MENU
  1. Accueil
  2. Python
  3. Liste complète des URL et plages IP à autoriser pour installer Microsoft 365 derrière un pare‑feu restrictif

Liste complète des URL et plages IP à autoriser pour installer Microsoft 365 derrière un pare‑feu restrictif

Python

Vous devez installer Microsoft 365 dans un environnement où seules quelques destinations Internet sont autorisées ? Découvrez la liste exhaustive des URL, plages IP et ports à ouvrir pour télécharger, activer et mettre à jour Office, ainsi que des scripts pour automatiser leur maintenance.

Sommaire

Vue d’ensemble de la problématique

Les installateurs « Click‑to‑Run » s’appuient sur une chaîne logistique complexe : authentification Azure AD, consultation de services REST, distribution de contenus via plusieurs réseaux de diffusion (CDN) et validation de licences dans le cloud. Si votre pare‑feu se limite à microsoft.com et office.com, l’installation échouera à différents stades – téléchargement, activation ou mise à jour. Le défi consiste donc à ouvrir l’accès :

  • au strict minimum d’hôtes indispensables ;
  • aux ports sortants et protocoles requis ;
  • tout en conservant un contrôle granulaire pour respecter votre politique de sécurité.

Pourquoi *.microsoft.com ne suffit pas ?

Microsoft s’appuie sur des centaines de domaines et de sous‑domaines répartis sur plusieurs clouds (Azure, Edge, Akamai, Verizon). De plus, les FQDN publiés dans la documentation officielle utilisent souvent des CNAME qui se résolvent dynamiquement vers des noms de domaine totalement différents (*.akadns.net, *.msecnd.net, *.edgesuite.net, etc.). Si ces résolutions DNS sont bloquées ou si l’inspection TLS interfère, les connexions échouent et le client Click‑to‑Run passe en boucle de réessais.

Catégories d’endpoints Microsoft 365 à autoriser

La liste qui suit est filtrée pour couvrir uniquement les phases installation, activation et mise à jour de Microsoft 365 sur Windows Server ou Windows 10/11. Les services Teams, SharePoint ou OneDrive synchronisation ne sont pas inclus ici afin de rester le plus minimaliste possible.

CatégorieFQDN typiquesFonction
Authentification Azure ADlogin.microsoftonline.com, login.windows.net, *.msauth.net, *.msauthimages.net, secure.aadcdn.microsoftonline-p.comValidation d’identité, obtention de jetons OAuth 2.0
Découverte & portail*.office.com, *.office365.com, *.office.net, graph.microsoft.com, *.onmicrosoft.comInterface web, API Microsoft Graph, découverte des services
Téléchargement (CDN)officecdn.microsoft.com, officecdn.microsoft.com.edgesuite.net, *.msocdn.com, *.msedge.netPaquets Click‑to‑Run, correctifs mensuels « Patch Tuesday »
Infrastructure partagée*.microsoftonline.com, *.microsoftonline-p.com, *.microsoftonline-p.net, *.microsoft.com, *.msft.net, *.msecnd.netFeux de circulation réseau, téléphonie de maison, télémétrie
Activation et licencesactivation.sls.microsoft.com, office15client.microsoft.com, *.config.office.netService d’activation KMS en ligne, gestion du cache de licences
Télé‑diagnosticv10.events.data.microsoft.com, settings-win.data.microsoft.comDonnées de fiabilité nécessaires au support Microsoft

Conseil : Les entrées marquées « Optimize » ou « Allow » dans la documentation officielle doivent impérativement échapper à l’inspection TLS afin de réduire la latence et d’éviter les déconnexions.

Ports et protocoles

  • TCP 443 : trafic HTTPS chiffré (obligatoire pour tous les FQDN ci‑dessus).
  • TCP 80 : redirections HTTP initiales ou CRL/OCSP (rarement utilisé mais recommandé).
  • Aucun flux entrant n’est requis ; les connexions s’établissent toujours en sortant.

Service web endpoints.office.com : la vérité de référence

Depuis 2019, Microsoft publie quotidiennement la liste à jour des URL et plages IP dans un service REST privée accessible sans authentification. Le format JSON contient :

  • La category (Optimize, Allow, Default).
  • La liste des urls et/ou ips.
  • Un champ tcpPorts pour l’ouverture fine des ACL.
  • Un serviceAreaDisplayName pour filtrer, par exemple « Office Updates ».

Requête PowerShell basique

Invoke-RestMethod -Uri https://endpoints.office.com/endpoints/worldwide?clientrequestid=$(New-Guid)

Pour vérifier l’obsolescence de votre cache, appelez l’endpoint /version et comparez le numéro retourné à votre version locale. Si des changements existent, l’endpoint /changes ne renvoie que les différentiels, ce qui simplifie la mise à jour de vos règles de pare‑feu.

Script d’automatisation recommandé

# Télécharge les URL "Optimize" et "Allow" puis genere un CSV
$guid = [guid]::NewGuid().ToString()
$data = Invoke-RestMethod "https://endpoints.office.com/endpoints/worldwide?clientrequestid=$guid"
$filtered = $data | Where-Object { $_.category -in @("Optimize","Allow") }
$urls = $filtered.urls | Sort-Object -Unique
$urls | Export-Csv 'O365_URLs.csv' -NoTypeInformation

Service Tags Azure : gestion simplifiée dans Azure Firewall et NSG

Si votre infrastructure est hébergée dans Azure, vous pouvez vous exempter de la gestion manuelle des FQDN en utilisant les service tags. Microsoft publie un tag logique Microsoft365 (ainsi que des tags plus granulaires Microsoft365Exchange, Microsoft365SharePoint, etc.). Cela vous permet de créer une règle réseau unique qui suivra automatiquement les ajouts et retraits d’IP par Microsoft.

Exemple de règle Azure Firewall

{
  "name": "Allow-M365",
  "properties": {
    "protocols": [ "Https" ],
    "sourceAddresses": [ "*" ],
    "destinationAddresses": [ "AzureFirewall.FQDNTag.Microsoft365" ],
    "destinationPorts": [ "443" ],
    "action": "Allow"
  }
}

Maintenir la liste à jour : cinq méthodes éprouvées

  1. Tâche planifiée PowerShell qui rafraîchit un fichier CSV et alimente votre pare‑feu/IDS.
  2. Script Get‑PacFile fourni par Microsoft pour générer un fichier PAC à pousser sur votre proxy.
  3. Intégration SIEM : ingestion directe du flux JSON afin de déclencher des alertes quand de nouveaux endpoints apparaissent.
  4. Service Tags Azure si vous consommez Azure Firewall ou Application Gateway.
  5. Surveillance DNS en quasi temps réel : capture dynamique des requêtes DNS effectuées par les postes clients Office pour détecter d’éventuels domaines manquants.

Scénarios hors ligne ou réseaux ultra‑confinés

Office Deployment Tool (ODT)

L’ODT prend un paramètre /download qui télécharge localement tous les binaires (.cab et .dat). Transférez ensuite le dépôt via clé USB ou partage CIFS vers le serveur cible, puis exécutez setup.exe /configure avec un fichier XML pointant sur le chemin local.

Remarques importantes

  • L’activation reste néanmoins requise sous 30 jours. Si le serveur ne peut jamais accéder à Internet, utilisez un hôte KMS interne ou l’Activation basée sur Active Directory.
  • Les futures mises à jour devront être retéléchargées sur un poste source connecté, sauf si vous basculez le canal de mise à jour sur « Security Updates Only » (moins fréquent).

Gestion du proxy et de l’inspection TLS

Un proxy intermédiaire peut altérer l’entête Range utilisé par BITS et empêcher la reprise des téléchargements volumineux. Dans un tel contexte :

  • Contournez le proxy pour les domaines classés « Optimize », ceux‑ci étant très sensibles à la latence.
  • Désactivez la déchiffrement TLS ou ajoutez explicitement les certificats Microsoft IT afin de préserver l’intégrité de la session.
  • Gardez un œil sur le compteur « Retries » du fichier OfficeC2RClient.log pour identifier immédiatement les saturations réseau.

FAQ

Quels sont les ports sortants exacts ?

Tous les flux passent par TCP 443 ; TCP 80 est uniquement utilisé en secours ou pour la publication de listes de révocation.

Faut‑il vraiment autoriser les plages IP ?

Pas obligatoirement : Microsoft recommande de filtrer par FQDN pour réduire la maintenance. Cependant, certains équipements réseau n’acceptent que des ACL basées sur IP. Dans ce cas, récupérez la colonne ips du JSON endpoints.office.com.

Comment détecter les nouveaux endpoints non documentés ?

Monitorez vos logs pare‑feu pour les codes TCP_DENIED sur les postes Office et comparez la liste de domaines bloqués avec celle de votre dernier export Optimize/Allow.

Résumé des points clés

  • Une quinzaine de FQDN supplémentaires sont nécessaires au‑delà de microsoft.com et office.com pour installer, activer et maintenir Microsoft 365.
  • Les catégories « Optimize » et « Allow » doivent sortir sans inspection TLS pour éviter les échecs de téléchargement.
  • Le service endpoints.office.com (ou les service tags Azure) est la source unique de vérité : automatisez sa consultation au moins une fois par jour.
  • Dans les environnements totalement isolés, l’Office Deployment Tool en mode hors ligne reste la solution la plus simple pour une installation ponctuelle.
  • Surveillez vos journaux réseau ; la moindre erreur 0x00000000 dans OfficeC2RClient.log est souvent le signe d’un domaine oublié dans la liste blanche.

Annexes utiles

Extrait de fichier PAC généré

function FindProxyForURL(url, host) {
    if (shExpMatch(host, "*.office.com") ||
        shExpMatch(host, "*.office365.com") ||
        shExpMatch(host, "*.office.net") ||
        shExpMatch(host, "officecdn.microsoft.com") ||
        shExpMatch(host, "*.msocdn.com"))
        return "DIRECT";
    return "PROXY proxy.interne:8080";
}

Exemple de format CSV importable dans votre pare‑feu

Action;FQDN;Port
Allow;login.microsoftonline.com;443
Allow;officecdn.microsoft.com;443
Allow;graph.microsoft.com;443

Dernière mise à jour : août 2025 – vérifiez la version courante du service web avant tout déploiement en production.

Python
Microsoft 365 Office 365 pare‑feu URL IP
Sommaire