Vereisten voor internettoegang
Sommige Configuration Manager functies zijn afhankelijk van internetconnectiviteit voor volledige functionaliteit. Als uw organisatie netwerkcommunicatie met internet via een firewall of proxyapparaat beperkt, moet u deze eindpunten toestaan.
Configuration Manager gebruikt de volgende Microsoft URL-doorstuurservices in het hele product:
https://aka.mshttps://go.microsoft.com
Zelfs als ze niet expliciet worden vermeld in de onderstaande secties, moet u deze eindpunten altijd toestaan.
Serviceverbindingspunt
Zie Over het serviceverbindingspunt voor meer informatie.
Deze configuraties zijn van toepassing op de server die als host fungeert voor het serviceverbindingspunt en eventuele firewalls tussen die server en internet. Communicatie via uitgaande HTTPS-poort TCP 443 naar de internetlocaties toestaan.
Het serviceverbindingspunt ondersteunt het gebruik van een webproxy met of zonder verificatie voor het gebruik van deze locaties. Zie Proxyserverondersteuning voor meer informatie.
Als de Configuration Manager site geen verbinding kan maken met de vereiste eindpunten voor een cloudservice, wordt het kritieke statusbericht id 11488 weergegeven. Wanneer er geen verbinding kan worden gemaakt met de service, verandert de status van het SMS_SERVICE_CONNECTOR onderdeel in Kritiek. Bekijk de gedetailleerde status in het knooppunt Componentstatus van de Configuration Manager-console.
Vanaf versie 2010 valideert het serviceverbindingspunt belangrijke interneteindpunten voor tenantkoppeling. Deze controles helpen ervoor te zorgen dat de cloudservices beschikbaar zijn. Het helpt u ook bij het oplossen van problemen door snel te bepalen of de netwerkverbinding een probleem is. Zie Internettoegang valideren voor meer informatie.
De specifieke URL's die door het serviceverbindingspunt zijn vereist, verschillen per Configuration Manager functie:
- Updates en onderhoud
- Windows-onderhoud
- Azure-services
- Microsoft Store voor Bedrijven
- Cloudservices
- Configuration Manager console
- Tenantkoppeling
- Externe meldingen
Tip
Het serviceverbindingspunt gebruikt de Microsoft Intune-service wanneer deze verbinding maakt met go.microsoft.com of manage.microsoft.com. Er is een bekend probleem waarbij de Intune-connector verbindingsproblemen ondervindt als het Baltimore CyberTrust-basiscertificaat niet is geïnstalleerd, is verlopen of beschadigd is op het serviceverbindingspunt. Zie Serviceverbindingspunt downloadt geen updates voor meer informatie.
Updates en onderhoud
Zie Updates en onderhoud voor meer informatie.
Tip
Schakel deze eindpunten in voor de regel voor beheerinformatie, Verbind de site met de Microsoft-cloud voor Configuration Manager updates.
*.akamaiedge.net*.akamaitechnologies.com*.manage.microsoft.comgo.microsoft.comdownload.microsoft.comdownload.windowsupdate.comdownload.visualstudio.microsoft.comsccmconnected-a01.cloudapp.netdefinitionupdates.microsoft.comconfigmgrbits.azureedge.netBelangrijk
Dit Azure-eindpunt ondersteunt alleen TLS 1.2 met specifieke coderingssuites. Zorg ervoor dat uw omgeving deze Azure-configuraties ondersteunt. Zie Azure Front Door: veelgestelde vragen over TLS-configuratie voor meer informatie.
cmbitsstore.blob.core.windows.netceuswatcab01.blob.core.windows.netceuswatcab02.blob.core.windows.neteaus2watcab01.blob.core.windows.neteaus2watcab02.blob.core.windows.netweus2watcab01.blob.core.windows.netweus2watcab02.blob.core.windows.netcmbitsstore.blob.core.windows.netumwatsonc.events.data.microsoft.com*-umwatsonc.events.data.microsoft.com
Windows-onderhoud
Zie Windows als een service beheren voor meer informatie.
download.microsoft.comhttps://go.microsoft.com/fwlink/?LinkID=619849dl.delivery.mp.microsoft.com
Azure-services
Zie Azure-services configureren voor gebruik met Configuration Manager voor meer informatie.
-
management.azure.com(Openbare Azure-cloud) -
management.usgovcloudapi.net(Azure US Government-cloud)
Co-management
Als u Windows-apparaten inschrijft voor Microsoft Intune voor co-beheer, moet u ervoor zorgen dat deze apparaten toegang hebben tot de eindpunten die vereist zijn voor Intune. Zie Netwerkeindpunten voor Microsoft Intune voor meer informatie.
Microsoft Store voor Bedrijven
Als u Configuration Manager integreert met de Microsoft Store voor Bedrijven, moet u ervoor zorgen dat het serviceverbindingspunt en de doelapparaten toegang hebben tot de cloudservice. Zie Microsoft Store voor Bedrijven proxyconfiguratie voor meer informatie.
Delivery Optimization
Als u delivery optimization gebruikt, moeten clients communiceren met de bijbehorende cloudservice: *.do.dsp.mp.microsoft.com
Voor distributiepunten die Microsoft Connected Cache ondersteunen, zijn deze eindpunten ook vereist.
Zie de volgende artikelen voor meer informatie:
- Veelgestelde vragen over delivery optimization
- Basisconcepten voor inhoudsbeheer in Configuration Manager
- Microsoft Connected Cache met Configuration Manager
Cloudservices
Zie Cmg plannen voor meer informatie over de cloudbeheergateway (CMG).
In deze sectie worden de volgende functies behandeld:
Cloudbeheergateway (CMG)
Microsoft Entra integratie
detectie op basis van Microsoft Entra ID
Clouddistributiepunt (CDP)
Opmerking
Het clouddistributiepunt (CDP) is afgeschaft. Vanaf versie 2107 kunt u geen nieuwe CDP-exemplaren maken. Als u inhoud wilt leveren aan internetapparaten, schakelt u de CMG in om inhoud te distribueren.
In de volgende secties worden de eindpunten per rol weergegeven. Sommige eindpunten verwijzen naar een service door <prefix>, wat de voorvoegselnaam van de CMG is. Als uw CMG bijvoorbeeld is, is GraniteFalls.WestUS.CloudApp.Azure.ComGraniteFalls.blob.core.windows.nethet werkelijke opslageindpunt .
Tip
Ter verduidelijking van bepaalde terminologie:
CMG-servicenaam: de algemene naam (CN) van het CMG-serververificatiecertificaat. Clients en de sitesysteemrol CMG-verbindingspunt communiceren met deze servicenaam. Bijvoorbeeld
GraniteFalls.contoso.com, ofGraniteFalls.WestUS.CloudApp.Azure.Com.CMG-implementatienaam: het eerste deel van de servicenaam plus de Azure-locatie voor de implementatie van de cloudservice. Het cloudservicebeheeronderdeel van het serviceverbindingspunt gebruikt deze naam wanneer de CMG in Azure wordt geïmplementeerd. De implementatienaam bevindt zich altijd in een Azure-domein. De Azure-locatie is afhankelijk van de implementatiemethode, bijvoorbeeld:
- Virtuele-machineschaalset:
GraniteFalls.WestUS.CloudApp.Azure.Com - Klassieke implementatie:
GraniteFalls.CloudApp.Net
- Virtuele-machineschaalset:
In dit artikel worden voorbeelden gebruikt met een virtuele-machineschaalset als de aanbevolen implementatiemethode in versie 2107 en hoger. Als u een klassieke implementatie gebruikt, let dan op het verschil terwijl u dit artikel leest en internettoegang configureert.
Serviceverbindingspunt voor cloudservices
Als Configuration Manager de CMG-service in Azure wilt implementeren, moet het serviceverbindingspunt toegang hebben tot:
Specifieke Azure-eindpunten, die per omgeving verschillen, afhankelijk van de configuratie. Configuration Manager slaat deze eindpunten op in de sitedatabase. Voer een query uit op de tabel AzureEnvironments in SQL Server voor de lijst met Azure-eindpunten.
Azure-services:
-
management.azure.com(Openbare Azure-cloud) -
management.usgovcloudapi.net(Azure US Government-cloud)
-
Voor Microsoft Entra gebruikersdetectie: Microsoft Graph-eindpunt
https://graph.microsoft.com/
CMG-verbindingspunt voor cloudservices
Het CMG-verbindingspunt heeft toegang nodig tot de volgende eindpunten:
| Type | Openbare Azure-cloud | Azure US Government-cloud |
|---|---|---|
| Servicenaam | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| Opslageindpunt 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| Opslageindpunt 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
| Sleutelkluis | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
Het sitesysteem van het CMG-verbindingspunt ondersteunt het gebruik van een webproxy. Zie Ondersteuning voor proxyservers voor meer informatie over het configureren van deze rol voor een proxy.
Het CMG-verbindingspunt hoeft alleen verbinding te maken met de CMG-service-eindpunten. Er is geen toegang nodig tot andere Azure-eindpunten.
Configuration Manager client voor cloudservices
Elke Configuration Manager client die moet communiceren met een CMG, heeft toegang nodig tot de volgende eindpunten:
| Type | Openbare Azure-cloud | Azure US Government-cloud |
|---|---|---|
| Implementatienaam | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| Opslageindpunt | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| Microsoft Entra-eindpunt | login.microsoftonline.com |
login.microsoftonline.us |
Configuration Manager-console voor cloudservices
Elk apparaat met de Configuration Manager-console heeft toegang nodig tot de volgende eindpunten:
| Type | Openbare Azure-cloud | Azure US Government-cloud |
|---|---|---|
| eindpunten Microsoft Entra | login.microsoftonline.comaadcdn.msauth.netaadcdn.msftauth.net |
login.microsoftonline.us |
Software-updates
Geef het actieve software-updatepunt toegang tot de volgende eindpunten, zodat WSUS en Automatische Updates kunnen communiceren met de Microsoft Update-cloudservice:
http://windowsupdate.microsoft.comhttp://*.windowsupdate.microsoft.comhttps://*.windowsupdate.microsoft.comhttp://*.update.microsoft.comhttps://*.update.microsoft.comhttp://*.windowsupdate.comhttp://download.windowsupdate.comhttp://download.microsoft.comhttp://*.download.windowsupdate.comhttp://ntservicepack.microsoft.com
Zie Software-updates plannen voor meer informatie over software-updates.
Intranetfirewall
Mogelijk moet u in de volgende gevallen eindpunten toevoegen aan een firewall tussen twee sitesystemen:
- Als onderliggende sites een software-updatepunt hebben
- Als er een extern actief software-updatepunt op internet is op een site
Software-updatepunt op de onderliggende site
http://<FQDN for software update point on child site>https://<FQDN for software update point on child site>http://<FQDN for software update point on parent site>https://<FQDN for software update point on parent site>
Microsoft 365-apps beheren
Opmerking
Vanaf 21 april 2020 wordt de naam van Office 365 ProPlus gewijzigd in Microsoft 365-apps voor ondernemingen. Zie Naam wijzigen voor Office 365 ProPlus voor meer informatie. Mogelijk ziet u nog steeds verwijzingen naar de oude naam in de Configuration Manager-console en ondersteunende documentatie terwijl de console wordt bijgewerkt.
Als u Configuration Manager gebruikt om Microsoft 365-apps voor ondernemingen te implementeren en bij te werken, staat u de volgende eindpunten toe:
officecdn.microsoft.comom het software-updatepunt voor Microsoft 365-apps voor ondernemingen clientupdates te synchroniserenconfig.office.comaangepaste configuraties maken voor Microsoft 365-apps voor ondernemingen implementatieshttps://clients.config.office.netenhttps://go.microsoft.com/fwlink/?linkid=2190568ter ondersteuning van het implementeren van updates voor Microsoft 365-apps voor ondernemingencontentstorage.osi.office.netter ondersteuning van de evaluatie van de gereedheid van Office-invoegtoepassingen
Uw siteserver op het hoogste niveau heeft toegang nodig tot het volgende eindpunt om het Microsoft Apps 365-gereedheidsbestand te downloaden:
- Vanaf 2 maart 2021:
https://omex.cdn.office.net/mirrored/sccmreadiness/SOT_SCCM_AddinReadiness.CAB- Locatie vóór 2 maart 2021:
https://contentstorage.osi.office.net/sccmreadinessppe/sot_sccm_addinreadiness.cab
- Locatie vóór 2 maart 2021:
Opmerking
De locatie van dit bestand verandert op 2 maart 2021. Zie Locatiewijziging voor Microsoft 365-apps gereedheidsbestand downloaden voor meer informatie.
Configuration Manager console
Computers met de Configuration Manager-console hebben toegang nodig tot de volgende interneteindpunten voor specifieke functies:
Opmerking
Als u pushmeldingen van Microsoft wilt weergeven in de console, heeft het serviceverbindingspunt toegang nodig tot configmgrbits.azureedge.net. Het heeft ook toegang tot dit eindpunt nodig voor updates en onderhoud, dus mogelijk hebt u dit al toegestaan.
Feedback in de console
Op de computer waarop u de console uitvoert, geeft u deze toegang tot de volgende interneteindpunten om diagnostische gegevens naar Microsoft te verzenden:
petrol.office.microsoft.comceuswatcab01.blob.core.windows.netceuswatcab02.blob.core.windows.neteaus2watcab01.blob.core.windows.neteaus2watcab02.blob.core.windows.netweus2watcab01.blob.core.windows.netweus2watcab02.blob.core.windows.netumwatsonc.events.data.microsoft.com*-umwatsonc.events.data.microsoft.com
Zie Productfeedback voor meer informatie over deze functie.
Community-werkruimte
Documentatieknooppunt
Zie De Configuration Manager-console gebruiken voor meer informatie over dit consoleknooppunt.
https://aka.mshttps://raw.githubusercontent.com
Community-hub
Zie Community Hub voor meer informatie over deze functie.
https://github.comhttps://communityhub.microsoft.com
Tenantkoppeling
Zie Tenantkoppeling inschakelen voor meer informatie.
https://aka.ms/configmgrgatewayhttps://*.manage.microsoft.comvoor azure-klanten in de openbare cloudhttps://*.manage.microsoft.usvoor cloudklanten van de Amerikaanse overheid op versie 2107 of hogerhttps://dc.services.visualstudio.com
Het serviceverbindingspunt maakt een langdurige uitgaande verbinding met de meldingsservice die wordt gehost op https://*.manage.microsoft.com. Controleer of de proxy die wordt gebruikt voor het serviceverbindingspunt geen time-out van uitgaande verbindingen te snel heeft. We raden 3 minuten aan voor uitgaande verbindingen met dit interneteindpunt.
Als uw omgeving proxyregels heeft om alleen specifieke certificaatintrekkingslijsten (CRL's) of OCSP-verificatielocaties (Online Certificate Status Protocol) toe te staan, staat u ook de volgende CRL- en OCSP-URL's toe:
http://crl3.digicert.comhttp://crl4.digicert.comhttp://ocsp.digicert.comhttp://www.d-trust.nethttp://root-c3-ca2-2009.ocsp.d-trust.nethttp://crl.microsoft.comhttp://oneocsp.microsoft.comhttp://ocsp.msocsp.comhttp://www.microsoft.com/pkiops
Eindpuntanalyse
Zie Proxyconfiguratie voor eindpuntanalyse voor meer informatie.
Eindpunten vereist voor door Configuration Manager beheerde apparaten
Door Configuration Manager beheerde apparaten verzenden gegevens naar Intune via de connector in de rol van Configuration Manager en ze hebben geen directe toegang nodig tot de openbare Microsoft-cloud.
| Eindpunt | Functie |
|---|---|
https://graph.windows.net |
Wordt gebruikt om automatisch instellingen op te halen bij het koppelen van uw hiërarchie aan Eindpuntanalyse op Configuration Manager serverfunctie. Zie De proxy configureren voor een sitesysteemservervoor meer informatie. |
https://*.manage.microsoft.com |
Wordt alleen gebruikt voor het synchroniseren van apparaatverzamelingen en apparaten met Eindpuntanalyse op Configuration Manager serverfunctie. Zie De proxy configureren voor een sitesysteemservervoor meer informatie. |
Eindpunten vereist voor door Intune beheerde apparaten
Als u apparaten wilt registreren voor Eindpuntanalyse, moeten ze vereiste functionele gegevens verzenden naar de openbare cloud van Microsoft. Endpoint Analytics maakt gebruik van de Windows-client en het onderdeel Windows Server Connected User Experiences and Telemetry (DiagTrack) om de gegevens van Intune beheerde apparaten te verzamelen. Zorg ervoor dat de service Verbonden gebruikerservaring en telemetrie op het apparaat wordt uitgevoerd.
| Eindpunt | Functie |
|---|---|
https://*.events.data.microsoft.com |
Wordt gebruikt door door Intune beheerde apparaten om vereiste functionele gegevens te verzenden naar het Intune-eindpunt voor gegevensverzameling. |
Asset intelligence
Als u asset intelligence gebruikt, staat u de volgende eindpunten voor de service toe om te synchroniseren:
https://sc.microsoft.comhttps://ssu2.manage.microsoft.com
Microsoft Edge implementeren
Het apparaat waarop de Configuration Manager-console wordt uitgevoerd, heeft toegang nodig tot de volgende eindpunten voor de implementatie van Microsoft Edge:
| Locatie | Gebruik |
|---|---|
https://aka.ms/cmedgeapi |
Informatie over releases van Microsoft Edge |
https://edgeupdates.microsoft.com/api/products?view=enterprise |
Informatie over releases van Microsoft Edge |
http://dl.delivery.mp.microsoft.com |
Inhoud voor Microsoft Edge-releases |
Externe meldingen
Zie Externe meldingen voor meer informatie.
Het serviceverbindingspunt moet communiceren met de meldingsservice, bijvoorbeeld Azure Logic Apps. Het toegangseindpunt voor de logische app heeft doorgaans de volgende indeling: https://*.<RegionName>.logic.azure.com:443. Bijvoorbeeld:https://prod1.westus2.logic.azure.com:443
Gebruik het volgende proces om het toegangseindpunt voor de logische app en de bijbehorende IP-adressen op te halen:
- Selecteer in de Azure Portal onder Logic Apps de logische app voor uw melding. Zie Logische apps beheren in de Azure Portal voor meer informatie.
- Selecteer in het menu van de app in de sectie Instellingen de optie Eigenschappen.
- Bekijk of kopieer de waarden voor het Access-eindpunt en de IP-adressen van het Access-eindpunt.
Openbare IP-adressen van Microsoft
Zie Openbare IP-adresbereiken van Microsoft voor meer informatie over de IP-adresbereiken van Microsoft. Deze adressen worden regelmatig bijgewerkt. Er is geen granulariteit per service, elk IP-adres in deze bereiken kan worden gebruikt.