Internet 访问要求
一些配置服务器功能依赖于 Internet 连接实现完整功能。 如果组织使用防火墙或代理设备限制与 Internet 的网络通信,请确保允许这些终结点。
配置管理器在整个产品中使用以下 Microsoft URL 转发服务:
https://aka.mshttps://go.microsoft.com
即使它们未在以下部分明确列出,也应始终允许这些终结点。
服务连接点
有关详细信息,请参阅 关于服务连接点。
这些配置适用于承载服务连接点的服务器以及该服务器与 Internet 之间的任何防火墙。 允许通过传出 HTTPS 端口 TCP 443 与 Internet 位置进行通信。
服务连接点支持使用具有或不进行身份验证的 Web 代理来使用这些位置。 有关详细信息,请参阅 代理服务器支持。
如果Configuration Manager站点无法连接到云服务所需的终结点,则会引发关键状态消息 ID 11488。 当它无法连接到服务时,SMS_SERVICE_CONNECTOR组件状态将更改为“严重”。 在Configuration Manager控制台的“组件状态”节点中查看详细状态。
从版本 2010 开始,服务连接点会验证桌面分析和租户附加的重要 Internet 终结点。 这些检查有助于确保云连接服务可用。 其还可以快速确定网络连接是否存在问题,有助于故障排除。 有关详细信息,请参阅 验证 Internet 访问。
服务连接点所需的特定 URL 因Configuration Manager功能而异:
提示
服务连接点在连接到 go.microsoft.com 或 manage.microsoft.com时使用 Microsoft Intune 服务。 存在一个已知问题:如果 Baltimore CyberTrust 根证书未安装、过期或服务连接点上损坏,Intune 连接器会遇到连接问题。 有关详细信息,请参阅 服务连接点不下载更新。
更新和服务
有关详细信息,请参阅汇报和维护。
提示
为管理见解规则启用这些终结点,将站点连接到 Microsoft 云以获取Configuration Manager更新。
*.akamaiedge.net*.akamaitechnologies.com*.manage.microsoft.comgo.microsoft.comdownload.microsoft.comdownload.windowsupdate.comdownload.visualstudio.microsoft.comsccmconnected-a01.cloudapp.netdefinitionupdates.microsoft.comconfigmgrbits.azureedge.net重要
此 Azure 终结点仅支持具有特定密码套件的 TLS 1.2。 确保环境支持这些 Azure 配置。 有关详细信息,请参阅 Azure Front Door:TLS 配置常见问题解答。
cmbitsstore.blob.core.windows.netceuswatcab01.blob.core.windows.netceuswatcab02.blob.core.windows.neteaus2watcab01.blob.core.windows.neteaus2watcab02.blob.core.windows.netweus2watcab01.blob.core.windows.netweus2watcab02.blob.core.windows.netcmbitsstore.blob.core.windows.netumwatsonc.events.data.microsoft.com*-umwatsonc.events.data.microsoft.com
Windows 服务
有关详细信息,请参阅管理Windows 即服务。
download.microsoft.comhttps://go.microsoft.com/fwlink/?LinkID=619849dl.delivery.mp.microsoft.com
Azure 服务
有关详细信息,请参阅配置 Azure 服务以用于 Configuration Manager。
management.azure.com(Azure 公有云)management.usgovcloudapi.net(Azure 美国政府云)
协同管理
如果将 Windows 设备注册到Microsoft Intune进行共同管理,请确保这些设备可以访问 Intune 所需的终结点。 有关详细信息,请参阅Microsoft Intune的网络终结点。
适用于企业的 Microsoft Store
如果将Configuration Manager与适用于企业的 Microsoft Store集成,请确保服务连接点和目标设备可以访问云服务。 有关详细信息,请参阅适用于企业的 Microsoft Store代理配置。
传递优化
如果使用传递优化,客户端需要与其云服务通信: *.do.dsp.mp.microsoft.com
支持 Microsoft 连接缓存的分发点也需要这些终结点。
有关详细信息,请参阅以下文章:
云服务
有关云管理网关 (CMG) 的详细信息,请参阅 规划 CMG。
本部分介绍以下功能:
云管理网关 (CMG)
Microsoft Entra集成
Microsoft Entra基于 ID 的发现
云分发点 (CDP)
注意
基于云的分发点 (CDP) 已弃用。 从版本 2107 开始,无法创建新的 CDP 实例。 若要向基于 Internet 的设备提供内容,请启用 CMG 以分发内容。
以下部分按角色列出终结点。 某些终结点通过 <prefix>引用服务,这是 CMG 的前缀名称。 例如,如果 CMG 为 GraniteFalls.WestUS.CloudApp.Azure.Com,则实际存储终结点为 GraniteFalls.blob.core.windows.net。
提示
澄清一些术语:
CMG 服务名称:CMG 服务器身份验证证书 (CN) 的公用名称。 客户端和 CMG 连接点站点系统角色与此服务名称通信。 例如,
GraniteFalls.contoso.com或GraniteFalls.WestUS.CloudApp.Azure.Com。CMG 部署名称:服务名称的第一部分加上云服务部署的 Azure 位置。 服务连接点的云服务管理器组件在 Azure 中部署 CMG 时使用此名称。 部署名称始终位于 Azure 域中。 Azure 位置取决于部署方法,例如:
- 虚拟机规模集:
GraniteFalls.WestUS.CloudApp.Azure.Com - 经典部署:
GraniteFalls.CloudApp.Net
- 虚拟机规模集:
本文使用虚拟机规模集作为版本 2107 及更高版本中建议的部署方法的示例。 如果使用经典部署,请在阅读本文和配置 Internet 访问时注意差异。
云服务的服务连接点
若要Configuration Manager在 Azure 中部署 CMG 服务,服务连接点需要访问:
特定的 Azure 终结点,根据配置,每个环境会有所不同。 Configuration Manager将这些终结点存储在站点数据库中。 查询 SQL Server 中的 AzureEnvironments 表以获取 Azure 终结点列表。
Azure 服务:
management.azure.com(Azure 公有云)management.usgovcloudapi.net(Azure 美国政府云)
对于Microsoft Entra用户发现:Microsoft Graph 终结点
https://graph.microsoft.com/
云服务的 CMG 连接点
CMG 连接点需要访问以下终结点:
| 类型 | Azure 公有云 | Azure 美国政府云 |
|---|---|---|
| 服务 名称 | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| 存储终结点 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| 存储终结点 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
| Key Vault | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
CMG 连接点站点系统支持使用 Web 代理。 有关为代理配置此角色的详细信息,请参阅 代理服务器支持。
CMG 连接点只需连接到 CMG 服务终结点。 它不需要访问其他 Azure 终结点。
适用于云服务的 Configuration Manager 客户端
需要与 CMG 通信的任何Configuration Manager客户端都需要访问以下终结点:
| 类型 | Azure 公有云 | Azure 美国政府云 |
|---|---|---|
| 部署 名称 | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| 存储终结点 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| Microsoft Entra终结点 | login.microsoftonline.com |
login.microsoftonline.us |
适用于云服务的Configuration Manager控制台
具有 Configuration Manager 控制台的任何设备都需要访问以下终结点:
| 类型 | Azure 公有云 | Azure 美国政府云 |
|---|---|---|
| Microsoft Entra终结点 | login.microsoftonline.comaadcdn.msauth.netaadcdn.msftauth.net |
login.microsoftonline.us |
软件更新
允许活动软件更新点访问以下终结点,以便 WSUS 和自动汇报可以与 Microsoft 更新云服务通信:
http://windowsupdate.microsoft.comhttp://*.windowsupdate.microsoft.comhttps://*.windowsupdate.microsoft.comhttp://*.update.microsoft.comhttps://*.update.microsoft.comhttp://*.windowsupdate.comhttp://download.windowsupdate.comhttp://download.microsoft.comhttp://*.download.windowsupdate.comhttp://ntservicepack.microsoft.com
有关软件更新的详细信息,请参阅 规划软件更新。
Intranet 防火墙
在以下情况下,可能需要将终结点添加到两个站点系统之间的防火墙:
- 如果子站点具有软件更新点
- 如果站点上存在基于 Internet 的远程活动软件更新点
子站点上的软件更新点
http://<FQDN for software update point on child site>https://<FQDN for software update point on child site>http://<FQDN for software update point on parent site>https://<FQDN for software update point on parent site>
管理 Microsoft 365 应用版
注意
从 2020 年 4 月 21 日起,Office 365 专业增强版重命名为 Microsoft 365 企业应用版。 有关详细信息,请参阅Office 365 专业增强版的名称更改。 更新主机时,你仍可能会在Configuration Manager控制台和支持文档中看到对旧名称的引用。
如果使用 Configuration Manager 部署和更新Microsoft 365 企业应用版,请允许以下终结点:
officecdn.microsoft.com同步Microsoft 365 企业应用版客户端更新的软件更新点config.office.com为Microsoft 365 企业应用版部署创建自定义配置https://clients.config.office.net和https://go.microsoft.com/fwlink/?linkid=2190568,以支持为Microsoft 365 企业应用版部署更新contentstorage.osi.office.net支持评估 Office 加载项就绪情况
顶级站点服务器需要访问以下终结点才能下载 Microsoft Apps 365 就绪情况文件:
- 从 2021 年 3 月 2 日开始:
https://omex.cdn.office.net/mirrored/sccmreadiness/SOT_SCCM_AddinReadiness.CAB- 2021 年 3 月 2 日之前的位置:
https://contentstorage.osi.office.net/sccmreadinessppe/sot_sccm_addinreadiness.cab
- 2021 年 3 月 2 日之前的位置:
注意
此文件的位置在 2021 年 3 月 2 日更改。 有关详细信息,请参阅下载Microsoft 365 应用版就绪情况文件的更改位置。
Configuration Manager控制台
具有 Configuration Manager 控制台的计算机需要访问以下 Internet 终结点才能获得特定功能:
注意
若要在控制台中显示来自 Microsoft 的推送通知,服务连接点需要访问 configmgrbits.azureedge.net。 它还需要访问此终结点进行 更新和维护,因此你可能已经允许它。
控制台内反馈
在运行控制台的计算机上,允许它访问以下 Internet 终结点,以便将诊断数据发送到 Microsoft:
petrol.office.microsoft.comceuswatcab01.blob.core.windows.netceuswatcab02.blob.core.windows.neteaus2watcab01.blob.core.windows.neteaus2watcab02.blob.core.windows.netweus2watcab01.blob.core.windows.netweus2watcab02.blob.core.windows.netumwatsonc.events.data.microsoft.com*-umwatsonc.events.data.microsoft.com
有关此功能的详细信息,请参阅 产品反馈。
社区工作区
文档节点
有关此控制台节点的详细信息,请参阅使用 Configuration Manager 控制台。
https://aka.mshttps://raw.githubusercontent.com
社区中心
有关此功能的详细信息,请参阅 社区中心。
https://github.comhttps://communityhub.microsoft.com
桌面分析
有关详细信息,请参阅 启用数据共享。
服务器连接终结点
服务连接点需要与以下终结点通信:
| 端点 | 函数 |
|---|---|
https://aka.ms |
用于查找服务 |
https://graph.windows.net |
用于在将层次结构附加到 Configuration Manager Server 角色) 上的桌面分析 (时自动检索 CommercialId 等设置。 有关详细信息,请参阅配置站点系统服务器的代理。 |
https://*.manage.microsoft.com |
用于将设备集合成员身份、部署计划和设备就绪状态与仅) Configuration Manager服务器角色上的桌面分析 (同步。 有关详细信息,请参阅配置站点系统服务器的代理。 |
https://dc.services.visualstudio.com |
对于来自本地服务连接器的诊断数据,以获取有关云连接服务的运行状况的见解。 |
用户体验和诊断组件终结点
客户端设备需要与以下终结点通信:
| 端点 | 函数 |
|---|---|
https://v10c.events.data.microsoft.com |
连接的用户体验和诊断组件终结点。 由运行 Windows 10 版本 1809 或更高版本、版本 1803 且安装了 2018-09 累积更新或更高版本的设备使用。 |
https://v10.events.data.microsoft.com |
连接的用户体验和诊断组件终结点。 由运行 Windows 10 版本 1803 且未安装 2018-09 累积更新的设备使用。 |
https://v10.vortex-win.data.microsoft.com |
连接的用户体验和诊断组件终结点。 由运行 Windows 10 版本 1709 或更低版本的设备使用。 |
https://vortex-win.data.microsoft.com |
连接的用户体验和诊断组件终结点。 由运行 Windows 7 和 Windows 8.1 的设备使用 |
客户端连接终结点
客户端设备需要与以下终结点通信:
| 索引 | 端点 | 函数 |
|---|---|---|
| 1 | https://settings-win.data.microsoft.com |
启用兼容性更新以将数据发送到 Microsoft。 |
| 2 | http://adl.windows.com |
允许兼容性更新从 Microsoft 接收最新的兼容性数据。 |
| 3 | https://watson.telemetry.microsoft.com |
Windows 错误报告 (WER) 。 需要监视 Windows 10 版本 1803 或更低版本中的部署运行状况。 |
| 4 | https://umwatsonc.events.data.microsoft.com |
Windows 错误报告 (WER) 。 对于 Windows 10 版本 1809 或更高版本中的设备运行状况报告是必需的。 |
| 5 | https://ceuswatcab01.blob.core.windows.net |
Windows 错误报告 (WER) 。 需要监视 Windows 10 版本 1809 或更高版本中的部署运行状况。 |
| 6 | https://ceuswatcab02.blob.core.windows.net |
Windows 错误报告 (WER) 。 需要监视 Windows 10 版本 1809 或更高版本中的部署运行状况。 |
| 7 | https://eaus2watcab01.blob.core.windows.net |
Windows 错误报告 (WER) 。 需要监视 Windows 10 版本 1809 或更高版本中的部署运行状况。 |
| 8 | https://eaus2watcab02.blob.core.windows.net |
Windows 错误报告 (WER) 。 需要监视 Windows 10 版本 1809 或更高版本中的部署运行状况。 |
| 9 | https://weus2watcab01.blob.core.windows.net |
Windows 错误报告 (WER) 。 需要监视 Windows 10 版本 1809 或更高版本中的部署运行状况。 |
| 10 | https://weus2watcab02.blob.core.windows.net |
Windows 错误报告 (WER) 。 需要监视 Windows 10 版本 1809 或更高版本中的部署运行状况。 |
| 11 | https://kmwatsonc.events.data.microsoft.com |
联机崩溃分析 (OCA) 。 对于 Windows 10 版本 1809 或更高版本中的设备运行状况报告是必需的。 |
| 12 | https://oca.telemetry.microsoft.com |
联机崩溃分析 (OCA) 。 需要监视 Windows 10 版本 1803 或更低版本中的部署运行状况。 |
| 13 | https://login.live.com |
需要为桌面分析提供更可靠的设备标识。 若要禁用最终用户 Microsoft 帐户访问,请使用策略设置,而不是阻止此终结点。 有关详细信息,请参阅 企业中的 Microsoft 帐户。 |
| 14 | https://v20.events.data.microsoft.com |
连接的用户体验和诊断组件终结点。 |
租户附加
有关详细信息,请参阅 启用租户附加。
https://aka.ms/configmgrgatewayhttps://*.manage.microsoft.com面向 Azure 公有云客户https://*.manage.microsoft.us适用于版本 2107 或更高版本的美国政府云客户https://dc.services.visualstudio.com
服务连接点与 托管在 上的 https://*.manage.microsoft.com通知服务建立长期传出连接。 验证用于服务连接点的代理不会太快使传出连接超时。 对于到此 Internet 终结点的传出连接,我们建议时间为 3 分钟。
如果环境的代理规则仅允许特定证书吊销列表 (CRL) 或联机证书状态协议 (OCSP) 验证位置,则还允许以下 CRL 和 OCSP URL:
http://crl3.digicert.comhttp://crl4.digicert.comhttp://ocsp.digicert.comhttp://www.d-trust.nethttp://root-c3-ca2-2009.ocsp.d-trust.nethttp://crl.microsoft.comhttp://oneocsp.microsoft.comhttp://ocsp.msocsp.comhttp://www.microsoft.com/pkiops
终结点分析
有关详细信息,请参阅 终结点分析代理配置。
Configuration Manager 管理的设备所需的终结点
Configuration Manager 管理的设备通过 Configuration Manager 角色上的连接器将数据发送到 Intune,它们不需要直接访问 Microsoft 公有云。
| 端点 | 函数 |
|---|---|
https://graph.windows.net |
用于在将层次结构附加到Configuration Manager服务器角色上的终结点分析时自动检索设置。 有关详细信息,请参阅配置站点系统服务器的代理。 |
https://*.manage.microsoft.com |
仅用于将设备集合和设备与终结点分析同步Configuration Manager服务器角色。 有关详细信息,请参阅配置站点系统服务器的代理。 |
Intune 管理的设备所需的终结点
若要向终结点分析注册设备,它们需要将所需的功能数据发送到 Microsoft 公有云。 Endpoint Analytics 使用 Windows 客户端和 Windows Server 连接的用户体验和遥测 组件 (DiagTrack) 从 Intune 托管的设备收集数据。 确保设备上的“已连接的用户体验和遥测”服务正在运行。
| 端点 | 函数 |
|---|---|
https://*.events.data.microsoft.com |
由 Intune 管理的设备用于将 所需的功能数据 发送到 Intune 数据收集终结点。 |
资产智能
如果使用 资产智能,请允许服务同步以下终结点:
https://sc.microsoft.comhttps://ssu2.manage.microsoft.com
部署 Microsoft Edge
运行 Configuration Manager 控制台的设备需要访问以下终结点才能部署 Microsoft Edge:
| 位置 | 用途 |
|---|---|
https://aka.ms/cmedgeapi |
有关 Microsoft Edge 版本的信息 |
https://edgeupdates.microsoft.com/api/products?view=enterprise |
有关 Microsoft Edge 版本的信息 |
http://dl.delivery.mp.microsoft.com |
Microsoft Edge 版本的内容 |
外部通知
有关详细信息,请参阅 外部通知。
服务连接点需要与通知服务通信,例如 Azure 逻辑应用。 逻辑应用的访问终结点通常采用以下格式: https://*.<RegionName>.logic.azure.com:443。 例如:https://prod1.westus2.logic.azure.com:443
若要获取逻辑应用的访问终结点以及关联的 IP 地址,请使用以下过程:
- 在Azure 门户的“逻辑应用”下,选择通知的逻辑应用。 有关详细信息,请参阅管理Azure 门户中的逻辑应用。
- 在应用的菜单中的 “设置” 部分,选择“ 属性”。
- 查看或复制 访问终结点 和 访问终结点 IP 地址的值。
Microsoft 公共 IP 地址
有关 Microsoft IP 地址范围的详细信息,请参阅 Microsoft 公共 IP 空间。 这些地址会定期更新。 没有按服务排序的粒度,可以使用这些范围中的任何 IP 地址。
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈