Adresses IP et URL de domaine autorisées
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019
Si votre organisation est sécurisée avec un pare-feu ou un serveur proxy, vous devez ajouter certaines adresses IP (Internet Protocol) et des url (URL) à la liste verte. L’ajout de ces ADRESSES IP et URL à la liste verte vous permet de vous assurer que vous disposez de la meilleure expérience avec Azure DevOps. Vous savez que vous devez mettre à jour votre liste verte si vous ne pouvez pas accéder à Azure DevOps sur votre réseau. Consultez les sections suivantes de cet article :
Conseil
Ainsi, Visual Studio et Les services Azure fonctionnent correctement sans problème réseau, ouvrez les ports et protocoles sélectionnés. Pour plus d’informations, consultez Installer et utiliser Visual Studio derrière un pare-feu ou un serveur proxy, utiliser Visual Studio et les services Azure.
Adresses IP et restrictions de plage
Connexions sortantes
Les connexions sortantes ciblent d’autres sites dépendants . Voici quelques exemples de ces connexions :
- Navigateurs se connectant au site web Azure DevOps à mesure que les utilisateurs accèdent aux fonctionnalités d’Azure DevOps
- Agents Azure Pipelines installés sur le réseau de votre organisation se connectant à Azure DevOps pour interroger les travaux en attente
- Événements CI envoyés à partir d’un référentiel de code source hébergé dans le réseau de votre organisation vers Azure DevOps
Vérifiez que les adresses IP suivantes sont autorisées pour les connexions sortantes, de sorte que votre organisation fonctionne avec n’importe quelle restriction de pare-feu ou d’adresse IP existante. Les données de point de terminaison dans le graphique suivant répertorient les exigences en matière de connectivité d’une machine de votre organisation à Azure DevOps Services.
13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24
Si vous autorisez actuellement les adresses IP et 13.107.9.183 les 13.107.6.183 adresses IP, laissez-les en place, car vous n’avez pas besoin de les supprimer.
Remarque
Les balises de service Azure ne sont pas prises en charge pour les connexions sortantes .
Connexions entrantes
Les connexions entrantes proviennent d’Azure DevOps et de ressources cibles au sein du réseau de votre organisation. Voici quelques exemples de ces connexions :
- Azure DevOps Services se connectant aux points de terminaison pour les hooks de service
- Azure DevOps Services se connectant à des machines virtuelles SQL Azure contrôlées par le client pour l’importation de données
- Azure Pipelines se connectant à des référentiels de code source locaux tels que GitHub Enterprise ou Bitbucket Server
- Azure DevOps Services Audit Streaming se connectant à Splunk local ou cloud
Vérifiez que les adresses IP suivantes sont autorisées pour les connexions entrantes, de sorte que votre organisation fonctionne avec n’importe quelle restriction de pare-feu ou d’adresse IP existante. Les données de point de terminaison dans le graphique suivant répertorient les exigences de connectivité d’Azure DevOps Services à vos services cloud locaux ou autres.
| Geography | Région | Plages IP V4 |
|---|---|---|
| Australie | Australie Est | 20.37.194.0/24 |
| Sud-Est de l’Australie | 20.42.226.0/24 | |
| Brésil | Brésil Sud | 191.235.226.0/24 |
| Canada | Canada central | 52.228.82.0/24 |
| Asie-Pacifique | Asie Sud-Est (Singapour) | 20.195.68.0/24 |
| Inde | Inde Sud | 20.41.194.0/24 |
| Inde centrale | 20.204.197.192/26 | |
| États-Unis | États-Unis central | 20.37.158.0/23 |
| États-Unis Centre-Ouest | 52.150.138.0/24 | |
| États-Unis Est | 20.42.5.0/24 | |
| Est 2 États-Unis | 20.41.6.0/23 | |
| États-Unis nord | 40.80.187.0/24 | |
| États-Unis sud | 40.119.10.0/24 | |
| États-Unis Ouest | 40.82.252.0/24 | |
| Ouest 2 États-Unis | 20.42.134.0/23 | |
| Ouest 3 États-Unis | 20.125.155.0/24 | |
| Europe | Europe de l’Ouest | 40.74.28.0/23 |
| Europe Nord | 20.166.41.0/24 | |
| Royaume-Uni | Royaume-Uni Sud | 51.104.26.0/24 |
Les balises de service Azure sont prises en charge uniquement pour les connexions entrantes . Au lieu d’autoriser les plages d’adresses IP répertoriées précédemment, vous pouvez utiliser la balise de service AzureDevOps pour Pare-feu Azure et le groupe de sécurité réseau (NSG) ou le pare-feu local via un téléchargement de fichier JSON.
Remarque
La balise de service ou les adresses IP entrantes mentionnées précédemment ne s’appliquent pas aux agents hébergés par Microsoft. Les clients sont toujours tenus d’autoriser l’intégralité de la zone géographique pour les agents hébergés par Microsoft. Si l’ensemble de la zone géographique est un problème, nous vous recommandons d’utiliser les agents azure Virtual Machine Scale Set. Les agents de groupe identique sont une forme d’agents auto-hébergés qui peuvent être mis à l’échelle automatiquement pour répondre à vos demandes.
Les agents macOS hébergés sont hébergés dans le cloud macOS de GitHub. Les plages d’adresses IP peuvent être récupérées avec l’API de métadonnées GitHub en suivant les instructions fournies ici.
Autres adresses IP
La plupart des adresses IP suivantes concernent Microsoft 365 Common et Office Online.
40.82.190.38
52.108.0.0/14
52.237.19.6
52.238.106.116/32
52.244.37.168/32
52.244.203.72/32
52.244.207.172/32
52.244.223.198/32
52.247.150.191/32
Pour plus d’informations, consultez points de terminaison mondiaux et ajout de règles d’adresse IP.
Connexions Azure DevOps ExpressRoute
Si votre organisation utilise ExpressRoute, vérifiez que les adresses IP suivantes sont autorisées pour les connexions sortantes et entrantes.
13.107.6.175/32
13.107.6.176/32
13.107.6.183/32
13.107.9.175/32
13.107.9.176/32
13.107.9.183/32
13.107.42.18/32
13.107.42.19/32
13.107.42.20/32
13.107.43.18/32
13.107.43.19/32
13.107.43.20/32
Pour plus d’informations sur Azure DevOps et ExpressRoute, consultez ExpressRoute pour Azure DevOps.
URL de domaine autorisées
Les problèmes de connexion réseau peuvent se produire en raison de vos appliances de sécurité, ce qui peut bloquer les connexions : Visual Studio utilise TLS 1.2 et versions ultérieures. Lorsque vous utilisez NuGet ou que vous vous connectez à partir de Visual Studio 2015 et versions ultérieures, mettez à jour les appliances de sécurité pour prendre en charge TLS 1.2 et versions ultérieures pour les connexions suivantes.
Pour vous assurer que votre organisation fonctionne avec les restrictions existantes de pare-feu ou d’adresse IP, assurez-vous qu’elle dev.azure.com est ouverte et *.dev.azure.com ouverte.
La section suivante inclut les URL de domaine les plus courantes pour prendre en charge les connexions de connexion et de licence.
https://dev.azure.com
https://*.dev.azure.com
https://aex.dev.azure.com
https://aexprodea1.vsaex.visualstudio.com
https://*vstmrblob.vsassets.io
https://amp.azure.net
https://app.vssps.dev.azure.com
https://app.vssps.visualstudio.com
https://*.vsblob.visualstudio.com
https://*.vssps.visualstudio.com
https://*.vstmr.visualstudio.com
https://azure.microsoft.com
https://go.microsoft.com
https://graph.microsoft.com
https://login.microsoftonline.com
https://management.azure.com
https://management.core.windows.net
https://microsoft.com
https://microsoftonline.com
https://static2.sharepointonline.com
https://visualstudio.com
https://vsrm.dev.azure.com
https://vstsagentpackage.azureedge.net
https://*.windows.net
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com
Azure DevOps uses content delivery network (CDN) to serve static content. The following URLs are part of that.
https://cdn.vsassets.io
https://*.vsassets.io
https://*gallerycdn.vsassets.io
https://aadcdn.msauth.net
https://aadcdn.msftauth.net
https://amcdn.msftauth.net
https://azurecomcdn.azureedge.net
Les points de terminaison suivants sont utilisés pour authentifier les organisations Azure DevOps à l’aide d’un compte Microsoft (MSA). Ces points de terminaison sont uniquement nécessaires pour les organisations Azure DevOps sauvegardées par les comptes Microsoft (MSA). Les organisations Azure DevOps soutenues par un locataire Microsoft Entra n’ont pas besoin des URL suivantes.
https://live.com
https://login.live.com
L’URL suivante est requise si vous migrez du serveur Azure DevOps vers le service cloud à l’aide de notre outil de migration de données.
https://dataimport.dev.azure.com
Remarque
Azure DevOps utilise des réseau de distribution de contenu (CDN) pour servir du contenu statique. Les utilisateurs en Chine doivent également ajouter les URL de domaine suivantes à une liste verte :
https://*.vsassetscdn.azure.cn
https://*.gallerycdn.azure.cn
Nous vous recommandons d’ouvrir le port 443 vers tout le trafic sur les adresses IP et domaines suivants. Nous vous recommandons également d’ouvrir le port 22 vers un sous-ensemble plus petit d’adresses IP ciblées.
| Autres URL de domaine | Descriptions |
|---|---|
| https://login.microsoftonline.com | Authentification et connexion associées |
| https ://*.vssps.visualstudio.com | Authentification et connexion associées |
| https ://*gallerycdn.vsassets.io | Héberge les extensions Azure DevOps |
| https ://*vstmrblob.vsassets.io | Héberge les données du journal TCM Azure DevOps |
| https://cdn.vsassets.io | Héberge le contenu azure DevOps réseau de distribution de contenu s (CDN) |
| https://static2.sharepointonline.com | Héberge certaines ressources utilisées par Azure DevOps dans le kit d’interface utilisateur « office fabric » pour les polices, et ainsi de suite |
| https://vsrm.dev.azure.com | Versions d’hôtes |
| https://vstsagentpackage.azureedge.net | Requis pour configurer l’agent auto-hébergé dans des machines au sein de votre réseau |
| https://amp.azure.net | Nécessaire pour le déploiement sur Azure App Service |
| https://go.microsoft.com | Accès aux liens go |
Azure Artifacts
Vérifiez que les URL de domaine suivantes sont autorisées pour Azure Artifacts :
https://*.blob.core.windows.net
https://*.visualstudio.com
https://*.dedup.microsoft.com
Autorisez également toutes les adresses IP dans le « nom » : « Stockage. Section {region}" du fichier suivant (mise à jour hebdomadaire) : plages d’adresses IP Azure et balises de service - Cloud public. {region} est la même zone géographique Azure que votre organisation.
Connexions NuGet
Vérifiez que les URL de domaine suivantes sont autorisées pour les connexions NuGet :
https://azurewebsites.net
https://*.nuget.org
Remarque
Les URL de serveur NuGet détenues en privé peuvent ne pas être incluses dans la liste précédente. Vous pouvez vérifier les serveurs NuGet que vous utilisez en ouvrant %APPData%\Nuget\NuGet.Config.
Connexions SSH
Si vous devez vous connecter aux référentiels Git sur Azure DevOps avec SSH, autorisez les requêtes au port 22 pour les hôtes suivants :
ssh.dev.azure.com
vs-ssh.visualstudio.com
Autorisez également les adresses IP dans la section « name » : « AzureDevOps » de ce fichier téléchargeable (mis à jour chaque semaine) nommé : Plages d’adresses IP Azure et balises de service - Cloud public
Agents hébergés par Microsoft Azure Pipelines
Si vous utilisez l’agent hébergé par Microsoft pour exécuter vos travaux et que vous avez besoin des informations sur les adresses IP utilisées, consultez les plages d’adresses IP des agents hébergés par Microsoft. Consultez tous les agents du groupe de machines virtuelles identiques Azure.
Pour plus d’informations sur les agents Windows, Linux et macOS hébergés, consultez les plages d’adresses IP de l’agent hébergé par Microsoft.
Agents auto-hébergés Azure Pipelines
Si vous exécutez un pare-feu et que votre code se trouve dans Azure Repos, consultez les FAQ sur les agents Linux auto-hébergés, les FAQ sur les agents macOS auto-hébergés ou les faq sur les agents Windows auto-hébergés. Cet article contient des informations sur les URL de domaine et adresses IP avec lesquelles votre agent privé doit communiquer.
Service d’importation Azure DevOps
Pendant le processus d’importation, nous vous recommandons vivement de restreindre l’accès à votre machine virtuelle à des adresses IP d’Azure DevOps uniquement. Pour restreindre l’accès, autorisez uniquement les connexions à partir de l’ensemble d’adresses IP Azure DevOps, qui ont été impliquées dans le processus d’importation de base de données de collection. Pour plus d’informations sur l’identification des adresses IP correctes, consultez (Facultatif) Restreindre l’accès aux adresses IP Azure DevOps Services uniquement.
Remarque
Azure DevOps ne prend pas en charge la liste verte directement dans ses paramètres. Toutefois, vous pouvez gérer la liste verte au niveau du réseau à l’aide des paramètres de pare-feu ou de proxy de votre organisation.