Требования к доступу к Интернету

Обеспечение полной функциональности Configuration Manager зависит от подключения к Интернету. Если ваша организация ограничивает сетевое взаимодействие с Интернетом с помощью брандмауэра или прокси-устройства, убедитесь, что эти конечные точки разрешены.

Configuration Manager использует следующие службы переадресации URL-адресов Майкрософт в продукте.

  • https://aka.ms
  • https://go.microsoft.com

Даже если они не указаны явным образом в разделах ниже, вы всегда должны разрешать эти конечные точки.

Точка подключения службы.

Дополнительные сведения см. в разделе Сведения о точке подключения службы.

Эти конфигурации применяются к серверу, на котором размещена точка подключения службы и все брандмауэры между этим сервером и Интернетом. Разрешить обмен данными через исходящий HTTPS-порт TCP 443 в расположениях в Интернете.

Точка подключения службы поддерживает использование веб-прокси с проверкой подлинности или без нее для использования этих расположений. Дополнительные сведения см. в разделе Поддержка прокси-сервера.

Если сайту Configuration Manager не удается подключиться к требуемым конечным точкам для облачной службы, возникает критическое сообщение о состоянии с идентификатором 11488. Если не удается подключиться к службе, состояние компонента SMS_SERVICE_CONNECTOR меняется на критическое. Просмотрите подробное состояние в узле Состояние компонента консоли Configuration Manager.

Начиная с версии 2010 точка подключения службы проверяет важные конечные точки Интернета для подключения клиента. Эти проверки помогают убедиться, что службы, подключенные к облаку, доступны. Это также помогает устранять проблемы путем быстрого определения того, является ли сетевое подключение проблемой. Дополнительные сведения см. в разделе Проверка доступа к Интернету.

Конкретные URL-адреса, необходимые для точки подключения службы, зависят от Configuration Manager функции:

Совет

Точка подключения службы использует службу Microsoft Intune при подключении к go.microsoft.com или manage.microsoft.com. Существует известная проблема, из-за которой соединитель Intune испытывает проблемы с подключением, если корневой сертификат Baltimore CyberTrust не установлен, истек или поврежден в точке подключения службы. Дополнительные сведения см. в статье Точка подключения службы не загружает обновления.

Обновления и обслуживание

Дополнительные сведения см. в разделе Обновления и обслуживание.

Совет

Включите эти конечные точки для правила аналитики управленияПодключение сайта к облаку Майкрософт для Configuration Manager обновлений.

  • *.akamaiedge.net

  • *.akamaitechnologies.com

  • *.manage.microsoft.com

  • go.microsoft.com

  • download.microsoft.com

  • download.windowsupdate.com

  • download.visualstudio.microsoft.com

  • sccmconnected-a01.cloudapp.net

  • definitionupdates.microsoft.com

  • configmgrbits.azureedge.net

    Важно!

    Эта конечная точка Azure поддерживает только TLS 1.2 с определенными наборами шифров. Убедитесь, что ваша среда поддерживает эти конфигурации Azure. Дополнительные сведения см. в статье Azure Front Door: часто задаваемые вопросы о настройке TLS.

  • cmbitsstore.blob.core.windows.net

  • ceuswatcab01.blob.core.windows.net

  • ceuswatcab02.blob.core.windows.net

  • eaus2watcab01.blob.core.windows.net

  • eaus2watcab02.blob.core.windows.net

  • weus2watcab01.blob.core.windows.net

  • weus2watcab02.blob.core.windows.net

  • cmbitsstore.blob.core.windows.net

  • umwatsonc.events.data.microsoft.com

  • *-umwatsonc.events.data.microsoft.com

Обслуживание Windows

Дополнительные сведения см. в разделе Управление Windows как услуга.

  • download.microsoft.com

  • https://go.microsoft.com/fwlink/?LinkID=619849

  • dl.delivery.mp.microsoft.com

Службы Azure

Дополнительные сведения см. в статье Настройка служб Azure для использования с Configuration Manager.

  • management.azure.com (общедоступное облако Azure)
  • management.usgovcloudapi.net (Облако Azure для государственных организаций США)

Совместное управление

Если вы регистрируете устройства Windows для Microsoft Intune для совместного управления, убедитесь, что эти устройства могут получить доступ к конечным точкам, необходимым Intune. Дополнительные сведения см. в статье Конечные точки сети для Microsoft Intune.

Microsoft Store для бизнеса

Если вы интегрируете Configuration Manager с Microsoft Store для бизнеса, убедитесь, что точка подключения службы и целевые устройства могут получить доступ к облачной службе. Дополнительные сведения см. в разделе Microsoft Store для бизнеса конфигурации прокси-сервера.

Оптимизация доставки

Если вы используете оптимизацию доставки, клиенты должны взаимодействовать с облачной службой: *.do.dsp.mp.microsoft.com

Эти конечные точки также требуются точкам распространения, поддерживающим подключенный кэш Майкрософт.

Дополнительные сведения см. в следующих статьях:

Облачные службы

Дополнительные сведения о шлюзе управления облаком (CMG) см. в разделе Планирование шлюза управления облачными клиентами.

В этом разделе рассматриваются следующие функции:

  • Шлюз облачного управления (CMG)

  • интеграция Microsoft Entra

  • Обнаружение на основе Microsoft Entra ID

  • Облачная точка распространения (CDP)

    Примечание.

    Облачная точка распространения (CDP) не рекомендуется использовать. Начиная с версии 2107, вы не можете создавать новые экземпляры CDP. Чтобы предоставить содержимое интернет-устройствам, включите CMG для распространения содержимого.

В следующих разделах перечислены конечные точки по роли. Некоторые конечные точки ссылаются на службу по <prefix>, которая является префиксом имени шлюза управления облачными клиентами. Например, если шлюз управления облачными клиентами имеет значение GraniteFalls.WestUS.CloudApp.Azure.Com, то фактическая конечная точка хранилища — GraniteFalls.blob.core.windows.net.

Совет

Чтобы уточнить некоторые термины, выполните приведенные ниже действия.

  • Имя службы CMG: общее имя (CN) сертификата проверки подлинности сервера CMG. Клиенты и роль системы сайта точки подключения ШЛЮЗа управления облачными клиентами связываются с этим именем службы. Например, GraniteFalls.contoso.com или GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Имя развертывания CMG: первая часть имени службы, а также расположение Azure для развертывания облачной службы. Компонент диспетчера облачных служб точки подключения службы использует это имя при развертывании CMG в Azure. Имя развертывания всегда находится в домене Azure. Расположение Azure зависит от метода развертывания, например:

    • Масштабируемый набор виртуальных машин: GraniteFalls.WestUS.CloudApp.Azure.Com
    • Классическое развертывание: GraniteFalls.CloudApp.Net

В этой статье используются примеры с масштабируемым набором виртуальных машин в качестве рекомендуемого метода развертывания в версии 2107 и более поздних версиях. Если вы используете классическое развертывание, обратите внимание на разницу при прочтении этой статьи и настройке доступа к Интернету.

Точка подключения службы для облачных служб

Чтобы Configuration Manager развернуть службу CMG в Azure, точке подключения службы требуется доступ к:

  • Конкретные конечные точки Azure, которые отличаются для каждой среды в зависимости от конфигурации. Configuration Manager хранит эти конечные точки в базе данных сайта. Запросите список конечных точек Azure в таблице AzureEnvironments в SQL Server.

  • Службы Azure:

    • management.azure.com (общедоступное облако Azure)
    • management.usgovcloudapi.net (Облако Azure для государственных организаций США)
  • Для Microsoft Entra обнаружения пользователей: конечная точка Microsoft Graphhttps://graph.microsoft.com/

Точка подключения CMG для облачных служб

Точке подключения CMG требуется доступ к следующим конечным точкам:

Тип Общедоступное облако Azure Облако Azure для государственных организаций США
Имя службы <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
Конечная точка хранилища 1 <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
Конечная точка хранилища 2 <prefix>.table.core.windows.net <prefix>.table.core.usgovcloudapi.net
Хранилище ключей <prefix>.vault.azure.net <prefix>.vault.usgovcloudapi.net

Система сайта точки подключения CMG поддерживает использование веб-прокси. Дополнительные сведения о настройке этой роли для прокси-сервера см. в разделе Поддержка прокси-сервера.

Точка подключения CMG должна подключаться только к конечным точкам службы CMG. Ему не требуется доступ к другим конечным точкам Azure.

клиент Configuration Manager для облачных служб

Любой клиент Configuration Manager, который должен взаимодействовать с шлюзом управления облачными клиентами, должен иметь доступ к следующим конечным точкам:

Тип Общедоступное облако Azure Облако Azure для государственных организаций США
Имя развертывания <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
Конечная точка хранилища <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
Конечная точка Microsoft Entra login.microsoftonline.com login.microsoftonline.us

консоль Configuration Manager для облачных служб

Любому устройству с консолью Configuration Manager требуется доступ к следующим конечным точкам:

Тип Общедоступное облако Azure Облако Azure для государственных организаций США
конечные точки Microsoft Entra login.microsoftonline.com
aadcdn.msauth.net
aadcdn.msftauth.net
login.microsoftonline.us

Обновления программного обеспечения

Разрешите активной точке обновления программного обеспечения доступ к следующим конечным точкам, чтобы службы WSUS и автоматические Обновления могли взаимодействовать с облачной службой Центра обновления Майкрософт:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • http://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://ntservicepack.microsoft.com

Дополнительные сведения об обновлениях программного обеспечения см. в разделе Планирование обновлений программного обеспечения.

Брандмауэр интрасети

В следующих случаях может потребоваться добавить конечные точки в брандмауэр, который находится между двумя системами сайта:

  • Если дочерние сайты имеют точку обновления программного обеспечения
  • Если на сайте есть удаленная активная точка обновления программного обеспечения через Интернет

Точка обновления программного обеспечения на дочернем сайте

  • http://<FQDN for software update point on child site>

  • https://<FQDN for software update point on child site>

  • http://<FQDN for software update point on parent site>

  • https://<FQDN for software update point on parent site>

Управление Приложениями Microsoft 365

Примечание.

Начиная с 21 апреля 2020 года Office 365 профессиональный плюс переименовываются в Приложения Microsoft 365 для предприятий. Дополнительные сведения см. в разделе Изменение имени для Office 365 профессиональный плюс. Ссылки на старое имя по-прежнему могут отображаться в консоли Configuration Manager и в вспомогательной документации во время обновления консоли.

Если вы используете Configuration Manager для развертывания и обновления Приложения Microsoft 365 для предприятий, разрешите следующие конечные точки:

  • officecdn.microsoft.comдля синхронизации точки обновления программного обеспечения для обновлений клиента Приложения Microsoft 365 для предприятий

  • config.office.comсоздание пользовательских конфигураций для Приложения Microsoft 365 для предприятий развертываний

  • https://clients.config.office.netи https://go.microsoft.com/fwlink/?linkid=2190568 для поддержки развертывания обновлений для Приложения Microsoft 365 для предприятий

  • contentstorage.osi.office.net для поддержки оценки готовности надстройки Office

Серверу сайта верхнего уровня требуется доступ к следующей конечной точке, чтобы скачать файл готовности Microsoft Apps 365:

  • Начиная со 2 марта 2021 г.: https://omex.cdn.office.net/mirrored/sccmreadiness/SOT_SCCM_AddinReadiness.CAB
    • Расположение до 2 марта 2021 г.: https://contentstorage.osi.office.net/sccmreadinessppe/sot_sccm_addinreadiness.cab

Примечание.

Расположение этого файла меняется 2 марта 2021 г. Дополнительные сведения см. в разделе Скачивание изменения расположения для файла готовности Приложения Microsoft 365.

консоль Configuration Manager

Компьютерам с консолью Configuration Manager требуется доступ к следующим конечным точкам Интернета для определенных функций:

Примечание.

Чтобы push-уведомления от Корпорации Майкрософт отображались в консоли, точка подключения службы должна иметь доступ к configmgrbits.azureedge.net. Ему также требуется доступ к этой конечной точке для обновления и обслуживания, поэтому, возможно, вы уже разрешили это.

Отзыв на консоли

На компьютере, где запущена консоль, разрешите ей доступ к следующим конечным точкам Интернета для отправки диагностических данных в корпорацию Майкрософт:

  • petrol.office.microsoft.com

  • ceuswatcab01.blob.core.windows.net

  • ceuswatcab02.blob.core.windows.net

  • eaus2watcab01.blob.core.windows.net

  • eaus2watcab02.blob.core.windows.net

  • weus2watcab01.blob.core.windows.net

  • weus2watcab02.blob.core.windows.net

  • umwatsonc.events.data.microsoft.com

  • *-umwatsonc.events.data.microsoft.com

Дополнительные сведения об этой функции см. в разделе Отзывы о продукте.

Рабочая область сообщества

Узел документации

Дополнительные сведения об этом узле консоли см. в разделе Использование консоли Configuration Manager.

  • https://aka.ms

  • https://raw.githubusercontent.com

Центр сообщества

Дополнительные сведения об этой функции см. в разделе Центр сообщества.

  • https://github.com

  • https://communityhub.microsoft.com

Подключение клиента

Дополнительные сведения см. в статье Включение подключения клиента.

  • https://aka.ms/configmgrgateway

  • https://*.manage.microsoft.com для клиентов общедоступного облака Azure

  • https://*.manage.microsoft.us для клиентов облака для государственных организаций США версии 2107 или более поздней

  • https://dc.services.visualstudio.com

Точка подключения службы устанавливает длительное исходящее подключение к службе уведомлений, размещенной в https://*.manage.microsoft.com. Убедитесь, что прокси-сервер, используемый для точки подключения службы, не приводит к слишком быстрому разрыву исходящих подключений. Рекомендуется использовать 3 минуты для исходящих подключений к этой конечной точке Интернета.

Если в вашей среде есть правила прокси-сервера, разрешают только определенные списки отзыва сертификатов (CRLs) или расположения проверки протокола состояния сертификатов (OCSP), также разрешите следующие URL-адреса списка отзыва сертификатов и OCSP:

  • http://crl3.digicert.com
  • http://crl4.digicert.com
  • http://ocsp.digicert.com
  • http://www.d-trust.net
  • http://root-c3-ca2-2009.ocsp.d-trust.net
  • http://crl.microsoft.com
  • http://oneocsp.microsoft.com
  • http://ocsp.msocsp.com
  • http://www.microsoft.com/pkiops

Аналитика конечных точек

Дополнительные сведения см. в разделе Конфигурация прокси-сервера аналитики конечных точек.

Конечные точки, требуемые для устройств под управлением Configuration Manager

Устройства под управлением Configuration Manager отправляют данные в Intune через соединитель в роли Configuration Manager, и им не нужен прямой доступ к общедоступному облаку Майкрософт.

Конечная точка Функция
https://graph.windows.net Используется для автоматического получения параметров при присоединении иерархии к аналитике конечных точек на Configuration Manager роли сервера. Дополнительные сведения см. в статье Настройка прокси-сервера для сервера системы сайта.
https://*.manage.microsoft.com Используется для синхронизации коллекции устройств и устройств с помощью аналитики конечных точек только на Configuration Manager роли сервера. Дополнительные сведения см. в статье Настройка прокси-сервера для сервера системы сайта.

Конечные точки, требуемые для устройств под управлением Intune

Для регистрации в аналитике конечной точки устройства должны отправить требуемые функциональные данные в общедоступное облако Майкрософт. Аналитика конечных точек использует компонент Windows Client и Windows Server Connected User Experiences and Telemetry (DiagTrack) для сбора данных с устройств, управляемых Intune. Убедитесь, что на устройстве запущена служба Функциональные возможности для подключенных пользователей и телеметрия.

Конечная точка Функция
https://*.events.data.microsoft.com Используется устройствами под управлением Intune для отправки требуемых функциональных данных в конечную точку сбора данных Intune.

Аналитика активов

Если вы используете аналитику активов, разрешите синхронизировать следующие конечные точки для службы:

  • https://sc.microsoft.com
  • https://ssu2.manage.microsoft.com

Развертывание Microsoft Edge

Устройству, на котором запущена консоль Configuration Manager, требуется доступ к следующим конечным точкам для развертывания Microsoft Edge:

Расположение Использовать
https://aka.ms/cmedgeapi Сведения о выпусках Microsoft Edge
https://edgeupdates.microsoft.com/api/products?view=enterprise Сведения о выпусках Microsoft Edge
http://dl.delivery.mp.microsoft.com Содержимое выпусков Microsoft Edge

Внешние уведомления

Дополнительные сведения см. в разделе Внешние уведомления.

Точка подключения службы должна взаимодействовать со службой уведомлений, например Azure Logic Apps. Конечная точка доступа для приложения логики обычно имеет следующий формат: https://*.<RegionName>.logic.azure.com:443. Пример: https://prod1.westus2.logic.azure.com:443

Чтобы получить конечную точку доступа для приложения логики, а также связанные IP-адреса, используйте следующий процесс:

  1. В портал Azure в разделе Logic Apps выберите приложение логики для уведомления. Дополнительные сведения см. в статье Управление приложениями логики в портал Azure.
  2. В меню приложения в разделе Параметры выберите Свойства.
  3. Просмотрите или скопируйте значения для ip-адресов конечной точки Access и конечной точки Доступа.

Общедоступные IP-адреса Майкрософт

Дополнительные сведения о диапазонах IP-адресов Майкрософт см. в разделе Пространство общедоступных IP-адресов Майкрософт. Эти адреса регулярно обновляются. Нет детализации по службам, можно использовать любой IP-адрес в этих диапазонах.

Дальнейшие действия