Microsoft Intune のネットワーク エンドポイント
この記事では、Microsoft Intune展開のプロキシ設定に必要な IP アドレスとポート設定の一覧を示します。
クラウド専用サービスとして、Intuneには、サーバーやゲートウェイなどのオンプレミス インフラストラクチャは必要ありません。
マネージド デバイスへのアクセス
ファイアウォールとプロキシ サーバーの背後にあるデバイスを管理するには、Intune のための通信を有効にする必要があります。
注:
セクション内の情報は、Microsoft Intune Certificate Connector にも適用されます。 このコネクタのネットワーク要件は、マネージド デバイスと同じです。
この記事のエンドポイントは、次の表で識別されるポートへのアクセスを許可します。
一部のタスクでは、Intuneでは、manage.microsoft.com、*.azureedge.net、および graph.microsoft.com への認証されていないプロキシ サーバー アクセスが必要です。
注:
SSL トラフィック検査は、コンプライアンス セクションに記載されている '*.manage.microsoft.com'、'*.dm.microsoft.com'、または Device Health Attestation (DHA) エンドポイントではサポートされていません。
個々のクライアント コンピューターについて、プロキシ サーバーの設定を変更できます。 また、グループ ポリシーの設定を使用して、指定したプロキシ サーバーの背後にあるすべてのクライアント コンピューターの設定を変更することもできます。
マネージド デバイスは、すべてのユーザーがファイアウォール経由でサービスにアクセスできるように構成する必要があります。
PowerShell スクリプト
ファイアウォールを使用してサービスを簡単に構成できるように、Office 365 エンドポイント サービスにオンボードしました。 現時点では、Intune エンドポイント情報には PowerShell スクリプトを介してアクセスされます。 Microsoft 365 サービスの一部として既にカバーされており、"必須" としてマークされているIntuneに依存するその他のサービスがあります。 Microsoft 365 で既にカバーされているサービスは、重複を避けるためにスクリプトに含まれていません。
次の PowerShell スクリプトを使用すると、Intune サービスの IP アドレスの一覧を取得できます。
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.ips} | select -unique -ExpandProperty ips
次の PowerShell スクリプトを使用すると、Intuneおよび依存サービスで使用される FQDN の一覧を取得できます。 スクリプトを実行すると、スクリプト出力の URL が次の表の URL とは異なる場合があります。 少なくとも、テーブルに URL を含める必要があります。
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?ServiceAreas=MEM`&`clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.ServiceArea -eq "MEM" -and $_.urls} | select -unique -ExpandProperty urls
このスクリプトは、Intuneと Autopilot で必要なすべてのサービスを 1 か所に一覧表示して確認するための便利な方法を提供します。 エンドポイント サービスから追加のプロパティ (カテゴリ プロパティなど) を返すことができます。これは、FQDN または IP を 許可、 最適化 、 または既定値として構成する必要があるかどうかを示します。
エンドポイント
また、Microsoft 365 の要件の一部としてカバーされる FQDN も必要です。 参考までに、次の表は、関連付けられているサービスと、返される URL の一覧を示しています。
テーブルに表示されるデータ列は次のとおりです。
ID: エンドポイントのセットとして知られる、行の ID 番号です。 この ID は、エンドポイントの Web サービスによって返されるものと同じです。
カテゴリ: エンドポイント セットが [最適化] 、[許可]、または [既定] として分類されているかどうかを示します。 この列には、ネットワーク接続に必要なエンドポイント セットも一覧表示されます。 ネットワーク接続が不要なエンドポイント セットについては、エンドポイント セットがブロックされた場合に失われる機能を示すために、このフィールドにメモを提供します。 サービス エリア全体を除外する場合、必須としてリストされているエンドポイント セットは接続を必要としません。
これらのカテゴリと管理に関するガイダンスについては、「 新しい Microsoft 365 エンドポイント カテゴリ」を参照してください。
ER: Microsoft 365 ルート プレフィックスを使用して Azure ExpressRoute 経由でエンドポイント セットがサポートされている場合、これははい/True です。 表示されているルート プレフィックスを含む BGP コミュニティは、表示されているサービス エリアと一致しています。 ER が No/False の場合、ExpressRoute はこのエンドポイント セットではサポートされません。
アドレス: FQDN またはワイルドカードを含むドメイン名と、エンドポイントのセットの IP アドレス範囲を一覧表示します。 IP アドレスの範囲は CIDR 形式となり、指定されたネットワークの個別の IP アドレスが多数含まれる場合があることに注意してください。
ポート: 記載された IP アドレスと組み合わさることによりネットワーク エンドポイントを形成する TCP または UDP ポートの一覧を表示します。 異なるポートが記載されている場合、IP アドレス範囲が重複している場合があります。
コア サービスIntune
注:
使用しているファイアウォールでドメイン名を使用してファイアウォール規則を作成できる場合は、*.manage.microsoft.com と manage.microsoft.com ドメインを使用します。 ただし、使用しているファイアウォール プロバイダーがドメイン名を使用してファイアウォール規則を作成できない場合は、このセクションのすべてのサブネットの承認済みリストを使用することをお勧めします。
| ID | 指定 | カテゴリ | ER | アドレス | ポート |
|---|---|---|---|---|---|
| 163 | クライアントとホスト サービスIntune | 許可 必須 |
False | *.manage.microsoft.commanage.microsoft.comEnterpriseEnrollment.manage.microsoft.com104.46.162.96/27, 13.67.13.176/28, 13.67.15.128/27, 13.69.231.128/28, 13.69.67.224/28, 13.70.78.128/28, 13.70.79.128/27, 13.71.199.64/28, 13.73.244.48/28, 13.74.111.192/27, 13.77.53.176/28, 13.86.221.176/28,13.89.174.240/28, 13.89.175.192/28, 20.189.229.0/25, 20.191.167.0/25, 20.37.153.0/24, 20.37.192.128/25, 20.38.81.0/24, 20.41.1.0/24, 20.42.1.0/24, 20.42.130.0/24, 20.42.224.128/25, 20.43.129.0/24, 20.44.19.224/27, 20.49.93.160/27, 40.119.8.128/25, 40.67.121.224/27, 40.70.151.32/28, 40.71.14.96/28, 40.74.25.0/24, 40.78.245.240/28, 40.78.247.128/27, 40.79.197.64/27, 40.79.197.96/28, 40.80.180.208/28, 40.80.180.224/27, 40.80.184.128/25, 40.82.248.224/28, 40.82.249.128/25, 52.150.137.0/25, 52.162.111.96/28, 52.168.116.128/27, 52.182.141.192/27, 52.236.189.96/27, 52.240.244.160/27, 20.204.193.12/30, 20.204.193.10/31, 20.192.174.216/29, 20.192.159.40/29 |
TCP: 80、443 |
| 172 | MDM 配信の最適化 | 既定値 必須 |
False | *.do.dsp.mp.microsoft.com*.dl.delivery.mp.microsoft.com |
TCP: 80、443 |
| 170 | MEM - Win32Apps | 既定値 必須 |
False | swda01-mscdn.manage.microsoft.comswda02-mscdn.manage.microsoft.comswdb01-mscdn.manage.microsoft.comswdb02-mscdn.manage.microsoft.comswdc01-mscdn.manage.microsoft.comswdc02-mscdn.manage.microsoft.comswdd01-mscdn.manage.microsoft.comswdd02-mscdn.manage.microsoft.comswdin01-mscdn.manage.microsoft.comswdin02-mscdn.manage.microsoft.com |
TCP: 443 |
| 97 | コンシューマー Outlook.com、OneDrive、デバイス認証、Microsoft アカウント | 既定値 必須 |
False | account.live.comlogin.live.com |
TCP: 443 |
| 190 | エンドポイント検出 | 既定値 必須 |
False | go.microsoft.com |
TCP: 80、443 |
| 189 | 依存関係 - 機能のデプロイ | 既定値 必須 |
False | config.edge.skype.com |
TCP: 443 |
Autopilot の依存関係
| ID | 指定 | カテゴリ | ER | アドレス | ポート |
|---|---|---|---|---|---|
| 164 | Autopilot - Windows Update | 既定値 必須 |
False | *.windowsupdate.com*.dl.delivery.mp.microsoft.com*.prod.do.dsp.mp.microsoft.com*.delivery.mp.microsoft.com*.update.microsoft.comtsfe.trafficshaping.dsp.mp.microsoft.comadl.windows.com |
TCP: 80、443 |
| 165 | Autopilot - NTP Sync | 既定値 必須 |
False | time.windows.com |
UDP: 123 |
| 169 | Autopilot - WNS の依存関係 | 既定値 必須 |
False | clientconfig.passport.netwindowsphone.com*.s-microsoft.comc.s-microsoft.com |
TCP: 443 |
| 173 | Autopilot - サード パーティのデプロイの依存関係 | 既定値 必須 |
False | ekop.intel.comekcert.spserv.microsoft.comftpm.amd.com |
TCP: 443 |
| 182 | Autopilot - 診断のアップロード | 既定値 必須 |
False | lgmsapeweu.blob.core.windows.net |
TCP: 443 |
リモート ヘルプ
| ID | 指定 | カテゴリ | ER | アドレス | ポート | メモ |
|---|---|---|---|---|---|---|
| 181 | MEM - リモート ヘルプ機能 | 既定値 必須 |
False | *.support.services.microsoft.comremoteassistance.support.services.microsoft.comrdprelayv3eastusprod-0.support.services.microsoft.com*.trouter.skype.comremoteassistanceprodacs.communication.azure.comedge.skype.comaadcdn.msftauth.netaadcdn.msauth.netalcdn.msauth.netwcpstatic.microsoft.com*.aria.microsoft.combrowser.pipe.aria.microsoft.com*.events.data.microsoft.comv10.events.data.microsoft.com*.monitor.azure.comjs.monitor.azure.comedge.microsoft.com*.trouter.communication.microsoft.comgo.trouter.communication.microsoft.com*.trouter.teams.microsoft.comtrouter2-usce-1-a.trouter.teams.microsoft.comapi.flightproxy.skype.comecs.communication.microsoft.comremotehelp.microsoft.comtrouter-azsc-usea-0-a.trouter.skype.com |
TCP: 443 | |
| 187 | 依存関係 - web pubsub リモート ヘルプ | 既定値 必須 |
False | *.webpubsub.azure.comAMSUA0101-RemoteAssistService-pubsub.webpubsub.azure.com |
TCP: 443 | |
| 188 | GCC のお客様のリモート ヘルプ依存関係 | 既定値 必須 |
False | remoteassistanceweb-gcc.usgov.communication.azure.usgcc.remotehelp.microsoft.comgcc.relay.remotehelp.microsoft.com*.gov.teams.microsoft.us |
TCP: 443 |
依存関係のIntune
このセクションでは、次の表に、Intuneの依存関係と、Intune クライアントがアクセスするポートとサービスを示します。
Windows プッシュ通知サービス (WNS) の依存関係
| ID | 指定 | カテゴリ | ER | アドレス | ポート |
|---|---|---|---|---|---|
| 171 | MEM - WNS の依存関係 | 既定値 必須 |
False | *.notify.windows.com*.wns.windows.comsinwns1011421.wns.windows.comsin.notify.windows.com |
TCP: 443 |
モバイル デバイス管理 (MDM) を使用して管理されている Intune の管理対象 Windows デバイスの場合、デバイス アクションとその他の即時アクティビティでは Windows プッシュ通知サービス (WNS) の使用が必要です。 詳細については、「エンタープライズ ファイアウォールを介した Windows 通知トラフィックの許可」を参照してください。
配信の最適化の依存関係
| ID | 指定 | カテゴリ | ER | アドレス | ポート |
|---|---|---|---|---|---|
| 172 | MDM - 配信の最適化の依存関係 | 既定値 必須 |
False | *.do.dsp.mp.microsoft.com*.dl.delivery.mp.microsoft.com |
TCP: 80、443 |
ポート要件 - ピアツーピア トラフィックの場合、配信の最適化では TCP/IP に 7680 が使用されます。 NAT トラバーサルにポート 3544 でTeredoを使用します (Teredoの使用はオプションです)。 クライアント サービス通信では、ポート 80/443 経由で HTTP または HTTPS を使用します。
プロキシ要件 - 配信の最適化を使用するには、バイト範囲要求を許可する必要があります。 詳細については、Windows 更新プログラムのプロキシ要件に関するページを参照してください。
ファイアウォールの要件 - 配信の最適化をサポートするために、ファイアウォール経由で次のホスト名を許可します。 クライアントと配信の最適化クラウド サービス間の通信の場合:
- *.do.dsp.mp.microsoft.com
配信の最適化メタデータの場合:
- *.dl.delivery.mp.microsoft.com
Apple の依存関係
| ID | 指定 | カテゴリ | ER | アドレス | ポート |
|---|---|---|---|---|---|
| 178 | MEM - Apple の依存関係 | 既定値 必須 |
False | itunes.apple.com*.itunes.apple.com*.mzstatic.com*.phobos.apple.comphobos.itunes-apple.com.akadns.net5-courier.push.apple.comphobos.apple.comocsp.apple.comax.itunes.apple.comax.itunes.apple.com.edgesuite.nets.mzstatic.coma1165.phobos.apple.com |
TCP: 80、443、5223 |
詳細については、次のリソースを参照してください。
- エンタープライズ ネットワークで Apple 製品を使用する
- Apple ソフトウェア製品に使用される TCP ポートと UDP ポート
- macOS、iOS/iPadOS、iTunes のサーバー ホスト接続と iTunes のバックグラウンド プロセスについて
- macOS および iOS/iPadOS クライアントで Apple プッシュ通知が届かない場合
Android AOSP の依存関係
| ID | 指定 | カテゴリ | ER | アドレス | ポート |
|---|---|---|---|---|---|
| 179 | MEM - Android AOSP 依存関係 | 既定値 必須 |
False | intunecdnpeasd.azureedge.net |
TCP: 443 |
注:
中国では Google Mobile Services を使用できないため、Intune によって管理されている中国のデバイスでは、Google Mobile Services を必要とする機能を使用できません。 これらの機能には次を含みます: SafetyNet デバイス構成証明、Google Play ストアからのアプリの管理、Android Enterprise 機能などの Google Play Protect 機能が含まれます (このGoogle ドキュメントを参照)。 さらに、Android 用 Intune ポータル サイト アプリでは、Microsoft Intune サービスと通信するために Google Mobile Services が使用されます。 中国では Google Play サービスを使用できないため、一部のタスクは完了までに最大 8 時間かかることがあります。 詳細については、「GMS が使用できない場合のIntune管理の制限事項」を参照してください。
Android ポート情報 - Android デバイスの管理方法によっては、Google Android Enterprise ポートや Android プッシュ通知を開く必要がある場合があります。 サポートされている Android 管理方法の詳細については、Android の登録に関するドキュメントを参照してください。
Android Enterprise の依存関係
Google Android Enterprise - Google では、そのドキュメントの [ファイアウォール] セクションの下にある、Android Enterprise Bluebook で必要なネットワーク ポートと宛先ホスト名のドキュメントを提供しています。
Android プッシュ通知 - Intuneは、プッシュ通知に Google Firebase Cloud Messaging (FCM) を使用して、デバイスのアクションとチェックインをトリガーします。これは、Android デバイス管理者と Android Enterprise の両方で必要です。 FCM ネットワーク要件の詳細については、Google の「FCM ポートとファイアウォール」を参照してください。
認証の依存関係
| ID | 指定 | カテゴリ | ER | アドレス | ポート |
|---|---|---|---|---|---|
| 56 | 認証と ID には、Azure Active Directory と Azure AD 関連のサービスが含まれます。 | 許可 必須 |
はい | login.microsoftonline.comgraph.windows.net |
TCP: 80、443 |
| 150 | Office カスタマイズ サービスでは、展開の構成、アプリケーション設定、クラウドベースのポリシー管理Office 365 ProPlus提供します。 | 既定値 | False | *.officeconfig.msocdn.comconfig.office.com |
TCP: 443 |
| 59 | CDN & サービスをサポートする ID。 | 既定値 必須 |
False | enterpriseregistration.windows.net |
TCP: 80、443 |
詳細については、「OFFICE 365 URL と IP アドレス範囲」を参照してください。
PowerShell スクリプトと Win32 アプリのネットワーク要件
Intuneを使用して PowerShell スクリプトまたは Win32 アプリを展開する場合は、テナントが現在存在するエンドポイントへのアクセス権も付与する必要があります。
テナントの場所 (または Azure Scale Unit (ASU) を見つけるには、Microsoft Intune管理センターにサインインし、[テナント管理>] [テナントの詳細] を選択します。 場所は、[テナントの場所] (北米 0501 またはヨーロッパ 0202 など) にあります。 次の表で、一致する番号を探します。 この行は、アクセス権を付与するストレージ名と CDN エンドポイントを示します。 行は、地理的リージョンごとに分けられており、その名前の最初の 2 文字 (na = 北米、eu = ヨーロッパ、ap = アジア太平洋) で示されます。 テナントの場所はこれら 3 つのリージョンのいずれかですが、organizationの実際の地理的な場所は他の場所にある可能性があります。
注:
Win32 Apps エンドポイントのスクリプト & HTTP 部分応答を許可する必要があります。
| Azure スケール ユニット (ASU) | ストレージ名 | CDN | ポート |
|---|---|---|---|
| AMSUA0601 AMSUA0602 AMSUA0101 AMSUA0102 AMSUA0201 AMSUA0202 AMSUA0401 AMSUA0402 AMSUA0501 AMSUA0502 AMSUA0601 AMSUA0701 AMSUA0702 AMSUA0801 AMSUA0901 |
naprodimedatapri naprodimedatasec naprodimedatahotfix |
naprodimedatapri.azureedge.net naprodimedatasec.azureedge.net naprodimedatahotfix.azureedge.net |
TCP: 443 |
| AMSUB0101 AMSUB0102 AMSUB0201 AMSUB0202 AMSUB0301 AMSUB0302 AMSUB0501 AMSUB0502 AMSUB0601 AMSUB0701 |
euprodimedatapri euprodimedatasec euprodimedatahotfix |
euprodimedatapri.azureedge.net euprodimedatasec.azureedge.net euprodimedatahotfix.azureedge.net |
TCP: 443 |
| AMSUC0101 AMSUC0201 AMSUC0301 AMSUC0501 AMSUC0601 AMSUD0101 |
approdimedatapri approdimedatasec approdimedatahotifx |
approdimedatapri.azureedge.net approdimedatasec.azureedge.net approdimedatahotfix.azureedge.net |
TCP: 443 |
Microsoft Store
Microsoft Store を使用するマネージド Windows デバイス (アプリの取得、インストール、更新) には、これらのエンドポイントへのアクセスが必要です。
Microsoft Store API (AppInstallManager):
- displaycatalog.mp.microsoft.com
- purchase.md.mp.microsoft.com
- licensing.mp.microsoft.com
- storeedgefd.dsx.mp.microsoft.com
Windows Update エージェント:
詳細については、次のリソースを参照してください。
Win32 コンテンツのダウンロード:
Win32 コンテンツのダウンロード場所とエンドポイントは、アプリケーションごとに一意であり、外部発行元によって提供されます。 各 Win32 ストア アプリの場所は、テスト システムで次のコマンドを使用して見つけることができます (ストア アプリの [PackageId] を取得するには、アプリをMicrosoft Intuneに追加した後、アプリの Package Identifier プロパティを参照します)。
winget show [PackageId]
Installer Url プロパティには、キャッシュが使用中かどうかに基づいて、外部ダウンロードの場所またはリージョンベース (Microsoft ホスト型) フォールバック キャッシュが表示されます。 コンテンツのダウンロード場所は、キャッシュと外部の場所の間で変更される可能性があることに注意してください。
Microsoft でホストされる Win32 アプリ フォールバック キャッシュ:
- リージョンによって異なります。例: sparkcdneus2.azureedge.net、sparkcdnwus2.azureedge.net
配信の最適化 (オプション、ピアリングに必要):
詳細については、次のリソースを参照してください。
デバイス正常性構成証明コンプライアンス ポリシーを Microsoft Azure 構成証明に移行する
お客様が Windows 10/11 コンプライアンス ポリシー - デバイス正常性設定のいずれかを有効にした場合、Windows 11デバイスは、Intuneテナントの場所に基づいて Microsoft Azure Attestation (MAA) サービスの使用を開始します。 ただし、Windows 10環境と GCCH/DOD 環境では、デバイス正常性構成証明レポートに既存の Device Health Attestation DHA エンドポイント 'has.spserv.microsoft.com' が引き続き使用され、この変更の影響を受けられません。
お客様がWindows 11の新しいIntune MAA サービスへのアクセスを禁止するファイアウォール ポリシーを持っている場合、デバイス正常性設定 (BitLocker、Secure Boot、Code Integrity) のいずれかを使用して、割り当てられたコンプライアンス ポリシーを持つデバイスをWindows 11すると、その場所の MAA 構成証明エンドポイントに到達できないため、コンプライアンスが低下します。
送信 HTTPS/443 トラフィックをブロックするファイアウォール規則がないことを確認し、Intuneテナントの場所に基づいて、このセクションに記載されているエンドポイントに対して SSL トラフィック検査が実施されていないことを確認します。
テナントの場所を見つけるには、Intune管理センター>のテナント管理>テナントの状態>テナントの詳細に移動する方法については、「テナントの場所」を参照してください。
'https://intunemaape1.eus.attest.azure.net'
'https://intunemaape2.eus2.attest.azure.net'
'https://intunemaape3.cus.attest.azure.net'
'https://intunemaape4.wus.attest.azure.net'
'https://intunemaape5.scus.attest.azure.net'
'https://intunemaape6.ncus.attest.azure.net'
Windows Update for Business の展開サービス
ビジネス展開サービスのWindows Updateに必要なエンドポイントの詳細については、「Windows Update for Business デプロイ サービスの前提条件」を参照してください。
エンドポイントの分析
エンドポイント分析に必要なエンドポイントの詳細については、「 エンドポイント分析プロキシの構成」を参照してください。
Microsoft Defender for Endpoint
Defender for Endpoint 接続の構成の詳細については、「 接続要件」を参照してください。
Defender for Endpoint セキュリティ設定の管理をサポートするには、ファイアウォール経由で次のホスト名を許可します。 クライアントとクラウド サービス間の通信の場合:
*.dm.microsoft.com - ワイルドカードの使用は、登録、チェック、レポートに使用されるクラウド サービス エンドポイントをサポートしており、サービスのスケーリングに応じて変更される可能性があります。
重要
Microsoft Defender for Endpointに必要なエンドポイントでは、SSL 検査はサポートされていません。
Microsoft Intune エンドポイント特権管理
エンドポイント特権管理をサポートするには、ファイアウォール経由で tcp ポート 443 で次のホスト名を許可します
クライアントとクラウド サービス間の通信の場合:
*.dm.microsoft.com - ワイルドカードの使用は、登録、チェック、レポートに使用されるクラウド サービス エンドポイントをサポートしており、サービスのスケーリングに応じて変更される可能性があります。
*.events.data.microsoft.com - Intuneマネージド デバイスが、オプションのレポート データをIntune データ収集エンドポイントに送信するために使用されます。
重要
エンドポイント特権管理に必要なエンドポイントでは、SSL 検査はサポートされていません。
詳細については、「 エンドポイント特権管理の概要」を参照してください。
関連項目
Office 365 の URL および IP アドレスの範囲