Дополнительные конечные точки не включены в веб-службу IP-адресов и URL-адресов Office 365

Некоторые конечные точки сети были опубликованы ранее и не были включены в веб-службу URL-адресов и IP-адресов Office 365. Область действия веб-службы — конечные точки сети, необходимые для подключения пользователей Office 365 к корпоративной сети периметра. В настоящее время к ней не относится следующее:

  1. Возможные сетевые подключения из центра обработки данных Майкрософт к сети клиента (входящий гибридный сетевой трафик сервера).
  2. Сетевое подключение от серверов клиентской сети к корпоративному периметру (исходящий сетевой трафик сервера).
  3. Редкие сценарии с требованиями к сетевому подключению от пользователя.
  4. Требование в отношении подключения для разрешения DNS (не представлено ниже).
  5. Надежные сайты Internet Explorer или Microsoft Edge.

Эти параметры (кроме DNS) являются необязательными для большинства клиентов, за исключением особого описанного сценария.



Строка Назначение Назначение Тип
1 Служба импорта для приема PST- и других файлов Дополнительные требования см. в статье Служба импорта. Редкий сценарий исходящего трафика
2 Помощник по поддержке и восстановлению для Office 365 (Майкрософт) https://autodiscover.outlook.com
https://officecdn.microsoft.com
https://api.diagnostics.office.com
https://apibasic.diagnostics.office.com
https://autodiscover-s.outlook.com
https://cloudcheckenabler.azurewebsites.net
https://login.live.com
https://login.microsoftonline.com
https://login.windows.net
https://o365diagtelemetry.trafficmanager.net
https://odc.officeapps.live.com
https://offcatedge.azureedge.net
https://officeapps.live.com
https://outlook.office365.com
https://outlookdiagnostics.azureedge.net
Исходящий серверный трафик
3 Azure AD Connect (с возможностью единого входа) — WinRM и удаленная оболочка PowerShell Клиентская среда службы маркеров безопасности (сервер AD FS и прокси-сервер AD FS) | TCP-порты 80 и 443 Входящий серверный трафик
4 Служба маркеров безопасности, например прокси-серверы AD FS (только для федеративных клиентов) Служба маркеров безопасности клиента (например, прокси-сервер AD FS) | TCP-порты 443 или 49443 с клиентским TLS Входящий серверный трафик
5 Интеграция единой службы обмена сообщениями Exchange Online с SBC Bidirectional между локальной сессии пограничного контроллера и * .um.outlook.com Только исходящий серверный трафик
6 Миграция почтовых ящиков. Когда миграция почтовых ящиков будет инициирована с локального Exchange Hybrid на Office 365, Office 365 подключается к вашему опубликованному серверу веб-служб Exchange (EWS)/Службы репликации почтовых ящиков (MRS). Если вам нужны IP-адреса NAT, используемые Exchange Online серверами для ограничения входящие подключения из определенных диапазонов IP-адресов источника, они перечислены в Office 365 URL& IP диапазонах в области службы Exchange Online.

Необходимо заботиться о том, чтобы доступ к опубликованным конечным точкам EWS, таким как OWA, не повлиял, обеспечив разрешение прокси-сервера MRS на отдельный FQDN и общедоступный IP-адрес перед ограничением подключений TCP 443 из определенных диапазонов IP-адресов источника.

Локальная прокси-служба EWS/MRS клиента
TCP-порт 443
Входящий серверный трафик
7 Функции сосуществования длягибридного развертывания Exchange, например обмен сведениями о доступности. Локальный сервер Exchange клиента Входящий серверный трафик
8 Проверка подлинности прокси-сервера для гибридного развертывания Exchange Локальная служба маркеров безопасности клиента Входящий серверный трафик
9 Используется для настройки гибридного развертывания Exchange с помощью мастера гибридной конфигурации Exchange.

Примечание. Эти конечные точки необходимы только для настройки гибридного развертывания Exchange

domains.live.com на TCP-портах 80 и 443. Требуется только для мастера гибридной конфигурации Exchange 2010 с пакетом обновления 3 (SP3)

IP-адреса GCC High, DoD: 40.118.209.192/32; 168.62.190.41/32

Всемирный коммерческий & GCC: * .store.core.windows.net; asl.configure.office.com; tds.configure.office.com; mshybridservice.trafficmanager.net;
aka.ms/hybridwizard;
*shcwreleaseprod.blob.core.windows.net/shcw/;

Только исходящий серверный трафик
10 Служба AutoDetect используется в сценариях гибридного развертывания Exchange с гибридной современной проверкой подлинности в Outlook для iOS и Android

*.acompli.net
*.outlookmobile.com
*.outlookmobile.us
52.125.128.0/20
52.127.96.0/23

Локальный сервер Exchange клиента на TCP 443 Входящий серверный трафик
11 Exchange проверки подлинности Azure AD *.msappproxy.net Исходящие серверы TCP только трафик
12 Skype для бизнеса в Office 2016 включает демонстрацию экрана с видео, для которой используются порты UDP. Более ранние клиенты Skype для бизнеса в Office 2013 и предшествовавших версий использовали RDP через порт 443 TCP. Порт 443 TCP открыт для 52.112.0.0/14 Более ранние версии клиента Skype для бизнеса в Office 2013 и предшествующих версиях
13 Возможность подключения гибридного локального сервера Skype для бизнеса к службе Skype для бизнеса Online 13.107.64.0/18, 52.112.0.0/14
Порты UDP 50 000–59 999
Порты TCP 50 000–59 999; 5061
Возможность исходящего подключения к локальному серверу Skype для бизнеса
14 Облачной ТСОП с возможностью гибридного локального подключения требуется поддержка подключения сети к локальным узлам. Дополнительные сведения о гибридных конфигурациях Skype для бизнеса Online См. статью Планирование гибридного соединения Skype для бизнеса Server и Office 365. Гибридное входящее локальное подключение Skype для бизнеса
15 FQDN для проверки подлинности и идентификации

Для функционирования полное доменное имя secure.aadcdn.microsoftonline-p.com должно находиться в зоне надежных сайтов Internet Explorer (IE) или Microsoft Edge.

Надежные сайты
16 Полные доменные имена Microsoft Teams

Если вы используете Internet Explorer или Microsoft Edge, вам нужно разрешить основные и сторонние файлы cookie, а также добавить полные доменные имена Teams в список надежных сайтов (в дополнение к полным доменным именам для всего набора, CDN и телеметрии, перечисленной в строке 14). Дополнительные сведения см. в статье Известные проблемы Microsoft Teams.

Надежные сайты
17 Полные доменные имена SharePoint Online и OneDrive для бизнеса

Для использования всех полных доменных имен .sharepoint.com, в которых указан "<tenant>", их следует добавить в зону надежных сайтов IE или Microsoft Edge. Помимо полных доменных имен, сетей CDN и телеметрии, перечисленных в строке 14, для всего набора необходимо добавить указанные ниже конечные точки.

Надежные сайты
18 Yammer
Приложение Yammer доступно только в браузере и требует, чтобы авторизованный пользователь проходил через прокси-сервер. Для функционирования все полные доменные имена приложения Yammer должны находиться в зоне надежных сайтов IE или Microsoft Edge вашего клиента.
Надежные сайты
19 Используйте Azure AD Connect для синхронизации учетных записей пользователей с Azure AD. См. статьи Порты и протоколы, необходимые для гибридной идентификации, Устранение неполадок подключения Azure AD и Установка агента Azure AD Connect Health. Только исходящий серверный трафик
20 Azure AD Connect с 21 ViaNet в Китае для синхронизации локальных учетных записей пользователей с Azure AD. *.digicert.com:80
*.entrust.net:80
*.chinacloudapi.cn:443
secure.aadcdn.partner.microsoftonline-p.cn:443
*.partner.microsoftonline.cn:443

См. также Устранение неполадок при входе с подключением Azure AD

Только исходящий серверный трафик
21 Microsoft Stream (требуется маркер пользователя Azure AD).
Office 365 Worldwide (включая GCC)
*.cloudapp.net
*.api.microsoftstream.com
*.notification.api.microsoftstream.com
amp.azure.net
api.microsoftstream.com
az416426.vo.msecnd.net
s0.assets-yammer.com
vortex.data.microsoft.com
web.microsoftstream.com
TCP-порт 443
Входящий трафик сервера
22 Использование сервера MFA для запросов многофакторной проверки подлинности: как новых установок сервера, так и его настройки с помощью доменных служб Active Directory (AD DS). См. начало работы с многофакторнымсервером проверки подлинности Azure AD. Только исходящий серверный трафик
23 Уведомления об изменениях в Microsoft Graph

Разработчики могут использовать уведомления об изменениях, чтобы подписаться на события в Microsoft Graph.

*.cloudapp.net
104.43.130.21, 137.116.169.230, 13.79.38.63, 104.214.39.228

Public Cloud: 168.63.250.205, 52.161.9.202, 40.68.103.62, 13.89.60.223, 23.100.95.104, 40.113.95.219, 104.214.32.10, 168.63.237.145, 52.161.110.176, 52.174.177.183, 13.85.192.59, 13.85.192.123, 13.86.37.15, 13.89.108.233, 13.89.104.147, 20.44.210.83, 20.44.210.146, 40.76.162.99, 40.76.162.42, 40.74.203.28, 40.74.203.27, 51.104.159.213, 51.104.159.181, 51.124.75.43, 51.124.73.177, 51.138.90.7, 51.138.90.52, 52.139.153.222, 52.139.170.157, 52.139.170.47, 52.142.114.29, 52.142.115.31, 52.147.213.251, 52.147.213.181, 52.148.24.136, 52.148.27.39, 52.148.115.48, 52.148.114.238, 52.154.246.238, 52.159.23.209, 52.159.17.84, 52.184.94.140

Microsoft Cloud for US Government: 52.244.231.173, 52.238.76.151, 52.244.250.211, 52.238.78.108, 52.243.147.249, 52.243.148.19, 52.243.157.104, 52.243.157.105, 52.244.33.45, 52.244.35.174, 52.244.111.156, 52.244.111.170

Microsoft Cloud Germany: 51.4.231.136, 51.5.243.223, 51.4.226.154, 51.5.244.215, 51.4.150.206, 51.4.150.235, 51.5.147.130, 51.5.148.103

Microsoft Cloud China под управлением 21Vianet: 139.219.15.33, 42.159.154.223, 42.159.88.79, 42.159.155.77, 40.72.155.199, 40.72.155.216, 40.125.138.23, 40.125.136.69, 42.159.72.35, 42.159.72.47, 42.159.180.55, 42.159.180.56
TCP-порт 443

Примечание. Разработчики могут указывать различные порты при создании подписок.

Входящий трафик сервера

Управление конечными точками Office 365

Проверка подключения Microsoft 365

Подключение клиентских компьютеров

Сети доставки содержимого

Диапазоны IP-адресов и теги служб Azure — общественное облако

Диапазоны IP-адресов и теги служб Azure — облако правительства США

Диапазоны IP-адресов и теги служб Azure — Облако Германии

Диапазоны IP-адресов и теги служб Azure — China Cloud

Пространство публичных IP-адресов корпорации Майкрософт