Nätverksslutpunkter för Microsoft Intune
Den här artikeln innehåller IP-adresser och portinställningar som krävs för proxyinställningar i dina Microsoft Intune-distributioner.
Som en molnbaserad tjänst kräver Intune inte någon lokal infrastruktur, till exempel servrar eller gatewayer.
Åtkomst för hanterade enheter
Om du vill hantera enheter bakom brandväggar och proxyservrar måste du aktivera kommunikation för Intune.
Obs!
Informationen i det här avsnittet gäller även för Microsoft Intune Certificate Connector. Anslutningsappen har samma nätverkskrav som hanterade enheter.
Slutpunkterna i den här artikeln ger åtkomst till de portar som identifieras i följande tabeller.
För vissa uppgifter kräver Intune oautentiserad proxyserveråtkomst till manage.microsoft.com, *.azureedge.net och graph.microsoft.com.
Obs!
SSL-trafikgranskning stöds inte för slutpunkterna "manage.microsoft.com", "dm.microsoft.com" eller enhetshälsoattestering (DHA) som anges i avsnittet efterlevnad.
Du kan ändra proxyserverinställningarna på enskilda klientdatorer. Du kan också använda grupprincipinställningar för att ändra inställningarna för alla klientdatorer som finns bakom en angiven proxyserver.
Hanterade enheter kräver konfigurationer som gör att alla användare kan komma åt tjänster via brandväggar.
PowerShell-skript
För att göra det enklare att konfigurera tjänster via brandväggar registrerade vi med Office 365-slutpunktstjänsten. För närvarande nås Intune-slutpunktsinformationen via ett PowerShell-skript. Det finns andra beroende tjänster för Intune som redan omfattas som en del av Microsoft 365-tjänsten och som är markerade som "nödvändiga". Tjänster som redan omfattas av Microsoft 365 ingår inte i skriptet för att undvika duplicering.
Med hjälp av följande PowerShell-skript kan du hämta listan över IP-adresser för Intune-tjänsten.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips
Med hjälp av följande PowerShell-skript kan du hämta listan över FQDN:er som används av Intune och beroende tjänster. När du kör skriptet kan URL:erna i skriptets utdata skilja sig från URL:erna i följande tabeller. Se minst till att du inkluderar URL:erna i tabellerna.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls
Skriptet är en praktisk metod för att lista och granska alla tjänster som krävs av Intune och Autopilot på en plats. Ytterligare egenskaper kan returneras från slutpunktstjänsten, till exempel kategoriegenskapen, som anger om FQDN eller IP ska konfigureras som Tillåt, Optimera eller Standard.
Slutpunkter
Du behöver även FQDN som omfattas av Microsoft 365-kraven. Som referens visar följande tabeller den tjänst de är knutna till och listan över URL:er returneras.
De datakolumner som visas i tabellerna är:
ID: Raden för ID-numret, som även kallas för en slutpunktsuppsättning. Detta ID är samma som returneras av webbtjänsten för slutpunktsuppsättningen.
Kategori: Visar om slutpunktsuppsättningen kategoriseras som Optimera, Tillåt eller Standard. I den här kolumnen visas även vilka slutpunktsuppsättningar som krävs för nätverksanslutningar. För slutpunktsuppsättningar som inte är nödvändiga för att ha nätverksanslutning tillhandahåller vi anteckningar i det här fältet för att ange vilka funktioner som skulle saknas om slutpunktsuppsättningen är blockerad. Om du undantar ett helt tjänstområde kräver inte slutpunktsuppsättningarna som anges som krav anslutning.
Du kan läsa om de här kategorierna och vägledningen för deras hantering i Nya Microsoft 365-slutpunktskategorier.
ER: Det här är Ja/Sant om slutpunktsuppsättningen stöds via Azure ExpressRoute med Vägprefix för Microsoft 365. BGP-communityn som innehåller de väg-prefix som visas är justeras med tjänstområdet som visas. När ER är Nej/Falskt stöds inte ExpressRoute för den här slutpunktsuppsättningen.
Adresser: listar FQDN-namn eller domännamn med jokertecken och IP-adressintervall för slutpunktsuppsättningen. Observera att ett IP-adressintervall är i CIDR-format och kan innehålla många enskilda IP-adresser i det angivna nätverket.
Portar: Listar de TCP-eller UDP-portar som kombineras med ip-adresser i listan för att skapa nätverksslutpunkten. Du märker kanske att det finns dubbletter i IP-adressintervall där olika portar finns med i listan.
Intune-kärntjänst
Obs!
Om brandväggen som du använder tillåter att du skapar brandväggsregler med ett domännamn använder du domänen *.manage.microsoft.com och manage.microsoft.com. Men om brandväggsprovidern som du använder inte tillåter att du skapar en brandväggsregel med ett domännamn rekommenderar vi att du använder den godkända listan över alla undernät i det här avsnittet.
ID | Desc | Kategori | ER | Adresser | Portar |
---|---|---|---|---|---|
163 | Endpoint Manager-klient och värdtjänst | Tillåt Obligatoriskt |
Falskt | *.manage.microsoft.com manage.microsoft.com EnterpriseEnrollment.manage.microsoft.com 104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.71.199.64/28, 13.73.244.48/28, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 20.49.93.160/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29 |
TCP: 80, 443 |
172 | MDM-leveransoptimering | Standard Obligatoriskt |
Falskt | *.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com *.emdl.ws.microsoft.com kv801.prod.do.dsp.mp.microsoft.com geo.prod.do.dsp.mp.microsoft.com emdl.ws.microsoft.com 2.dl.delivery.mp.microsoft.com bg.v4.emdl.ws.microsoft.com |
TCP: 80, 443 |
170 | MEM – PowerShell och Win32Apps | Standard Obligatoriskt |
Falskt | swda01-mscdn.azureedge.net swda02-mscdn.azureedge.net swdb01-mscdn.azureedge.net swdb02-mscdn.azureedge.net swdc01-mscdn.azureedge.net swdc02-mscdn.azureedge.net swdd01-mscdn.azureedge.net swdd02-mscdn.azureedge.net swdin01-mscdn.azureedge.net swdin02-mscdn.azureedge.net |
TCP: 443 |
97 | Konsument-Outlook.com, OneDrive, enhetsautentisering och Microsoft-konto | Standard Obligatoriskt |
Falskt | account.live.com login.live.com |
TCP: 443 |
Autopilot-beroenden
ID | Desc | Kategori | ER | Adresser | Portar |
---|---|---|---|---|---|
164 | Autopilot – Windows Update | Standard Obligatoriskt |
Falskt | *.windowsupdate.com *.dl.delivery.mp.microsoft.com *.prod.do.dsp.mp.microsoft.com emdl.ws.microsoft.com *.delivery.mp.microsoft.com *.update.microsoft.com tsfe.trafficshaping.dsp.mp.microsoft.com catalog.update.microsoft.com |
TCP: 80, 443 |
165 | Autopilot – NTP-synkronisering | Standard Obligatoriskt |
Falskt | time.windows.com |
UDP: 123 |
169 | Autopilot – WNS-beroenden | Standard Obligatoriskt |
Falskt | clientconfig.passport.net windowsphone.com *.s-microsoft.com c.s-microsoft.com |
TCP: 443 |
173 | Autopilot – distributionsberoenden från tredje part | Standard Obligatoriskt |
Falskt | ekop.intel.com ekcert.spserv.microsoft.com ftpm.amd.com |
TCP: 443 |
182 | Autopilot – Diagnostikuppladdning | Standard Obligatoriskt |
Falskt | lgmsapeweu.blob.core.windows.net |
TCP: 443 |
Fjärrhjälp
ID | Desc | Kategori | ER | Adresser | Portar | Kommentar |
---|---|---|---|---|---|---|
181 | MEM – fjärrhjälpsfunktion | Standard Obligatoriskt |
Falskt | *.support.services.microsoft.com remoteassistance.support.services.microsoft.com rdprelayv3eastusprod-0.support.services.microsoft.com *.trouter.skype.com remoteassistanceprodacs.communication.azure.com edge.skype.com aadcdn.msftauth.net aadcdn.msauth.net alcdn.msauth.net wcpstatic.microsoft.com *.aria.microsoft.com browser.pipe.aria.microsoft.com *.events.data.microsoft.com v10.events.data.microsoft.com *.monitor.azure.com js.monitor.azure.com edge.microsoft.com *.trouter.communication.microsoft.com go.trouter.communication.microsoft.com *.trouter.teams.microsoft.com trouter2-usce-1-a.trouter.teams.microsoft.com api.flightproxy.skype.com ecs.communication.microsoft.com remotehelp.microsoft.com trouter-azsc-usea-0-a.trouter.skype.com |
TCP: 443 | |
187 | Beroende – Webbpub för fjärrhjälp | Standard Obligatoriskt |
Falskt | *.webpubsub.azure.com AMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com |
TCP: 443 | |
188 | Fjärrhjälpsberoende för GCC-kunder | Standard Obligatoriskt |
Falskt | remoteassistanceweb-gcc.usgov.communication.azure.us gcc.remotehelp.microsoft.com gcc.relay.remotehelp.microsoft.com *.gov.teams.microsoft.us |
TCP: 443 |
Intune-beroenden
I det här avsnittet visar följande tabeller de Intune-beroenden och portar och tjänster som Intune-klienten har åtkomst till.
- Windows Push Notification Services-beroenden
- Beroenden för leveransoptimering
- Apple-beroenden
- Android AOSP-beroenden
WNS-beroenden (Windows Push Notification Services)
ID | Desc | Kategori | ER | Adresser | Portar |
---|---|---|---|---|---|
171 | MEM – WNS-beroenden | Standard Obligatoriskt |
Falskt | *.notify.windows.com *.wns.windows.com sinwns1011421.wns.windows.com sin.notify.windows.com |
TCP: 443 |
För Intune-hanterade Windows-enheter som hanteras med hantering av mobila enheter (MDM) kräver enhetsåtgärder och andra omedelbara aktiviteter användning av Windows Push Notification Services (WNS). Mer information finns i Tillåta Windows-meddelandetrafik via företagsbrandväggar.
Beroenden för leveransoptimering
ID | Desc | Kategori | ER | Adresser | Portar |
---|---|---|---|---|---|
172 | MDM – Beroenden för leveransoptimering | Standard Obligatoriskt |
Falskt | *.do.dsp.mp.microsoft.com *.dl.delivery.mp.microsoft.com *.emdl.ws.microsoft.com kv801.prod.do.dsp.mp.microsoft.com geo.prod.do.dsp.mp.microsoft.com emdl.ws.microsoft.com 2.dl.delivery.mp.microsoft.com bg.v4.emdl.ws.microsoft.com |
TCP: 80, 443 |
Portkrav – För peer-to-peer-trafik använder leveransoptimering 7680 för TCP/IP eller 3544 för NAT-bläddringen (valfritt Teredo). För kommunikation mellan klient och tjänst använder den HTTP eller HTTPS via port 80/443.
Proxykrav – Om du vill använda leveransoptimering måste du tillåta byteintervallbegäranden. Mer information finns i Proxykrav för Windows Update.
Brandväggskrav – Tillåt följande värdnamn via brandväggen för att stödja leveransoptimering. För kommunikation mellan klienter och molntjänsten Leveransoptimering:
- *.do.dsp.mp.microsoft.com
För metadata för leveransoptimering:
- *.dl.delivery.mp.microsoft.com
- *.emdl.ws.microsoft.com
Apple-beroenden
ID | Desc | Kategori | ER | Adresser | Portar |
---|---|---|---|---|---|
178 | MEM – Apple-beroenden | Standard Obligatoriskt |
Falskt | itunes.apple.com *.itunes.apple.com *.mzstatic.com *.phobos.apple.com phobos.itunes-apple.com.akadns.net 5-courier.push.apple.com phobos.apple.com ocsp.apple.com ax.itunes.apple.com ax.itunes.apple.com.edgesuite.net s.mzstatic.com a1165.phobos.apple.com |
TCP: 80, 443, 5223 |
Mer information finns i följande resurser:
- Använda Apple-produkter i företagsnätverk
- TCP- och UDP-portar som används av Apple-programvaruprodukter
- Om macOS-, iOS/iPadOS- och iTunes-servervärdanslutningar och iTunes-bakgrundsprocesser
- Om dina macOS- och iOS/iPadOS-klienter inte får Apple-push-meddelanden
Android AOSP-beroenden
ID | Desc | Kategori | ER | Adresser | Portar |
---|---|---|---|---|---|
179 | MEM – Android AOSP-beroende | Standard Obligatoriskt |
Falskt | intunecdnpeasd.azureedge.net |
TCP: 443 |
Obs!
Eftersom Google Mobile Services inte är tillgängligt i Kina kan enheter i Kina som hanteras av Intune inte använda funktioner som kräver Google Mobile Services. Dessa funktioner är: Google Play Protect-funktioner som SafetyNet-enhetsattestering, Hantering av appar från Google Play Store, Android Enterprise-funktioner (se den här Google-dokumentationen). Dessutom använder Intune-företagsportalappen för Android Google Mobile Services för att kommunicera med Microsoft Intune-tjänsten. Eftersom Google Play-tjänster inte är tillgängliga i Kina kan vissa uppgifter ta upp till 8 timmar att slutföra. Mer information finns i Begränsningar för Intune-hantering när GMS inte är tillgängligt.
Android-portinformation – Beroende på hur du väljer att hantera Android-enheter kan du behöva öppna Google Android Enterprise-portarna och/eller Android-push-meddelandet. Mer information om vilka Android-hanteringsmetoder som stöds finns i dokumentationen för Android-registrering.
Android Enterprise-beroenden
Google Android Enterprise – Google tillhandahåller dokumentation om nödvändiga nätverksportar och målvärdnamn i sin Android Enterprise Bluebook, under avsnittet Brandvägg i dokumentet.
Android-push-meddelande – Intune använder Google Firebase Cloud Messaging (FCM) för push-meddelanden för att utlösa enhetsåtgärder och incheckningar. Detta krävs av både Android-enhetsadministratör och Android Enterprise. Information om FCM-nätverkskrav finns i Googles FCM-portar och din brandvägg.
Autentiseringsberoenden
ID | Desc | Kategori | ER | Adresser | Portar |
---|---|---|---|---|---|
56 | Autentisering och identitet omfattar Azure Active Directory- och Azure AD-relaterade tjänster. | Tillåt Obligatoriskt |
Sant | login.microsoftonline.com graph.windows.net |
TCP: 80, 443 |
150 | Office Customization Service tillhandahåller Office 365 ProPlus-distributionskonfiguration, programinställningar och molnbaserad principhantering. | Standard | Falskt | *.officeconfig.msocdn.com config.office.com |
TCP: 443 |
59 | Identitetsbaserad support för tjänster & CDN:er. | Standard Obligatoriskt |
Falskt | enterpriseregistration.windows.net |
TCP: 80, 443 |
Mer information finns i Url:er och IP-adressintervall för Office 365.
Nätverkskrav för PowerShell-skript och Win32-appar
Om du använder Intune för att distribuera PowerShell-skript eller Win32-appar måste du också bevilja åtkomst till slutpunkter där din klient för närvarande finns.
Om du vill hitta din klientplats (eller Azure Scale Unit (ASU) loggar du in på administrationscentret för Microsoft Intune och väljer KlientadministrationSinformation> förklientorganisation. Platsen är under Klientorganisationsplats som något som Liknar Nordamerika 0501 eller Europa 0202. Leta efter matchande nummer i följande tabell. Den raden anger vilket lagringsnamn och CDN-slutpunkter som du vill bevilja åtkomst till. Raderna särskiljs efter geografisk region, vilket anges av de två första bokstäverna i namnen (na = Nordamerika, eu = Europa, ap = Asien och stillahavsområdet). Din klientplats är en av dessa tre regioner, även om organisationens faktiska geografiska plats kan finnas någon annanstans.
Obs!
Tillåt http-partiellt svar krävs för skript & Win32-appars slutpunkter.
Azure Scale Unit (ASU) | Lagringsnamn | CDN | Port |
---|---|---|---|
AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0601 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901 |
naprodimedatapri naprodimedatasec naprodimedatahotfix |
naprodimedatapri.azureedge.net naprodimedatasec.azureedge.net naprodimedatahotfix.azureedge.net |
TCP: 443 |
AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701 |
euprodimedatapri euprodimedatasec euprodimedatahotfix |
euprodimedatapri.azureedge.net euprodimedatasec.azureedge.net euprodimedatahotfix.azureedge.net |
TCP: 443 |
AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUC0601 AMSUD0101 |
approdimedatapri approdimedatasec approdimedatahotifx |
approdimedatapri.azureedge.net approdimedatasec.azureedge.net approdimedatahotfix.azureedge.net |
TCP: 443 |
Microsoft Store
Hanterade Windows-enheter som använder Microsoft Store – antingen för att hämta, installera eller uppdatera appar – behöver åtkomst till dessa slutpunkter.
Microsoft Store API (AppInstallManager):
- displaycatalog.md.mp.microsoft.com
- purchase.md.mp.microsoft.com
- licensing.mp.microsoft.com
- storeedgefd.dsx.mp.microsoft.com
Windows Update-agent:
Mer information finns i följande resurser:
- Hantera anslutningsslutpunkter för Windows 11 Enterprise
- Hantera anslutningsslutpunkter för Windows 10 Enterprise, version 21H2
Nedladdning av Win32-innehåll:
Nedladdningsplatser och slutpunkter för Win32-innehåll är unika per program och tillhandahålls av den externa utgivaren. Du hittar platsen för varje Win32 Store-app med hjälp av följande kommando i ett testsystem (du kan hämta [PackageId] för en Store-app genom att referera till egenskapen Paketidentifierare för appen när du har lagt till den i Microsoft Intune):
winget show [PackageId]
Egenskapen Installer URL visar antingen den externa nedladdningsplatsen eller den regionbaserade (Microsoft-värdbaserade) återställningscachen baserat på om cachen används. Observera att platsen för nedladdning av innehåll kan ändras mellan cacheminnet och den externa platsen.
Microsoft-värdbaserad Win32-appåterställningscache:
- Varierar beroende på region, exempel: sparkcdneus2.azureedge.net, sparkcdnwus2.azureedge.net
Leveransoptimering (valfritt, krävs för peering):
Mer information finns i följande resurs:
Migrera efterlevnadsprinciper för enhetshälsoattestering till Microsoft Azure-attestering
Om en kund aktiverar någon av kompatibilitetsprincipen för Windows 10/11 – Inställningar för enhetens hälsotillstånd börjar Windows 11-enheter använda en Microsoft Azure Attestation-tjänst (MAA) baserat på deras Intune-klientplats. Windows 10- och GCCH/DOD-miljöer fortsätter dock att använda den befintliga slutpunkten för hälsoattestering av hälsoattestering för hälsoattestering för enhet "has.spserv.microsoft.com" för attestering av enheten och påverkas inte av den här ändringen.
Om en kund har brandväggsprinciper som förhindrar åtkomst till den nya Intune MAA-tjänsten för Windows 11, kommer Windows 11-enheter med tilldelade efterlevnadsprinciper med någon av enhetens hälsoinställningar (BitLocker, Säker start, Kodintegritet) att sluta uppfylla efterlevnaden eftersom de inte kan nå MAA-attesteringsslutpunkterna för deras plats.
Se till att det inte finns några brandväggsregler som blockerar utgående HTTPS/443-trafik och att SSL-trafikgranskning inte är på plats för de slutpunkter som anges i det här avsnittet, baserat på din Intune-klientorganisations plats.
Information om klientorganisationsstatus för klientorganisation finns i Klientorganisationsplats för att hitta din klientplats.>>>
'https://intunemaape1.eus.attest.azure.net'
'https://intunemaape2.eus2.attest.azure.net'
'https://intunemaape3.cus.attest.azure.net'
'https://intunemaape4.wus.attest.azure.net'
'https://intunemaape5.scus.attest.azure.net'
'https://intunemaape6.ncus.attest.azure.net'
Slutpunktsanalys
Mer information om de slutpunkter som krävs för slutpunktsanalys finns i Proxykonfiguration för slutpunktsanalys.
Microsoft Defender för Endpoint
Mer information om hur du konfigurerar Defender för Endpoint-anslutning finns i Anslutningskrav.
Om du vill ha stöd för hantering av säkerhetsinställningar för Defender för Endpoint tillåter du följande värdnamn via brandväggen. För kommunikation mellan klienter och molntjänsten:
*.dm.microsoft.com – Användningen av jokertecken stöder molntjänstslutpunkter som används för registrering, incheckning och rapportering och som kan ändras när tjänsten skalar.
Viktigt
SSL-inspektion stöds inte på slutpunkter som krävs för Microsoft Defender för Endpoint.
Microsoft Intune Endpoint Privilege Management
Tillåt följande värdnamn på tcp-port 443 via brandväggen för att stödja Endpoint Privilege Management
För kommunikation mellan klienter och molntjänsten:
*.dm.microsoft.com – Användningen av jokertecken stöder molntjänstslutpunkter som används för registrering, incheckning och rapportering och som kan ändras när tjänsten skalar.
*.events.data.microsoft.com – Används av Intune-hanterade enheter för att skicka valfria rapporteringsdata till Slutpunkten för Intune-datainsamling.
Viktigt
SSL-inspektion stöds inte på slutpunkter som krävs för Hantering av slutpunktsprivilegier.
Mer information finns i Översikt över Hantering av slutpunktsprivilegier.
Relaterade ämnen
URL-adresser och IP-adressintervall för Office 365
Översikt över Nätverksanslutning för Microsoft 365
Nätverk för innehållsleverans (CDN)
Andra slutpunkter ingår inte i Office 365 IP-adress och URL-webbtjänst
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för