Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera listę adresów IP i ustawień portów wymaganych dla ustawień serwera proxy we wdrożeniach Microsoft Intune. Skonsolidowana lista znajduje się na końcu tej strony. Skonsolidowana lista punktów końcowych
Uwaga
Wcześniej dostępne skrypty programu PowerShell do pobierania Microsoft Intune adresów IP punktu końcowego i nazw FQDN nie zwracają już dokładnych danych z usługi punktu końcowego Office 365. Zamiast tego użyj skonsolidowanej listy udostępnionej w tym artykule. Użycie oryginalnych skryptów lub list punktów końcowych z usługi Office 365 Endpoint jest niewystarczające i może prowadzić do nieprawidłowych konfiguracji.
Jako usługa tylko w chmurze Intune nie wymaga infrastruktury lokalnej, takiej jak serwery lub bramy.
Dostęp dla urządzeń zarządzanych
Aby zarządzać urządzeniami za zaporami i serwerami proxy, należy włączyć komunikację dla Intune.
Uwaga
Informacje w tej sekcji dotyczą również łącznika certyfikatów Microsoft Intune. Łącznik ma takie same wymagania sieciowe jak urządzenia zarządzane.
Punkty końcowe w tym artykule zezwalają na dostęp do portów zidentyfikowanych w poniższych tabelach.
W przypadku niektórych zadań Intune wymaga nieuwierzytelnionego dostępu serwera proxy do manage.microsoft.com, *.azureedge.net i graph.microsoft.com.
Uwaga
Inspekcja ruchu SSL nie jest obsługiwana w przypadku punktów końcowych "*.manage.microsoft.com", "*.dm.microsoft.com" ani punktów końcowych zaświadczania o kondycji urządzenia (DHA) wymienionych w sekcji zgodności.
Ustawienia serwera proxy można modyfikować na poszczególnych komputerach klienckich. Możesz również użyć ustawień zasady grupy, aby zmienić ustawienia dla wszystkich komputerów klienckich znajdujących się za określonym serwerem proxy.
Urządzenia zarządzane wymagają konfiguracji, które umożliwiają wszystkim użytkownikom dostęp do usług za pośrednictwem zapór.
Punkty końcowe
Potrzebne są również nazwy FQDN, które są objęte wymaganiami platformy Microsoft 365. W poniższych tabelach przedstawiono usługę, z którą są powiązani, oraz zwróconą listę adresów URL.
Kolumny danych wyświetlane w tabelach to:
ID: numer identyfikatora wiersza, znany również jako zestaw punktów końcowych. Ten identyfikator jest taki sam jak zwracany przez usługę sieci Web dla zestawu punktów końcowych.
Kategoria: pokazuje, czy zestaw punktów końcowych jest przydzielony do kategorii Optymalizuj, Zezwalaj lub Domyślne. Ta kolumna zawiera również listę zestawów punktów końcowych wymaganych do łączności sieciowej. W przypadku zestawów punktów końcowych, które nie muszą mieć łączności sieciowej, w tym polu udostępniamy uwagi wskazujące, jakich funkcji brakowałoby w przypadku zablokowania zestawu punktów końcowych. Jeśli wykluczasz cały obszar usługi, zestawy punktów końcowych wymienione jako wymagane nie wymagają łączności.
Możesz przeczytać o tych kategoriach i wskazówkach dotyczących zarządzania nimi w kategoriach Nowy punkt końcowy platformy Microsoft 365.
ER: Jest to wartość Tak/Prawda, jeśli zestaw punktów końcowych jest obsługiwany za pośrednictwem Azure usługi ExpressRoute z prefiksami tras platformy Microsoft 365. Społeczność BGP zawierająca wyświetlane prefiksy tras jest zgodna z wymienionym obszarem usługi. Gdy wartość ER to Nie/Fałsz, usługa ExpressRoute nie jest obsługiwana dla tego zestawu punktów końcowych.
Adresy: wyświetla listę nazw FQDN lub nazw domen z symbolami wieloznacznymi i zakresów adresów IP dla zestawu punktów końcowych. Należy pamiętać, że zakres adresów IP jest w formacie CIDR i może zawierać wiele pojedynczych adresów IP w określonej sieci.
Porty: wyświetla listę portów TCP lub UDP połączonych z wymienionymi adresami w celu utworzenia punktu końcowego sieci. Można zauważyć duplikowanie w zakresach adresów IP, w których znajdują się różne porty na liście.
usługa Intune core
Uwaga
Jeśli używana zapora umożliwia tworzenie reguł zapory przy użyciu nazwy domeny, użyj *.manage.microsoft.com domeny i manage.microsoft.com . Jeśli jednak używany dostawca zapory nie zezwala na tworzenie reguły zapory przy użyciu nazwy domeny, zalecamy użycie zatwierdzonej listy wszystkich podsieci w tej sekcji.
Uwaga
Intune punkty końcowe używają również usługi Azure Front Door do komunikowania się z usługą Intune. Zakresy adresów IP dla Intune (część zabezpieczeń firmy Microsoft) są dodawane do poniższej tabeli. Intune określone punkty końcowe są przywoływane w pliku JSON pod nazwą AzureFrontDoor.MicrosoftSecurity. Pełną listę wszystkich usług korzystających z usługi Azure usługi Front Door i instrukcje dotyczące korzystania z pliku JSON można znaleźć w dokumentacji Azure Front Door and Service Tags.
Azure zakresy adresów IP usługi Front Door i tagi usługi
| ID | Desc | Kategoria | ER | Adresy | Porty |
|---|---|---|---|---|---|
| 163 | Intune klienta i usługę hosta | Zezwalaj Wymagany |
False | *.manage.microsoft.commanage.microsoft.com*.dm.microsoft.comEnterpriseEnrollment.manage.microsoft.com104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29, 104.208.197.64/27, 172.160.217.160/27, 172.201.237.160/27, 172.202.86.192/27, 172.205.63.0/25, 172.212.214.0/25, 172.215.131.0/27, 20.168.189.128/27, 20.199.207.192/28, 20.204.194.128/31, 20.208.149.192/27, 20.208.157.128/27, 20.214.131.176/29, 20.43.129.0/24, 20.91.147.72/29, 4.145.74.224/27, 4.150.254.64/27, 4.154.145.224/27, 4.200.254.32/27, 4.207.244.0/27, 4.213.25.64/27, 4.213.86.128/25, 4.216.205.32/27, 4.237.143.128/25, 40.84.70.128/25, 48.218.252.128/25, 57.151.0.192/27, 57.153.235.0/25, 57.154.140.128/25, 57.154.195.0/25, 57.155.45.128/25, 68.218.134.96/27, 74.224.214.64/27, 74.242.35.0/25, 172.208.170.0/25, 74.241.231.0/25, 74.242.184.128/25Azure Front Door Endpoints: 13.107.219.0/24, 13.107.227.0/24, 13.107.228.0/23, 150.171.97.0/24, 2620:1ec:40::/48, 2620:1ec:49::/48, 2620:1ec:4a::/47 |
TCP: 80, 443 |
| 172 | Optymalizacja dostarczania rozwiązania MDM | Domyślne Wymagany |
False | *.do.dsp.mp.microsoft.com*.dl.delivery.mp.microsoft.com |
TCP: 80, 443 |
| 170 | MEM — Win32Apps | Domyślne Wymagany |
False | swda01-mscdn.manage.microsoft.comswda02-mscdn.manage.microsoft.comswdb01-mscdn.manage.microsoft.comswdb02-mscdn.manage.microsoft.comswdc01-mscdn.manage.microsoft.comswdc02-mscdn.manage.microsoft.comswdd01-mscdn.manage.microsoft.comswdd02-mscdn.manage.microsoft.comswdin01-mscdn.manage.microsoft.comswdin02-mscdn.manage.microsoft.com |
TCP: 80, 443 |
| 97 | Outlook.com konsumentów, usługa OneDrive, uwierzytelnianie urządzenia i konto Microsoft | Domyślne Wymagany |
False | account.live.comlogin.live.com |
TCP: 443 |
| 190 | Odnajdywanie punktów końcowych | Domyślne Wymagany |
False | go.microsoft.com |
TCP: 80, 443 |
| 189 | Zależność — wdrażanie funkcji | Domyślne Wymagany |
False | config.edge.skype.comecs.office.com |
TCP: 443 |
| 192 | Wiadomości organizacyjne | Domyślne Wymagany |
False | fd.api.orgmsg.microsoft.comris.prod.api.personalization.ideas.microsoft.com` |
TCP: 443 |
Zależności uwierzytelniania
| ID | Desc | Kategoria | ER | Adresy | Porty |
|---|---|---|---|---|---|
| 56 | Uwierzytelnianie i tożsamość obejmują usługi związane z Tożsamość Microsoft Entra i identyfikatorem Entra. | Zezwalaj Wymagany |
True | login.microsoftonline.comgraph.windows.net |
TCP: 80, 443 |
| 150 | Usługa dostosowywania pakietu Office zapewnia Office 365 ProPlus konfigurację wdrożenia, ustawienia aplikacji i zarządzanie zasadami opartymi na chmurze. | Domyślne | False | *.officeconfig.msocdn.comconfig.office.com |
TCP: 443 |
| 59 | Usługi obsługujące tożsamość & sieci CDN. | Domyślne Wymagany |
False | enterpriseregistration.windows.netcertauth.enterpriseregistration.windows.net |
TCP: 80, 443 |
Aby uzyskać więcej informacji, przejdź do Office 365 adresów URL i zakresów adresów IP.
zależności Intune
W tej sekcji w poniższych tabelach wymieniono zależności Intune oraz porty i usługi, do których uzyskuje dostęp klient Intune.
- Zależności usług powiadomień wypychanych systemu Windows
- Zależności optymalizacji dostarczania
- Zależności firmy Apple
- Zależności usługi AOSP systemu Android
Zależności systemu Android Enterprise
Google Android Enterprise — firma Google udostępnia dokumentację wymaganych portów sieciowych i nazw hostów docelowych w Centrum pomocy rozwiązania Android Enterprise.
Powiadomienie wypychane systemu Android — Intune używa usługi Google Firebase Cloud Messaging (FCM) do wysyłania powiadomień wypychanych w celu wyzwalania akcji urządzenia i ewidencjonowania. Wymaga tego zarówno administrator urządzeń z systemem Android, jak i system Android Enterprise. Aby uzyskać informacje na temat wymagań sieciowych usługi FCM, zobacz Porty usługi FCM firmy Google i zapora.
Zależności usługi AOSP systemu Android
| ID | Desc | Kategoria | ER | Adresy | Porty |
|---|---|---|---|---|---|
| 179 | MEM — zależność dostawcy AOSP systemu Android | Domyślne Wymagany |
False | intunecdnpeasd.azureedge.netintunecdnpeasd.manage.microsoft.com(Od marca 2025 r. domeny azureedge.net będą migrowane do manage.microsoft.com) |
TCP: 443 |
Uwaga
Ponieważ usługi Google Mobile Services nie są dostępne w Chinach, urządzenia w Chinach zarządzane przez Intune nie mogą korzystać z funkcji wymagających usług Google Mobile Services. Te funkcje obejmują: funkcje google play protect, takie jak werdykt integralności play, zarządzanie aplikacjami ze sklepu Google Play, możliwości systemu Android Enterprise (zobacz tę dokumentację Google). Ponadto aplikacja Intune — Portal firmy dla systemu Android używa usług Google Mobile Services do komunikowania się z usługą Microsoft Intune. Ponieważ usługi Google Play nie są dostępne w Chinach, niektóre zadania mogą wymagać do 8 godzin. Aby uzyskać więcej informacji, zobacz Ograniczenia zarządzania Intune, gdy usługa GMS jest niedostępna.
Informacje o porcie systemu Android — w zależności od sposobu zarządzania urządzeniami z systemem Android może być konieczne otwarcie portów Google Android Enterprise i/lub powiadomienia wypychanego systemu Android. Aby uzyskać więcej informacji na temat obsługiwanych metod zarządzania systemem Android, zobacz dokumentację rejestracji systemu Android.
Zależności firmy Apple
Aby uzyskać informacje o punktach końcowych firmy Apple, zobacz następujące zasoby:
- Korzystanie z produktów firmy Apple w sieciach przedsiębiorstwa
- Porty TCP i UDP używane przez produkty oprogramowania firmy Apple
- Informacje o połączeniach hosta serwera macOS, iOS/iPadOS i iTunes oraz procesach w tle programu iTunes
- Jeśli klienci systemów macOS i iOS/iPadOS nie otrzymują powiadomień wypychanych firmy Apple
Zależności optymalizacji dostarczania
| ID | Desc | Kategoria | ER | Adresy | Porty |
|---|---|---|---|---|---|
| 172 | MDM — zależności optymalizacji dostarczania | Domyślne Wymagany |
False | *.do.dsp.mp.microsoft.com*.dl.delivery.mp.microsoft.com |
TCP: 80, 443 |
Wymagania dotyczące portów — w przypadku komunikacji klient-usługa używa protokołu HTTP lub HTTPS przez port 80/443. Opcjonalnie w przypadku ruchu równorzędnego optymalizacja dostarczania używa 7680 dla protokołu TCP/IP i teredo na porcie 3544 na potrzeby przechodzenia przez translator adresów sieciowych. Aby uzyskać więcej informacji, zobacz dokumentację optymalizacji dostarczania
Wymagania dotyczące serwera proxy — aby korzystać z optymalizacji dostarczania, należy zezwolić na żądania zakresu bajtów. Aby uzyskać więcej informacji, zobacz Wymagania serwera proxy dotyczące optymalizacji dostarczania.
Wymagania dotyczące zapory — zezwalaj następującym nazwom hostów za pośrednictwem zapory na obsługę optymalizacji dostarczania. W celu komunikacji między klientami a usługą optymalizacji dostarczania w chmurze:
*.do.dsp.mp.microsoft.com
W przypadku metadanych optymalizacji dostarczania:
*.dl.delivery.mp.microsoft.com
Porada
Przejrzyj zależności dla rozwiązań równorzędnych między usługami klienckimi, których używasz, aby zapewnić obsługę zarządzania opartego na chmurze. Na przykład usługa Windows BranchCache opiera się na lokalnie dostępnych grupach, które mogą nie być dostępne za pośrednictwem Tożsamość Microsoft Entra, co jest rozwiązaniem tożsamości Intune.
Zależności usług powiadomień wypychanych systemu Windows (WNS)
| ID | Desc | Kategoria | ER | Adresy | Porty |
|---|---|---|---|---|---|
| 171 | MEM — zależności usługi WNS | Domyślne Wymagany |
False | *.notify.windows.com*.wns.windows.comsinwns1011421.wns.windows.comsin.notify.windows.com |
TCP: 443 |
W przypadku zarządzanych przez Intune urządzeń z systemem Windows zarządzanych przy użyciu usługi Mobile Zarządzanie urządzeniami (MDM) akcje urządzenia i inne natychmiastowe działania wymagają korzystania z usług powiadomień wypychanych systemu Windows (WNS). Aby uzyskać więcej informacji, zobacz Zezwalanie na ruch powiadomień systemu Windows za pośrednictwem zapór przedsiębiorstwa.
Pomoc zdalna
Oprócz konfigurowania wymagań dotyczących sieci wymienionych w poniższej tabeli należy również skonfigurować wymagania dotyczące sieci dla usług Azure komunikacyjnych. Aby uzyskać więcej informacji, zobacz Azure wymagania dotyczące sieci usług komunikacyjnych.
| ID | Desc | Kategoria | ER | Adresy | Porty | Uwagi |
|---|---|---|---|---|---|---|
| 181 | MEM — funkcja Pomoc zdalna | Domyślne Wymagany |
False | *.support.services.microsoft.comremoteassistance.support.services.microsoft.comteams.microsoft.comremoteassistanceprodacs.communication.azure.comedge.skype.comaadcdn.msftauth.netaadcdn.msauth.netalcdn.msauth.netwcpstatic.microsoft.com*.aria.microsoft.combrowser.pipe.aria.microsoft.com*.events.data.microsoft.comv10c.events.data.microsoft.com*.monitor.azure.comjs.monitor.azure.comedge.microsoft.com*.trouter.communication.microsoft.com*.trouter.teams.microsoft.comapi.flightproxy.skype.comecs.communication.microsoft.comremotehelp.microsoft.comremoteassistanceprodacseu.communication.azure.com(ten punkt końcowy jest przeznaczony tylko dla klientów z UE) |
TCP: 443 | |
| 187 | Zależność — Pomoc zdalna web pubsub | Domyślne Wymagany |
False | *.webpubsub.azure.comAMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com |
TCP: 443 | |
| 188 | zależność Pomoc zdalna dla klientów GCC | Domyślne Wymagany |
False | remoteassistanceweb-gcc.usgov.communication.azure.usgcc.remotehelp.microsoft.comgcc.relay.remotehelp.microsoft.com*.gov.teams.microsoft.us |
TCP: 443 |
Zależności rozwiązania Windows Autopilot
| ID | Desc | Kategoria | ER | Adresy | Porty |
|---|---|---|---|---|---|
| 164 | Windows Autopilot — Windows Update | Domyślne Wymagany |
False | *.windowsupdate.com*.dl.delivery.mp.microsoft.com*.prod.do.dsp.mp.microsoft.com*.delivery.mp.microsoft.com*.update.microsoft.comtsfe.trafficshaping.dsp.mp.microsoft.comadl.windows.com |
TCP: 80, 443 |
| 165 | Windows Autopilot — NTP Sync | Domyślne Wymagany |
False | time.windows.com |
UDP: 123 |
| 169 | Windows Autopilot — zależności usługi WNS | Domyślne Wymagany |
False | clientconfig.passport.netwindowsphone.com*.s-microsoft.comc.s-microsoft.com |
TCP: 443 |
| 173 | Windows Autopilot — zależności wdrażania innych firm | Domyślne Wymagany |
False | ekop.intel.comekcert.spserv.microsoft.comftpm.amd.com |
TCP: 443 |
| 182 | Windows Autopilot — przekazywanie diagnostyki | Domyślne Wymagany |
False | lgmsapeweu.blob.core.windows.netlgmsapewus2.blob.core.windows.netlgmsapesea.blob.core.windows.netlgmsapeaus.blob.core.windows.netlgmsapeind.blob.core.windows.net |
TCP: 443 |
Analiza punktu końcowego
Aby uzyskać więcej informacji na temat wymaganych punktów końcowych do analizy punktów końcowych, zobacz Wymagania dotyczące sieci i łączności.
Ochrona punktu końcowego w usłudze Microsoft Defender
Aby uzyskać więcej informacji na temat konfigurowania usługi Defender na potrzeby łączności z punktem końcowym, zobacz Wymagania dotyczące łączności.
Aby obsługiwać zarządzanie ustawieniami zabezpieczeń usługi Defender for Endpoint, zezwalaj na następujące nazwy hostów za pośrednictwem zapory. W celu komunikacji między klientami a usługą w chmurze:
*.dm.microsoft.com— Użycie symbolu wieloznacznego obsługuje punkty końcowe usługi w chmurze, które są używane do rejestracji, ewidencjonowania i raportowania oraz które mogą ulec zmianie w miarę skalowania usługi.Ważna
Inspekcja protokołu SSL nie jest obsługiwana w punktach końcowych wymaganych do Ochrona punktu końcowego w usłudze Microsoft Defender.
Zarządzanie Uprawnieniami Punktów Końcowych w Microsoft Intune
Aby obsługiwać Zarządzanie Uprawnieniami Punktów Końcowych, zezwalaj na następujące nazwy hostów na porcie tcp 443 za pośrednictwem zapory
W celu komunikacji między klientami a usługą w chmurze:
*.dm.microsoft.com— Użycie symbolu wieloznacznego obsługuje punkty końcowe usługi w chmurze, które są używane do rejestracji, ewidencjonowania i raportowania oraz które mogą ulec zmianie w miarę skalowania usługi.*.events.data.microsoft.com— Używane przez urządzenia zarządzane przez Intune do wysyłania opcjonalnych danych raportowania do punktu końcowego zbierania danych Intune.Ważna
Inspekcja protokołu SSL nie jest obsługiwana w punktach końcowych wymaganych do Zarządzanie Uprawnieniami Punktów Końcowych.
Aby uzyskać więcej informacji, zobacz Omówienie Zarządzanie Uprawnieniami Punktów Końcowych.
Microsoft Security Copilot
Aby zapewnić komunikację między Security Copilot i pewnymi rozwiązaniami zabezpieczeń, należy zezwolić adresom IP ruchu wychodzącego Security Copilot na kontakt z rozwiązaniem. Aby uzyskać informacje na temat wymaganych punktów końcowych, zobacz Microsoft Security Copilot adresów IP ruchu wychodzącego w dokumentacji Security Copilot.
Microsoft Store
Zarządzane urządzenia z systemem Windows, które używają sklepu Microsoft Store do uzyskiwania, instalowania lub aktualizowania aplikacji, muszą mieć dostęp do tych punktów końcowych na portach tcp 80 i 443 za pośrednictwem zapory.
Interfejs API sklepu Microsoft Store (AppInstallManager):
displaycatalog.mp.microsoft.compurchase.md.mp.microsoft.comlicensing.mp.microsoft.comstoreedgefd.dsx.mp.microsoft.com
Ważna
Inspekcja protokołu SSL nie jest obsługiwana w punktach końcowych wymaganych dla interfejsu API sklepu Microsoft Store.
agent Windows Update:
Aby uzyskać szczegółowe informacje, zobacz następujące zasoby:
Zarządzanie punktami końcowymi połączeń dla Windows 11 Enterprise
Zarządzanie punktami końcowymi połączeń dla Windows 10 Enterprise w wersji 21H2
Uwaga
14 października 2025 r. Windows 10 dobiegło końca wsparcia i nie otrzyma aktualizacji dotyczących jakości i funkcji. Windows 10 jest dozwoloną wersją w Intune. Urządzenia z tą wersją mogą nadal rejestrować się w Intune i korzystać z kwalifikujących się funkcji, ale funkcjonalność nie będzie gwarantowana i może się różnić.
Pobieranie zawartości Win32:
Lokalizacje pobierania zawartości Win32 i punkty końcowe są unikatowe dla poszczególnych aplikacji i są udostępniane przez wydawcę zewnętrznego. Lokalizację dla każdej aplikacji ze sklepu Win32 Store można znaleźć za pomocą następującego polecenia w systemie testowym (możesz uzyskać identyfikator [PackageId] dla aplikacji ze Sklepu, odwołując się do właściwości Identyfikator pakietu aplikacji po dodaniu jej do Microsoft Intune):
winget show [PackageId]
Właściwość Adres URL instalatora pokazuje zewnętrzną lokalizację pobierania lub rezerwową pamięć podręczną opartą na regionie (hostowaną przez firmę Microsoft) w zależności od tego, czy pamięć podręczna jest używana. Lokalizacja pobierania zawartości może ulec zmianie między pamięcią podręczną a lokalizacją zewnętrzną.
Rezerwowa pamięć podręczna aplikacji Win32 hostowana przez firmę Microsoft:
cdn.storeedgefd.dsx.mp.microsoft.com
Optymalizacja dostarczania (opcjonalna, wymagana do komunikacji równorzędnej):
Aby uzyskać szczegółowe informacje, zobacz następujący zasób:
Migrowanie zasad zgodności zaświadczania o kondycji urządzenia do usługi Microsoft Azure zaświadczania
Jeśli klient włączy dowolne z ustawień zasad zgodności systemu Windows — Kondycja urządzenia, Windows 11 urządzenia zaczną korzystać z usługi Microsoft Azure Attestation (MAA) na podstawie Intune lokalizacji dzierżawy. Jednak środowiska Windows 10 i GCCH/DOD nadal używają istniejącego punktu końcowego zaświadczania o kondycji urządzenia "has.spserv.microsoft.com" na potrzeby raportowania zaświadczania o kondycji urządzenia i ta zmiana nie ma wpływu na tę zmianę.
Jeśli klient ma zasady zapory, które uniemożliwiają dostęp do nowej usługi Intune MAA dla Windows 11, Windows 11 urządzenia z przypisanymi zasadami zgodności przy użyciu jakichkolwiek ustawień kondycji urządzenia (Funkcja BitLocker, bezpieczny rozruch, integralność kodu), ponieważ nie mogą uzyskać dostępu do punktów końcowych zaświadczania maa dla swojej lokalizacji.
Upewnij się, że żadne reguły zapory nie blokują ruchu wychodzącego HTTPS/443, a inspekcja ruchu SSL nie jest przeprowadzana dla punktów końcowych wymienionych w tej sekcji na podstawie lokalizacji dzierżawy Intune.
Aby znaleźć lokalizację dzierżawy, przejdź do centrum > administracyjnego IntuneSzczegóły dzierżawy administracji>> dzierżawy, zobacz Lokalizacja dzierżawy.
'https://intunemaape1.eus.attest.azure.net'
'https://intunemaape2.eus2.attest.azure.net'
'https://intunemaape3.cus.attest.azure.net'
'https://intunemaape4.wus.attest.azure.net'
'https://intunemaape5.scus.attest.azure.net'
'https://intunemaape6.ncus.attest.azure.net'
Wymagania sieciowe dotyczące wdrożeń aplikacji i skryptów systemu macOS
Jeśli używasz Intune do wdrażania aplikacji lub skryptów w systemie macOS, musisz również udzielić dostępu do punktów końcowych, w których obecnie znajduje się dzierżawa.
Różne punkty końcowe są używane w zależności od lokalizacji dzierżawy. Aby znaleźć lokalizację dzierżawy, zaloguj się do centrum administracyjnego Microsoft Intune, wybierz pozycję Administracja> dzierżawąSzczegóły> dzierżawyLokalizacja dzierżawy o wartości Ameryka Północna 0501 lub podobnej. Korzystając z regionu w lokalizacji (Ameryka Północna w Ameryka Północna 0501), zapoznaj się z następującą tabelą, aby zapoznać się z wymaganymi punktami końcowymi i portami usługi CDN:
| Region | CDN | Port |
|---|---|---|
| Ameryka Północna | macsidecar.manage.microsoft.commacsidecarprod.azureedge.net(Od marca 2025 r. domeny azureedge.net będą migrowane do manage.microsoft.com) |
TCP: 443 |
| Europie | macsidecareu.manage.microsoft.commacsidecarprodeu.azureedge.net(Od marca 2025 r. domeny azureedge.net będą migrowane do manage.microsoft.com) |
TCP: 443 |
| Azja i Pacyfik | macsidecarap.manage.microsoft.commacsidecarprodap.azureedge.net(Od marca 2025 r. domeny azureedge.net będą migrowane do manage.microsoft.com) |
TCP: 443 |
Wymagania sieciowe dotyczące skryptów programu PowerShell i aplikacji Win32
Jeśli używasz Intune dla scenariuszy korzystających z rozszerzenia zarządzania Intune, takiego jak wdrażanie aplikacji Win32, skryptów programu PowerShell, korygowania, analizy punktów końcowych, niestandardowych zasad zgodności lub profilów konfiguracji systemu BIOS, musisz również udzielić dostępu do punktów końcowych, w których obecnie znajduje się dzierżawa.
Różne punkty końcowe są używane w zależności od lokalizacji dzierżawy. Aby znaleźć lokalizację dzierżawy, zaloguj się do centrum administracyjnego Microsoft Intune, wybierz pozycję Administracja> dzierżawąSzczegóły> dzierżawyLokalizacja dzierżawy o wartości Ameryka Północna 0501 lub podobnej. Korzystając z regionu w lokalizacji (Ameryka Północna w Ameryka Północna 0501), zapoznaj się z następującą tabelą, aby zapoznać się z wymaganymi punktami końcowymi i portami usługi CDN:
Uwaga
Zezwalaj na częściową odpowiedź HTTP jest wymagana dla skryptów & punktów końcowych aplikacji Win32.
| Region | CDN | Port |
|---|---|---|
| Ameryka Północna | naprodimedatapri.azureedge.netnaprodimedatasec.azureedge.netnaprodimedatahotfix.azureedge.netimeswda-afd-primary.manage.microsoft.comimeswda-afd-secondary.manage.microsoft.comimeswda-afd-hotfix.manage.microsoft.com(Od marca 2025 r. domeny azureedge.net będą migrowane do manage.microsoft.com) |
TCP: 443 |
| Europie | euprodimedatapri.azureedge.neteuprodimedatasec.azureedge.neteuprodimedatahotfix.azureedge.netimeswdb-afd-primary.manage.microsoft.comimeswdb-afd-secondary.manage.microsoft.comimeswdb-afd-hotfix.manage.microsoft.com(Od marca 2025 r. domeny azureedge.net będą migrowane do manage.microsoft.com) |
TCP: 443 |
| Azja i Pacyfik | approdimedatapri.azureedge.netapprodimedatasec.azureedge.netapprodimedatahotfix.azureedge.netimeswdc-afd-primary.manage.microsoft.comimeswdc-afd-secondary.manage.microsoft.comimeswdc-afd-hotfix.manage.microsoft.com(Od marca 2025 r. domeny azureedge.net będą migrowane do manage.microsoft.com) |
TCP: 443 |
W przypadku danych diagnostycznych używanych do monitorowania kondycji składników po stronie klienta:
*.events.data.microsoft.com
Autopoprawka Windows
Aby uzyskać więcej informacji na temat wymaganych punktów końcowych dla autowłaszczania systemu Windows, zobacz Wymagania wstępne dotyczące automatycznego wypychania systemu Windows.
narzędzie diagnostyki łączności usługi Azure Front Door
Aby ułatwić weryfikowanie łączności z adresami IP usługi Azure Front Door (AFD) używanymi przez Intune, skrypt Test-IntuneAFDConnectivity.ps1 może służyć do testowania łączności z wymaganymi zakresami adresów IP i punktami końcowymi usługi AFD.
To narzędzie diagnostyczne obejmuje sprawdzanie:
- Rozpoznawanie punktów końcowych usługi Intune DNS
- Wychodząca łączność TCP na portach 80 i 443 z adresami IP AFD
- Sprawdzanie poprawności protokołu HTTPS do usługi w chmurze Intune
Wymagania wstępne
Przed uruchomieniem skryptu upewnij się, że masz następujące elementy:
- Program PowerShell 5.1 lub nowszy
- Łączność z punktami końcowymi sieci dla Microsoft Intune zgodnie z definicją w tym artykule.
Zastosowanie
Uruchom skrypt z urządzenia zarządzanego przez Intune, aby przetestować łączność z punktami końcowymi sieci Intune przy użyciu usługi Azure Front Door.
Otwórz program PowerShell i użyj następującej składni:
| Chmura | Polecenia | Uwagi |
|---|---|---|
| Chmura publiczna (domyślna) | .\Test-IntuneAFDConnectivity.ps1 |
Testuje łączność ze środowiskami chmury publicznej |
| Chmura dla instytucji rządowych | .\Test-IntuneAFDConnectivity.ps1 -CloudType gov |
Testuje łączność ze środowiskami US Government, GCC High i DoD |
| Eksportowanie wyników ze szczegółowym rejestrowaniem | .\Test-IntuneAFDConnectivity.ps1 -LogLevel Detailed -OutputPath "C:\Logs" -Verbose |
Uruchamia testy ze szczegółowym rejestrowaniem i zapisuje wyniki w określonym katalogu danych wyjściowych |
Rozwiązywanie problemów
Jeśli skrypt zgłasza błąd (kod zakończenia 1):
Jeśli testy adresów IP usługi Azure Front Door pokazują nieudane adresy IP lub zakresy adresów IP: Zapora, serwer proxy lub sieć VPN mogą blokować połączenia wychodzące na portach 443 lub 80 z tymi Azure adresami IP usługi Front Door.
Jeśli w teście punktu końcowego usługi jest wyświetlany komunikat "Punkt końcowy HTTPS jest nieosiągalny": Wymagane nazwy FQDN usługi Intune lub Azure adresy IP usługi Front Door mogą być niedostępne lub problem z inspekcją DNS, serwera proxy lub protokołu HTTPS uniemożliwia połączenie z nazwą FQDN usługi Intune.
Przejrzyj punkty końcowe sieci pod kątem Microsoft Intune (jak opisano w tym artykule) i upewnij się, że zapora, sieć VPN lub serwer proxy zezwala na wszystkie wymagane nazwy FQDN usługi Intune, Azure zakresy adresów IP i porty usługi Front Door.
Sprawdź szczegółowe wyniki w zapisanym pliku wyjściowym lub uruchom skrypt ze szczegółowym rejestrowaniem (-LogLevel Detailed i -Verbose), aby przechwycić więcej informacji diagnostycznych.
Skonsolidowana lista punktów końcowych
Aby ułatwić konfigurowanie usług za pośrednictwem zapór, poniżej znajduje się skonsolidowana lista nazw FQDN i podsieci IP używanych przez urządzenia zarządzane Intune.
Te listy obejmują tylko te punkty końcowe, które są używane przez Intune zarządzanych urządzeń. Te listy nie zawierają dodatkowych punktów końcowych, które zostały dostarczone przez usługę Office 365 Endpoint, ale nie są używane przez Intune.
Nazwy fqdn
*.manage.microsoft.com
manage.microsoft.com
*.dl.delivery.mp.microsoft.com
*.do.dsp.mp.microsoft.com
*.update.microsoft.com
*.windowsupdate.com
adl.windows.com
dl.delivery.mp.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com
time.windows.com
*.s-microsoft.com
clientconfig.passport.net
windowsphone.com
approdimedatahotfix.azureedge.net
approdimedatapri.azureedge.net
approdimedatasec.azureedge.net
euprodimedatahotfix.azureedge.net
euprodimedatapri.azureedge.net
euprodimedatasec.azureedge.net
naprodimedatahotfix.azureedge.net
naprodimedatapri.azureedge.net
naprodimedatasec.azureedge.net
swda01-mscdn.azureedge.net
swda02-mscdn.azureedge.net
swdb01-mscdn.azureedge.net
swdb02-mscdn.azureedge.net
swdc01-mscdn.azureedge.net
swdc02-mscdn.azureedge.net
swdd01-mscdn.azureedge.net
swdd02-mscdn.azureedge.net
swdin01-mscdn.azureedge.net
swdin02-mscdn.azureedge.net
*.notify.windows.com
*.wns.windows.com
ekcert.spserv.microsoft.com
ekop.intel.com
ftpm.amd.com
intunecdnpeasd.azureedge.net
*.monitor.azure.com
*.support.services.microsoft.com
*.trouter.communication.microsoft.com
*.trouter.skype.com
*.trouter.teams.microsoft.com
api.flightproxy.skype.com
ecs.communication.microsoft.com
edge.microsoft.com
edge.skype.com
remoteassistanceprodacs.communication.azure.com
remoteassistanceprodacseu.communication.azure.com
remotehelp.microsoft.com
wcpstatic.microsoft.com
lgmsapeweu.blob.core.windows.net
intunemaape1.eus.attest.azure.net
intunemaape10.weu.attest.azure.net
intunemaape11.weu.attest.azure.net
intunemaape12.weu.attest.azure.net
intunemaape13.jpe.attest.azure.net
intunemaape17.jpe.attest.azure.net
intunemaape18.jpe.attest.azure.net
intunemaape19.jpe.attest.azure.net
intunemaape2.eus2.attest.azure.net
intunemaape3.cus.attest.azure.net
intunemaape4.wus.attest.azure.net
intunemaape5.scus.attest.azure.net
intunemaape7.neu.attest.azure.net
intunemaape8.neu.attest.azure.net
intunemaape9.neu.attest.azure.net
*.webpubsub.azure.com
*.gov.teams.microsoft.us
remoteassistanceweb.usgov.communication.azure.us
config.edge.skype.com
contentauthassetscdn-prod.azureedge.net
contentauthassetscdn-prodeur.azureedge.net
contentauthrafcontentcdn-prod.azureedge.net
contentauthrafcontentcdn-prodeur.azureedge.net
fd.api.orgmsg.microsoft.com
ris.prod.api.personalization.ideas.microsoft.com
Podsieci IP
4.145.74.224/27
4.150.254.64/27
4.154.145.224/27
4.200.254.32/27
4.207.244.0/27
4.213.25.64/27
4.213.86.128/25
4.216.205.32/27
4.237.143.128/25
13.67.13.176/28
13.67.15.128/27
13.69.67.224/28
13.69.231.128/28
13.70.78.128/28
13.70.79.128/27
13.74.111.192/27
13.77.53.176/28
13.86.221.176/28
13.89.174.240/28
13.89.175.192/28
20.37.153.0/24
20.37.192.128/25
20.38.81.0/24
20.41.1.0/24
20.42.1.0/24
20.42.130.0/24
20.42.224.128/25
20.43.129.0/24
20.44.19.224/27
20.91.147.72/29
20.168.189.128/27
20.189.172.160/27
20.189.229.0/25
20.191.167.0/25
20.192.159.40/29
20.192.174.216/29
20.199.207.192/28
20.204.193.10/31
20.204.193.12/30
20.204.194.128/31
20.208.149.192/27
20.208.157.128/27
20.214.131.176/29
40.67.121.224/27
40.70.151.32/28
40.71.14.96/28
40.74.25.0/24
40.78.245.240/28
40.78.247.128/27
40.79.197.64/27
40.79.197.96/28
40.80.180.208/28
40.80.180.224/27
40.80.184.128/25
40.82.248.224/28
40.82.249.128/25
40.84.70.128/25
40.119.8.128/25
48.218.252.128/25
52.150.137.0/25
52.162.111.96/28
52.168.116.128/27
52.182.141.192/27
52.236.189.96/27
52.240.244.160/27
57.151.0.192/27
57.153.235.0/25
57.154.140.128/25
57.154.195.0/25
57.155.45.128/25
68.218.134.96/27
74.224.214.64/27
74.242.35.0/25
104.46.162.96/27
104.208.197.64/27
172.160.217.160/27
172.201.237.160/27
172.202.86.192/27
172.205.63.0/25
172.212.214.0/25
172.215.131.0/27
13.107.219.0/24
13.107.227.0/24
13.107.228.0/23
150.171.97.0/24
2620:1ec:40::/48
2620:1ec:49::/48
2620:1ec:4a::/47
Zawartość pokrewna
Adresy URL i zakresy adresów IP usługi Office 365
Omówienie łączności sieciowej platformy Microsoft 365
Sieci dostarczania zawartości (CDN)
Inne punkty końcowe nie są uwzględnione w usłudze sieci Web Office 365 adresów IP i adresów URL