Netzwerk-Anforderungen

Vollständige Liste aller Netzwerk-Endpoints, Firewall-Freigaben und Proxy-Konfigurationen, die für den Betrieb von Microsoft Intune, Windows Autopilot und zugehörigen Diensten erforderlich sind.

Caution

Häufigster Stolperstein bei PoC und Rollout! Fehlende Firewall-Freigaben sind der #1 Grund für Autopilot-Timeouts und fehlgeschlagene App-Installationen. Diese Liste vor dem ersten Testgerät beim Kunden-Netzwerkteam einreichen.

Kritische Endpoints

Intune / MDM

Intune MDM & Enrollment

Endpoint	Port	Zweck
`*.manage.microsoft.com`	443	Intune MDM Service
`manage.microsoft.com`	443	Intune API
`enrollment.manage.microsoft.com`	443	Device Enrollment
`portal.manage.microsoft.com`	443	Company Portal
`login.microsoftonline.com`	443	Entra ID Authentication
`login.live.com`	443	Microsoft Account Services
`graph.microsoft.com`	443	Microsoft Graph API
`config.office.com`	443	Office Cloud Policy Service
`*.officeconfig.msocdn.com`	443	Office Configuration

Autopilot

Windows Autopilot

Endpoint	Port	Zweck
`ztd.dds.microsoft.com`	443	Autopilot Zero-Touch Deployment
`cs.dds.microsoft.com`	443	Autopilot Configuration Service
`login.live.com`	443	Microsoft Account (OOBE)
`aadcdn.msauth.net`	443	Entra ID Authentication CDN
`aadcdn.msftauth.net`	443	Entra ID Authentication CDN
`enterpriseregistration.windows.net`	443	MDM Discovery
`time.windows.com`	123/UDP	NTP (Zeitsynchronisation)

Warning

SSL Inspection ausschalten! Für alle Autopilot- und Intune-Endpoints muss SSL Inspection (SSL Break & Inspect) deaktiviert werden. SSL Inspection zerstört die MDM-Zertifikat-Kommunikation und führt zu kryptischen Fehlermeldungen.

Windows Update

Windows Update & Delivery Optimization

Endpoint	Port	Zweck
`*.update.microsoft.com`	443	Windows Update
`*.windowsupdate.com`	443	Windows Update CDN
`*.delivery.mp.microsoft.com`	443	Delivery Optimization
`*.dl.delivery.mp.microsoft.com`	80/443	Download Content
`tsfe.trafficshaping.dsp.mp.microsoft.com`	443	Delivery Optimization Traffic

Defender

Microsoft Defender

Endpoint	Port	Zweck
`*.wdcp.microsoft.com`	443	Defender Cloud Protection
`*.wdcpalt.microsoft.com`	443	Defender Cloud Protection (Fallback)
`*.wd.microsoft.com`	443	Defender Updates
`*.smartscreen.microsoft.com`	443	SmartScreen Filter
`*.smartscreen-prod.microsoft.com`	443	SmartScreen
`definitionupdates.microsoft.com`	443	Defender Signatur-Updates

M365 Apps

Microsoft 365 Apps & Services

Endpoint	Port	Zweck
`*.office.com`	443	Office Online
`*.office365.com`	443	Exchange Online, SharePoint, etc.
`*.outlook.office.com`	443	Outlook, Exchange
`outlook.office365.com`	443	Exchange Online
`*.sharepoint.com`	443	SharePoint & OneDrive
`*.teams.microsoft.com`	443	Microsoft Teams
`*.officeapps.live.com`	443	Office Apps Activation
`officecdnmac.microsoft.com`	443	Office CDN

Proxy & Firewall Konfiguration

Proxy-Anforderungen

Anforderung	Details
Authentifizierter Proxy	Wird von Intune und Autopilot nicht unterstützt. Intune-Traffic muss ohne Proxy-Auth laufen.
SSL Inspection	Für alle Microsoft-Endpoints deaktivieren
PAC File	`.manage.microsoft.com` und Autopilot-Endpoints direkt routen (Bypass Proxy)
Wildcard-Unterstützung	Die meisten Endpoints nutzen Wildcards (`*.manage.microsoft.com`)

Quick-Check: Netzwerk testen


# Auf dem Client-Gerät ausführen — prüft die wichtigsten Endpoints
$endpoints = @(
    "manage.microsoft.com",
    "enrollment.manage.microsoft.com", 
    "login.microsoftonline.com",
    "graph.microsoft.com",
    "ztd.dds.microsoft.com",
    "time.windows.com"
)
 
foreach ($endpoint in $endpoints) {
    $result = Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue
    $status = if ($result.TcpTestSucceeded) { "✅ OK" } else { "❌ BLOCKED" }
    Write-Host "$status - $endpoint"
}

Checkliste für das Netzwerkteam des Kunden

#	Aktion	Erledigt?
1	Alle Endpoints in obigen Tabellen in der Firewall freigeben	☐
2	SSL Inspection für Microsoft-Endpoints deaktivieren	☐
3	Proxy für Intune/Autopilot-Endpoints bypassen	☐
4	NTP (Port 123 UDP) zu `time.windows.com` erlauben	☐
5	Quick-Check Script auf einem Testgerät ausführen	☐
6	WLAN-Profil für Autopilot-Geräte bereitstellen (falls kabelgebunden nicht möglich)	☐

Querverweise

Thema	Verwandte Seite
Go-Live Netzwerk-Prüfung	Go-Live Checkliste
Autopilot Timeout Troubleshooting	Troubleshooting
WLAN-Zertifikate	Intune Connectoren
SSL Inspection Warnung	Architektur-Standards (Netzwerk)