Im Rahmen von Microsofts laufender Secure Future Initiative (SFI) verwenden die Netzwerkdienstendpunkte für Microsoft Intune ab dem oder kurz nach dem 2. Dezember 2025 ebenfalls die IP-Adressen von Azure Front Door. Diese Verbesserung unterstützt eine bessere Ausrichtung an modernen Sicherheitspraktiken und erleichtert es im Laufe der Zeit Organisationen, die mehrere Microsoft-Produkte verwenden, ihre Firewall-Konfigurationen zu verwalten und zu pflegen. Daher müssen Kunden möglicherweise diese Netzwerkkonfigurationen (Firewall) in Drittanbieteranwendungen hinzufügen, um die ordnungsgemäße Funktion des Intune-Geräte- und App-Managements zu gewährleisten. Diese Änderung betrifft Kunden, die eine Firewall-Allowlist verwenden, die ausgehenden Datenverkehr basierend auf IP-Adressen oder Azure-Service-Tags zulässt.
Entfernen Sie keine bestehenden Netzwerkendpunkte, die für Microsoft Intune erforderlich sind. Zusätzliche Netzwerkendpunkte sind als Teil der Azure Front Door- und Service-Tags-Informationen dokumentiert, die in den unten verlinkten Dateien zu finden sind:
- Öffentliche Clouds: Download Azure IP Ranges and Service Tags – Public Cloud from Official Microsoft Download Center
- Government Clouds: Download Azure IP Ranges and Service Tags – US Government Cloud from Official Microsoft Download Center
Die zusätzlichen Bereiche sind jene, die in den oben verlinkten JSON-Dateien aufgeführt sind, und können durch Suche nach „AzureFrontDoor.MicrosoftSecurity“ gefunden werden.
Wie sich dies auf Ihre Organisation auswirkt:
Wenn Sie eine Outbound-Traffic-Richtlinie für Intune-IP-Adressbereiche oder Azure-Service-Tags in Ihren Firewalls, Routern, Proxy-Servern, clientbasierten Firewalls, VPN oder Netzwerk-Sicherheitsgruppen konfiguriert haben, müssen Sie diese aktualisieren, um die neuen Azure Front Door-Bereiche mit dem „AzureFrontDoor.MicrosoftSecurity“ Tag aufzunehmen.
Intune benötigt Internetzugang für Geräte, die von Intune verwaltet werden, sei es zur Verwaltung mobiler Geräte oder mobiler Anwendungen. Wenn Ihre Outbound-Traffic-Richtlinie die neuen Azure Front Door-IP-Adressbereiche nicht enthält, können Benutzer sich möglicherweise nicht anmelden, Geräte könnten die Verbindung zu Intune verlieren und der Zugriff auf Apps wie das Intune Company Portal oder solche, die durch App-Schutzrichtlinien geschützt sind, könnte beeinträchtigt werden.
Was Sie zur Vorbereitung tun müssen:
Stellen Sie sicher, dass Ihre Firewallregeln aktualisiert und bis zum 2. Dezember 2025 in die Allowlist Ihrer Firewall mit den zusätzlichen, unter Azure Front Door dokumentierten IP-Adressen aufgenommen sind.
Alternativ können Sie auch das Service-Tag „AzureFrontDoor.MicrosoftSecurity“ zu Ihren Firewallregeln hinzufügen, um ausgehenden Datenverkehr über Port 443 für die Adressen im Tag zu erlauben.
Wenn Sie nicht der IT-Administrator sind, der diese Änderungen vornehmen kann, informieren Sie bitte Ihr Netzwerkteam. Wenn Sie für die Konfiguration des Internetverkehrs verantwortlich sind, finden Sie weitere Details in der folgenden Dokumentation:
- Azure Front Door
- Azure service tags
- Intune network endpoints
- US government network endpoints for Intune
Wenn Sie eine Helpdesk-Abteilung haben, informieren Sie diese bitte über diese bevorstehende Änderung. Sollten Sie weitere Unterstützung benötigen, wenden Sie sich an Microsoft Support und beziehen Sie sich auf diese Message-Center-Nachricht.