Требования к доступу к Интернету
Обеспечение полной функциональности Configuration Manager зависит от подключения к Интернету. Если ваша организация ограничивает сетевое взаимодействие с Интернетом с помощью брандмауэра или прокси-устройства, убедитесь, что эти конечные точки разрешены.
Configuration Manager использует следующие службы переадресации URL-адресов Майкрософт в продукте.
https://aka.ms
https://go.microsoft.com
Даже если они не указаны явным образом в разделах ниже, вы всегда должны разрешать эти конечные точки.
Точка подключения службы.
Дополнительные сведения см. в разделе Сведения о точке подключения службы.
Эти конфигурации применяются к серверу, на котором размещена точка подключения службы и все брандмауэры между этим сервером и Интернетом. Разрешить обмен данными через исходящий HTTPS-порт TCP 443 в расположениях в Интернете.
Точка подключения службы поддерживает использование веб-прокси с проверкой подлинности или без нее для использования этих расположений. Дополнительные сведения см. в разделе Поддержка прокси-сервера.
Если сайту Configuration Manager не удается подключиться к требуемым конечным точкам для облачной службы, возникает критическое сообщение о состоянии с идентификатором 11488. Если не удается подключиться к службе, состояние компонента SMS_SERVICE_CONNECTOR меняется на критическое. Просмотрите подробное состояние в узле Состояние компонента консоли Configuration Manager.
Начиная с версии 2010 точка подключения службы проверяет важные конечные точки Интернета для подключения клиента. Эти проверки помогают убедиться, что службы, подключенные к облаку, доступны. Это также помогает устранять проблемы путем быстрого определения того, является ли сетевое подключение проблемой. Дополнительные сведения см. в разделе Проверка доступа к Интернету.
Конкретные URL-адреса, необходимые для точки подключения службы, зависят от Configuration Manager функции:
- Обновления и обслуживание
- Обслуживание Windows
- Службы Azure
- Microsoft Store для бизнеса
- Облачные службы
- консоль Configuration Manager
- Подключение клиента
- Внешние уведомления
Совет
Точка подключения службы использует службу Microsoft Intune при подключении к go.microsoft.com
или manage.microsoft.com
. Существует известная проблема, из-за которой соединитель Intune испытывает проблемы с подключением, если корневой сертификат Baltimore CyberTrust не установлен, истек или поврежден в точке подключения службы. Дополнительные сведения см. в статье Точка подключения службы не загружает обновления.
Обновления и обслуживание
Дополнительные сведения см. в разделе Обновления и обслуживание.
Совет
Включите эти конечные точки для правила аналитики управленияПодключение сайта к облаку Майкрософт для Configuration Manager обновлений.
*.akamaiedge.net
*.akamaitechnologies.com
*.manage.microsoft.com
go.microsoft.com
download.microsoft.com
download.windowsupdate.com
download.visualstudio.microsoft.com
sccmconnected-a01.cloudapp.net
definitionupdates.microsoft.com
configmgrbits.azureedge.net
Важно!
Эта конечная точка Azure поддерживает только TLS 1.2 с определенными наборами шифров. Убедитесь, что ваша среда поддерживает эти конфигурации Azure. Дополнительные сведения см. в статье Azure Front Door: часто задаваемые вопросы о настройке TLS.
cmbitsstore.blob.core.windows.net
ceuswatcab01.blob.core.windows.net
ceuswatcab02.blob.core.windows.net
eaus2watcab01.blob.core.windows.net
eaus2watcab02.blob.core.windows.net
weus2watcab01.blob.core.windows.net
weus2watcab02.blob.core.windows.net
cmbitsstore.blob.core.windows.net
umwatsonc.events.data.microsoft.com
*-umwatsonc.events.data.microsoft.com
Обслуживание Windows
Дополнительные сведения см. в разделе Управление Windows как услуга.
download.microsoft.com
https://go.microsoft.com/fwlink/?LinkID=619849
dl.delivery.mp.microsoft.com
Службы Azure
Дополнительные сведения см. в статье Настройка служб Azure для использования с Configuration Manager.
-
management.azure.com
(общедоступное облако Azure) -
management.usgovcloudapi.net
(Облако Azure для государственных организаций США)
Совместное управление
Если вы регистрируете устройства Windows для Microsoft Intune для совместного управления, убедитесь, что эти устройства могут получить доступ к конечным точкам, необходимым Intune. Дополнительные сведения см. в статье Конечные точки сети для Microsoft Intune.
Microsoft Store для бизнеса
Если вы интегрируете Configuration Manager с Microsoft Store для бизнеса, убедитесь, что точка подключения службы и целевые устройства могут получить доступ к облачной службе. Дополнительные сведения см. в разделе Microsoft Store для бизнеса конфигурации прокси-сервера.
Оптимизация доставки
Если вы используете оптимизацию доставки, клиенты должны взаимодействовать с облачной службой: *.do.dsp.mp.microsoft.com
Эти конечные точки также требуются точкам распространения, поддерживающим подключенный кэш Майкрософт.
Дополнительные сведения см. в следующих статьях:
- Часто задаваемые вопросы об оптимизации доставки
- Основные понятия управления содержимым в Configuration Manager
- Подключенный кэш (Майкрософт) с Configuration Manager
Облачные службы
Дополнительные сведения о шлюзе управления облаком (CMG) см. в разделе Планирование шлюза управления облачными клиентами.
В этом разделе рассматриваются следующие функции:
Шлюз облачного управления (CMG)
интеграция Microsoft Entra
Обнаружение на основе Microsoft Entra ID
Облачная точка распространения (CDP)
Примечание.
Облачная точка распространения (CDP) не рекомендуется использовать. Начиная с версии 2107, вы не можете создавать новые экземпляры CDP. Чтобы предоставить содержимое интернет-устройствам, включите CMG для распространения содержимого.
В следующих разделах перечислены конечные точки по роли. Некоторые конечные точки ссылаются на службу по <prefix>
, которая является префиксом имени шлюза управления облачными клиентами. Например, если шлюз управления облачными клиентами имеет значение GraniteFalls.WestUS.CloudApp.Azure.Com
, то фактическая конечная точка хранилища — GraniteFalls.blob.core.windows.net
.
Совет
Чтобы уточнить некоторые термины, выполните приведенные ниже действия.
Имя службы CMG: общее имя (CN) сертификата проверки подлинности сервера CMG. Клиенты и роль системы сайта точки подключения ШЛЮЗа управления облачными клиентами связываются с этим именем службы. Например,
GraniteFalls.contoso.com
илиGraniteFalls.WestUS.CloudApp.Azure.Com
.Имя развертывания CMG: первая часть имени службы, а также расположение Azure для развертывания облачной службы. Компонент диспетчера облачных служб точки подключения службы использует это имя при развертывании CMG в Azure. Имя развертывания всегда находится в домене Azure. Расположение Azure зависит от метода развертывания, например:
- Масштабируемый набор виртуальных машин:
GraniteFalls.WestUS.CloudApp.Azure.Com
- Классическое развертывание:
GraniteFalls.CloudApp.Net
- Масштабируемый набор виртуальных машин:
В этой статье используются примеры с масштабируемым набором виртуальных машин в качестве рекомендуемого метода развертывания в версии 2107 и более поздних версиях. Если вы используете классическое развертывание, обратите внимание на разницу при прочтении этой статьи и настройке доступа к Интернету.
Точка подключения службы для облачных служб
Чтобы Configuration Manager развернуть службу CMG в Azure, точке подключения службы требуется доступ к:
Конкретные конечные точки Azure, которые отличаются для каждой среды в зависимости от конфигурации. Configuration Manager хранит эти конечные точки в базе данных сайта. Запросите список конечных точек Azure в таблице AzureEnvironments в SQL Server.
Службы Azure:
-
management.azure.com
(общедоступное облако Azure) -
management.usgovcloudapi.net
(Облако Azure для государственных организаций США)
-
Для Microsoft Entra обнаружения пользователей: конечная точка Microsoft Graph
https://graph.microsoft.com/
Точка подключения CMG для облачных служб
Точке подключения CMG требуется доступ к следующим конечным точкам:
Тип | Общедоступное облако Azure | Облако Azure для государственных организаций США |
---|---|---|
Имя службы | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
Конечная точка хранилища 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
Конечная точка хранилища 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
Хранилище ключей | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
Система сайта точки подключения CMG поддерживает использование веб-прокси. Дополнительные сведения о настройке этой роли для прокси-сервера см. в разделе Поддержка прокси-сервера.
Точка подключения CMG должна подключаться только к конечным точкам службы CMG. Ему не требуется доступ к другим конечным точкам Azure.
клиент Configuration Manager для облачных служб
Любой клиент Configuration Manager, который должен взаимодействовать с шлюзом управления облачными клиентами, должен иметь доступ к следующим конечным точкам:
Тип | Общедоступное облако Azure | Облако Azure для государственных организаций США |
---|---|---|
Имя развертывания | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
Конечная точка хранилища | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
Конечная точка Microsoft Entra | login.microsoftonline.com |
login.microsoftonline.us |
консоль Configuration Manager для облачных служб
Любому устройству с консолью Configuration Manager требуется доступ к следующим конечным точкам:
Тип | Общедоступное облако Azure | Облако Azure для государственных организаций США |
---|---|---|
конечные точки Microsoft Entra | login.microsoftonline.com aadcdn.msauth.net aadcdn.msftauth.net |
login.microsoftonline.us |
Обновления программного обеспечения
Разрешите активной точке обновления программного обеспечения доступ к следующим конечным точкам, чтобы службы WSUS и автоматические Обновления могли взаимодействовать с облачной службой Центра обновления Майкрософт:
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
http://download.microsoft.com
http://*.download.windowsupdate.com
http://ntservicepack.microsoft.com
Дополнительные сведения об обновлениях программного обеспечения см. в разделе Планирование обновлений программного обеспечения.
Брандмауэр интрасети
В следующих случаях может потребоваться добавить конечные точки в брандмауэр, который находится между двумя системами сайта:
- Если дочерние сайты имеют точку обновления программного обеспечения
- Если на сайте есть удаленная активная точка обновления программного обеспечения через Интернет
Точка обновления программного обеспечения на дочернем сайте
http://<FQDN for software update point on child site>
https://<FQDN for software update point on child site>
http://<FQDN for software update point on parent site>
https://<FQDN for software update point on parent site>
Управление Приложениями Microsoft 365
Примечание.
Начиная с 21 апреля 2020 года Office 365 профессиональный плюс переименовываются в Приложения Microsoft 365 для предприятий. Дополнительные сведения см. в разделе Изменение имени для Office 365 профессиональный плюс. Ссылки на старое имя по-прежнему могут отображаться в консоли Configuration Manager и в вспомогательной документации во время обновления консоли.
Если вы используете Configuration Manager для развертывания и обновления Приложения Microsoft 365 для предприятий, разрешите следующие конечные точки:
officecdn.microsoft.com
для синхронизации точки обновления программного обеспечения для обновлений клиента Приложения Microsoft 365 для предприятийconfig.office.com
создание пользовательских конфигураций для Приложения Microsoft 365 для предприятий развертыванийhttps://clients.config.office.net
иhttps://go.microsoft.com/fwlink/?linkid=2190568
для поддержки развертывания обновлений для Приложения Microsoft 365 для предприятийcontentstorage.osi.office.net
для поддержки оценки готовности надстройки Office
Серверу сайта верхнего уровня требуется доступ к следующей конечной точке, чтобы скачать файл готовности Microsoft Apps 365:
- Начиная со 2 марта 2021 г.:
https://omex.cdn.office.net/mirrored/sccmreadiness/SOT_SCCM_AddinReadiness.CAB
- Расположение до 2 марта 2021 г.:
https://contentstorage.osi.office.net/sccmreadinessppe/sot_sccm_addinreadiness.cab
- Расположение до 2 марта 2021 г.:
Примечание.
Расположение этого файла меняется 2 марта 2021 г. Дополнительные сведения см. в разделе Скачивание изменения расположения для файла готовности Приложения Microsoft 365.
консоль Configuration Manager
Компьютерам с консолью Configuration Manager требуется доступ к следующим конечным точкам Интернета для определенных функций:
Примечание.
Чтобы push-уведомления от Корпорации Майкрософт отображались в консоли, точка подключения службы должна иметь доступ к configmgrbits.azureedge.net
. Ему также требуется доступ к этой конечной точке для обновления и обслуживания, поэтому, возможно, вы уже разрешили это.
Отзыв на консоли
На компьютере, где запущена консоль, разрешите ей доступ к следующим конечным точкам Интернета для отправки диагностических данных в корпорацию Майкрософт:
petrol.office.microsoft.com
ceuswatcab01.blob.core.windows.net
ceuswatcab02.blob.core.windows.net
eaus2watcab01.blob.core.windows.net
eaus2watcab02.blob.core.windows.net
weus2watcab01.blob.core.windows.net
weus2watcab02.blob.core.windows.net
umwatsonc.events.data.microsoft.com
*-umwatsonc.events.data.microsoft.com
Дополнительные сведения об этой функции см. в разделе Отзывы о продукте.
Рабочая область сообщества
Узел документации
Дополнительные сведения об этом узле консоли см. в разделе Использование консоли Configuration Manager.
https://aka.ms
https://raw.githubusercontent.com
Центр сообщества
Дополнительные сведения об этой функции см. в разделе Центр сообщества.
https://github.com
https://communityhub.microsoft.com
Подключение клиента
Дополнительные сведения см. в статье Включение подключения клиента.
https://aka.ms/configmgrgateway
https://*.manage.microsoft.com
для клиентов общедоступного облака Azurehttps://*.manage.microsoft.us
для клиентов облака для государственных организаций США версии 2107 или более позднейhttps://dc.services.visualstudio.com
Точка подключения службы устанавливает длительное исходящее подключение к службе уведомлений, размещенной в https://*.manage.microsoft.com
. Убедитесь, что прокси-сервер, используемый для точки подключения службы, не приводит к слишком быстрому разрыву исходящих подключений. Рекомендуется использовать 3 минуты для исходящих подключений к этой конечной точке Интернета.
Если в вашей среде есть правила прокси-сервера, разрешают только определенные списки отзыва сертификатов (CRLs) или расположения проверки протокола состояния сертификатов (OCSP), также разрешите следующие URL-адреса списка отзыва сертификатов и OCSP:
http://crl3.digicert.com
http://crl4.digicert.com
http://ocsp.digicert.com
http://www.d-trust.net
http://root-c3-ca2-2009.ocsp.d-trust.net
http://crl.microsoft.com
http://oneocsp.microsoft.com
http://ocsp.msocsp.com
http://www.microsoft.com/pkiops
Аналитика конечных точек
Дополнительные сведения см. в разделе Конфигурация прокси-сервера аналитики конечных точек.
Конечные точки, требуемые для устройств под управлением Configuration Manager
Устройства под управлением Configuration Manager отправляют данные в Intune через соединитель в роли Configuration Manager, и им не нужен прямой доступ к общедоступному облаку Майкрософт.
Конечная точка | Функция |
---|---|
https://graph.windows.net |
Используется для автоматического получения параметров при присоединении иерархии к аналитике конечных точек на Configuration Manager роли сервера. Дополнительные сведения см. в статье Настройка прокси-сервера для сервера системы сайта. |
https://*.manage.microsoft.com |
Используется для синхронизации коллекции устройств и устройств с помощью аналитики конечных точек только на Configuration Manager роли сервера. Дополнительные сведения см. в статье Настройка прокси-сервера для сервера системы сайта. |
Конечные точки, требуемые для устройств под управлением Intune
Для регистрации в аналитике конечной точки устройства должны отправить требуемые функциональные данные в общедоступное облако Майкрософт. Аналитика конечных точек использует компонент Windows Client и Windows Server Connected User Experiences and Telemetry (DiagTrack) для сбора данных с устройств, управляемых Intune. Убедитесь, что на устройстве запущена служба Функциональные возможности для подключенных пользователей и телеметрия.
Конечная точка | Функция |
---|---|
https://*.events.data.microsoft.com |
Используется устройствами под управлением Intune для отправки требуемых функциональных данных в конечную точку сбора данных Intune. |
Аналитика активов
Если вы используете аналитику активов, разрешите синхронизировать следующие конечные точки для службы:
https://sc.microsoft.com
https://ssu2.manage.microsoft.com
Развертывание Microsoft Edge
Устройству, на котором запущена консоль Configuration Manager, требуется доступ к следующим конечным точкам для развертывания Microsoft Edge:
Расположение | Использовать |
---|---|
https://aka.ms/cmedgeapi |
Сведения о выпусках Microsoft Edge |
https://edgeupdates.microsoft.com/api/products?view=enterprise |
Сведения о выпусках Microsoft Edge |
http://dl.delivery.mp.microsoft.com |
Содержимое выпусков Microsoft Edge |
Внешние уведомления
Дополнительные сведения см. в разделе Внешние уведомления.
Точка подключения службы должна взаимодействовать со службой уведомлений, например Azure Logic Apps. Конечная точка доступа для приложения логики обычно имеет следующий формат: https://*.<RegionName>.logic.azure.com:443
. Пример: https://prod1.westus2.logic.azure.com:443
Чтобы получить конечную точку доступа для приложения логики, а также связанные IP-адреса, используйте следующий процесс:
- В портал Azure в разделе Logic Apps выберите приложение логики для уведомления. Дополнительные сведения см. в статье Управление приложениями логики в портал Azure.
- В меню приложения в разделе Параметры выберите Свойства.
- Просмотрите или скопируйте значения для ip-адресов конечной точки Access и конечной точки Доступа.
Общедоступные IP-адреса Майкрософт
Дополнительные сведения о диапазонах IP-адресов Майкрософт см. в разделе Пространство общедоступных IP-адресов Майкрософт. Эти адреса регулярно обновляются. Нет детализации по службам, можно использовать любой IP-адрес в этих диапазонах.