網際網路存取需求
某些 Configuration Manager 功能依賴於網際網路連線,才能發揮完整功能。 如果您的組織使用防火牆或 Proxy 裝置來限制與因特網的網路通訊,請務必允許這些端點。
Configuration Manager 會對整個產品使用下列 Microsoft URL 轉送服務:
https://aka.ms
https://go.microsoft.com
即使它們未明確列在下列各節中,您也應該一律允許這些端點。
服務連接點
如需詳細資訊,請 參閱關於服務連接點。
這些設定適用於裝載服務連接點的伺服器,以及該伺服器與因特網之間的任何防火牆。 允許透過連出 HTTPS 埠 TCP 443 到因特網位置的通訊。
服務連接點支援使用具有或不含驗證的 Web Proxy 來使用這些位置。 如需詳細資訊,請參閱 Proxy 伺服器支援。
如果 Configuration Manager 網站無法連線到雲端服務所需的端點,則會引發重大狀態消息標識碼 11488。 當無法連線到服務時,SMS_SERVICE_CONNECTOR元件狀態會變更為重大。 在 Configuration Manager 主控台的 [元件狀態] 節點中檢視詳細狀態。
從 2010 版開始,服務連接點會驗證 租用戶連結的重要因特網端點。 這些檢查有助於確保雲端連線服務可供使用。 它也會透過快速判斷網路連線是否發生問題,協助您疑難排解問題。 如需詳細資訊,請 參閱驗證因特網存取。
服務連接點所需的特定 URL 會因 Configuration Manager 功能而有所不同:
提示
服務連接點會在連線到 go.microsoft.com
或manage.microsoft.com
時使用 Microsoft Intune 服務。 有一個已知問題:如果 Baltimore CyberTrust 跟證書未安裝、過期或服務連接點已損毀,Intune 連接器會遇到連線問題。 如需詳細資訊,請參閱 服務連接點不會下載更新。
更新和服務
如需詳細資訊,請參閱 匯報和服務。
提示
針對管理見解規則啟用這些端點,將站台連線至Microsoft雲端以進行 Configuration Manager 更新。
*.akamaiedge.net
*.akamaitechnologies.com
*.manage.microsoft.com
go.microsoft.com
download.microsoft.com
download.windowsupdate.com
download.visualstudio.microsoft.com
sccmconnected-a01.cloudapp.net
definitionupdates.microsoft.com
configmgrbits.azureedge.net
重要事項
此 Azure 端點僅支援具有特定加密套件的 TLS 1.2。 請確定您的環境支持這些 Azure 設定。 如需詳細資訊,請參閱 Azure Front Door:TLS 設定常見問題。
cmbitsstore.blob.core.windows.net
ceuswatcab01.blob.core.windows.net
ceuswatcab02.blob.core.windows.net
eaus2watcab01.blob.core.windows.net
eaus2watcab02.blob.core.windows.net
weus2watcab01.blob.core.windows.net
weus2watcab02.blob.core.windows.net
cmbitsstore.blob.core.windows.net
umwatsonc.events.data.microsoft.com
*-umwatsonc.events.data.microsoft.com
Windows 服務
如需詳細資訊,請參閱管理 Windows 即服務。
download.microsoft.com
https://go.microsoft.com/fwlink/?LinkID=619849
dl.delivery.mp.microsoft.com
Azure 服務
如需詳細資訊,請參閱設定 Azure 服務以與 Configuration Manager 搭配使用。
-
management.azure.com
(Azure 公用雲端) -
management.usgovcloudapi.net
(Azure US Gov 雲端)
共同管理
如果您註冊 Windows 裝置以 Microsoft Intune 共同管理,請確定這些裝置可以存取 Intune 所需的端點。 如需詳細資訊,請參閱適用於 Microsoft Intune的網路端點。
商務用 Microsoft Store
如果您將 Configuration Manager 與 商務用 Microsoft Store 整合,請確定服務連接點和目標裝置可以存取雲端服務。 如需詳細資訊,請參閱 商務用 Microsoft Store Proxy 設定。
傳遞最佳化
如果您使用傳遞優化,客戶端必須與其雲端服務通訊: *.do.dsp.mp.microsoft.com
支援Microsoft連線快取的發佈點也需要這些端點。
如需詳細資訊,請參閱下列文章:
雲端服務
如需有關 CMG) (雲端管理閘道的詳細資訊,請參閱 規劃 CMG。
本節涵蓋下列功能:
雲端管理閘道 (CMG)
Microsoft Entra整合
Microsoft Entra ID 型探索
雲端發佈點 (CDP)
注意事項
雲端式發佈點 (CDP) 已被取代。 從 2107 版開始,您無法建立新的 CDP 實例。 若要將內容提供給以因特網為基礎的裝置,請讓CMG發佈內容。
下列各節依角色列出端點。 某些端點會依 參考服務 <prefix>
,這是 CMG 的前置詞名稱。 例如,如果您的 CMG 是 GraniteFalls.WestUS.CloudApp.Azure.Com
,則實際的記憶體端點是 GraniteFalls.blob.core.windows.net
。
提示
若要釐清一些術語:
CMG 服務名稱:一般名稱 (CMG 伺服器驗證憑證的 CN) 。 用戶端和 CMG 連接點站台系統角色會與此服務名稱通訊。 例如,
GraniteFalls.contoso.com
或GraniteFalls.WestUS.CloudApp.Azure.Com
。CMG 部署名稱:服務名稱的第一個部分加上雲端服務部署的 Azure 位置。 服務連接點的雲端服務管理員元件會在 Azure 中部署 CMG 時使用此名稱。 部署名稱一律位於 Azure 網域中。 Azure 位置取決於部署方法,例如:
- 虛擬機擴展集:
GraniteFalls.WestUS.CloudApp.Azure.Com
- 傳統部署:
GraniteFalls.CloudApp.Net
- 虛擬機擴展集:
本文使用範例搭配虛擬機擴展集,作為 2107 版和更新版本中的建議部署方法。 如果您使用傳統部署,請在閱讀本文並設定因特網存取時記下差異。
雲端服務的服務連接點
若要 Configuration Manager 在 Azure 中部署 CMG 服務,服務連接點需要存取:
特定 Azure 端點,視設定而定,每個環境都不同。 Configuration Manager 將這些端點儲存在月臺資料庫中。 查詢 SQL Server 中的 AzureEnvironments 數據表,以取得 Azure 端點清單。
Azure 服務:
-
management.azure.com
(Azure 公用雲端) -
management.usgovcloudapi.net
(Azure US Gov 雲端)
-
針對 Microsoft Entra 使用者探索:Microsoft Graph 端點
https://graph.microsoft.com/
雲端服務的 CMG 連接點
CMG 連接點需要存取下列端點:
類型 | Azure 公用雲端 | Azure 美國政府雲端 |
---|---|---|
服務 名稱 | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
記憶體端點 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
記憶體端點 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
金鑰保存庫 | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
CMG 連接點站台系統支援使用 Web Proxy。 如需為 Proxy 設定此角色的詳細資訊,請參閱 Proxy 伺服器支援。
CMG 連接點只需要連線到 CMG 服務端點。 它不需要存取其他 Azure 端點。
Configuration Manager 雲端服務的用戶端
任何需要與 CMG 通訊的 Configuration Manager 用戶端都需要存取下列端點:
類型 | Azure 公用雲端 | Azure 美國政府雲端 |
---|---|---|
部署 名稱 | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
記憶體端點 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
Microsoft Entra 端點 | login.microsoftonline.com |
login.microsoftonline.us |
Configuration Manager 雲端服務的控制台
具有 Configuration Manager 主控台的任何裝置都需要存取下列端點:
類型 | Azure 公用雲端 | Azure 美國政府雲端 |
---|---|---|
Microsoft Entra 端點 | login.microsoftonline.com aadcdn.msauth.net aadcdn.msftauth.net |
login.microsoftonline.us |
軟體更新
允許作用中軟體更新點存取下列端點,讓 WSUS 和自動 匯報 可以與Microsoft更新雲端服務通訊:
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
http://download.microsoft.com
http://*.download.windowsupdate.com
http://ntservicepack.microsoft.com
如需軟體更新的詳細資訊,請參閱 規劃軟體更新。
內部網路防火牆
在下列情況下,您可能需要將端點新增至兩個月台系統之間的防火牆:
- 如果子月臺有軟體更新點
- 如果站臺上有遠程主動式因特網型軟體更新點
子站臺上的軟體更新點
http://<FQDN for software update point on child site>
https://<FQDN for software update point on child site>
http://<FQDN for software update point on parent site>
https://<FQDN for software update point on parent site>
管理 Microsoft 365 Apps
注意事項
從 2020 年 4 月 21 日開始,Office 365 專業增強版 會重新命名為 Microsoft 365 Apps 企業版。 如需詳細資訊,請參閱 Office 365 專業增強版 的名稱變更。 在更新主控台時,您仍可能會在 Configuration Manager 主控台和支援檔中看到舊名稱的參考。
如果您使用 Configuration Manager 來部署和更新 Microsoft 365 Apps 企業版,請允許下列端點:
officecdn.microsoft.com
同步處理 Microsoft 365 Apps 企業版 用戶端更新的軟體更新點config.office.com
建立 Microsoft 365 Apps 企業版 部署的自定義組態https://clients.config.office.net
和https://go.microsoft.com/fwlink/?linkid=2190568
支援部署 Microsoft 365 Apps 企業版的更新contentstorage.osi.office.net
以支援 Office 載入巨集整備程度的評估
您的最上層月臺伺服器需要存取下列端點,才能下載 Microsoft Apps 365 整備檔案:
- 從 2021 年 3 月 2 日開始:
https://omex.cdn.office.net/mirrored/sccmreadiness/SOT_SCCM_AddinReadiness.CAB
- 2021 年 3 月 2 日之前的位置:
https://contentstorage.osi.office.net/sccmreadinessppe/sot_sccm_addinreadiness.cab
- 2021 年 3 月 2 日之前的位置:
注意事項
此檔案的位置會在 2021 年 3 月 2 日變更。 如需詳細資訊,請參閱下載整備檔案 Microsoft 365 Apps 位置變更。
Configuration Manager 主控台
具有 Configuration Manager 主控台的電腦需要存取下列因特網端點,才能取得特定功能:
注意事項
若要讓來自 Microsoft 的推播通知顯示在控制台中,服務連接點必須存 configmgrbits.azureedge.net
取 。 它也需要存取此端點以進行 更新和服務,因此您可能已經允許它。
主機內意見反應
在您執行主控台的電腦上,允許其存取下列因特網端點,以將診斷數據傳送至 Microsoft:
petrol.office.microsoft.com
ceuswatcab01.blob.core.windows.net
ceuswatcab02.blob.core.windows.net
eaus2watcab01.blob.core.windows.net
eaus2watcab02.blob.core.windows.net
weus2watcab01.blob.core.windows.net
weus2watcab02.blob.core.windows.net
umwatsonc.events.data.microsoft.com
*-umwatsonc.events.data.microsoft.com
如需這項功能的詳細資訊,請參閱 產品意見反應。
社群工作區
檔節點
如需此控制台節點的詳細資訊,請參閱使用 Configuration Manager 主控台。
https://aka.ms
https://raw.githubusercontent.com
社群中樞
如需這項功能的詳細資訊,請參閱 社群中樞。
https://github.com
https://communityhub.microsoft.com
租用戶附加
如需詳細資訊,請參閱啟用租用戶附加。
https://aka.ms/configmgrgateway
https://*.manage.microsoft.com
適用於 Azure 公用雲端客戶https://*.manage.microsoft.us
適用於 2107 版或更新版本的美國政府雲端客戶https://dc.services.visualstudio.com
服務連接點會與裝載於 上 https://*.manage.microsoft.com
的通知服務建立長期傳出連線。 驗證用於服務連接點的 Proxy 不會過快讓傳出連線逾時。 建議對此網際網路端點的傳出連線使用 3 分鐘。
如果您的環境具有僅允許特定證書吊銷清單的 Proxy 規則, () 或在線憑證狀態通訊協定 (OCSP) 驗證位置的 CRL 或在線憑證狀態通訊協定,也允許下列 CRL 和 OCSP URL:
http://crl3.digicert.com
http://crl4.digicert.com
http://ocsp.digicert.com
http://www.d-trust.net
http://root-c3-ca2-2009.ocsp.d-trust.net
http://crl.microsoft.com
http://oneocsp.microsoft.com
http://ocsp.msocsp.com
http://www.microsoft.com/pkiops
端點分析
如需詳細資訊,請參閱 端點分析 Proxy 設定。
Configuration Manager 受控裝置所需的端點
Configuration Manager 受控裝置會透過 Configuration Manager 角色上的連接器,將資料傳送到 Intune,而且不需直接存取 Microsoft 公用雲端。
端點 | 函數 |
---|---|
https://graph.windows.net |
用來在將階層附加至 Configuration Manager 伺服器角色上的端點分析時自動擷取設定。 如需詳細資訊,請參閱為站台系統伺服器設定 Proxy。 |
https://*.manage.microsoft.com |
用來將裝置集合和裝置與端點分析同步處理,僅 Configuration Manager 伺服器角色。 如需詳細資訊,請參閱為站台系統伺服器設定 Proxy。 |
Intune 受控裝置所需的端點
若要將裝置註冊到端點分析,其必須將所需的功能資料傳送到 Microsoft 公用雲端。 端點分析會使用 Windows 用戶端和 Windows Server 連線使用者體驗和遙測元件 (DiagTrack) ,從 Intune 管理的裝置收集數據。 請確認裝置上的已連線使用者體驗與遙測服務正在執行。
端點 | 函數 |
---|---|
https://*.events.data.microsoft.com |
由 Intune 受控裝置用來將所需的功能資料傳送到 Intune 資料收集端點。 |
Asset Intelligence
如果您使用 Asset Intelligence,請允許服務的下列端點進行同步處理:
https://sc.microsoft.com
https://ssu2.manage.microsoft.com
部署 Microsoft Edge
執行 Configuration Manager 控制台的裝置需要存取下列端點,才能部署 Microsoft Edge:
位置 | 使用 |
---|---|
https://aka.ms/cmedgeapi |
Microsoft Edge 版本的相關信息 |
https://edgeupdates.microsoft.com/api/products?view=enterprise |
Microsoft Edge 版本的相關信息 |
http://dl.delivery.mp.microsoft.com |
Microsoft Edge 版本的內容 |
外部通知
如需詳細資訊,請參閱 外部通知。
服務連接點需要與通知服務通訊,例如 Azure Logic Apps。 邏輯應用程式的存取端點通常具有下列格式: https://*.<RegionName>.logic.azure.com:443
。 例如:https://prod1.westus2.logic.azure.com:443
若要取得邏輯應用程式的存取端點以及相關聯的IP位址,請使用下列程式:
- 在 Azure 入口網站 的 [Logic Apps] 下,選取通知的邏輯應用程式。 如需詳細資訊,請參閱在 Azure 入口網站 中管理邏輯應用程式。
- 在應用程式的功能表中,於 [ 設定] 區 段中,選取 [ 屬性]。
- 檢視或複製 Access 端點 和 Access 端點 IP 位址的值。
Microsoft公用IP位址
如需Microsoft IP 位址範圍的詳細資訊,請參閱Microsoft公用IP空間。 這些位址會定期更新。 服務沒有數據粒度,可以使用這些範圍內的任何IP位址。