Microsoft Intune 网络终结点

  • 项目

本文列出了Microsoft Intune部署中的代理设置所需的 IP 地址和端口设置。

作为仅限云的服务,Intune不需要本地基础结构,例如服务器或网关。

受管理设备的访问权限

若要管理防火墙和代理服务器后面的设备,必须启用 Intune 的通信。

注意

本部分中的信息也适用于 Microsoft Intune 证书连接器。 连接器的网络要求与托管设备相同。

  • 本文中的终结点允许访问下表中标识的端口。

  • 对于某些任务,Intune需要未经身份验证的代理服务器访问 manage.microsoft.com、*.azureedge.net 和 graph.microsoft.com。

    注意

    “manage.microsoft.com”、“dm.microsoft.com”或 设备运行状况证明 (符合性部分中列出的 DHA) 终结点不支持 SSL 流量检查。

可以修改单个客户端计算机上的代理服务器设置。 还可以使用“组策略”设置来更改位于指定代理服务器后面的所有客户端计算机的设置。

托管的设备需要允许“所有用户”通过防火墙访问服务的配置。

PowerShell 脚本

为了更轻松地通过防火墙配置服务,我们载入了 Office 365 Endpoint 服务。 此时,可通过 PowerShell 脚本访问Intune终结点信息。 Intune还有其他依赖服务,这些服务已作为 Microsoft 365 服务的一部分涵盖,并标记为“必需”。 脚本中不包括 Microsoft 365 已涵盖的服务,以避免重复。

使用以下 PowerShell 脚本,可以检索Intune服务的 IP 地址列表。

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips

使用以下 PowerShell 脚本,可以检索Intune和相关服务使用的 FQDN 列表。 运行脚本时,脚本输出中的 URL 可能与下表中的 URL 不同。 至少,请确保在表中包括 URL。

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls

该脚本提供了一种便捷的方法,用于在一个位置列出和查看Intune和 Autopilot 所需的所有服务。 可以从终结点服务返回其他属性,例如类别属性,该属性指示 FQDN 或 IP 应配置为 “允许”、“ 优化” 还是 “默认”。

终结点

还需要 Microsoft 365 要求中涵盖的 FQDN。 为了参考,下表显示了它们所绑定到的服务,以及返回的 URL 列表。

表中显示的数据列包括:

  • ID:行的 ID 号,也称为终结点集。 此 ID 与终结点集的 Web 服务返回的 ID 相同。

  • 类别:显示终结点集是分类为“优化”、“允许”还是“默认”。 此列还列出了需要哪些终结点集才能建立网络连接。 对于不需要具有网络连接的终结点集,我们在此字段中提供注释,以指示如果阻止终结点集,将缺少哪些功能。 如果排除整个服务区域,则列为必需终结点集不需要连接。

    可以在 新的 Microsoft 365 终结点类别中了解这些类别及其管理指南。

  • ER:如果终结点集受 Microsoft 365 路由前缀的 Azure ExpressRoute 支持,则为“是/真”。 包含显示的路由前缀的 BGP 社区与列出的服务区域一致。 当 ER 为 No/False 时,此终结点集不支持 ExpressRoute。

  • 地址:Lists终结点集的 FQDN 或通配符域名和 IP 地址范围。 请注意,IP 地址范围采用 CIDR 格式,可以在指定网络中包括多个单独的 IP 地址。

  • 端口:Lists TCP 或 UDP 端口,这些端口与列出的 IP 地址组合在一起构成网络终结点。 你可能会注意到 IP 地址范围中的一些重复,其中列出了不同的端口。

Intune核心服务

注意

如果使用的防火墙允许使用域名创建防火墙规则,请使用 *.manage.microsoft.com 域。 但是,如果你使用的防火墙提供程序不允许使用域名创建防火墙规则,我们建议使用本部分中所有子网的已批准列表。 此处列出的子网已针对所有云区域的不同Intune缩放单元进行预配,客户端可以在灾难恢复期间故障转移到任何其他缩放单元或解决容量问题。

ID 后代 类别 ER Addresses 端口
163 Endpoint Manager 客户端和主机服务 允许
必填		 False *.manage.microsoft.com
manage.microsoft.com
EnterpriseEnrollment.manage.microsoft.com
104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.71.199.64/28, 13.73.244.48/28, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 20.49.93.160/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29		 TCP: 80、443
172 MDM 传递优化 默认值
必填		 False *.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
kv801.prod.do.dsp.mp.microsoft.com
geo.prod.do.dsp.mp.microsoft.com
emdl.ws.microsoft.com
2.dl.delivery.mp.microsoft.com
bg.v4.emdl.ws.microsoft.com
 TCP: 80、443
170 MEM - PowerShell 和 Win32Apps 默认值
必填		 False swda01-mscdn.azureedge.net
swda02-mscdn.azureedge.net
swdb01-mscdn.azureedge.net
swdb02-mscdn.azureedge.net
swdc01-mscdn.azureedge.net
swdc02-mscdn.azureedge.net
swdd01-mscdn.azureedge.net
swdd02-mscdn.azureedge.net
swdin01-mscdn.azureedge.net
swdin02-mscdn.azureedge.net
 TCP:443
97 使用者 Outlook.com 和 OneDrive 默认值
 False account.live.com
login.live.com
 TCP:443

Autopilot 依赖项

ID 后代 类别 ER Addresses 端口
164 Autopilot - Windows 更新 默认值
必填		 False *.download.windowsupdate.com
*.windowsupdate.com
*.dl.delivery.mp.microsoft.com
*.prod.do.dsp.mp.microsoft.com
emdl.ws.microsoft.com
*.delivery.mp.microsoft.com
*.update.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com
au.download.windowsupdate.com
2.dl.delivery.mp.microsoft.com
download.windowsupdate.com
dl.delivery.mp.microsoft.com
geo.prod.do.dsp.mp.microsoft.com
catalog.update.microsoft.com
 TCP:443
165 Autopilot - NTP 同步 默认值
必填		 False time.windows.com
www.msftncsi.com
www.msftconnecttest.com		 UDP: 123
169 Autopilot - WNS 依赖项 默认值
必填		 False clientconfig.passport.net
windowsphone.com
*.s-microsoft.com
www.msftncsi.com
c.s-microsoft.com		 TCP:443
173 Autopilot - 第三方部署依赖项 默认值
必填		 False ekop.intel.com
ekcert.spserv.microsoft.com
ftpm.amd.com
 TCP:443
182 Autopilot - 诊断上传 默认值
必填		 False lgmsapeweu.blob.core.windows.net
 TCP:443

远程帮助

ID 后代 类别 ER Addresses 端口 注释
181 MEM - 远程帮助功能 默认值
必填		 False *.support.services.microsoft.com
remoteassistance.support.services.microsoft.com
rdprelayv3eastusprod-0.support.services.microsoft.com
*.trouter.skype.com
remoteassistanceprodacs.communication.azure.com
edge.skype.com
aadcdn.msftauth.net
aadcdn.msauth.net
alcdn.msauth.net
wcpstatic.microsoft.com
*.aria.microsoft.com
browser.pipe.aria.microsoft.com
*.events.data.microsoft.com
v10.events.data.microsoft.com
*.monitor.azure.com
js.monitor.azure.com
edge.microsoft.com
*.trouter.communication.microsoft.com
go.trouter.communication.microsoft.com
*.trouter.teams.microsoft.com
trouter2-usce-1-a.trouter.teams.microsoft.com
api.flightproxy.skype.com
ecs.communication.microsoft.com
remotehelp.microsoft.com
trouter-azsc-usea-0-a.trouter.skype.com
 TCP:443
187 依赖项 - 远程帮助 Web pubsub 默认值
必填		 False *.webpubsub.azure.com
AMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com
 TCP:443
188 GCC 客户的远程帮助依赖项 默认值
必填		 False remoteassistanceweb-gcc.usgov.communication.azure.us
gcc.remotehelp.microsoft.com
gcc.relay.remotehelp.microsoft.com
*.gov.teams.microsoft.us		 TCP:443

Intune依赖项

在本部分中,下表列出了Intune依赖项以及Intune客户端访问的端口和服务。

Windows 推送通知服务 (WNS) 依赖项

ID 后代 类别 ER Addresses 端口
171 MEM - WNS 依赖项 默认值
必填		 False *.notify.windows.com
*.wns.windows.com
sinwns1011421.wns.windows.com
sin.notify.windows.com
 TCP:443

对于使用移动设备管理 (MDM) 管理的由 Intune 管理的 Windows 设备,设备操作和其他即时活动需要使用 Windows 推送通知服务 (WNS)。 有关详细信息,请参阅允许 Windows 通知流量通过企业防火墙

传递优化依赖项

ID 后代 类别 ER Addresses 端口
172 MDM - 传递优化依赖项 默认值
必填		 False *.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
kv801.prod.do.dsp.mp.microsoft.com
geo.prod.do.dsp.mp.microsoft.com
emdl.ws.microsoft.com
2.dl.delivery.mp.microsoft.com
bg.v4.emdl.ws.microsoft.com
 TCP: 80、443

端口要求 - 对于对等流量,传递优化对 TCP/IP 使用 7680 或 NAT 遍历使用 3544 ((可选)Teredo) 。 对于客户端-服务通信,它通过端口 80/443 使用 HTTP 或 HTTPS。

代理要求 - 若要使用传递优化,必须允许字节范围请求。 有关详细信息,请参阅 Windows 更新的代理要求

防火墙要求 - 允许以下主机名通过防火墙来支持传递优化。 对于客户端与传递优化云服务之间的通信:

  • *.do.dsp.mp.microsoft.com

对于传递优化元数据:

  • *.dl.delivery.mp.microsoft.com
  • *.emdl.ws.microsoft.com

Apple 依赖项

ID 后代 类别 ER Addresses 端口
178 MEM - Apple 依赖项 默认值
必填		 False itunes.apple.com
*.itunes.apple.com
*.mzstatic.com
*.phobos.apple.com
phobos.itunes-apple.com.akadns.net
5-courier.push.apple.com
phobos.apple.com
ocsp.apple.com
ax.itunes.apple.com
ax.itunes.apple.com.edgesuite.net
s.mzstatic.com
a1165.phobos.apple.com
 TCP: 80、443、5223

有关详细信息,请参阅以下资源:

Android AOSP 依赖项

ID 后代 类别 ER Addresses 端口
179 MEM - Android AOSP 依赖项 默认值
必填		 False intunecdnpeasd.azureedge.net
 TCP:443

注意

由于 Google 移动服务在中国不可用,因此在中国由 Intune 管理的设备无法使用需要 Google 移动服务的功能。 这些功能包括:Google Play保护功能,如 SafetyNet 设备证明、从Google Play 商店管理应用、Android Enterprise 功能(请参阅此 Google 文档)。 此外,Android 版 Intune 公司门户应用使用 Google 移动服务与 Microsoft Intune 服务进行通信。 由于 Google Play 服务在中国不可用,因此某些任务最长可能需要 8 小时才能完成。 有关详细信息,请参阅 GMS 不可用时Intune管理的限制

Android 端口信息 - 根据选择管理 Android 设备的方式,可能需要打开 Google Android Enterprise 端口和/或 Android 推送通知。 有关支持的 Android 管理方法的更多信息,请参阅 Android 注册文档

Android Enterprise 依赖项

Google Android Enterprise - Google 在其 Android Enterprise Bluebook 中提供所需网络端口和目标主机名的文档,该文档位于该文档的 “防火墙 ”部分下。

Android 推送通知 - Intune使用 Google Firebase Cloud Messaging (FCM) 推送通知来触发设备操作和检查。Android 设备管理员和 Android Enterprise 都需要这样做。 有关 FCM 网络要求的信息,请参阅 Google 的 FCM 端口和防火墙

身份验证依赖项

ID 后代 类别 ER Addresses 端口
56 身份验证和标识包括 Azure Active Directory 和 Azure AD 相关服务。 允许
必填		 True login.microsoftonline.com
graph.windows.net		 TCP: 80、443
150 Office 自定义服务提供Office 365 专业增强版部署配置、应用程序设置和基于云的策略管理。 默认值 False *.officeconfig.msocdn.com
config.office.com		 TCP:443
59 标识支持服务 & CDN。 默认值
必填		 False enterpriseregistration.windows.net
 TCP: 80、443

有关详细信息,请转到Office 365 URL 和 IP 地址范围

PowerShell 脚本和 Win32 应用的网络要求

如果使用 Intune 部署 PowerShell 脚本或 Win32 应用,则还需要授予对租户当前所在的终结点的访问权限。

若要 (或 Azure 缩放单元 (ASU) 查找租户位置,请登录到 Microsoft Intune 管理中心,选择“租户管理>租户详细信息”。 该位置位于“租户位置”下,例如“北美 0501”或“欧洲 0202”。 在下表中查找匹配的数字。 该行告知要授予访问权限的存储名称和 CDN 终结点。 行由地理区域进行区分,如名称中的前两个字母(na = 北美,eu = 欧洲,ap = 亚太)所示。 租户位置是这三个区域之一,尽管组织的实际地理位置可能位于其他位置。

注意

对于 Win32 应用终结点 & 脚本,需要允许 HTTP 部分响应

Azure 缩放单元 (ASU) 存储名称 CDN 端口
AMSUA0601
AMSUA0602
AMSUA0101
AMSUA0102
AMSUA0201
AMSUA0202
AMSUA0401
AMSUA0402
AMSUA0501
AMSUA0502
AMSUA0601
AMSUA0701
AMSUA0702
AMSUA0801
AMSUA0901		 naprodimedatapri
naprodimedatasec
naprodimedatahotfix		 naprodimedatapri.azureedge.net
naprodimedatasec.azureedge.net
naprodimedatahotfix.azureedge.net		 TCP:443
AMSUB0101
AMSUB0102
AMSUB0201
AMSUB0202
AMSUB0301
AMSUB0302
AMSUB0501
AMSUB0502
AMSUB0601
AMSUB0701		 euprodimedatapri
euprodimedatasec
euprodimedatahotfix		 euprodimedatapri.azureedge.net
euprodimedatasec.azureedge.net
euprodimedatahotfix.azureedge.net		 TCP:443
AMSUC0101
AMSUC0201
AMSUC0301
AMSUC0501
AMSUC0601
AMSUD0101		 approdimedatapri
approdimedatasec
approdimedatahotifx		 approdimedatapri.azureedge.net
approdimedatasec.azureedge.net
approdimedatahotfix.azureedge.net		 TCP:443

Microsoft Store

使用 Microsoft Store 的托管 Windows 设备(用于获取、安装或更新应用)需要访问这些终结点。

Microsoft Store API (AppInstallManager) :

  • displaycatalog.md.mp.microsoft.com
  • purchase.md.mp.microsoft.com
  • licensing.mp.microsoft.com
  • storeedgefd.dsx.mp.microsoft.com

Windows 更新代理:

有关详细信息,请参阅以下资源:

Win32 内容下载:

Win32 内容下载位置和终结点对每个应用程序是唯一的,由外部发布者提供。 可以在测试系统上使用以下命令找到每个 Win32 应用商店应用的位置 (可以在将应用添加到Microsoft Intune) 后引用应用的包标识符属性来获取应用商店应用的 [PackageId] :

winget show [PackageId]

安装程序 Url 属性显示外部下载位置或基于区域的 (Microsoft 托管) 回退缓存,具体取决于缓存是否正在使用。 请注意,内容下载位置可以在缓存和外部位置之间更改。

Microsoft 托管的 Win32 应用回退缓存:

  • 因区域而异,例如: sparkcdneus2.azureedge.net、sparkcdnwus2.azureedge.net

传递优化 (可选,用于对等互连) :

有关详细信息,请参阅以下资源:

将设备运行状况证明符合性策略迁移到 Microsoft Azure 证明

如果客户启用任何 Windows 10/11 合规性策略 - 设备运行状况设置,则Windows 11设备将根据其Intune租户位置开始使用 Microsoft Azure 证明 (MAA) 服务。 但是,Windows 10和 GCCH/DOD 环境将继续使用现有的设备运行状况证明 DHA 终结点“has.spserv.microsoft.com”来报告设备运行状况证明,并且不受此更改的影响。

如果客户具有阻止访问适用于 Windows 11 的新 Intune MAA 服务的防火墙策略,则使用 BitLocker、安全启动、代码完整性) (任何设备运行状况设置Windows 11具有分配符合性策略的设备,因为它们无法访问其所在位置的 MAA 证明终结点,因此不符合要求。

确保没有防火墙规则阻止出站 HTTPS/443 流量,并且没有针对此部分中列出的终结点执行 SSL 流量检查,具体取决于租户Intune位置。

若要查找租户位置,请导航到Intune管理中心>租户管理>状态>租户详细信息,请参阅租户位置。

  • 'https://intunemaape1.eus.attest.azure.net'

  • 'https://intunemaape2.eus2.attest.azure.net'

  • 'https://intunemaape3.cus.attest.azure.net'

  • 'https://intunemaape4.wus.attest.azure.net'

  • 'https://intunemaape5.scus.attest.azure.net'

  • 'https://intunemaape6.ncus.attest.azure.net'

终结点分析

有关终结点分析所需的终结点的详细信息,请参阅 终结点分析代理配置

Microsoft Defender for Endpoint

有关配置 Defender for Endpoint 连接的详细信息,请参阅 连接要求

若要支持 Defender for Endpoint 安全设置管理,请允许以下主机名通过防火墙。 对于客户端与云服务之间的通信:

  • *.dm.microsoft.com - 通配符的使用支持用于注册、检查和报告的云服务终结点,这些终结点可能会随着服务的扩展而更改。

    重要

    “dm.microsoft.com”终结点不支持 SSL 检查。

Microsoft Intune Endpoint Privilege Management

若要支持终结点特权管理,请允许 tcp 端口 443 上的以下主机名通过防火墙

对于客户端与云服务之间的通信:

  • *.dm.microsoft.com - 通配符的使用支持用于注册、检查和报告的云服务终结点,这些终结点可能会随着服务的扩展而更改。

  • *.events.data.microsoft.com - 由Intune管理的设备用来将可选报告数据发送到Intune数据收集终结点。

    重要

    “dm.microsoft.com”终结点不支持 SSL 检查。

有关详细信息,请参阅 Endpoint Privilege Management 概述

Office 365 URL 和 IP 地址范围

Microsoft 365 网络连接概述

内容分发网络 (CDN)

Office 365 IP 地址和 URL Web 服务中未包含的其他终结点

管理 Office 365 终结点