Zulässige IP-Adressen und Domänen-URLs

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 – TFS 2015

Wenn Ihre Organisation mit einer Firewall oder einem Proxyserver geschützt ist, müssen Sie der Allowlist bestimmte IP-Adressen (Internetprotokoll) und URLs (Uniform Resource Locators) der Domäne hinzufügen. Wenn Sie diese zur Allowlist hinzufügen, können Sie sicherstellen, dass Sie die beste Erfahrung mit Azure DevOps haben. Sie wissen, dass Sie Ihre Allowlist aktualisieren müssen, wenn Sie nicht auf Azure DevOps in Ihrem Netzwerk zugreifen können. Weitere Informationen finden Sie in den folgenden Abschnitten dieses Artikels:

Tipp

Damit Visual Studio und Azure-Dienste ohne Netzwerkprobleme gut funktionieren, sollten Sie ausgewählte Ports und Protokolle öffnen. Weitere Informationen finden Sie unter Installieren und Verwenden von Visual Studio hinter einer Firewall oder einem Proxyserver, Verwenden von Visual Studio und Azure-Diensten.

Zuzulassende Domänen-URLs

Netzwerkverbindungsprobleme können aufgrund Ihrer Sicherheitsgeräte auftreten, die Verbindungen blockieren können– Visual Studio TLS 1.2 und höher verwenden. Wenn Sie NuGet verwenden oder eine Verbindung von Visual Studio 2015 und höher herstellen, aktualisieren Sie die Sicherheitsgeräte, um TLS 1.2 und höher für die folgenden Verbindungen zu unterstützen.

Um sicherzustellen, dass Ihre Organisation mit vorhandenen Firewall- oder IP-Einschränkungen arbeitet, stellen Sie sicher, dass dev.azure.com und *.dev.azure.com geöffnet sind.

Der folgende Abschnitt enthält die gängigsten Domänen-URLs zur Unterstützung von Anmelde- und Lizenzierungsverbindungen.


https://*.dev.azure.com
https://*.vsassets.io
https://*gallerycdn.vsassets.io
https://*vstmrblob.vsassets.io
https://aadcdn.msauth.net
https://aadcdn.msftauth.net
https://aex.dev.azure.com
https://aexprodea1.vsaex.visualstudio.com
https://amcdn.msftauth.net
https://amp.azure.net
https://app.vssps.dev.azure.com
https://app.vssps.visualstudio.com
https://*.vsblob.visualstudio.com
https://*.vssps.visualstudio.com
https://*.vstmr.visualstudio.com
https://azure.microsoft.com
https://azurecomcdn.azureedge.net
https://cdn.vsassets.io
https://dev.azure.com
https://go.microsoft.com
https://graph.microsoft.com
https://live.com
https://login.live.com
https://login.microsoftonline.com
https://management.azure.com
https://management.core.windows.net
https://microsoft.com
https://microsoftonline.com
https://static2.sharepointonline.com
https://visualstudio.com
https://vsrm.dev.azure.com
https://vstsagentpackage.azureedge.net
https://windows.net
https://login.microsoftonline.com
https://app.vssps.visualstudio.com 
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com
Verschiedene Domänen-URL-Beschreibungen
  • https://*gallerycdn.vsassets.io: Hosts Azure DevOps Erweiterungen
  • https://*vstmrblob.vsassets.io: Hosts Azure DevOps TCM-Protokolldaten
  • https://cdn.vsassets.io:hosts Azure DevOps Content Delivery Networks-Inhalte (CDNs)
  • https://static2.sharepointonline.com:hostet einige Ressourcen, die Azure DevOps im "Office Fabric"-UI-Kit für Schriftarten verwenden usw.
  • https://vsrm.dev.azure.com: Hosten von Paketfeeds

Es wird empfohlen, den Port 443 für den gesamten Datenverkehr dieser IP-Adressen und Domänen zu öffnen. Es wird auch empfohlen, den Port 22 für eine kleinere Teilmenge der ZIEL-IP-Adressen zu öffnen.

Hinweis

Azure DevOps verwendet Content Delivery Networks (CDNs) zum Bedienen statischer Inhalte. Benutzer in China sollten einer Allowlist auch die folgenden Domänen-URLs hinzufügen:

https://*.vsassetscdn.azure.cn
https://*.gallerycdn.azure.cn

Weitere Domänen-URLs

Azure Artifacts

Stellen Sie sicher, dass die folgenden Domänen-URLs für Azure Artifacts zulässig sind:

https://*.blob.core.windows.net
https://*.visualstudio.com

Lassen Sie auch alle IP-Adressen im Namen zu: "Storage.{ region}" der folgenden Datei (wöchentlich aktualisiert): Azure-IP-Adressbereiche und Diensttags – Öffentliche Cloud. {region} ist die gleiche Azure-Geografie wie Ihre Organisation.

NuGet-Verbindungen

Stellen Sie sicher, dass die folgenden Domänen-URLs für NuGet Verbindungen zulässig sind:

https://azurewebsites.net
https://nuget.org

Hinweis

Private NuGet Server-URLs sind möglicherweise nicht in der vorherigen Liste enthalten. Sie können die NuGet Server überprüfen, die Sie verwenden, indem Sie öffnen%APPData%\Nuget\NuGet.Config.

SSH-Verbindungen

Wenn Sie über SSH eine Verbindung mit Git-Repositorys auf Azure DevOps herstellen müssen, lassen Sie Anforderungen an Port 22 für die folgenden Hosts zu:


ssh.dev.azure.com
vs-ssh.visualstudio.com

Lassen Sie auch IP-Adressen im Abschnitt "Name": "AzureDevOps" dieser herunterladbaren Datei (wöchentlich aktualisiert) mit dem Namen Azure IP ranges and Service Tags - Public Cloud (Azure-IP-Adressbereiche und Diensttags – Öffentliche Cloud) zu.

Azure Pipelines von Microsoft gehosteten Agents

Wenn Sie den von Microsoft gehosteten Agent zum Ausführen Ihrer Aufträge verwenden und informationen dazu benötigen, welche IP-Adressen verwendet werden, finden Sie weitere Informationen unter IP-Bereiche für von Microsoft gehostete Agents. Sehen Sie sich alle Agents für Azure-VM-Skalierungssets an.

Weitere Informationen zu gehosteten Windows, Linux- und macOS-Agents finden Sie unter IP-Bereiche für von Microsoft gehostete Agents.

Azure Pipelines selbstgehostete Agents

Wenn Sie eine Firewall ausführen und sich Ihr Code in Azure Repos befindet, finden Sie weitere Informationen unter Häufig gestellte Fragen zu selbstgehosteten Linux-Agents, häufig gestellte Fragen zu selbstgehosteten macOS-Agents oder häufig gestellte Fragen zu selbstgehosteten Windows-Agents. Dieser Artikel enthält Informationen darüber, mit welchen Domänen-URLs und IP-Adressen Ihr privater Agent kommunizieren muss.

IP-Adressen und Bereichseinschränkungen

Ausgehende Verbindungen

Ausgehende Verbindungen stammen aus Ihrer Organisation und sind auf Azure DevOps oder andere abhängige Standorte ausgerichtet. Beispiele für solche Verbindungen sind:

  • Browser, die eine Verbindung mit Azure DevOps Website herstellen, während Benutzer zu Azure DevOps
  • Azure Pipelines Agents, die im Netzwerk Ihrer Organisation installiert sind und eine Verbindung mit Azure DevOps herstellen, um ausstehende Aufträge abzufragen
  • CI-Ereignisse, die von einem Quellcoderepository gesendet werden, das im Netzwerk Ihrer Organisation gehostet wird, an Azure DevOps

Stellen Sie sicher, dass die folgenden IP-Adressen für ausgehende Verbindungen zulässig sind, damit Ihre Organisation mit allen vorhandenen Firewall- oder IP-Einschränkungen arbeitet. In den Endpunktdaten im folgenden Diagramm sind die Anforderungen für die Konnektivität zwischen einem Computer in Ihrer Organisation und Azure DevOps Services aufgeführt.


13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24

Wenn Sie derzeit die 13.107.6.183 IP-Adressen und 13.107.9.183 zulassen, lassen Sie sie erhalten, da Sie sie nicht entfernen müssen.

Hinweis

Azure-Diensttags werden für ausgehende Verbindungen nicht unterstützt.

Eingehende Verbindungen

Eingehende Verbindungen stammen aus Azure DevOps und Zielressourcen innerhalb des Netzwerks Ihrer Organisation. Beispiele für solche Verbindungen sind:

Stellen Sie sicher, dass die folgenden IP-Adressen für eingehende Verbindungen zulässig sind, damit Ihre Organisation mit allen vorhandenen Firewall- oder IP-Einschränkungen arbeitet. In den Endpunktdaten im folgenden Diagramm sind die Anforderungen für die Konnektivität von Azure DevOps Services mit Ihren lokalen oder anderen Clouddiensten aufgeführt.

  Region IP V4-Bereiche
Australien (Osten) 20.37.194.0/24
Australien, Südosten 20.42.226.0/24
Brasilien, Süden 191.235.226.0/24
Kanada, Mitte 52.228.82.0/24
Asien-Pazifik, (Singapur) 20.195.68.0/24
Indien (Süden) 20.41.194.0/24
Zentrale USA 20.37.158.0/23
USA "Westen-Mitte" 52.150.138.0/24
East USA 20.42.5.0/24
USA "Osten 2" 20.41.6.0/23
North USA 40.80.187.0/24
USA "Süden" 40.119.10.0/24
West USA 40.82.252.0/24
West 2 USA 20.42.134.0/23
Europa, Westen 40.74.28.0/23
Vereinigtes Königreich, Süden 51.104.26.0/24

Azure-Diensttags werden für eingehende Verbindungen unterstützt. Anstatt die zuvor aufgeführten IP-Adressbereiche zu erlauben, können Sie das Diensttag AzureDevOps für Azure Firewall und Netzwerksicherheitsgruppe (NSG) oder lokale Firewall über einen JSON-Dateidownload verwenden.

Hinweis

Das Diensttag oder zuvor erwähnte eingehende IP-Adressen gelten nicht für von Microsoft gehostete Agents. Kunden müssen weiterhin die gesamte Geografie für die von Microsoft gehosteten Agents zulassen. Wenn das Zulassen der gesamten Geografie ein Problem ist, empfehlen wir die Verwendung der Azure Virtual Machine Scale Set-Agents. Die Skalierungssatz-Agents sind eine Form von selbstge gehosteten Agents, die automatisch skaliert werden können, um Ihre Anforderungen zu erfüllen.
Gehostete macOS-Agents werden in GitHub macOS-Cloud gehostet. IP-Adressbereiche können mithilfe der api für GitHub Metadaten abgerufen werden. Befolgen Sie dazu die hier angegebenen Anweisungen.

Andere IP-Adressen

Die meisten der folgenden IP-Adressen beziehen sich auf Microsoft 365 Common und Office Online.


40.82.190.38
52.108.0.0/14
52.237.19.6
52.238.106.116/32
52.244.37.168/32
52.244.203.72/32
52.244.207.172/32
52.244.223.198/32
52.247.150.191/32

Weitere Informationen finden Sie unter Weltweite Endpunkte und Hinzufügen von IP-Adressregeln.

Azure DevOps ExpressRoute-Verbindungen

Wenn Ihre Organisation ExpressRoute verwendet, stellen Sie sicher, dass die folgenden IP-Adressen sowohl für ausgehende als auch für eingehende Verbindungen zulässig sind.

13.107.6.175/32
13.107.6.176/32
13.107.6.183/32
13.107.9.175/32
13.107.9.176/32
13.107.9.183/32
13.107.42.18/32
13.107.42.19/32
13.107.42.20/32
13.107.43.18/32
13.107.43.19/32
13.107.43.20/32

Weitere Informationen zu Azure DevOps und ExpressRoute finden Sie unter ExpressRoute für Azure DevOps.

Azure DevOps Importdienst

Während des Importvorgangs wird dringend empfohlen, den Zugriff auf Ihren virtuellen Computer (VM) nur auf IP-Adressen von Azure DevOps. Um den Zugriff einzuschränken, lassen Sie nur Verbindungen aus dem Satz Azure DevOps IP-Adressen zu, die am Importvorgang der Sammlungsdatenbank beteiligt waren. Informationen zum Identifizieren der richtigen IP-Adressen finden Sie unter (Optional) Beschränken des Zugriffs auf Azure DevOps Services IP-Adressen.