Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden IP-Adressen und Porteinstellungen aufgeführt, die für Proxyeinstellungen in Ihren Microsoft Intune-Bereitstellungen erforderlich sind. Eine konsolidierte Liste befindet sich am Ende dieser Seite. Liste der konsolidierten Endpunkte
Achtung
Die zuvor verfügbaren PowerShell-Skripts zum Abrufen Microsoft Intune Endpunkt-IP-Adressen und FQDNs geben keine genauen Daten mehr vom Office 365-Endpunktdienst zurück. Verwenden Sie stattdessen die in diesem Artikel bereitgestellte konsolidierte Liste. Die Verwendung der ursprünglichen Skripts oder Endpunktlisten aus dem Office 365 Endpunktdienst ist unzureichend und kann zu falschen Konfigurationen führen.
Als rein cloudbasierter Dienst erfordert Intune keine lokale Infrastruktur wie Server oder Gateways.
Zugriff für verwaltete Geräte
Sie müssen die Kommunikation für Intune aktivieren, um Geräte hinter Firewalls und Proxyservern zu verwalten.
Hinweis
Die Informationen in diesem Abschnitt gelten auch für den Microsoft Intune Certificate Connector. Der Connector hat die gleichen Netzwerkanforderungen wie verwaltete Geräte.
Die Endpunkte in diesem Artikel ermöglichen den Zugriff auf die in den folgenden Tabellen angegebenen Ports.
Für einige Aufgaben erfordert Intune nicht authentifizierten Proxyserverzugriff auf manage.microsoft.com, *.azureedge.net und graph.microsoft.com.
Hinweis
Die ÜBERPRÜFUNG des SSL-Datenverkehrs wird für die endpunkte "*.manage.microsoft.com", "*.dm.microsoft.com" oder die im Complianceabschnitt aufgeführten DHA-Endpunkte (Device Health Attestation) nicht unterstützt.
Sie können die Proxyservereinstellungen auf einzelnen Clientcomputern festlegen. Sie können zudem Gruppenrichtlinieneinstellungen verwenden, um die Einstellungen für alle Clientcomputer hinter einem bestimmten Proxyserver anzupassen.
Für verwaltete Geräte sind Konfigurationen erforderlich, über die Alle Benutzer über Firewalls auf Dienste zugreifen können.
Endpunkte
Außerdem benötigen Sie FQDNs, die im Rahmen der Microsoft 365-Anforderungen abgedeckt werden. Die folgenden Tabellen zeigen den Dienst, an den sie gebunden sind, und die Liste der zurückgegebenen URLs.
Die in den Tabellen angezeigten Datenspalten sind:
ID: Die ID-Nummer der Zeile, auch als Endpunktsatz bezeichnet. Diese ID entspricht der ID, die vom Webdienst für den Endpunktsatz zurückgegeben wird.
Kategorie: Zeigt an, ob der Endpunktsatz als "Optimieren", "Zulassen" oder " Standard" kategorisiert ist. In dieser Spalte wird auch aufgelistet, welche Endpunktsätze für netzwerkkonnektivität erforderlich sind. Für Endpunktsätze, die nicht über Netzwerkkonnektivität verfügen müssen, stellen wir Hinweise in diesem Feld bereit, um anzugeben, welche Funktionalität fehlen würde, wenn der Endpunktsatz blockiert wird. Wenn Sie einen gesamten Dienstbereich ausschließen, ist für die als erforderlich aufgeführten Endpunktsätze keine Konnektivität erforderlich.
Informationen zu diesen Kategorien und Anleitungen für deren Verwaltung finden Sie unter Neue Microsoft 365-Endpunktkategorien.
ER: Dies ist Ja/True, wenn der Endpunktsatz über Azure ExpressRoute mit Microsoft 365-Routenpräfixen unterstützt wird. Die BGP-Community, die die angezeigten Routenpräfixe enthält, entspricht dem aufgeführten Dienstbereich. Wenn ER den Wert No/False aufweist, wird ExpressRoute für diesen Endpunktsatz nicht unterstützt.
Adressen: Listet die FQDNs oder Die Domänennamen und IP-Adressbereiche für den Endpunktsatz auf. Beachten Sie, dass ein IP-Adressbereich im CIDR-Format vorliegt und viele einzelne IP-Adressen im angegebenen Netzwerk enthalten kann.
Ports: Listet die TCP- oder UDP-Ports auf, die mit aufgelisteten IP-Adressen kombiniert werden, um den Netzwerkendpunkt zu bilden. Möglicherweise stellen Sie eine Duplizierung in IP-Adressbereichen fest, in denen verschiedene Ports aufgeführt sind.
Intune Kerndienst
Hinweis
Wenn die firewall, die Sie verwenden, das Erstellen von Firewallregeln mit einem Domänennamen zulässt, verwenden Sie die *.manage.microsoft.com Domäne und manage.microsoft.com . Wenn der von Ihnen verwendete Firewallanbieter es Ihnen jedoch nicht erlaubt, eine Firewallregel mit einem Domänennamen zu erstellen, empfehlen wir Ihnen, die genehmigte Liste aller Subnetze in diesem Abschnitt zu verwenden.
Hinweis
Intune Endpunkte verwenden auch Azure Front Door für die Kommunikation mit dem Intune-Dienst. Die IP-Adressbereiche für Intune (Teil von Microsoft Security) werden der folgenden Tabelle hinzugefügt. Intune spezifischen Endpunkte wird in der JSON-Datei mit dem Namen AzureFrontDoor.MicrosoftSecurityverwiesen. Eine vollständige Liste aller Dienste, die Azure Front Door nutzen, sowie Anweisungen zur Verwendung der JSON-Datei finden Sie in der Dokumentation Azure Front Door und Diensttags.
Azure von Front Door-IP-Adressbereichen und -Diensttags
| ID | Beschr. | Kategorie | ER | Addresses | Ports |
|---|---|---|---|---|---|
| 163 | Intune Client- und Hostdienst | Zulassen Erforderlich |
False | *.manage.microsoft.commanage.microsoft.com*.dm.microsoft.comEnterpriseEnrollment.manage.microsoft.com104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29, 104.208.197.64/27, 172.160.217.160/27, 172.201.237.160/27, 172.202.86.192/27, 172.205.63.0/25, 172.212.214.0/25, 172.215.131.0/27, 20.168.189.128/27, 20.199.207.192/28, 20.204.194.128/31, 20.208.149.192/27, 20.208.157.128/27, 20.214.131.176/29, 20.43.129.0/24, 20.91.147.72/29, 4.145.74.224/27, 4.150.254.64/27, 4.154.145.224/27, 4.200.254.32/27, 4.207.244.0/27, 4.213.25.64/27, 4.213.86.128/25, 4.216.205.32/27, 4.237.143.128/25, 40.84.70.128/25, 48.218.252.128/25, 57.151.0.192/27, 57.153.235.0/25, 57.154.140.128/25, 57.154.195.0/25, 57.155.45.128/25, 68.218.134.96/27, 74.224.214.64/27, 74.242.35.0/25, 172.208.170.0/25, 74.241.231.0/25, 74.242.184.128/25Azure Front Door Endpoints: 13.107.219.0/24, 13.107.227.0/24, 13.107.228.0/23, 150.171.97.0/24, 2620:1ec:40::/48, 2620:1ec:49::/48, 2620:1ec:4a::/47 |
TCP: 80, 443 |
| 172 | MDM-Übermittlungsoptimierung | Standard Erforderlich |
False | *.do.dsp.mp.microsoft.com*.dl.delivery.mp.microsoft.com |
TCP: 80, 443 |
| 170 | MEM – Win32Apps | Standard Erforderlich |
False | swda01-mscdn.manage.microsoft.comswda02-mscdn.manage.microsoft.comswdb01-mscdn.manage.microsoft.comswdb02-mscdn.manage.microsoft.comswdc01-mscdn.manage.microsoft.comswdc02-mscdn.manage.microsoft.comswdd01-mscdn.manage.microsoft.comswdd02-mscdn.manage.microsoft.comswdin01-mscdn.manage.microsoft.comswdin02-mscdn.manage.microsoft.com |
TCP: 80, 443 |
| 97 | Consumer Outlook.com, OneDrive, Geräteauthentifizierung und Microsoft-Konto | Standard Erforderlich |
False | account.live.comlogin.live.com |
TCP: 443 |
| 190 | Endpunktermittlung | Standard Erforderlich |
False | go.microsoft.com |
TCP: 80, 443 |
| 189 | Abhängigkeit – Featurebereitstellung | Standard Erforderlich |
False | config.edge.skype.comecs.office.com |
TCP: 443 |
| 192 | Organisationsnachrichten | Standard Erforderlich |
False | fd.api.orgmsg.microsoft.comris.prod.api.personalization.ideas.microsoft.com` |
TCP: 443 |
Authentifizierungsabhängigkeiten
| ID | Beschr. | Kategorie | ER | Addresses | Ports |
|---|---|---|---|---|---|
| 56 | Authentifizierung und Identität umfasst Microsoft Entra ID- und Entra-ID-bezogene Dienste. | Zulassen Erforderlich |
Wahr | login.microsoftonline.comgraph.windows.net |
TCP: 80, 443 |
| 150 | Der Office-Anpassungsdienst bietet Office 365 ProPlus Bereitstellungskonfiguration, Anwendungseinstellungen und cloudbasierte Richtlinienverwaltung. | Default | False | *.officeconfig.msocdn.comconfig.office.com |
TCP: 443 |
| 59 | Identitätsunterstützungsdienste & CDNs. | Standard Erforderlich |
False | enterpriseregistration.windows.netcertauth.enterpriseregistration.windows.net |
TCP: 80, 443 |
Weitere Informationen findest du unter Office 365 URLs und IP-Adressbereiche.
Intune Abhängigkeiten
In diesem Abschnitt sind in den folgenden Tabellen die Intune Abhängigkeiten sowie die Ports und Dienste aufgeführt, auf die der Intune Client zugreift.
- Abhängigkeiten der Windows-Pushbenachrichtigungsdienste
- Abhängigkeiten der Übermittlungsoptimierung
- Apple-Abhängigkeiten
- Android AOSP-Abhängigkeiten
Android Enterprise-Abhängigkeiten
Google Android Enterprise : Google stellt dokumentationen der erforderlichen Netzwerkports und Zielhostnamen im Android Enterprise Help Center bereit.
Android-Pushbenachrichtigung: Intune verwendet Google Firebase Cloud Messaging (FCM) für Pushbenachrichtigungen, um Geräteaktionen und Check-Ins auszulösen. Sowohl Android-Geräteadministrator als auch Android Enterprise erfordern dies. Informationen zu den FCM-Netzwerkanforderungen finden Sie in Google unter FCM-Ports und Ihre Firewall.
Android AOSP-Abhängigkeiten
| ID | Beschr. | Kategorie | ER | Addresses | Ports |
|---|---|---|---|---|---|
| 179 | MEM – Android AOSP-Abhängigkeit | Standard Erforderlich |
False | intunecdnpeasd.azureedge.netintunecdnpeasd.manage.microsoft.com(Ab März 2025 werden azureedge.net Domänen zu manage.microsoft.com migriert. |
TCP: 443 |
Hinweis
Da Google Mobile Services in China nicht verfügbar ist, können von Intune verwaltete Geräte in China keine Features nutzen, die Google Mobile Services erfordern. Zu diesen Features gehören: Google Play Protect-Funktionen wie Play Integrity Verdict, Verwalten von Apps aus dem Google Play Store, Android Enterprise-Funktionen (siehe diese Google-Dokumentation). Darüber hinaus erfolgt die Kommunikation mit dem Microsoft Intune-Dienst in der Intune-Unternehmensportal-App für Android über Google Mobile Services. Da Google Play Services in China nicht verfügbar ist, kann es bis zu 8 Stunden dauern, bis einige Aufgaben abgeschlossen sind. Weitere Informationen finden Sie unter Einschränkungen der Intune Verwaltung, wenn GMS nicht verfügbar ist.
Android-Portinformationen : Je nachdem, wie Sie Sich für die Verwaltung von Android-Geräten entscheiden, müssen Sie möglicherweise die Google Android Enterprise-Ports und/oder die Android-Pushbenachrichtigung öffnen. Weitere Informationen zu den unterstützten Verwaltungsmethoden für Android finden Sie in der Dokumentation zur Android-Registrierung.
Apple-Abhängigkeiten
Informationen zu Apple-spezifischen Endpunkten finden Sie in den folgenden Ressourcen:
- Verwenden von Apple-Produkten in Unternehmensnetzwerken
- Von Apple-Softwareprodukten verwendete TCP- und UDP-Ports
- Informationen zu macOS-, iOS- und iTunes-Server-Hostverbindungen und iTunes-Hintergrundprozessen
- Wenn Ihre macOS- und iOS-Clients keine Apple Push-Benachrichtigungen empfangen
Abhängigkeiten der Übermittlungsoptimierung
| ID | Beschr. | Kategorie | ER | Addresses | Ports |
|---|---|---|---|---|---|
| 172 | MDM : Abhängigkeiten zur Übermittlungsoptimierung | Standard Erforderlich |
False | *.do.dsp.mp.microsoft.com*.dl.delivery.mp.microsoft.com |
TCP: 80, 443 |
Portanforderungen : Für die Kommunikation zwischen Client und Dienst wird HTTP oder HTTPS über Port 80/443 verwendet. Optional verwendet die Übermittlungsoptimierung für Peer-to-Peer-Datenverkehr 7680 für TCP/IP und Teredo an Port 3544 für NAT-Traversal. Weitere Informationen finden Sie in der Dokumentation zur Übermittlungsoptimierung.
Proxyanforderungen : Um die Übermittlungsoptimierung verwenden zu können, müssen Sie Bytebereichsanforderungen zulassen. Weitere Informationen finden Sie unter Proxyanforderungen für die Übermittlungsoptimierung.
Firewallanforderungen : Lassen Sie die folgenden Hostnamen durch Ihre Firewall zu, um die Übermittlungsoptimierung zu unterstützen. Für die Kommunikation zwischen Clients und dem Clouddienst zur Übermittlungsoptimierung:
*.do.dsp.mp.microsoft.com
Für Metadaten der Übermittlungsoptimierung:
*.dl.delivery.mp.microsoft.com
Tipp
Überprüfen Sie die Abhängigkeiten für Peer-to-Peer-Lösungen für Clientdienste, die Sie verwenden, um die Unterstützung für die cloudbasierte Verwaltung sicherzustellen. Windows BranchCache basiert beispielsweise auf lokal verfügbaren Gruppen, die möglicherweise nicht über Microsoft Entra ID verfügbar sind. Dies ist die Identitätslösung von Intune.
WNS-Abhängigkeiten (Windows Push Notification Services)
| ID | Beschr. | Kategorie | ER | Addresses | Ports |
|---|---|---|---|---|---|
| 171 | MEM – WNS-Abhängigkeiten | Standard Erforderlich |
False | *.notify.windows.com*.wns.windows.comsinwns1011421.wns.windows.comsin.notify.windows.com |
TCP: 443 |
Bei von Intune verwalteten Windows-Geräten, die mithilfe von mobiler Geräteverwaltung verwaltet werden, müssen für Geräteaktionen und andere sofortige Aktivitäten die Windows-Pushbenachrichtigungsdienste verwendet werden. Weitere Informationen finden Sie unter Zulassen von Windows Notification-Datenverkehr durch Unternehmensfirewalls.
Remotehilfe
Zusätzlich zur Konfiguration der in der folgenden Tabelle aufgeführten Netzwerkanforderungen müssen Sie auch die Netzwerkanforderungen für Azure Kommunikationsdienste konfigurieren. Weitere Informationen finden Sie unter Netzwerkanforderungen für Azure Communication Services.
| ID | Beschr. | Kategorie | ER | Addresses | Ports | Hinweise |
|---|---|---|---|---|---|---|
| 181 | MEM – Remotehilfe-Feature | Standard Erforderlich |
False | *.support.services.microsoft.comremoteassistance.support.services.microsoft.comteams.microsoft.comremoteassistanceprodacs.communication.azure.comedge.skype.comaadcdn.msftauth.netaadcdn.msauth.netalcdn.msauth.netwcpstatic.microsoft.com*.aria.microsoft.combrowser.pipe.aria.microsoft.com*.events.data.microsoft.comv10c.events.data.microsoft.com*.monitor.azure.comjs.monitor.azure.comedge.microsoft.com*.trouter.communication.microsoft.com*.trouter.teams.microsoft.comapi.flightproxy.skype.comecs.communication.microsoft.comremotehelp.microsoft.comremoteassistanceprodacseu.communication.azure.com(Dieser Endpunkt gilt nur für EU-Kunden) |
TCP: 443 | |
| 187 | Abhängigkeit – Remotehilfe Web-Pubsub | Standard Erforderlich |
False | *.webpubsub.azure.comAMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com |
TCP: 443 | |
| 188 | Remotehilfe Abhängigkeit für GCC-Kunden | Standard Erforderlich |
False | remoteassistanceweb-gcc.usgov.communication.azure.usgcc.remotehelp.microsoft.comgcc.relay.remotehelp.microsoft.com*.gov.teams.microsoft.us |
TCP: 443 |
Windows Autopilot-Abhängigkeiten
| ID | Beschr. | Kategorie | ER | Addresses | Ports |
|---|---|---|---|---|---|
| 164 | Windows Autopilot – Windows Update | Standard Erforderlich |
False | *.windowsupdate.com*.dl.delivery.mp.microsoft.com*.prod.do.dsp.mp.microsoft.com*.delivery.mp.microsoft.com*.update.microsoft.comtsfe.trafficshaping.dsp.mp.microsoft.comadl.windows.com |
TCP: 80, 443 |
| 165 | Windows Autopilot – NTP-Synchronisierung | Standard Erforderlich |
False | time.windows.com |
UDP: 123 |
| 169 | Windows Autopilot – WNS-Abhängigkeiten | Standard Erforderlich |
False | clientconfig.passport.netwindowsphone.com*.s-microsoft.comc.s-microsoft.com |
TCP: 443 |
| 173 | Windows Autopilot : Abhängigkeiten der Bereitstellung von Drittanbietern | Standard Erforderlich |
False | ekop.intel.comekcert.spserv.microsoft.comftpm.amd.com |
TCP: 443 |
| 182 | Windows Autopilot – Diagnoseupload | Standard Erforderlich |
False | lgmsapeweu.blob.core.windows.netlgmsapewus2.blob.core.windows.netlgmsapesea.blob.core.windows.netlgmsapeaus.blob.core.windows.netlgmsapeind.blob.core.windows.net |
TCP: 443 |
Endpunktanalysen
Weitere Informationen zu den erforderlichen Endpunkten für die Endpunktanalyse finden Sie unter Netzwerk- und Konnektivitätsanforderungen.
Microsoft Defender für Endpunkt
Weitere Informationen zum Konfigurieren der Defender für Endpunkt-Konnektivität finden Sie unter Konnektivitätsanforderungen.
Um die Verwaltung der Sicherheitseinstellungen von Defender für Endpunkt zu unterstützen, lassen Sie die folgenden Hostnamen durch Ihre Firewall zu. Für die Kommunikation zwischen Clients und dem Clouddienst:
*.dm.microsoft.com- Die Verwendung eines Wildcards unterstützt die Clouddienst-Endpunkte, die für die Registrierung, das Einchecken und die Berichterstellung verwendet werden und sich bei der Skalierung des Diensts ändern können.Wichtig
Die SSL-Überprüfung wird für Endpunkte, die für Microsoft Defender for Endpoint erforderlich sind, nicht unterstützt.
Microsoft Intune Endpoint Privilege Management
Um Endpoint Privilege Management zu unterstützen, lassen Sie die folgenden Hostnamen an TCP-Port 443 durch Ihre Firewall zu.
Für die Kommunikation zwischen Clients und dem Clouddienst:
*.dm.microsoft.com- Die Verwendung eines Wildcards unterstützt die Clouddienst-Endpunkte, die für die Registrierung, das Einchecken und die Berichterstellung verwendet werden und sich bei der Skalierung des Diensts ändern können.*.events.data.microsoft.com– Wird von Intune verwalteten Geräten verwendet, um optionale Berichtsdaten an den Intune Datensammlungsendpunkt zu senden.Wichtig
Die SSL-Überprüfung wird für Endpunkte, die für Endpoint Privilege Management erforderlich sind, nicht unterstützt.
Weitere Informationen finden Sie in der Übersicht über Endpoint Privilege Management.
Microsoft Security Copilot
Um die Kommunikation zwischen Security Copilot und bestimmten Sicherheitslösungen sicherzustellen, müssen Sie den ausgehenden IP-Adressen von Security Copilot erlauben, die Lösung zu kontaktieren. Informationen zu den erforderlichen Endpunkten finden Sie unter Microsoft Security Copilot ausgehenden IP-Adressen in der Security Copilot-Dokumentation.
Microsoft Store
Verwaltete Windows-Geräte, die den Microsoft Store verwenden, um Apps zu erwerben, zu installieren oder zu aktualisieren, benötigen Zugriff auf diese Endpunkte über die TCP-Ports 80 und 443 über Ihre Firewall.
Microsoft Store-API (AppInstallManager):
displaycatalog.mp.microsoft.compurchase.md.mp.microsoft.comlicensing.mp.microsoft.comstoreedgefd.dsx.mp.microsoft.com
Wichtig
Die SSL-Überprüfung wird für Endpunkte, die für die Microsoft Store-API erforderlich sind, nicht unterstützt.
Windows Update-Agent:
Ausführliche Informationen finden Sie in den folgenden Ressourcen:
Verwalten von Verbindungsendpunkten für Windows 11 Enterprise
Verwalten von Verbindungsendpunkten für Windows 10 Enterprise Version 21H2
Hinweis
Am 14. Oktober 2025 hat Windows 10 das Ende des Supports erreicht und erhält keine Qualitäts- und Featureupdates. Windows 10 ist eine zulässige Version in Intune. Geräte, auf denen diese Version ausgeführt wird, können sich weiterhin bei Intune registrieren und berechtigte Features verwenden. Die Funktionalität wird jedoch nicht garantiert und kann variieren.
Download von Win32-Inhalten:
Speicherorte und Endpunkte zum Herunterladen von Win32-Inhalten sind pro Anwendung eindeutig und werden vom externen Herausgeber bereitgestellt. Sie können den Speicherort für jede Win32 Store-App mit dem folgenden Befehl auf einem Testsystem ermitteln (Sie können die [PackageId] für eine Store-App abrufen, indem Sie auf die Eigenschaft Paketbezeichner der App verweisen, nachdem Sie sie zu Microsoft Intune hinzugefügt haben):
winget show [PackageId]
Die Eigenschaft Installer-URL zeigt entweder den externen Downloadspeicherort oder den regionsbasierten (von Microsoft gehosteten) Fallbackcache an, je nachdem, ob der Cache verwendet wird. Der Speicherort des Inhaltsdownloads kann sich zwischen dem Cache und dem externen Speicherort ändern.
Von Microsoft gehosteter Fallbackcache für Win32-Apps:
cdn.storeedgefd.dsx.mp.microsoft.com
Übermittlungsoptimierung (optional, für Peering erforderlich):
Weitere Informationen finden Sie in der folgenden Ressource:
Migrieren von Konformitätsrichtlinien für den Geräteintegritätsnachweis zu Microsoft Azure-Nachweis
Wenn ein Kunde eine der Einstellungen der Windows-Konformitätsrichtlinie – Geräteintegrität aktiviert, beginnen Windows 11 Geräte, einen Microsoft Azure Attestation -Dienst (MAA) basierend auf ihrem Intune Mandantenstandort zu verwenden. Windows 10- und GCCH/DOD-Umgebungen verwenden jedoch weiterhin den vorhandenen DHA-Endpunkt "has.spserv.microsoft.com" für den Geräteintegritätsnachweis und ist von dieser Änderung nicht betroffen.
Wenn ein Kunde über Firewallrichtlinien verfügt, die den Zugriff auf den neuen Intune MAA-Dienst für Windows 11 verhindern, wird Windows 11 Geräte mit zugewiesenen Konformitätsrichtlinien unter Verwendung einer der Geräteintegritätseinstellungen (BitLocker, sicherer Start, Codeintegrität) nicht konform, da sie die MAA-Nachweisendpunkte für ihren Standort nicht erreichen können.
Stellen Sie sicher, dass keine Firewallregeln vorhanden sind, die ausgehenden HTTPS/443-Datenverkehr blockieren, und dass für die in diesem Abschnitt aufgeführten Endpunkte basierend auf dem Standort Ihres Intune Mandanten keine Überprüfung des SSL-Datenverkehrs vorhanden ist.
Navigieren Sie zum Intune Admin Center >Mandantenverwaltung Mandantenverwaltung>> Status Mandantendetails finden Sie unter Mandantenstandort.
'https://intunemaape1.eus.attest.azure.net'
'https://intunemaape2.eus2.attest.azure.net'
'https://intunemaape3.cus.attest.azure.net'
'https://intunemaape4.wus.attest.azure.net'
'https://intunemaape5.scus.attest.azure.net'
'https://intunemaape6.ncus.attest.azure.net'
Netzwerkanforderungen für macOS-App- und Skriptbereitstellungen
Wenn Sie Intune verwenden, um Apps oder Skripts unter macOS bereitzustellen, müssen Sie auch Zugriff auf Endpunkte gewähren, in denen sich Ihr Mandant derzeit befindet.
Je nach Mandantenstandort werden verschiedene Endpunkte verwendet. Um Ihren Mandantenstandort zu ermitteln, melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Mandantenverwaltung>Mandantendetails>Mandantenstandort mit dem Wert Nordamerika 0501 oder ähnlich aus. Überprüfen Sie anhand der Region am Standort (Nordamerika in Nordamerika 0501) die folgende Tabelle für die erforderlichen CDN-Endpunkte und Ports:
| Region | CDN | Port |
|---|---|---|
| Nordamerika | macsidecar.manage.microsoft.commacsidecarprod.azureedge.net(Ab März 2025 werden azureedge.net Domänen zu manage.microsoft.com migriert. |
TCP: 443 |
| Europa | macsidecareu.manage.microsoft.commacsidecarprodeu.azureedge.net(Ab März 2025 werden azureedge.net Domänen zu manage.microsoft.com migriert. |
TCP: 443 |
| Asiatisch-pazifischer Raum | macsidecarap.manage.microsoft.commacsidecarprodap.azureedge.net(Ab März 2025 werden azureedge.net Domänen zu manage.microsoft.com migriert. |
TCP: 443 |
Netzwerkanforderungen für PowerShell-Skripts und Win32-Apps
Wenn Sie Intune für Szenarien verwenden, die die Intune-Verwaltungserweiterung verwenden, z. B. das Bereitstellen von Win32-Apps, PowerShell-Skripts, Korrekturen, Endpunktanalysen, benutzerdefinierte Konformitätsrichtlinien oder BIOS-Konfigurationsprofile, müssen Sie auch Zugriff auf Endpunkte gewähren, in denen sich Ihr Mandant derzeit befindet.
Je nach Mandantenstandort werden verschiedene Endpunkte verwendet. Um Ihren Mandantenstandort zu ermitteln, melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Mandantenverwaltung>Mandantendetails>Mandantenstandort mit dem Wert Nordamerika 0501 oder ähnlich aus. Überprüfen Sie anhand der Region am Standort (Nordamerika in Nordamerika 0501) die folgende Tabelle für die erforderlichen CDN-Endpunkte und Ports:
Hinweis
Http-Teilantwort zulassen ist für Skripts & Win32 Apps-Endpunkte erforderlich.
| Region | CDN | Port |
|---|---|---|
| Nordamerika | naprodimedatapri.azureedge.netnaprodimedatasec.azureedge.netnaprodimedatahotfix.azureedge.netimeswda-afd-primary.manage.microsoft.comimeswda-afd-secondary.manage.microsoft.comimeswda-afd-hotfix.manage.microsoft.com(Ab März 2025 werden azureedge.net Domänen zu manage.microsoft.com migriert. |
TCP: 443 |
| Europa | euprodimedatapri.azureedge.neteuprodimedatasec.azureedge.neteuprodimedatahotfix.azureedge.netimeswdb-afd-primary.manage.microsoft.comimeswdb-afd-secondary.manage.microsoft.comimeswdb-afd-hotfix.manage.microsoft.com(Ab März 2025 werden azureedge.net Domänen zu manage.microsoft.com migriert. |
TCP: 443 |
| Asiatisch-pazifischer Raum | approdimedatapri.azureedge.netapprodimedatasec.azureedge.netapprodimedatahotfix.azureedge.netimeswdc-afd-primary.manage.microsoft.comimeswdc-afd-secondary.manage.microsoft.comimeswdc-afd-hotfix.manage.microsoft.com(Ab März 2025 werden azureedge.net Domänen zu manage.microsoft.com migriert. |
TCP: 443 |
Für Diagnosedaten, die zum Überwachen der Integrität der clientseitigen Komponenten verwendet werden:
*.events.data.microsoft.com
Automatisches Windows-Patchen
Weitere Informationen zu den erforderlichen Endpunkten für Windows Autopatch finden Sie unter Voraussetzungen für windows Autopatch.
Azure Front Door Connectivity Diagnostics Tool
Um die Konnektivität mit den von Intune verwendeten Azure Front Door-IP-Adressen (AFD) zu überprüfen, kann das Test-IntuneAFDConnectivity.ps1 Skript verwendet werden, um die Konnektivität mit den erforderlichen AFD-IP-Adressbereichen und Dienstendpunkten zu testen.
Dieses Diagnose-Tool umfasst Überprüfungen auf:
- DNS-Auflösung von Intune Dienstendpunkten
- Ausgehende TCP-Konnektivität an den Ports 80 und 443 zu AFD-IP-Adressen
- HTTPS-Überprüfung für den Intune-Clouddienst
Voraussetzungen
Stellen Sie vor dem Ausführen des Skripts folgendes sicher:
- PowerShell 5.1 oder höher
- Konnektivität mit Netzwerkendpunkten für Microsoft Intune, wie in diesem Artikel definiert.
Verwendung
Führen Sie das Skript von einem Intune verwalteten Gerät aus, um die Konnektivität mit den Intune Netzwerkendpunkten mithilfe von Azure Front Door zu testen.
Öffnen Sie PowerShell, und verwenden Sie die folgende Syntax:
| Cloud | Befehl | Hinweise |
|---|---|---|
| Öffentliche Cloud (Standard) | .\Test-IntuneAFDConnectivity.ps1 |
Testet die Konnektivität mit öffentlichen Cloudumgebungen |
| Government Cloud | .\Test-IntuneAFDConnectivity.ps1 -CloudType gov |
Testet die Konnektivität mit US Government-, GCC High- und DoD-Umgebungen |
| Exportieren von Ergebnissen mit detaillierter Protokollierung | .\Test-IntuneAFDConnectivity.ps1 -LogLevel Detailed -OutputPath "C:\Logs" -Verbose |
Führt Tests mit detaillierter Protokollierung aus und speichert Die Ergebnisse im angegebenen Ausgabeverzeichnis. |
Problembehandlung
Wenn das Skript einen Fehler meldet (Exitcode 1):
Wenn die Azure Front Door-IP-Adresstests fehlerhafte IP-Adressen oder IP-Adressbereiche anzeigen: Ihre Firewall, Ihr Proxy oder VPN blockiert möglicherweise ausgehende Verbindungen an den Ports 443 oder 80 zu den Azure Front Door-IP-Adressen.
Wenn im Dienstendpunkttest "HTTPS-Endpunkt nicht erreichbar" angezeigt wird: Die erforderlichen Intune Dienst-FQDNs oder Azure Front Door-IP-Adressen sind möglicherweise nicht erreichbar, oder ein DNS-, Proxy- oder HTTPS-Überprüfungsproblem verhindert die Verbindung mit dem FQDN des Intune-Diensts.
Überprüfen Sie die Netzwerkendpunkte für Microsoft Intune (wie in diesem Artikel beschrieben), und stellen Sie sicher, dass Ihre Firewall, Ihr VPN oder Ihr Proxy alle erforderlichen Intune-Dienst-FQDNs, Azure Front Door-IP-Adressbereiche und -Ports zulässt.
Überprüfen Sie die detaillierten Ergebnisse in der gespeicherten Ausgabedatei, oder führen Sie das Skript mit detaillierter Protokollierung (-LogLevel Detailed und -Ausführlich) aus, um weitere Diagnoseinformationen zu erfassen.
Konsolidierte Endpunktliste
Um die Konfiguration von Diensten über Firewalls zu vereinfachen, finden Sie im Folgenden eine konsolidierte Liste der FQDNs und IP-Subnetze, die von Intune verwalteten Geräten verwendet werden.
Diese Listen enthalten nur die Endpunkte, die von Intune verwalteten Geräten verwendet werden. Diese Listen enthalten keine zusätzlichen Endpunkte, die vom Office 365-Endpunktdienst bereitgestellt, aber nicht von Intune verwendet wurden.
Fqdns
*.manage.microsoft.com
manage.microsoft.com
*.dl.delivery.mp.microsoft.com
*.do.dsp.mp.microsoft.com
*.update.microsoft.com
*.windowsupdate.com
adl.windows.com
dl.delivery.mp.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com
time.windows.com
*.s-microsoft.com
clientconfig.passport.net
windowsphone.com
approdimedatahotfix.azureedge.net
approdimedatapri.azureedge.net
approdimedatasec.azureedge.net
euprodimedatahotfix.azureedge.net
euprodimedatapri.azureedge.net
euprodimedatasec.azureedge.net
naprodimedatahotfix.azureedge.net
naprodimedatapri.azureedge.net
naprodimedatasec.azureedge.net
swda01-mscdn.azureedge.net
swda02-mscdn.azureedge.net
swdb01-mscdn.azureedge.net
swdb02-mscdn.azureedge.net
swdc01-mscdn.azureedge.net
swdc02-mscdn.azureedge.net
swdd01-mscdn.azureedge.net
swdd02-mscdn.azureedge.net
swdin01-mscdn.azureedge.net
swdin02-mscdn.azureedge.net
*.notify.windows.com
*.wns.windows.com
ekcert.spserv.microsoft.com
ekop.intel.com
ftpm.amd.com
intunecdnpeasd.azureedge.net
*.monitor.azure.com
*.support.services.microsoft.com
*.trouter.communication.microsoft.com
*.trouter.skype.com
*.trouter.teams.microsoft.com
api.flightproxy.skype.com
ecs.communication.microsoft.com
edge.microsoft.com
edge.skype.com
remoteassistanceprodacs.communication.azure.com
remoteassistanceprodacseu.communication.azure.com
remotehelp.microsoft.com
wcpstatic.microsoft.com
lgmsapeweu.blob.core.windows.net
intunemaape1.eus.attest.azure.net
intunemaape10.weu.attest.azure.net
intunemaape11.weu.attest.azure.net
intunemaape12.weu.attest.azure.net
intunemaape13.jpe.attest.azure.net
intunemaape17.jpe.attest.azure.net
intunemaape18.jpe.attest.azure.net
intunemaape19.jpe.attest.azure.net
intunemaape2.eus2.attest.azure.net
intunemaape3.cus.attest.azure.net
intunemaape4.wus.attest.azure.net
intunemaape5.scus.attest.azure.net
intunemaape7.neu.attest.azure.net
intunemaape8.neu.attest.azure.net
intunemaape9.neu.attest.azure.net
*.webpubsub.azure.com
*.gov.teams.microsoft.us
remoteassistanceweb.usgov.communication.azure.us
config.edge.skype.com
contentauthassetscdn-prod.azureedge.net
contentauthassetscdn-prodeur.azureedge.net
contentauthrafcontentcdn-prod.azureedge.net
contentauthrafcontentcdn-prodeur.azureedge.net
fd.api.orgmsg.microsoft.com
ris.prod.api.personalization.ideas.microsoft.com
IP-Subnetze
4.145.74.224/27
4.150.254.64/27
4.154.145.224/27
4.200.254.32/27
4.207.244.0/27
4.213.25.64/27
4.213.86.128/25
4.216.205.32/27
4.237.143.128/25
13.67.13.176/28
13.67.15.128/27
13.69.67.224/28
13.69.231.128/28
13.70.78.128/28
13.70.79.128/27
13.74.111.192/27
13.77.53.176/28
13.86.221.176/28
13.89.174.240/28
13.89.175.192/28
20.37.153.0/24
20.37.192.128/25
20.38.81.0/24
20.41.1.0/24
20.42.1.0/24
20.42.130.0/24
20.42.224.128/25
20.43.129.0/24
20.44.19.224/27
20.91.147.72/29
20.168.189.128/27
20.189.172.160/27
20.189.229.0/25
20.191.167.0/25
20.192.159.40/29
20.192.174.216/29
20.199.207.192/28
20.204.193.10/31
20.204.193.12/30
20.204.194.128/31
20.208.149.192/27
20.208.157.128/27
20.214.131.176/29
40.67.121.224/27
40.70.151.32/28
40.71.14.96/28
40.74.25.0/24
40.78.245.240/28
40.78.247.128/27
40.79.197.64/27
40.79.197.96/28
40.80.180.208/28
40.80.180.224/27
40.80.184.128/25
40.82.248.224/28
40.82.249.128/25
40.84.70.128/25
40.119.8.128/25
48.218.252.128/25
52.150.137.0/25
52.162.111.96/28
52.168.116.128/27
52.182.141.192/27
52.236.189.96/27
52.240.244.160/27
57.151.0.192/27
57.153.235.0/25
57.154.140.128/25
57.154.195.0/25
57.155.45.128/25
68.218.134.96/27
74.224.214.64/27
74.242.35.0/25
104.46.162.96/27
104.208.197.64/27
172.160.217.160/27
172.201.237.160/27
172.202.86.192/27
172.205.63.0/25
172.212.214.0/25
172.215.131.0/27
13.107.219.0/24
13.107.227.0/24
13.107.228.0/23
150.171.97.0/24
2620:1ec:40::/48
2620:1ec:49::/48
2620:1ec:4a::/47
Verwandte Inhalte
URLs und IP-Adressbereiche für Office 365
Microsoft 365 – Überblick über die Netzwerkkonnektivität
Netzwerke für die Inhaltsübermittlung (Content Delivery Networks, CDNs)
Andere Endpunkte, die nicht im Office 365-Webdienst für IP-Adressen und URLs enthalten sind