Im Rahmen der fortlaufenden Secure Future Initiative (SFI) von Microsoft werden ab dem oder kurz nach dem 2. Dezember 2025 die Netzwerkserviceendpunkte für Microsoft Intune ebenfalls die IP-Adressen von Azure Front Door verwenden. Da Basic Mobility and Security for Microsoft 365 die Intune-Infrastruktur nutzt, müssen Kunden möglicherweise die Azure Front Door IP-Adressen hinzufügen, wenn sie eine Firewall-Whitelist verwenden, die ausgehenden Datenverkehr basierend auf IP-Adressen oder Azure-Service-Tags erlaubt.
Entfernen Sie keine bestehenden Netzwerkendpunkte, die für Basic Mobility and Security for Microsoft 365 erforderlich sind. Zusätzliche Netzwerkendpunkte sind in den Azure Front Door- und Service-Tag-Informationen dokumentiert, auf die in den unten verlinkten Dateien verwiesen wird:
- Öffentliche Clouds: Download Azure IP Ranges and Service Tags – Public Cloud vom offiziellen Microsoft Download Center
- Government Clouds: Download Azure IP Ranges and Service Tags – US Government Cloud vom offiziellen Microsoft Download Center
Die zusätzlichen Bereiche sind die in den oben verlinkten JSON-Dateien aufgeführten und können dort durch die Suche nach „AzureFrontDoor.MicrosoftSecurity“ gefunden werden.
Auswirkungen auf Ihre Organisation:
Wenn Sie eine ausgehende Datenverkehrsrichtlinie für IP-Adressbereiche oder Azure-Service-Tags für Ihre Firewalls, Router, Proxy-Server, clientbasierte Firewalls, VPN oder Netzwerksicherheitsgruppen konfiguriert haben, müssen Sie diese aktualisieren, um die neuen Azure Front Door-Bereiche mit dem Tag „AzureFrontDoor.MicrosoftSecurity“ einzuschließen.
Was Sie zur Vorbereitung tun müssen:
Stellen Sie sicher, dass Ihre Firewallregeln aktualisiert und die zusätzlichen IP-Adressen, die unter Azure Front Door dokumentiert sind, bis zum 2. Dezember 2025 in Ihre Firewall-Whitelist aufgenommen werden.
Alternativ können Sie den Service-Tag „AzureFrontDoor.MicrosoftSecurity“ zu Ihren Firewallregeln hinzufügen, um ausgehenden Datenverkehr auf Port 443 für die Adressen im Tag zuzulassen.
Wenn Sie nicht der IT-Administrator sind, der diese Änderung vornehmen kann, benachrichtigen Sie Ihr Netzwerkteam. Wenn Sie für die Konfiguration des Internetverkehrs verantwortlich sind, lesen Sie bitte die folgenden Dokumentationen für weitere Details:
Informieren Sie bei Bedarf Ihre Helpdesk-Mitarbeiter über diese bevorstehende Änderung. Wenn Sie zusätzliche Unterstützung benötigen, wenden Sie sich an den Microsoft Support und beziehen Sie sich auf diesen Message Center-Post.