Requisiti di accesso a Internet

Alcune funzionalità di Configuration Manager si basano sulla connettività Internet per le funzionalità complete. Se l'organizzazione limita la comunicazione di rete con Internet usando un firewall o un dispositivo proxy, assicurarsi di consentire questi endpoint.

Configuration Manager usa i seguenti servizi di inoltro URL Microsoft nel prodotto:

  • https://aka.ms
  • https://go.microsoft.com

Anche se non sono elencati in modo esplicito nelle sezioni seguenti, è consigliabile consentire sempre questi endpoint.

Punto di connessione del servizio

Per altre informazioni, vedere Informazioni sul punto di connessione del servizio.

Queste configurazioni si applicano al server che ospita il punto di connessione del servizio e a eventuali firewall tra tale server e Internet. Consentire la comunicazione tramite la porta HTTPS in uscita TCP 443 verso le posizioni Internet.

Il punto di connessione del servizio supporta l'uso di un proxy Web con o senza autenticazione per usare queste posizioni. Per altre informazioni, vedere Supporto del server proxy.

Se il sito Configuration Manager non riesce a connettersi agli endpoint necessari per un servizio cloud, genera un ID messaggio di stato critico 11488. Quando non riesce a connettersi al servizio, lo stato del componente SMS_SERVICE_CONNECTOR diventa critico. Visualizzare lo stato dettagliato nel nodo Stato componente della console di Configuration Manager.

A partire dalla versione 2010, il punto di connessione del servizio convalida gli endpoint Internet importanti per il collegamento del tenant. Questi controlli consentono di verificare che i servizi connessi al cloud siano disponibili. Inoltre, consente di risolvere i problemi determinando rapidamente se la connettività di rete è un problema. Per altre informazioni, vedere Convalidare l'accesso a Internet.

Gli URL specifici richiesti dal punto di connessione del servizio variano in base alla funzionalità Configuration Manager:

Consiglio

Il punto di connessione del servizio usa il servizio Microsoft Intune quando si connette a go.microsoft.com o manage.microsoft.com. Esiste un problema noto in cui il connettore Intune presenta problemi di connettività se il certificato baltimore CyberTrust Root non è installato, è scaduto o è danneggiato nel punto di connessione del servizio. Per altre informazioni, vedere Il punto di connessione del servizio non scarica gli aggiornamenti.

Aggiornamenti e servizi

Per altre informazioni, vedere Aggiornamenti e manutenzione.

Consiglio

Abilitare questi endpoint per la regola informazioni dettagliate di gestione, Connettere il sito al cloud Microsoft per gli aggiornamenti Configuration Manager.

  • *.akamaiedge.net

  • *.akamaitechnologies.com

  • *.manage.microsoft.com

  • go.microsoft.com

  • download.microsoft.com

  • download.windowsupdate.com

  • download.visualstudio.microsoft.com

  • sccmconnected-a01.cloudapp.net

  • definitionupdates.microsoft.com

  • configmgrbits.azureedge.net

    Importante

    Questo endpoint di Azure supporta solo TLS 1.2 con suite di crittografia specifiche. Assicurarsi che l'ambiente supporti queste configurazioni di Azure. Per altre informazioni, vedere Domande frequenti sulla configurazione di Frontdoor di Azure: TLS.

  • cmbitsstore.blob.core.windows.net

  • ceuswatcab01.blob.core.windows.net

  • ceuswatcab02.blob.core.windows.net

  • eaus2watcab01.blob.core.windows.net

  • eaus2watcab02.blob.core.windows.net

  • weus2watcab01.blob.core.windows.net

  • weus2watcab02.blob.core.windows.net

  • cmbitsstore.blob.core.windows.net

  • umwatsonc.events.data.microsoft.com

  • *-umwatsonc.events.data.microsoft.com

Manutenzione di Windows

Per altre informazioni, vedere Gestire Windows as a Service.

  • download.microsoft.com

  • https://go.microsoft.com/fwlink/?LinkID=619849

  • dl.delivery.mp.microsoft.com

Servizi di Azure

Per altre informazioni, vedere Configurare i servizi di Azure per l'uso con Configuration Manager.

  • management.azure.com (Cloud pubblico di Azure)
  • management.usgovcloudapi.net (Cloud di Azure US Government)

Co-gestione

Se si registrano i dispositivi Windows in Microsoft Intune per la co-gestione, assicurarsi che tali dispositivi possano accedere agli endpoint richiesti da Intune. Per altre informazioni, vedere Endpoint di rete per Microsoft Intune.

Microsoft Store per le aziende

Se si integra Configuration Manager con il Microsoft Store per le aziende, assicurarsi che il punto di connessione del servizio e i dispositivi di destinazione possano accedere al servizio cloud. Per altre informazioni, vedere Microsoft Store per le aziende configurazione del proxy.

Ottimizzazione recapito

Se si usa l'ottimizzazione del recapito, i client devono comunicare con il relativo servizio cloud: *.do.dsp.mp.microsoft.com

Anche i punti di distribuzione che supportano Microsoft Connected Cache richiedono questi endpoint.

Per altre informazioni, vedere gli articoli seguenti:

Servizi cloud

Per altre informazioni sul gateway di gestione cloud, vedere Pianificare cmg.

Questa sezione illustra le funzionalità seguenti:

  • Cloud Management Gateway (CMG)

  • integrazione Microsoft Entra

  • individuazione basata su Microsoft Entra ID

  • Punto di distribuzione cloud (CDP)

    Nota

    Il punto di distribuzione basato sul cloud (CDP) è deprecato. A partire dalla versione 2107, non è possibile creare nuove istanze CDP. Per fornire contenuto ai dispositivi basati su Internet, abilitare cmg per distribuire il contenuto.

Le sezioni seguenti elencano gli endpoint in base al ruolo. Alcuni endpoint fanno riferimento a un servizio di <prefix>, che è il nome del prefisso del cmg. Ad esempio, se il cmg è GraniteFalls.WestUS.CloudApp.Azure.Com, l'endpoint di archiviazione effettivo è GraniteFalls.blob.core.windows.net.

Consiglio

Per chiarire alcuni termini:

  • Nome del servizio CMG: nome comune (CN) del certificato di autenticazione del server CMG. I client e il ruolo del sistema del sito del punto di connessione cmg comunicano con questo nome di servizio. Ad esempio, GraniteFalls.contoso.com o GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Nome distribuzione cmg: la prima parte del nome del servizio più la posizione di Azure per la distribuzione del servizio cloud. Il componente di Gestione servizi cloud del punto di connessione del servizio usa questo nome quando distribuisce il cmg in Azure. Il nome della distribuzione è sempre in un dominio di Azure. La posizione di Azure dipende dal metodo di distribuzione, ad esempio:

    • Set di scalabilità di macchine virtuali: GraniteFalls.WestUS.CloudApp.Azure.Com
    • Distribuzione classica: GraniteFalls.CloudApp.Net

Questo articolo usa esempi con un set di scalabilità di macchine virtuali come metodo di distribuzione consigliato nella versione 2107 e successive. Se si usa una distribuzione classica, tenere presente la differenza durante la lettura di questo articolo e la configurazione dell'accesso a Internet.

Punto di connessione del servizio per i servizi cloud

Per Configuration Manager per distribuire il servizio CMG in Azure, il punto di connessione del servizio deve accedere a:

  • Endpoint di Azure specifici, diversi per ambiente a seconda della configurazione. Configuration Manager archivia questi endpoint nel database del sito. Eseguire una query sulla tabella AzureEnvironments in SQL Server per l'elenco degli endpoint di Azure.

  • Servizi di Azure:

    • management.azure.com (Cloud pubblico di Azure)
    • management.usgovcloudapi.net (Cloud di Azure US Government)
  • Per Microsoft Entra'individuazione utente: endpoint Microsoft Graphhttps://graph.microsoft.com/

Punto di connessione cmg per i servizi cloud

Il punto di connessione cmg deve accedere agli endpoint seguenti:

Tipo Cloud pubblico di Azure Cloud di Azure US Government
Nome servizio <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
Endpoint di archiviazione 1 <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
Endpoint di archiviazione 2 <prefix>.table.core.windows.net <prefix>.table.core.usgovcloudapi.net
Insieme di credenziali delle chiavi <prefix>.vault.azure.net <prefix>.vault.usgovcloudapi.net

Il sistema del sito del punto di connessione cmg supporta l'uso di un proxy Web. Per altre informazioni sulla configurazione di questo ruolo per un proxy, vedere Supporto del server proxy.

Il punto di connessione cmg deve connettersi solo agli endpoint del servizio CMG. Non richiede l'accesso ad altri endpoint di Azure.

client Configuration Manager per i servizi cloud

Qualsiasi client Configuration Manager che deve comunicare con un cmg deve accedere agli endpoint seguenti:

Tipo Cloud pubblico di Azure Cloud di Azure US Government
Nome distribuzione <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
Endpoint di archiviazione <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
endpoint Microsoft Entra login.microsoftonline.com login.microsoftonline.us

Configuration Manager console per i servizi cloud

Qualsiasi dispositivo con la console Configuration Manager deve accedere agli endpoint seguenti:

Tipo Cloud pubblico di Azure Cloud di Azure US Government
endpoint Microsoft Entra login.microsoftonline.com
aadcdn.msauth.net
aadcdn.msftauth.net
login.microsoftonline.us

Aggiornamenti software

Consentire al punto di aggiornamento software attivo di accedere agli endpoint seguenti in modo che WSUS e Automatic Aggiornamenti possano comunicare con il servizio cloud di Microsoft Update:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • http://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://ntservicepack.microsoft.com

Per altre informazioni sugli aggiornamenti software, vedere Pianificare gli aggiornamenti software.

Firewall Intranet

Potrebbe essere necessario aggiungere endpoint a un firewall tra due sistemi del sito nei casi seguenti:

  • Se i siti figlio hanno un punto di aggiornamento software
  • Se è presente un punto di aggiornamento software remoto attivo basato su Internet in un sito

Punto di aggiornamento software nel sito figlio

  • http://<FQDN for software update point on child site>

  • https://<FQDN for software update point on child site>

  • http://<FQDN for software update point on parent site>

  • https://<FQDN for software update point on parent site>

Gestire gli aggiornamenti di Microsoft 365 Apps

Nota

A partire dal 21 aprile 2020, Office 365 ProPlus viene rinominato in Microsoft 365 Apps for enterprise. Per altre informazioni, vedere Modifica del nome per Office 365 ProPlus. È possibile che nella console di Configuration Manager e nella documentazione di supporto vengano ancora visualizzati riferimenti al nome precedente durante l'aggiornamento della console.

Se si usa Configuration Manager per distribuire e aggiornare Microsoft 365 Apps for enterprise, consentire gli endpoint seguenti:

  • officecdn.microsoft.comper sincronizzare il punto di aggiornamento software per gli aggiornamenti client Microsoft 365 Apps for enterprise

  • config.office.comper creare configurazioni personalizzate per le distribuzioni Microsoft 365 Apps for enterprise

  • https://clients.config.office.nete https://go.microsoft.com/fwlink/?linkid=2190568 per supportare la distribuzione degli aggiornamenti per Microsoft 365 Apps for enterprise

  • contentstorage.osi.office.net per supportare la valutazione dell'idoneità dei componenti aggiuntivi di Office

Il server del sito di primo livello deve accedere all'endpoint seguente per scaricare il file di conformità Microsoft Apps 365:

  • A partire dal 2 marzo 2021: https://omex.cdn.office.net/mirrored/sccmreadiness/SOT_SCCM_AddinReadiness.CAB
    • Posizione precedente al 2 marzo 2021: https://contentstorage.osi.office.net/sccmreadinessppe/sot_sccm_addinreadiness.cab

Nota

Il percorso di questo file sta cambiando il 2 marzo 2021. Per altre informazioni, vedere Modifica del percorso di download per Microsoft 365 Apps file di idoneità.

console Configuration Manager

I computer con la console Configuration Manager richiedono l'accesso agli endpoint Internet seguenti per funzionalità specifiche:

Nota

Per visualizzare le notifiche push da Microsoft nella console, il punto di connessione del servizio deve accedere a configmgrbits.azureedge.net. Deve anche accedere a questo endpoint per gli aggiornamenti e la manutenzione, quindi potrebbe essere già stato consentito.

Feedback sulla console

Nel computer in cui si esegue la console, consentire l'accesso agli endpoint Internet seguenti per inviare dati di diagnostica a Microsoft:

  • petrol.office.microsoft.com

  • ceuswatcab01.blob.core.windows.net

  • ceuswatcab02.blob.core.windows.net

  • eaus2watcab01.blob.core.windows.net

  • eaus2watcab02.blob.core.windows.net

  • weus2watcab01.blob.core.windows.net

  • weus2watcab02.blob.core.windows.net

  • umwatsonc.events.data.microsoft.com

  • *-umwatsonc.events.data.microsoft.com

Per altre informazioni su questa funzionalità, vedere Commenti e suggerimenti sui prodotti.

Area di lavoro della community

Nodo della documentazione

Per altre informazioni su questo nodo della console, vedere Uso della console Configuration Manager.

  • https://aka.ms

  • https://raw.githubusercontent.com

Hub della community

Per altre informazioni su questa funzionalità, vedere Hub della community.

  • https://github.com

  • https://communityhub.microsoft.com

Connessione tenant

Per altre informazioni, vedere Abilita collegamento del tenant.

  • https://aka.ms/configmgrgateway

  • https://*.manage.microsoft.com per i clienti del cloud pubblico di Azure

  • https://*.manage.microsoft.us per i clienti cloud us government nella versione 2107 o successiva

  • https://dc.services.visualstudio.com

Il punto di connessione del servizio effettua una connessione in uscita di lunga data al servizio di notifica ospitato in https://*.manage.microsoft.com. Verificare che il proxy utilizzato per il punto di connessione del servizio non raggiunga il timeout troppo rapidamente per le connessioni in uscita. Per questo endpoint Internet, è consigliabile usare 3 minuti per le connessioni in uscita.

Se l'ambiente dispone di regole proxy per consentire solo elenchi di revoche di certificati (CRL) specifici o percorsi di verifica OCSP (Online Certificate Status Protocol), consentire anche gli URL CRL e OCSP seguenti:

  • http://crl3.digicert.com
  • http://crl4.digicert.com
  • http://ocsp.digicert.com
  • http://www.d-trust.net
  • http://root-c3-ca2-2009.ocsp.d-trust.net
  • http://crl.microsoft.com
  • http://oneocsp.microsoft.com
  • http://ocsp.msocsp.com
  • http://www.microsoft.com/pkiops

Analisi degli endpoint

Per altre informazioni, vedere Configurazione del proxy di analisi degli endpoint.

Endpoint necessari per i dispositivi gestiti da Configuration Manager

I dispositivi gestiti da Configuration Manager inviano i dati a Intune tramite il connettore sul ruolo Configuration Manager e non hanno bisogno di accedere direttamente al cloud pubblico Microsoft.

Endpoint Funzione
https://graph.windows.net Usato per recuperare automaticamente le impostazioni quando si collega la gerarchia a Analisi degli endpoint in Configuration Manager ruolo del server. Per altre informazioni, vedere Configurare il proxy per un server del sistema del sito.
https://*.manage.microsoft.com Usato per sincronizzare la raccolta di dispositivi e i dispositivi con Analisi degli endpoint solo in Configuration Manager ruolo del server. Per altre informazioni, vedere Configurare il proxy per un server del sistema del sito.

Endpoint necessari per i dispositivi gestiti da Intune

Per registrare i dispositivi per Analisi degli endpoint, è necessario inviare i dati funzionali richiesti al cloud pubblico Microsoft. Endpoint Analytics usa il client Windows e il componente Esperienze utente connesse e telemetria di Windows Server (DiagTrack) per raccogliere i dati dai dispositivi gestiti da Intune. Assicurarsi che il servizio Esperienze utente connesse e telemetria nel dispositivo sia in esecuzione.

Endpoint Funzione
https://*.events.data.microsoft.com Usato dai dispositivi gestiti da Intune per inviare i dati funzionali richiesti all'endpoint di raccolta dati di Intune.

Asset intelligence

Se si usa Asset Intelligence, consentire la sincronizzazione degli endpoint seguenti per il servizio:

  • https://sc.microsoft.com
  • https://ssu2.manage.microsoft.com

Distribuzione di Microsoft Edge

Il dispositivo che esegue la console Configuration Manager deve accedere agli endpoint seguenti per la distribuzione di Microsoft Edge:

Posizione Uso
https://aka.ms/cmedgeapi Informazioni sulle versioni di Microsoft Edge
https://edgeupdates.microsoft.com/api/products?view=enterprise Informazioni sulle versioni di Microsoft Edge
http://dl.delivery.mp.microsoft.com Contenuto per le versioni di Microsoft Edge

Notifiche esterne

Per altre informazioni, vedere Notifiche esterne.

Il punto di connessione del servizio deve comunicare con il servizio di notifica, ad esempio App per la logica di Azure. L'endpoint di accesso per l'app per la logica ha in genere il formato seguente: https://*.<RegionName>.logic.azure.com:443. Ad esempio: https://prod1.westus2.logic.azure.com:443

Per ottenere l'endpoint di accesso per l'app per la logica, nonché gli indirizzi IP associati, usare il processo seguente:

  1. Nella portale di Azure, in App per la logica selezionare l'app per la logica per la notifica. Per altre informazioni, vedere Gestire le app per la logica nel portale di Azure.
  2. Nel menu dell'app selezionare Proprietà nella sezione Impostazioni.
  3. Visualizzare o copiare i valori per l'endpoint di Access e gli indirizzi IP dell'endpoint di Access.

Indirizzi IP pubblici Microsoft

Per altre informazioni sugli intervalli di indirizzi IP Microsoft, vedere Spazio IP pubblico Microsoft. Questi indirizzi vengono aggiornati regolarmente. Non c'è granularità in base al servizio, è possibile usare qualsiasi indirizzo IP in questi intervalli.

Passaggi successivi