Поделиться через


Конечные точки сети для Microsoft Intune

В этой статье перечислены IP-адреса и параметры порта, необходимые для параметров прокси-сервера в развертываниях Microsoft Intune.

Как облачная служба Intune не требует локальной инфраструктуры, такой как серверы или шлюзы.

Доступ для управляемых устройств

Для управления устройствами, защищенными брандмауэрами и прокси-серверами, нужно включить возможность обмена данными с Intune.

Примечание.

Сведения в этом разделе также относятся к Microsoft Intune Certificate Connector. Соединитель предъявляет такие же требования к сети, что и управляемые устройства.

Параметры прокси-сервера можно изменить на отдельных клиентских компьютерах. Кроме того, с помощью параметров групповой политики можно изменить параметры для всех клиентских компьютеров, защищенных указанным прокси-сервером.

Управляемые устройства должны иметь конфигурации с выбранным параметром Все пользователи, чтобы все пользователи могли получать доступ к службам через брандмауэры.

Скрипт PowerShell

Чтобы упростить настройку служб через брандмауэры, мы подключены к службе конечной точки Office 365. В настоящее время доступ к сведениям о конечной точке Intune осуществляется с помощью скрипта PowerShell. Существуют другие зависимые службы для Intune, которые уже включены в состав службы Microsoft 365 и помечены как обязательные. Службы, уже охваченные Microsoft 365, не включаются в скрипт, чтобы избежать дублирования.

С помощью следующего сценария PowerShell можно получить список IP-адресов для службы Intune.

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips

С помощью следующего сценария PowerShell можно получить список полных доменных имен, используемых Intune и зависимыми службами. При выполнении скрипта URL-адреса в выходных данных скрипта могут отличаться от URL-адресов в следующих таблицах. Как минимум, убедитесь, что url-адреса включены в таблицы.

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls

Скрипт предоставляет удобный метод для перечисления и проверки всех служб, необходимых Intune и Autopilot, в одном расположении. Служба конечных точек может возвращать дополнительные свойства, например свойство category, которое указывает, следует ли настроить полное доменное имя или IP-адрес как Allow, Optimize или Default.

Конечные точки

Вам также требуются полные доменные имена, которые охватываются в рамках требований Microsoft 365. Для справки в следующих таблицах показана служба, к которую они привязаны, и список возвращенных URL-адресов.

Столбцы данных, показанные в таблицах:

  • Идентификатор. Идентификатор строки, также известный как набор конечных точек. Этот идентификатор совпадает с тем, что возвращается веб-службой для набора конечных точек.

  • Категория. Показывает, относится ли набор конечных точек к категории Optimize, Allow или Default. В этом столбце также перечислены наборы конечных точек, необходимые для сетевого подключения. Для наборов конечных точек, для которых не требуется сетевое подключение, мы предоставляем заметки в этом поле, чтобы указать, какие функции будут отсутствуют, если набор конечных точек заблокирован. Если вы исключаете всю область обслуживания, наборы конечных точек, перечисленные как обязательные, не требуют подключения.

    Вы можете ознакомиться с этими категориями и рекомендациями по управлению ими в статье Новые категории конечных точек Microsoft 365.

  • ER: значение Да или True, если набор конечных точек поддерживается через Azure ExpressRoute с префиксами маршрутов Microsoft 365. Сообщество BGP, включающее указанные префиксы маршрутов, соответствует указанной области обслуживания. Если ER имеет значение No или False, ExpressRoute не поддерживается для этого набора конечных точек.

  • Адреса: список полных доменных имен или доменных имен с подстановочными знаками и диапазонов IP-адресов для набора конечных точек. Обратите внимание, что диапазон IP-адресов имеет формат CIDR и может включать множество отдельных IP-адресов в указанной сети.

  • Порты: список портов TCP или UDP, объединенных с перечисленными IP-адресами для формирования конечной точки сети. Вы можете заметить некоторое дублирование в диапазонах IP-адресов, где перечислены разные порты.

Основная служба Intune

Примечание.

Если используемый брандмауэр позволяет создавать правила брандмауэра с использованием доменного имени, используйте домен *.manage.microsoft.com и manage.microsoft.com. Однако если используемый поставщик брандмауэра не позволяет создавать правило брандмауэра с использованием доменного имени, рекомендуется использовать утвержденный список всех подсетей в этом разделе.

ИД Убыв Категория ER Addresses Порты
163 Клиент и служба узла Endpoint Manager Разрешить
Обязательно
Неверно *.manage.microsoft.com
manage.microsoft.com
EnterpriseEnrollment.manage.microsoft.com
104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.71.199.64/28, 13.73.244.48/28, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 20.49.93.160/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29
TCP: 80, 443
172 Оптимизация доставки MDM По умолчанию
Обязательно
Неверно *.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
kv801.prod.do.dsp.mp.microsoft.com
geo.prod.do.dsp.mp.microsoft.com
emdl.ws.microsoft.com
2.dl.delivery.mp.microsoft.com
bg.v4.emdl.ws.microsoft.com
TCP: 80, 443
170 MEM — PowerShell и Win32Apps По умолчанию
Обязательно
Неверно swda01-mscdn.azureedge.net
swda02-mscdn.azureedge.net
swdb01-mscdn.azureedge.net
swdb02-mscdn.azureedge.net
swdc01-mscdn.azureedge.net
swdc02-mscdn.azureedge.net
swdd01-mscdn.azureedge.net
swdd02-mscdn.azureedge.net
swdin01-mscdn.azureedge.net
swdin02-mscdn.azureedge.net
TCP: 443
97 Outlook.com потребителей, OneDrive, проверка подлинности устройства и учетная запись Майкрософт По умолчанию
Обязательно
Неверно account.live.com
login.live.com
TCP: 443
89 Обнаружение конечных точек По умолчанию
Обязательно
Неверно go.microsoft.com TCP: 80, 443

Зависимости Autopilot

ИД Убыв Категория ER Addresses Порты
164 Autopilot — Центр обновления Windows По умолчанию
Обязательно
Неверно *.windowsupdate.com
*.dl.delivery.mp.microsoft.com
*.prod.do.dsp.mp.microsoft.com
emdl.ws.microsoft.com
*.delivery.mp.microsoft.com
*.update.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com
catalog.update.microsoft.com
adl.windows.com
TCP: 80, 443
165 Autopilot — синхронизация NTP По умолчанию
Обязательно
Неверно time.windows.com UDP: 123
169 Autopilot — зависимости WNS По умолчанию
Обязательно
Неверно clientconfig.passport.net
windowsphone.com
*.s-microsoft.com
c.s-microsoft.com
TCP: 443
173 Autopilot — зависимости стороннего развертывания По умолчанию
Обязательно
Неверно ekop.intel.com
ekcert.spserv.microsoft.com
ftpm.amd.com
TCP: 443
182 Autopilot — отправка диагностики По умолчанию
Обязательно
Неверно lgmsapeweu.blob.core.windows.net
TCP: 443

Удаленная справка

ИД Убыв Категория ER Addresses Порты Примечания
181 MEM — функция удаленной справки По умолчанию
Обязательно
Неверно *.support.services.microsoft.com
remoteassistance.support.services.microsoft.com
rdprelayv3eastusprod-0.support.services.microsoft.com
*.trouter.skype.com
remoteassistanceprodacs.communication.azure.com
edge.skype.com
aadcdn.msftauth.net
aadcdn.msauth.net
alcdn.msauth.net
wcpstatic.microsoft.com
*.aria.microsoft.com
browser.pipe.aria.microsoft.com
*.events.data.microsoft.com
v10.events.data.microsoft.com
*.monitor.azure.com
js.monitor.azure.com
edge.microsoft.com
*.trouter.communication.microsoft.com
go.trouter.communication.microsoft.com
*.trouter.teams.microsoft.com
trouter2-usce-1-a.trouter.teams.microsoft.com
api.flightproxy.skype.com
ecs.communication.microsoft.com
remotehelp.microsoft.com
trouter-azsc-usea-0-a.trouter.skype.com
TCP: 443
187 Зависимость — веб-репозиторий удаленной справки По умолчанию
Обязательно
Неверно *.webpubsub.azure.com
AMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com
TCP: 443
188 Зависимость удаленной справки для клиентов GCC По умолчанию
Обязательно
Неверно remoteassistanceweb-gcc.usgov.communication.azure.us
gcc.remotehelp.microsoft.com
gcc.relay.remotehelp.microsoft.com
*.gov.teams.microsoft.us
TCP: 443

Зависимости Intune

В этом разделе в следующих таблицах перечислены зависимости Intune, порты и службы, к которым обращается клиент Intune.

Зависимости служб push-уведомлений Windows (WNS)

ИД Убыв Категория ER Addresses Порты
171 MEM — зависимости WNS По умолчанию
Обязательно
Неверно *.notify.windows.com
*.wns.windows.com
sinwns1011421.wns.windows.com
sin.notify.windows.com
TCP: 443

Для устройств с Windows под управлением Intune, использующих управление мобильными устройствами (MDM), действия устройства и другие непосредственные задачи требуют использования служб push-уведомлений Windows (WNS). Дополнительные сведения см. в разделе Пропуск трафика уведомлений Windows через брандмауэры предприятий.

Зависимости оптимизации доставки

ИД Убыв Категория ER Addresses Порты
172 MDM — зависимости оптимизации доставки По умолчанию
Обязательно
Неверно *.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
kv801.prod.do.dsp.mp.microsoft.com
geo.prod.do.dsp.mp.microsoft.com
emdl.ws.microsoft.com
2.dl.delivery.mp.microsoft.com
bg.v4.emdl.ws.microsoft.com
TCP: 80, 443

Требования к портам . Для однорангового трафика оптимизация доставки использует 7680 для TCP/IP или 3544 для обхода NAT (при необходимости Teredo). Для взаимодействия с клиентом и службой используется HTTP или HTTPS через порт 80 или 443.

Требования к прокси-серверу . Чтобы использовать оптимизацию доставки, необходимо разрешить запросы диапазона байтов. Дополнительные сведения см. в разделе Требования к прокси для Центра обновления Windows.

Требования к брандмауэру . Разрешите следующие имена узлов через брандмауэр для поддержки оптимизации доставки. Для обмена данными между клиентами и облачной службой оптимизации доставки:

  • *.do.dsp.mp.microsoft.com

Для метаданных оптимизации доставки:

  • *.dl.delivery.mp.microsoft.com
  • *.emdl.ws.microsoft.com

Зависимости Apple

ИД Убыв Категория ER Addresses Порты
178 MEM — зависимости Apple По умолчанию
Обязательно
Неверно itunes.apple.com
*.itunes.apple.com
*.mzstatic.com
*.phobos.apple.com
phobos.itunes-apple.com.akadns.net
5-courier.push.apple.com
phobos.apple.com
ocsp.apple.com
ax.itunes.apple.com
ax.itunes.apple.com.edgesuite.net
s.mzstatic.com
a1165.phobos.apple.com
TCP: 80, 443, 5223

Дополнительные сведения см. в следующих источниках:

Зависимости Android AOSP

ИД Убыв Категория ER Addresses Порты
179 MEM — зависимость AOSP Android По умолчанию
Обязательно
Неверно intunecdnpeasd.azureedge.net
TCP: 443

Примечание.

Так как Сервисы Google для мобильных устройств недоступны в Китае, управляемые службой Intune устройства в Китае не могут использовать зависящие от этих сервисов функции. Эти функции включают в себя: возможности Google Play Protect, такие как аттестация устройства SafetyNet, управление приложениями из магазина Google Play, возможности Android Enterprise (см. документацию Google). Кроме того, в приложении "Корпоративный портал" Intune для Android взаимодействие со службой Microsoft Intune осуществляется с помощью Сервисов Google для мобильных устройств. Так как Сервисы Google для мобильных устройств недоступны в Китае, для завершения некоторых задач может потребоваться до 8 часов. Дополнительные сведения см. в статье Ограничения управления Intune, когда GMS недоступна.

Сведения о портах Android . В зависимости от того, как вы решили управлять устройствами Android, может потребоваться открыть порты Google Android Enterprise и (или) push-уведомление Android. Дополнительные сведения о поддерживаемых методах управления Android см. в документации по регистрации устройств Android.

Зависимости Android Enterprise

Google Android Для предприятий — Google предоставляет документацию по требуемым сетевым портам и именам узлов назначения в android Enterprise Bluebook в разделе Брандмауэр этого документа.

Push-уведомление Android . Intune использует Google Firebase Cloud Messaging (FCM) для push-уведомлений, чтобы активировать действия устройства и операции регистрации. Это требуется как администратору устройств Android, так и Android Enterprise. Сведения о требованиях к сети для FCM см. в разделе о портах FCM и брандмауэре документа Google.

Зависимости проверки подлинности

ИД Убыв Категория ER Addresses Порты
56 Проверка подлинности и идентификация включают Azure Active Directory и службы, связанные с Azure AD. Разрешить
Обязательно
Верно login.microsoftonline.com
graph.windows.net
TCP: 80, 443
150 Служба настройки Office предоставляет конфигурацию развертывания Office 365 профессиональный плюс, параметры приложений и управление облачными политиками. По умолчанию Неверно *.officeconfig.msocdn.com
config.office.com
TCP: 443
59 Службы удостоверений, поддерживающие & CDN. По умолчанию
Обязательно
Неверно enterpriseregistration.windows.net
TCP: 80, 443

Дополнительные сведения см. в статье URL-адреса и диапазоны IP-адресов Office 365.

Требования к сети для сценариев PowerShell и приложений Win32

Если вы используете Intune для развертывания сценариев PowerShell или приложений Win32, вам также необходимо предоставить доступ к конечным точкам, в которых сейчас находится ваш клиент.

Чтобы найти расположение клиента (или единицу масштабирования Azure (ASU), войдите в Центр администрирования Microsoft Intune и выберите Администрирование>клиента Сведения о клиенте. Расположение указано в поле Расположение клиента, например Северная Америка 0501 или Европа 0202. Соответствующий номер можно найти в приведенной ниже таблице. Эта строка сообщает, какое имя хранилища и конечные точки CDN следует предоставить доступ. Строки различаются по географическому региону, обозначаемому первыми двумя буквами в имени (na = Северная Америка, eu = Европа, ap = Азиатско-Тихоокеанский регион). Расположение клиента является одним из этих трех регионов, хотя фактическое географическое расположение вашей организации может находиться в другом месте.

Примечание.

Для сценариев & конечных точек приложений Win32 требуется разрешить частичный ответ HTTP.

Единица масштабирования Azure (ASU) Имя хранилища Сеть доставки содержимого Порт
AMSUA0601
AMSUA0602
AMSUA0101
AMSUA0102
AMSUA0201
AMSUA0202
AMSUA0401
AMSUA0402
AMSUA0501
AMSUA0502
AMSUA0601
AMSUA0701
AMSUA0702
AMSUA0801
AMSUA0901
naprodimedatapri
naprodimedatasec
naprodimedatahotfix
naprodimedatapri.azureedge.net
naprodimedatasec.azureedge.net
naprodimedatahotfix.azureedge.net
TCP: 443
AMSUB0101
AMSUB0102
AMSUB0201
AMSUB0202
AMSUB0301
AMSUB0302
AMSUB0501
AMSUB0502
AMSUB0601
AMSUB0701
euprodimedatapri
euprodimedatasec
euprodimedatahotfix
euprodimedatapri.azureedge.net
euprodimedatasec.azureedge.net
euprodimedatahotfix.azureedge.net
TCP: 443
AMSUC0101
AMSUC0201
AMSUC0301
AMSUC0501
AMSUC0601
AMSUD0101
approdimedatapri
approdimedatasec
approdimedatahotifx
approdimedatapri.azureedge.net
approdimedatasec.azureedge.net
approdimedatahotfix.azureedge.net
TCP: 443

Microsoft Store

Управляемым устройствам Windows, использующим Microsoft Store, для получения, установки или обновления приложений, требуется доступ к этим конечным точкам.

API Microsoft Store (AppInstallManager):

  • displaycatalog.md.mp.microsoft.com
  • purchase.md.mp.microsoft.com
  • licensing.mp.microsoft.com
  • storeedgefd.dsx.mp.microsoft.com

Агент Центра обновления Windows:

Дополнительные сведения см. в следующих ресурсах:

Скачивание содержимого Win32:

Расположения и конечные точки загрузки содержимого Win32 уникальны для каждого приложения и предоставляются внешним издателем. Расположение для каждого приложения Магазина Win32 можно найти с помощью следующей команды в тестовой системе (вы можете получить [PackageId] для приложения Магазина, ссылаясь на свойство Package Identifier приложения после его добавления в Microsoft Intune):

winget show [PackageId]

В свойстве URL-адреса установщика отображается внешнее расположение загрузки или резервный кэш на основе региона (размещенный в Майкрософт) в зависимости от того, используется ли кэш. Обратите внимание, что расположение загрузки содержимого может изменяться между кэшем и внешним расположением.

Резервный кэш приложений Win32, размещенный корпорацией Майкрософт:

  • Зависит от региона, например : sparkcdneus2.azureedge.net, sparkcdnwus2.azureedge.net

Оптимизация доставки (необязательно, требуется для пиринга):

Дополнительные сведения см. в следующем ресурсе:

Перенос политик аттестации работоспособности устройств в аттестацию Microsoft Azure

Если клиент включает любой из параметров работоспособности устройств политики соответствия Windows 10/11, устройства с Windows 11 начнут использовать службу аттестации Microsoft Azure (MAA) в зависимости от расположения клиента Intune. Однако среды Windows 10 и GCCH/DOD будут по-прежнему использовать существующую конечную точку DHA "has.spserv.microsoft.com" аттестации работоспособности устройств для создания отчетов об аттестации работоспособности устройств, и это изменение не повлияет на это.

Если у клиента есть политики брандмауэра, которые запрещают доступ к новой службе Intune MAA для Windows 11, то устройства с Windows 11 с назначенными политиками соответствия требованиям, использующими какие-либо параметры работоспособности устройства (BitLocker, безопасная загрузка, целостность кода), не будут соответствовать требованиям, так как они не смогут связаться с конечными точками аттестации MAA для своего расположения.

Убедитесь, что нет правил брандмауэра, блокирующих исходящий трафик HTTPS/443, и что проверка трафика SSL не выполняется для конечных точек, перечисленных в этом разделе, в зависимости от расположения клиента Intune.

Чтобы найти расположение клиента, перейдите к центру >администрирования Intune Администрирование> клиентаСостояние> клиентаСведения о клиенте см. в разделе Расположение клиента.

  • 'https://intunemaape1.eus.attest.azure.net'

  • 'https://intunemaape2.eus2.attest.azure.net'

  • 'https://intunemaape3.cus.attest.azure.net'

  • 'https://intunemaape4.wus.attest.azure.net'

  • 'https://intunemaape5.scus.attest.azure.net'

  • 'https://intunemaape6.ncus.attest.azure.net'

Аналитика конечных точек

Дополнительные сведения о необходимых конечных точках для аналитики конечных точек см. в разделе Конфигурация прокси-сервера аналитики конечных точек.

Microsoft Defender для конечной точки

Дополнительные сведения о настройке подключения Defender для конечной точки см. в разделе Требования к подключению.

Чтобы поддерживать управление параметрами безопасности Defender для конечной точки, разрешите следующие имена узлов через брандмауэр. Для взаимодействия между клиентами и облачной службой:

  • *.dm.microsoft.com. Использование подстановочного знака поддерживает конечные точки облачной службы, которые используются для регистрации, регистрации и создания отчетов и которые могут изменяться по мере масштабирования службы.

    Важно!

    Проверка SSL не поддерживается для конечных точек, необходимых для Microsoft Defender для конечной точки.

Управление привилегиями конечных точек Microsoft Intune

Для поддержки управления привилегиями конечных точек разрешите следующие имена узлов на TCP-порте 443 через брандмауэр.

Для взаимодействия между клиентами и облачной службой:

  • *.dm.microsoft.com. Использование подстановочного знака поддерживает конечные точки облачной службы, которые используются для регистрации, регистрации и создания отчетов и которые могут изменяться по мере масштабирования службы.

  • *.events.data.microsoft.com — используется управляемыми Intune устройствами для отправки необязательных данных отчетов в конечную точку сбора данных Intune.

    Важно!

    Проверка SSL не поддерживается для конечных точек, необходимых для управления привилегиями конечных точек.

Дополнительные сведения см. в статье Обзор управления привилегиями конечных точек.

URL-адреса и диапазоны IP-адресов для Office 365

Обзор сетевого подключения Microsoft 365

Сети доставки содержимого (CDN)

Другие конечные точки, не включенные в веб-службу IP-адресов и URL-адресов Office 365

Управление конечными точками Office 365