Microsoft Intune のネットワーク エンドポイント

このページには、Intune のデプロイでのプロキシ設定に必要な IP アドレスとポートの設定がリストされています。

クラウド専用サービスとして、Intune はサーバーやゲートウェイなど、オンプレミスのインフラストラクチャは必要ありません。

マネージド デバイスへのアクセス

ファイアウォールとプロキシ サーバーの背後にあるデバイスを管理するには、Intune のための通信を有効にする必要があります。

注:

セクション内の情報は、Microsoft Intune Certificate Connector にも適用されます。 このコネクタのネットワーク要件は、マネージド デバイスと同じです。

  • プロキシ サーバーでは HTTP (80)HTTPS (443) の両方をサポートする必要があります。これは、Intune クライアントで両方のプロトコルを使用するためです。 Windows Information Protection ではポート 444 が使用されます。
  • Intune では、一部のタスク (従来の PC エージェント用のソフトウェア更新プログラムのダウンロードなど) で、manage.microsoft.com への認証されていないプロキシ サーバー アクセスが必要です

注:

SSL トラフィックの検査は、'manage.microsoft.com' エンドポイントではサポートされていません。

個々のクライアント コンピューターについて、プロキシ サーバーの設定を変更できます。 また、グループ ポリシーの設定を使用して、指定したプロキシ サーバーの背後にあるすべてのクライアント コンピューターの設定を変更することもできます。

マネージド デバイスは、すべてのユーザーがファイアウォール経由でサービスにアクセスできるように構成する必要があります。

ファイアウォールを使用してサービスを簡単に構成できるように、Office 365 エンドポイント サービスをオンボードしました。 現時点では、Intune サービスには PowerShell スクリプトを介してアクセスされます。 M365 サービスの一部として既にカバーされ、"必須" としてマークされているIntuneには、その他の依存サービスがあります。 M365 で既にカバーされているサービスは、重複を避けるためにスクリプトに含まれていません。 次の PowerShell スクリプトを使用すると、Intune サービスの IP アドレスの一覧を取得できます。 これにより、次の IP アドレス テーブルに示されているサブネットと同じ一覧が提供されます。

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips

次の PowerShell スクリプトを使用すると、Intuneと Autopilot で使用される FQDN の一覧を取得できます。

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls

これにより、Intuneと autopilot で必要なすべてのサービスを 1 か所に一覧表示して確認するための便利な方法が提供されます。 また、M365 要件の一部として扱われる FQDN も必要です。 参考までに、これは返される URL と、それらが関連付けられているサービスの一覧です。

FQDN 関連付けられたサービス
*.manage.microsoft.com Intune サービス
manage.microsoft.com Intune サービス
*.delivery.mp.microsoft.com 配信最適化
*.prod.do.dsp.mp.microsoft.com 配信最適化
*.update.microsoft.com 配信最適化
*.windowsupdate.com 配信最適化
emdl.ws.microsoft.com 配信最適化
tsfe.trafficshaping.dsp.mp.microsoft.com 配信最適化
time.windows.com NTP 同期
www.msftconnecttest.com NTP 同期
www.msftncsi.com NTP 同期
*.s-microsoft.com Windows 通知 & ストア
clientconfig.passport.net Windows 通知 & ストア
windowsphone.com Windows 通知 & ストア
approdimedatahotfix.azureedge.net &スクリプト Win32 アプリ
approdimedatapri.azureedge.net &スクリプト Win32 アプリ
approdimedatasec.azureedge.net &スクリプト Win32 アプリ
euprodimedatahotfix.azureedge.net &スクリプト Win32 アプリ
euprodimedatapri.azureedge.net &スクリプト Win32 アプリ
euprodimedatasec.azureedge.net &スクリプト Win32 アプリ
naprodimedatahotfix.azureedge.net &スクリプト Win32 アプリ
naprodimedatapri.azureedge.net &スクリプト Win32 アプリ
naprodimedatasec.azureedge.net &スクリプト Win32 アプリ
*.notify.windows.com プッシュ通知
*.wns.windows.com プッシュ通知
*.dl.delivery.mp.microsoft.com 配信最適化
*.do.dsp.mp.microsoft.com 配信最適化
*.emdl.ws.microsoft.com 配信最適化
ekcert.spserv.microsoft.com Autopilot セルフデプロイ
ekop.intel.com Autopilot セルフデプロイ
ftpm.amd.com Autopilot セルフデプロイ
*.itunes.apple.com Apple デバイス管理
*.mzstatic.com Apple デバイス管理
*.phobos.apple.com Apple デバイス管理
5-courier.push.apple.com Apple デバイス管理
ax.itunes.apple.com.edgesuite.net Apple デバイス管理
itunes.apple.com Apple デバイス管理
ocsp.apple.com Apple デバイス管理
phobos.apple.com Apple デバイス管理
phobos.itunes-apple.com.akadns.net Apple デバイス管理
intunecdnpeasd.azureedge.net
*.channelservices.microsoft.com リモート ヘルプ
*.go-mpulse.net リモート ヘルプ
*.infra.lync.com リモート ヘルプ
*.resources.lync.com リモート ヘルプ
*.support.services.microsoft.com リモート ヘルプ
*.trouter.skype.com リモート ヘルプ
*.vortex.data.microsoft.com リモート ヘルプ
edge.skype.com リモート ヘルプ
remoteassistanceprodacs.communication.azure.com リモート ヘルプ
lgmsapeweu.blob.core.windows.net 診断の収集

次の表は、Intune クライアントがアクセスするポートとサービスの一覧です:

ドメイン IP アドレス
login.microsoftonline.com
*.officeconfig.msocdn.com
config.office.com
graph.windows.net
enterpriseregistration.windows.net
詳細については、「Office 365 URL および IP アドレス範囲」を参照してください。
*.manage.microsoft.com
manage.microsoft.com
104.46.162.96/27
13.67.13.176/28
13.67.15.128/27
13.69.231.128/28
13.69.67.224/28
13.70.78.128/28
13.70.79.128/27
13.71.199.64/28
13.73.244.48/28
13.74.111.192/27
13.77.53.176/28
13.86.221.176/28
13.89.174.240/28
13.89.175.192/28
20.189.172.160/27
20.189.229.0/25
20.191.167.0/25
20.37.153.0/24
20.37.192.128/25
20.38.81.0/24
20.41.1.0/24
20.42.1.0/24
20.42.130.0/24
20.42.224.128/25
20.43.129.0/24
20.44.19.224/27
20.49.93.160/27
20.192.174.216/29
20.192.159.40/29
20.204.193.12/30
20.204.193.10/31
40.119.8.128/25
40.67.121.224/27
40.70.151.32/28
40.71.14.96/28
40.74.25.0/24
40.78.245.240/28
40.78.247.128/27
40.79.197.64/27
40.79.197.96/28
40.80.180.208/28
40.80.180.224/27
40.80.184.128/25
40.82.248.224/28
40.82.249.128/25
52.150.137.0/25
52.162.111.96/28
52.168.116.128/27
52.182.141.192/27
52.236.189.96/27
52.240.244.160/27

PowerShell スクリプトと Win32 アプリのネットワーク要件

Intune を使用して PowerShell スクリプトまたは Win32 アプリをデプロイする場合は、テナントが現在、所在するエンドポイントへのアクセスを許可する必要もあります。

テナントの場所 (または Azure スケール ユニット (ASU)) を見つけるには、Microsoft エンドポイント マネージャー管理センターにサインインして、[テナント管理]>[テナントの詳細] の順に選択します。 場所は、[テナントの場所] (北米 0501 またはヨーロッパ 0202 など) にあります。 次の表で、一致する番号を探します。 その行には、アクセス権付与の対象となるストレージ名と CDN エンドポイントが表示されます。 行は、地理的リージョンごとに分けられており、その名前の最初の 2 文字 (na = 北米、eu = ヨーロッパ、ap = アジア太平洋) で示されます。 テナントの場所は、これら 3 つのリージョンのいずれかとなりますが、組織の実際の地理的な場所は別の場所であることもあります。

Azure スケール ユニット (ASU) ストレージ名 CDN
AMSUA0601
AMSUA0602
AMSUA0101
AMSUA0102
AMSUA0201
AMSUA0202
AMSUA0401
AMSUA0402
AMSUA0501
AMSUA0502
AMSUA0701
AMSUA0702
AMSUA0801
AMSUA0901
naprodimedatapri
naprodimedatasec
naprodimedatahotfix
naprodimedatapri.azureedge.net
naprodimedatasec.azureedge.net
naprodimedatahotfix.azureedge.net
AMSUB0101
AMSUB0102
AMSUB0201
AMSUB0202
AMSUB0301
AMSUB0302
AMSUB0501
AMSUB0502
AMSUB0601
AMSUB0701
euprodimedatapri
euprodimedatasec
euprodimedatahotfix
euprodimedatapri.azureedge.net
euprodimedatasec.azureedge.net
euprodimedatahotfix.azureedge.net
AMSUC0101
AMSUC0201
AMSUC0301
AMSUC0501
AMSUD0101
approdimedatapri
approdimedatasec
approdimedatahotifx
approdimedatapri.azureedge.net
approdimedatasec.azureedge.net
approdimedatahotfix.azureedge.net

Windows プッシュ通知サービス (WNS)

モバイル デバイス管理 (MDM) を使用して管理されている Intune の管理対象 Windows デバイスの場合、デバイス アクションとその他の即時アクティビティでは Windows プッシュ通知サービス (WNS) の使用が必要です。 詳細については、「エンタープライズ ファイアウォールを介した Windows 通知トラフィックの許可」を参照してください。

配信の最適化ポートの要件

ポートの要件

ピア ツー ピア トラフィックの場合、配信の最適化では TCP/IP で 7680 または NAT トラバーサル (必要に応じて、Teredo) で 3544 を使用します。 クライアント サービス通信では、ポート 80/443 経由で HTTP または HTTPS を使用します。

プロキシの要件

配信の最適化を使用するには、バイト範囲要求を許可する必要があります。 詳細については、Windows 更新プログラムのプロキシ要件に関するページを参照してください。

ファイアウォールの要件

配信の最適化をサポートするには、以下のホスト名がファイアウォールを通過できるようにします。 クライアントと配信の最適化クラウド サービス間の通信の場合:

  • *.do.dsp.mp.microsoft.com

配信の最適化メタデータの場合:

  • *.dl.delivery.mp.microsoft.com
  • *.emdl.ws.microsoft.com

Apple デバイス ネットワーク情報

使用目的 ホスト名 (IP アドレス/サブネット) プロトコル ポート
Apple サーバーからコンテンツを取得して表示する itunes.apple.com
*.itunes.apple.com
*.mzstatic.com
*.phobos.apple.com
*.phobos.itunes-apple.com.akadns.net
HTTP 80
APNS サーバーとの通信 #-courier.push.apple.com
'#' は、0 から 50 の乱数です。
TCP 5223 および 443
World Wide Web、iTunes Store、macOS アプリ ストア、iCloud、メッセージングなどへのアクセスを含む、さまざまな機能 phobos.apple.com
ocsp.apple.com
ax.itunes.apple.com
ax.itunes.apple.com.edgesuite.net
HTTP/HTTPS 80 または 443

詳細については、「企業ネットワークで Apple 製品を使用する」、「Apple ソフトウェア製品で使われている TCP および UDP ポート」、「macOS、iOS/iPadOS、そして iTunes のサーバ ホスト接続と iTunes のバックグラウンドプロセスについて」、そして「macOS、iOS/iPadOS クライアントで Apple プッシュ通知が届かない場合」を参照してください。

Android のポート情報

Android デバイスの管理方法によっては、Google Android Enterprise ポートや Android プッシュ通知を開く必要がある場合があります。 サポートされている Android 管理方法の詳細については、Android の登録に関するドキュメントを参照してください。

注:

中国では Google Mobile Services を使用できないため、Intune によって管理されている中国のデバイスでは、Google Mobile Services を必要とする機能を使用できません。 これらの機能には次を含みます: SafetyNet デバイス構成証明、Google Play ストアからのアプリの管理、Android Enterprise 機能などの Google Play Protect 機能が含まれます (このGoogle ドキュメントを参照)。 さらに、Android 用 Intune ポータル サイト アプリでは、Microsoft Intune サービスと通信するために Google Mobile Services が使用されます。 中国では Google Play サービスを使用できないため、一部のタスクは完了までに最大 8 時間かかることがあります。 詳細については、こちらの記事を参照してください。

Android (AOSP)

使用目的 ホスト名 (IP アドレス/サブネット) プロトコル ポート
Microsoft Intune と Microsoft Authenticator アプリのダウンロードとインストール intunecdnpeasd.azureedge.net HTTPS 443

Google Android Enterprise

Google によって、Android Enterprise Bluebook のドキュメントの [ファイアウォール] セクションの下に、必要なネットワーク ポートと接続先ホスト名のドキュメントが提供されます。

Android のプッシュ通知

Intune は、プッシュ通知に Google Firebase Cloud Messaging (FCM) を活用して、デバイスのアクションとチェックインの起動に役立たせます。これは、Android デバイス管理者と Android Enterprise の両方に必要です。 FCM ネットワーク要件の詳細については、Google の「FCM ポートとファイアウォール」を参照してください。

エンドポイントの分析

エンドポイント分析に必要なエンドポイントの詳細については、エンドポイント分析のプロキシ構成をご覧ください。

Office 365 の URL および IP アドレスの範囲

Microsoft 365 ネットワーク接続の概要

コンテンツ配信ネットワーク (CDN)

Office 365 IP Address と URL Web サービスに含まれない、その他のエンドポイント

Office 365 エンドポイントを管理する