Netzwerkendpunkte für Microsoft Intune

Artikel
07/01/2022
4 Minuten Lesedauer

Auf dieser Seite werden IP-Adressen und Porteinstellungen aufgelistet, die für Proxyeinstellungen in Ihren Intune-Bereitstellungen benötigt werden.

Da Intune ein Clouddienst ist, ist keine lokale Infrastruktur wie etwa Server oder Gateways erforderlich.

Zugriff für verwaltete Geräte

Sie müssen die Kommunikation für Intune aktivieren, um Geräte hinter Firewalls und Proxyservern zu verwalten.

Hinweis

Die Informationen in diesem Abschnitt gelten auch für den Microsoft Intune Certificate Connector. Der Connector hat die gleichen Netzwerkanforderungen wie verwaltete Geräte.

Der Proxyserver muss sowohl HTTP (80) als auch HTTPS (443) unterstützen, da Intune-Clients beide Protokolle verwenden. Windows Information Protection verwendet Port 444.
Bei einigen Aufgaben (wie dem Herunterladen von Softwareupdates für den klassischen PC-Agent) erfordert Intune Zugriff auf nicht authentifizierte Proxyserver auf „manage.microsoft.com“.

Hinweis

Die Überprüfung des SSL-Datenverkehrs wird für den Endpunkt „manage.microsoft.com“ nicht unterstützt.

Sie können die Proxyservereinstellungen auf einzelnen Clientcomputern festlegen. Sie können zudem Gruppenrichtlinieneinstellungen verwenden, um die Einstellungen für alle Clientcomputer hinter einem bestimmten Proxyserver anzupassen.

Für verwaltete Geräte sind Konfigurationen erforderlich, über die Alle Benutzer über Firewalls auf Dienste zugreifen können.

In den folgenden Tabellen sind die Ports und Dienste aufgeführt, auf die der Intune-Client zugreift:

Domänen	IP-Adresse
login.microsoftonline.com *.officeconfig.msocdn.com config.office.com graph.windows.net enterpriseregistration.windows.net	Weitere Informationen finden Sie unter URLs und IP-Adressbereiche von Office 365
*.manage.microsoft.com manage.microsoft.com	104.214.164.192/27 104.46.162.96/27 13.67.13.176/28 13.67.15.128/27 13.69.231.128/28 13.69.67.224/28 13.70.78.128/28 13.70.79.128/27 13.71.199.64/28 13.73.244.48/28 13.74.111.192/27 13.75.39.208/28 13.77.53.176/28 13.86.221.176/28 13.89.174.240/28 13.89.175.192/28 20.189.105.0/24 20.189.172.160/27 20.189.229.0/25 20.191.167.0/25 20.37.153.0/24 20.37.192.128/25 20.38.81.0/24 20.41.1.0/24 20.42.1.0/24 20.42.130.0/24 20.42.224.128/25 20.43.129.0/24 20.44.19.224/27 20.49.93.160/27 40.119.8.128/25 40.67.121.224/27 40.70.151.32/28 40.71.14.96/28 40.74.25.0/24 40.78.245.240/28 40.78.247.128/27 40.79.197.64/27 40.79.197.96/28 40.80.180.208/28 40.80.180.224/27 40.80.184.128/25 40.82.248.224/28 40.82.249.128/25 52.150.137.0/25 52.162.111.96/28 52.168.116.128/27 52.182.141.192/27 52.236.189.96/27 52.240.244.160/27

Domänen

IP-Adresse

login.microsoftonline.com
*.officeconfig.msocdn.com
config.office.com
graph.windows.net
enterpriseregistration.windows.net

Weitere Informationen finden Sie unter URLs und IP-Adressbereiche von Office 365

*.manage.microsoft.com
manage.microsoft.com

104.214.164.192/27
104.46.162.96/27
13.67.13.176/28
13.67.15.128/27
13.69.231.128/28
13.69.67.224/28
13.70.78.128/28
13.70.79.128/27
13.71.199.64/28
13.73.244.48/28
13.74.111.192/27
13.75.39.208/28
13.77.53.176/28
13.86.221.176/28
13.89.174.240/28
13.89.175.192/28
20.189.105.0/24
20.189.172.160/27
20.189.229.0/25
20.191.167.0/25
20.37.153.0/24
20.37.192.128/25
20.38.81.0/24
20.41.1.0/24
20.42.1.0/24
20.42.130.0/24
20.42.224.128/25
20.43.129.0/24
20.44.19.224/27
20.49.93.160/27
40.119.8.128/25
40.67.121.224/27
40.70.151.32/28
40.71.14.96/28
40.74.25.0/24
40.78.245.240/28
40.78.247.128/27
40.79.197.64/27
40.79.197.96/28
40.80.180.208/28
40.80.180.224/27
40.80.184.128/25
40.82.248.224/28
40.82.249.128/25
52.150.137.0/25
52.162.111.96/28
52.168.116.128/27
52.182.141.192/27
52.236.189.96/27
52.240.244.160/27

Netzwerkanforderungen für PowerShell-Skripts und Win32-Apps

Wenn Sie Intune zum Bereitstellen von PowerShell-Skripts oder Win32-Apps verwenden, müssen Sie auch Zugriff auf Endpunkte gewähren, in denen sich Ihr Mandant derzeit befindet.

Wenn Sie Ihren Mandantenstandort (oder eine Azure-Skalierungseinheit) suchen möchten, melden Sie sich beim Microsoft Endpoint Manager Admin Center an, und wählen Sie Mandantenverwaltung > Mandantendetails aus. Der Speicherort befindet sich unter Mandantenstandort, z. B. „Nordamerika 0501“ oder „Europa 0202“. Suchen Sie in der folgenden Tabelle nach der passenden Nummer. Diese Zeile gibt Aufschluss über den Speichernamen und die CDN-Endpunkte, auf die der Zugriff gewährt werden soll. Die Zeilen unterscheiden sich durch die geografische Region, wie durch die ersten beiden Buchstaben in den Namen (na = Nordamerika, eu = Europa, ap = Asien-Pazifik) angegeben. Ihr Mandantenstandort ist eine dieser drei Regionen, obwohl der tatsächliche geografische Standort Ihrer Organisation woanders liegen kann.

Azure-Skalierungseinheit	Speichername	CDN
AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901	naprodimedatapri naprodimedatasec naprodimedatahotfix	naprodimedatapri.azureedge.net naprodimedatasec.azureedge.net naprodimedatahotfix.azureedge.net
AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701	euprodimedatapri euprodimedatasec euprodimedatahotfix	euprodimedatapri.azureedge.net euprodimedatasec.azureedge.net euprodimedatahotfix.azureedge.net
AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUD0101	approdimedatapri approdimedatasec approdimedatahotifx	approdimedatapri.azureedge.net approdimedatasec.azureedge.net approdimedatahotfix.azureedge.net

Windows-Pushbenachrichtigungsdienste (WNS)

Bei von Intune verwalteten Windows-Geräten, die mithilfe von mobiler Geräteverwaltung verwaltet werden, müssen für Geräteaktionen und andere sofortige Aktivitäten die Windows-Pushbenachrichtigungsdienste verwendet werden. Weitere Informationen finden Sie unter Zulassen von Windows Notification-Datenverkehr durch Unternehmensfirewalls.

Übermittlungsoptimierung bei Portanforderungen

Portanforderungen

Bei Peer-zu-Peer-Datenverkehr verwendet die Übermittlungsoptimierung 7680 für TCP/IP oder 3544 für NAT-Traversal (optional Teredo). Für die Client-Dienst-Kommunikation verwendet sie HTTP oder HTTPS über Port 80/443.

Proxyanforderungen

Um die Übermittlungsoptimierung nutzen zu können, müssen Sie Bytebereichsanforderungen zulassen. Weitere Informationen finden Sie unter Proxyanforderungen für Windows Update.

Firewallanforderungen

Lassen Sie die folgenden Hostnamen durch Ihre Firewall zur Unterstützung der Übermittlungsoptimierung zu. Für die Kommunikation zwischen Clients und dem Clouddienst zur Übermittlungsoptimierung:

*.do.dsp.mp.microsoft.com

Für Metadaten der Übermittlungsoptimierung:

*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com

Informationen zum Netzwerk von Apple-Geräten

Verwendung für	Hostname (IP-Adresse/-Subnetz)	Protokoll	Port
Abrufen und Anzeigen von Inhalten von Apple-Servern	itunes.apple.com .itunes.apple.com .mzstatic.com .phobos.apple.com .phobos.itunes-apple.com.akadns.net	HTTP	80
Kommunikation mit APNs-Servern	#-courier.push.apple.com # ist eine zufällige Zahl zwischen 0 und 50.	TCP	5223 und 443
Verschiedene Funktionen, z.B. Zugriff auf das Internet, den iTunes Store, den Mac App Store, iCloud, Messaging usw.	phobos.apple.com ocsp.apple.com ax.itunes.apple.com ax.itunes.apple.com.edgesuite.net	HTTP/HTTPS	80 oder 443

Weitere Informationen finden Sie unter Verwendung von Apple-Produkten in Unternehmensnetzwerken, Von Apple-Softwareprodukten verwendete TCP- und UDP-Ports, Informationen zu Hostverbindungen für macOS-, iOS/iPadOS- und iTunes-Server und iTunes-Hintergrundprozessen und Wenn Ihre macOS- und iOS/iPadOS-Clients keine Apple Push-Benachrichtigungen empfangen.

Android-Portinformationen

Je nachdem, wie Sie Android-Geräte verwalten möchten, müssen Sie möglicherweise Google Android Enterprise-Ports öffnen und/oder Android-Pushbenachrichtigungen aktivieren. Weitere Informationen zu den unterstützten Verwaltungsmethoden für Android finden Sie in der Dokumentation zur Android-Registrierung.

Hinweis

Da Google Mobile Services in China nicht verfügbar ist, können von Intune verwaltete Geräte in China keine Features nutzen, die Google Mobile Services erfordern. Zu diesen Features gehören: Google Play Protect-Funktionen wie der SafetyNet-Gerätenachweis, die Verwaltung von Apps über den Google Play-Store und Android Enterprise-Funktionen (siehe Google-Dokumentation). Darüber hinaus erfolgt die Kommunikation mit dem Microsoft Intune-Dienst in der Intune-Unternehmensportal-App für Android über Google Mobile Services. Da Google Play Services in China nicht verfügbar ist, kann es bis zu 8 Stunden dauern, bis einige Aufgaben abgeschlossen sind. Weitere Informationen finden Sie in diesem Artikel.

Android (AOSP)

Verwendung für	Hostname (IP-Adresse/-Subnetz)	Protokoll	Port
Herunterladen und Installieren von Microsoft Intune- und Microsoft Authenticator-Apps	intunecdnpeasd.azureedge.net	HTTPS	443

Google Android Enterprise

Google stellt Dokumentationen zu erforderlichen Netzwerkports und Zielhostnamen unter Android Enterprise Bluebook im Abschnitt Firewall bereit.

Android-Pushbenachrichtigungen

Intune nutzt Google Firebase Cloud Messaging (FCM) für Pushbenachrichtigungen, um Geräteaktionen und Check-ins auszulösen. Dies ist für den Android-Geräteadministrator und Android Enterprise erforderlich. Informationen zu den FCM-Netzwerkanforderungen finden Sie in Google unter FCM-Ports und Ihre Firewall.