Tag del servizio di rete virtuale

Un tag del servizio rappresenta un gruppo di prefissi di indirizzi IP di un determinato servizio di Azure. Microsoft gestisce i prefissi di indirizzo inclusi nel tag del servizio e aggiorna automaticamente il tag in base alla modifica degli indirizzi, riducendo la complessità degli aggiornamenti frequenti alle regole di sicurezza di rete.

È possibile usare i tag del servizio per definire i controlli di accesso alla rete in gruppi di sicurezza di rete, Firewall di Azure e route definite dall'utente. Usare tag di servizio al posto di indirizzi IP specifici quando si creano regole e route di sicurezza. Specificando il nome del tag del servizio, ad esempio ApiManagement, nel campo di origine o di destinazione appropriato di una regola di sicurezza, è possibile consentire o negare il traffico per il servizio corrispondente. Specificando il nome del tag del servizio nel prefisso dell'indirizzo di una route, è possibile instradare il traffico destinato a uno qualsiasi dei prefissi incapsulati dal tag del servizio a un tipo di hop successivo desiderato.

Nota

A partire da marzo 2022, l'uso di tag di servizio al posto dei prefissi di indirizzo espliciti nelle route definite dall'utente non è disponibile in anteprima e a livello generale.

È possibile usare i tag del servizio per ottenere l'isolamento rete e proteggere le risorse di Azure da Internet in generale durante l'accesso ai servizi di Azure con endpoint pubblici. Creare regole del gruppo di sicurezza di rete in ingresso/uscita per negare il traffico da/verso Internet e consentire il traffico da/verso AzureCloud o altri tag del servizio disponibili dei servizi di Azure specifici.

Isolamento di rete dei servizi di Azure tramite tag di servizio

Tag del servizio disponibili

La tabella seguente include tutti i tag del servizio disponibili per l'uso nelle regole del gruppo di sicurezza di rete.

Le colonne indicano se il tag:

  • È adatto alle regole che coprono il traffico in ingresso o in uscita.
  • Supporta l'ambito regionale.
  • È utilizzabile nelle regole di Firewall di Azure come regola di destinazione solo per il traffico in ingresso o in uscita.

Per impostazione predefinita, i tag del servizio riflettono gli intervalli per l'intero cloud. Alcuni tag del servizio consentono un controllo più granulare limitando gli intervalli IP corrispondenti a un'area specificata. Ad esempio, il tag di servizio Archiviazione rappresenta Archiviazione di Azure per l'intero cloud, ma storage.Westus restringe l'intervallo solo agli intervalli di indirizzi IP di archiviazione dall'area WestUS. La tabella seguente indica se ogni tag di servizio supporta tale ambito a livello di area e la direzione elencata per ogni tag è una raccomandazione. Ad esempio, il tag AzureCloud può essere usato per consentire il traffico in ingresso. Nella maggior parte degli scenari non è consigliabile consentire il traffico da tutti gli indirizzi IP di Azure, poiché gli indirizzi IP usati da altri clienti di Azure sono inclusi come parte del tag del servizio.

Tag Scopo È possibile usarlo in ingresso o in uscita? Può essere regionale? È possibile usarlo con Firewall di Azure?
ActionGroup Gruppo di azioni In ingresso No No
Gestione API Traffico per distribuzioni dedicate di Gestione API di Azure.

Nota: questo tag rappresenta l'endpoint di servizio di Azure Gestione API per il piano di controllo per area. Il tag consente ai clienti di eseguire operazioni di gestione sulle API, operazioni, criteri, NamedValues configurate nel servizio Gestione API.
In ingresso
ApplicationInsightsAvailability Disponibilità di Application Insights. In ingresso No No
AppConfiguration Configurazione app In uscita No No
AppService Servizio app di Azure. Questo tag è consigliato per le regole di sicurezza in uscita per le app Web e le app per le funzioni.

Nota: questo tag non include gli indirizzi IP assegnati quando si usa SSL basato su IP (indirizzo assegnato dall'app).
In uscita
AppServiceManagement Traffico di gestione per le distribuzioni dedicate all'ambiente del servizio app. Entrambe No
AutonomousDevelopmentPlatform Piattaforma di sviluppo autonomo Entrambe No
AzureActiveDirectory Azure Active Directory. In uscita No
AzureActiveDirectoryDomainServices Traffico di gestione per le distribuzioni dedicate in Azure Active Directory Domain Services. Entrambe No
AzureAdvancedThreatProtection Azure Advanced Threat Protection In uscita No No
AzureArcInfrastructure Server abilitati per Azure Arc, Kubernetes abilitato per Azure Arc e Traffico di configurazione guest.

Nota: questo tag ha una dipendenza dai tag AzureActiveDirectory, AzureTrafficManager e AzureResourceManager .
In uscita No
AzureAttestation attestazione di Azure. In uscita No
AzureBackup Backup di Azure.

Nota: questo tag ha una dipendenza dai tag Archiviazione e AzureActiveDirectory .
In uscita No
AzureBotService Servizio Azure Bot. In uscita No No
AzureCloud Tutti gli indirizzi IP pubblici dei data center. Entrambe
AzureCognitiveSearch Ricerca cognitiva di Azure

Questo tag o gli indirizzi IP associati possono essere usati per concedere agli indicizzatori l'accesso sicuro alle origini dati. Per altre informazioni sugli indicizzatori, vedere la documentazione sulla connessione dell'indicizzatore.

Nota: l'indirizzo IP del servizio di ricerca non è incluso nell'elenco degli intervalli IP per questo tag di servizio e deve essere aggiunto anche al firewall IP delle origini dati.
In ingresso No No
AzureConnectors Questo tag rappresenta gli indirizzi IP usati per i connettori gestiti che effettuano callback di webhook in ingresso al servizio App per la logica di Azure e chiamate in uscita ai rispettivi servizi, ad esempio Archiviazione di Azure o Hub eventi di Azure. Entrambe
AzureContainerAppsService Servizio App contenitore di Azure Entrambe No
AzureContainerRegistry Registro Azure Container. In uscita
AzureCosmosDB Azure Cosmos DB. In uscita
AzureDatabricks Azure Databricks. Entrambe No No
AzureDataExplorerManagement Gestione Esplora dati di Azure. In ingresso No No
AzureDataLake Azure Data Lake Storage Gen1. In uscita No
AzureDeviceUpdate Aggiornamento del dispositivo per hub IoT. Entrambe No
AzureDevSpaces Azure Dev Spaces. In uscita No No
AzureDevOps Azure DevOps. In ingresso
AzureDigitalTwins Gemelli digitali di Azure.

Nota: questo tag o gli indirizzi IP coperti da questo tag possono essere usati per limitare l'accesso agli endpoint configurati per le route eventi.
In ingresso No
AzureEventGrid Griglia di eventi di Azure. Entrambe No No
AzureFrontDoor.Frontend
AzureFrontDoor.Backend
AzureFrontDoor.FirstParty
Frontdoor di Azure Entrambe No No
AzureHealthcareAPIs Gli indirizzi IP coperti da questo tag possono essere usati per limitare l'accesso a Servizi dati di integrità di Azure. Entrambe No
AzureInformationProtection Azure Information Protection.

Nota: questo tag ha una dipendenza dai tag AzureActiveDirectory, AzureFrontDoor.Frontend e AzureFrontDoor.FirstParty .
In uscita No No
AzureIoTHub Hub IoT di Azure. In uscita No
AzureKeyVault Azure Key Vault.

Nota: questo tag ha una dipendenza dal tag AzureActiveDirectory .
In uscita
AzureLoadBalancer Bilanciamento del carico di infrastruttura di Azure. Viene convertito nell'indirizzo IP virtuale dell'host (168.63.129.16) da cui hanno origine i probe di integrità di Azure. Questo tag include solo il traffico probe, non il traffico reale verso la risorsa back-end. Se non si usa Azure Load Balancer, è possibile ignorare questa regola. Entrambe No No
AzureLoadTestingInstanceManagement Questo tag di servizio viene usato per la connettività in ingresso dal servizio Test di carico di Azure alle istanze di generazione del carico inserite nella rete virtuale nello scenario di test del carico privato.

Nota: Questo tag deve essere usato in Firewall di Azure, NSG, UDR e tutti gli altri gateway per la connettività in ingresso.
No
AzureMachineLearning Azure Machine Learning Entrambe No
AzureMonitor Log Analytics, Application Insights, AzMon e metriche personalizzate (GiG endpoints).

Nota: per Log Analytics, è necessario anche il tag di archiviazione . Se vengono usati agenti Linux, è necessario anche il tag GuestAndHybridManagement .
In uscita No
AzureOpenDatasets Set di dati aperti di Azure.

Nota: questo tag ha una dipendenza dal tag AzureFrontDoor.Frontend e Archiviazione .
In uscita No No
AzurePlatformDNS Servizio DNS dell'infrastruttura di base (impostazione predefinita).

È possibile usare questo tag per disabilitare il DNS predefinito. Prestare attenzione quando si usa questo tag. È consigliabile leggere le considerazioni sulla piattaforma di Azure. È consigliabile inoltre eseguire i test prima di usare questo tag.
In uscita No No
AzurePlatformIMDS Servizio metadati dell'istanza di Azure, un servizio dell'infrastruttura di base.

È possibile usare questo tag per disabilitare il servizio metadati dell'istanza di Azure predefinito. Prestare attenzione quando si usa questo tag. È consigliabile leggere le considerazioni sulla piattaforma di Azure. È consigliabile inoltre eseguire i test prima di usare questo tag.
In uscita No No
AzurePlatformLKM Servizio di gestione delle chiavi o delle licenze Windows.

È possibile usare questo tag per disabilitare le impostazioni predefinite per le licenze. Prestare attenzione quando si usa questo tag. È consigliabile leggere le considerazioni sulla piattaforma di Azure. È consigliabile inoltre eseguire i test prima di usare questo tag.
In uscita No No
AzureResourceManager Azure Resource Manager. In uscita No No
AzureSentinel Microsoft Sentinel. In ingresso No
AzureSignalR Servizio Azure SignalR. In uscita No No
AzureSiteRecovery Azure Site Recovery.

Nota: questo tag ha una dipendenza dai tag AzureActiveDirectory, AzureKeyVault, EventHub, GuestAndHybridManagement e Storage .
In uscita No No
AzureSphere Questo tag o gli indirizzi IP coperti da questo tag possono essere usati per limitare l'accesso ai servizi di sicurezza di Azure Sphere. Entrambe No
AzureStack Servizi di Azure Stack Bridge.
Questo tag rappresenta l'endpoint del servizio Di Azure Stack Bridge per area.
In uscita No
AzureTrafficManager Indirizzi IP di probe di Gestione traffico di Azure.

Per altre informazioni sugli indirizzi IP di probe di Gestione traffico, vedere Domande frequenti su Gestione traffico di Azure.
In ingresso No
AzureUpdateDelivery Per accedere a Windows Aggiornamenti.

Nota: questo tag fornisce l'accesso ai servizi di metadati Windows Update. Per scaricare correttamente gli aggiornamenti, è necessario abilitare anche il tag del servizio AzureFrontDoor.FirstParty e configurare le regole di sicurezza in uscita con il protocollo e la porta definiti come segue:
  • AzureUpdateDelivery: TCP, porta 443
  • AzureFrontDoor.FirstParty: TCP, porta 80
In uscita No No
AzureWebPubSub AzureWebPubSub Entrambe No
BatchNodeManagement Traffico di gestione per le distribuzioni dedicate in Azure Batch. Entrambe No
ChaosStudio Azure Chaos Studio.

Nota: se è stata abilitata l'integrazione di Application Insights nell'agente Chaos, è necessario anche il tag AzureMonitor.
Entrambe No
CognitiveServicesManagement Intervalli di indirizzi per il traffico per Servizi cognitivi di Azure. Entrambe No No
DataFactory Azure Data Factory Entrambe No No
DataFactoryManagement Traffico di gestione per Azure Data Factory. In uscita No No
Dynamics365ForMarketingEmail Intervalli di indirizzi per il servizio di posta elettronica di marketing di Dynamics 365. In uscita No
EOPExternalPublishedIPs Questo tag rappresenta gli indirizzi IP usati per Il Centro conformità sicurezza & PowerShell. Per altre informazioni, fare riferimento al Centro conformità alla sicurezza & di PowerShell usando il modulo EXO V2. Entrambe No
EventHub Hub eventi di Azure. In uscita
GatewayManager Traffico di gestione per le distribuzioni dedicate al Gateway VPN di Azure e al gateway applicazione. In ingresso No No
GuestAndHybridManagement Automazione di Azure e configurazione guest. In uscita No
HDInsight Azure HDInsight. In ingresso No
Internet Spazio di indirizzi IP esterno alla rete virtuale e raggiungibile tramite la rete Internet pubblica.

L'intervallo degli indirizzi include lo spazio degli IP pubblici appartenenti ad Azure.
Entrambe No No
LogicApps App per la logica. Entrambe No No
LogicAppsManagement Traffico di gestione per App per la logica. In ingresso No No
M365ManagementActivityApi L'API attività di gestione Office 365 fornisce informazioni su vari utenti, amministratori, sistema e azioni e eventi dei criteri da Office 365 e log attività di Azure Active Directory. I clienti e i partner possono usare queste informazioni per creare nuove o migliorare le operazioni, la sicurezza e le soluzioni di monitoraggio della conformità esistenti per l'azienda.

Nota: questo tag ha una dipendenza dal tag AzureActiveDirectory .
In uscita No
M365ManagementActivityApiWebhook Le notifiche vengono inviate al webhook configurato per una sottoscrizione quando diventa disponibile un nuovo contenuto. In ingresso No
MicrosoftAzureFluidRelay Questo tag rappresenta gli indirizzi IP usati per Il server di inoltro fluido di Azure Microsoft. In uscita No No
MicrosoftCloudAppSecurity Microsoft Defender for Cloud Apps. In uscita No No
MicrosoftContainerRegistry Registro contenitori per le immagini del contenitore Microsoft.

Nota: questo tag ha una dipendenza dal tag AzureFrontDoor.FirstParty .
In uscita
PowerBI Power BI. Entrambe No No
PowerPlatformInfra Questo tag rappresenta gli indirizzi IP usati dall'infrastruttura per ospitare i servizi Power Platform. In uscita
PowerPlatformPlex Questo tag rappresenta gli indirizzi IP usati dall'infrastruttura per ospitare l'esecuzione dell'estensione di Power Platform per conto del cliente. In ingresso
PowerQueryOnline Power Query online. Entrambe No No
Bus di servizio Traffico del bus di servizio di Azure che usa il livello di servizio Premium. In uscita
ServiceFabric Azure Service Fabric.

Nota: questo tag rappresenta l'endpoint del servizio di Service Fabric per il piano di controllo per ogni area. Ciò consente ai clienti di eseguire operazioni di gestione per i cluster di Service Fabric dall'endpoint della rete virtuale. Ad esempio, https:// westus.servicefabric.azure.com.
Entrambe No No
Sql Azure SQL Database, Database di Azure per MySQL, Database di Azure per PostgreSQL, Database di Azure per MariaDB e Azure Synapse Analytics.

Nota: questo tag rappresenta il servizio, ma non istanze specifiche del servizio. Ad esempio, il tag rappresenta il servizio Database SQL di Azure, ma non uno specifico server o database SQL. Questo tag non si applica all'istanza gestita di SQL.
In uscita
SqlManagement Traffico di gestione per le distribuzioni dedicate SQL. Entrambe No
Storage Archiviazione di Azure.

Nota: questo tag rappresenta il servizio, ma non istanze specifiche del servizio. Ad esempio, il tag rappresenta il servizio Archiviazione di Azure, ma non uno specifico account di archiviazione di Azure.
In uscita
StorageSyncService Servizio di sincronizzazione archiviazione Entrambe No No
WindowsAdminCenter Consentire al servizio back-end di Windows Admin Center di comunicare con l'installazione di Windows Admin Center dei clienti. In uscita No
WindowsVirtualDesktop Desktop virtuale di Azure (in precedenza Desktop virtuale Windows). Entrambe No
VirtualNetwork Spazio di indirizzi della rete virtuale (tutti gli intervalli di indirizzi IP definiti per la rete virtuale), tutti gli spazi di indirizzi locali connessi, reti virtuali con peering, reti virtuali connesse a un gateway di rete virtuale, l'indirizzo IP virtuale dell'host e i prefissi di indirizzo usati nelle route definite dall'utente. Questo tag può contenere anche route predefinite. Entrambe No No

Nota

  • Quando si usano tag di servizio con Firewall di Azure, è possibile creare solo regole di destinazione sul traffico in ingresso e in uscita. Le regole di origine non sono supportate. Per altre informazioni, vedere la documentazione Firewall di Azure Tag di servizio.

  • I tag di servizio per i servizi Azure identificano i prefissi di indirizzo dal cloud specifico in uso. Gli intervalli IP sottostanti, ad esempio, che corrispondono al valore del tag Sql nel cloud pubblico di Azure, sono diversi dagli intervalli sottostanti nel cloud di Azure Cina.

  • Se si implementa un endpoint servizio di rete virtuale per un servizio come Archiviazione di Azure o Database SQL di Azure, Azure aggiunge una route a una subnet di rete virtuale per il servizio. I prefissi di indirizzo nella route sono gli stessi prefissi di indirizzo o intervalli CIDR di quelli del tag di servizio corrispondente.

Tag supportati nel modello di distribuzione classica

Il modello di distribuzione classica (prima di Azure Resource Manager) supporta un piccolo subset dei tag elencati nella tabella precedente. I tag nel modello di distribuzione classica vengono digitati in modo diverso, come illustrato nella tabella seguente:

tag Resource Manager Tag corrispondente nel modello di distribuzione classica
AzureLoadBalancer AZURE_LOADBALANCER
Internet INTERNET
VirtualNetwork VIRTUAL_NETWORK

Tag del servizio in locale

È possibile ottenere il tag del servizio e le informazioni sull'intervallo correnti da includere nell'ambito delle configurazioni del firewall locale. Tali informazioni rappresentano l'elenco temporizzato corrente degli intervalli IP che corrispondono a ogni tag del servizio. È possibile ottenere le informazioni a livello di codice o tramite un download di file JSON, come descritto nelle sezioni seguenti.

Usare l'API di individuazione tag del servizio

È possibile recuperare l'elenco corrente dei tag di servizio a livello di codice insieme ai dettagli dell'intervallo di indirizzi IP:

Ad esempio, per recuperare tutti i prefissi per il tag del servizio di archiviazione, è possibile usare i cmdlet di PowerShell seguenti:

$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes

Nota

  • I dati dell'API rappresentano i tag che possono essere usati con le regole del gruppo di sicurezza di rete nell'area. Usare i dati dell'API come origine della verità per i tag di servizio disponibili perché possono essere diversi dal file scaricabile JSON.
  • La propagazione dei dati dei nuovi tag di servizio nei risultati dell'API in tutte le aree di Azure richiede fino a 4 settimane. A causa di questo processo, i risultati dei dati dell'API potrebbero non essere sincronizzati con il file JSON scaricabile perché i dati dell'API rappresentano un subset dei tag attualmente presenti nel file JSON scaricabile.
  • È necessario essere autenticati e avere un ruolo con autorizzazioni di lettura per la sottoscrizione corrente.

Individuare i tag del servizio tramite file JSON scaricabili

È possibile scaricare i file JSON che contengono l'elenco corrente dei tag del servizio insieme ai dettagli dell'intervallo di indirizzi IP. Tali elenchi vengono aggiornati e pubblicati settimanalmente. Le località per ogni cloud sono le seguenti:

Gli intervalli di indirizzi IP in questi file si trovano nella notazione CIDR.

I tag AzureCloud seguenti non hanno nomi di area formattati in base allo schema normale:

  • AzureCloud.centralfrance (FranceCentral)
  • AzureCloud.southfrance (FranceSouth)
  • AzureCloud.germanywc (GermaniaWestCentral)
  • AzureCloud.germanyn (GermaniaNorth)
  • AzureCloud.norvegiae (NorvegiaEast)
  • AzureCloud.norwayw (NorvegiaWest)
  • AzureCloud.switzerlandn (SvizzeraNorth)
  • AzureCloud.switzerlandw (SvizzeraWest)
  • AzureCloud.usstagee (EastUSSTG)
  • AzureCloud.usstagec (SouthCentralUSSTG)

Nota

Un subset di queste informazioni è stato pubblicato in file XML per Azure Public, Azure Cina e Azure Germania. Tali download XML saranno deprecati entro il 30 giugno 2020 e non saranno più disponibili dopo tale data. È consigliabile eseguire la migrazione usando l'API di individuazione o i download di file JSON come descritto nelle sezioni precedenti.

Suggerimento

  • È possibile rilevare gli aggiornamenti da una pubblicazione alla successiva annotando un aumento dei valori changeNumber nel file JSON. In ogni sottosezione (ad esempio storage.Westus) è presente il valore changeNumber che viene incrementato quando si verificano modifiche. Il primo livello del valore changeNumber del file viene incrementato quando una delle sottosezioni viene modificata.

  • Per esempi di come analizzare le informazioni sui tag del servizio (ad esempio per ottenere tutti gli intervalli di indirizzi per l'archiviazione in WestUS), vedere la documentazione dell'API di individuazione del tag del servizio in PowerShell.

  • Quando vengono aggiunti nuovi indirizzi IP ai tag del servizio, non verranno usati in Azure per almeno una settimana. In questo modo è possibile aggiornare tutti i sistemi che potrebbero dover tenere traccia degli indirizzi IP associati ai tag del servizio.

Passaggi successivi