Конечные точки сети для Microsoft Intune

В этой статье перечислены IP-адреса и параметры порта, необходимые для параметров прокси-сервера в развертываниях Microsoft Intune. Объединенный список находится в конце этой страницы. Консолидированный список конечных точек

В качестве облачной службы Intune не требуется локальная инфраструктура, например серверы или шлюзы.

Доступ для управляемых устройств

Для управления устройствами, защищенными брандмауэрами и прокси-серверами, нужно включить возможность обмена данными с Intune.

• Конечные точки в этой статье разрешают доступ к портам, указанным в следующих таблицах.

• Для некоторых задач Intune требуется доступ к прокси-серверу без проверки подлинности к manage.microsoft.com, *.azureedge.net и graph.microsoft.com.

  Примечание.

  Проверка трафика SSL не поддерживается для "*.manage.microsoft.com", "*.dm.microsoft.com" или конечных точек аттестации работоспособности устройств (DHA), перечисленных в разделе соответствия требованиям.

Параметры прокси-сервера можно изменить на отдельных клиентских компьютерах. Кроме того, с помощью параметров групповой политики можно изменить параметры для всех клиентских компьютеров, защищенных указанным прокси-сервером.

Управляемые устройства должны иметь конфигурации с выбранным параметром Все пользователи, чтобы все пользователи могли получать доступ к службам через брандмауэры.

Конечные точки

Вам также требуются полные доменные имена, которые охватываются в рамках требований Microsoft 365. Для справки в следующих таблицах показана служба, к которую они привязаны, и список возвращенных URL-адресов.

Столбцы данных, показанные в таблицах:

• Идентификатор. Идентификатор строки, также известный как набор конечных точек. Этот идентификатор совпадает с тем, что возвращается веб-службой для набора конечных точек.

• Категория. Показывает, относится ли набор конечных точек к категории Optimize, Allow или Default. В этом столбце также перечислены наборы конечных точек, необходимые для сетевого подключения. Для наборов конечных точек, для которых не требуется сетевое подключение, мы предоставляем заметки в этом поле, чтобы указать, какие функции будут отсутствуют, если набор конечных точек заблокирован. Если вы исключаете всю область обслуживания, наборы конечных точек, перечисленные как обязательные, не требуют подключения.

  Вы можете ознакомиться с этими категориями и рекомендациями по управлению ими в статье Новые категории конечных точек Microsoft 365.

• ER: значение Да/True, если набор конечных точек поддерживается Azure ExpressRoute с префиксами маршрутов Microsoft 365. Сообщество BGP, включающее указанные префиксы маршрутов, соответствует указанной области обслуживания. Если ER имеет значение No или False, ExpressRoute не поддерживается для этого набора конечных точек.

• Адреса: список полных доменных имен или доменных имен с подстановочными знаками и диапазонов IP-адресов для набора конечных точек. Имейте в виду, что диапазон IP-адресов имеет формат CIDR и может содержать много отдельных IP-адресов в указанной сети.

• Порты: список портов TCP или UDP, объединенных с перечисленными IP-адресами для формирования конечной точки сети. Вы можете заметить некоторое дублирование в диапазонах IP-адресов, где перечислены разные порты.

Intune базовая служба

Зависимости проверки подлинности

Дополнительные сведения см. в статье Office 365 URL-адреса и диапазоны IP-адресов.

Intune зависимости

В этом разделе в следующих таблицах перечислены Intune зависимости, а также порты и службы, к которым обращается клиент Intune.

• Зависимости служб push-уведомлений Windows
• Зависимости оптимизации доставки
• Зависимости Apple
• Зависимости Android AOSP

Зависимости Android Enterprise

Google Android Enterprise — Google предоставляет документацию по требуемым сетевым портам и именам узлов назначения в центре справки Android Enterprise.

Push-уведомление Android— Intune использует Google Firebase Cloud Messaging (FCM) для push-уведомлений, чтобы активировать действия устройства и проверка. Это требуется как администратор устройств Android, так и Android Enterprise. Сведения о требованиях к сети для FCM см. в разделе о портах FCM и брандмауэре документа Google.

Зависимости Android AOSP

Сведения о портах Android . В зависимости от того, как вы решили управлять устройствами Android, может потребоваться открыть порты Google Android Enterprise и (или) push-уведомление Android. Дополнительные сведения о поддерживаемых методах управления Android см. в документации по регистрации устройств Android.

Зависимости Apple

Сведения о конечных точках Apple см. в следующих ресурсах:

• Использование продуктов Apple в корпоративных сетях
• Порты TCP и UDP, используемые программными продуктами Apple
• Сведения о подключениях узлов серверов macOS, iOS/iPadOS и iTunes и фоновых процессах iTunes
• Если клиенты с macOS и iOS/iPadOS не получают push-уведомления Apple

Зависимости оптимизации доставки

Требования к портам . Для обмена данными между клиентом и службой используется протокол HTTP или HTTPS через порт 80/443. При необходимости для однорангового трафика оптимизация доставки использует 7680 для TCP/IP и Teredo через порт 3544 для обхода NAT. Дополнительные сведения см. в документации по оптимизации доставки.

Требования к прокси-серверу . Чтобы использовать оптимизацию доставки, необходимо разрешить запросы диапазона байтов. Дополнительные сведения см. в разделе Требования к прокси-серверу для оптимизации доставки.

Требования к брандмауэру . Разрешите следующие имена узлов через брандмауэр для поддержки оптимизации доставки. Для обмена данными между клиентами и облачной службой оптимизации доставки:

• *.do.dsp.mp.microsoft.com

Для метаданных оптимизации доставки:

• *.dl.delivery.mp.microsoft.com

Зависимости служб push-уведомлений Windows (WNS)

Для устройств с Windows под управлением Intune, использующих управление мобильными устройствами (MDM), действия устройства и другие непосредственные задачи требуют использования служб push-уведомлений Windows (WNS). Дополнительные сведения см. в разделе Пропуск трафика уведомлений Windows через брандмауэры предприятий.

Удаленная помощь

Помимо настройки требований к сети, перечисленных в следующей таблице, необходимо также настроить требования к сети для Azure служб коммуникации. Дополнительные сведения см. в разделе требования к сети служб коммуникации Azure.

Зависимости Windows Autopilot

Аналитика конечных точек

Дополнительные сведения о необходимых конечных точках для аналитики конечных точек см. в статье Требования к сети и подключению.

Microsoft Defender для конечной точки

Дополнительные сведения о настройке подключения Defender для конечной точки см. в разделе Требования к подключению.

Чтобы поддерживать управление параметрами безопасности Defender для конечной точки, разрешите следующие имена узлов через брандмауэр. Для взаимодействия между клиентами и облачной службой:

• *.dm.microsoft.com – Использование подстановочного знака поддерживает конечные точки облачной службы, которые используются для регистрации и составления отчетов, которые могут меняться по мере масштабирования службы.

  Важно!

  Проверка SSL не поддерживается в конечных точках, необходимых для Microsoft Defender для конечной точки.

Управление привилегиями на конечных точках Microsoft Intune

Для поддержки Управление привилегиями на конечных точках разрешите следующие имена узлов на TCP-порте 443 через брандмауэр.

Для взаимодействия между клиентами и облачной службой:

• *.dm.microsoft.com – Использование подстановочного знака поддерживает конечные точки облачной службы, которые используются для регистрации и составления отчетов, которые могут меняться по мере масштабирования службы.

• *.events.data.microsoft.com— используется управляемыми Intune устройствами для отправки необязательных данных отчетов в конечную точку сбора данных Intune.

  Важно!

  Проверка SSL не поддерживается в конечных точках, необходимых для Управление привилегиями на конечных точках.

Дополнительные сведения см. в статье Обзор Управление привилегиями на конечных точках.

Microsoft Security Copilot

Чтобы обеспечить связь между Security Copilot и определенными решениями безопасности, необходимо разрешить ip-адресам исходящего трафика Security Copilot связываться с решением. Сведения о необходимых конечных точках см. в Microsoft Security Copilot IP-адресах исходящего трафика в документации по Security Copilot.

Microsoft Store

Управляемым устройствам Windows, которые используют Microsoft Store для получения, установки или обновления приложений, требуется доступ к этим конечным точкам через tcp-порты 80 и 443 через брандмауэр.

API Microsoft Store (AppInstallManager):

• displaycatalog.mp.microsoft.com
• purchase.md.mp.microsoft.com
• licensing.mp.microsoft.com
• storeedgefd.dsx.mp.microsoft.com

агент клиентский компонент Центра обновления Windows:

Дополнительные сведения см. в следующих ресурсах:

• Управление конечными точками подключения для Windows 11 Корпоративная

• Управление конечными точками подключения для Windows 10 Корпоративная версии 21H2

  Примечание.

  14 октября 2025 г. Windows 10 закончила поддержку и не будет получать обновления качества и компонентов. Windows 10 является допустимой версией в Intune. Устройства под управлением этой версии по-прежнему могут регистрироваться в Intune и использовать соответствующие функции, но функциональность не гарантируется и может отличаться.

Скачивание содержимого Win32:

Расположения и конечные точки загрузки содержимого Win32 уникальны для каждого приложения и предоставляются внешним издателем. Расположение для каждого приложения Магазина Win32 можно найти с помощью следующей команды в тестовой системе (вы можете получить [PackageId] для приложения Магазина, указав ссылку на свойство Package Identifier приложения после добавления его в Microsoft Intune):

• winget show [PackageId]

В свойстве URL-адреса установщика отображается внешнее расположение загрузки или резервный кэш на основе региона (размещенный в Майкрософт) в зависимости от того, используется ли кэш. Расположение загрузки содержимого может изменяться между кэшем и внешним расположением.

Резервный кэш приложений Win32, размещенный корпорацией Майкрософт:

• cdn.storeedgefd.dsx.mp.microsoft.com

Оптимизация доставки (необязательно, требуется для пиринга):

Дополнительные сведения см. в следующем ресурсе:

• Конечные точки содержимого и служб подключенного кэша Майкрософт

Перенос политик аттестации работоспособности устройств в аттестацию Microsoft Azure

Если клиент включает какие-либо параметры политики соответствия требованиям Windows — параметры работоспособности устройств, Windows 11 устройства начинают использовать службу Microsoft Аттестация Azure (MAA) в зависимости от расположения клиента Intune. Однако среды Windows 10 и GCCH/DOD по-прежнему используют существующую конечную точку DHA "has.spserv.microsoft.com" аттестации работоспособности устройств для отчетов об аттестации работоспособности устройств, и это изменение не влияет на это.

Если у клиента есть политики брандмауэра, которые запрещают доступ к новой службе Intune MAA для Windows 11, то Windows 11 устройства с назначенными политиками соответствия, используя любые параметры работоспособности устройства (BitLocker, безопасная загрузка, целостность кода), не будут соответствовать требованиям, так как они не смогут связаться с конечными точками аттестации MAA для своего расположения.

Убедитесь, что нет правил брандмауэра, блокирующих исходящий трафик HTTPS/443, и что проверка трафика SSL не выполняется для конечных точек, перечисленных в этом разделе, в зависимости от расположения клиента Intune.

Чтобы найти расположение клиента, перейдите в центр администрирования Intune администрирования>> Состояниеклиента> Сведенияо клиенте, см. в разделе Расположение клиента.

Требования к сети для развертываний приложений и сценариев для macOS

Если вы используете Intune для развертывания приложений или сценариев в macOS, необходимо также предоставить доступ к конечным точкам, в которых сейчас находится ваш клиент.

В зависимости от расположения клиента используются разные конечные точки. Чтобы найти расположение клиента, войдите в Центр администрирования Microsoft Intune, выберите администрирование> клиентаСведения о>расположении клиента со значением Северная Америка 0501 или аналогичное. Используя регион в расположении (Северная Америка в Северная Америка 0501), просмотрите следующую таблицу для необходимых конечных точек и портов CDN:

Требования к сети для сценариев PowerShell и приложений Win32

Если вы используете Intune для сценариев, в которых используется расширение управления Intune, например для развертывания приложений Win32, сценариев PowerShell, исправлений, аналитики конечных точек, настраиваемых политик соответствия требованиям или профилей конфигурации BIOS, необходимо также предоставить доступ к конечным точкам, в которых сейчас находится ваш клиент.

В зависимости от расположения клиента используются разные конечные точки. Чтобы найти расположение клиента, войдите в Центр администрирования Microsoft Intune, выберите администрирование> клиентаСведения о>расположении клиента со значением Северная Америка 0501 или аналогичное. Используя регион в расположении (Северная Америка в Северная Америка 0501), просмотрите следующую таблицу для необходимых конечных точек и портов CDN:

Диагностические данные, используемые для мониторинга работоспособности клиентских компонентов:

• *.events.data.microsoft.com

Автоисправление Windows

Дополнительные сведения о необходимых конечных точках для автоматического исправления Windows см. в разделе Предварительные требования к автопатке Windows.

средство диагностики подключения Azure Front Door

Чтобы упростить проверку подключения к IP-адресам Azure Front Door (AFD), используемым Intune, можно использовать скрипт Test-IntuneAFDConnectivity.ps1 для проверки подключения к требуемым диапазонам IP-адресов AFD и конечным точкам служб.

Это средство диагностика включает следующие проверки:

• Разрешение DNS конечных точек службы Intune
• Исходящее tcp-подключение через порты 80 и 443 к IP-адресам AFD
• Проверка HTTPS в облачную службу Intune

Предварительные условия

Перед выполнением скрипта убедитесь, что у вас есть:

• PowerShell 5.1 или более поздней версии
• Подключение к конечным точкам сети для Microsoft Intune, как описано в этой статье.

Применение

Запустите сценарий с управляемого Intune устройства, чтобы проверить подключение к конечным точкам сети Intune с помощью Azure Front Door. Скрипт может выполняться в контексте пользователя, выполнившего вход, или в качестве учетной записи локальной системы (контекст устройства).

Выполнение скрипта

Вариант 1. Запуск от имени текущего пользователя

Откройте PowerShell от имени текущего пользователя, перейдите в каталог, содержащий скрипт, и выполните следующую команду:

.\Test-IntuneAFDConnectivity.ps1

Вариант 2. Запуск от имени системы (контекст устройства)

Чтобы проверить подключение как само устройство, используйте PsExec из Microsoft Sysinternals.

1. Скачать PsExec

2. Откройте PowerShell от имени администратора. Перейдите в каталог, содержащий PsExec.

3. Выполните следующую команду, чтобы запустить скрипт от имени SYSTEM:

.\psexec.exe -accepteula -i -s powershell.exe

1. В новом окне PowerShell перейдите в каталог, содержащий скрипт, и выполните следующую команду:

.\Test-IntuneAFDConnectivity.ps1

Параметры и команды

Используйте следующие параметры в зависимости от среды:

Устранение неполадок

Если скрипт сообщает о сбое (код выхода 1):

• Если тесты Azure IP-адресов Front Door показывают неудачные IP-адреса или диапазоны IP-адресов: брандмауэр, прокси-сервер или VPN может блокировать исходящие подключения через порты 443 или 80 к этим IP-адресам Azure Front Door.

• Если тест конечной точки службы показывает, что конечная точка HTTPS недоступна: Необходимые Intune полные доменные имена служб или ip-адреса Azure Front Door могут быть недоступны, или проблема проверки DNS, прокси-сервера или HTTPS препятствует подключению к полному доменному имени службы Intune.

• Проверьте конечные точки сети для Microsoft Intune (как описано в этой статье) и убедитесь, что брандмауэр, VPN или прокси-сервер разрешает все необходимые полные доменные имена служб Intune, диапазоны IP-адресов и порты front Door Azure.

• Проверьте подробные результаты в сохраненном выходном файле или запустите скрипт с подробным ведением журнала (-LogLevel Detailed и -Verbose), чтобы получить дополнительные диагностические сведения.

Консолидированный список конечных точек

Чтобы упростить настройку служб через брандмауэры, ниже приведен сводный список полных доменных имен и IP-подсетей, используемых Intune управляемых устройствах.

Эти списки включают только те конечные точки, которые используются Intune управляемыми устройствами. Эти списки не включают дополнительные конечные точки, предоставленные службой конечных точек Office 365, но не используемые Intune.

Полных доменных имен

*.manage.microsoft.com
manage.microsoft.com
*.dl.delivery.mp.microsoft.com
*.do.dsp.mp.microsoft.com
*.update.microsoft.com
*.windowsupdate.com
adl.windows.com
dl.delivery.mp.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com
time.windows.com
*.s-microsoft.com
clientconfig.passport.net
windowsphone.com
approdimedatahotfix.azureedge.net
approdimedatapri.azureedge.net
approdimedatasec.azureedge.net
euprodimedatahotfix.azureedge.net
euprodimedatapri.azureedge.net
euprodimedatasec.azureedge.net
naprodimedatahotfix.azureedge.net
naprodimedatapri.azureedge.net
naprodimedatasec.azureedge.net
swda01-mscdn.azureedge.net
swda02-mscdn.azureedge.net
swdb01-mscdn.azureedge.net
swdb02-mscdn.azureedge.net
swdc01-mscdn.azureedge.net
swdc02-mscdn.azureedge.net
swdd01-mscdn.azureedge.net
swdd02-mscdn.azureedge.net
swdin01-mscdn.azureedge.net
swdin02-mscdn.azureedge.net
*.notify.windows.com
*.wns.windows.com
ekcert.spserv.microsoft.com
ekop.intel.com
ftpm.amd.com
intunecdnpeasd.azureedge.net
*.monitor.azure.com
*.support.services.microsoft.com
*.trouter.communication.microsoft.com
*.trouter.skype.com
*.trouter.teams.microsoft.com
api.flightproxy.skype.com
ecs.communication.microsoft.com
edge.microsoft.com
edge.skype.com
remoteassistanceprodacs.communication.azure.com
remoteassistanceprodacseu.communication.azure.com
remotehelp.microsoft.com
wcpstatic.microsoft.com
lgmsapeweu.blob.core.windows.net
intunemaape1.eus.attest.azure.net
intunemaape10.weu.attest.azure.net
intunemaape11.weu.attest.azure.net
intunemaape12.weu.attest.azure.net
intunemaape13.jpe.attest.azure.net
intunemaape17.jpe.attest.azure.net
intunemaape18.jpe.attest.azure.net
intunemaape19.jpe.attest.azure.net
intunemaape2.eus2.attest.azure.net
intunemaape3.cus.attest.azure.net
intunemaape4.wus.attest.azure.net
intunemaape5.scus.attest.azure.net
intunemaape7.neu.attest.azure.net
intunemaape8.neu.attest.azure.net
intunemaape9.neu.attest.azure.net
*.webpubsub.azure.com
*.gov.teams.microsoft.us
remoteassistanceweb.usgov.communication.azure.us
config.edge.skype.com
contentauthassetscdn-prod.azureedge.net
contentauthassetscdn-prodeur.azureedge.net
contentauthrafcontentcdn-prod.azureedge.net
contentauthrafcontentcdn-prodeur.azureedge.net
fd.api.orgmsg.microsoft.com
ris.prod.api.personalization.ideas.microsoft.com

IP-подсети

4.145.74.224/27
4.150.254.64/27
4.154.145.224/27
4.200.254.32/27
4.207.244.0/27
4.213.25.64/27
4.213.86.128/25
4.216.205.32/27
4.237.143.128/25
13.67.13.176/28
13.67.15.128/27
13.69.67.224/28
13.69.231.128/28
13.70.78.128/28
13.70.79.128/27
13.74.111.192/27
13.77.53.176/28
13.86.221.176/28
13.89.174.240/28
13.89.175.192/28
20.37.153.0/24
20.37.192.128/25
20.38.81.0/24
20.41.1.0/24
20.42.1.0/24
20.42.130.0/24
20.42.224.128/25
20.43.129.0/24
20.44.19.224/27
20.91.147.72/29
20.168.189.128/27
20.189.172.160/27
20.189.229.0/25
20.191.167.0/25
20.192.159.40/29
20.192.174.216/29
20.199.207.192/28
20.204.193.10/31
20.204.193.12/30
20.204.194.128/31
20.208.149.192/27
20.208.157.128/27
20.214.131.176/29
40.67.121.224/27
40.70.151.32/28
40.71.14.96/28
40.74.25.0/24
40.78.245.240/28
40.78.247.128/27
40.79.197.64/27
40.79.197.96/28
40.80.180.208/28
40.80.180.224/27
40.80.184.128/25
40.82.248.224/28
40.82.249.128/25
40.84.70.128/25
40.119.8.128/25
48.218.252.128/25
52.150.137.0/25
52.162.111.96/28
52.168.116.128/27
52.182.141.192/27
52.236.189.96/27
52.240.244.160/27
57.151.0.192/27
57.153.235.0/25
57.154.140.128/25
57.154.195.0/25
57.155.45.128/25
68.218.134.96/27
74.224.214.64/27
74.242.35.0/25
104.46.162.96/27
104.208.197.64/27
172.160.217.160/27
172.201.237.160/27
172.202.86.192/27
172.205.63.0/25
172.212.214.0/25
172.215.131.0/27
13.107.219.0/24
13.107.227.0/24
13.107.228.0/23
150.171.97.0/24
2620:1ec:40::/48
2620:1ec:49::/48
2620:1ec:4a::/47

Связанные материалы

URL-адреса и диапазоны IP-адресов для Office 365

Обзор сетевого подключения Microsoft 365

Сети доставки содержимого (CDN)

Другие конечные точки, не включенные в веб-службу IP-адресов и URL-адресов Office 365

Управление конечными точками Office 365