本文列出了美国政府、美国政府社区 (GCC) High 以及国防部 (DoD) Intune部署中的代理设置所需的终结点。
开始之前
若要管理防火墙和代理服务器后面的设备,必须启用 Intune 的通信。
- 代理服务器必须支持 HTTP (80) 和 HTTPS (443) 。 Intune客户端同时使用这两种协议。
- 对于某些任务 ((例如下载软件更新) ),Intune需要未经身份验证的代理服务器访问
manage.microsoft.us。
可以修改单个客户端计算机上的代理服务器设置。 还可以使用“组策略”设置来更改位于指定代理服务器后面的所有客户端计算机的设置。
托管的设备需要允许“所有用户”通过防火墙访问服务的配置。
在 或
has.spserv.microsoft.com终结点上*.manage.microsoft.us不支持检查 SSL 流量。
有关美国政府客户的 Windows 自动注册和设备注册的详细信息,请参阅 设置 Windows 的自动注册。
端口和 IP 地址列表
下表列出了Intune客户端访问的服务终结点、IP 地址和端口。
Intune终结点还使用 Azure Front Door 与 Intune 服务通信。 Intune JSON 文件中引用AzureFrontDoor.MicrosoftSecurity了特定终结点。 有关使用 Azure Front Door 的所有服务的完整列表以及使用 JSON 文件的说明,请参阅 Azure Front Door IP 范围和服务标记。
| 端点 | IP 地址 |
|---|---|
| *.manage.microsoft.us | 52.227.99.114 20.141.108.112 13.72.17.166 52.126.185.115 52.227.211.91 23.97.10.212 52.227.29.124 52.247.174.16 52.227.29.244 52.227.208.144 52.227.1.233 20.141.104.221 52.247.134.218 20.141.78.227 13.77.236.201 62.10.86.128/25 62.10.87.128/25 20.159.110.0/25 20.159.111.0/25 Azure Front Door: 51.54.53.136/29 51.54.114.160/29 62.11.173.176/29 |
| enterpriseregistration.microsoftonline.us | 13.72.188.239 13.72.55.179 |
美国政府客户指定的终结点
- Azure 门户:
https://portal.azure.us/ - Microsoft 365:
https://portal.office365.us/ - Intune 公司门户:
https://portal.manage.microsoft.us/ - Microsoft Intune管理中心:
https://intune.microsoft.us/
PowerShell 脚本和 Win32 应用的网络要求
如果使用 Intune 部署 PowerShell 脚本或 Win32 应用,则还需要授予对租户当前所在的终结点的访问权限。
| Azure 缩放单元 (ASU) | 存储名称 | CDN |
|---|---|---|
| FXPASU01 | sovereignprodimedatapri sovereignprodimedatasec sovereignprodimedatahotfix |
sovereignprodimedatapri.azureedge.net sovereignprodimedatasec.azureedge.net sovereignprodimedatahotfix.azureedge.net |
对于用于监视客户端组件的运行状况的诊断数据:
*.events.data.microsoft.com
Microsoft Defender for Endpoint
有关配置 Defender for Endpoint 连接的详细信息,请参阅 连接要求。
若要支持 Defender for Endpoint 安全设置管理,请允许以下主机名通过防火墙。
对于客户端与云服务之间的通信:
*.dm.microsoft.us- 通配符的使用支持用于注册、签入和报告的云服务终结点,这些终结点可能会随着服务的扩展而更改。重要
Microsoft Defender for Endpoint所需的终结点不支持 SSL 检查。
Microsoft Intune Endpoint Privilege Management
若要支持Endpoint Privilege Management,请允许以下主机名通过防火墙。
对于客户端与云服务之间的通信:
*.dm.microsoft.us- 通配符的使用支持用于注册、签入和报告的云服务终结点,这些终结点可能会随着服务的扩展而更改。重要
Endpoint Privilege Management所需的终结点不支持 SSL 检查。
有关详细信息,请参阅Endpoint Privilege Management概述。
Intune依赖的合作伙伴服务终结点
- Azure AD Sync服务:
https://syncservice.gov.us.microsoftonline.com/DirectoryService.svc - Evo STS:
https://login.microsoftonline.us - 目录代理:
https://directoryproxy.microsoftazure.us/DirectoryProxy.svc - Azure AD Graph:
https://directory.microsoftazure.us和https://graph.microsoftazure.us - MS Graph:
https://graph.microsoft.us - ADRS:
https://enterpriseregistration.microsoftonline.us
Windows 推送通知服务
在使用移动设备管理 (MDM) 管理的 Intune 托管设备上,设备操作和其他即时活动需要使用 Windows 推送通知服务 (WNS)。 有关详细信息,请参阅支持 WNS 流量的企业防火墙和代理配置
Apple 设备网络信息
| 用途 | 主机名(IP 地址/子网) | 协议 | 端口 |
|---|---|---|---|
| 检索并显示 Apple 服务器的内容 | itunes.apple.com *.itunes.apple.com *.mzstatic.com *.phobos.apple.com *.phobos.itunes-apple.com.akadns.net |
HTTP | 80 |
| 与 APNS 服务器通信 | #-courier.push.apple.com “#”是 0 到 50 范围内的一个随机数字。 |
TCP | 5223 和 443 |
| 各种功能,包括访问 Internet、iTunes 商店、macOS 应用商店、iCloud、消息等。 | phobos.apple.com ocsp.apple.com ax.itunes.apple.com ax.itunes.apple.com.edgesuite.net |
HTTP/HTTPS | 80 或 443 |
有关更多信息,请参阅:
- Apple 软件产品使用的 TCP 和 UDP 端口
- 关于 macOS、iOS/iPadOS 和 iTunes 服务器主机连接和 iTunes 后台进程
- 如果你的 macOS 和 iOS/iPadOS 客户端不获取 Apple 推送通知