FQDN タグの概要
FQDN タグは、よく知られている Microsoft サービスに関連付けられた完全修飾ドメイン名 (FQDN) のグループを表します。 アプリケーション ルールで FQDN タグを使用すると、必要な送信ネットワーク トラフィックがファイアウォールを通過するのを許可できます。
たとえば、Windows Update ネットワーク トラフィックがファイアウォールを通過するのを手動で許可するには、Microsoft のドキュメントに従って複数のアプリケーション規則を作成する必要があります。 FQDN タグを使用すると、Windows Updates タグを含むアプリケーション ルールを作成できるため、Microsoft Windows Update エンドポイントへのネットワーク トラフィックがファイアウォールを通過できるようになります。
独自の FQDN タグを作成することも、タグに含める FQDN を指定することもできません。 Microsoft では、FQDN タグに含まれる FQDN を管理し、FQDN の変更に合わせてタグを更新しています。
次の表に、現在使用できる FQDN タグを示します。 これらのタグは Microsoft によって管理されており、定期的に追加される予定です。
現在の FQDN タグ
FQDN タグ | 説明 |
---|---|
WindowsUpdate | 「ソフトウェアの更新用にファイアウォールを構成する方法」で説明されているように、Microsoft Update への発信アクセスを許可します。 |
WindowsDiagnostics | すべての Windows 診断のエンドポイントへの発信アクセスを許可します。 |
MicrosoftActiveProtectionService (MAPS) | MAPS への発信アクセスを許可します。 |
AppServiceEnvironment (ASE) | ASE プラットフォーム トラフィックへの発信アクセスを許可します。 このタグの対象には、ASE によって作成されたお客様固有のストレージ エンドポイントおよび SQL エンドポイントは含まれません。 これらは、サービス エンドポイントを使用して有効にするか、手動で追加する必要があります。 Azure Firewall と ASE の統合の詳細については、「App Service 環境をロックする」を参照してください。 |
AzureBackup | Azure Backup サービスへの発信アクセスを許可します。 |
AzureHDInsight | HDInsight プラットフォーム トラフィックへの発信アクセスを許可します。 このタグでは、HDInsight からのお客様固有のストレージ トラフィックまたは SQL トラフィックは対象になりません。 サービス エンドポイントを使用してこれらを有効にするか、手動で追加します。 |
WindowsVirtualDesktop | Azure Virtual Desktop (旧称 Windows Virtual Desktop) プラットフォームの送信トラフィックを許可します。 このタグの対象には、Azure Virtual Desktop によって作成されたデプロイ固有のストレージと Service Bus エンドポイントは含まれません。 また、DNS および KMS ネットワーク ルールが必要です。 Azure Firewall と Azure Virtual Desktop の統合の詳細については、「Azure Firewall を使用して Azure Virtual Desktop のデプロイを保護する」を参照してください。 |
AzureKubernetesService (AKS) | AKS への発信アクセスを許可します。 詳細については、「Azure Firewall を使用して Azure Kubernetes Service (AKS) のデプロイを保護する」を参照してください。 |
Office365 例: Office365.Skype.Optimize |
いくつかの Office 365 タグを使用すると、Office 365 製品およびカテゴリによる送信アクセスを許可できます。 詳細については、「Azure Firewall を使用して Office 365 を保護する」を参照してください。 |
Windows365 | Microsoft Intune のネットワーク エンドポイントを除き、Windows 365 への送信通信を許可します。 ポート 5671 への送信通信を許可するには、別のネットワーク規則を作成します。 詳細については、Windows 365 のネットワーク要件を確認してください。 |
MicrosoftIntune | マネージド デバイスに対して Microsoft Intune へのアクセスを許可します。 |
citrixHdxPlusForWindows365 | Citrix HDX Plus を使用する場合は必須です。 |
Note
アプリケーション ルールで FQDN タグを選択する場合は、[プロトコル:ポート] フィールドを [https] に設定する必要があります。
次のステップ
Azure ファイアーウォールのデプロイ方法については、「Tutorial: Deploy and configure Azure Firewall using the Azure portal (チュートリアル: Azure portal を使用して Azure Firewall のデプロイと構成を行う)」を参照してください。