分享方式:

網際網路存取需求

  • 文章

某些 Configuration Manager 功能依賴於網際網路連線,才能發揮完整功能。 如果您的組織使用防火牆或 Proxy 裝置來限制與因特網的網路通訊,請務必允許這些端點。

Configuration Manager 會對整個產品使用下列 Microsoft URL 轉送服務:

  • https://aka.ms
  • https://go.microsoft.com

即使它們未明確列在下列各節中,您也應該一律允許這些端點。

服務連接點

如需詳細資訊,請 參閱關於服務連接點

這些設定適用於裝載服務連接點的伺服器,以及該伺服器與因特網之間的任何防火牆。 允許透過連出 HTTPS 埠 TCP 443 到因特網位置的通訊。

服務連接點支援使用具有或不含驗證的 Web Proxy 來使用這些位置。 如需詳細資訊,請參閱 Proxy 伺服器支援

如果 Configuration Manager 月台無法連線到雲端服務所需的端點,則會引發重大狀態消息標識碼 11488。 當無法連線到服務時,SMS_SERVICE_CONNECTOR元件狀態會變更為重大。 在 Configuration Manager 控制台的 [ 元件狀態 ] 節點中檢視詳細狀態。

從 2010 版開始,服務連接點會驗證 租用戶連結的重要因特網端點。 這些檢查有助於確保雲端連線服務可供使用。 它也會透過快速判斷網路連線是否發生問題,協助您疑難排解問題。 如需詳細資訊,請 參閱驗證因特網存取

服務連接點所需的特定 URL 會因 Configuration Manager 功能而異:

提示

服務連接點會在連線到 go.microsoft.commanage.microsoft.com時使用 Microsoft Intune 服務。 有一個已知問題:如果 Baltimore CyberTrust 跟證書未安裝、過期或服務連接點已損毀,Intune 連接器會遇到連線問題。 如需詳細資訊,請參閱 服務連接點不會下載更新

更新和服務

如需詳細資訊,請參閱 更新和服務

提示

針對 管理深入 解析規則啟用這些端點, 將站台聯機至Microsoft雲端以進行 Configuration Manager 更新

  • *.akamaiedge.net

  • *.akamaitechnologies.com

  • *.manage.microsoft.com

  • go.microsoft.com

  • download.microsoft.com

  • download.windowsupdate.com

  • download.visualstudio.microsoft.com

  • sccmconnected-a01.cloudapp.net

  • definitionupdates.microsoft.com

  • configmgrbits.azureedge.net

    重要事項

    此 Azure 端點僅支援具有特定加密套件的 TLS 1.2。 請確定您的環境支持這些 Azure 設定。 如需詳細資訊,請參閱 Azure Front Door:TLS 設定常見問題

  • cmbitsstore.blob.core.windows.net

  • ceuswatcab01.blob.core.windows.net

  • ceuswatcab02.blob.core.windows.net

  • eaus2watcab01.blob.core.windows.net

  • eaus2watcab02.blob.core.windows.net

  • weus2watcab01.blob.core.windows.net

  • weus2watcab02.blob.core.windows.net

  • cmbitsstore.blob.core.windows.net

  • umwatsonc.events.data.microsoft.com

  • *-umwatsonc.events.data.microsoft.com

Windows 服務

如需詳細資訊,請 參閱管理 Windows 即服務

  • download.microsoft.com

  • https://go.microsoft.com/fwlink/?LinkID=619849

  • dl.delivery.mp.microsoft.com

Azure 服務

如需詳細資訊, 請參閱設定 Azure 服務以搭配 Configuration Manager 使用

  • management.azure.com (Azure 公用雲端)
  • management.usgovcloudapi.net (Azure US Gov 雲端)

共同管理

如果您註冊 Windows 裝置以Microsoft Intune 進行共同管理,請確定這些裝置可以存取 Intune 所需的端點。 如需詳細資訊,請參閱 Microsoft Intune 的網路端點

商務用 Microsoft Store

如果您將 Configuration Manager 與 商務用 Microsoft Store 整合,請確定服務連接點和目標裝置可以存取雲端服務。 如需詳細資訊, 請參閱 Microsoft Store for Business Proxy 設定

傳遞最佳化

如果您使用傳遞優化,客戶端必須與其雲端服務通訊: *.do.dsp.mp.microsoft.com

支援Microsoft連線快取的發佈點也需要這些端點。

如需詳細資訊,請參閱下列文章:

雲端服務

如需有關 CMG) (雲端管理閘道的詳細資訊,請參閱 規劃 CMG

本節涵蓋下列功能:

  • 雲端管理閘道 (CMG)

  • Microsoft整合

  • Microsoft以 Entra ID 為基礎的探索

  • 雲端發佈點 (CDP)

    注意事項

    雲端式發佈點 (CDP) 已被取代。 從 2107 版開始,您無法建立新的 CDP 實例。 若要將內容提供給以因特網為基礎的裝置,請讓CMG發佈內容。

下列各節依角色列出端點。 某些端點會依 參考服務 <prefix>,這是 CMG 的前置詞名稱。 例如,如果您的 CMG 是 GraniteFalls.WestUS.CloudApp.Azure.Com,則實際的記憶體端點是 GraniteFalls.blob.core.windows.net

提示

若要釐清一些術語:

  • CMG 服務名稱:一般名稱 (CMG 伺服器驗證憑證的 CN) 。 用戶端和 CMG 連接點站台系統角色會與此服務名稱通訊。 例如,GraniteFalls.contoso.comGraniteFalls.WestUS.CloudApp.Azure.Com

  • CMG 部署名稱:服務名稱的第一個部分加上雲端服務部署的 Azure 位置。 服務連接點的雲端服務管理員元件會在 Azure 中部署 CMG 時使用此名稱。 部署名稱一律位於 Azure 網域中。 Azure 位置取決於部署方法,例如:

    • 虛擬機擴展集: GraniteFalls.WestUS.CloudApp.Azure.Com
    • 傳統部署: GraniteFalls.CloudApp.Net

本文使用範例搭配虛擬機擴展集,作為 2107 版和更新版本中的建議部署方法。 如果您使用傳統部署,請在閱讀本文並設定因特網存取時記下差異。

雲端服務的服務連接點

若要讓 Configuration Manager 在 Azure 中部署 CMG 服務,服務連接點需要存取:

  • 特定 Azure 端點,視設定而定,每個環境都不同。 Configuration Manager 會將這些端點儲存在月臺資料庫中。 查詢 SQL Server 中的 AzureEnvironments 數據表,以取得 Azure 端點清單。

  • Azure 服務:

    • management.azure.com (Azure 公用雲端)
    • management.usgovcloudapi.net (Azure US Gov 雲端)

  • 針對 Microsoft Entra 使用者探索:Microsoft Graph 端點 https://graph.microsoft.com/

雲端服務的 CMG 連接點

CMG 連接點需要存取下列端點:

類型 Azure 公用雲端 Azure 美國政府雲端
服務 名稱 <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
記憶體端點 1 <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
記憶體端點 2 <prefix>.table.core.windows.net <prefix>.table.core.usgovcloudapi.net
金鑰保存庫 <prefix>.vault.azure.net <prefix>.vault.usgovcloudapi.net

CMG 連接點站台系統支援使用 Web Proxy。 如需為 Proxy 設定此角色的詳細資訊,請參閱 Proxy 伺服器支援

CMG 連接點只需要連線到 CMG 服務端點。 它不需要存取其他 Azure 端點。

適用於雲端服務的 Configuration Manager 用戶端

任何需要與 CMG 通訊的 Configuration Manager 用戶端都需要存取下列端點:

類型 Azure 公用雲端 Azure 美國政府雲端
部署 名稱 <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
記憶體端點 <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
Microsoft端點 login.microsoftonline.com login.microsoftonline.us

適用於雲端服務的 Configuration Manager 控制台

任何具有 Configuration Manager 控制台的裝置都需要存取下列端點:

類型 Azure 公用雲端 Azure 美國政府雲端
Microsoft Entra 端點 login.microsoftonline.com
aadcdn.msauth.net
aadcdn.msftauth.net		 login.microsoftonline.us

軟體更新

允許作用中軟體更新點存取下列端點,讓 WSUS 和自動更新可以與Microsoft更新雲端服務通訊:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • http://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://ntservicepack.microsoft.com

如需軟體更新的詳細資訊,請參閱 規劃軟體更新

內部網路防火牆

在下列情況下,您可能需要將端點新增至兩個月台系統之間的防火牆:

  • 如果子月臺有軟體更新點
  • 如果站臺上有遠程主動式因特網型軟體更新點

子站臺上的軟體更新點

  • http://<FQDN for software update point on child site>

  • https://<FQDN for software update point on child site>

  • http://<FQDN for software update point on parent site>

  • https://<FQDN for software update point on parent site>

管理 Microsoft 365 Apps

注意事項

從 2020 年 4 月 21 日開始,Office 365 專業增強版已重新命名為 Microsoft 365 Apps 企業版。 如需詳細資訊,請參閱 Office 365 專業增強版的名稱變更。 在更新主控台時,您仍可能會在 Configuration Manager 控制台中看到舊名稱的參考和支持檔。

如果您使用 Configuration Manager 來部署和更新 365 Apps 企業版Microsoft,請允許下列端點:

  • officecdn.microsoft.com 同步處理 Microsoft 365 Apps 企業版用戶端更新的軟體更新點

  • config.office.com 建立適用於企業部署Microsoft 365 Apps 的自定義組態

  • https://clients.config.office.nethttps://go.microsoft.com/fwlink/?linkid=2190568 以支援部署 Microsoft 365 Apps 企業版的更新

  • contentstorage.osi.office.net 以支援 Office 載入宏整備程度的評估

您的最上層站台伺服器需要存取下列端點,才能下載 Microsoft Apps 365 整備檔案:

  • 從 2021 年 3 月 2 日開始: https://omex.cdn.office.net/mirrored/sccmreadiness/SOT_SCCM_AddinReadiness.CAB
    • 2021 年 3 月 2 日之前的位置: https://contentstorage.osi.office.net/sccmreadinessppe/sot_sccm_addinreadiness.cab

注意事項

此檔案的位置會在 2021 年 3 月 2 日變更。 如需詳細資訊,請參閱 Microsoft 365 Apps 整備檔案的下載位置變更

Configuration Manager 控制台

具有 Configuration Manager 控制台的電腦需要存取下列因特網端點,才能取得特定功能:

注意事項

若要讓來自 Microsoft 的推播通知顯示在控制台中,服務連接點必須存 configmgrbits.azureedge.net取 。 它也需要存取此端點以進行 更新和服務,因此您可能已經允許它。

主機內意見反應

在您執行主控台的電腦上,允許其存取下列因特網端點,以將診斷數據傳送至 Microsoft:

  • petrol.office.microsoft.com

  • ceuswatcab01.blob.core.windows.net

  • ceuswatcab02.blob.core.windows.net

  • eaus2watcab01.blob.core.windows.net

  • eaus2watcab02.blob.core.windows.net

  • weus2watcab01.blob.core.windows.net

  • weus2watcab02.blob.core.windows.net

  • umwatsonc.events.data.microsoft.com

  • *-umwatsonc.events.data.microsoft.com

如需這項功能的詳細資訊,請參閱 產品意見反應

社群工作區

檔節點

如需此控制台節點的詳細資訊,請 參閱使用 Configuration Manager 控制台

  • https://aka.ms

  • https://raw.githubusercontent.com

社群中樞

如需這項功能的詳細資訊,請參閱 社群中樞

  • https://github.com

  • https://communityhub.microsoft.com

租用戶附加

如需詳細資訊,請參閱啟用租用戶附加

  • https://aka.ms/configmgrgateway

  • https://*.manage.microsoft.com 適用於 Azure 公用雲端客戶

  • https://*.manage.microsoft.us 適用於 2107 版或更新版本的美國政府雲端客戶

  • https://dc.services.visualstudio.com

服務連接點會與裝載於 上 https://*.manage.microsoft.com的通知服務建立長期傳出連線。 驗證用於服務連接點的 Proxy 不會過快讓傳出連線逾時。 建議對此網際網路端點的傳出連線使用 3 分鐘。

如果您的環境具有僅允許特定證書吊銷清單的 Proxy 規則, () 或在線憑證狀態通訊協定 (OCSP) 驗證位置的 CRL 或在線憑證狀態通訊協定,也允許下列 CRL 和 OCSP URL:

  • http://crl3.digicert.com
  • http://crl4.digicert.com
  • http://ocsp.digicert.com
  • http://www.d-trust.net
  • http://root-c3-ca2-2009.ocsp.d-trust.net
  • http://crl.microsoft.com
  • http://oneocsp.microsoft.com
  • http://ocsp.msocsp.com
  • http://www.microsoft.com/pkiops

端點分析

如需詳細資訊,請參閱 端點分析 Proxy 設定

Configuration Manager 受控裝置所需的端點

Configuration Manager 受控裝置會透過 Configuration Manager 角色上的連接器,將資料傳送到 Intune,而且不需直接存取 Microsoft 公用雲端。

端點 函數
https://graph.windows.net 用來在將階層附加至 Configuration Manager 伺服器角色上的端點分析時自動擷取設定。 如需詳細資訊,請參閱為站台系統伺服器設定 Proxy
https://*.manage.microsoft.com 僅用來同步處理裝置集合和裝置與 Configuration Manager 伺服器角色上的端點分析。 如需詳細資訊,請參閱為站台系統伺服器設定 Proxy

Intune 受控裝置所需的端點

若要將裝置註冊到端點分析,其必須將所需的功能資料傳送到 Microsoft 公用雲端。 端點分析會使用 Windows 用戶端和 Windows Server 連線使用者體驗和遙測 元件 (DiagTrack) ,從受 Intune 管理的裝置收集數據。 請確認裝置上的已連線使用者體驗與遙測服務正在執行。

端點 函數
https://*.events.data.microsoft.com 由 Intune 受控裝置用來將所需的功能資料傳送到 Intune 資料收集端點。

Asset Intelligence

如果您使用 Asset Intelligence,請允許服務的下列端點進行同步處理:

  • https://sc.microsoft.com
  • https://ssu2.manage.microsoft.com

部署 Microsoft Edge

執行 Configuration Manager 控制台的裝置需要存取下列端點,才能部署 Microsoft Edge:

位置 使用
https://aka.ms/cmedgeapi Microsoft Edge 版本的相關信息
https://edgeupdates.microsoft.com/api/products?view=enterprise Microsoft Edge 版本的相關信息
http://dl.delivery.mp.microsoft.com Microsoft Edge 版本的內容

外部通知

如需詳細資訊,請參閱 外部通知

服務連接點需要與通知服務通訊,例如 Azure Logic Apps。 邏輯應用程式的存取端點通常具有下列格式: https://*.<RegionName>.logic.azure.com:443。 例如:https://prod1.westus2.logic.azure.com:443

若要取得邏輯應用程式的存取端點以及相關聯的IP位址,請使用下列程式:

  1. 在 Azure 入口網站的 [Logic Apps] 下,選取通知的邏輯應用程式。 如需詳細資訊,請 參閱在 Azure 入口網站中管理邏輯應用程式
  2. 在應用程式的功能表中,於 [ 設定] 區 段中,選取 [ 屬性]
  3. 檢視或複製 Access 端點Access 端點 IP 位址的值

Microsoft公用IP位址

如需Microsoft IP 位址範圍的詳細資訊,請參閱Microsoft公用IP空間。 這些位址會定期更新。 服務沒有數據粒度,可以使用這些範圍內的任何IP位址。

後續步驟