IoT Device Provisioning Service のパブリック ネットワーク アクセスを管理する
VNet 内の DPS のプライベート エンドポイントへのアクセスを制限するには、パブリック ネットワーク アクセスを無効にします。 そうするには、Azure portal または publicNetworkAccess
API を使用します。 ポータルまたは publicNetworkAccess
API を使用してパブリック アクセスを許可することもできます。
Azure portal を使用してパブリック ネットワーク アクセスを無効にする
パブリック ネットワーク アクセスを無効にするには:
Azure portal にサインインします。
左側のメニューまたはポータル ページで、 [すべてのリソース] を選択します。
ご利用の Device Provisioning Service を選択します。
左側の [設定] メニューで [ネットワーク] を選択します。
[パブリック ネットワーク アクセス] で [無効] を選択します
[保存] を選択します。
パブリック ネットワーク アクセスを有効にするには:
- [すべてのネットワーク] を選択します。
- [保存] を選択します。
パブリック ネットワーク アクセスの制限を無効にする
パブリック ネットワーク アクセスが無効になっている場合は、次の制限事項に注意してください。
DPS インスタンスには、Azure Private Link を使用して、その VNet プライベート エンドポイントからのみアクセスできます。
Azure portal を使用して DPS インスタンスの登録を管理することはできなくなります。 代わりに、DPS インスタンスで構成された仮想ネットワーク内のマシンから、Azure CLI、PowerShell、またはサービス API を使用して登録を管理できます。 詳細については、「プライベート エンドポイントの制限事項」を参照してください。
パブリック ネットワーク アクセスを無効にした後の DPS エンドポイント、IP アドレス、ポート
DPS はマルチテナントのサービスとしてのプラットフォーム (PaaS) であるため、異なる顧客がコンピューティング、ネットワーク、ストレージのハードウェア リソースの同じプールを共有します。 DPS のホスト名は、インターネット経由でパブリックにルーティング可能な IP アドレスを持つパブリック エンドポイントにマップされます。 異なる顧客がこの DPS パブリック エンドポイントを共有します。ワイドエリア ネットワークとオンプレミス ネットワーク内の IoT デバイスは、すべてこの DPS パブリック エンドポイントにアクセスできます。
パブリック ネットワーク アクセスの無効化は、特定の DPS リソースに適用され、分離が保証されます。 パブリック パスを使用して他のカスタマー リソースに対してサービスをアクティブな状態に保つために、パブリック エンドポイントは解決可能な状態のままで、IP アドレスは検出可能で、ポートは開いたままになります。 テナント間の完全な分離を実現するために、Microsoft では複数のセキュリティ層が統合されるため、これは問題ではありません。 詳細については、「Azure Public Cloud での分離」を参照してください。
IP フィルター
パブリック ネットワーク アクセスが無効になっている場合、すべての IP フィルター規則は無視されます。 これは、パブリック インターネットからのすべての IP がブロックされるためです。 IP フィルターを使用するには、 [Selected IP ranges](選択された IP 範囲) オプションを使用します。
すべてのネットワーク範囲を有効にする
すべてのネットワーク範囲を有効にするには:
- Azure portal に移動します。
- 左側のメニューまたはポータル ページで、 [すべてのリソース] を選択します。
- ご利用の Device Provisioning Service を選択します。
- 左側の [設定] メニューで [ネットワーク] を選択します。
- [パブリック ネットワーク アクセス] で [すべてのネットワーク] を選択します
- [保存] を選択します。