Endpoint di rete per Microsoft Intune
Questo articolo elenca gli indirizzi IP e le impostazioni delle porte necessarie per le impostazioni proxy nelle distribuzioni di Microsoft Intune.
In quanto servizio solo cloud, Intune non richiede un'infrastruttura locale, ad esempio server o gateway.
Accesso per i dispositivi gestiti
Per gestire i dispositivi dietro firewall e server proxy, è necessario abilitare la comunicazione per Intune.
Nota
Le informazioni in questa sezione si applicano anche al connettore di certificati di Microsoft Intune. Il connettore ha gli stessi requisiti di rete dei dispositivi gestiti.
Gli endpoint in questo articolo consentono l'accesso alle porte identificate nelle tabelle seguenti.
Per alcune attività, Intune richiede l'accesso non autenticato al server proxy a manage.microsoft.com, *.azureedge.net e graph.microsoft.com.
Nota
L'ispezione del traffico SSL non è supportata per gli endpoint "manage.microsoft.com", "dm.microsoft.com" o DHA (Device Health Attestation) elencati nella sezione conformità.
È possibile modificare le impostazioni del server proxy nei singoli computer client. È anche possibile usare le impostazioni di Criteri di gruppo per modificare le impostazioni per tutti i computer client che si trovano dietro un server proxy specificato.
I dispositivi gestiti richiedono configurazioni che consentono a Tutti gli utenti di accedere ai servizi tramite firewall.
Script di PowerShell
Per semplificare la configurazione dei servizi tramite firewall, è stata eseguita l'onboarding con il servizio endpoint di Office 365. In questo momento, le informazioni sull'endpoint di Intune sono accessibili tramite uno script di PowerShell. Esistono altri servizi dipendenti per Intune che sono già coperti come parte del servizio Microsoft 365 e sono contrassegnati come "obbligatori". I servizi già coperti da Microsoft 365 non sono inclusi nello script per evitare la duplicazione.
Usando lo script di PowerShell seguente, è possibile recuperare l'elenco di indirizzi IP per il servizio Intune.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips
Usando lo script di PowerShell seguente, è possibile recuperare l'elenco di FQDN usati da Intune e dai servizi dipendenti. Quando si esegue lo script, gli URL nell'output dello script possono essere diversi dagli URL nelle tabelle seguenti. Assicurarsi almeno di includere gli URL nelle tabelle.
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls
Lo script fornisce un metodo pratico per elencare ed esaminare tutti i servizi richiesti da Intune e Autopilot in un'unica posizione. È possibile restituire proprietà aggiuntive dal servizio endpoint, ad esempio la proprietà category, che indica se l'FQDN o l'IP deve essere configurato come Allow, Optimize o Default.
Endpoint
Sono inoltre necessari FQDN coperti nell'ambito dei requisiti di Microsoft 365. Per riferimento, le tabelle seguenti mostrano il servizio a cui sono associati e l'elenco di URL restituiti.
Le colonne di dati visualizzate nelle tabelle sono:
ID: numero ID della riga, noto anche come set di endpoint. Questo ID è lo stesso restituito dal servizio Web per il set di endpoint.
Categoria: indica se il set di endpoint è categorizzato come Optimize, Allow o Default. Questa colonna elenca anche i set di endpoint necessari per la connettività di rete. Per i set di endpoint che non sono necessari per la connettività di rete, in questo campo vengono fornite note per indicare quali funzionalità mancano se il set di endpoint è bloccato. Se si esclude un'intera area del servizio, i set di endpoint elencati come obbligatori non richiedono la connettività.
Per informazioni su queste categorie e indicazioni per la gestione, vedere Nuove categorie di endpoint di Microsoft 365.
ER: si tratta di Sì/True se il set di endpoint è supportato su Azure ExpressRoute con prefissi di route di Microsoft 365. La community BGP che include i prefissi di route visualizzati è allineata all'area di servizio elencata. Quando ER è No/False, ExpressRoute non è supportato per questo set di endpoint.
Indirizzi: elenca i nomi fqdn o i nomi di dominio con caratteri jolly e gli intervalli di indirizzi IP per il set di endpoint. Si noti che un intervallo di indirizzi IP è in formato CIDR e può includere molti singoli indirizzi IP nella rete specificata.
Porte: elenca le porte TCP o UDP combinate con gli indirizzi IP elencati per formare l'endpoint di rete. Si potrebbe notare una duplicazione negli intervalli di indirizzi IP in cui sono elencate porte diverse.
Servizio core di Intune
Nota
Se il firewall in uso consente di creare regole del firewall usando un nome di dominio, usare il dominio *.manage.microsoft.com e manage.microsoft.com. Tuttavia, se il provider del firewall in uso non consente di creare una regola del firewall usando un nome di dominio, è consigliabile usare l'elenco approvato di tutte le subnet in questa sezione.
| ID | Desc | Categoria | ER | Addresses | Porte |
|---|---|---|---|---|---|
| 163 | Client e servizio host di Endpoint Manager | Consenti Obbligatorio |
Falso | *.manage.microsoft.commanage.microsoft.comEnterpriseEnrollment.manage.microsoft.com104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.71.199.64/28, 13.73.244.48/28, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 20.49.93.160/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29 |
TCP: 80, 443 |
| 172 | Ottimizzazione recapito MDM | Predefinita Obbligatorio |
Falso | *.do.dsp.mp.microsoft.com*.dl.delivery.mp.microsoft.com |
TCP: 80, 443 |
| 170 | MEM - Win32Apps | Predefinita Obbligatorio |
Falso | swda01-mscdn.manage.microsoft.comswda02-mscdn.manage.microsoft.comswdb01-mscdn.manage.microsoft.comswdb02-mscdn.manage.microsoft.comswdc01-mscdn.manage.microsoft.comswdc02-mscdn.manage.microsoft.comswdd01-mscdn.manage.microsoft.comswdd02-mscdn.manage.microsoft.comswdin01-mscdn.manage.microsoft.comswdin02-mscdn.manage.microsoft.com |
TCP: 443 |
| 97 | Consumer Outlook.com, OneDrive, Autenticazione del dispositivo e account Microsoft | Predefinita Obbligatorio |
Falso | account.live.comlogin.live.com |
TCP: 443 |
| 190 | Individuazione degli endpoint | Predefinita Obbligatorio |
Falso | go.microsoft.com |
TCP: 80, 443 |
| 189 | Dipendenza - Distribuzione delle funzionalità | Predefinita Obbligatorio |
Falso | config.edge.skype.com |
TCP: 443 |
Dipendenze di Autopilot
| ID | Desc | Categoria | ER | Addresses | Porte |
|---|---|---|---|---|---|
| 164 | Autopilot - Windows Update | Predefinita Obbligatorio |
Falso | *.windowsupdate.com*.dl.delivery.mp.microsoft.com*.prod.do.dsp.mp.microsoft.com*.delivery.mp.microsoft.com*.update.microsoft.comtsfe.trafficshaping.dsp.mp.microsoft.comadl.windows.com |
TCP: 80, 443 |
| 165 | Autopilot - Sincronizzazione NTP | Predefinita Obbligatorio |
Falso | time.windows.com |
UDP: 123 |
| 169 | Autopilot - Dipendenze WNS | Predefinita Obbligatorio |
Falso | clientconfig.passport.netwindowsphone.com*.s-microsoft.comc.s-microsoft.com |
TCP: 443 |
| 173 | Autopilot - Dipendenze di distribuzione di terze parti | Predefinita Obbligatorio |
Falso | ekop.intel.comekcert.spserv.microsoft.comftpm.amd.com |
TCP: 443 |
| 182 | Autopilot - Caricamento della diagnostica | Predefinita Obbligatorio |
Falso | lgmsapeweu.blob.core.windows.net |
TCP: 443 |
Guida remota
| ID | Desc | Categoria | ER | Addresses | Porte | Note |
|---|---|---|---|---|---|---|
| 181 | MEM - Funzionalità della Guida remota | Predefinita Obbligatorio |
Falso | *.support.services.microsoft.comremoteassistance.support.services.microsoft.comrdprelayv3eastusprod-0.support.services.microsoft.com*.trouter.skype.comremoteassistanceprodacs.communication.azure.comedge.skype.comaadcdn.msftauth.netaadcdn.msauth.netalcdn.msauth.netwcpstatic.microsoft.com*.aria.microsoft.combrowser.pipe.aria.microsoft.com*.events.data.microsoft.comv10.events.data.microsoft.com*.monitor.azure.comjs.monitor.azure.comedge.microsoft.com*.trouter.communication.microsoft.comgo.trouter.communication.microsoft.com*.trouter.teams.microsoft.comtrouter2-usce-1-a.trouter.teams.microsoft.comapi.flightproxy.skype.comecs.communication.microsoft.comremotehelp.microsoft.comtrouter-azsc-usea-0-a.trouter.skype.com |
TCP: 443 | |
| 187 | Dependency - Remote Help Web pubsub | Predefinita Obbligatorio |
Falso | *.webpubsub.azure.comAMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com |
TCP: 443 | |
| 188 | Dipendenza della Guida remota per i clienti GCC | Predefinita Obbligatorio |
Falso | remoteassistanceweb-gcc.usgov.communication.azure.usgcc.remotehelp.microsoft.comgcc.relay.remotehelp.microsoft.com*.gov.teams.microsoft.us |
TCP: 443 |
Dipendenze di Intune
In questa sezione le tabelle seguenti elencano le dipendenze di Intune e le porte e i servizi a cui accede il client di Intune.
- Dipendenze di Windows Push Notification Services
- Dipendenze di ottimizzazione recapito
- Dipendenze apple
- Dipendenze AOSP Android
Dipendenze di Windows Push Notification Services (WNS)
| ID | Desc | Categoria | ER | Addresses | Porte |
|---|---|---|---|---|---|
| 171 | MEM - Dipendenze WNS | Predefinita Obbligatorio |
Falso | *.notify.windows.com*.wns.windows.comsinwns1011421.wns.windows.comsin.notify.windows.com |
TCP: 443 |
Per i dispositivi Windows gestiti da Intune gestiti tramite Gestione dispositivi mobili (MDM), le azioni dei dispositivi e altre attività immediate richiedono l'uso di Windows Push Notification Services (WNS). Per altre informazioni, vedere Consentire il traffico delle notifiche di Windows tramite firewall aziendali.
Dipendenze di ottimizzazione recapito
| ID | Desc | Categoria | ER | Addresses | Porte |
|---|---|---|---|---|---|
| 172 | MDM - Dipendenze di ottimizzazione recapito | Predefinita Obbligatorio |
Falso | *.do.dsp.mp.microsoft.com*.dl.delivery.mp.microsoft.com |
TCP: 80, 443 |
Requisiti delle porte : per il traffico peer-to-peer, Ottimizzazione recapito usa 7680 per TCP/IP. Usa Teredo sulla porta 3544 per l'attraversamento NAT (l'uso di Teredo è facoltativo) Per la comunicazione client-service, usa HTTP o HTTPS sulla porta 80/443.
Requisiti proxy : per usare Ottimizzazione recapito, è necessario consentire le richieste dell'intervallo di byte. Per altre informazioni, vedere Requisiti proxy per Windows Update.
Requisiti del firewall : consentire i nomi host seguenti attraverso il firewall per supportare Ottimizzazione recapito. Per la comunicazione tra i client e il servizio cloud ottimizzazione recapito:
- *.do.dsp.mp.microsoft.com
Per i metadati di Ottimizzazione recapito:
- *.dl.delivery.mp.microsoft.com
Dipendenze apple
| ID | Desc | Categoria | ER | Addresses | Porte |
|---|---|---|---|---|---|
| 178 | MEM - Dipendenze apple | Predefinita Obbligatorio |
Falso | itunes.apple.com*.itunes.apple.com*.mzstatic.com*.phobos.apple.comphobos.itunes-apple.com.akadns.net5-courier.push.apple.comphobos.apple.comocsp.apple.comax.itunes.apple.comax.itunes.apple.com.edgesuite.nets.mzstatic.coma1165.phobos.apple.com |
TCP: 80, 443, 5223 |
Per ulteriori informazioni, vedere le seguenti risorse:
- Usare i prodotti Apple nelle reti aziendali
- Porte TCP e UDP usate dai prodotti software Apple
- Informazioni sulle connessioni host del server macOS, iOS/iPadOS e iTunes e sui processi in background di iTunes
- Se i client macOS e iOS/iPadOS non ricevono notifiche push Apple
Dipendenze AOSP Android
| ID | Desc | Categoria | ER | Addresses | Porte |
|---|---|---|---|---|---|
| 179 | MEM - Dipendenza AOSP Android | Predefinita Obbligatorio |
Falso | intunecdnpeasd.azureedge.net |
TCP: 443 |
Nota
Poiché Google Mobile Services non è disponibile in Cina, i dispositivi in Cina gestiti da Intune non possono usare funzionalità che richiedono Google Mobile Services. Queste funzionalità includono: funzionalità di Google Play Protect come attestazione del dispositivo SafetyNet, Gestione delle app da Google Play Store, funzionalità Android Enterprise (vedere questa documentazione di Google). Inoltre, l'app Portale aziendale di Intune per Android usa Google Mobile Services per comunicare con il servizio Microsoft Intune. Poiché i servizi Google Play non sono disponibili in Cina, alcune attività possono richiedere fino a 8 ore per il completamento. Per altre informazioni, vedere Limitazioni della gestione di Intune quando GMS non è disponibile.
Informazioni sulla porta Android : a seconda di come si sceglie di gestire i dispositivi Android, potrebbe essere necessario aprire le porte Di Google Android Enterprise e/o la notifica push Android. Per altre informazioni sui metodi di gestione Android supportati, vedere la documentazione sulla registrazione di Android.
Dipendenze di Android Enterprise
Google Android Enterprise - Google fornisce la documentazione delle porte di rete e dei nomi host di destinazione necessari nel bluebook Android Enterprise, nella sezione Firewall del documento.
Notifica push Android : Intune usa Google Firebase Cloud Messaging (FCM) per la notifica push per attivare le azioni e gli archivi dei dispositivi. Questa operazione è richiesta sia dall'amministratore di dispositivi Android che da Android Enterprise. Per informazioni sui requisiti di rete di FCM, vedere Le porte FCM di Google e il firewall.
Dipendenze di autenticazione
| ID | Desc | Categoria | ER | Addresses | Porte |
|---|---|---|---|---|---|
| 56 | L'autenticazione e l'identità includono i servizi correlati ad Azure Active Directory e Azure AD. | Consenti Obbligatorio |
Vero | login.microsoftonline.comgraph.windows.net |
TCP: 80, 443 |
| 150 | Il servizio di personalizzazione di Office offre la configurazione della distribuzione di Office 365 ProPlus, le impostazioni dell'applicazione e la gestione dei criteri basata sul cloud. | Predefinita | Falso | *.officeconfig.msocdn.comconfig.office.com |
TCP: 443 |
| 59 | Servizi di supporto delle identità & reti CDN. | Predefinita Obbligatorio |
Falso | enterpriseregistration.windows.net |
TCP: 80, 443 |
Per altre informazioni, vedere URL e intervalli di indirizzi IP di Office 365.
Requisiti di rete per gli script di PowerShell e le app Win32
Se si usa Intune per distribuire script di PowerShell o app Win32, è anche necessario concedere l'accesso agli endpoint in cui risiede attualmente il tenant.
Per trovare la posizione del tenant (o l'unità di scalabilità di Azure), accedere all'interfaccia di amministrazione di Microsoft Intune, scegliere Dettagli tenant di amministrazione> tenant. La posizione si trova nella posizione tenant , ad esempio America del Nord 0501 o Europa 0202. Cercare il numero corrispondente nella tabella seguente. Tale riga indica il nome di archiviazione e gli endpoint della rete CDN a cui concedere l'accesso. Le righe sono differenziate per area geografica, come indicato dalle prime due lettere nei nomi (na = America del Nord, eu = Europa, ap = Asia Pacifico). La posizione del tenant è una di queste tre aree, anche se la posizione geografica effettiva dell'organizzazione potrebbe trovarsi altrove.
Nota
Consenti risposta parziale HTTP è necessaria per gli script & endpoint di App Win32.
| Unità di scalabilità di Azure (ASU) | Nome archiviazione | Rete CDN | Porta |
|---|---|---|---|
| AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0601 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901 |
naprodimedatapri naprodimedatasec naprodimedatahotfix |
naprodimedatapri.azureedge.net naprodimedatasec.azureedge.net naprodimedatahotfix.azureedge.net |
TCP: 443 |
| AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701 |
euprodimedatapri euprodimedatasec euprodimedatahotfix |
euprodimedatapri.azureedge.net euprodimedatasec.azureedge.net euprodimedatahotfix.azureedge.net |
TCP: 443 |
| AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUC0601 AMSUD0101 |
approdimedatapri approdimedatasec approdimedatahotifx |
approdimedatapri.azureedge.net approdimedatasec.azureedge.net approdimedatahotfix.azureedge.net |
TCP: 443 |
Microsoft Store
I dispositivi Windows gestiti che usano Microsoft Store, per acquisire, installare o aggiornare le app, devono accedere a questi endpoint.
API di Microsoft Store (AppInstallManager):
- displaycatalog.mp.microsoft.com
- purchase.md.mp.microsoft.com
- licensing.mp.microsoft.com
- storeedgefd.dsx.mp.microsoft.com
Configurazione del proxy
Agente di Windows Update:
Per informazioni dettagliate, vedere le risorse seguenti:
- Gestire gli endpoint di connessione per Windows 11 Enterprise
- Gestire gli endpoint di connessione per Windows 10 Enterprise, versione 21H2
Download del contenuto Win32:
I percorsi e gli endpoint di download del contenuto Win32 sono univoci per ogni applicazione e sono forniti dal server di pubblicazione esterno. Puoi trovare la posizione per ogni app Win32 Store usando il comando seguente in un sistema di test (puoi ottenere il [PackageId] per un'app dello Store facendo riferimento alla proprietà Identificatore pacchetto dell'app dopo averla aggiunta a Microsoft Intune):
winget show [PackageId]
La proprietà Url del programma di installazione mostra il percorso di download esterno o la cache di fallback basata sull'area (ospitata da Microsoft) in base al fatto che la cache sia in uso. Si noti che il percorso di download del contenuto può cambiare tra la cache e la posizione esterna.
Cache di fallback dell'app Win32 ospitata da Microsoft:
- Varia in base all'area, ad esempio: sparkcdneus2.azureedge.net, sparkcdnwus2.azureedge.net
Ottimizzazione recapito (facoltativo, obbligatorio per il peering):
Per informazioni dettagliate, vedere la risorsa seguente:
Migrazione dei criteri di conformità dell'attestazione dell'integrità dei dispositivi all'attestazione di Microsoft Azure
Se un cliente abilita uno dei criteri di conformità di Windows 10/11 - Impostazioni di integrità dei dispositivi, i dispositivi Windows 11 inizieranno a usare un servizio di attestazione di Microsoft Azure (MAA) in base alla posizione del tenant di Intune. Tuttavia, gli ambienti Windows 10 e GCCH/DOD continueranno a usare l'endpoint DHA di attestazione dell'integrità del dispositivo esistente "has.spserv.microsoft.com" per la segnalazione dell'attestazione dell'integrità dei dispositivi e non è interessato da questa modifica.
Se un cliente ha criteri firewall che impediscono l'accesso al nuovo servizio MAA di Intune per Windows 11, i dispositivi Windows 11 con criteri di conformità assegnati usando una delle impostazioni di integrità del dispositivo (BitLocker, Avvio protetto, Integrità del codice) non saranno conformi perché non riescono a raggiungere gli endpoint di attestazione MAA per la loro posizione.
Assicurarsi che non siano presenti regole del firewall che bloccano il traffico HTTPS/443 in uscita e che l'ispezione del traffico SSL non sia eseguita per gli endpoint elencati in questa sezione, in base alla posizione del tenant di Intune.
Per trovare il percorso del tenant, passare all'interfaccia > di amministrazione> di Intune Statotenant Stato tenant>Dettagli tenant, vedere Percorso del tenant.
'https://intunemaape1.eus.attest.azure.net'
'https://intunemaape2.eus2.attest.azure.net'
'https://intunemaape3.cus.attest.azure.net'
'https://intunemaape4.wus.attest.azure.net'
'https://intunemaape5.scus.attest.azure.net'
'https://intunemaape6.ncus.attest.azure.net'
Servizio di distribuzione di Windows Update per le aziende
Per altre informazioni sugli endpoint necessari per il servizio di distribuzione Windows Update for Business, vedere Prerequisiti del servizio di distribuzione Windows Update for Business.
Analisi degli endpoint
Per altre informazioni sugli endpoint necessari per endpoint analitica, vedere Configurazione del proxy analitica endpoint.
Microsoft Defender per endpoint
Per altre informazioni sulla configurazione della connettività di Defender per endpoint, vedere Requisiti di connettività.
Per supportare la gestione delle impostazioni di sicurezza di Defender per endpoint, consentire i nomi host seguenti tramite il firewall. Per la comunicazione tra i client e il servizio cloud:
*.dm.microsoft.com: l'uso di un carattere jolly supporta gli endpoint del servizio cloud usati per la registrazione, l'archiviazione e la creazione di report e che possono cambiare man mano che il servizio viene ridimensionato.
Importante
L'ispezione SSL non è supportata per gli endpoint necessari per Microsoft Defender per endpoint.
Gestione dei privilegi degli endpoint di Microsoft Intune
Per supportare Endpoint Privilege Management, consentire i nomi host seguenti sulla porta TCP 443 tramite il firewall
Per la comunicazione tra i client e il servizio cloud:
*.dm.microsoft.com: l'uso di un carattere jolly supporta gli endpoint del servizio cloud usati per la registrazione, l'archiviazione e la creazione di report e che possono cambiare man mano che il servizio viene ridimensionato.
*.events.data.microsoft.com : usato dai dispositivi gestiti da Intune per inviare dati di report facoltativi all'endpoint di raccolta dati di Intune.
Importante
L'ispezione SSL non è supportata sugli endpoint necessari per Endpoint Privilege Management.
Per altre informazioni, vedere Panoramica di Endpoint Privilege Management.
Argomenti correlati
URL e intervalli di indirizzi IP per Office 365
Informazioni generali sulla connettività di rete di Microsoft 365
Reti per la distribuzione di contenuti (CDN)
Altri endpoint non inclusi nel servizio Web URL e indirizzo IP di Office 365