Microsoft Intune のネットワークエンドポイント

[アーティクル]
07/01/2022

このページには、Intune のデプロイでのプロキシ設定に必要な IP アドレスとポートの設定がリストされています。

クラウド専用サービスとして、Intune はサーバーやゲートウェイなど、オンプレミスのインフラストラクチャは必要ありません。

マネージドデバイスへのアクセス

ファイアウォールとプロキシサーバーの背後にあるデバイスを管理するには、Intune のための通信を有効にする必要があります。

注意

セクション内の情報は、Microsoft Intune Certificate Connector にも適用されます。このコネクタのネットワーク要件は、マネージドデバイスと同じです。

プロキシサーバーでは HTTP (80) と HTTPS (443) の両方をサポートする必要で、なぜなら Intune クライアントで両方のプロトコルを使用するからです。Windows 情報保護はポート 444 を使用します。
Intune では、一部のタスク (従来の PC エージェント用のソフトウェア更新プログラムのダウンロードなど) で、manage.microsoft.com への認証されていないプロキシサーバーアクセスが必要です

注意

SSL トラフィックの検査は、'manage.microsoft.com' エンドポイントではサポートされていません。

個々のクライアントコンピューターについて、プロキシサーバーの設定を変更できます。また、グループポリシーの設定を使用して、指定したプロキシサーバーの背後にあるすべてのクライアントコンピューターの設定を変更することもできます。

マネージドデバイスは、すべてのユーザー がファイアウォール経由でサービスにアクセスできるように構成する必要があります。

次の表は、Intune クライアントがアクセスするポートとサービスの一覧です:

ドメイン	IP アドレス
login.microsoftonline.com *.officeconfig.msocdn.com config.office.com graph.windows.net enterpriseregistration.windows.net	詳細については、「Office 365 URL および IP アドレス範囲」を参照してください。
*.manage.microsoft.com manage.microsoft.com	104.214.164.192/27 104.46.162.96/27 13.67.13.176/28 13.67.15.128/27 13.69.231.128/28 13.69.67.224/28 13.70.78.128/28 13.70.79.128/27 13.71.199.64/28 13.73.244.48/28 13.74.111.192/27 13.75.39.208/28 13.77.53.176/28 13.86.221.176/28 13.89.174.240/28 13.89.175.192/28 20.189.105.0/24 20.189.172.160/27 20.189.229.0/25 20.191.167.0/25 20.37.153.0/24 20.37.192.128/25 20.38.81.0/24 20.41.1.0/24 20.42.1.0/24 20.42.130.0/24 20.42.224.128/25 20.43.129.0/24 20.44.19.224/27 20.49.93.160/27 40.119.8.128/25 40.67.121.224/27 40.70.151.32/28 40.71.14.96/28 40.74.25.0/24 40.78.245.240/28 40.78.247.128/27 40.79.197.64/27 40.79.197.96/28 40.80.180.208/28 40.80.180.224/27 40.80.184.128/25 40.82.248.224/28 40.82.249.128/25 52.150.137.0/25 52.162.111.96/28 52.168.116.128/27 52.182.141.192/27 52.236.189.96/27 52.240.244.160/27

ドメイン

IP アドレス

login.microsoftonline.com
*.officeconfig.msocdn.com
config.office.com
graph.windows.net
enterpriseregistration.windows.net

詳細については、「Office 365 URL および IP アドレス範囲」を参照してください。

*.manage.microsoft.com
manage.microsoft.com

104.214.164.192/27
104.46.162.96/27
13.67.13.176/28
13.67.15.128/27
13.69.231.128/28
13.69.67.224/28
13.70.78.128/28
13.70.79.128/27
13.71.199.64/28
13.73.244.48/28
13.74.111.192/27
13.75.39.208/28
13.77.53.176/28
13.86.221.176/28
13.89.174.240/28
13.89.175.192/28
20.189.105.0/24
20.189.172.160/27
20.189.229.0/25
20.191.167.0/25
20.37.153.0/24
20.37.192.128/25
20.38.81.0/24
20.41.1.0/24
20.42.1.0/24
20.42.130.0/24
20.42.224.128/25
20.43.129.0/24
20.44.19.224/27
20.49.93.160/27
40.119.8.128/25
40.67.121.224/27
40.70.151.32/28
40.71.14.96/28
40.74.25.0/24
40.78.245.240/28
40.78.247.128/27
40.79.197.64/27
40.79.197.96/28
40.80.180.208/28
40.80.180.224/27
40.80.184.128/25
40.82.248.224/28
40.82.249.128/25
52.150.137.0/25
52.162.111.96/28
52.168.116.128/27
52.182.141.192/27
52.236.189.96/27
52.240.244.160/27

PowerShell スクリプトと Win32 アプリのネットワーク要件

Intune を使用して PowerShell スクリプトまたは Win32 アプリをデプロイする場合は、テナントが現在、所在するエンドポイントへのアクセスを許可する必要もあります。

テナントの場所 (または Azure スケールユニット (ASU)) を見つけるには、Microsoft エンドポイントマネージャー管理センターにサインインして、[テナント管理] > [テナントの詳細] の順に選択します。場所は、[テナントの場所] (北米 0501 またはヨーロッパ 0202 など) にあります。次の表で、一致する番号を探します。その行には、アクセス権付与の対象となるストレージ名と CDN エンドポイントが表示されます。行は、地理的リージョンごとに分けられており、その名前の最初の 2 文字 (na = 北米、eu = ヨーロッパ、ap = アジア太平洋) で示されます。テナントの場所は、これら 3 つのリージョンのいずれかとなりますが、組織の実際の地理的な場所は別の場所であることもあります。

Azure スケールユニット (ASU)	ストレージ名	CDN
AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901	naprodimedatapri naprodimedatasec naprodimedatahotfix	naprodimedatapri.azureedge.net naprodimedatasec.azureedge.net naprodimedatahotfix.azureedge.net
AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701	euprodimedatapri euprodimedatasec euprodimedatahotfix	euprodimedatapri.azureedge.net euprodimedatasec.azureedge.net euprodimedatahotfix.azureedge.net
AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUD0101	approdimedatapri approdimedatasec approdimedatahotifx	approdimedatapri.azureedge.net approdimedatasec.azureedge.net approdimedatahotfix.azureedge.net

Windows プッシュ通知サービス (WNS)

モバイルデバイス管理 (MDM) を使用して管理されている Intune の管理対象 Windows デバイスの場合、デバイスアクションとその他の即時アクティビティでは Windows プッシュ通知サービス (WNS) の使用が必要です。詳細については、「エンタープライズファイアウォールを介した Windows 通知トラフィックの許可」を参照してください。

配信の最適化ポートの要件

ポートの要件

ピアツーピアトラフィックの場合、配信の最適化では TCP/IP で 7680 または NAT トラバーサル (必要に応じて、Teredo) で 3544 を使用します。クライアントサービス通信では、ポート 80/443 経由で HTTP または HTTPS を使用します。

プロキシの要件

配信の最適化を使用するには、バイト範囲要求を許可する必要があります。詳細については、Windows 更新プログラムのプロキシ要件に関するページを参照してください。

ファイアウォールの要件

配信の最適化をサポートするには、以下のホスト名がファイアウォールを通過できるようにします。クライアントと配信の最適化クラウドサービス間の通信の場合:

*.do.dsp.mp.microsoft.com

配信の最適化メタデータの場合:

*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com

Apple デバイスネットワーク情報

使用目的	ホスト名 (IP アドレス/サブネット)	プロトコル	ポート
Apple サーバーからコンテンツを取得して表示する	itunes.apple.com .itunes.apple.com .mzstatic.com .phobos.apple.com .phobos.itunes-apple.com.akadns.net	HTTP	80
APNS サーバーとの通信	#-courier.push.apple.com '#' は、0 から 50 の乱数です。	TCP	5223 および 443
World Wide Web、iTunes Store、macOS アプリストア、iCloud、メッセージングなどへのアクセスを含む、さまざまな機能	phobos.apple.com ocsp.apple.com ax.itunes.apple.com ax.itunes.apple.com.edgesuite.net	HTTP/HTTPS	80 または 443

詳細については、「企業ネットワークで Apple 製品を使用する」、「Apple ソフトウェア製品で使われている TCP および UDP ポート」、「macOS、iOS/iPadOS、そして iTunes のサーバホスト接続と iTunes のバックグラウンドプロセスについて」、そして「macOS、iOS/iPadOS クライアントで Apple プッシュ通知が届かない場合」を参照してください。

Android のポート情報

Android デバイスの管理方法によっては、Google Android Enterprise ポートや Android プッシュ通知を開く必要がある場合があります。サポートされている Android 管理方法の詳細については、Android の登録に関するドキュメントを参照してください。

注意

中国では Google Mobile Services を使用できないため、Intune によって管理されている中国のデバイスでは、Google Mobile Services を必要とする機能を使用できません。これらの機能には次を含みます: SafetyNet デバイス構成証明、Google Play ストアからのアプリの管理、Android Enterprise 機能などの Google Play Protect 機能が含まれます (このGoogle ドキュメントを参照)。さらに、Android 用 Intune ポータルサイトアプリでは、Microsoft Intune サービスと通信するために Google Mobile Services が使用されます。中国では Google Play サービスを使用できないため、一部のタスクは完了までに最大 8 時間かかることがあります。詳細については、こちらの記事を参照してください。

Android (AOSP)

使用目的	ホスト名 (IP アドレス/サブネット)	プロトコル	ポート
Microsoft Intune と Microsoft Authenticator アプリのダウンロードとインストール	intunecdnpeasd.azureedge.net	HTTPS	443

Google Android Enterprise

Google によって、Android Enterprise Bluebook のドキュメントの [ファイアウォール] セクションの下に、必要なネットワークポートと接続先ホスト名のドキュメントが提供されます。

Android のプッシュ通知

Intune は、プッシュ通知に Google Firebase Cloud Messaging (FCM) を活用して、デバイスのアクションとチェックインの起動に役立たせます。これは、Android デバイス管理者と Android Enterprise の両方に必要です。 FCM ネットワーク要件の詳細については、Google の「FCM ポートとファイアウォール」を参照してください。