網際網路存取需求

某些 Configuration Manager 功能依賴於網際網路連線,才能發揮完整功能。 如果您的組織使用防火牆或 proxy 裝置來限制透過網際網路的網路通訊,請務必允許這些端點。

Configuration Manager 會對整個產品使用下列 Microsoft URL 轉送服務:

  • https://aka.ms
  • https://go.microsoft.com

即使在下列各節中並未明確列出,您還是應該永遠允許這些端點。

服務連接點

如需詳細資訊,請參閱 About the service connection point

這些設定適用于裝載服務連線點的伺服器,以及該伺服器與網際網路之間的任何防火牆。 允許透過傳出 HTTPS 埠 TCP 443 到網際網路位置的通訊。

服務連線點支援使用或不具有驗證的 web proxy 來使用這些位置。 如需詳細資訊,請參閱 Proxy 伺服器支援

若 Configuration Manager 網站無法連線至雲端服務所需的端點,它會引發嚴重的狀態郵件識別碼11488。 當其無法連線到服務時,SMS_SERVICE_CONNECTOR 元件狀態會變更為 [嚴重]。 在 Configuration Manager 主控台的 元件狀態 節點中,查看詳細狀態。

從2010版開始,服務連線點會驗證 桌面分析租使用者附加的重要網際網路端點。 這些檢查可協助確保雲端聯機服務可供使用。 它也會透過快速判斷網路連線是否發生問題,協助您疑難排解問題。 如需詳細資訊,請參閱驗證網際網路存取

Service connection point 所需的特定 URLs 會因 Configuration Manager 功能而異:

提示

服務連線點會在連線至或時使用 Microsoft Intune 服務 go.microsoft.com manage.microsoft.com 。 當巴爾的摩 CyberTrust 根憑證未安裝、已到期,或服務連線點損毀時,Intune 連接器會發生連線問題的已知問題。 如需詳細資訊,請參閱 Service connection point 未下載更新

更新和服務

如需詳細資訊,請參閱 更新和服務

提示

針對 管理洞察力規則啟用這些端點,將 網站連線至 Microsoft 雲端以取得 Configuration Manager 更新

  • *.akamaiedge.net

  • *.akamaitechnologies.com

  • *.manage.microsoft.com

  • go.microsoft.com

  • download.microsoft.com

  • download.windowsupdate.com

  • download.visualstudio.microsoft.com

  • sccmconnected-a01.cloudapp.net

  • configmgrbits.azureedge.net

    重要

    此 Azure 端點只支援使用特定密碼套件的 TLS 1.2。 請確定您的環境支援這些 Azure 設定。 如需詳細資訊,請參閱 Azure 前部門: TLS 設定常見問題

  • ceuswatcab01.blob.core.windows.net

  • ceuswatcab02.blob.core.windows.net

  • eaus2watcab01.blob.core.windows.net

  • eaus2watcab02.blob.core.windows.net

  • weus2watcab01.blob.core.windows.net

  • weus2watcab02.blob.core.windows.net

  • umwatsonc.events.data.microsoft.com

  • *-umwatsonc.events.data.microsoft.com

Windows 服務

如需詳細資訊,請參閱Manage Windows 即服務

  • download.microsoft.com

  • https://go.microsoft.com/fwlink/?LinkID=619849

  • dl.delivery.mp.microsoft.com

Azure 服務

如需詳細資訊,請參閱 設定 Azure 服務以搭配 Configuration Manager 使用

  • management.azure.com (Azure public cloud)
  • management.usgovcloudapi.net (Azure US 政府雲端)

共同管理

如果您為 [共同管理] 登記 Windows 裝置以 Microsoft Intune,請確定這些裝置可以存取 Intune 所需的端點。 如需詳細資訊,請參閱Microsoft Intune 的網路端點

商務用 Microsoft Store

如果您將 Configuration Manager 與商務用 Microsoft Store整合,請確定服務連線點與目標裝置可以存取雲端服務。 如需詳細資訊,請參閱商務用 Microsoft Store proxy configuration

傳遞最佳化

如果您使用傳遞優化,用戶端必須與其雲端服務通訊: *.do.dsp.mp.microsoft.com

支援 Microsoft 連線快取的發佈點也需要這些端點。

如需詳細資訊,請參閱下列文章:

雲端服務

如需雲端管理閘道 (CMG) 的詳細資訊,請參閱 Plan FOR CMG

本節涵蓋下列功能:

  • 雲端管理閘道 (CMG)
  • Azure Active Directory (Azure AD) 整合
  • 以 Azure AD 為基礎的探索
  • (CDP) 的雲端發佈點

注意

已取代雲端式發佈點 (CDP) 。 從版本2107開始,您無法建立新的 CDP 實例。 若要將內容提供給網際網路裝置,請啟用 CMG 以散佈內容。

下列各節依角色列出端點。 有些端點指的 <prefix> 是服務,其為 CMG 的前置詞名稱。 例如,如果您的 CMG 是 GraniteFalls.WestUS.CloudApp.Azure.Com ,則實際的儲存體端點是 GraniteFalls.blob.core.windows.net

提示

若要澄清某些術語:

  • CMG 服務名稱: CMG server 驗證憑證的一般名稱 (CN) 。 用戶端和 CMG connection point site system role 會與此服務名稱通訊。 例如,GraniteFalls.contoso.comGraniteFalls.WestUS.CloudApp.Azure.Com

  • CMG 部署名稱:服務名稱的第一個部分,以及雲端服務部署的 Azure 位置。 服務連線點的雲端 service manager 元件會在 Azure 中部署 CMG 時使用此名稱。 部署名稱永遠位於 Azure 網域中。 Azure 位置取決於部署方法,例如:

    • 虛擬機器規模設定: GraniteFalls.WestUS.CloudApp.Azure.Com
    • 傳統部署: GraniteFalls.CloudApp.Net

本文使用範例,將虛擬機器規模設定為版本2107和更新版本中建議的部署方法。 如果您使用的是傳統部署,請注意您閱讀本文和設定網際網路存取的差異。

雲端服務的服務連線點

若要讓 Configuration Manager 在 Azure 中部署 CMG 服務,服務連線點需要存取:

  • 特定 Azure 端點,根據設定的不同,各環境各有不同。 Configuration Manager 會將這些端點儲存在網站資料庫中。 在 SQL Server 中查詢 Azure 端點清單的 AzureEnvironments 表格。

  • Azure 服務:

    • management.azure.com (Azure public cloud)
    • management.usgovcloudapi.net (Azure US 政府雲端)
  • Azure AD 使用者探索: Microsoft Graph 端點https://graph.microsoft.com/

雲端服務的 CMG connection point

CMG 連接點需要存取下列端點:

類型 Azure 公有雲端 Azure US 政府雲端
服務 名稱 <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
儲存體端點1 <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
儲存體端點2 <prefix>.table.core.windows.net <prefix>.table.core.usgovcloudapi.net

CMG connection point 網站系統支援使用網頁 proxy。 如需設定 proxy 的此角色的詳細資訊,請參閱 proxy server 支援

CMG 連線點只需要連接至 CMG 服務端點。 不需要存取其他 Azure 端點。

雲端服務的 Configuration Manager 用戶端

需要與 CMG 進行通訊的任何 Configuration Manager 用戶端都必須存取下列端點:

類型 Azure 公有雲端 Azure US 政府雲端
部署 名稱 <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
儲存體端點 <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
Azure AD 端點 login.microsoftonline.com login.microsoftonline.us

雲端服務的 Configuration Manager 主控台

任何具有 Configuration Manager 主控台的裝置都需要存取下列端點:

類型 Azure 公有雲端 Azure US 政府雲端
Azure AD 端點 login.microsoftonline.com
aadcdn.msauth.net
aadcdn.msftauth.net
login.microsoftonline.us

軟體更新

允許使用中的軟體更新點存取下列端點,使 WSUS 和自動更新可以與 Microsoft Update cloud service 進行通訊:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • http://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://ntservicepack.microsoft.com

如需有關軟體更新的詳細資訊,請參閱 規劃軟體更新

內部網路防火牆

在下列情況下,您可能需要將端點新增至兩個網站系統之間的防火牆:

  • 如果子網站有軟體更新點
  • 如果網站上有遠端使用網際網路的遠端軟體更新點

子網站上的軟體更新點

  • http://<FQDN for software update point on child site>

  • https://<FQDN for software update point on child site>

  • http://<FQDN for software update point on parent site>

  • https://<FQDN for software update point on parent site>

管理 Microsoft 365 Apps

注意

從2020年4月21日起,Office 365 專業增強版會重新命名為 Microsoft 365 Apps 企業版。 如需詳細資訊,請參閱Office 365 專業增強版的名稱變更。 在更新主控台時,您仍會看到 Configuration Manager 主控台和支援檔中的舊名稱參考。

如果您使用 Configuration Manager 來部署和更新 Microsoft 365 Apps 企業版,請允許下列端點:

  • officecdn.microsoft.com同步處理 Microsoft 365 Apps 企業版用戶端更新的軟體更新點

  • config.office.com為 Microsoft 365 Apps 企業版部署建立自訂設定

  • contentstorage.osi.office.net若要支援 Office 增益集準備工作的評估

您的最上層網站伺服器必須能夠存取下列端點,才能下載 Microsoft Apps 365 準備檔:

  • 從2021年3月2日開始: https://omex.cdn.office.net/mirrored/sccmreadiness/SOT_SCCM_AddinReadiness.CAB
    • 2021年3月2日之前的位置: https://contentstorage.osi.office.net/sccmreadinessppe/sot_sccm_addinreadiness.cab

注意

此檔案的位置變更為 2021 年3月2日. 如需詳細資訊,請參閱Microsoft 365 Apps 準備檔的下載位置變更

Configuration Manager 主控台

使用 Configuration Manager 主控台的電腦需要存取下列特定功能的網際網路端點:

注意

若要讓來自 Microsoft 的推播通知顯示在主控台中,服務連線點需要存取權 configmgrbits.azureedge.net 。 它也需要存取此端點以取得 更新及服務,因此您可能已允許它。

主機內意見反應

在您執行主控台的電腦上,允許它存取下列網際網路端點,以將診斷資料傳送至 Microsoft:

  • petrol.office.microsoft.com

  • ceuswatcab01.blob.core.windows.net

  • ceuswatcab02.blob.core.windows.net

  • eaus2watcab01.blob.core.windows.net

  • eaus2watcab02.blob.core.windows.net

  • weus2watcab01.blob.core.windows.net

  • weus2watcab02.blob.core.windows.net

  • umwatsonc.events.data.microsoft.com

  • *-umwatsonc.events.data.microsoft.com

如需此功能的詳細資訊,請參閱 產品意見反應。

Community 工作區

檔節點

如需此主控台節點的詳細資訊,請參閱 使用 Configuration Manager 主控台

  • https://aka.ms

  • https://raw.githubusercontent.com

社群中樞

如需此功能的詳細資訊,請參閱Community hub

  • https://github.com

  • https://communityhub.microsoft.com

電腦分析

如需詳細資訊,請參閱 啟用資料共用

伺服器連接端點

服務連接點必須與下列端點通訊:

端點 函數
https://aka.ms 用於尋找服務
https://graph.windows.net 用於在 Configuration Manager 伺服器角色) 上將階層附加至桌面 Analytics (時,自動取得 CommercialId 等設定。 如需詳細資訊,請參閱 Configure the proxy for a site system server
https://*.manage.microsoft.com 用於同步處理裝置集合成員資格、部署計畫和裝置準備狀態,且僅限 Configuration Manager Server role 上的桌面 Analytics () 。 如需詳細資訊,請參閱 Configure the proxy for a site system server
https://dc.services.visualstudio.com 以取得來自內部部署服務連接器的診斷資料,以取得雲端聯機服務健康情況的深入瞭解。

使用者經驗和診斷元件端點

用戶端裝置必須與下列端點進行通訊:

端點 函數
https://v10c.events.data.microsoft.com 連線的使用者經驗和診斷元件端點。 由執行 Windows 10 版本1809或更新版本的裝置使用,或已安裝2018-09 累積更新或更新版本1803。
https://v10.events.data.microsoft.com 連線的使用者經驗和診斷元件端點。 由執行 Windows 10 的裝置使用, 安裝2018-09 累積更新的版本1803。
https://v10.vortex-win.data.microsoft.com 連線的使用者經驗和診斷元件端點。 由執行 Windows 10 版本1709或更早版本的裝置使用。
https://vortex-win.data.microsoft.com 連線的使用者經驗和診斷元件端點。 由執行 Windows 7 及 Windows 8.1 的裝置使用

用戶端連接端點

用戶端裝置必須與下列端點進行通訊:

索引 端點 函數
1 https://settings-win.data.microsoft.com 啟用相容性更新,將資料傳送至 Microsoft。
http://adl.windows.com 允許相容性更新以接收 Microsoft 的最新相容性資料。
3 https://watson.telemetry.microsoft.com Windows 錯誤報告 (WER) 。 在 Windows 10 版本1803或更早版本中監視部署健康情況所需。
4 https://umwatsonc.events.data.microsoft.com Windows 錯誤報告 (WER) 。 在 Windows 10 版本1809或更新版本中,裝置狀況報表所需。
5 https://ceuswatcab01.blob.core.windows.net Windows 錯誤報告 (WER) 。 在 Windows 10 版本1809或更新版本中監視部署健康情況所需。
6 https://ceuswatcab02.blob.core.windows.net Windows 錯誤報告 (WER) 。 在 Windows 10 版本1809或更新版本中監視部署健康情況所需。
7 https://eaus2watcab01.blob.core.windows.net Windows 錯誤報告 (WER) 。 在 Windows 10 版本1809或更新版本中監視部署健康情況所需。
8 https://eaus2watcab02.blob.core.windows.net Windows 錯誤報告 (WER) 。 在 Windows 10 版本1809或更新版本中監視部署健康情況所需。
9 https://weus2watcab01.blob.core.windows.net Windows 錯誤報告 (WER) 。 在 Windows 10 版本1809或更新版本中監視部署健康情況所需。
10 https://weus2watcab02.blob.core.windows.net Windows 錯誤報告 (WER) 。 在 Windows 10 版本1809或更新版本中監視部署健康情況所需。
11 https://kmwatsonc.events.data.microsoft.com 線上崩潰分析 (OCA) 。 在 Windows 10 版本1809或更新版本中,裝置狀況報表所需。
12 https://oca.telemetry.microsoft.com 線上崩潰分析 (OCA) 。 在 Windows 10 版本1803或更早版本中監視部署健康情況所需。
13 https://login.live.com 需要為桌面機分析提供更可靠的裝置身分識別。

若要停用使用者的 Microsoft 帳戶存取權,請使用原則設定,而不要封鎖此端點。 如需詳細資訊,請參閱 企業版中的 Microsoft 帳戶
14 https://v20.events.data.microsoft.com 連線的使用者經驗和診斷元件端點。

租用戶附加

如需詳細資訊,請參閱 啟用租使用者附加

  • https://aka.ms/configmgrgateway

  • https://*.manage.microsoft.com 適用于 Azure public cloud customers

  • https://*.manage.microsoft.us 針對美國政府雲端客戶版本2107或更新版本

  • https://dc.services.visualstudio.com

服務連線點會對主控的通知服務進行長時間的傳出連線 https://*.manage.microsoft.com 。 驗證用於服務連接點的 Proxy 不會過快讓傳出連線逾時。 建議對此網際網路端點的傳出連線使用 3 分鐘。

如果您的環境只允許 (Crl) 或線上憑證狀態通訊協定 (OCSP) 驗證位置的特定憑證吊銷清單,也允許下列 CRL 和 OCSP URLs:

  • http://crl3.digicert.com
  • http://crl4.digicert.com
  • http://ocsp.digicert.com
  • http://www.d-trust.net
  • http://root-c3-ca2-2009.ocsp.d-trust.net
  • http://crl.microsoft.com
  • http://oneocsp.microsoft.com
  • http://ocsp.msocsp.com
  • http://www.microsoft.com/pkiops

端點分析

如需詳細資訊,請參閱 Endpoint analytics proxy proxy設定。

Configuration Manager 受控裝置所需的端點

Configuration Manager 受控裝置會透過 Configuration Manager 角色上的連接器,將資料傳送到 Intune,而且不需直接存取 Microsoft 公用雲端。

端點 函數
https://graph.windows.net 用於在將階層附加到 Configuration Manager 伺服器角色上的端點分析時,自動檢索設定。 如需詳細資訊,請參閱為站台系統伺服器設定 Proxy
https://*.manage.microsoft.com 用於在僅限 Configuration Manager 伺服器角色上以端點分析同步處理裝置集合和裝置。 如需詳細資訊,請參閱為站台系統伺服器設定 Proxy

Intune 受控裝置所需的端點

若要將裝置註冊到端點分析,其必須將所需的功能資料傳送到 Microsoft 公用雲端。 端點分析使用 Windows 用戶端,以及 Windows 伺服器 連線的使用者經驗和遙測 元件 (DiagTrack) 以從 Intune 管理的裝置收集資料。 請確認裝置上的 已連線使用者體驗與遙測 服務正在執行。

端點 函數
https://*.events.data.microsoft.com 由 Intune 受控裝置用來將所需的功能資料傳送到 Intune 資料收集端點。

資產智慧

如果您使用 資產智慧,請允許服務的下列端點進行同步處理:

  • https://sc.microsoft.com
  • https://ssu2.manage.microsoft.com

部署 Microsoft Edge

執行 Configuration Manager 主控台的裝置需要存取下列端點,才能部署 Microsoft Edge:

位置 使用
https://aka.ms/cmedgeapi Microsoft Edge 版本的相關資訊
https://edgeupdates.microsoft.com/api/products?view=enterprise Microsoft Edge 版本的相關資訊
http://dl.delivery.mp.microsoft.com Microsoft Edge 版本的內容

外部通知

如需詳細資訊,請參閱 外部通知

服務連線點必須與通知服務通訊,例如 Azure Logic Apps。 邏輯應用程式的存取端點通常具有下列格式: https://*.<RegionName>.logic.azure.com:443 。 例如:https://prod1.westus2.logic.azure.com:443

若要取得邏輯應用程式的存取端點,以及相關聯的 IP 位址,請使用下列程式:

  1. 在 Azure 入口網站的 [ 邏輯應用程式] 底下,選取您通知的邏輯應用程式。 如需詳細資訊,請參閱 在 Azure 入口網站中管理邏輯應用程式
  2. 在應用程式的功能表中,選取 [設定] 區段中的 [屬性]。
  3. 查看或複製 存取端點存取端點 IP 位址 的值。

Microsoft 公用 IP 位址

如需 Microsoft IP 位址範圍的詳細資訊,請參閱 Microsoft PUBLIC IP Space。 這些位址會定期更新。 服務沒有細微性,您可以使用這些範圍中的任何 IP 位址。

後續步驟