Microsoft Intune 网络终结点
本文列出了Microsoft Intune部署中的代理设置所需的 IP 地址和端口设置。
作为仅限云的服务,Intune不需要本地基础结构,例如服务器或网关。
受管理设备的访问权限
若要管理防火墙和代理服务器后面的设备,必须启用 Intune 的通信。
注意
本部分中的信息也适用于 Microsoft Intune 证书连接器。 连接器的网络要求与托管设备相同。
本文中的终结点应可通过 TCP 端口 80 和 443 通过你用于允许访问的任何方法进行访问。 Windows 信息保护使用端口 444。
对于某些任务,Intune需要未经身份验证的代理服务器访问 manage.microsoft.com、*.azureedge.net 和 graph.microsoft.com。
注意
“manage.microsoft.com”、“a.manage.microsoft.com”或“dm.microsoft.com”终结点不支持检查 SSL 流量。
注意
脚本 & Win32 应用终结点需要允许 HTTP 部分响应。
可以修改单个客户端计算机上的代理服务器设置。 还可以使用“组策略”设置来更改位于指定代理服务器后面的所有客户端计算机的设置。
托管的设备需要允许“所有用户”通过防火墙访问服务的配置。
为了更轻松地通过防火墙配置服务,我们已加入 Office 365 Endpoint 服务。 此时,可通过 PowerShell 脚本访问Intune服务。 Intune还有其他依赖服务,这些服务已作为 Microsoft 365 服务的一部分涵盖,并标记为“必需”。 脚本中不包括 Microsoft 365 已涵盖的服务,以避免重复。 使用以下 PowerShell 脚本,可以检索Intune服务的 IP 地址列表。 这会提供与以下 IP 地址表中指示的子网相同的列表。
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips
使用以下 PowerShell 脚本,可以检索Intune和相关服务使用的 FQDN 列表。
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls
该脚本提供了一种便捷的方法,用于在一个位置列出和查看Intune和 Autopilot 所需的所有服务。 可以从终结点服务返回其他属性,例如类别属性,该属性指示 FQDN 或 IP 应配置为 “允许”、“ 优化” 还是 “默认”。
还需要 Microsoft 365 要求涵盖的 FQDN。 下表是返回的 URL 及其绑定到的服务的列表,以供参考。
| FQDN | 关联服务 |
|---|---|
| *.manage.microsoft.com | Intune服务 |
| manage.microsoft.com | Intune服务 |
| *.prod.do.dsp.mp.microsoft.com | Windows 更新和传递优化 |
| *.windowsupdate.com | Windows 更新和传递优化 |
| *.dl.delivery.mp.microsoft.com | Windows 更新和传递优化 |
| *.update.microsoft.com | Windows 更新和传递优化 |
| *.delivery.mp.microsoft.com | Windows 更新和传递优化 |
| tsfe.trafficshaping.dsp.mp.microsoft.com | Windows 更新和传递优化 |
| emdl.ws.microsoft.com | 传递优化 |
| *.do.dsp.mp.microsoft.com | 传递优化 |
| *.emdl.ws.microsoft.com | 传递优化 |
| *.notify.windows.com | 推送通知 |
| *.wns.windows.com | 推送通知 |
| devicelistenerprod.microsoft.com | 适用于企业的 Windows 更新部署服务 |
| devicelistenerprod.eudb.microsoft.com | 适用于企业的 Windows 更新部署服务 |
| login.windows.net | 适用于企业的 Windows 更新部署服务 |
| payloadprod*.blob.core.windows.net | 适用于企业的 Windows 更新部署服务 |
| time.windows.com | NTP 同步 |
| www.msftconnecttest.com | NTP 同步 |
| www.msftncsi.com | NTP 同步 |
| *.s-microsoft.com | Windows 通知 & 应用商店 |
| clientconfig.passport.net | Windows 通知 & 应用商店 |
| windowsphone.com | Windows 通知 & 应用商店 |
| approdimedatahotfix.azureedge.net | 脚本 & Win32 应用 |
| approdimedatapri.azureedge.net | 脚本 & Win32 应用 |
| approdimedatasec.azureedge.net | 脚本 & Win32 应用 |
| euprodimedatahotfix.azureedge.net | 脚本 & Win32 应用 |
| euprodimedatapri.azureedge.net | 脚本 & Win32 应用 |
| euprodimedatasec.azureedge.net | 脚本 & Win32 应用 |
| naprodimedatahotfix.azureedge.net | 脚本 & Win32 应用 |
| naprodimedatapri.azureedge.net | 脚本 & Win32 应用 |
| swda01-mscdn.azureedge.net | 脚本 & Win32 应用 |
| swda02-mscdn.azureedge.net | 脚本 & Win32 应用 |
| swdb01-mscdn.azureedge.net | 脚本 & Win32 应用 |
| swdb02-mscdn.azureedge.net | 脚本 & Win32 应用 |
| swdc01-mscdn.azureedge.net | 脚本 & Win32 应用 |
| swdc02-mscdn.azureedge.net | 脚本 & Win32 应用 |
| swdd01-mscdn.azureedge.net | 脚本 & Win32 应用 |
| swdd02-mscdn.azureedge.net | 脚本 & Win32 应用 |
| swdin01-mscdn.azureedge.net | 脚本 & Win32 应用 |
| swdin02-mscdn.azureedge.net | 脚本 & Win32 应用 |
| ekcert.spserv.microsoft.com | Autopilot 自部署 |
| ekop.intel.com | Autopilot 自部署 |
| ftpm.amd.com | Autopilot 自部署 |
| *.itunes.apple.com | Apple 设备管理 |
| *.mzstatic.com | Apple 设备管理 |
| *.phobos.apple.com | Apple 设备管理 |
| 5-courier.push.apple.com | Apple 设备管理 |
| ax.itunes.apple.com.edgesuite.net | Apple 设备管理 |
| itunes.apple.com | Apple 设备管理 |
| ocsp.apple.com | Apple 设备管理 |
| phobos.apple.com | Apple 设备管理 |
| phobos.itunes-apple.com.akadns.net | Apple 设备管理 |
| intunecdnpeasd.azureedge.net | |
| *.channelservices.microsoft.com | 远程帮助 |
| *.go-mpulse.net | 远程帮助 |
| *.infra.lync.com | 远程帮助 |
| *.resources.lync.com | 远程帮助 |
| *.support.services.microsoft.com | 远程帮助 |
| *.trouter.skype.com | 远程帮助 |
| *.vortex.data.microsoft.com | 远程帮助 |
| edge.skype.com | 远程帮助 |
| remoteassistanceprodacs.communication.azure.com | 远程帮助 |
| lgmsapeweu.blob.core.windows.net | 收集诊断 |
| fd.api.orgmsg.microsoft.com | 组织邮件 |
| ris.prod.api.personalization.ideas.microsoft.com | 组织邮件 |
| contentauthassetscdn-prod.azureedge.net | 组织邮件 |
| contentauthassetscdn-prodeur.azureedge.net | 组织邮件 |
| contentauthrafcontentcdn-prod.azureedge.net | 组织邮件 |
| contentauthrafcontentcdn-prodeur.azureedge.net | 组织邮件 |
下表列出了 Intune 客户端访问的端口和服务:
| 域 | IP 地址 |
|---|---|
| login.microsoftonline.com *.officeconfig.msocdn.com config.office.com graph.windows.net enterpriseregistration.windows.net |
详细信息 Office 365 URL 和 IP 地址范围 |
| *.manage.microsoft.com manage.microsoft.com |
104.46.162.96/27 13.67.13.176/28 13.67.15.128/27 13.69.231.128/28 13.69.67.224/28 13.70.78.128/28 13.70.79.128/27 13.71.199.64/28 13.73.244.48/28 13.74.111.192/27 13.77.53.176/28 13.86.221.176/28 13.89.174.240/28 13.89.175.192/28 20.189.172.160/27 20.189.229.0/25 20.191.167.0/25 20.37.153.0/24 20.37.192.128/25 20.38.81.0/24 20.41.1.0/24 20.42.1.0/24 20.42.130.0/24 20.42.224.128/25 20.43.129.0/24 20.44.19.224/27 20.49.93.160/27 20.192.174.216/29 20.192.159.40/29 20.204.193.12/30 20.204.193.10/31 40.119.8.128/25 40.67.121.224/27 40.70.151.32/28 40.71.14.96/28 40.74.25.0/24 40.78.245.240/28 40.78.247.128/27 40.79.197.64/27 40.79.197.96/28 40.80.180.208/28 40.80.180.224/27 40.80.184.128/25 40.82.248.224/28 40.82.249.128/25 52.150.137.0/25 52.162.111.96/28 52.168.116.128/27 52.182.141.192/27 52.236.189.96/27 52.240.244.160/27 |
PowerShell 脚本和 Win32 应用的网络要求
如果使用 Intune 部署 PowerShell 脚本或 Win32 应用,还需要授予对租户当前所在的终结点的访问权限。
若要 (或 Azure 缩放单元 (ASU) ) 查找租户位置,请登录到 Microsoft Intune 管理中心,选择“租户管理>租户详细信息”。 该位置位于“租户位置”下,例如“北美 0501”或“欧洲 0202”。 在下表中查找匹配的数字。 该行会告诉你要向其授予访问权限的存储名称和 CDN 终结点。 行由地理区域进行区分,如名称中的前两个字母(na = 北美,eu = 欧洲,ap = 亚太)所示。 租户位置是这三个区域之一,尽管组织的实际地理位置可能位于其他位置。
| Azure 缩放单元 (ASU) | 存储名称 | CDN |
|---|---|---|
| AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0601 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901 |
naprodimedatapri naprodimedatasec naprodimedatahotfix |
naprodimedatapri.azureedge.net naprodimedatasec.azureedge.net naprodimedatahotfix.azureedge.net |
| AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701 |
euprodimedatapri euprodimedatasec euprodimedatahotfix |
euprodimedatapri.azureedge.net euprodimedatasec.azureedge.net euprodimedatahotfix.azureedge.net |
| AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUC0601 AMSUD0101 |
approdimedatapri approdimedatasec approdimedatahotifx |
approdimedatapri.azureedge.net approdimedatasec.azureedge.net approdimedatahotfix.azureedge.net |
Microsoft Store
使用 Microsoft Store 的托管 Windows 设备(用于获取、安装或更新应用)将需要访问这些终结点。
Microsoft Store API (AppInstallManager) :
- displaycatalog.md.mp.microsoft.com
- purchase.md.mp.microsoft.com
- licensing.mp.microsoft.com
- storeedgefd.dsx.mp.microsoft.com
Windows 更新代理:
有关详细信息,请参阅以下资源:
Win32 内容下载:
Win32 内容下载位置和终结点对每个应用程序是唯一的,由外部发布者提供。 可以在测试系统上使用以下命令找到每个 Win32 应用商店应用的位置 (可以在将应用添加到Microsoft Intune) 后引用应用的包标识符属性来获取应用商店应用的 [PackageId] :
winget show [PackageId]
安装程序 URL 属性将显示外部下载位置或基于区域的 (Microsoft 托管的) 回退缓存,具体取决于缓存是否正在使用。 请注意,内容下载位置可以在缓存和外部位置之间更改。
Microsoft 托管的 Win32 应用回退缓存:
- 因区域而异,例如: sparkcdneus2.azureedge.net、sparkcdnwus2.azureedge.net
传递优化 (可选,需要对等互连) : 有关详细信息,请参阅以下资源:
Windows 推送通知服务 (WNS)
对于使用移动设备管理 (MDM) 管理的由 Intune 管理的 Windows 设备,设备操作和其他即时活动需要使用 Windows 推送通知服务 (WNS)。 有关详细信息,请参阅允许 Windows 通知流量通过企业防火墙。
将设备运行状况证明符合性策略迁移到 Microsoft Azure 证明
如果客户启用任何 Windows 10/11 合规性策略 - 设备运行状况设置,则Windows 11设备将根据其Intune租户位置开始使用 Microsoft Azure 证明 (MAA) 服务。 但是,Windows 10和 GCCH/DOD 环境将继续使用现有的设备运行状况证明 DHA 终结点“has.spserv.microsoft.com”来报告设备运行状况证明,并且不受此更改的影响。
如果客户具有阻止访问适用于 Windows 11 的新 Intune MAA 服务的防火墙策略,则使用 BitLocker、安全启动、代码完整性) (任何设备运行状况设置Windows 11具有分配符合性策略的设备,因为它们无法访问其所在位置的 MAA 证明终结点,因此不符合要求。
确保没有防火墙规则阻止出站 HTTPS/443 流量,具体取决于租户 Intune的位置,发送到此部分中列出的终结点。 若要查找租户位置,请导航到Intune管理中心>租户管理>状态>租户详细信息,请参阅租户位置。
基于北美的位置:
'https://intunemaape1.eus.attest.azure.net'
'https://intunemaape2.eus2.attest.azure.net'
'https://intunemaape3.cus.attest.azure.net'
'https://intunemaape4.wus.attest.azure.net'
'https://intunemaape5.scus.attest.azure.net'
'https://intunemaape6.ncus.attest.azure.net'
基于欧洲的位置:
'https://intunemaape7.neu.attest.azure.net'
'https://intunemaape8.neu.attest.azure.net'
'https://intunemaape9.neu.attest.azure.net'
'https://intunemaape10.weu.attest.azure.net'
'https://intunemaape11.weu.attest.azure.net'
'https://intunemaape12.weu.attest.azure.net'
亚太地区位置:
'https://intunemaape13.jpe.attest.azure.net'
'https://intunemaape17.jpe.attest.azure.net'
'https://intunemaape18.jpe.attest.azure.net'
'https://intunemaape19.jpe.attest.azure.net'
传递优化端口要求
端口要求
对于对等流量,传递优化将 7680 用于 TCP/IP,或将 3544 用于 NAT 遍历(也可以是 Teredo)。 对于客户端-服务通信,它通过端口 80/443 使用 HTTP 或 HTTPS。
代理要求
若要使用传递优化,必须允许“字节范围”请求。 有关详细信息,请参阅 Windows 更新的代理要求。
防火墙要求
允许下列主机名通过防火墙,以支持传递优化。 对于客户端与传递优化云服务之间的通信:
- *.do.dsp.mp.microsoft.com
对于传递优化元数据:
- *.dl.delivery.mp.microsoft.com
- *.emdl.ws.microsoft.com
Apple 设备网络信息
| 用途 | 主机名(IP 地址/子网) | 协议 | 端口 |
|---|---|---|---|
| 检索并显示 Apple 服务器的内容 | itunes.apple.com *.itunes.apple.com *.mzstatic.com *.phobos.apple.com *.phobos.itunes-apple.com.akadns.net |
HTTP | 80 |
| 与 APNS 服务器之间的通信 | #-courier.push.apple.com “#”是 0 到 50 范围内的一个随机数字。 |
TCP | 5223 和 443 |
| 各种功能,包括访问万维网、iTunes 商店、macOS 应用商店、iCloud、消息等。 | phobos.apple.com ocsp.apple.com ax.itunes.apple.com ax.itunes.apple.com.edgesuite.net |
HTTP/HTTPS | 80 或 443 |
更多相关信息,请参阅 在本地网络上使用 Apple 产品,Apple 软件产品使用的 TCP 和 UDP 端口,有关 macOS、iOS/iPadOS 和 iTunes 的服务器主机连接和 iTunes 后台进程 以及 如果 macOS 和IOS/iPadOS 客户端不获取 Apple 推送通知。
Android 端口信息
根据选择的 Android 设备管理方式,你可能需要打开 Google Android Enterprise 端口和/或 Android 推送通知。 有关支持的 Android 管理方法的更多信息,请参阅 Android 注册文档。
注意
由于 Google 移动服务在中国不可用,因此在中国由 Intune 管理的设备无法使用需要 Google 移动服务的功能。 这些功能包括:Google Play保护功能,如 SafetyNet 设备证明、从Google Play 商店管理应用、Android Enterprise 功能(请参阅此 Google 文档)。 此外,Android 版 Intune 公司门户应用使用 Google 移动服务与 Microsoft Intune 服务进行通信。 由于 Google Play 服务在中国不可用,因此某些任务最长可能需要 8 小时才能完成。 有关详细信息,请参阅此文章。
Android (AOSP)
| 用途 | 主机名(IP 地址/子网) | 协议 | 端口 |
|---|---|---|---|
| 下载和安装Microsoft Intune和Microsoft Authenticator应用 | intunecdnpeasd.azureedge.net | HTTPS | 443 |
Google Android Enterprise
Google 针对其 Android Enterprise 蓝皮书的“防火墙”部分中所述的所需网络端口和目标主机名提供了相关文档。
Android 推送通知
Intune 利用 Google Firebase Cloud Messaging (FCM) 推送通知来触发设备操作和签入。Android 设备管理员和 Android Enterprise 都需要这样做。 有关 FCM 网络要求的信息,请参阅 Google 的 FCM 端口和防火墙。
终结点分析
有关终结点分析所需终结点的详细信息,请参阅终结点分析代理配置。
Microsoft Defender for Endpoint
有关配置 Defender for Endpoint 连接的详细信息,请参阅 连接要求
允许以下主机名通过防火墙,以支持 Defender for Endpoint 安全设置管理。 对于客户端与云服务之间的通信:
*.dm.microsoft.com - 通配符的使用支持用于注册、检查和报告的云服务终结点,这些终结点可能会随着服务的扩展而更改。
重要
“dm.microsoft.com”终结点不支持 SSL 检查。
Microsoft Intune Endpoint Privilege Management
允许以下主机名通过防火墙,以支持 Endpoint Privilege Management。
对于客户端与云服务之间的通信:
*.dm.microsoft.com - 通配符的使用支持用于注册、检查和报告的云服务终结点,这些终结点可能会随着服务的扩展而更改。
*.events.data.microsoft.com - 由Intune管理的设备用来将可选报告数据发送到Intune数据收集终结点。
重要
“dm.microsoft.com”终结点不支持 SSL 检查。
有关详细信息,请参阅 Endpoint Privilege Management 概述