Nätverksslutpunkter för Microsoft Intune
Den här artikeln innehåller IP-adresser och portinställningar som krävs för proxyinställningar i dina Microsoft Intune-distributioner.
Som en molnbaserad tjänst kräver Intune inte någon lokal infrastruktur, till exempel servrar eller gatewayer.
Åtkomst för hanterade enheter
Om du vill hantera enheter bakom brandväggar och proxyservrar måste du aktivera kommunikation för Intune.
Obs!
Informationen i det här avsnittet gäller även för Microsoft Intune Certificate Connector. Anslutningsappen har samma nätverkskrav som hanterade enheter.
Slutpunkterna i den här artikeln ger åtkomst till de portar som identifieras i följande tabeller.
För vissa uppgifter kräver Intune oautentiserad proxyserveråtkomst till manage.microsoft.com, *.azureedge.net och graph.microsoft.com.
Obs!
SSL-trafikgranskning stöds inte för slutpunkterna *.manage.microsoft.com, *.dm.microsoft.com eller enhetshälsoattestering (DHA) som anges i avsnittet efterlevnad.
Du kan ändra proxyserverinställningarna på enskilda klientdatorer. Du kan också använda grupprincip inställningar för att ändra inställningarna för alla klientdatorer som finns bakom en angiven proxyserver.
Hanterade enheter kräver konfigurationer som gör att alla användare kan komma åt tjänster via brandväggar.
PowerShell-skript
För att göra det enklare att konfigurera tjänster via brandväggar registrerade vi med tjänsten Office 365 Endpoint. För närvarande används Intune slutpunktsinformation via ett PowerShell-skript. Det finns andra beroende tjänster för Intune som redan omfattas som en del av Microsoft 365-tjänsten och som är markerade som "nödvändiga". Tjänster som redan omfattas av Microsoft 365 ingår inte i skriptet för att undvika duplicering.
Med hjälp av följande PowerShell-skript kan du hämta listan över IP-adresser för Intune-tjänsten.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips
Med hjälp av följande PowerShell-skript kan du hämta listan över FQDN:er som används av Intune och beroende tjänster. När du kör skriptet kan URL:erna i skriptets utdata skilja sig från URL:erna i följande tabeller. Se minst till att du inkluderar URL:erna i tabellerna.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls
Skriptet är en praktisk metod för att lista och granska alla tjänster som krävs av Intune och Autopilot på en plats. Ytterligare egenskaper kan returneras från slutpunktstjänsten, till exempel kategoriegenskapen, som anger om FQDN eller IP ska konfigureras som Tillåt, Optimera eller Standard.
Slutpunkter
Du behöver även FQDN som omfattas av Microsoft 365-kraven. Som referens visar följande tabeller den tjänst de är knutna till och listan över URL:er returneras.
De datakolumner som visas i tabellerna är:
ID: Raden för ID-numret, som även kallas för en slutpunktsuppsättning. Detta ID är samma som returneras av webbtjänsten för slutpunktsuppsättningen.
Kategori: Visar om slutpunktsuppsättningen kategoriseras som Optimera, Tillåt eller Standard. I den här kolumnen visas även vilka slutpunktsuppsättningar som krävs för nätverksanslutningar. För slutpunktsuppsättningar som inte är nödvändiga för att ha nätverksanslutning tillhandahåller vi anteckningar i det här fältet för att ange vilka funktioner som skulle saknas om slutpunktsuppsättningen är blockerad. Om du undantar ett helt tjänstområde kräver inte slutpunktsuppsättningarna som anges som krav anslutning.
Du kan läsa om de här kategorierna och vägledningen för deras hantering i Nya Microsoft 365-slutpunktskategorier.
ER: Det här är Ja/Sant om slutpunktsuppsättningen stöds via Azure ExpressRoute med Vägprefix för Microsoft 365. BGP-communityn som innehåller de väg-prefix som visas är justeras med tjänstområdet som visas. När ER är Nej/Falskt stöds inte ExpressRoute för den här slutpunktsuppsättningen.
Adresser: listar FQDN-namn eller domännamn med jokertecken och IP-adressintervall för slutpunktsuppsättningen. Observera att ett IP-adressintervall är i CIDR-format och kan innehålla många enskilda IP-adresser i det angivna nätverket.
Portar: Listar de TCP-eller UDP-portar som kombineras med ip-adresser i listan för att skapa nätverksslutpunkten. Du märker kanske att det finns dubbletter i IP-adressintervall där olika portar finns med i listan.
Intune kärntjänst
Obs!
Om brandväggen som du använder tillåter att du skapar brandväggsregler med ett domännamn använder du domänen *.manage.microsoft.com och manage.microsoft.com. Men om brandväggsprovidern som du använder inte tillåter att du skapar en brandväggsregel med ett domännamn rekommenderar vi att du använder den godkända listan över alla undernät i det här avsnittet.
| ID | Desc | Kategori | ER | Adresser | Portar |
|---|---|---|---|---|---|
| 163 | Intune klient- och värdtjänst | Tillåt Obligatoriskt |
Falskt | *.manage.microsoft.commanage.microsoft.comEnterpriseEnrollment.manage.microsoft.com104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.71.199.64/28, 13.73.244.48/28, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 20.49.93.160/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29 |
TCP: 80, 443 |
| 172 | MDM-leveransoptimering | Standard Obligatoriskt |
Falskt | *.do.dsp.mp.microsoft.com*.dl.delivery.mp.microsoft.com |
TCP: 80, 443 |
| 170 | MEM – Win32Apps | Standard Obligatoriskt |
Falskt | swda01-mscdn.manage.microsoft.comswda02-mscdn.manage.microsoft.comswdb01-mscdn.manage.microsoft.comswdb02-mscdn.manage.microsoft.comswdc01-mscdn.manage.microsoft.comswdc02-mscdn.manage.microsoft.comswdd01-mscdn.manage.microsoft.comswdd02-mscdn.manage.microsoft.comswdin01-mscdn.manage.microsoft.comswdin02-mscdn.manage.microsoft.com |
TCP: 443 |
| 97 | Konsument-Outlook.com, OneDrive, enhetsautentisering och Microsoft-konto | Standard Obligatoriskt |
Falskt | account.live.comlogin.live.com |
TCP: 443 |
| 190 | Slutpunktsidentifiering | Standard Obligatoriskt |
Falskt | go.microsoft.com |
TCP: 80, 443 |
| 189 | Beroende – funktionsdistribution | Standard Obligatoriskt |
Falskt | config.edge.skype.com |
TCP: 443 |
Autopilot-beroenden
| ID | Desc | Kategori | ER | Adresser | Portar |
|---|---|---|---|---|---|
| 164 | Autopilot – Windows Update | Standard Obligatoriskt |
Falskt | *.windowsupdate.com*.dl.delivery.mp.microsoft.com*.prod.do.dsp.mp.microsoft.com*.delivery.mp.microsoft.com*.update.microsoft.comtsfe.trafficshaping.dsp.mp.microsoft.comadl.windows.com |
TCP: 80, 443 |
| 165 | Autopilot – NTP-synkronisering | Standard Obligatoriskt |
Falskt | time.windows.com |
UDP: 123 |
| 169 | Autopilot – WNS-beroenden | Standard Obligatoriskt |
Falskt | clientconfig.passport.netwindowsphone.com*.s-microsoft.comc.s-microsoft.com |
TCP: 443 |
| 173 | Autopilot – distributionsberoenden från tredje part | Standard Obligatoriskt |
Falskt | ekop.intel.comekcert.spserv.microsoft.comftpm.amd.com |
TCP: 443 |
| 182 | Autopilot – Diagnostikuppladdning | Standard Obligatoriskt |
Falskt | lgmsapeweu.blob.core.windows.net |
TCP: 443 |
Fjärrassistans
| ID | Desc | Kategori | ER | Adresser | Portar | Kommentar |
|---|---|---|---|---|---|---|
| 181 | MEM – Fjärrassistans funktion | Standard Obligatoriskt |
Falskt | *.support.services.microsoft.comremoteassistance.support.services.microsoft.comrdprelayv3eastusprod-0.support.services.microsoft.com*.trouter.skype.comremoteassistanceprodacs.communication.azure.comedge.skype.comaadcdn.msftauth.netaadcdn.msauth.netalcdn.msauth.netwcpstatic.microsoft.com*.aria.microsoft.combrowser.pipe.aria.microsoft.com*.events.data.microsoft.comv10.events.data.microsoft.com*.monitor.azure.comjs.monitor.azure.comedge.microsoft.com*.trouter.communication.microsoft.comgo.trouter.communication.microsoft.com*.trouter.teams.microsoft.comtrouter2-usce-1-a.trouter.teams.microsoft.comapi.flightproxy.skype.comecs.communication.microsoft.comremotehelp.microsoft.comtrouter-azsc-usea-0-a.trouter.skype.com |
TCP: 443 | |
| 187 | Beroende – Fjärrassistans webbpub | Standard Obligatoriskt |
Falskt | *.webpubsub.azure.comAMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com |
TCP: 443 | |
| 188 | Fjärrassistans beroende för GCC-kunder | Standard Obligatoriskt |
Falskt | remoteassistanceweb-gcc.usgov.communication.azure.usgcc.remotehelp.microsoft.comgcc.relay.remotehelp.microsoft.com*.gov.teams.microsoft.us |
TCP: 443 |
Intune beroenden
I det här avsnittet visar följande tabeller de Intune beroenden och portar och tjänster som Intune klientåtkomst till.
- Windows Push Notification Services-beroenden
- Beroenden för leveransoptimering
- Apple-beroenden
- Android AOSP-beroenden
WNS-beroenden (Windows Push Notification Services)
| ID | Desc | Kategori | ER | Adresser | Portar |
|---|---|---|---|---|---|
| 171 | MEM – WNS-beroenden | Standard Obligatoriskt |
Falskt | *.notify.windows.com*.wns.windows.comsinwns1011421.wns.windows.comsin.notify.windows.com |
TCP: 443 |
För Intune hanterade Windows-enheter som hanteras med mobile Enhetshantering (MDM) kräver enhetsåtgärder och andra omedelbara aktiviteter användning av Windows Push Notification Services (WNS). Mer information finns i Tillåta Windows-meddelandetrafik via företagsbrandväggar.
Beroenden för leveransoptimering
| ID | Desc | Kategori | ER | Adresser | Portar |
|---|---|---|---|---|---|
| 172 | MDM – Beroenden för leveransoptimering | Standard Obligatoriskt |
Falskt | *.do.dsp.mp.microsoft.com*.dl.delivery.mp.microsoft.com |
TCP: 80, 443 |
Portkrav – För peer-to-peer-trafik använder leveransoptimering 7680 för TCP/IP. Den använder Teredo på port 3544 för NAT-bläddering (användning av Teredo är valfritt) För klienttjänstkommunikation använder den HTTP eller HTTPS via port 80/443.
Proxykrav – Om du vill använda leveransoptimering måste du tillåta byteintervallbegäranden. Mer information finns i Proxykrav för Windows Update.
Brandväggskrav – Tillåt följande värdnamn via brandväggen för att stödja leveransoptimering. För kommunikation mellan klienter och molntjänsten Leveransoptimering:
- *.do.dsp.mp.microsoft.com
För metadata för leveransoptimering:
- *.dl.delivery.mp.microsoft.com
Apple-beroenden
| ID | Desc | Kategori | ER | Adresser | Portar |
|---|---|---|---|---|---|
| 178 | MEM – Apple-beroenden | Standard Obligatoriskt |
Falskt | itunes.apple.com*.itunes.apple.com*.mzstatic.com*.phobos.apple.comphobos.itunes-apple.com.akadns.net5-courier.push.apple.comphobos.apple.comocsp.apple.comax.itunes.apple.comax.itunes.apple.com.edgesuite.nets.mzstatic.coma1165.phobos.apple.com |
TCP: 80, 443, 5223 |
Mer information finns i följande resurser:
- Använda Apple-produkter i företagsnätverk
- TCP- och UDP-portar som används av Apple-programvaruprodukter
- Om macOS-, iOS/iPadOS- och iTunes-servervärdanslutningar och iTunes-bakgrundsprocesser
- Om dina macOS- och iOS/iPadOS-klienter inte får Apple-push-meddelanden
Android AOSP-beroenden
| ID | Desc | Kategori | ER | Adresser | Portar |
|---|---|---|---|---|---|
| 179 | MEM – Android AOSP-beroende | Standard Obligatoriskt |
Falskt | intunecdnpeasd.azureedge.net |
TCP: 443 |
Obs!
Eftersom Google Mobile Services inte är tillgängligt i Kina kan enheter i Kina som hanteras av Intune inte använda funktioner som kräver Google Mobile Services. Dessa funktioner är: Google Play Protect-funktioner som SafetyNet-enhetsattestering, Hantering av appar från Google Play Store, Android Enterprise-funktioner (se den här Google-dokumentationen). Dessutom använder Intune-företagsportal-appen för Android Google Mobile Services för att kommunicera med Microsoft Intune-tjänsten. Eftersom Google Play-tjänster inte är tillgängliga i Kina kan vissa uppgifter ta upp till 8 timmar att slutföra. Mer information finns i Begränsningar för Intune hantering när GMS inte är tillgängligt.
Android-portinformation – Beroende på hur du väljer att hantera Android-enheter kan du behöva öppna Google Android Enterprise-portarna och/eller Android-push-meddelandet. Mer information om vilka Android-hanteringsmetoder som stöds finns i dokumentationen för Android-registrering.
Android Enterprise-beroenden
Google Android Enterprise – Google tillhandahåller dokumentation om nödvändiga nätverksportar och målvärdnamn i sin Android Enterprise Bluebook, under avsnittet Brandvägg i dokumentet.
Push-meddelande för Android – Intune använder Google Firebase Cloud Messaging (FCM) för push-meddelanden för att utlösa enhetsåtgärder och incheckningar. Detta krävs av både Android-enhetsadministratör och Android Enterprise. Information om FCM-nätverkskrav finns i Googles FCM-portar och din brandvägg.
Autentiseringsberoenden
| ID | Desc | Kategori | ER | Adresser | Portar |
|---|---|---|---|---|---|
| 56 | Autentisering och identitet omfattar Azure Active Directory och Azure AD relaterade tjänster. | Tillåt Obligatoriskt |
Sant | login.microsoftonline.comgraph.windows.net |
TCP: 80, 443 |
| 150 | Office Customization Service tillhandahåller Office 365 ProPlus distributionskonfiguration, programinställningar och molnbaserad principhantering. | Standard | Falskt | *.officeconfig.msocdn.comconfig.office.com |
TCP: 443 |
| 59 | Identitetsbaserad support för tjänster & CDN:er. | Standard Obligatoriskt |
Falskt | enterpriseregistration.windows.net |
TCP: 80, 443 |
Mer information finns i Office 365 URL:er och IP-adressintervall.
Nätverkskrav för PowerShell-skript och Win32-appar
Om du använder Intune för att distribuera PowerShell-skript eller Win32-appar måste du också bevilja åtkomst till slutpunkter där din klient för närvarande finns.
Om du vill hitta din klientplats (eller Azure Scale Unit (ASU) loggar du in på administrationscentret för Microsoft Intune och väljer KlientadministrationSinformation för klientorganisation>. Platsen är under Klientorganisationsplats som något som liknar Nordamerika 0501 eller Europa 0202. Leta efter matchande nummer i följande tabell. Den raden anger vilket lagringsnamn och CDN-slutpunkter som du vill bevilja åtkomst till. Raderna särskiljs efter geografisk region, vilket anges av de två första bokstäverna i namnen (na = Nordamerika, eu = Europa, ap = Asien och stillahavsområdet). Din klientplats är en av dessa tre regioner, även om organisationens faktiska geografiska plats kan finnas någon annanstans.
Obs!
Tillåt http-partiellt svar krävs för skript & Win32-appars slutpunkter.
| Azure Scale Unit (ASU) | Lagringsnamn | CDN | Port |
|---|---|---|---|
| AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0601 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901 |
naprodimedatapri naprodimedatasec naprodimedatahotfix |
naprodimedatapri.azureedge.net naprodimedatasec.azureedge.net naprodimedatahotfix.azureedge.net |
TCP: 443 |
| AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701 |
euprodimedatapri euprodimedatasec euprodimedatahotfix |
euprodimedatapri.azureedge.net euprodimedatasec.azureedge.net euprodimedatahotfix.azureedge.net |
TCP: 443 |
| AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUC0601 AMSUD0101 |
approdimedatapri approdimedatasec approdimedatahotifx |
approdimedatapri.azureedge.net approdimedatasec.azureedge.net approdimedatahotfix.azureedge.net |
TCP: 443 |
Microsoft Store
Hanterade Windows-enheter som använder Microsoft Store – antingen för att hämta, installera eller uppdatera appar – behöver åtkomst till dessa slutpunkter.
Microsoft Store API (AppInstallManager):
- displaycatalog.mp.microsoft.com
- purchase.md.mp.microsoft.com
- licensing.mp.microsoft.com
- storeedgefd.dsx.mp.microsoft.com
Windows Update Agent:
Mer information finns i följande resurser:
- Hantera anslutningsslutpunkter för Windows 11 Enterprise
- Hantera anslutningsslutpunkter för Windows 10 Enterprise version 21H2
Nedladdning av Win32-innehåll:
Nedladdningsplatser och slutpunkter för Win32-innehåll är unika per program och tillhandahålls av den externa utgivaren. Du hittar platsen för varje Win32 Store-app med hjälp av följande kommando i ett testsystem (du kan hämta [PackageId] för en Store-app genom att referera till egenskapen Paketidentifierare för appen när du har lagt till den i Microsoft Intune):
winget show [PackageId]
Egenskapen Installer URL visar antingen den externa nedladdningsplatsen eller den regionbaserade (Microsoft-värdbaserade) återställningscachen baserat på om cachen används. Observera att platsen för nedladdning av innehåll kan ändras mellan cacheminnet och den externa platsen.
Microsoft-värdbaserad Win32-appåterställningscache:
- Varierar beroende på region, exempel: sparkcdneus2.azureedge.net, sparkcdnwus2.azureedge.net
Leveransoptimering (valfritt, krävs för peering):
Mer information finns i följande resurs:
Migrera efterlevnadsprinciper för enhetshälsoattestering till Microsoft Azure-attestering
Om en kund aktiverar någon av Windows 10/11 Efterlevnadsprincip – Inställningar för enhetshälsa börjar Windows 11 enheter använda en Microsoft Azure Attestation-tjänst (MAA) baserat på deras Intune klientplats. Men Windows 10- och GCCH-/DOD-miljöer fortsätter att använda den befintliga slutpunkten för hälsoattestering av hälsoattestering för hälsoattestering för enhet "has.spserv.microsoft.com" för attestering av enhetens hälsotillstånd och påverkas inte av den här ändringen.
Om en kund har brandväggsprinciper som förhindrar åtkomst till den nya Intune MAA-tjänsten för Windows 11, kommer Windows 11 enheter med tilldelade efterlevnadsprinciper med någon av enhetens hälsoinställningar (BitLocker, Säker start, Kodintegritet) att sluta uppfylla efterlevnaden eftersom de inte kan nå MAA-attesteringsslutpunkterna för deras plats.
Se till att det inte finns några brandväggsregler som blockerar utgående HTTPS/443-trafik och att SSL-trafikgranskning inte är på plats för slutpunkterna som anges i det här avsnittet, baserat på din Intune klientorganisationens plats.
Om du vill hitta din klientplats navigerar du till Intune administrationscenter > För klientorganisation>klientorganisationsstatus>Information om klientorganisation, se Klientplats.
'https://intunemaape1.eus.attest.azure.net'
'https://intunemaape2.eus2.attest.azure.net'
'https://intunemaape3.cus.attest.azure.net'
'https://intunemaape4.wus.attest.azure.net'
'https://intunemaape5.scus.attest.azure.net'
'https://intunemaape6.ncus.attest.azure.net'
Distributionstjänst för Windows Update för företag
Mer information om de slutpunkter som krävs för distributionstjänsten Windows Update för företag finns i Windows Update för affärsdistributionstjänstens krav.
Slutpunktsanalys
Mer information om de slutpunkter som krävs för slutpunktsanalys finns i Proxykonfiguration för slutpunktsanalys.
Microsoft Defender för Endpoint
Mer information om hur du konfigurerar Defender för Endpoint-anslutning finns i Anslutningskrav.
Om du vill ha stöd för hantering av säkerhetsinställningar för Defender för Endpoint tillåter du följande värdnamn via brandväggen. För kommunikation mellan klienter och molntjänsten:
*.dm.microsoft.com – Användningen av jokertecken stöder molntjänstslutpunkter som används för registrering, incheckning och rapportering och som kan ändras när tjänsten skalar.
Viktigt
SSL-inspektion stöds inte på slutpunkter som krävs för Microsoft Defender för Endpoint.
Microsoft Intune hantering av slutpunktsprivilegier
Tillåt följande värdnamn på tcp-port 443 via brandväggen för att stödja Endpoint Privilege Management
För kommunikation mellan klienter och molntjänsten:
*.dm.microsoft.com – Användningen av jokertecken stöder molntjänstslutpunkter som används för registrering, incheckning och rapportering och som kan ändras när tjänsten skalar.
*.events.data.microsoft.com – används av Intune hanterade enheter för att skicka valfria rapporteringsdata till slutpunkten för Intune datainsamling.
Viktigt
SSL-inspektion stöds inte på slutpunkter som krävs för Hantering av slutpunktsprivilegier.
Mer information finns i Översikt över Hantering av slutpunktsprivilegier.
Relaterade ämnen
URL-adresser och IP-adressintervall för Office 365
Översikt över Nätverksanslutning för Microsoft 365
Nätverk för innehållsleverans (CDN)
Andra slutpunkter ingår inte i Office 365 IP-adress och URL-webbtjänst