Конечные точки сети для Microsoft Intune
В этой статье перечислены IP-адреса и параметры порта, необходимые для параметров прокси-сервера в развертываниях Microsoft Intune.
Как облачная служба Intune не требует локальной инфраструктуры, такой как серверы или шлюзы.
Доступ для управляемых устройств
Для управления устройствами, защищенными брандмауэрами и прокси-серверами, нужно включить возможность обмена данными с Intune.
Примечание.
Сведения в этом разделе также относятся к Microsoft Intune Certificate Connector. Соединитель предъявляет такие же требования к сети, что и управляемые устройства.
Конечные точки в этой статье разрешают доступ к портам, указанным в следующих таблицах.
Для некоторых задач Intune требуется доступ к прокси-серверу без проверки подлинности к manage.microsoft.com, *.azureedge.net и graph.microsoft.com.
Примечание.
Проверка трафика SSL не поддерживается для конечных точек "manage.microsoft.com", "dm.microsoft.com" или конечных точек аттестации работоспособности устройств (DHA), перечисленных в разделе соответствия.
Параметры прокси-сервера можно изменить на отдельных клиентских компьютерах. Кроме того, с помощью параметров групповой политики можно изменить параметры для всех клиентских компьютеров, защищенных указанным прокси-сервером.
Управляемые устройства должны иметь конфигурации с выбранным параметром Все пользователи, чтобы все пользователи могли получать доступ к службам через брандмауэры.
Скрипт PowerShell
Чтобы упростить настройку служб через брандмауэры, мы подключены к службе конечной точки Office 365. В настоящее время доступ к сведениям о конечной точке Intune осуществляется с помощью скрипта PowerShell. Существуют другие зависимые службы для Intune, которые уже включены в состав службы Microsoft 365 и помечены как обязательные. Службы, уже охваченные Microsoft 365, не включаются в скрипт, чтобы избежать дублирования.
С помощью следующего сценария PowerShell можно получить список IP-адресов для службы Intune.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips
С помощью следующего сценария PowerShell можно получить список полных доменных имен, используемых Intune и зависимыми службами. При выполнении скрипта URL-адреса в выходных данных скрипта могут отличаться от URL-адресов в следующих таблицах. Как минимум, убедитесь, что url-адреса включены в таблицы.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls
Скрипт предоставляет удобный метод для перечисления и проверки всех служб, необходимых Intune и Autopilot, в одном расположении. Служба конечных точек может возвращать дополнительные свойства, например свойство category, которое указывает, следует ли настроить полное доменное имя или IP-адрес как Allow, Optimize или Default.
Конечные точки
Вам также требуются полные доменные имена, которые охватываются в рамках требований Microsoft 365. Для справки в следующих таблицах показана служба, к которую они привязаны, и список возвращенных URL-адресов.
Столбцы данных, показанные в таблицах:
Идентификатор. Идентификатор строки, также известный как набор конечных точек. Этот идентификатор совпадает с тем, что возвращается веб-службой для набора конечных точек.
Категория. Показывает, относится ли набор конечных точек к категории Optimize, Allow или Default. В этом столбце также перечислены наборы конечных точек, необходимые для сетевого подключения. Для наборов конечных точек, для которых не требуется сетевое подключение, мы предоставляем заметки в этом поле, чтобы указать, какие функции будут отсутствуют, если набор конечных точек заблокирован. Если вы исключаете всю область обслуживания, наборы конечных точек, перечисленные как обязательные, не требуют подключения.
Вы можете ознакомиться с этими категориями и рекомендациями по управлению ими в статье Новые категории конечных точек Microsoft 365.
ER: значение Да или True, если набор конечных точек поддерживается через Azure ExpressRoute с префиксами маршрутов Microsoft 365. Сообщество BGP, включающее указанные префиксы маршрутов, соответствует указанной области обслуживания. Если ER имеет значение No или False, ExpressRoute не поддерживается для этого набора конечных точек.
Адреса: список полных доменных имен или доменных имен с подстановочными знаками и диапазонов IP-адресов для набора конечных точек. Обратите внимание, что диапазон IP-адресов имеет формат CIDR и может включать множество отдельных IP-адресов в указанной сети.
Порты: список портов TCP или UDP, объединенных с перечисленными IP-адресами для формирования конечной точки сети. Вы можете заметить некоторое дублирование в диапазонах IP-адресов, где перечислены разные порты.
Основная служба Intune
Примечание.
Если используемый брандмауэр позволяет создавать правила брандмауэра с использованием доменного имени, используйте домен *.manage.microsoft.com и manage.microsoft.com. Однако если используемый поставщик брандмауэра не позволяет создавать правило брандмауэра с использованием доменного имени, рекомендуется использовать утвержденный список всех подсетей в этом разделе.
| ИД | Убыв | Категория | ER | Addresses | Порты |
|---|---|---|---|---|---|
| 163 | Клиент и служба узла Endpoint Manager | Разрешить Обязательно |
Неверно | *.manage.microsoft.commanage.microsoft.comEnterpriseEnrollment.manage.microsoft.com104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.71.199.64/28, 13.73.244.48/28, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 20.49.93.160/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29 |
TCP: 80, 443 |
| 172 | Оптимизация доставки MDM | По умолчанию Обязательно |
Неверно | *.do.dsp.mp.microsoft.com*.dl.delivery.mp.microsoft.com*.emdl.ws.microsoft.comkv801.prod.do.dsp.mp.microsoft.comgeo.prod.do.dsp.mp.microsoft.comemdl.ws.microsoft.com2.dl.delivery.mp.microsoft.combg.v4.emdl.ws.microsoft.com |
TCP: 80, 443 |
| 170 | MEM — PowerShell и Win32Apps | По умолчанию Обязательно |
Неверно | swda01-mscdn.azureedge.netswda02-mscdn.azureedge.netswdb01-mscdn.azureedge.netswdb02-mscdn.azureedge.netswdc01-mscdn.azureedge.netswdc02-mscdn.azureedge.netswdd01-mscdn.azureedge.netswdd02-mscdn.azureedge.netswdin01-mscdn.azureedge.netswdin02-mscdn.azureedge.net |
TCP: 443 |
| 97 | Outlook.com потребителей, OneDrive, проверка подлинности устройства и учетная запись Майкрософт | По умолчанию Обязательно |
Неверно | account.live.comlogin.live.com |
TCP: 443 |
| 89 | Обнаружение конечных точек | По умолчанию Обязательно |
Неверно | go.microsoft.com |
TCP: 80, 443 |
Зависимости Autopilot
| ИД | Убыв | Категория | ER | Addresses | Порты |
|---|---|---|---|---|---|
| 164 | Autopilot — Центр обновления Windows | По умолчанию Обязательно |
Неверно | *.windowsupdate.com*.dl.delivery.mp.microsoft.com*.prod.do.dsp.mp.microsoft.comemdl.ws.microsoft.com*.delivery.mp.microsoft.com*.update.microsoft.comtsfe.trafficshaping.dsp.mp.microsoft.comcatalog.update.microsoft.comadl.windows.com |
TCP: 80, 443 |
| 165 | Autopilot — синхронизация NTP | По умолчанию Обязательно |
Неверно | time.windows.com |
UDP: 123 |
| 169 | Autopilot — зависимости WNS | По умолчанию Обязательно |
Неверно | clientconfig.passport.netwindowsphone.com*.s-microsoft.comc.s-microsoft.com |
TCP: 443 |
| 173 | Autopilot — зависимости стороннего развертывания | По умолчанию Обязательно |
Неверно | ekop.intel.comekcert.spserv.microsoft.comftpm.amd.com |
TCP: 443 |
| 182 | Autopilot — отправка диагностики | По умолчанию Обязательно |
Неверно | lgmsapeweu.blob.core.windows.net |
TCP: 443 |
Удаленная справка
| ИД | Убыв | Категория | ER | Addresses | Порты | Примечания |
|---|---|---|---|---|---|---|
| 181 | MEM — функция удаленной справки | По умолчанию Обязательно |
Неверно | *.support.services.microsoft.comremoteassistance.support.services.microsoft.comrdprelayv3eastusprod-0.support.services.microsoft.com*.trouter.skype.comremoteassistanceprodacs.communication.azure.comedge.skype.comaadcdn.msftauth.netaadcdn.msauth.netalcdn.msauth.netwcpstatic.microsoft.com*.aria.microsoft.combrowser.pipe.aria.microsoft.com*.events.data.microsoft.comv10.events.data.microsoft.com*.monitor.azure.comjs.monitor.azure.comedge.microsoft.com*.trouter.communication.microsoft.comgo.trouter.communication.microsoft.com*.trouter.teams.microsoft.comtrouter2-usce-1-a.trouter.teams.microsoft.comapi.flightproxy.skype.comecs.communication.microsoft.comremotehelp.microsoft.comtrouter-azsc-usea-0-a.trouter.skype.com |
TCP: 443 | |
| 187 | Зависимость — веб-репозиторий удаленной справки | По умолчанию Обязательно |
Неверно | *.webpubsub.azure.comAMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com |
TCP: 443 | |
| 188 | Зависимость удаленной справки для клиентов GCC | По умолчанию Обязательно |
Неверно | remoteassistanceweb-gcc.usgov.communication.azure.usgcc.remotehelp.microsoft.comgcc.relay.remotehelp.microsoft.com*.gov.teams.microsoft.us |
TCP: 443 |
Зависимости Intune
В этом разделе в следующих таблицах перечислены зависимости Intune, порты и службы, к которым обращается клиент Intune.
- Зависимости служб push-уведомлений Windows
- Зависимости оптимизации доставки
- Зависимости Apple
- Зависимости Android AOSP
Зависимости служб push-уведомлений Windows (WNS)
| ИД | Убыв | Категория | ER | Addresses | Порты |
|---|---|---|---|---|---|
| 171 | MEM — зависимости WNS | По умолчанию Обязательно |
Неверно | *.notify.windows.com*.wns.windows.comsinwns1011421.wns.windows.comsin.notify.windows.com |
TCP: 443 |
Для устройств с Windows под управлением Intune, использующих управление мобильными устройствами (MDM), действия устройства и другие непосредственные задачи требуют использования служб push-уведомлений Windows (WNS). Дополнительные сведения см. в разделе Пропуск трафика уведомлений Windows через брандмауэры предприятий.
Зависимости оптимизации доставки
| ИД | Убыв | Категория | ER | Addresses | Порты |
|---|---|---|---|---|---|
| 172 | MDM — зависимости оптимизации доставки | По умолчанию Обязательно |
Неверно | *.do.dsp.mp.microsoft.com*.dl.delivery.mp.microsoft.com*.emdl.ws.microsoft.comkv801.prod.do.dsp.mp.microsoft.comgeo.prod.do.dsp.mp.microsoft.comemdl.ws.microsoft.com2.dl.delivery.mp.microsoft.combg.v4.emdl.ws.microsoft.com |
TCP: 80, 443 |
Требования к портам . Для однорангового трафика оптимизация доставки использует 7680 для TCP/IP или 3544 для обхода NAT (при необходимости Teredo). Для взаимодействия с клиентом и службой используется HTTP или HTTPS через порт 80 или 443.
Требования к прокси-серверу . Чтобы использовать оптимизацию доставки, необходимо разрешить запросы диапазона байтов. Дополнительные сведения см. в разделе Требования к прокси для Центра обновления Windows.
Требования к брандмауэру . Разрешите следующие имена узлов через брандмауэр для поддержки оптимизации доставки. Для обмена данными между клиентами и облачной службой оптимизации доставки:
- *.do.dsp.mp.microsoft.com
Для метаданных оптимизации доставки:
- *.dl.delivery.mp.microsoft.com
- *.emdl.ws.microsoft.com
Зависимости Apple
| ИД | Убыв | Категория | ER | Addresses | Порты |
|---|---|---|---|---|---|
| 178 | MEM — зависимости Apple | По умолчанию Обязательно |
Неверно | itunes.apple.com*.itunes.apple.com*.mzstatic.com*.phobos.apple.comphobos.itunes-apple.com.akadns.net5-courier.push.apple.comphobos.apple.comocsp.apple.comax.itunes.apple.comax.itunes.apple.com.edgesuite.nets.mzstatic.coma1165.phobos.apple.com |
TCP: 80, 443, 5223 |
Дополнительные сведения см. в следующих источниках:
- Использование продуктов Apple в корпоративных сетях
- Порты TCP и UDP, используемые программными продуктами Apple
- Сведения о подключениях узлов серверов macOS, iOS/iPadOS и iTunes и фоновых процессах iTunes
- Если клиенты с macOS и iOS/iPadOS не получают push-уведомления Apple
Зависимости Android AOSP
| ИД | Убыв | Категория | ER | Addresses | Порты |
|---|---|---|---|---|---|
| 179 | MEM — зависимость AOSP Android | По умолчанию Обязательно |
Неверно | intunecdnpeasd.azureedge.net |
TCP: 443 |
Примечание.
Так как Сервисы Google для мобильных устройств недоступны в Китае, управляемые службой Intune устройства в Китае не могут использовать зависящие от этих сервисов функции. Эти функции включают в себя: возможности Google Play Protect, такие как аттестация устройства SafetyNet, управление приложениями из магазина Google Play, возможности Android Enterprise (см. документацию Google). Кроме того, в приложении "Корпоративный портал" Intune для Android взаимодействие со службой Microsoft Intune осуществляется с помощью Сервисов Google для мобильных устройств. Так как Сервисы Google для мобильных устройств недоступны в Китае, для завершения некоторых задач может потребоваться до 8 часов. Дополнительные сведения см. в статье Ограничения управления Intune, когда GMS недоступна.
Сведения о портах Android . В зависимости от того, как вы решили управлять устройствами Android, может потребоваться открыть порты Google Android Enterprise и (или) push-уведомление Android. Дополнительные сведения о поддерживаемых методах управления Android см. в документации по регистрации устройств Android.
Зависимости Android Enterprise
Google Android Для предприятий — Google предоставляет документацию по требуемым сетевым портам и именам узлов назначения в android Enterprise Bluebook в разделе Брандмауэр этого документа.
Push-уведомление Android . Intune использует Google Firebase Cloud Messaging (FCM) для push-уведомлений, чтобы активировать действия устройства и операции регистрации. Это требуется как администратору устройств Android, так и Android Enterprise. Сведения о требованиях к сети для FCM см. в разделе о портах FCM и брандмауэре документа Google.
Зависимости проверки подлинности
| ИД | Убыв | Категория | ER | Addresses | Порты |
|---|---|---|---|---|---|
| 56 | Проверка подлинности и идентификация включают Azure Active Directory и службы, связанные с Azure AD. | Разрешить Обязательно |
Верно | login.microsoftonline.comgraph.windows.net |
TCP: 80, 443 |
| 150 | Служба настройки Office предоставляет конфигурацию развертывания Office 365 профессиональный плюс, параметры приложений и управление облачными политиками. | По умолчанию | Неверно | *.officeconfig.msocdn.comconfig.office.com |
TCP: 443 |
| 59 | Службы удостоверений, поддерживающие & CDN. | По умолчанию Обязательно |
Неверно | enterpriseregistration.windows.net |
TCP: 80, 443 |
Дополнительные сведения см. в статье URL-адреса и диапазоны IP-адресов Office 365.
Требования к сети для сценариев PowerShell и приложений Win32
Если вы используете Intune для развертывания сценариев PowerShell или приложений Win32, вам также необходимо предоставить доступ к конечным точкам, в которых сейчас находится ваш клиент.
Чтобы найти расположение клиента (или единицу масштабирования Azure (ASU), войдите в Центр администрирования Microsoft Intune и выберите Администрирование>клиента Сведения о клиенте. Расположение указано в поле Расположение клиента, например Северная Америка 0501 или Европа 0202. Соответствующий номер можно найти в приведенной ниже таблице. Эта строка сообщает, какое имя хранилища и конечные точки CDN следует предоставить доступ. Строки различаются по географическому региону, обозначаемому первыми двумя буквами в имени (na = Северная Америка, eu = Европа, ap = Азиатско-Тихоокеанский регион). Расположение клиента является одним из этих трех регионов, хотя фактическое географическое расположение вашей организации может находиться в другом месте.
Примечание.
Для сценариев & конечных точек приложений Win32 требуется разрешить частичный ответ HTTP.
| Единица масштабирования Azure (ASU) | Имя хранилища | Сеть доставки содержимого | Порт |
|---|---|---|---|
| AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0601 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901 |
naprodimedatapri naprodimedatasec naprodimedatahotfix |
naprodimedatapri.azureedge.net naprodimedatasec.azureedge.net naprodimedatahotfix.azureedge.net |
TCP: 443 |
| AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701 |
euprodimedatapri euprodimedatasec euprodimedatahotfix |
euprodimedatapri.azureedge.net euprodimedatasec.azureedge.net euprodimedatahotfix.azureedge.net |
TCP: 443 |
| AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUC0601 AMSUD0101 |
approdimedatapri approdimedatasec approdimedatahotifx |
approdimedatapri.azureedge.net approdimedatasec.azureedge.net approdimedatahotfix.azureedge.net |
TCP: 443 |
Microsoft Store
Управляемым устройствам Windows, использующим Microsoft Store, для получения, установки или обновления приложений, требуется доступ к этим конечным точкам.
API Microsoft Store (AppInstallManager):
- displaycatalog.md.mp.microsoft.com
- purchase.md.mp.microsoft.com
- licensing.mp.microsoft.com
- storeedgefd.dsx.mp.microsoft.com
Агент Центра обновления Windows:
Дополнительные сведения см. в следующих ресурсах:
- Управление конечными точками подключения для Windows 11 Корпоративная
- Управление конечными точками подключения для Windows 10 Корпоративная версии 21H2
Скачивание содержимого Win32:
Расположения и конечные точки загрузки содержимого Win32 уникальны для каждого приложения и предоставляются внешним издателем. Расположение для каждого приложения Магазина Win32 можно найти с помощью следующей команды в тестовой системе (вы можете получить [PackageId] для приложения Магазина, ссылаясь на свойство Package Identifier приложения после его добавления в Microsoft Intune):
winget show [PackageId]
В свойстве URL-адреса установщика отображается внешнее расположение загрузки или резервный кэш на основе региона (размещенный в Майкрософт) в зависимости от того, используется ли кэш. Обратите внимание, что расположение загрузки содержимого может изменяться между кэшем и внешним расположением.
Резервный кэш приложений Win32, размещенный корпорацией Майкрософт:
- Зависит от региона, например : sparkcdneus2.azureedge.net, sparkcdnwus2.azureedge.net
Оптимизация доставки (необязательно, требуется для пиринга):
Дополнительные сведения см. в следующем ресурсе:
Перенос политик аттестации работоспособности устройств в аттестацию Microsoft Azure
Если клиент включает любой из параметров работоспособности устройств политики соответствия Windows 10/11, устройства с Windows 11 начнут использовать службу аттестации Microsoft Azure (MAA) в зависимости от расположения клиента Intune. Однако среды Windows 10 и GCCH/DOD будут по-прежнему использовать существующую конечную точку DHA "has.spserv.microsoft.com" аттестации работоспособности устройств для создания отчетов об аттестации работоспособности устройств, и это изменение не повлияет на это.
Если у клиента есть политики брандмауэра, которые запрещают доступ к новой службе Intune MAA для Windows 11, то устройства с Windows 11 с назначенными политиками соответствия требованиям, использующими какие-либо параметры работоспособности устройства (BitLocker, безопасная загрузка, целостность кода), не будут соответствовать требованиям, так как они не смогут связаться с конечными точками аттестации MAA для своего расположения.
Убедитесь, что нет правил брандмауэра, блокирующих исходящий трафик HTTPS/443, и что проверка трафика SSL не выполняется для конечных точек, перечисленных в этом разделе, в зависимости от расположения клиента Intune.
Чтобы найти расположение клиента, перейдите к центру >администрирования Intune Администрирование> клиентаСостояние> клиентаСведения о клиенте см. в разделе Расположение клиента.
'https://intunemaape1.eus.attest.azure.net'
'https://intunemaape2.eus2.attest.azure.net'
'https://intunemaape3.cus.attest.azure.net'
'https://intunemaape4.wus.attest.azure.net'
'https://intunemaape5.scus.attest.azure.net'
'https://intunemaape6.ncus.attest.azure.net'
Аналитика конечных точек
Дополнительные сведения о необходимых конечных точках для аналитики конечных точек см. в разделе Конфигурация прокси-сервера аналитики конечных точек.
Microsoft Defender для конечной точки
Дополнительные сведения о настройке подключения Defender для конечной точки см. в разделе Требования к подключению.
Чтобы поддерживать управление параметрами безопасности Defender для конечной точки, разрешите следующие имена узлов через брандмауэр. Для взаимодействия между клиентами и облачной службой:
*.dm.microsoft.com. Использование подстановочного знака поддерживает конечные точки облачной службы, которые используются для регистрации, регистрации и создания отчетов и которые могут изменяться по мере масштабирования службы.
Важно!
Проверка SSL не поддерживается для конечных точек, необходимых для Microsoft Defender для конечной точки.
Управление привилегиями конечных точек Microsoft Intune
Для поддержки управления привилегиями конечных точек разрешите следующие имена узлов на TCP-порте 443 через брандмауэр.
Для взаимодействия между клиентами и облачной службой:
*.dm.microsoft.com. Использование подстановочного знака поддерживает конечные точки облачной службы, которые используются для регистрации, регистрации и создания отчетов и которые могут изменяться по мере масштабирования службы.
*.events.data.microsoft.com — используется управляемыми Intune устройствами для отправки необязательных данных отчетов в конечную точку сбора данных Intune.
Важно!
Проверка SSL не поддерживается для конечных точек, необходимых для управления привилегиями конечных точек.
Дополнительные сведения см. в статье Обзор управления привилегиями конечных точек.
Статьи по теме
URL-адреса и диапазоны IP-адресов для Office 365
Обзор сетевого подключения Microsoft 365
Сети доставки содержимого (CDN)
Другие конечные точки, не включенные в веб-службу IP-адресов и URL-адресов Office 365
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по