Points de terminaison réseau pour Microsoft Intune
Cette page liste les adresses IP et les paramètres de port nécessaires pour les paramètres de proxy dans vos déploiements Intune.
En tant que service cloud uniquement, Intune ne nécessite pas d’infrastructure sur site telle que des serveurs ou des passerelles.
Accès pour les appareils gérés
Pour gérer les appareils qui se trouvent derrière des pare-feu et des serveurs proxy, vous devez activer la communication pour Intune.
Notes
Les informations de cette section s’appliquent également à Microsoft Intune Certificate Connector. Le connecteur impose la même configuration réseau requise que les appareils managés.
- Le serveur proxy doit prendre en charge HTTP (80) et HTTPS (443), car les clients Intune utilisent les deux protocoles. Protection des informations Windows utilise le port 444.
- Pour certaines tâches (telles que le téléchargement des mises à jour logicielles pour l’agent de PC classique), Intune nécessite un accès de serveur proxy non authentifié à manage.microsoft.com
Notes
L’inspection du trafic SSL n’est pas prise en charge sur le point de terminaison « manage.microsoft.com ».
Vous pouvez modifier les paramètres du serveur proxy sur des ordinateurs clients. Vous pouvez également utiliser des paramètres de stratégie de groupe pour modifier les paramètres pour tous les ordinateurs clients situés derrière un serveur proxy spécifié.
Les appareils gérés nécessitent des configurations qui permettent à Tous les utilisateurs d’accéder à des services à travers des pare-feu.
Les tableaux suivants répertorient les ports et services auxquels le client Intune accède :
| Domaines | Adresse IP |
|---|---|
| login.microsoftonline.com *.officeconfig.msocdn.com config.office.com graph.windows.net enterpriseregistration.windows.net |
Plus d’informations URL et plages d’adresses IP Office 365 |
| *.manage.microsoft.com manage.microsoft.com |
104.214.164.192/27 104.46.162.96/27 13.67.13.176/28 13.67.15.128/27 13.69.231.128/28 13.69.67.224/28 13.70.78.128/28 13.70.79.128/27 13.71.199.64/28 13.73.244.48/28 13.74.111.192/27 13.75.39.208/28 13.77.53.176/28 13.86.221.176/28 13.89.174.240/28 13.89.175.192/28 20.189.105.0/24 20.189.172.160/27 20.189.229.0/25 20.191.167.0/25 20.37.153.0/24 20.37.192.128/25 20.38.81.0/24 20.41.1.0/24 20.42.1.0/24 20.42.130.0/24 20.42.224.128/25 20.43.129.0/24 20.44.19.224/27 20.49.93.160/27 40.119.8.128/25 40.67.121.224/27 40.70.151.32/28 40.71.14.96/28 40.74.25.0/24 40.78.245.240/28 40.78.247.128/27 40.79.197.64/27 40.79.197.96/28 40.80.180.208/28 40.80.180.224/27 40.80.184.128/25 40.82.248.224/28 40.82.249.128/25 52.150.137.0/25 52.162.111.96/28 52.168.116.128/27 52.182.141.192/27 52.236.189.96/27 52.240.244.160/27 |
Configuration réseau requise pour les scripts PowerShell et les applications Win32
Si vous utilisez Intune pour déployer des scripts PowerShell ou des applications Win32, vous devez également accorder l’accès aux points de terminaison où votre locataire se trouve actuellement.
Pour trouver la localisation de votre locataire (ou unité d’échelle Azure (ASU)), connectez-vous au Centre d’administration Microsoft Endpoint Manager, choisissez Administration de locataire > Détails du locataire. La localisation figure sous Emplacement du locataire, par exemple Amérique du Nord 0501 ou Europe 0202. Recherchez le numéro correspondant dans le tableau suivant. Cette ligne indique le nom de stockage et les points de terminaison CDN auxquels il faut accorder l’accès. Les lignes sont différenciées par région géographique, comme indiqué par les deux premières lettres des noms (na = Amérique du Nord, eu = Europe, ap = Asie-Pacifique). La localisation de votre locataire sera l’une de ces trois régions, même si la véritable zone géographique de votre organisation est susceptible d’être ailleurs.
| Unité d’échelle Azure (ASU) | Nom de stockage | CDN |
|---|---|---|
| AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901 |
naprodimedatapri naprodimedatasec naprodimedatahotfix |
naprodimedatapri.azureedge.net naprodimedatasec.azureedge.net naprodimedatahotfix.azureedge.net |
| AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701 |
euprodimedatapri euprodimedatasec euprodimedatahotfix |
euprodimedatapri.azureedge.net euprodimedatasec.azureedge.net euprodimedatahotfix.azureedge.net |
| AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUD0101 |
approdimedatapri approdimedatasec approdimedatahotifx |
approdimedatapri.azureedge.net approdimedatasec.azureedge.net approdimedatahotfix.azureedge.net |
Services de notifications Push Windows (WNS)
Pour les appareils Windows gérés par Intune à l’aide de la gestion des appareils mobiles (MDM), les actions et d’autres activités immédiates exigent l’utilisation des Services de notifications Push Windows (WNS). Pour plus d’informations, consultez Autorisation du passage du trafic de notification Windows à travers des pare-feu d’entreprise.
Configuration requise des ports pour l’optimisation de la distribution
Conditions requises en matière de ports
Pour le trafic pair à pair, l’optimisation de la distribution utilise le port 7680 pour TCP/IP ou 3544 pour la traversée NAT (éventuellement Teredo). Pour la communication client-service, elle utilise le protocole HTTP ou HTTPS sur le port 80/443.
Configuration requise du proxy
Pour utiliser l’optimisation de la distribution, vous devez autoriser les demandes de plage d’octets. Pour plus d’informations, consultez Configuration requise du proxy pour Windows Update.
Configuration requise du pare-feu
Autorisez les noms d’hôte suivants à traverser votre pare-feu pour prendre en charge l’optimisation de la distribution. Pour la communication entre les clients et le service cloud d’optimisation de la distribution :
- *.do.dsp.mp.microsoft.com
Pour les métadonnées d’optimisation de la distribution :
- *.dl.delivery.mp.microsoft.com
- *.emdl.ws.microsoft.com
Informations réseau de l’appareil Apple
| Utilisation | Nom d’hôte (adresse IP/sous-réseau) | Protocole | Port |
|---|---|---|---|
| Récupération et affichage de contenu de serveurs Apple | itunes.apple.com *.itunes.apple.com *.mzstatic.com *.phobos.apple.com *.phobos.itunes-apple.com.akadns.net |
HTTP | 80 |
| Communications avec des serveurs APNS | #-courier.push.apple.com « # » est un nombre aléatoire compris entre 0 et 50. |
TCP | 5223 et 443 |
| Diverses fonctionnalités telles que l’accès au World Wide Web, iTunes Store, macOS App Store, iCloud, messagerie, etc. | phobos.apple.com ocsp.apple.com ax.itunes.apple.com ax.itunes.apple.com.edgesuite.net |
HTTP/HTTPS | 80 ou 443 |
Pour plus d’informations, consultez Utiliser les produits Apple sur les réseaux d’entreprise, Les ports TCP et UDP utilisés par les produits logiciels Apple, À propos des connexions hôtes de serveur macOS, iOS/iPadOS et iTunes et les processus en arrière-plan iTuneset Si vos clients macOS et iOS/iPadOS ne reçoivent pas de notifications Push Apple.
Informations sur le port Android
Selon la manière dont vous choisissez de gérer les appareils Android, vous devrez peut-être ouvrir les ports Google Android Enterprise et/ou la notification Push Android. Pour plus d’informations sur les méthodes de gestion Android prises en charge, consultez la documentation relative à l’inscription Android.
Notes
Étant donné que Google Mobile Services n’est pas disponible en Chine, les appareils en Chine gérés par Intune ne peuvent pas utiliser les fonctionnalités qui nécessitent Google Mobile Services. Ces fonctionnalités incluent : des fonctionnalités Google Play Protect telles que l’attestation d’appareil SafetyNet, la gestion des applications à partir du Google Play Store, les fonctionnalités d’Android Entreprise (voir cette documentation Google). De plus, l’application Portail d’entreprise Intune pour Android utilise Google Mobile Services pour communiquer avec le service Microsoft Intune. Étant donné que les services Google Play ne sont pas disponibles en Chine, certaines tâches peuvent nécessiter jusqu’à 8 heures pour s’exécuter. Pour plus d'informations, consultez cet article.
Android (AOSP)
| Utilisation | Nom d’hôte (adresse IP/sous-réseau) | Protocole | Port |
|---|---|---|---|
| Téléchargement et installation d’applications Microsoft Intune et Microsoft Authenticator | intunecdnpeasd.azureedge.net | HTTPS | 443 |
Google Android Entreprise
Google fournit la documentation des ports réseau requis et des noms d’hôtes de destination dans son Bluebook Android Entreprise, dans la section Pare-feu de ce document.
Notification Push Android
Intune utilise Google Firebase Cloud Messaging (FCM) pour la notification Push afin de déclencher des actions d’appareil et des check-ins. Ceci est requis par Administrateur d’appareil Android et Android Entreprise. Pour plus d’informations sur la configuration réseau requise pour FCM, consultez la page sur les ports FCM et votre pare-feu de Google.
Analyse des points de terminaison
Pour plus d’informations sur les points de terminaison requis pour l’analytique de point de terminaison, consultez Configuration du proxy d’analytique de point de terminaison.
Sujets associés
URL et plages d’adresses IP Office 365
Vue d’ensemble de la connectivité réseau Microsoft 365
Réseaux de distribution de contenu (CDN)
Autres points de terminaison non inclus dans le service Web d’adresse IP et d’URL Office 365