Zulässige IP-Adressen und Domänen-URLs

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018

Wenn Ihre Organisation mit einer Firewall oder einem Proxyserver gesichert ist, müssen Sie bestimmte Internetprotokolladressen (IP)-Adressen und domäneneinheitlichen Ressourcen-Locators (URLs) zur Allowlist hinzufügen. Wenn Sie diese IPs und URLs zur Allowlist hinzufügen, können Sie sicherstellen, dass Sie die beste Erfahrung mit Azure DevOps haben. Sie wissen, dass Sie Ihre Allowlist aktualisieren müssen, wenn Sie nicht auf Azure DevOps im Netzwerk zugreifen können. Siehe die folgenden Abschnitte in diesem Artikel:

Tipp

Damit Visual Studio und Azure Services ohne Netzwerkprobleme gut funktionieren, sollten Sie die Ports und Protokolle öffnen. Weitere Informationen finden Sie unter Installieren und Verwenden von Visual Studio hinter einer Firewall oder einem Proxyserver, Verwenden von Visual Studio und Azure Services.

Domänen-URLs, die zulässig sind

Netzwerkverbindungsprobleme könnten aufgrund Ihrer Sicherheitsgeräte auftreten, die Verbindungen blockieren können – Visual Studio TLS 1.2 und höher verwendet. Wenn Sie NuGet oder eine Verbindung von Visual Studio 2015 und höher herstellen, aktualisieren Sie die Sicherheitsgeräte, um TLS 1.2 und höher für die folgenden Verbindungen zu unterstützen.

Um sicherzustellen, dass Ihre Organisation mit allen vorhandenen Firewall- oder IP-Einschränkungen funktioniert, stellen Sie sicher, dass dev.azure.com sie *.dev.azure.com geöffnet sind.

Im folgenden Abschnitt finden Sie die am häufigsten verwendeten Domänen-URLs zur Unterstützung von Anmelde- und Lizenzierungsverbindungen.


https://*.dev.azure.com
https://*.vsassets.io
https://*gallerycdn.vsassets.io
https://*vstmrblob.vsassets.io
https://aadcdn.msauth.net
https://aadcdn.msftauth.net
https://aex.dev.azure.com
https://aexprodea1.vsaex.visualstudio.com
https://amcdn.msftauth.net
https://amp.azure.net
https://app.vssps.dev.azure.com
https://app.vssps.visualstudio.com
https://*.vsblob.visualstudio.com
https://*.vssps.visualstudio.com
https://*.vstmr.visualstudio.com
https://azure.microsoft.com
https://azurecomcdn.azureedge.net
https://cdn.vsassets.io
https://dev.azure.com
https://go.microsoft.com
https://graph.microsoft.com
https://live.com
https://login.live.com
https://login.microsoftonline.com
https://management.azure.com
https://management.core.windows.net
https://microsoft.com
https://microsoftonline.com
https://static2.sharepointonline.com
https://visualstudio.com
https://vsrm.dev.azure.com
https://vstsagentpackage.azureedge.net
https://*windows.net
https://app.vssps.visualstudio.com 
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com
Verschiedene Domänen-URL-Beschreibungen
  • https://*gallerycdn.vsassets.io: Hosts Azure DevOps Erweiterungen
  • https://*vstmrblob.vsassets.io: Hosts Azure DevOps TCM-Protokolldaten
  • https://cdn.vsassets.io:Hosten Azure DevOps Inhaltsübermittlungsnetzwerke (CDNs)
  • https://static2.sharepointonline.com:hosten einige Ressourcen, die Azure DevOps im Ui Kit "office fabric" für Schriftarten und so weiter verwendet werden.
  • https://vsrm.dev.azure.com: Hosts-Paketfeeds

Wir empfehlen Ihnen, den Port 443 für alle Datenverkehr auf diesen IP-Adressen und Domänen zu öffnen. Außerdem wird empfohlen, den Port 22 auf eine kleinere Teilmenge von gezielten IP-Adressen zu öffnen.

Hinweis

Azure DevOps verwendet Content Delivery Networks (CDNs) zum Bereitstellen statischer Inhalte. Benutzer in China sollten auch die folgenden Domänen-URLs zu einer Allowlist hinzufügen:

https://*.vsassetscdn.azure.cn
https://*.gallerycdn.azure.cn

Weitere Domänen-URLs

Azure Artifacts

Stellen Sie sicher, dass die folgenden Domänen-URLs für Azure Artifacts zulässig sind:

https://*.blob.core.windows.net
https://*.visualstudio.com

Zulassen aller IP-Adressen im "Name": "Storage.{ bereich}" Abschnitt der folgenden Datei (wöchentlich aktualisiert): Azure IP-Bereiche und Diensttags - Public Cloud. {region} ist dieselbe Azure-Geographie wie Ihre Organisation.

NuGet-Verbindungen

Stellen Sie sicher, dass die folgenden Domänen-URLs für NuGet Verbindungen zulässig sind:

https://azurewebsites.net
https://nuget.org

Hinweis

Private NuGet Server-URLs sind möglicherweise nicht in der vorherigen Liste enthalten. Sie können die NuGet Server überprüfen, die Sie verwenden, indem Sie öffnen%APPData%\Nuget\NuGet.Config.

SSH-Verbindungen

Wenn Sie eine Verbindung mit Git-Repositorys auf Azure DevOps mit SSH herstellen müssen, können Sie Anforderungen an Port 22 für die folgenden Hosts zulassen:


ssh.dev.azure.com
vs-ssh.visualstudio.com

Zulassen von IP-Adressen im Abschnitt "AzureDevOps" dieser herunterladbaren Datei (aktualisiert wöchentlich): Azure IP-Bereiche und Servicetags - Public Cloud

Azure Pipelines von Microsoft gehosteten Agents

Wenn Sie Microsoft gehosteten Agent verwenden, um Ihre Aufträge auszuführen, und Sie benötigen die Informationen zu den IP-Adressen, die verwendet werden, finden Sie unter Microsoft gehostete Agents-IP-Bereiche. Weitere Informationen finden Sie unter allen Virtuellen Computer-Set-Agents für den virtuellen Computer.

Weitere Informationen zu gehosteten Windows-, Linux- und macOS-Agents finden Sie unter Microsoft gehostete Agent-IP-Bereiche.

Azure Pipelines selbst gehosteten Agents

Wenn Sie eine Firewall ausführen und sich ihr Code in Azure Repos befindet, finden Sie häufig gestellte Fragen zu selbst gehosteten Linux-Agents, häufig gehosteten macOS-AgentsfaQs oder selbst gehosteten Windows Agents faQs. Dieser Artikel enthält Informationen darüber, mit welchen Domänen-URLs und IP-Adressen Ihr privater Agent kommunizieren muss.

IP-Adressen und Bereichseinschränkungen

Ausgehende Verbindungen

Ausgehende Verbindungen stammen aus Ihrer Organisation und zielen auf Azure DevOps oder andere abhängige Websites ab. Beispiele für solche Verbindungen sind:

  • Browser, die mit Azure DevOps Website verbunden sind, wenn Benutzer zu Azure DevOps wechseln und Features verwenden
  • Azure Pipelines Agents, die auf dem Netzwerk Ihrer Organisation installiert sind, die mit Azure DevOps verbunden ist, um nach ausstehenden Aufträgen zu suchen
  • CI-Ereignisse, die aus einem Quellcode-Repository gesendet werden, das im Netzwerk Ihrer Organisation gehostet wird, um Azure DevOps

Stellen Sie sicher, dass die folgenden IP-Adressen für ausgehende Verbindungen zulässig sind, sodass Ihre Organisation mit vorhandenen Firewall- oder IP-Einschränkungen funktioniert. Die Endpunktdaten in den folgenden Diagrammen enthält Anforderungen für die Konnektivität von einem Computer in Ihrer Organisation bis zu Azure DevOps Services.


13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24

Wenn Sie derzeit die Adressen und 13.107.9.183 IP-Adressen 13.107.6.183 zulassen, lassen Sie sie an Ort und Stelle, da Sie sie nicht entfernen müssen.

Hinweis

Azure Service Tags werden für ausgehende Verbindungen nicht unterstützt.

Eingehende Verbindungen

Eingehende Verbindungen stammen aus Azure DevOps und Zielressourcen im Netzwerk Ihrer Organisation. Beispiele für solche Verbindungen sind:

Stellen Sie sicher, dass die folgenden IP-Adressen für eingehende Verbindungen zulässig sind, sodass Ihre Organisation mit vorhandenen Firewall- oder IP-Einschränkungen funktioniert. Die Endpunktdaten im folgenden Diagramm enthält Anforderungen für die Konnektivität von Azure DevOps Services zu Ihren lokalen oder anderen Clouddiensten.

  Region IP V4-Bereiche
Australien (Osten) 20.37.194.0/24
Australien, Südosten 20.42.226.0/24
Brasilien Süd 191.235.226.0/24
Kanada, Mitte 52.228.82.0/24
Asien-Pazifik, (Singapur) 20.195.68.0/24
Indien (Süden) 20.41.194.0/24
Zentrale USA 20.37.158.0/23
West Central USA 52.150.138.0/24
Ost-USA 20.42.5.0/24
Ost 2 USA 20.41.6.0/23
Nord-USA 40.80.187.0/24
Süd-USA 40.119.10.0/24
West-USA 40.82.252.0/24
West 2 USA 20.42.134.0/23
Europa, Westen 40.74.28.0/23
Vereinigtes Königreich Süd 51.104.26.0/24

Azure Service Tags werden für eingehende Verbindungen unterstützt. Anstatt die zuvor aufgeführten IP-Bereiche zuzulassen, können Sie das AzureDevOps-Diensttag für Azure Firewall- und Netzwerksicherheitsgruppe (NSG) oder lokale Firewall über einen JSON-Dateidownload verwenden.

Hinweis

Das Diensttag oder zuvor erwähnte eingehende IP-Adressen gelten nicht für Microsoft Hosted Agents. Kunden sind weiterhin erforderlich, um die gesamte Geographie für die Microsoft Hosted-Agents zuzulassen. Wenn die gesamte Geographie zulässt, empfiehlt es sich, die Azure Virtual Machine Scale Set-Agents zu verwenden. Die Scale Set-Agents sind eine Form von selbst gehosteten Agents, die automatisch skaliert werden können, um Ihre Anforderungen zu erfüllen.
Gehostete macOS-Agents werden in der macOS-Cloud GitHub gehostet. IP-Bereiche können mithilfe der hier angegebenen Anweisungen mithilfe der GitHub Metadaten-API abgerufen werden.

Andere IP-Adressen

Die meisten der folgenden IP-Adressen beziehen sich auf Microsoft 365 Common und Office Online.


40.82.190.38
52.108.0.0/14
52.237.19.6
52.238.106.116/32
52.244.37.168/32
52.244.203.72/32
52.244.207.172/32
52.244.223.198/32
52.247.150.191/32

Weitere Informationen finden Sie unter "Weltweite Endpunkte " und "Hinzufügen von IP-Adressregeln".

Azure DevOps ExpressRoute-Verbindungen

Wenn Ihre Organisation ExpressRoute verwendet, stellen Sie sicher, dass die folgenden IP-Adressen sowohl für ausgehende als auch für eingehende Verbindungen zulässig sind.

13.107.6.175/32
13.107.6.176/32
13.107.6.183/32
13.107.9.175/32
13.107.9.176/32
13.107.9.183/32
13.107.42.18/32
13.107.42.19/32
13.107.42.20/32
13.107.43.18/32
13.107.43.19/32
13.107.43.20/32

Weitere Informationen zu Azure DevOps und ExpressRoute finden Sie unter ExpressRoute für Azure DevOps.

Azure DevOps Importdienst

Während des Importvorgangs wird dringend empfohlen, den Zugriff auf Ihren virtuellen Computer (VM) auf nur IP-Adressen von Azure DevOps einzuschränken. Um den Zugriff einzuschränken, erlauben Sie nur Verbindungen aus dem Satz von Azure DevOps IP-Adressen, die an dem Importvorgang der Sammlungsdatenbank beteiligt waren. Informationen zum Identifizieren der richtigen IP-Adressen finden Sie unter (Optional) Einschränken des Zugriffs auf Azure DevOps Services IPs.