Wie in MC1147982 erwähnt, werden im Rahmen der fortlaufenden Secure Future Initiative (SFI) von Microsoft ab dem 2. Dezember 2025 oder kurz danach die Netzwerkdienstendpunkte für Microsoft Intune ebenfalls die IP-Adressen von Azure Front Door verwenden. Diese Verbesserung unterstützt eine bessere Ausrichtung an modernen Sicherheitspraktiken und erleichtert es im Laufe der Zeit Organisationen, die mehrere Microsoft-Produkte verwenden, ihre Firewall-Konfigurationen zu verwalten und zu pflegen. Daher kann es erforderlich sein, dass Kunden diese Netzwerk-(Firewall-)Konfigurationen in Drittanbieteranwendungen hinzufügen müssen, um eine ordnungsgemäße Funktion von Intune-Geräte- und App-Verwaltung zu gewährleisten. Diese Änderung betrifft Kunden, die eine Firewall-Whitelist verwenden, die ausgehenden Datenverkehr basierend auf IP-Adressen oder Azure-Dienstkennungen erlaubt.
Entfernen Sie keine bestehenden Netzwerkendpunkte, die für Microsoft Intune erforderlich sind. Zusätzliche Netzwerkendpunkte sind in den Informationen zu Azure Front Door und Dienstkennungen dokumentiert, die in den unten verlinkten Dateien zu finden sind:
- Öffentliche Clouds: Download Azure IP Ranges and Service Tags – Public Cloud vom offiziellen Microsoft Download Center
- Regierungs-Clouds: Download Azure IP Ranges and Service Tags – US Government Cloud vom offiziellen Microsoft Download Center
Die zusätzlichen Bereiche sind in den oben verlinkten JSON-Dateien enthalten und können durch die Suche nach „AzureFrontDoor.MicrosoftSecurity“ gefunden werden.
Wie sich dies auf Ihre Organisation auswirkt:
Wenn Sie für Ihre Firewalls, Router, Proxy-Server, clientbasierte Firewalls, VPN oder Netzwerksicherheitsgruppen eine ausgehende Verkehrsregelung für Intune-IP-Adressbereiche oder Azure-Dienstkennungen konfiguriert haben, müssen Sie diese aktualisieren, um die neuen Azure Front Door-Bereiche mit dem Dienstkennzeichen „AzureFrontDoor.MicrosoftSecurity“ einzubeziehen.
Intune benötigt Internetzugang für Geräte, die unter Intune-Verwaltung stehen, sei es für Mobile Device Management oder Mobile Application Management. Wenn Ihre ausgehende Verkehrsregelung die neuen IP-Adressbereiche von Azure Front Door nicht einschließt, können Benutzer sich nicht anmelden, Geräte könnten die Verbindung zu Intune verlieren und der Zugriff auf Apps wie das Intune Company Portal oder Apps, die durch App-Schutzrichtlinien geschützt sind, kann unterbrochen werden.
Hinweis: Die früher verfügbaren PowerShell-Skripte zum Abrufen der IP-Adressen und FQDNs der Microsoft Intune-Endpunkte liefern keine korrekten Daten mehr vom Office 365 Endpoint-Dienst. Verwenden Sie stattdessen die konsolidierte Liste, die in der Intune-Endpunktdokumentation bereitgestellt wird. Die Verwendung der ursprünglichen Skripte oder der Endpunktlisten vom Office 365 Endpoint-Dienst ist nicht ausreichend und kann zu fehlerhaften Konfigurationen führen.
Was Sie zur Vorbereitung tun müssen:
Stellen Sie sicher, dass Ihre Firewall-Regeln aktualisiert und mit den zusätzlichen IP-Adressen, die unter Azure Front Door dokumentiert sind, in der Whitelist Ihrer Firewall bis zum 2. Dezember 2025 ergänzt werden.
Alternativ können Sie das Dienstkennzeichen „AzureFrontDoor.MicrosoftSecurity“ zu Ihren Firewall-Regeln hinzufügen, um ausgehenden Datenverkehr auf Port 443 für die Adressen mit diesem Kennzeichen zu erlauben.
Wenn Sie nicht der IT-Administrator sind, der diese Änderung vornehmen kann, benachrichtigen Sie Ihr Netzwerkteam. Wenn Sie für die Konfiguration des Internetverkehrs verantwortlich sind, beachten Sie bitte die folgenden Dokumentationen für weitere Details:
- Azure Front Door
- Azure-Dienstkennungen
- Intune-Netzwerkendpunkte
- Netzwerkendpunkte der US-Regierung für Intune
Für bewährte Netzwerkpraktiken empfehlen wir den Blogbeitrag: Support-Tipp: Netzwerk-Richtlinien mit Intune und Zero Trust ausrichten
Informieren Sie Ihren Helpdesk über diese bevorstehende Änderung. Sollten Sie zusätzliche Unterstützung benötigen, kontaktieren Sie bitte den Microsoft Support und beziehen Sie sich auf diesen Message Center-Beitrag.