Puntos de conexión de red de Microsoft Intune

En esta página se enumeran las direcciones IP y los valores de puerto necesarios para la configuración del proxy en las implementaciones de Intune.

Como un servicio solo en la nube, Intune no requiere una infraestructura local como servidores o puertas de enlace.

Acceso para dispositivos administrados

Para administrar dispositivos que se encuentren detrás de firewalls y servidores proxy, debe habilitar la comunicación para Intune.

Nota

La información de la sección también se aplica a Microsoft Intune Certificate Connector. El conector tiene los mismos requisitos de red que los dispositivos administrados.

  • El servidor proxy debe ser compatible con HTTP (80) y HTTPS (443), ya que los clientes de Intune usan ambos protocolos. Windows Information Protection utiliza el puerto 444.
  • Para algunas tareas (como descargar actualizaciones de software para el agente de PC clásico), Intune necesita acceso de un servidor proxy no autenticado a manage.microsoft.com.

Puede modificar la configuración del servidor proxy en equipos cliente individuales. También puede usar la opción de directiva de grupo para cambiar la configuración de todos los equipos cliente que se encuentran detrás de un servidor proxy especificado.

Los dispositivos administrados requieren configuraciones que dejen acceder a Todos los usuarios a los servicios a través de firewalls.

En las siguientes tablas se enumeran los puertos y los servicios a los que accede el cliente de Intune:

Dominios Dirección IP
login.microsoftonline.com
*.officeconfig.msocdn.com
config.office.com
graph.windows.net
enterpriseregistration.windows.net
Más información URL de Office 365 e intervalos de direcciones IP
portal.manage.microsoft.com
m.manage.microsoft.com
52.175.12.209
20.188.107.228
52.138.193.149
51.144.161.187
52.160.70.20
52.168.54.64
13.72.226.202
52.189.220.232
wip.mam.manage.microsoft.com 52.187.76.84
13.76.5.121
52.165.160.237
40.86.82.163
52.233.168.142
168.63.101.57
52.187.196.98
52.237.196.51
mam.manage.microsoft.com 104.40.69.125
13.90.192.78
40.85.174.177
40.85.77.31
137.116.229.43
52.163.215.232
52.174.102.180
52.187.196.173
52.156.162.48
*.manage.microsoft.com 104.214.164.192/27
104.46.162.96/27
13.67.13.176/28
13.67.15.128/27
13.69.231.128/28
13.69.67.224/28
13.70.78.128/28
13.70.79.128/27
13.71.199.64/28
13.73.244.48/28
13.74.111.192/27
13.75.39.208/28
13.77.53.176/28
13.86.221.176/28
13.89.174.240/28
13.89.175.192/28
20.189.105.0/24
20.189.172.160/27
20.189.229.0/25
20.191.167.0/25
20.37.153.0/24
20.37.192.128/25
20.38.81.0/24
20.41.1.0/24
20.42.1.0/24
20.42.130.0/24
20.42.224.128/25
20.43.129.0/24
20.44.19.224/27
20.49.93.160/27
40.119.8.128/25
40.67.121.224/27
40.70.151.32/28
40.71.14.96/28
40.74.25.0/24
40.78.245.240/28
40.78.247.128/27
40.79.197.64/27
40.79.197.96/28
40.80.180.208/28
40.80.180.224/27
40.80.184.128/25
40.82.248.224/28
40.82.249.128/25
52.150.137.0/25
52.162.111.96/28
52.168.116.128/27
52.182.141.192/27
52.236.189.96/27
52.240.244.160/27

Requisitos de red para aplicaciones Win32 y scripts de PowerShell

Si usa Intune para implementar scripts de PowerShell o aplicaciones Win32, también deberá conceder acceso a los puntos de conexión en los que reside actualmente el inquilino.

Para buscar la ubicación del inquilino (o la unidad de escalado de Azure, también conocida como ASU), inicie sesión en el Centro de administración de Microsoft Endpoint Manager y elija Administración de inquilinos > Detalles del inquilino. La ubicación aparece en Ubicación de inquilino como algo semejante a Norteamérica 0501 o Europa 0202. Busque el número correspondiente en la siguiente tabla. Esa fila le indicará a qué nombre de almacenamiento y puntos de conexión de CDN debe conceder acceso. Las filas se diferencian por región geográfica, como indican las dos primeras letras de los nombres (na = Norteamérica, eu = Europa, ap = Asia Pacífico). La ubicación del inquilino será una de estas tres regiones, aunque la ubicación geográfica real de la organización podría estar en otro lugar.

Unidad de escalado de Azure (ASU) Nombre de almacenamiento CDN
AMSUA0601
AMSUA0602
AMSUA0101
AMSUA0102
AMSUA0201
AMSUA0202
AMSUA0401
AMSUA0402
AMSUA0501
AMSUA0502
AMSUA0701
AMSUA0702
AMSUA0801
naprodimedatapri
naprodimedatasec
naprodimedatahotfix
naprodimedatapri.azureedge.net
naprodimedatasec.azureedge.net
naprodimedatahotfix.azureedge.net
AMSUB0101
AMSUB0102
AMSUB0201
AMSUB0202
AMSUB0301
AMSUB0302
AMSUB0501
AMSUB0502
AMSUB0601
euprodimedatapri
euprodimedatasec
euprodimedatahotfix
euprodimedatapri.azureedge.net
euprodimedatasec.azureedge.net
euprodimedatahotfix.azureedge.net
AMSUC0101
AMSUC0201
AMSUC0301
AMSUC0501
AMSUD0101
approdimedatapri
approdimedatasec
approdimedatahotifx
approdimedatapri.azureedge.net
approdimedatasec.azureedge.net
approdimedatahotfix.azureedge.net

Servicios de notificaciones de inserción de Windows (WNS)

En los dispositivos de Windows administrados por Intune que se administran mediante administración de dispositivos móviles (MDM), las acciones de dispositivos y otras actividades inmediatas requieren el uso de servicios de notificaciones de inserción de Windows (WNS). Para obtener más información, consulte Permitir el tráfico de notificaciones de Windows a través de firewalls empresariales.

Requisitos de puerto para la optimización de entrega

Requisitos de puerto

En el tráfico de punto a punto, la optimización de entrega usa 7680 para TCP/IP o 3544 para NAT transversal (si lo desea, Teredo). Para la comunicación entre servicio y cliente, utiliza HTTP o HTTPS a través del puerto 80/443.

Requisitos de proxy

Para usar la optimización de entrega, debe permitir las solicitudes de intervalo de bytes. Para más información, vea Requisitos de proxy para Windows Update.

Requisitos de firewall

Permita los nombres de host siguientes a través del firewall para admitir la optimización de entrega. Para la comunicación entre los clientes y el servicio en la nube de optimización de distribución:

  • *.do.dsp.mp.microsoft.com

Para los metadatos de optimización de distribución:

  • *.dl.delivery.mp.microsoft.com
  • *.emdl.ws.microsoft.com

Información de red de dispositivo de Apple

Usado para Nombre de host (dirección IP/subred) Protocolo Puerto
Recuperación y visualización de contenido de los servidores de Apple itunes.apple.com
*.itunes.apple.com
*.mzstatic.com
*.phobos.apple.com
*.phobos.itunes-apple.com.akadns.net
HTTP 80
Comunicaciones con servidores APNS #-courier.push.apple.com
"#" es un número aleatorio entre 0 y 50.
TCP 5223 y 443
Distintas funcionalidades, como acceso a la World Wide Web, iTunes Store, App Store de macOS, iCloud, mensajería, etc. phobos.apple.com
ocsp.apple.com
ax.itunes.apple.com
ax.itunes.apple.com.edgesuite.net
HTTP/HTTPS 80 o 443

Para más información, consulte los artículos Puertos TCP y UDP usados por los productos de software de Apple, Acerca de los procesos en segundo plano de iTunes y las conexiones del host para el servidor de iTunes, iOS/iPadOS y macOS y Si sus clientes macOS e iOS/iPadOS no reciben notificaciones de inserción de Apple.

Información del puerto de Android

En función de cómo decida administrar los dispositivos Android, es posible que tenga que abrir los puertos de Google Android Enterprise o la notificación de inserción de Android. Para obtener más información sobre los métodos de administración de Android admitidos, consulte la documentación de inscripción de Android.

Nota

Como Google Mobile Services no está disponible en China, los clientes en China administrados por Intune no pueden usar características que requieran Google Mobile Services. Estas características incluyen: funciones de Google Play Protect como la atestación de dispositivos SafetyNet, la administración de aplicaciones desde Google Play Store, las funciones de Android Enterprise (consulte esta documentación de Google). Además, la aplicación Portal de empresa de Intune para Android usa Google Mobile Services para comunicarse con el servicio Microsoft Intune. Como los servicios de Google Play no están disponible en China, algunas tareas pueden tardar hasta ocho horas en completarse. Para más información, consulte este artículo.

Android (AOSP)

Usado para Nombre de host (dirección IP/subred) Protocolo Puerto
Descarga e instalación de aplicaciones de Microsoft Intune y Microsoft Authenticator intunecdnpeasd.azureedge.net HTTPS 443

Google Android Enterprise

Google proporciona documentación sobre los puertos de red y los nombres de host de destino obligatorios en la sección Firewall de su documento Android Enterprise Bluebook.

Notificación de inserción de Android

Intune aprovecha la Mensajería en la nube de Firebase (FCM) de Google para notificaciones de inserción a fin de desencadenar acciones e inserciones de dispositivo. Esto es necesario para el Administrador de dispositivos Android y Android Enterprise. Para obtener información sobre los requisitos de red de FCM, vea los puertos de FCM y el firewall de Google.

Análisis de puntos de conexión

Para obtener más información sobre los puntos de conexión necesarios para al análisis de puntos de conexión, consulte Configuración de proxy para el análisis de puntos de conexión.