Microsoft Intune のネットワーク エンドポイント
この記事では、Microsoft Intune 展開のプロキシ設定に必要な IP アドレスとポート設定の一覧を示します。
クラウド専用サービスとして、Intune では、サーバーやゲートウェイなどのオンプレミス インフラストラクチャは必要ありません。
マネージド デバイスへのアクセス
ファイアウォールとプロキシ サーバーの背後にあるデバイスを管理するには、Intune のための通信を有効にする必要があります。
注:
セクション内の情報は、Microsoft Intune Certificate Connector にも適用されます。 このコネクタのネットワーク要件は、マネージド デバイスと同じです。
この記事のエンドポイントは、次の表で識別されるポートへのアクセスを許可します。
一部のタスクでは、Intune では、manage.microsoft.com、*.azureedge.net、および graph.microsoft.com への認証されていないプロキシ サーバー アクセスが必要です。
注:
SSL トラフィック検査は、「manage.microsoft.com」、「dm.microsoft.com」、または 「コンプライアンス」セクションに記載されている Device Health Attestation (DHA) エンドポイントではサポートされていません。
個々のクライアント コンピューターについて、プロキシ サーバーの設定を変更できます。 また、グループ ポリシーの設定を使用して、指定したプロキシ サーバーの背後にあるすべてのクライアント コンピューターの設定を変更することもできます。
マネージド デバイスは、すべてのユーザーがファイアウォール経由でサービスにアクセスできるように構成する必要があります。
PowerShell スクリプト
ファイアウォールを使用してサービスを簡単に構成できるように、Office 365 エンドポイント サービスをオンボードしました。 現時点では、Intune エンドポイント情報には PowerShell スクリプトを介してアクセスされます。 Intune には、Microsoft 365 サービスの一部として既にカバーされており、"必須" としてマークされているその他の依存サービスがあります。 Microsoft 365 で既にカバーされているサービスは、重複を避けるためにスクリプトに含まれていません。
次の PowerShell スクリプトを使用すると、Intune サービスの IP アドレスの一覧を取得できます。
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips
次の PowerShell スクリプトを使用すると、Intune と依存サービスで使用される FQDN の一覧を取得できます。 スクリプトを実行すると、スクリプト出力の URL が次の表の URL とは異なる場合があります。 少なくとも、テーブルに URL を含める必要があります。
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls
このスクリプトは、Intune と Autopilot で必要なすべてのサービスを 1 か所に一覧表示して確認するための便利な方法を提供します。 エンドポイント サービスから追加のプロパティ (カテゴリ プロパティなど) を返すことができます。これは、FQDN または IP を 許可、 最適化 、 または既定値として構成する必要があるかどうかを示します。
エンドポイント
また、Microsoft 365 の要件の一部としてカバーされる FQDN も必要です。 参考までに、次の表は、関連付けられているサービスと、返される URL の一覧を示しています。
テーブルに表示されるデータ列は次のとおりです。
ID: エンドポイントのセットとして知られる、行の ID 番号です。 この ID は、エンドポイントの Web サービスによって返されるものと同じです。
カテゴリ: エンドポイント セットが [最適化] 、[許可]、または [既定] として分類されているかどうかを示します。 この列には、ネットワーク接続に必要なエンドポイント セットも一覧表示されます。 ネットワーク接続が不要なエンドポイント セットについては、エンドポイント セットがブロックされた場合に失われる機能を示すために、このフィールドにメモを提供します。 サービス エリア全体を除外する場合、必須としてリストされているエンドポイント セットは接続を必要としません。
これらのカテゴリと管理に関するガイダンスについては、「 新しい Microsoft 365 エンドポイント カテゴリ」を参照してください。
ER: Microsoft 365 ルート プレフィックスを使用して Azure ExpressRoute 経由でエンドポイント セットがサポートされている場合、これははい/True です。 表示されているルート プレフィックスを含む BGP コミュニティは、表示されているサービス エリアと一致しています。 ER が No/False の場合、ExpressRoute はこのエンドポイント セットではサポートされません。
アドレス: FQDN またはワイルドカードを含むドメイン名と、エンドポイントのセットの IP アドレス範囲を一覧表示します。 IP アドレスの範囲は CIDR 形式となり、指定されたネットワークの個別の IP アドレスが多数含まれる場合があることに注意してください。
ポート: 記載された IP アドレスと組み合わさることによりネットワーク エンドポイントを形成する TCP または UDP ポートの一覧を表示します。 異なるポートが記載されている場合、IP アドレス範囲が重複している場合があります。
Intune コア サービス
注:
使用しているファイアウォールでドメイン名を使用してファイアウォール規則を作成できる場合は、*.manage.microsoft.com と manage.microsoft.com ドメインを使用します。 ただし、使用しているファイアウォール プロバイダーがドメイン名を使用してファイアウォール規則を作成できない場合は、このセクションのすべてのサブネットの承認済みリストを使用することをお勧めします。
ID | 指定 | カテゴリ | ER | アドレス | ポート |
---|---|---|---|---|---|
163 | Endpoint Manager クライアントとホスト サービス | 許可 必須 |
False | *.manage.microsoft.com manage.microsoft.com EnterpriseEnrollment.manage.microsoft.com 104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.71.199.64/28, 13.73.244.48/28, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 20.49.93.160/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29 |
TCP: 80、443 |
172 | MDM 配信の最適化 | 既定値 必須 |
False | *.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com *.emdl.ws.microsoft.com kv801.prod.do.dsp.mp.microsoft.com geo.prod.do.dsp.mp.microsoft.com emdl.ws.microsoft.com 2.dl.delivery.mp.microsoft.com bg.v4.emdl.ws.microsoft.com |
TCP: 80、443 |
170 | MEM - Win32Apps | 既定値 必須 |
False | swda01-mscdn.manage.microsoft.com swda02-mscdn.manage.microsoft.com swdb01-mscdn.manage.microsoft.com swdb02-mscdn.manage.microsoft.com swdc01-mscdn.manage.microsoft.com swdc02-mscdn.manage.microsoft.com swdd01-mscdn.manage.microsoft.com swdd02-mscdn.manage.microsoft.com swdin01-mscdn.manage.microsoft.com swdin02-mscdn.manage.microsoft.com |
TCP: 443 |
97 | コンシューマー Outlook.com、OneDrive、デバイス認証、Microsoft アカウント | 既定値 必須 |
False | account.live.com login.live.com |
TCP: 443 |
190 | エンドポイント検出 | 既定値 必須 |
False | go.microsoft.com |
TCP: 80、443 |
189 | 依存関係 - 機能のデプロイ | 既定値 必須 |
False | config.edge.skype.com |
TCP: 443 |
Autopilot の依存関係
ID | 指定 | カテゴリ | ER | アドレス | ポート |
---|---|---|---|---|---|
164 | Autopilot - Windows Update | 既定値 必須 |
False | *.windowsupdate.com *.dl.delivery.mp.microsoft.com *.prod.do.dsp.mp.microsoft.com emdl.ws.microsoft.com *.delivery.mp.microsoft.com *.update.microsoft.com tsfe.trafficshaping.dsp.mp.microsoft.com adl.windows.com |
TCP: 80、443 |
165 | Autopilot - NTP Sync | 既定値 必須 |
False | time.windows.com |
UDP: 123 |
169 | Autopilot - WNS の依存関係 | 既定値 必須 |
False | clientconfig.passport.net windowsphone.com *.s-microsoft.com c.s-microsoft.com |
TCP: 443 |
173 | Autopilot - サード パーティのデプロイの依存関係 | 既定値 必須 |
False | ekop.intel.com ekcert.spserv.microsoft.com ftpm.amd.com |
TCP: 443 |
182 | Autopilot - 診断のアップロード | 既定値 必須 |
False | lgmsapeweu.blob.core.windows.net |
TCP: 443 |
リモート ヘルプ
ID | 指定 | カテゴリ | ER | アドレス | ポート | メモ |
---|---|---|---|---|---|---|
181 | MEM - リモート ヘルプ機能 | 既定値 必須 |
False | *.support.services.microsoft.com remoteassistance.support.services.microsoft.com rdprelayv3eastusprod-0.support.services.microsoft.com *.trouter.skype.com remoteassistanceprodacs.communication.azure.com edge.skype.com aadcdn.msftauth.net aadcdn.msauth.net alcdn.msauth.net wcpstatic.microsoft.com *.aria.microsoft.com browser.pipe.aria.microsoft.com *.events.data.microsoft.com v10.events.data.microsoft.com *.monitor.azure.com js.monitor.azure.com edge.microsoft.com *.trouter.communication.microsoft.com go.trouter.communication.microsoft.com *.trouter.teams.microsoft.com trouter2-usce-1-a.trouter.teams.microsoft.com api.flightproxy.skype.com ecs.communication.microsoft.com remotehelp.microsoft.com trouter-azsc-usea-0-a.trouter.skype.com |
TCP: 443 | |
187 | 依存関係 - リモート ヘルプ Web pubsub | 既定値 必須 |
False | *.webpubsub.azure.com AMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com |
TCP: 443 | |
188 | GCC のお客様向けのリモート ヘルプ依存関係 | 既定値 必須 |
False | remoteassistanceweb-gcc.usgov.communication.azure.us gcc.remotehelp.microsoft.com gcc.relay.remotehelp.microsoft.com *.gov.teams.microsoft.us |
TCP: 443 |
Intune の依存関係
このセクションでは、次の表に、Intune の依存関係と、Intune クライアントがアクセスするポートとサービスを示します。
Windows プッシュ通知サービス (WNS) の依存関係
ID | 指定 | カテゴリ | ER | アドレス | ポート |
---|---|---|---|---|---|
171 | MEM - WNS の依存関係 | 既定値 必須 |
False | *.notify.windows.com *.wns.windows.com sinwns1011421.wns.windows.com sin.notify.windows.com |
TCP: 443 |
モバイル デバイス管理 (MDM) を使用して管理されている Intune の管理対象 Windows デバイスの場合、デバイス アクションとその他の即時アクティビティでは Windows プッシュ通知サービス (WNS) の使用が必要です。 詳細については、「エンタープライズ ファイアウォールを介した Windows 通知トラフィックの許可」を参照してください。
配信の最適化の依存関係
ID | 指定 | カテゴリ | ER | アドレス | ポート |
---|---|---|---|---|---|
172 | MDM - 配信の最適化の依存関係 | 既定値 必須 |
False | *.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com *.emdl.ws.microsoft.com kv801.prod.do.dsp.mp.microsoft.com geo.prod.do.dsp.mp.microsoft.com emdl.ws.microsoft.com 2.dl.delivery.mp.microsoft.com bg.v4.emdl.ws.microsoft.com |
TCP: 80、443 |
ポート要件 - ピアツーピア トラフィックの場合、配信の最適化では TCP/IP に 7680、NAT トラバーサルに 3544 を使用します (必要に応じて Teredo)。 クライアント サービス通信では、ポート 80/443 経由で HTTP または HTTPS を使用します。
プロキシ要件 - 配信の最適化を使用するには、バイト範囲要求を許可する必要があります。 詳細については、Windows 更新プログラムのプロキシ要件に関するページを参照してください。
ファイアウォールの要件 - 配信の最適化をサポートするために、ファイアウォール経由で次のホスト名を許可します。 クライアントと配信の最適化クラウド サービス間の通信の場合:
- *.do.dsp.mp.microsoft.com
配信の最適化メタデータの場合:
- *.dl.delivery.mp.microsoft.com
- *.emdl.ws.microsoft.com
Apple の依存関係
ID | 指定 | カテゴリ | ER | アドレス | ポート |
---|---|---|---|---|---|
178 | MEM - Apple の依存関係 | 既定値 必須 |
False | itunes.apple.com *.itunes.apple.com *.mzstatic.com *.phobos.apple.com phobos.itunes-apple.com.akadns.net 5-courier.push.apple.com phobos.apple.com ocsp.apple.com ax.itunes.apple.com ax.itunes.apple.com.edgesuite.net s.mzstatic.com a1165.phobos.apple.com |
TCP: 80、443、5223 |
詳細については、次のリソースを参照してください。
- エンタープライズ ネットワークで Apple 製品を使用する
- Apple ソフトウェア製品に使用される TCP ポートと UDP ポート
- macOS、iOS/iPadOS、iTunes のサーバー ホスト接続と iTunes のバックグラウンド プロセスについて
- macOS および iOS/iPadOS クライアントで Apple プッシュ通知が届かない場合
Android AOSP の依存関係
ID | 指定 | カテゴリ | ER | アドレス | ポート |
---|---|---|---|---|---|
179 | MEM - Android AOSP 依存関係 | 既定値 必須 |
False | intunecdnpeasd.azureedge.net |
TCP: 443 |
注:
中国では Google Mobile Services を使用できないため、Intune によって管理されている中国のデバイスでは、Google Mobile Services を必要とする機能を使用できません。 これらの機能には次を含みます: SafetyNet デバイス構成証明、Google Play ストアからのアプリの管理、Android Enterprise 機能などの Google Play Protect 機能が含まれます (このGoogle ドキュメントを参照)。 さらに、Android 用 Intune ポータル サイト アプリでは、Microsoft Intune サービスと通信するために Google Mobile Services が使用されます。 中国では Google Play サービスを使用できないため、一部のタスクは完了までに最大 8 時間かかることがあります。 詳細については、「 GMS が使用できない場合の Intune 管理の制限事項」を参照してください。
Android ポート情報 - Android デバイスの管理方法によっては、Google Android Enterprise ポートや Android プッシュ通知を開く必要がある場合があります。 サポートされている Android 管理方法の詳細については、Android の登録に関するドキュメントを参照してください。
Android Enterprise の依存関係
Google Android Enterprise - Google では、そのドキュメントの [ファイアウォール] セクションの下にある、Android Enterprise Bluebook で必要なネットワーク ポートと宛先ホスト名のドキュメントを提供しています。
Android プッシュ通知 - Intune では、プッシュ通知に Google Firebase Cloud Messaging (FCM) を使用して、デバイスのアクションとチェックインをトリガーします。これは、Android デバイス管理者と Android Enterprise の両方で必要です。 FCM ネットワーク要件の詳細については、Google の「FCM ポートとファイアウォール」を参照してください。
認証の依存関係
ID | 指定 | カテゴリ | ER | アドレス | ポート |
---|---|---|---|---|---|
56 | 認証と ID には、Azure Active Directory と Azure AD 関連のサービスが含まれます。 | 許可 必須 |
はい | login.microsoftonline.com graph.windows.net |
TCP: 80、443 |
150 | Office カスタマイズ サービスでは、Office 365 ProPlus の展開構成、アプリケーション設定、クラウドベースのポリシー管理が提供されます。 | 既定値 | False | *.officeconfig.msocdn.com config.office.com |
TCP: 443 |
59 | CDN & サービスをサポートする ID。 | 既定値 必須 |
False | enterpriseregistration.windows.net |
TCP: 80、443 |
詳細については、「 Office 365 URL と IP アドレス範囲」を参照してください。
PowerShell スクリプトと Win32 アプリのネットワーク要件
Intune を使用して PowerShell スクリプトまたは Win32 アプリを展開する場合は、テナントが現在存在するエンドポイントへのアクセス権も付与する必要があります。
テナントの場所 (または Azure Scale Unit (ASU) を見つけるには、 Microsoft Intune 管理センターにサインインし、[ テナントの管理>テナントの詳細] を選択します。 場所は、[テナントの場所] (北米 0501 またはヨーロッパ 0202 など) にあります。 次の表で、一致する番号を探します。 この行は、アクセス権を付与するストレージ名と CDN エンドポイントを示します。 行は、地理的リージョンごとに分けられており、その名前の最初の 2 文字 (na = 北米、eu = ヨーロッパ、ap = アジア太平洋) で示されます。 テナントの場所はこれら 3 つのリージョンのいずれかですが、組織の実際の地理的な場所は他の場所にある可能性があります。
注:
Win32 Apps エンドポイントのスクリプト & HTTP 部分応答を許可する必要があります。
Azure スケール ユニット (ASU) | ストレージ名 | CDN | ポート |
---|---|---|---|
AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0601 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901 |
naprodimedatapri naprodimedatasec naprodimedatahotfix |
naprodimedatapri.azureedge.net naprodimedatasec.azureedge.net naprodimedatahotfix.azureedge.net |
TCP: 443 |
AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701 |
euprodimedatapri euprodimedatasec euprodimedatahotfix |
euprodimedatapri.azureedge.net euprodimedatasec.azureedge.net euprodimedatahotfix.azureedge.net |
TCP: 443 |
AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUC0601 AMSUD0101 |
approdimedatapri approdimedatasec approdimedatahotifx |
approdimedatapri.azureedge.net approdimedatasec.azureedge.net approdimedatahotfix.azureedge.net |
TCP: 443 |
Microsoft Store
Microsoft Store を使用するマネージド Windows デバイス (アプリの取得、インストール、更新) には、これらのエンドポイントへのアクセスが必要です。
Microsoft Store API (AppInstallManager):
- displaycatalog.mp.microsoft.com
- purchase.md.mp.microsoft.com
- licensing.mp.microsoft.com
- storeedgefd.dsx.mp.microsoft.com
プロキシ構成
Windows Update エージェント:
詳細については、次のリソースを参照してください。
Win32 コンテンツのダウンロード:
Win32 コンテンツのダウンロード場所とエンドポイントは、アプリケーションごとに一意であり、外部発行元によって提供されます。 各 Win32 ストア アプリの場所は、テスト システムで次のコマンドを使用して見つけることができます (Microsoft Intune に追加した後、アプリのパッケージ識別子プロパティを参照することで、ストア アプリの [ PackageId ] を取得できます)。
winget show [PackageId]
Installer Url プロパティには、キャッシュが使用中かどうかに基づいて、外部ダウンロードの場所またはリージョンベース (Microsoft ホスト型) フォールバック キャッシュが表示されます。 コンテンツのダウンロード場所は、キャッシュと外部の場所の間で変更される可能性があることに注意してください。
Microsoft でホストされる Win32 アプリ フォールバック キャッシュ:
- リージョンによって異なります。例: sparkcdneus2.azureedge.net、sparkcdnwus2.azureedge.net
配信の最適化 (オプション、ピアリングに必要):
詳細については、次のリソースを参照してください。
デバイス正常性構成証明コンプライアンス ポリシーを Microsoft Azure 構成証明に移行する
お客様が Windows 10/11 コンプライアンス ポリシー - デバイス正常性設定のいずれかを有効にした場合、Windows 11 デバイスは Intune テナントの場所に基づいて Microsoft Azure 構成証明 (MAA) サービスの使用を開始します。 ただし、Windows 10 および GCCH/DOD 環境では、デバイス正常性構成証明レポートに既存の Device Health Attestation DHA エンドポイント 'has.spserv.microsoft.com' が引き続き使用され、この変更の影響を受けません。
お客様が Windows 11 用の新しい Intune MAA サービスへのアクセスを禁止するファイアウォール ポリシーを持っている場合、デバイス正常性設定 (BitLocker、Secure Boot、Code Integrity) のいずれかを使用してコンプライアンス ポリシーが割り当てられた Windows 11 デバイスは、場所の MAA 構成証明エンドポイントに到達できないため、コンプライアンスから除外されます。
送信 HTTPS/443 トラフィックをブロックするファイアウォール規則がないことを確認し、Intune テナントの場所に基づいて、このセクションに記載されているエンドポイントに対して SSL トラフィック検査が実施されていないことを確認します。
テナントの場所を見つけるには、Intune 管理センター >テナント管理>テナントの状態>テナントの詳細に関するページを参照してください。
'https://intunemaape1.eus.attest.azure.net'
'https://intunemaape2.eus2.attest.azure.net'
'https://intunemaape3.cus.attest.azure.net'
'https://intunemaape4.wus.attest.azure.net'
'https://intunemaape5.scus.attest.azure.net'
'https://intunemaape6.ncus.attest.azure.net'
Windows Update for Business の展開サービス
Windows Update for Business 展開サービスに必要なエンドポイントの詳細については、「 Windows Update for Business 展開サービスの前提条件」を参照してください。
エンドポイントの分析
エンドポイント分析に必要なエンドポイントの詳細については、「 エンドポイント分析プロキシの構成」を参照してください。
Microsoft Defender for Endpoint
Defender for Endpoint 接続の構成の詳細については、「 接続要件」を参照してください。
Defender for Endpoint セキュリティ設定の管理をサポートするには、ファイアウォール経由で次のホスト名を許可します。 クライアントとクラウド サービス間の通信の場合:
*.dm.microsoft.com - ワイルドカードを使用すると、登録、チェックイン、レポートに使用されるクラウド サービス エンドポイントがサポートされ、サービスのスケーリングに応じて変更される可能性があります。
重要
Microsoft Defender for Endpoint に必要なエンドポイントでは、SSL 検査はサポートされていません。
Microsoft Intune エンドポイント特権管理
エンドポイント特権管理をサポートするには、ファイアウォール経由で tcp ポート 443 で次のホスト名を許可します
クライアントとクラウド サービス間の通信の場合:
*.dm.microsoft.com - ワイルドカードを使用すると、登録、チェックイン、レポートに使用されるクラウド サービス エンドポイントがサポートされ、サービスのスケーリングに応じて変更される可能性があります。
*.events.data.microsoft.com - Intune で管理されるデバイスが 、オプションのレポート データを Intune データ収集エンドポイントに送信するために使用します。
重要
エンドポイント特権管理に必要なエンドポイントでは、SSL 検査はサポートされていません。
詳細については、「 エンドポイント特権管理の概要」を参照してください。
関連項目
Office 365 の URL および IP アドレスの範囲
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示