다음을 통해 공유


Microsoft Intune에 대한 네트워크 엔드포인트

이 문서에서는 Microsoft Intune 배포의 프록시 설정에 필요한 IP 주소 및 포트 설정을 나열합니다.

클라우드 전용 서비스인 Intune 서버 또는 게이트웨이와 같은 온-프레미스 인프라가 필요하지 않습니다.

관리형 디바이스의 액세스

방화벽 및 프록시 서버로 보호되는 디바이스를 관리하려면 Intune에 대한 통신을 사용하도록 설정해야 합니다.

참고

이 섹션의 정보는 Microsoft Intune Certificate Connector에도 적용됩니다. 커넥터에는 관리 디바이스와 동일한 네트워크 요구 사항이 있습니다.

  • 이 문서의 엔드포인트는 다음 표에서 식별된 포트에 대한 액세스를 허용합니다.

  • 일부 작업의 경우 Intune manage.microsoft.com, *.azureedge.net 및 graph.microsoft.com 인증되지 않은 프록시 서버에 액세스해야 합니다.

    참고

    준수 섹션에 나열된 '*.manage.microsoft.com', '*.dm.microsoft.com' 또는 DHA(디바이스 상태 증명) 엔드포인트에는 SSL 트래픽 검사가 지원되지 않습니다.

개별 클라이언트 컴퓨터에서 프록시 서버 설정을 수정할 수 있습니다. 그룹 정책을 사용하여 지정된 프록시 서버로 보호되는 모든 클라이언트 컴퓨터의 설정을 변경할 수도 있습니다.

관리되는 디바이스를 사용하려면 모든 사용자가 방화벽을 통해 서비스에 액세스할 수 있도록 구성해야 합니다.

PowerShell 스크립트

방화벽을 통해 서비스를 보다 쉽게 구성할 수 있도록 Office 365 엔드포인트 서비스를 온보딩했습니다. 현재 Intune 엔드포인트 정보는 PowerShell 스크립트를 통해 액세스됩니다. 이미 Microsoft 365 서비스의 일부로 처리되고 '필수'로 표시된 Intune 대한 다른 종속 서비스가 있습니다. 이미 Microsoft 365에서 다루는 서비스는 중복을 방지하기 위해 스크립트에 포함되지 않습니다.

다음 PowerShell 스크립트를 사용하여 Intune 서비스에 대한 IP 주소 목록을 검색할 수 있습니다.

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips

다음 PowerShell 스크립트를 사용하여 Intune 및 종속 서비스에서 사용하는 FQDN 목록을 검색할 수 있습니다. 스크립트를 실행할 때 스크립트 출력의 URL은 다음 테이블의 URL과 다를 수 있습니다. 최소한 테이블에 URL을 포함해야 합니다.

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls

스크립트는 한 위치에서 Intune 및 Autopilot에 필요한 모든 서비스를 나열하고 검토하는 편리한 방법을 제공합니다. FQDN 또는 IP를 허용, 최적화 또는 기본값으로 구성해야 하는지 여부를 나타내는 category 속성과 같은 엔드포인트 서비스에서 추가 속성을 반환할 수 있습니다.

끝점

Microsoft 365 요구 사항의 일부로 적용되는 FQDN도 필요합니다. 참조를 위해 다음 표에서는 연결된 서비스와 반환된 URL 목록을 보여 줍니다.

테이블에 표시된 데이터 열은 다음과 같습니다.

  • ID: 엔드포인트 집합이라고도 하는 행의 ID 번호입니다. 이 ID는 엔드포인트 집합에 대한 웹 서비스에서 반환되는 ID와 동일합니다.

  • 범주: 엔드포인트 집합이 최적화, 허용 또는 기본값으로 분류되는지 여부를 표시합니다. 이 열에는 네트워크 연결에 필요한 엔드포인트 집합도 나열됩니다. 네트워크 연결이 필요하지 않은 엔드포인트 집합의 경우 엔드포인트 집합이 차단될 경우 누락될 기능을 나타내기 위해 이 필드에 메모를 제공합니다. 전체 서비스 영역을 제외하는 경우 필요에 따라 나열된 엔드포인트 집합은 연결이 필요하지 않습니다.

    이러한 범주 및 관리에 대한 지침은 새 Microsoft 365 엔드포인트 범주에서 확인할 수 있습니다.

  • ER: 엔드포인트 집합이 Microsoft 365 경로 접두사를 사용하여 Azure ExpressRoute를 통해 지원되는 경우 예/True입니다. 표시된 경로 접두사를 포함하는 BGP 커뮤니티는 나열된 서비스 영역과 일치합니다. ER이 아니요/False이면 이 엔드포인트 집합에 대해 ExpressRoute가 지원되지 않습니다.

  • 주소: 엔드포인트 집합에 대한 FQDN 또는 와일드카드 도메인 이름 및 IP 주소 범위를 Lists. IP 주소 범위는 CIDR 형식이며 지정된 네트워크에 많은 개별 IP 주소를 포함할 수 있습니다.

  • 포트: 나열된 IP 주소와 결합된 TCP 또는 UDP 포트를 Lists 네트워크 엔드포인트를 형성합니다. 나열된 다른 포트가 있는 IP 주소 범위에서 일부 중복을 확인할 수 있습니다.

Intune 핵심 서비스

참고

사용 중인 방화벽에서 도메인 이름을 사용하여 방화벽 규칙을 만들 수 있는 경우 *.manage.microsoft.com 및 manage.microsoft.com 도메인을 사용합니다. 그러나 사용 중인 방화벽 공급자가 도메인 이름을 사용하여 방화벽 규칙을 만들 수 없는 경우 이 섹션에 있는 모든 서브넷의 승인된 목록을 사용하는 것이 좋습니다.

ID Desc 범주 ER Addresses 포트
163 Intune 클라이언트 및 호스트 서비스 허용
필수
거짓 *.manage.microsoft.com
manage.microsoft.com
EnterpriseEnrollment.manage.microsoft.com
104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.71.199.64/28, 13.73.244.48/28, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 20.49.93.160/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29
TCP: 80, 443
172 MDM 배달 최적화 기본
필수
거짓 *.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
TCP: 80, 443
170 MEM - Win32Apps 기본
필수
거짓 swda01-mscdn.manage.microsoft.com
swda02-mscdn.manage.microsoft.com
swdb01-mscdn.manage.microsoft.com
swdb02-mscdn.manage.microsoft.com
swdc01-mscdn.manage.microsoft.com
swdc02-mscdn.manage.microsoft.com
swdd01-mscdn.manage.microsoft.com
swdd02-mscdn.manage.microsoft.com
swdin01-mscdn.manage.microsoft.com
swdin02-mscdn.manage.microsoft.com
TCP: 443
97 소비자 Outlook.com, OneDrive, 디바이스 인증 및 Microsoft 계정 기본
필수
거짓 account.live.com
login.live.com
TCP: 443
190 엔드포인트 검색 기본
필수
거짓 go.microsoft.com TCP: 80, 443
189 종속성 - 기능 배포 기본
필수
거짓 config.edge.skype.com
TCP: 443

Autopilot 종속성

ID Desc 범주 ER Addresses 포트
164 Autopilot - Windows 업데이트 기본
필수
거짓 *.windowsupdate.com
*.dl.delivery.mp.microsoft.com
*.prod.do.dsp.mp.microsoft.com
*.delivery.mp.microsoft.com
*.update.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com
adl.windows.com
TCP: 80, 443
165 Autopilot - NTP 동기화 기본
필수
거짓 time.windows.com UDP: 123
169 Autopilot - WNS 종속성 기본
필수
거짓 clientconfig.passport.net
windowsphone.com
*.s-microsoft.com
c.s-microsoft.com
TCP: 443
173 Autopilot - 타사 배포 종속성 기본
필수
거짓 ekop.intel.com
ekcert.spserv.microsoft.com
ftpm.amd.com
TCP: 443
182 Autopilot - 진단 업로드 기본
필수
거짓 lgmsapeweu.blob.core.windows.net
TCP: 443

원격 지원

ID Desc 범주 ER Addresses 포트 참고
181 MEM - 원격 지원 기능 기본
필수
거짓 *.support.services.microsoft.com
remoteassistance.support.services.microsoft.com
rdprelayv3eastusprod-0.support.services.microsoft.com
*.trouter.skype.com
remoteassistanceprodacs.communication.azure.com
edge.skype.com
aadcdn.msftauth.net
aadcdn.msauth.net
alcdn.msauth.net
wcpstatic.microsoft.com
*.aria.microsoft.com
browser.pipe.aria.microsoft.com
*.events.data.microsoft.com
v10.events.data.microsoft.com
*.monitor.azure.com
js.monitor.azure.com
edge.microsoft.com
*.trouter.communication.microsoft.com
go.trouter.communication.microsoft.com
*.trouter.teams.microsoft.com
trouter2-usce-1-a.trouter.teams.microsoft.com
api.flightproxy.skype.com
ecs.communication.microsoft.com
remotehelp.microsoft.com
trouter-azsc-usea-0-a.trouter.skype.com
TCP: 443
187 종속성 - 원격 지원 web pubsub 기본
필수
거짓 *.webpubsub.azure.com
AMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com
TCP: 443
188 GCC 고객에 대한 원격 지원 종속성 기본
필수
거짓 remoteassistanceweb-gcc.usgov.communication.azure.us
gcc.remotehelp.microsoft.com
gcc.relay.remotehelp.microsoft.com
*.gov.teams.microsoft.us
TCP: 443

Intune 종속성

이 섹션에서는 Intune 클라이언트가 액세스하는 Intune 종속성 및 포트 및 서비스를 나열합니다.

WNS(Windows 푸시 알림 서비스) 종속성

ID Desc 범주 ER Addresses 포트
171 MEM - WNS 종속성 기본
필수
거짓 *.notify.windows.com
*.wns.windows.com
sinwns1011421.wns.windows.com
sin.notify.windows.com
TCP: 443

MDM(모바일 디바이스 관리)을 사용하여 관리되는 Intune 관리 Windows 디바이스의 경우, 디바이스 작업 및 기타 작업을 즉시 수행하려면 Windows Push Notification Services(WNS)를 사용해야 합니다. 자세한 내용은 엔터프라이즈 방화벽을 통한 Windows 알림 트래픽 허용을 참조하세요.

배달 최적화 종속성

ID Desc 범주 ER Addresses 포트
172 MDM - 배달 최적화 종속성 기본
필수
거짓 *.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
TCP: 80, 443

포트 요구 사항 - 피어 투 피어 트래픽의 경우 배달 최적화는 TCP/IP에 7680을 사용합니다. NAT 순회용 포트 3544에서 Teredo 사용합니다(Teredo 사용은 선택 사항임) 클라이언트 서비스 통신의 경우 포트 80/443을 통해 HTTP 또는 HTTPS를 사용합니다.

프록시 요구 사항 - 배달 최적화를 사용하려면 바이트 범위 요청을 허용해야 합니다. 자세한 내용은 Windows 업데이트에 대한 프록시 요구 사항을 참조하세요.

방화벽 요구 사항 - 방화벽을 통해 다음 호스트 이름이 배달 최적화를 지원하도록 허용합니다. 클라이언트와 전송 최적화 클라우드 서비스 간의 통신:

  • *.do.dsp.mp.microsoft.com

전송 최적화 메타데이터의 경우:

  • *.dl.delivery.mp.microsoft.com

Apple 종속성

ID Desc 범주 ER Addresses 포트
178 MEM - Apple 종속성 기본
필수
거짓 itunes.apple.com
*.itunes.apple.com
*.mzstatic.com
*.phobos.apple.com
phobos.itunes-apple.com.akadns.net
5-courier.push.apple.com
phobos.apple.com
ocsp.apple.com
ax.itunes.apple.com
ax.itunes.apple.com.edgesuite.net
s.mzstatic.com
a1165.phobos.apple.com
TCP: 80, 443, 5223

자세한 내용은 다음 리소스를 참조하세요.

Android AOSP 종속성

ID Desc 범주 ER Addresses 포트
179 MEM - Android AOSP 종속성 기본
필수
거짓 intunecdnpeasd.azureedge.net
TCP: 443

참고

Google Mobile Services는 중국에서 사용할 수 없으므로 Intune에서 관리하는 중국에 있는 디바이스는 Google Mobile Services가 필요한 기능을 사용할 수 없습니다. 이러한 기능에는 SafetyNet 디바이스 증명과 같은 Google Play 보호 기능, Google Play 스토어에서 앱 관리, Android Enterprise 기능(이 Google 설명서 참조)이 포함됩니다. 또한 Android용 Intune 회사 포털 앱은 Google Mobile Services를 사용하여 Microsoft Intune 서비스와 통신합니다. 중국에서는 Google Play 서비스를 사용할 수 없기 때문에 어떤 작업은 완료하는 데 최대 8시간이 걸릴 수 있습니다. 자세한 내용은 GMS를 사용할 수 없는 경우 Intune 관리의 제한 사항을 참조하세요.

Android 포트 정보 - Android 디바이스를 관리하는 방법에 따라 Google Android Enterprise 포트 및/또는 Android 푸시 알림을 열어야 할 수 있습니다. 지원되는 Android 관리 방법에 관한 자세한 내용은 Android 등록 설명서를 참조하세요.

Android Enterprise 종속성

Google Android Enterprise - Google은 해당 문서의 방화벽 섹션에 있는 Android Enterprise Bluebook에 필요한 네트워크 포트 및 대상 호스트 이름에 대한 설명서를 제공합니다.

Android 푸시 알림 - Intune 푸시 알림에 Google Firebase FCM(클라우드 메시징)을 사용하여 디바이스 작업 및 검사 트리거합니다. Android 디바이스 관리자와 Android Enterprise 모두에 필요합니다. FCM 네트워크 요구 사항에 관한 자세한 내용은 Google의 FCM 포트 및 방화벽을 참조하세요.

인증 종속성

ID Desc 범주 ER Addresses 포트
56 인증 및 ID에는 Azure Active Directory 및 Azure AD 관련 서비스가 포함됩니다. 허용
필수
True login.microsoftonline.com
graph.windows.net
TCP: 80, 443
150 Office Customization Service는 Office 365 ProPlus 배포 구성, 애플리케이션 설정 및 클라우드 기반 정책 관리를 제공합니다. 기본 거짓 *.officeconfig.msocdn.com
config.office.com
TCP: 443
59 CDN을 & 서비스를 지원하는 ID입니다. 기본
필수
거짓 enterpriseregistration.windows.net
TCP: 80, 443

자세한 내용은 Office 365 URL 및 IP 주소 범위로 이동합니다.

PowerShell 스크립트 및 Win32 앱의 네트워크 요구 사항

Intune 사용하여 PowerShell 스크립트 또는 Win32 앱을 배포하는 경우 테넌트가 현재 있는 엔드포인트에 대한 액세스 권한도 부여해야 합니다.

테넌트 위치(또는 ASU(Azure Scale Unit)를 찾으려면 Microsoft Intune 관리 센터에 로그인하고 테넌트 관리>테넌트 세부 정보를 선택합니다. 위치는 테넌트 위치 아래에 있습니다(예: 북아메리카 0501 또는 유럽 0202). 다음 표에서 일치하는 숫자를 찾습니다. 이 행은 액세스 권한을 부여할 스토리지 이름 및 CDN 엔드포인트를 알려줍니다. 이름의 처음 두 문자(na = 북아메리카, eu = 유럽, ap = 아시아 태평양)에 표시된 대로 행은 지리적 지역으로 구분됩니다. 테넌트 위치는 이러한 세 지역 중 하나이지만 organization 실제 지리적 위치는 다른 곳에 있을 수 있습니다.

참고

스크립트 & Win32 앱 엔드포인트에는 HTTP 부분 응답 허용이 필요합니다.

ASU(Azure Scale Unit) 스토리지 이름 CDN 포트
AMSUA0601
AMSUA0602
AMSUA0101
AMSUA0102
AMSUA0201
AMSUA0202
AMSUA0401
AMSUA0402
AMSUA0501
AMSUA0502
AMSUA0601
AMSUA0701
AMSUA0702
AMSUA0801
AMSUA0901
naprodimedatapri
naprodimedatasec
naprodimedatahotfix
naprodimedatapri.azureedge.net
naprodimedatasec.azureedge.net
naprodimedatahotfix.azureedge.net
TCP: 443
AMSUB0101
AMSUB0102
AMSUB0201
AMSUB0202
AMSUB0301
AMSUB0302
AMSUB0501
AMSUB0502
AMSUB0601
AMSUB0701
euprodimedatapri
euprodimedatasec
euprodimedatahotfix
euprodimedatapri.azureedge.net
euprodimedatasec.azureedge.net
euprodimedatahotfix.azureedge.net
TCP: 443
AMSUC0101
AMSUC0201
AMSUC0301
AMSUC0501
AMSUC0601
AMSUD0101
approdimedatapri
approdimedatasec
approdimedatahotifx
approdimedatapri.azureedge.net
approdimedatasec.azureedge.net
approdimedatahotfix.azureedge.net
TCP: 443

Microsoft Store

Microsoft Store를 사용하여 관리되는 Windows 디바이스(앱을 획득, 설치 또는 업데이트하려면)가 이러한 엔드포인트에 액세스해야 합니다.

Microsoft Store API(AppInstallManager):

  • displaycatalog.mp.microsoft.com
  • purchase.md.mp.microsoft.com
  • licensing.mp.microsoft.com
  • storeedgefd.dsx.mp.microsoft.com

Windows 업데이트 에이전트:

자세한 내용은 다음 리소스를 참조하세요.

Win32 콘텐츠 다운로드:

Win32 콘텐츠 다운로드 위치 및 엔드포인트는 애플리케이션별로 고유하며 외부 게시자가 제공합니다. 테스트 시스템에서 다음 명령을 사용하여 각 Win32 스토어 앱의 위치를 찾을 수 있습니다(Microsoft Intune 추가한 후 앱의 패키지 식별자 속성을 참조하여 스토어 앱에 대한 [PackageId]를 가져올 수 있음).

winget show [PackageId]

Installer Url 속성은 캐시가 사용 중인지 여부에 따라 외부 다운로드 위치 또는 지역 기반(Microsoft 호스팅) 대체 캐시를 표시합니다. 콘텐츠 다운로드 위치는 캐시와 외부 위치 간에 변경 될 수 있습니다.

Microsoft에서 호스팅하는 Win32 앱 대체 캐시:

  • 지역(예: sparkcdneus2.azureedge.net, sparkcdnwus2.azureedge.net

배달 최적화(선택 사항, 피어링에 필요):

자세한 내용은 다음 리소스를 참조하세요.

디바이스 상태 증명 규정 준수 정책을 Microsoft Azure 증명으로 마이그레이션

고객이 Windows 10/11 준수 정책 - 디바이스 상태 설정을 사용하도록 설정하는 경우 Windows 11 디바이스는 Intune 테넌트 위치에 따라 MAA(Microsoft Azure Attestation) 서비스를 사용하기 시작합니다. 그러나 Windows 10 및 GCCH/DOD 환경은 디바이스 상태 증명 보고에 기존 Device Health 증명 DHA 엔드포인트 'has.spserv.microsoft.com'을 계속 사용하며 이 변경의 영향을 받지 않습니다.

고객에게 Windows 11 Windows 11 대한 새 Intune MAA 서비스에 대한 액세스를 방지하는 방화벽 정책이 있는 경우 디바이스 상태 설정(BitLocker, 보안 부팅, 코드 무결성)을 사용하여 할당된 준수 정책이 있는 디바이스는 해당 위치에 대한 MAA 증명 엔드포인트에 연결할 수 없으므로 규정 준수가 중단됩니다.

아웃바운드 HTTPS/443 트래픽을 차단하는 방화벽 규칙이 없고 Intune 테넌트의 위치에 따라 이 섹션에 나열된 엔드포인트에 대해 SSL 트래픽 검사가 수행되지 않는지 확인합니다.

테넌트 위치를 찾으려면 Intune 관리 센터 >테넌트 관리>테넌트 상태>테넌트 세부 정보로 이동합니다. 테넌트 위치를 참조하세요.

  • 'https://intunemaape1.eus.attest.azure.net'

  • 'https://intunemaape2.eus2.attest.azure.net'

  • 'https://intunemaape3.cus.attest.azure.net'

  • 'https://intunemaape4.wus.attest.azure.net'

  • 'https://intunemaape5.scus.attest.azure.net'

  • 'https://intunemaape6.ncus.attest.azure.net'

비즈니스용 Windows 업데이트 배포 서비스

비즈니스용 Windows 업데이트 배포 서비스에 필요한 엔드포인트에 대한 자세한 내용은 비즈니스용 Windows 업데이트 배포 서비스 필수 구성 요소를 참조하세요.

엔드포인트 분석

엔드포인트 분석에 필요한 엔드포인트에 대한 자세한 내용은 엔드포인트 분석 프록시 구성을 참조하세요.

엔드포인트용 Microsoft Defender

엔드포인트용 Defender 연결을 구성하는 방법에 대한 자세한 내용은 연결 요구 사항을 참조하세요.

엔드포인트용 Defender 보안 설정 관리를 지원하려면 방화벽을 통해 다음 호스트 이름을 허용합니다. 클라이언트와 클라우드 서비스 간의 통신:

  • *.dm.microsoft.com - 와일드카드를 사용하면 등록, 검사 및 보고에 사용되고 서비스 크기가 조정됨에 따라 변경되는 클라우드 서비스 엔드포인트를 지원합니다.

    중요

    SSL 검사는 엔드포인트용 Microsoft Defender 필요한 엔드포인트에서 지원되지 않습니다.

Microsoft Intune 엔드포인트 권한 관리

엔드포인트 권한 관리를 지원하려면 방화벽을 통해 tcp 포트 443에서 다음 호스트 이름을 허용합니다.

클라이언트와 클라우드 서비스 간의 통신:

  • *.dm.microsoft.com - 와일드카드를 사용하면 등록, 검사 및 보고에 사용되고 서비스 크기가 조정됨에 따라 변경되는 클라우드 서비스 엔드포인트를 지원합니다.

  • *.events.data.microsoft.com - Intune 관리 디바이스에서 선택적 보고 데이터를 Intune 데이터 수집 엔드포인트로 보내는 데 사용됩니다.

    중요

    엔드포인트 권한 관리에 필요한 엔드포인트에서는 SSL 검사가 지원되지 않습니다.

자세한 내용은 엔드포인트 권한 관리 개요를 참조하세요.

Office 365 URL 및 IP 주소 범위

Microsoft 365 네트워크 연결 개요

콘텐츠 배달 네트워크(CDN)

Office 365 IP 주소 및 URL 웹 서비스에 포함되지 않은 기타 엔드포인트

Office 365 끝점 관리