通过

Internet 访问要求

  • 项目

一些配置服务器功能依赖于 Internet 连接实现完整功能。 如果组织使用防火墙或代理设备限制与 Internet 的网络通信,请确保允许这些终结点。

配置管理器在整个产品中使用以下 Microsoft URL 转发服务:

  • https://aka.ms
  • https://go.microsoft.com

即使它们未在以下部分明确列出,也应始终允许这些终结点。

服务连接点

有关详细信息,请参阅 关于服务连接点

这些配置适用于承载服务连接点的服务器以及该服务器与 Internet 之间的任何防火墙。 允许通过传出 HTTPS 端口 TCP 443 与 Internet 位置进行通信。

服务连接点支持使用具有或不进行身份验证的 Web 代理来使用这些位置。 有关详细信息,请参阅 代理服务器支持

如果Configuration Manager站点无法连接到云服务所需的终结点,则会引发关键状态消息 ID 11488。 当它无法连接到服务时,SMS_SERVICE_CONNECTOR组件状态将更改为“严重”。 在Configuration Manager控制台的“组件状态”节点中查看详细状态。

从版本 2010 开始,服务连接点会验证 租户附加的重要 Internet 终结点。 这些检查有助于确保云连接服务可用。 其还可以快速确定网络连接是否存在问题,有助于故障排除。 有关详细信息,请参阅 验证 Internet 访问

服务连接点所需的特定 URL 因Configuration Manager功能而异:

提示

服务连接点在连接到 go.microsoft.commanage.microsoft.com时使用 Microsoft Intune 服务。 存在一个已知问题,即如果未安装 Baltimore CyberTrust 根证书、服务连接点上已过期或损坏,Intune连接器会遇到连接问题。 有关详细信息,请参阅 服务连接点不下载更新

更新和服务

有关详细信息,请参阅汇报和维护

提示

管理见解规则启用这些终结点,将站点连接到 Microsoft 云以获取Configuration Manager更新

  • *.akamaiedge.net

  • *.akamaitechnologies.com

  • *.manage.microsoft.com

  • go.microsoft.com

  • download.microsoft.com

  • download.windowsupdate.com

  • download.visualstudio.microsoft.com

  • sccmconnected-a01.cloudapp.net

  • definitionupdates.microsoft.com

  • configmgrbits.azureedge.net

    重要

    此 Azure 终结点仅支持具有特定密码套件的 TLS 1.2。 确保环境支持这些 Azure 配置。 有关详细信息,请参阅 Azure Front Door:TLS 配置常见问题解答

  • cmbitsstore.blob.core.windows.net

  • ceuswatcab01.blob.core.windows.net

  • ceuswatcab02.blob.core.windows.net

  • eaus2watcab01.blob.core.windows.net

  • eaus2watcab02.blob.core.windows.net

  • weus2watcab01.blob.core.windows.net

  • weus2watcab02.blob.core.windows.net

  • cmbitsstore.blob.core.windows.net

  • umwatsonc.events.data.microsoft.com

  • *-umwatsonc.events.data.microsoft.com

Windows 服务

有关详细信息,请参阅管理Windows 即服务

  • download.microsoft.com

  • https://go.microsoft.com/fwlink/?LinkID=619849

  • dl.delivery.mp.microsoft.com

Azure 服务

有关详细信息,请参阅配置 Azure 服务以用于 Configuration Manager

  • management.azure.com (Azure 公有云)
  • management.usgovcloudapi.net (Azure 美国政府云)

协同管理

如果将 Windows 设备注册到Microsoft Intune进行共同管理,请确保这些设备可以访问Intune所需的终结点。 有关详细信息,请参阅Microsoft Intune的网络终结点

适用于企业的 Microsoft Store

如果将Configuration Manager与适用于企业的 Microsoft Store集成,请确保服务连接点和目标设备可以访问云服务。 有关详细信息,请参阅适用于企业的 Microsoft Store代理配置

传递优化

如果使用传递优化,客户端需要与其云服务通信: *.do.dsp.mp.microsoft.com

支持Microsoft连接缓存的分发点也需要这些终结点。

有关详细信息,请参阅以下文章:

云服务

有关云管理网关 (CMG) 的详细信息,请参阅 规划 CMG

本部分介绍以下功能:

  • 云管理网关 (CMG)

  • Microsoft Entra集成

  • 基于Microsoft Entra ID的发现

  • 云分发点 (CDP)

    注意

    基于云的分发点 (CDP) 已弃用。 从版本 2107 开始,无法创建新的 CDP 实例。 若要向基于 Internet 的设备提供内容,请启用 CMG 以分发内容。

以下部分按角色列出终结点。 某些终结点通过 <prefix>引用服务,这是 CMG 的前缀名称。 例如,如果 CMG 为 GraniteFalls.WestUS.CloudApp.Azure.Com,则实际存储终结点为 GraniteFalls.blob.core.windows.net

提示

澄清一些术语:

  • CMG 服务名称:CMG 服务器身份验证证书 (CN) 的公用名称。 客户端和 CMG 连接点站点系统角色与此服务名称通信。 例如,GraniteFalls.contoso.comGraniteFalls.WestUS.CloudApp.Azure.Com

  • CMG 部署名称:服务名称的第一部分加上云服务部署的 Azure 位置。 服务连接点的云服务管理器组件在 Azure 中部署 CMG 时使用此名称。 部署名称始终位于 Azure 域中。 Azure 位置取决于部署方法,例如:

    • 虚拟机规模集: GraniteFalls.WestUS.CloudApp.Azure.Com
    • 经典部署: GraniteFalls.CloudApp.Net

本文使用虚拟机规模集作为版本 2107 及更高版本中建议的部署方法的示例。 如果使用经典部署,请在阅读本文和配置 Internet 访问时注意差异。

云服务的服务连接点

若要Configuration Manager在 Azure 中部署 CMG 服务,服务连接点需要访问:

  • 特定的 Azure 终结点,根据配置,每个环境会有所不同。 Configuration Manager将这些终结点存储在站点数据库中。 查询 SQL Server 中的 AzureEnvironments 表以获取 Azure 终结点列表。

  • Azure 服务:

    • management.azure.com (Azure 公有云)
    • management.usgovcloudapi.net (Azure 美国政府云)

  • 对于Microsoft Entra用户发现:Microsoft Graph 终结点https://graph.microsoft.com/

云服务的 CMG 连接点

CMG 连接点需要访问以下终结点:

类型 Azure 公有云 Azure 美国政府云
服务 名称 <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
存储终结点 1 <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
存储终结点 2 <prefix>.table.core.windows.net <prefix>.table.core.usgovcloudapi.net
Key Vault <prefix>.vault.azure.net <prefix>.vault.usgovcloudapi.net

CMG 连接点站点系统支持使用 Web 代理。 有关为代理配置此角色的详细信息,请参阅 代理服务器支持

CMG 连接点只需连接到 CMG 服务终结点。 它不需要访问其他 Azure 终结点。

适用于云服务的 Configuration Manager 客户端

需要与 CMG 通信的任何Configuration Manager客户端都需要访问以下终结点:

类型 Azure 公有云 Azure 美国政府云
部署 名称 <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
存储终结点 <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
Microsoft Entra终结点 login.microsoftonline.com login.microsoftonline.us

适用于云服务的Configuration Manager控制台

具有 Configuration Manager 控制台的任何设备都需要访问以下终结点:

类型 Azure 公有云 Azure 美国政府云
Microsoft Entra终结点 login.microsoftonline.com
aadcdn.msauth.net
aadcdn.msftauth.net		 login.microsoftonline.us

软件更新

允许活动软件更新点访问以下终结点,以便 WSUS 和自动汇报可以与Microsoft更新云服务通信:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • http://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://ntservicepack.microsoft.com

有关软件更新的详细信息,请参阅 规划软件更新

Intranet 防火墙

在以下情况下,可能需要将终结点添加到两个站点系统之间的防火墙:

  • 如果子站点具有软件更新点
  • 如果站点上存在基于 Internet 的远程活动软件更新点

子站点上的软件更新点

  • http://<FQDN for software update point on child site>

  • https://<FQDN for software update point on child site>

  • http://<FQDN for software update point on parent site>

  • https://<FQDN for software update point on parent site>

管理 Microsoft 365 应用版

注意

从 2020 年 4 月 21 日起,Office 365 专业增强版重命名为 Microsoft 365 企业应用版。 有关详细信息,请参阅Office 365 专业增强版的名称更改。 更新主机时,你仍可能会在Configuration Manager控制台和支持文档中看到对旧名称的引用。

如果使用 Configuration Manager 部署和更新Microsoft 365 企业应用版,请允许以下终结点:

  • officecdn.microsoft.com同步Microsoft 365 企业应用版客户端更新的软件更新点

  • config.office.com为Microsoft 365 企业应用版部署创建自定义配置

  • https://clients.config.office.nethttps://go.microsoft.com/fwlink/?linkid=2190568 ,以支持为Microsoft 365 企业应用版部署更新

  • contentstorage.osi.office.net 支持评估 Office 加载项就绪情况

顶级站点服务器需要访问以下终结点才能下载 Microsoft Apps 365 就绪情况文件:

  • 从 2021 年 3 月 2 日开始: https://omex.cdn.office.net/mirrored/sccmreadiness/SOT_SCCM_AddinReadiness.CAB
    • 2021 年 3 月 2 日之前的位置: https://contentstorage.osi.office.net/sccmreadinessppe/sot_sccm_addinreadiness.cab

注意

此文件的位置在 2021 年 3 月 2 日更改。 有关详细信息,请参阅下载Microsoft 365 应用版就绪情况文件的更改位置

Configuration Manager控制台

具有 Configuration Manager 控制台的计算机需要访问以下 Internet 终结点才能获得特定功能:

注意

对于要显示在控制台中的Microsoft的推送通知,服务连接点需要访问 configmgrbits.azureedge.net。 它还需要访问此终结点进行 更新和维护,因此你可能已经允许它。

控制台内反馈

在运行控制台的计算机上,允许其访问以下 Internet 终结点,以便将诊断数据发送到Microsoft:

  • petrol.office.microsoft.com

  • ceuswatcab01.blob.core.windows.net

  • ceuswatcab02.blob.core.windows.net

  • eaus2watcab01.blob.core.windows.net

  • eaus2watcab02.blob.core.windows.net

  • weus2watcab01.blob.core.windows.net

  • weus2watcab02.blob.core.windows.net

  • umwatsonc.events.data.microsoft.com

  • *-umwatsonc.events.data.microsoft.com

有关此功能的详细信息,请参阅 产品反馈

社区工作区

文档节点

有关此控制台节点的详细信息,请参阅使用 Configuration Manager 控制台

  • https://aka.ms

  • https://raw.githubusercontent.com

社区中心

有关此功能的详细信息,请参阅 社区中心

  • https://github.com

  • https://communityhub.microsoft.com

租户附加

有关详细信息,请参阅 启用租户附加

  • https://aka.ms/configmgrgateway

  • https://*.manage.microsoft.com 面向 Azure 公有云客户

  • https://*.manage.microsoft.us 适用于版本 2107 或更高版本的美国政府云客户

  • https://dc.services.visualstudio.com

服务连接点与 托管在 上的 https://*.manage.microsoft.com通知服务建立长期传出连接。 验证用于服务连接点的代理不会太快使传出连接超时。 对于到此 Internet 终结点的传出连接,我们建议时间为 3 分钟。

如果环境的代理规则仅允许特定证书吊销列表 (CRL) 或联机证书状态协议 (OCSP) 验证位置,则还允许以下 CRL 和 OCSP URL:

  • http://crl3.digicert.com
  • http://crl4.digicert.com
  • http://ocsp.digicert.com
  • http://www.d-trust.net
  • http://root-c3-ca2-2009.ocsp.d-trust.net
  • http://crl.microsoft.com
  • http://oneocsp.microsoft.com
  • http://ocsp.msocsp.com
  • http://www.microsoft.com/pkiops

终结点分析

有关详细信息,请参阅 终结点分析代理配置

Configuration Manager 管理的设备所需的终结点

Configuration Manager 管理的设备通过 Configuration Manager 角色上的连接器将数据发送到 Intune,它们不需要直接访问 Microsoft 公有云。

端点 函数
https://graph.windows.net 用于在将层次结构附加到Configuration Manager服务器角色上的终结点分析时自动检索设置。 有关详细信息,请参阅配置站点系统服务器的代理
https://*.manage.microsoft.com 仅用于将设备集合和设备与终结点分析同步Configuration Manager服务器角色。 有关详细信息,请参阅配置站点系统服务器的代理

Intune 管理的设备所需的终结点

若要向终结点分析注册设备,它们需要将所需的功能数据发送到 Microsoft 公有云。 Endpoint Analytics 使用 Windows 客户端和 Windows Server 连接用户体验和遥测组件 (DiagTrack) 从Intune管理的设备收集数据。 确保设备上的“已连接的用户体验和遥测”服务正在运行。

端点 函数
https://*.events.data.microsoft.com 由 Intune 管理的设备用于将 所需的功能数据 发送到 Intune 数据收集终结点。

资产智能

如果使用 资产智能,请允许服务同步以下终结点:

  • https://sc.microsoft.com
  • https://ssu2.manage.microsoft.com

部署 Microsoft Edge

运行 Configuration Manager 控制台的设备需要访问以下终结点才能部署 Microsoft Edge:

位置 用途
https://aka.ms/cmedgeapi 有关 Microsoft Edge 版本的信息
https://edgeupdates.microsoft.com/api/products?view=enterprise 有关 Microsoft Edge 版本的信息
http://dl.delivery.mp.microsoft.com Microsoft Edge 版本的内容

外部通知

有关详细信息,请参阅 外部通知

服务连接点需要与通知服务通信,例如 Azure 逻辑应用。 逻辑应用的访问终结点通常采用以下格式: https://*.<RegionName>.logic.azure.com:443。 例如:https://prod1.westus2.logic.azure.com:443

若要获取逻辑应用的访问终结点以及关联的 IP 地址,请使用以下过程:

  1. 在Azure 门户的“逻辑应用”下,选择通知的逻辑应用。 有关详细信息,请参阅管理Azure 门户中的逻辑应用
  2. 在应用的菜单中的 “设置” 部分,选择“ 属性”。
  3. 查看或复制 访问终结点访问终结点 IP 地址的值。

Microsoft公共 IP 地址

有关Microsoft IP 地址范围的详细信息,请参阅 Microsoft公共 IP 空间。 这些地址会定期更新。 没有按服务排序的粒度,可以使用这些范围中的任何 IP 地址。

后续步骤