアント デバイスは、次のエンドポイントと通信する必要があります。

エンドポイント 職務
https://v10c.events.data.microsoft.com 接続されたユーザー エクスペリエンスと診断コンポーネント エンドポイント。 Windows 10 Version 1809以降を実行しているデバイス、または 2018-09 以降の累積的な更新プログラムがインストールされたバージョン 1803 で使用されます。
https://v10.events.data.microsoft.com 接続されたユーザー エクスペリエンスと診断コンポーネント エンドポイント。 2018-09 累積的な更新プログラムがインストールされていないWindows 10バージョン 1803 を実行しているデバイスで使用されます。
https://v10.vortex-win.data.microsoft.com 接続されたユーザー エクスペリエンスと診断コンポーネント エンドポイント。 バージョン 1709 以前Windows 10実行されているデバイスで使用されます。
https://vortex-win.data.microsoft.com 接続されたユーザー エクスペリエンスと診断コンポーネント エンドポイント。 Windows 7 および Windows 8.1 を実行しているデバイスで使用されます

クライアント接続エンドポイント

クライアント デバイスは、次のエンドポイントと通信する必要があります。

インデックス エンドポイント 職務
1 https://settings-win.data.microsoft.com 互換性更新プログラムが Microsoft にデータを送信できるようにします。
2 http://adl.windows.com 互換性更新プログラムが Microsoft から最新の互換性データを受け取ることができます。
3 https://watson.telemetry.microsoft.com Windows エラー報告 (WER)。 Windows 10 バージョン 1803 以前のデプロイの正常性を監視するために必要です。
4 https://umwatsonc.events.data.microsoft.com Windows エラー報告 (WER)。 Windows 10 Version 1809以降のデバイス正常性レポートに必要です。
5 https://ceuswatcab01.blob.core.windows.net Windows エラー報告 (WER)。 Windows 10 Version 1809 以降でデプロイの正常性を監視するために必要です。
6 https://ceuswatcab02.blob.core.windows.net Windows エラー報告 (WER)。 Windows 10 Version 1809 以降でデプロイの正常性を監視するために必要です。
7 https://eaus2watcab01.blob.core.windows.net Windows エラー報告 (WER)。 Windows 10 Version 1809 以降でデプロイの正常性を監視するために必要です。
8 https://eaus2watcab02.blob.core.windows.net Windows エラー報告 (WER)。 Windows 10 Version 1809 以降でデプロイの正常性を監視するために必要です。
9 https://weus2watcab01.blob.core.windows.net Windows エラー報告 (WER)。 Windows 10 Version 1809 以降でデプロイの正常性を監視するために必要です。
10 https://weus2watcab02.blob.core.windows.net Windows エラー報告 (WER)。 Windows 10 Version 1809 以降でデプロイの正常性を監視するために必要です。
11 https://kmwatsonc.events.data.microsoft.com オンライン クラッシュ分析 (OCA)。 Windows 10 Version 1809以降のデバイス正常性レポートに必要です。
12 https://oca.telemetry.microsoft.com オンライン クラッシュ分析 (OCA)。 Windows 10 バージョン 1803 以前のデプロイの正常性を監視するために必要です。
13 https://login.live.com Desktop Analyticsの信頼性の高いデバイス ID を提供するために必要です。

エンド ユーザーの Microsoft アカウント アクセスを無効にするには、このエンドポイントをブロックする代わりにポリシー設定を使用します。 詳細については、「 エンタープライズの Microsoft アカウント」を参照してください。
14 https://v20.events.data.microsoft.com 接続されたユーザー エクスペリエンスと診断コンポーネント エンドポイント。

テナントのアタッチ

詳細については、「テナントのアタッチの有効化」を参照してください。

  • https://aka.ms/configmgrgateway

  • https://*.manage.microsoft.comAzure パブリック クラウドのお客様向け

  • https://*.manage.microsoft.usバージョン 2107 以降の米国政府機関クラウドのお客様向け

  • https://dc.services.visualstudio.com

サービス接続ポイントは、 でホストされている通知サービスへの長時間の送信接続を https://*.manage.microsoft.com行います。 サービス接続ポイントに使用されるプロキシが、発信接続のタイムアウトを早くしすぎないことを確認します。 このインターネット エンドポイントへの発信接続は 3 分に設定することをお勧めします。

環境に特定の証明書失効リスト (CRL) またはオンライン証明書状態プロトコル (OCSP) の検証場所のみを許可するプロキシ 規則がある場合は、次の CRL と OCSP URL も許可します。

  • http://crl3.digicert.com
  • http://crl4.digicert.com
  • http://ocsp.digicert.com
  • http://www.d-trust.net
  • http://root-c3-ca2-2009.ocsp.d-trust.net
  • http://crl.microsoft.com
  • http://oneocsp.microsoft.com
  • http://ocsp.msocsp.com
  • http://www.microsoft.com/pkiops

エンドポイントの分析

詳細については、「 エンドポイント分析プロキシの構成」を参照してください。

Configuration Manager マネージド デバイスに必要なエンドポイント

Configuration Manager マネージド デバイスからは、Configuration Manager ロールのコネクタ経由で Intune にデータが送信され、Microsoft パブリック クラウドに直接アクセスする必要はありません。

エンドポイント 職務
https://graph.windows.net サーバー ロールの Endpoint analytics に階層をアタッチするときに設定Configuration Manager自動的に取得するために使用されます。 詳しくは、「サイト システム サーバー用にプロキシを構成する」をご覧ください。
https://*.manage.microsoft.com デバイスコレクションとデバイスをエンドポイント分析と同期するために使用Configuration Managerサーバー ロールのみ。 詳しくは、「サイト システム サーバー用にプロキシを構成する」をご覧ください。

Intune マネージド デバイスに必要なエンドポイント

エンドポイント分析にデバイスを登録する場合、デバイスから Microsoft パブリック クラウドに必要な機能データが送信される必要があります。 Endpoint Analytics は、Windows クライアントと Windows Server 接続ユーザー エクスペリエンスとテレメトリ コンポーネント (DiagTrack) を使用して、Intune で管理されるデバイスからデータを収集します。 デバイス上の接続ユーザー エクスペリエンスとテレメトリ サービスが実行されていることを確認してください。

エンドポイント 職務
https://*.events.data.microsoft.com 必要な機能データを Intune データ収集エンドポイントに送信するために Intune マネージド デバイスによって使用されます。

資産インテリジェンス

資産インテリジェンスを使用する場合は、サービスの同期を次のエンドポイントに許可します。

  • https://sc.microsoft.com
  • https://ssu2.manage.microsoft.com

Microsoft Edge の展開

Configuration Manager コンソールを実行しているデバイスは、Microsoft Edge を展開するために次のエンドポイントにアクセスする必要があります。

場所 使用
https://aka.ms/cmedgeapi Microsoft Edge のリリースに関する情報
https://edgeupdates.microsoft.com/api/products?view=enterprise Microsoft Edge のリリースに関する情報
http://dl.delivery.mp.microsoft.com Microsoft Edge リリースのコンテンツ

外部通知

詳細については、「 外部通知」を参照してください。

サービス接続ポイントは、通知サービス (Azure Logic Apps など) と通信する必要があります。 通常、ロジック アプリのアクセス エンドポイントの形式は です。 https://*.<RegionName>.logic.azure.com:443 例: https://prod1.westus2.logic.azure.com:443

ロジック アプリのアクセス エンドポイントと関連する IP アドレスを取得するには、次のプロセスを使用します。

  1. Azure portalの [Logic Apps] で、通知のロジック アプリを選択します。 詳細については、「Azure portalでロジック アプリを管理する」を参照してください。
  2. アプリのメニューの [設定] セクションで、[プロパティ] を選択 します
  3. Access エンドポイントと Access エンドポイントIP アドレスの値を表示またはコピーします。

Microsoft パブリック IP アドレス

Microsoft IP アドレス範囲の詳細については、「 Microsoft パブリック IP 空間」を参照してください。 これらのアドレスは定期的に更新されます。 サービスごとの細分性はなく、これらの範囲の IP アドレスを使用できます。

次の手順