Другие конечные точки, не включенные в веб-службу IP-адресов и URL-адресов Microsoft 365

Некоторые конечные точки сети были ранее опубликованы и не были включены в веб-службу IP-адресов и URL-адресов Microsoft 365. Веб-служба публикует конечные точки сети, необходимые для подключения к Microsoft 365 в сети периметра предприятия. В настоящее время эта область не включает:

  1. Возможные сетевые подключения из центра обработки данных Майкрософт к сети клиента (входящий гибридный сетевой трафик сервера).
  2. Сетевое подключение от серверов клиентской сети к корпоративному периметру (исходящий сетевой трафик сервера).
  3. Редкие сценарии с требованиями к сетевому подключению от пользователя.
  4. Требование в отношении подключения для разрешения DNS (не представлено ниже).
  5. Надежные сайты Internet Explorer или Microsoft Edge.

Помимо DNS, эти экземпляры являются необязательными для большинства клиентов, если вам не нужен конкретный сценарий, который описан.



Строка Назначение Назначение Тип
1 Служба импорта для приема PST и файлов Дополнительные требования см. в разделе Служба импорта . Редкий сценарий исходящего трафика
2 Помощник по поддержке и восстановлению для Office 365 (Майкрософт) https://autodiscover.outlook.com
https://officecdn.microsoft.com
https://api.diagnostics.office.com
https://apibasic.diagnostics.office.com
https://autodiscover-s.outlook.com
https://cloudcheckenabler.azurewebsites.net
https://login.live.com
https://login.microsoftonline.com
https://login.windows.net
https://o365diagtelemetry.trafficmanager.net
https://odc.officeapps.live.com
https://offcatedge.azureedge.net
https://officeapps.live.com
https://outlook.office365.com
https://outlookdiagnostics.azureedge.net
https://sara.api.support.microsoft.com
Исходящий серверный трафик
3 Microsoft Entra Connect (без единого входа)

WinRM & удаленной оболочки PowerShell

Среда службы безопасности клиента (сервер AD FS и прокси-сервер AD FS) | TCP-порты 80 & 443 Входящий серверный трафик
4 СЛУЖБЫ безопасности , такие как прокси-серверы AD FS (только для федеративных клиентов) Служба безопасности клиента (например, прокси-сервер AD FS) | Порты TCP 443 или TCP 49443 w/ClientTLS Входящий серверный трафик
5 Интеграция единой службы обмена сообщениями Exchange Online с SBC Двунаправленный обмен между локальным пограничным контроллером сеансов и *. um.outlook.com Исходящий трафик только для сервера
6 Миграция почтовых ящиков

Когда миграция почтовых ящиков инициируется из локальной гибридной среды Exchange в Microsoft 365, Microsoft 365 подключается к опубликованному серверу веб-служб Exchange (EWS)/служб репликации почтовых ящиков (MRS). Если необходимо разрешить входящие подключения только из определенных исходных диапазонов IP-адресов, создайте правило разрешений для IP-адресов, перечисленных в таблице Exchange OnlineURL-адреса Microsoft 365, & диапазоны IP-адресов.

Чтобы убедиться, что подключение к опубликованным конечным точкам EWS (например, OWA) не заблокировано, убедитесь, что прокси-сервер MRS разрешается в отдельное полное доменное имя и общедоступный IP-адрес, прежде чем ограничивать подключения.

Локальная прокси-служба EWS/MRS клиента
TCP-порт 443
Входящий серверный трафик
7 Функции гибридного сосуществования Exchange , такие как предоставление общего доступа "Свободный/занят". Локальный сервер Exchange клиента Входящий серверный трафик
8 Проверка подлинности гибридного прокси-сервера Exchange Локальная служба маркеров безопасности клиента Входящий серверный трафик
9 Используется для настройки гибридного развертывания Exchange с помощью мастера гибридной конфигурации Exchange

Примечание. Эти конечные точки необходимы только для настройки гибридного развертывания Exchange

domains.live.com на TCP-портах 80 и 443. Требуется только для мастера гибридной конфигурации Exchange 2010 с пакетом обновления 3 (SP3)

IP-адреса GCC High, DoD: 40.118.209.192/32; 168.62.190.41/32

Всемирный коммерческий & GCC: *.store.core.windows.net; asl.configure.office.com; tds.configure.office.com; mshybridservice.trafficmanager.net ;
aka.ms/hybridwizard;
shcwreleaseprod.blob.core.windows.net/shcw/*;

Исходящий трафик только для сервера
10 Служба autoDetect используется в гибридных сценариях Exchange с гибридной современной проверкой подлинности с Outlook для iOS и Android.

<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23

Локальный сервер Exchange клиента на TCP 443 Входящий серверный трафик
11 Проверка подлинности гибридной Microsoft Entra Exchange *.msappproxy.net Исходящий трафик TCP только для сервера
12 Skype для бизнеса в Office 2016 включает демонстрацию экрана на основе видео, которая использует порты UDP. Предыдущие клиенты Skype для бизнеса в Office 2013, а ранее использовали протокол RDP через TCP-порт 443. TCP-порт 443 открывается на 52.112.0.0/14 Более ранние версии клиента Skype для бизнеса в Office 2013 и предшествующих версиях
13 Skype для бизнеса гибридное подключение локального сервера к Skype для бизнеса Online 13.107.64.0/18, 52.112.0.0/14
Порты UDP 50 000–59 999
Порты TCP 50 000–59 999; 5061
Возможность исходящего подключения к локальному серверу Skype для бизнеса
14 Облачная ТСОП с локальным гибридным подключением требует подключения к сети, открытой для локальных узлов. Дополнительные сведения о гибридных конфигурациях Skype для бизнеса Online См. статью Планирование гибридного соединения Skype для бизнеса Server и Office 365. Гибридное входящее локальное подключение Skype для бизнеса
15 FQDN для проверки подлинности и идентификации

Для функционирования полное доменное имя secure.aadcdn.microsoftonline-p.com должно находиться в зоне надежных сайтов Internet Explorer (IE) или Microsoft Edge.

Надежные сайты
16 Полные доменные имена Microsoft Teams

Если вы используете интернет-Обозреватель или Microsoft Edge, необходимо включить файлы cookie сторонних производителей и добавить полные доменные имена для Teams на надежные сайты. Это дополнение к полным доменным именам, CDN и телеметрии для всего набора, перечисленным в строке 14. Дополнительные сведения см. в статье Известные проблемы с Microsoft Teams .

Надежные сайты
17 Полные доменные имена SharePoint Online и OneDrive для бизнеса

Для работы все полные доменные имена ".sharepoint.com" с "<tenant>" в полном доменном имени должны находиться в зоне доверенных сайтов IE или Edge клиента. Помимо полных доменных имен, CDN и данных телеметрии, перечисленных в строке 14, необходимо также добавить эти конечные точки.

Надежные сайты
18 Yammer
Yammer доступен только в браузере и требует, чтобы прошедший проверку подлинности пользователь проходил через прокси-сервер. Для работы все полные доменные имена Yammer должны находиться в зоне доверенных сайтов IE или Edge клиента.
Надежные сайты
19 Используйте Microsoft Entra Connect для синхронизации локальных учетных записей пользователей с Microsoft Entra ID. См. статью Необходимые порты и протоколы для гибридных удостоверений, Устранение неполадок с подключением Microsoft Entra и Microsoft Entra установка агента Health Connect. Исходящий трафик только для сервера
20 Microsoft Entra подключиться к 21 ViaNet в Китае для синхронизации локальных учетных записей пользователей с Microsoft Entra ID. *.digicert.com:80
*.entrust.net:80
*.chinacloudapi.cn:443
secure.aadcdn.partner.microsoftonline-p.cn:443
*.partner.microsoftonline.cn:443

Также см. статью Устранение проблем с входящего трафика с Microsoft Entra проблемами с подключением.

Исходящий трафик только для сервера
21 Microsoft Stream (требуется маркер пользователя Microsoft Entra).
Microsoft 365 Worldwide (включая GCC)
*.cloudapp.net
*.api.microsoftstream.com
*.notification.api.microsoftstream.com
amp.azure.net
api.microsoftstream.com
az416426.vo.msecnd.net
s0.assets-yammer.com
vortex.data.microsoft.com
web.microsoftstream.com
TCP-порт 443
Входящий трафик сервера
22 Используйте сервер MFA для запросов многофакторной проверки подлинности, как для новых установок сервера, так и для настройки доменные службы Active Directory (AD DS). См. статью Приступая к работе с сервером многофакторной идентификации Azure. Исходящий трафик только для сервера
23 Уведомления об изменениях Microsoft Graph

Разработчики могут использовать уведомления об изменениях для подписки на события в Microsoft Graph.

Общедоступное облако.
52.159.23.209, 52.159.17.84, 13.78.204.0, 52.148.24.136, 52.148.27.39, 52.147.213.251, 52.147.213.181, 20.127.53.125, 40.76.162.99, 40.76.162.42, 70.37.95.92, 70.37.95.11, 70.37.92.195, 70.37.93.191, 70.37.90.219, 20.9.36.45, 20.9.35.166, 20.9.36.128, 20.9.37.73, 20.9.37.76, 20.96.21.67, 20.69.245.215, 104.46.117.15, 20.96.21.98, 20.96.21.115, 137.135.11.161, 137.135.11.116, 20.253.156.113, 137.135.11.222, 137.135.11.250, 52.159.107.50, 52.159.107.4, 52.159.124.33, 52.159.109.205, 52.159.102.72, 20.98.68.182, 20.98.68.57, 20.98.68.200, 20.98.68.203, 20.98.68.218, 20.171.81.121, 20.25.189.138, 20.171.82.192, 20.171.83.146, 20.171.83.157, 52.142.114.29, 52.142.115.31, 20.223.139.245, 51.104.159.213, 51.104.159.181, 51.124.75.43, 51.124.73.177, 104.40.209.182, 51.138.90.7, 51.138.90.52, 20.199.102.157, 20.199.102.73, 20.216.150.67, 20.111.9.46, 20.111.9.77, 13.87.81.123, 13.87.81.35, 20.90.99.1, 13.87.81.133, 13.87.81.141, 20.91.212.211, 20.91.212.136, 20.91.213.57, 20.91.208.88, 20.91.209.147, 20.44.210.83, 20.44.210.146, 20.212.153.162, 52.148.115.48, 52.148.114.238, 40.80.232.177, 40.80.232.118, 52.231.196.24, 40.80.233.14, 40.80.239.196, 20.48.12.75, 20.48.11.201, 20.89.108.161, 20.48.14.35, 20.48.15.147, 104.215.13.23, 104.215.6.169, 20.89.240.165, 104.215.18.55, 104.215.12.254
20.20.32.0/19, 20.190.128.0/18, 20.231.128.0/19, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48

Microsoft Cloud for US Government:
52.244.33.45, 52.244.35.174, 52.243.157.104, 52.243.157.105, 52.182.25.254, 52.182.25.110, 52.181.25.67, 52.181.25.66, 52.244.111.156, 52.244.111.170, 52.243.147.249, 52.243.148.19, 52.182.32.51, 52.182.32.143, 52.181.24.199, 52.181.24.220
20.140.232.0/23, 52.126.194.0/23, 2001:489a:3500::/50

Microsoft Cloud для Китая, управляемый компанией 21Vianet:
42.159.72.35, 42.159.72.47, 42.159.180.55, 42.159.180.56, 40.125.138.23, 40.125.136.69, 40.72.155.199, 40.72.155.216
40.72.70.0/23, 52.130.2.32/27, 52.130.3.64/27, 52.130.17.192/27, 52.130.18.32/27, 2406:e500:5500::/48

TCP-порт 443

Примечание. Разработчики могут указывать различные порты при создании подписок.

Входящий трафик сервера
24 Индикатор состояния сетевого подключения

Используется Windows 10 и 11 для определения подключения компьютера к Интернету (не применяется к клиентам, не связанным с Windows). Если этот URL-адрес недоступен, Windows предполагает, что он не подключен к Интернету, а приложения M365 для предприятий не будут пытаться проверить состояние активации, что приведет к сбою подключений к Exchange и другим службам.

www.msftconnecttest.com

Также см. статьи Управление конечными точками подключения для Windows 11 Корпоративная и Управление конечными точками подключения для Windows 10 Корпоративная версии 21H2.

Исходящий трафик только для сервера
25 Уведомления Teams на мобильных устройствах

Используется мобильными устройствами Android и Apple для получения push-уведомлений клиенту Teams о входящих звонках и других службах Teams. Если эти порты заблокированы, все push-уведомления на мобильные устройства завершаются ошибкой.

Сведения о конкретных портах см. в разделе Порты FCM и брандмауэр в документации Google Firebase и Если устройства Apple не получают push-уведомления Apple. Исходящий трафик только для сервера

Управление конечными точками Microsoft 365

Проверка подключения Microsoft 365

Подключение клиентских компьютеров

Сети доставки содержимого

Диапазоны IP-адресов и теги служб Azure — общедоступное облако

Диапазоны IP-адресов и теги служб Azure — облако для государственных организаций США

Диапазоны IP-адресов и теги служб Azure — облако для Германии

Диапазоны IP-адресов и теги служб Azure — облако для Китая

Пространство публичных IP-адресов корпорации Майкрософт