Delen via


Vereisten voor internettoegang

Sommige Configuration Manager functies zijn afhankelijk van internetconnectiviteit voor volledige functionaliteit. Als uw organisatie netwerkcommunicatie met internet via een firewall of proxyapparaat beperkt, moet u deze eindpunten toestaan.

Configuration Manager gebruikt de volgende Microsoft URL-doorstuurservices in het hele product:

  • https://aka.ms
  • https://go.microsoft.com

Zelfs als ze niet expliciet worden vermeld in de onderstaande secties, moet u deze eindpunten altijd toestaan.

Serviceverbindingspunt

Zie Over het serviceverbindingspunt voor meer informatie.

Deze configuraties zijn van toepassing op de server die als host fungeert voor het serviceverbindingspunt en eventuele firewalls tussen die server en internet. Communicatie via uitgaande HTTPS-poort TCP 443 naar de internetlocaties toestaan.

Het serviceverbindingspunt ondersteunt het gebruik van een webproxy met of zonder verificatie voor het gebruik van deze locaties. Zie Proxyserverondersteuning voor meer informatie.

Als de Configuration Manager site geen verbinding kan maken met de vereiste eindpunten voor een cloudservice, wordt het kritieke statusbericht id 11488 weergegeven. Wanneer er geen verbinding kan worden gemaakt met de service, verandert de status van het SMS_SERVICE_CONNECTOR onderdeel in Kritiek. Bekijk de gedetailleerde status in het knooppunt Componentstatus van de Configuration Manager-console.

Vanaf versie 2010 valideert het serviceverbindingspunt belangrijke interneteindpunten voor tenantkoppeling. Deze controles helpen ervoor te zorgen dat de cloudservices beschikbaar zijn. Het helpt u ook bij het oplossen van problemen door snel te bepalen of de netwerkverbinding een probleem is. Zie Internettoegang valideren voor meer informatie.

De specifieke URL's die door het serviceverbindingspunt zijn vereist, verschillen per Configuration Manager functie:

Tip

Het serviceverbindingspunt gebruikt de Microsoft Intune-service wanneer deze verbinding maakt met go.microsoft.com of manage.microsoft.com. Er is een bekend probleem waarbij de Intune-connector verbindingsproblemen ondervindt als het Baltimore CyberTrust-basiscertificaat niet is geïnstalleerd, is verlopen of beschadigd is op het serviceverbindingspunt. Zie Serviceverbindingspunt downloadt geen updates voor meer informatie.

Updates en onderhoud

Zie Updates en onderhoud voor meer informatie.

Tip

Schakel deze eindpunten in voor de regel voor beheerinformatie, Verbind de site met de Microsoft-cloud voor Configuration Manager updates.

  • *.akamaiedge.net

  • *.akamaitechnologies.com

  • *.manage.microsoft.com

  • go.microsoft.com

  • download.microsoft.com

  • download.windowsupdate.com

  • download.visualstudio.microsoft.com

  • sccmconnected-a01.cloudapp.net

  • definitionupdates.microsoft.com

  • configmgrbits.azureedge.net

    Belangrijk

    Dit Azure-eindpunt ondersteunt alleen TLS 1.2 met specifieke coderingssuites. Zorg ervoor dat uw omgeving deze Azure-configuraties ondersteunt. Zie Azure Front Door: veelgestelde vragen over TLS-configuratie voor meer informatie.

  • cmbitsstore.blob.core.windows.net

  • ceuswatcab01.blob.core.windows.net

  • ceuswatcab02.blob.core.windows.net

  • eaus2watcab01.blob.core.windows.net

  • eaus2watcab02.blob.core.windows.net

  • weus2watcab01.blob.core.windows.net

  • weus2watcab02.blob.core.windows.net

  • cmbitsstore.blob.core.windows.net

  • umwatsonc.events.data.microsoft.com

  • *-umwatsonc.events.data.microsoft.com

Windows-onderhoud

Zie Windows als een service beheren voor meer informatie.

  • download.microsoft.com

  • https://go.microsoft.com/fwlink/?LinkID=619849

  • dl.delivery.mp.microsoft.com

Azure-services

Zie Azure-services configureren voor gebruik met Configuration Manager voor meer informatie.

  • management.azure.com (Openbare Azure-cloud)
  • management.usgovcloudapi.net (Azure US Government-cloud)

Co-management

Als u Windows-apparaten inschrijft voor Microsoft Intune voor co-beheer, moet u ervoor zorgen dat deze apparaten toegang hebben tot de eindpunten die vereist zijn voor Intune. Zie Netwerkeindpunten voor Microsoft Intune voor meer informatie.

Microsoft Store voor Bedrijven

Als u Configuration Manager integreert met de Microsoft Store voor Bedrijven, moet u ervoor zorgen dat het serviceverbindingspunt en de doelapparaten toegang hebben tot de cloudservice. Zie Microsoft Store voor Bedrijven proxyconfiguratie voor meer informatie.

Delivery Optimization

Als u delivery optimization gebruikt, moeten clients communiceren met de bijbehorende cloudservice: *.do.dsp.mp.microsoft.com

Voor distributiepunten die Microsoft Connected Cache ondersteunen, zijn deze eindpunten ook vereist.

Zie de volgende artikelen voor meer informatie:

Cloudservices

Zie Cmg plannen voor meer informatie over de cloudbeheergateway (CMG).

In deze sectie worden de volgende functies behandeld:

  • Cloudbeheergateway (CMG)

  • Microsoft Entra integratie

  • detectie op basis van Microsoft Entra ID

  • Clouddistributiepunt (CDP)

    Opmerking

    Het clouddistributiepunt (CDP) is afgeschaft. Vanaf versie 2107 kunt u geen nieuwe CDP-exemplaren maken. Als u inhoud wilt leveren aan internetapparaten, schakelt u de CMG in om inhoud te distribueren.

In de volgende secties worden de eindpunten per rol weergegeven. Sommige eindpunten verwijzen naar een service door <prefix>, wat de voorvoegselnaam van de CMG is. Als uw CMG bijvoorbeeld is, is GraniteFalls.WestUS.CloudApp.Azure.ComGraniteFalls.blob.core.windows.nethet werkelijke opslageindpunt .

Tip

Ter verduidelijking van bepaalde terminologie:

  • CMG-servicenaam: de algemene naam (CN) van het CMG-serververificatiecertificaat. Clients en de sitesysteemrol CMG-verbindingspunt communiceren met deze servicenaam. Bijvoorbeeld GraniteFalls.contoso.com , of GraniteFalls.WestUS.CloudApp.Azure.Com.

  • CMG-implementatienaam: het eerste deel van de servicenaam plus de Azure-locatie voor de implementatie van de cloudservice. Het cloudservicebeheeronderdeel van het serviceverbindingspunt gebruikt deze naam wanneer de CMG in Azure wordt geïmplementeerd. De implementatienaam bevindt zich altijd in een Azure-domein. De Azure-locatie is afhankelijk van de implementatiemethode, bijvoorbeeld:

    • Virtuele-machineschaalset: GraniteFalls.WestUS.CloudApp.Azure.Com
    • Klassieke implementatie: GraniteFalls.CloudApp.Net

In dit artikel worden voorbeelden gebruikt met een virtuele-machineschaalset als de aanbevolen implementatiemethode in versie 2107 en hoger. Als u een klassieke implementatie gebruikt, let dan op het verschil terwijl u dit artikel leest en internettoegang configureert.

Serviceverbindingspunt voor cloudservices

Als Configuration Manager de CMG-service in Azure wilt implementeren, moet het serviceverbindingspunt toegang hebben tot:

  • Specifieke Azure-eindpunten, die per omgeving verschillen, afhankelijk van de configuratie. Configuration Manager slaat deze eindpunten op in de sitedatabase. Voer een query uit op de tabel AzureEnvironments in SQL Server voor de lijst met Azure-eindpunten.

  • Azure-services:

    • management.azure.com (Openbare Azure-cloud)
    • management.usgovcloudapi.net (Azure US Government-cloud)
  • Voor Microsoft Entra gebruikersdetectie: Microsoft Graph-eindpunthttps://graph.microsoft.com/

CMG-verbindingspunt voor cloudservices

Het CMG-verbindingspunt heeft toegang nodig tot de volgende eindpunten:

Type Openbare Azure-cloud Azure US Government-cloud
Servicenaam <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
Opslageindpunt 1 <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
Opslageindpunt 2 <prefix>.table.core.windows.net <prefix>.table.core.usgovcloudapi.net
Sleutelkluis <prefix>.vault.azure.net <prefix>.vault.usgovcloudapi.net

Het sitesysteem van het CMG-verbindingspunt ondersteunt het gebruik van een webproxy. Zie Ondersteuning voor proxyservers voor meer informatie over het configureren van deze rol voor een proxy.

Het CMG-verbindingspunt hoeft alleen verbinding te maken met de CMG-service-eindpunten. Er is geen toegang nodig tot andere Azure-eindpunten.

Configuration Manager client voor cloudservices

Elke Configuration Manager client die moet communiceren met een CMG, heeft toegang nodig tot de volgende eindpunten:

Type Openbare Azure-cloud Azure US Government-cloud
Implementatienaam <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
Opslageindpunt <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
Microsoft Entra-eindpunt login.microsoftonline.com login.microsoftonline.us

Configuration Manager-console voor cloudservices

Elk apparaat met de Configuration Manager-console heeft toegang nodig tot de volgende eindpunten:

Type Openbare Azure-cloud Azure US Government-cloud
eindpunten Microsoft Entra login.microsoftonline.com
aadcdn.msauth.net
aadcdn.msftauth.net
login.microsoftonline.us

Software-updates

Geef het actieve software-updatepunt toegang tot de volgende eindpunten, zodat WSUS en Automatische Updates kunnen communiceren met de Microsoft Update-cloudservice:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • http://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://ntservicepack.microsoft.com

Zie Software-updates plannen voor meer informatie over software-updates.

Intranetfirewall

Mogelijk moet u in de volgende gevallen eindpunten toevoegen aan een firewall tussen twee sitesystemen:

  • Als onderliggende sites een software-updatepunt hebben
  • Als er een extern actief software-updatepunt op internet is op een site

Software-updatepunt op de onderliggende site

  • http://<FQDN for software update point on child site>

  • https://<FQDN for software update point on child site>

  • http://<FQDN for software update point on parent site>

  • https://<FQDN for software update point on parent site>

Microsoft 365-apps beheren

Opmerking

Vanaf 21 april 2020 wordt de naam van Office 365 ProPlus gewijzigd in Microsoft 365-apps voor ondernemingen. Zie Naam wijzigen voor Office 365 ProPlus voor meer informatie. Mogelijk ziet u nog steeds verwijzingen naar de oude naam in de Configuration Manager-console en ondersteunende documentatie terwijl de console wordt bijgewerkt.

Als u Configuration Manager gebruikt om Microsoft 365-apps voor ondernemingen te implementeren en bij te werken, staat u de volgende eindpunten toe:

  • officecdn.microsoft.comom het software-updatepunt voor Microsoft 365-apps voor ondernemingen clientupdates te synchroniseren

  • config.office.comaangepaste configuraties maken voor Microsoft 365-apps voor ondernemingen implementaties

  • https://clients.config.office.neten https://go.microsoft.com/fwlink/?linkid=2190568 ter ondersteuning van het implementeren van updates voor Microsoft 365-apps voor ondernemingen

  • contentstorage.osi.office.net ter ondersteuning van de evaluatie van de gereedheid van Office-invoegtoepassingen

Uw siteserver op het hoogste niveau heeft toegang nodig tot het volgende eindpunt om het Microsoft Apps 365-gereedheidsbestand te downloaden:

  • Vanaf 2 maart 2021: https://omex.cdn.office.net/mirrored/sccmreadiness/SOT_SCCM_AddinReadiness.CAB
    • Locatie vóór 2 maart 2021: https://contentstorage.osi.office.net/sccmreadinessppe/sot_sccm_addinreadiness.cab

Opmerking

De locatie van dit bestand verandert op 2 maart 2021. Zie Locatiewijziging voor Microsoft 365-apps gereedheidsbestand downloaden voor meer informatie.

Configuration Manager console

Computers met de Configuration Manager-console hebben toegang nodig tot de volgende interneteindpunten voor specifieke functies:

Opmerking

Als u pushmeldingen van Microsoft wilt weergeven in de console, heeft het serviceverbindingspunt toegang nodig tot configmgrbits.azureedge.net. Het heeft ook toegang tot dit eindpunt nodig voor updates en onderhoud, dus mogelijk hebt u dit al toegestaan.

Feedback in de console

Op de computer waarop u de console uitvoert, geeft u deze toegang tot de volgende interneteindpunten om diagnostische gegevens naar Microsoft te verzenden:

  • petrol.office.microsoft.com

  • ceuswatcab01.blob.core.windows.net

  • ceuswatcab02.blob.core.windows.net

  • eaus2watcab01.blob.core.windows.net

  • eaus2watcab02.blob.core.windows.net

  • weus2watcab01.blob.core.windows.net

  • weus2watcab02.blob.core.windows.net

  • umwatsonc.events.data.microsoft.com

  • *-umwatsonc.events.data.microsoft.com

Zie Productfeedback voor meer informatie over deze functie.

Community-werkruimte

Documentatieknooppunt

Zie De Configuration Manager-console gebruiken voor meer informatie over dit consoleknooppunt.

  • https://aka.ms

  • https://raw.githubusercontent.com

Community-hub

Zie Community Hub voor meer informatie over deze functie.

  • https://github.com

  • https://communityhub.microsoft.com

Tenantkoppeling

Zie Tenantkoppeling inschakelen voor meer informatie.

  • https://aka.ms/configmgrgateway

  • https://*.manage.microsoft.com voor azure-klanten in de openbare cloud

  • https://*.manage.microsoft.us voor cloudklanten van de Amerikaanse overheid op versie 2107 of hoger

  • https://dc.services.visualstudio.com

Het serviceverbindingspunt maakt een langdurige uitgaande verbinding met de meldingsservice die wordt gehost op https://*.manage.microsoft.com. Controleer of de proxy die wordt gebruikt voor het serviceverbindingspunt geen time-out van uitgaande verbindingen te snel heeft. We raden 3 minuten aan voor uitgaande verbindingen met dit interneteindpunt.

Als uw omgeving proxyregels heeft om alleen specifieke certificaatintrekkingslijsten (CRL's) of OCSP-verificatielocaties (Online Certificate Status Protocol) toe te staan, staat u ook de volgende CRL- en OCSP-URL's toe:

  • http://crl3.digicert.com
  • http://crl4.digicert.com
  • http://ocsp.digicert.com
  • http://www.d-trust.net
  • http://root-c3-ca2-2009.ocsp.d-trust.net
  • http://crl.microsoft.com
  • http://oneocsp.microsoft.com
  • http://ocsp.msocsp.com
  • http://www.microsoft.com/pkiops

Eindpuntanalyse

Zie Proxyconfiguratie voor eindpuntanalyse voor meer informatie.

Eindpunten vereist voor door Configuration Manager beheerde apparaten

Door Configuration Manager beheerde apparaten verzenden gegevens naar Intune via de connector in de rol van Configuration Manager en ze hebben geen directe toegang nodig tot de openbare Microsoft-cloud.

Eindpunt Functie
https://graph.windows.net Wordt gebruikt om automatisch instellingen op te halen bij het koppelen van uw hiërarchie aan Eindpuntanalyse op Configuration Manager serverfunctie. Zie De proxy configureren voor een sitesysteemservervoor meer informatie.
https://*.manage.microsoft.com Wordt alleen gebruikt voor het synchroniseren van apparaatverzamelingen en apparaten met Eindpuntanalyse op Configuration Manager serverfunctie. Zie De proxy configureren voor een sitesysteemservervoor meer informatie.

Eindpunten vereist voor door Intune beheerde apparaten

Als u apparaten wilt registreren voor Eindpuntanalyse, moeten ze vereiste functionele gegevens verzenden naar de openbare cloud van Microsoft. Endpoint Analytics maakt gebruik van de Windows-client en het onderdeel Windows Server Connected User Experiences and Telemetry (DiagTrack) om de gegevens van Intune beheerde apparaten te verzamelen. Zorg ervoor dat de service Verbonden gebruikerservaring en telemetrie op het apparaat wordt uitgevoerd.

Eindpunt Functie
https://*.events.data.microsoft.com Wordt gebruikt door door Intune beheerde apparaten om vereiste functionele gegevens te verzenden naar het Intune-eindpunt voor gegevensverzameling.

Asset intelligence

Als u asset intelligence gebruikt, staat u de volgende eindpunten voor de service toe om te synchroniseren:

  • https://sc.microsoft.com
  • https://ssu2.manage.microsoft.com

Microsoft Edge implementeren

Het apparaat waarop de Configuration Manager-console wordt uitgevoerd, heeft toegang nodig tot de volgende eindpunten voor de implementatie van Microsoft Edge:

Locatie Gebruik
https://aka.ms/cmedgeapi Informatie over releases van Microsoft Edge
https://edgeupdates.microsoft.com/api/products?view=enterprise Informatie over releases van Microsoft Edge
http://dl.delivery.mp.microsoft.com Inhoud voor Microsoft Edge-releases

Externe meldingen

Zie Externe meldingen voor meer informatie.

Het serviceverbindingspunt moet communiceren met de meldingsservice, bijvoorbeeld Azure Logic Apps. Het toegangseindpunt voor de logische app heeft doorgaans de volgende indeling: https://*.<RegionName>.logic.azure.com:443. Bijvoorbeeld:https://prod1.westus2.logic.azure.com:443

Gebruik het volgende proces om het toegangseindpunt voor de logische app en de bijbehorende IP-adressen op te halen:

  1. Selecteer in de Azure Portal onder Logic Apps de logische app voor uw melding. Zie Logische apps beheren in de Azure Portal voor meer informatie.
  2. Selecteer in het menu van de app in de sectie Instellingen de optie Eigenschappen.
  3. Bekijk of kopieer de waarden voor het Access-eindpunt en de IP-adressen van het Access-eindpunt.

Openbare IP-adressen van Microsoft

Zie Openbare IP-adresbereiken van Microsoft voor meer informatie over de IP-adresbereiken van Microsoft. Deze adressen worden regelmatig bijgewerkt. Er is geen granulariteit per service, elk IP-adres in deze bereiken kan worden gebruikt.

Volgende stappen