Wie in MC1150664 erwähnt, werden im Rahmen der fortlaufenden Secure Future Initiative (SFI) von Microsoft ab dem oder kurz nach dem 2. Dezember 2025 die Netzwerkdienstendpunkte für Microsoft Intune auch die IP-Adressen von Azure Front Door verwenden. Da Basic Mobility and Security for Microsoft 365 die Intune-Infrastruktur nutzt, müssen Kunden ggf. die Azure Front Door IP-Adressen hinzufügen, wenn sie eine Firewall-Allowlist verwenden, die ausgehenden Datenverkehr basierend auf IP-Adressen oder Azure Service-Tags zulässt.
Entfernen Sie keine bestehenden Netzwerkendpunkte, die für Basic Mobility and Security for Microsoft 365 erforderlich sind. Zusätzliche Netzwerkendpunkte sind in den unten verlinkten Informationen zu Azure Front Door und Service-Tags dokumentiert:
- Public Clouds: Download Azure IP Ranges and Service Tags – Public Cloud vom offiziellen Microsoft Download Center
- Government Clouds: Download Azure IP Ranges and Service Tags – US Government Cloud vom offiziellen Microsoft Download Center
Die zusätzlichen Bereiche sind in den oben verlinkten JSON-Dateien aufgeführt und können durch Suche nach „AzureFrontDoor.MicrosoftSecurity“ gefunden werden.
Wie sich das auf Ihre Organisation auswirkt:
Wenn Sie eine Ausgangsverkehrsrichtlinie für IP-Adressbereiche oder Azure Service-Tags für Ihre Firewalls, Router, Proxy-Server, clientbasierte Firewalls, VPNs oder Netzwerksicherheitsgruppen konfiguriert haben, müssen Sie diese aktualisieren, um die neuen Azure Front Door Bereiche mit dem Tag „AzureFrontDoor.MicrosoftSecurity“ zu berücksichtigen.
Hinweis: Die zuvor verfügbaren PowerShell-Skripte zum Abrufen der Microsoft Intune Endpunkt-IP-Adressen und FQDNs liefern keine genauen Daten mehr vom Office 365 Endpoint-Dienst. Verwenden Sie stattdessen die konsolidierte Liste, die in der Intune-Endpunktdokumentation bereitgestellt wird. Die Verwendung der ursprünglichen Skripte oder Endpoint-Listen aus dem Office 365 Endpoint-Dienst ist unzureichend und kann zu fehlerhaften Konfigurationen führen.
Was Sie zur Vorbereitung tun müssen:
Stellen Sie sicher, dass Ihre Firewallregeln aktualisiert und bis zum 2. Dezember 2025 um die zusätzlichen in Azure Front Door dokumentierten IP-Adressen in der Allowlist Ihrer Firewall ergänzt wurden.
Alternativ können Sie auch das Service-Tag „AzureFrontDoor.MicrosoftSecurity“ zu Ihren Firewallregeln hinzufügen, um ausgehenden Datenverkehr auf Port 443 für die Adressen im Tag zu ermöglichen.
Wenn Sie nicht der IT-Administrator sind, der diese Änderung vornehmen kann, informieren Sie bitte Ihr Netzwerkteam. Wenn Sie für die Konfiguration des Internetverkehrs verantwortlich sind, nutzen Sie bitte die folgenden Dokumentationen für weitere Details:
Für bewährte Netzwerkpraktiken empfehlen wir zudem den Blogartikel: Support-Hinweis: Abstimmung der Netzwerkrichtlinie mit Intune und Zero Trust
Informieren Sie gegebenenfalls Ihren Helpdesk über diese anstehende Änderung. Sollten Sie weitere Unterstützung benötigen, wenden Sie sich an den Microsoft Support und beziehen Sie sich auf diesen Message-Center-Beitrag.