¿Tu SASE/SWG está bloqueando Windows Update, Microsoft 365 Apps o el instalador MSIX del nuevo Teams? Aquí tienes una guía práctica con una lista curada de FQDN/URLs y puertos que debes permitir, más una estrategia para mantenerla actualizada de forma automática y evitar futuras interrupciones.
Contexto y objetivo
Cuando se filtra o inspecciona el tráfico de actualizaciones y distribución de software de Microsoft, la experiencia del usuario y los procesos de TI se resienten: fallan despliegues, se rompen firmas de seguridad, se degradan descargas y aparecen errores en el nuevo Microsoft Teams (.msix). Este artículo consolida los endpoints más relevantes por servicio y aporta un método repetible para mantenerlos actualizados sin perseguir listas manuales que caducan.
Idea clave y principios
- No existe una lista “universal” y estática de IPs para todas las actualizaciones de Microsoft. Se usan CDNs, balanceo geográfico y direcciones dinámicas.
- Prioriza FQDN/URL sobre IPs. El control por nombre de host (SNI/Host header) es más estable y preciso en SWG/SASE modernos.
- Automatiza con el servicio programático de endpoints de Microsoft 365 y/o los feeds que ofrezca tu SWG para categorías Optimize, Allow y Default.
- Excluye inspección TLS en endpoints de actualización y CDNs oficiales para evitar roturas por SSL intercept y reescrituras de contenido.
- Valida continuamente con logs del SWG, pruebas piloto y utilidades de conectividad.
Cómo aplicar la estrategia
- Usa la documentación oficial como fuente de verdad por producto/servicio (Windows Update/DO, Microsoft 365 Apps/Office CDN, Teams, Defender, Intune/Autopilot, Microsoft Store).
- Crea grupos de objetos por categoría en tu SASE/SWG (p. ej., “Windows Update”, “Office CDN”, “Teams Estáticos”, “Defender”, “Intune/Autopilot”, “Store”).
- Permite por FQDN/URL y habilita no inspeccionar TLS donde se indique.
- Suscríbete a un feed programático (Endpoints de Microsoft 365 o el de tu SWG) para mantener listas vivas. Clasifica por Optimize, Allow y Default.
- Audita periódicamente: si aparece un bloqueo, identifica el SNI/Host exacto y contrástalo con la lista oficial; incorpora excepciones justificadas.
Allowlist base por servicio (FQDN/URLs y puertos)
Importante: estas tablas son una base operativa y no sustituyen a los feeds oficiales. Evita comodines excesivos (como *.microsoft.com) y céntrate en hosts documentados por servicio.
Windows Update y Delivery Optimization
| Categoría | FQDN / Patrón recomendado | Puertos | Dirección | Inspección TLS | Notas críticas |
|---|---|---|---|---|---|
| Metadatos de actualización | .windowsupdate.com, .update.microsoft.com, sls.update.microsoft.com, fe2.update.microsoft.com | 80, 443 | Salida | No inspeccionar | Resolución de catálogos y orquestación. |
| Descarga de actualizaciones | download.windowsupdate.com | 80 | Salida | No inspeccionar | Descarga binaria histórica por HTTP; algunos entornos adoptan también 443 según escenario. |
| Delivery Optimization CDN | dl.delivery.mp.microsoft.com, tlu.dl.delivery.mp.microsoft.com, fe3.delivery.mp.microsoft.com | 80, 443 | Salida | No inspeccionar | Contenido cacheable y segmentado; respeta rangos/peering según política. |
| Paquetes Express y fallback | emdl.ws.microsoft.com | 80, 443 | Salida | No inspeccionar | Utilizado por paquetes Express y escenarios de contingencia. |
| Telemetría de estado de update | settings-win.data.microsoft.com | 443 | Salida | Opcional | Conectividad recomendada para salud y diagnósticos de Windows Update. |
| Peering local DO | Servicio DO local | TCP 7680 | Entrante/Saliente LAN | Sin TLS | Solo si usas peering entre equipos; restringe a segmentos internos. |
Microsoft 365 Apps (Office CDN / Click‑to‑Run)
| Categoría | FQDN / Patrón recomendado | Puertos | Dirección | Inspección TLS | Notas críticas |
|---|---|---|---|---|---|
| CDN de Office | officecdn.microsoft.com | 80, 443 | Salida | No inspeccionar | Fuente principal de instalación y actualizaciones Click‑to‑Run. |
| Estáticos y recursos | *.cdn.office.net | 443 | Salida | No inspeccionar | Distribución de contenido estático para apps Microsoft 365. |
| Configuración/Política | config.office.com | 443 | Salida | Recomendado no inspeccionar | Políticas de Office y Telemetry controlado. |
| Servicios complementarios | *.officeapps.live.com | 443 | Salida | No inspeccionar | Descubrimiento/experiencias vinculadas; no confundir con Office en la web. |
Microsoft Teams (nuevo y clásico, incl. instaladores .msix)
| Categoría | FQDN / Patrón recomendado | Puertos | Dirección | Inspección TLS | Notas críticas |
|---|---|---|---|---|---|
| Servicio principal | teams.microsoft.com, *.teams.microsoft.com | 443 | Salida | No inspeccionar | Aplicación web y APIs del cliente. |
| Contenido estático y bins | statics.teams.cdn.office.net, *.teams.cdn.office.net | 443 | Salida | No inspeccionar | Recursos estáticos y distribución de paquetes; sensible a inspección TLS. |
| Plataforma subyacente | *.skype.com | 443 | Salida | No inspeccionar | Back‑end heredado utilizado por funcionalidades de Teams. |
| Autenticación y tokens | login.microsoftonline.com, sts.windows.net, aadcdn.msftauth.net, aadcdn.msauth.net | 443 | Salida | No inspeccionar | Crítico: no interceptar certificados ni reescribir. |
Caso típico: si el instalador del nuevo Teams (.msix) falla, revisa en los logs qué host de .microsoft.com o .cdn.office.net fue bloqueado y añádelo a este grupo (normalmente officecdn.microsoft.com y statics.teams.cdn.office.net).
Microsoft Defender (AV/EDR y protección en la nube)
| Categoría | FQDN / Patrón recomendado | Puertos | Dirección | Inspección TLS | Notas críticas |
|---|---|---|---|---|---|
| Firmas de AV | download.windowsupdate.com, dl.delivery.mp.microsoft.com | 80, 443 | Salida | No inspeccionar | Las definiciones suelen servirse por los mismos CDNs que Windows Update/DO. |
| Protección en la nube (MAPS) | wdcp.microsoft.com, wd.microsoft.com, wdcpalt.microsoft.com | 443 | Salida | No inspeccionar | Clasificación de amenazas en tiempo real. |
| Eventos/telemetría | *.events.data.microsoft.com | 443 | Salida | Opcional | Envío de señales de seguridad y calidad. |
| Portal/EDR APIs | security.microsoft.com, api.security.microsoft.com | 443 | Salida | No inspeccionar | Requerido para integraciones y administración. |
Intune y Windows Autopilot
| Categoría | FQDN / Patrón recomendado | Puertos | Dirección | Inspección TLS | Notas críticas |
|---|---|---|---|---|---|
| MDM de Windows | dm.microsoft.com, *.manage.microsoft.com, portal.manage.microsoft.com | 443 | Salida | No inspeccionar | Canal de gestión, instalación de apps y recuperación de políticas. |
| Autenticación AAD | login.microsoftonline.com, device.login.microsoftonline.com, enterpriseregistration.windows.net, aadcdn.msftauth.net, aadcdn.msauth.net | 443 | Salida | No inspeccionar | Join/registro de dispositivos y emisión de tokens. |
| Autopilot | ztd.dds.microsoft.com, cs.dds.microsoft.com | 443 | Salida | No inspeccionar | Descubrimiento de perfil de despliegue y registro. |
| Microsoft Graph | graph.microsoft.com | 443 | Salida | No inspeccionar | Recuperación de datos de configuración y apps desde Intune. |
Microsoft Store y distribución de apps UWP/MSIX
| Categoría | FQDN / Patrón recomendado | Puertos | Dirección | Inspección TLS | Notas críticas |
|---|---|---|---|---|---|
| Front‑end de Store | storeedgefd.dsx.mp.microsoft.com | 443 | Salida | No inspeccionar | Interfaz y metadatos del Microsoft Store. |
| Catálogo e imágenes | displaycatalog.mp.microsoft.com | 443 | Salida | Recomendado no inspeccionar | Información de productos y dependencias. |
| Descarga de paquetes | tlu.dl.delivery.mp.microsoft.com, dl.delivery.mp.microsoft.com | 80, 443 | Salida | No inspeccionar | Distribución de MSIX/MSIXbundle y librerías. |
| Licencias/compra | licensing.mp.microsoft.com, purchase.mp.microsoft.com | 443 | Salida | No inspeccionar | Validación de licencias y adquisiciones. |
| Assets de contenido | images-eds-ssl.xboxlive.com, assets1.xboxlive.com | 443 | Salida | Recomendado no inspeccionar | Recursos multimedia utilizados por Store. |
Actualizaciones del navegador Microsoft Edge y WebView2
| Categoría | FQDN / Patrón recomendado | Puertos | Dirección | Inspección TLS | Notas críticas |
|---|---|---|---|---|---|
| Servicio de updates | msedge.api.cdp.microsoft.com | 443 | Salida | No inspeccionar | Control de versiones y políticas de actualización de Edge/WebView2. |
| Descarga de bins | edge.microsoft.com, dl.delivery.mp.microsoft.com | 80, 443 | Salida | No inspeccionar | Distribución de instaladores. |
Servicios comunes de identidad y plataforma
| Rol | FQDN / Patrón recomendado | Puertos | Inspección TLS | Notas |
|---|---|---|---|---|
| Autenticación AAD | login.microsoftonline.com, sts.windows.net | 443 | No inspeccionar | Necesario para tokens en todos los clientes. |
| Contenido estático de inicio | aadcdn.msftauth.net, aadcdn.msauth.net | 443 | No inspeccionar | Recursos estáticos de autenticación. |
| Redirecciones/shortlinks | go.microsoft.com, aka.ms | 443 | Recomendado no inspeccionar | Usados por instaladores y guías; no son repositorios de contenido. |
Plantilla de política sugerida
- Microsoft 365 – Categoría Optimize
Acción: Permitir + No inspeccionar TLS.
Motivo: Servicios críticos (autenticación, Exchange, SharePoint, Teams base) sensibles a latencia/reescritura. - Windows Update + Delivery Optimization
Acción: Permitir + No inspeccionar TLS.
Notas: Abrir puertos requeridos (HTTP/HTTPS) y, si procede, habilitar peering DO (TCP 7680) en LAN. - Office CDN (Click‑to‑Run) y M365 Apps
Acción: Permitir + No inspeccionar TLS.
Notas: Asegurarofficecdn.microsoft.comy estáticos en*.cdn.office.net. - Microsoft Teams (nuevo y clásico, .msix)
Acción: Permitir + No inspeccionar TLS (especialmente estáticos/instaladores).
Notas: Autorizarteams.microsoft.comystatics.teams.cdn.office.net. - Defender / Intune / Autopilot / Microsoft Store
Acción: Permitir + No inspeccionar TLS cuando se indique.
Notas: Imprescindible para seguridad, gestión y distribución de apps.
Automatización de listas y actualización continua
Para evitar tareas manuales, consume el servicio programático de endpoints de Microsoft 365 (entrega JSON) y/o utiliza las integraciones nativas de tu SWG/SASE para suscribirte a categorías Optimize, Allow y Default. Recomendaciones:
- Separación por nube: Worldwide, Gov, 21Vianet, Alemania. Selecciona solo la que aplique a tu tenant.
- Normaliza objetos: crea colecciones por categoría y etiqueta cada elemento con producto, propietario y fecha de última sincronización.
- Programación: refresco diario o semanal; prueba en entorno piloto antes de promover a producción.
- Alertas: si el feed añade o elimina endpoints críticos, genera tickets automáticos y notificación al equipo de red/seguridad.
Forma del JSON de endpoints (ejemplo esquemático)
{
"id": 123,
"serviceArea": "Microsoft 365",
"category": "Optimize | Allow | Default",
"urls": ["officecdn.microsoft.com", "statics.teams.cdn.office.net", "..."],
"ips": ["x.x.x.x/y", "..."],
"tcpPorts": "443,80",
"notes": "Solo si necesitas IPs, actualiza automáticamente."
}
Muchos SWG/SASE ya interpretan este modelo y crean reglas dinámicas a partir de él. Si tu plataforma lo permite, habilita coincidencia por SNI y Common Name del certificado para evitar depender de IPs fluctuantes.
Verificación operativa y troubleshooting
- Audita los logs del SWG: filtra por acciones “Bloqueado/Interceptado” y busca SNI/Host. Si aparece un host de estas tablas, muévete al grupo correcto.
- Pruebas de conectividad: realiza peticiones con herramientas como curl o Test-NetConnection usando el FQDN; verifica resolución DNS, TLS y HTTP status.
- Valida certificados: el emisor debe ser de Microsoft o del CDN autorizado por Microsoft; evita inspección y content rewriting en estos dominios.
- Equipos piloto: antes de liberar reglas globales, prueba con un anillo de dispositivos representativos.
Errores frecuentes y cómo resolverlos
| Síntoma | Causa probable | Acción |
|---|---|---|
| Teams (.msix) no se descarga | Bloqueo de officecdn.microsoft.com o statics.teams.cdn.office.net; inspección TLS activa. | Añadir a allowlist y marcar no inspeccionar. Verificar SNI en logs. |
| Windows Update queda en “pendiente” | download.windowsupdate.com o dl.delivery.mp.microsoft.com bloqueados. | Permitir HTTP/HTTPS a esos hosts. Revisar TCP 7680 si usas DO peering. |
| Office no actualiza | Office CDN inspeccionado o bloqueado. | Exclusión de TLS para officecdn.microsoft.com y *.cdn.office.net. |
| Intune/Autopilot fallan | Endpoints de AAD/MDM (login.microsoftonline.com, dm.microsoft.com, ztd.dds.microsoft.com) filtrados. | Permitir y no inspeccionar. Confirmar ruta directa hacia nube de Microsoft. |
Guía para IPs y Service Tags
Usa IPs solo como último recurso. Si tu política exige IPs, apóyate en los rangos publicados y en actualizaciones automáticas. Considera:
- CDNs y front doors de Microsoft cambian IPs con frecuencia; pinnear IPs reduce disponibilidad.
- Service Tags (en plataformas compatibles) acotan rangos por servicio; si tu SWG/SD‑WAN las soporta, utilízalas en lugar de listas manuales.
- Segmenta por salida: crea rutas directas para “Optimize” (bypass de proxy/NAT compartido) y usa cachés locales (Delivery Optimization o caches aprobadas) para reducir ancho de banda.
Diseño práctico de objetos y reglas en el SWG/SASE
- Nomenclatura:
ALLOW-MSFT-WU-DO,ALLOW-MSFT-OFFICECDN,ALLOW-MSFT-TEAMS-STATIC,ALLOW-MSFT-DEFENDER,ALLOW-MSFT-INTUNE-AUTOPILOT,ALLOW-MSFT-STORE. - Etiquetas: owner=Plataforma, criticidad=Alta, origen=Microsoft, renovación=Semanal.
- Acciones: Permitir, No inspeccionar TLS, Prioridad alta, Bypass de descifrado para categorías Optimize.
- Supervisión: cuadros de mando con tasa de aciertos, latencia y volumen por endpoint; alertas cuando un host de estas listas aparezca en “bloqueado”.
Buenas prácticas de seguridad
- Principio de mínimo privilegio: limita la allowlist a hosts de Microsoft y CDNs oficialmente asociados al producto.
- Evita comodines peligrosos: no abras dominios genéricos de CDNs globales fuera del ámbito de Microsoft.
- Valida certificados: exige cadenas de confianza válidas y OCSP/CRL accesibles; no desactives validación por comodidad.
- Registro y trazabilidad: guarda huellas (SNI, CN, fingerprint) de eventos de actualización para auditoría.
Checklist de implantación rápida
- Crear grupos por servicio (WU/DO, Office CDN, Teams, Defender, Intune/Autopilot, Store).
- Cargar los FQDN de las tablas y marcar no inspeccionar TLS donde se indica.
- Suscribirse al feed de endpoints de Microsoft 365 para categorías Optimize/Allow/Default (nube correcta).
- Habilitar DO peering en LAN si deseas ahorrar ancho de banda (TCP 7680).
- Validar con equipos piloto y monitoreo continuo.
Preguntas frecuentes
¿Puedo usar solo IPs?
Sí, pero no es recomendable: los rangos cambian con frecuencia. Si debes hacerlo, automatiza la ingestión de rangos publicados y evita listas estáticas.
¿Por qué “no inspeccionar TLS”?
La inspección rompe firmas, SNI y contenido firmado (MSIX/MSI). Además, introduce latencia y puede generar fallos al validar integridad.
¿Debo permitir peering de Delivery Optimization?
En redes empresariales controladas puede ahorrar ancho de banda. Si la política lo impide, permite al menos los CDNs de DO para que no caiga el rendimiento.
¿Qué nube de Microsoft debo seleccionar?
La de tu tenant (Worldwide, Gov, etc.). No mezcles listas entre nubes.
¿Cómo detecto rápidamente qué falta en mi allowlist?
Captura un fallo, revisa el log del SWG por SNI/Host, compáralo con estos grupos y con el feed oficial; si es legítimo, añádelo al grupo correspondiente.
Resumen ejecutivo y resultado esperado
Basar tu política en FQDN/URLs por servicio, sincronizados automáticamente desde los endpoints oficiales de Microsoft, elimina bloqueos espurios y reduce incidencias en despliegues. Al cubrir explícitamente Windows Update/DO, Office CDN, Teams, Defender, Intune/Autopilot y Microsoft Store, tu SASE/SWG dejará de interferir con la entrega de actualizaciones y software, manteniendo seguridad, integridad y rendimiento.
Anexo: listas prácticas de referencia (conservadoras)
Utilízalas como punto de partida y mantenlas sincronizadas con los feeds oficiales.
FQDN recomendados por grupo (resumen)
| Grupo | FQDN/Patrones |
|---|---|
| ALLOW‑MSFT‑WU‑DO | .windowsupdate.com, .update.microsoft.com, sls.update.microsoft.com, fe2.update.microsoft.com, download.windowsupdate.com, dl.delivery.mp.microsoft.com, tlu.dl.delivery.mp.microsoft.com, fe3.delivery.mp.microsoft.com, emdl.ws.microsoft.com, settings-win.data.microsoft.com |
| ALLOW‑MSFT‑OFFICECDN | officecdn.microsoft.com, .cdn.office.net, config.office.com, .officeapps.live.com |
| ALLOW‑MSFT‑TEAMS‑STATIC | teams.microsoft.com, .teams.microsoft.com, statics.teams.cdn.office.net, .teams.cdn.office.net, *.skype.com |
| ALLOW‑MSFT‑DEFENDER | download.windowsupdate.com, dl.delivery.mp.microsoft.com, wdcp.microsoft.com, wd.microsoft.com, wdcpalt.microsoft.com, *.events.data.microsoft.com, security.microsoft.com, api.security.microsoft.com |
| ALLOW‑MSFT‑INTUNE‑AUTOPILOT | dm.microsoft.com, *.manage.microsoft.com, portal.manage.microsoft.com, login.microsoftonline.com, device.login.microsoftonline.com, enterpriseregistration.windows.net, ztd.dds.microsoft.com, cs.dds.microsoft.com, graph.microsoft.com |
| ALLOW‑MSFT‑STORE | storeedgefd.dsx.mp.microsoft.com, displaycatalog.mp.microsoft.com, tlu.dl.delivery.mp.microsoft.com, dl.delivery.mp.microsoft.com, licensing.mp.microsoft.com, purchase.mp.microsoft.com, images-eds-ssl.xboxlive.com, assets1.xboxlive.com |
| ALLOW‑MSFT‑EDGE | msedge.api.cdp.microsoft.com, edge.microsoft.com, dl.delivery.mp.microsoft.com |
| COMMON‑IDENTITY | login.microsoftonline.com, sts.windows.net, aadcdn.msftauth.net, aadcdn.msauth.net, go.microsoft.com, aka.ms |
Puertos y direcciones a considerar
| Servicio | Puertos | Dirección | Notas |
|---|---|---|---|
| HTTP/HTTPS general | 80, 443 | Salida | La gran mayoría del tráfico de actualizaciones. |
| Delivery Optimization peering | TCP 7680 | Entrante/Salida LAN | Solo si habilitas peering entre dispositivos. |
Conclusión
No persigas IPs: aplica control por FQDN/URL, apóyate en feeds oficiales y automatiza. Con las tablas anteriores como base, más una operación de verificación continua, podrás mantener un entorno donde Windows Update, Microsoft 365 Apps, Teams, Defender, Intune/Autopilot y Microsoft Store funcionen a la primera, sin sacrificar seguridad ni gobernanza.
Última recomendación: documenta explícitamente en tu estándar de red que el tráfico de actualización y distribución de software de Microsoft es “permitido y no inspeccionado” para los FQDN listados y para las categorías que provee el servicio de endpoints de Microsoft 365, con revisión programada y auditoría de cambios.