Azure Monitor エンドポイントのアクセスとファイアウォールの構成

2025-07-02

監視対象のアプリケーションまたはインフラストラクチャがファイアウォールの内側にある場合は、 Azure Monitor サービスとの通信を許可するようにネットワークアクセスを構成する必要があります。

Azure Monitor では、サービスタグを使用します。このタグを使用すると、ネットワークアクセスをより信頼性が高く動的に管理できます。サービスタグは定期的に更新され、API を介して取得できるため、手動で更新しなくても、使用可能な最新の IP アドレス情報を確実に取得できます。

Azure ネットワークセキュリティグループを使用している場合は、Azure ネットワークサービスタグを使用してアクセスを管理できます。ハイブリッドリソースまたはオンプレミスリソースの場合は、同等の IP アドレス一覧を JSON ファイルとしてダウンロードできます。これは毎週更新されます。必要なすべての例外をカバーするには、サービスタグ ActionGroup、 ApplicationInsightsAvailability、および AzureMonitorを使用します。詳細については、「 Azure サービスタグの概要」を参照してください。

注

Application Insights のすべてのトラフィックは、可用性の監視と Webhook アクショングループを除く送信トラフィックを表します。このグループには受信ファイアウォール規則も必要です。
サービスタグは、顧客の Azure リソースと他のサービスタグリソース間のテナント間通信に必要な検証/認証チェックを置き換えるわけではありません。

送信ポート

Application Insights SDK や Application Insights エージェントがポータルにデータを送信できるように、サーバーのファイアウォールでいくつかの送信ポートを開く必要があります。

目的	ホスト名	タイプ	ポート
テレメトリ	`dc.applicationinsights.azure.com` `dc.applicationinsights.microsoft.com` `dc.services.visualstudio.com` `{region}.in.applicationinsights.azure.com`	グローバルグローバルグローバル地域	443
ライブメトリック	`live.applicationinsights.azure.com` `rt.applicationinsights.microsoft.com` `rt.services.visualstudio.com` `{region}.livediagnostics.monitor.azure.com` `{region}`の例:`westus2`	グローバルグローバルグローバル地域	443

注

Application Insights インジェストエンドポイントは IPv4 のみです。
Azure Government では、.usではなく、最上位ドメイン .comが使用されます。 Azure パブリックエンドポイントと Azure Government エンドポイントを一般的な Azure サービスと比較します。

Application Insights エージェント

Application Insights エージェントの構成は変更を加えている場合にのみ必要です。

目的	ホスト名	ポート
コンフィギュレーション	`management.core.windows.net`	`443`
コンフィギュレーション	`management.azure.com`	`443`
コンフィギュレーション	`login.windows.net`	`443`
コンフィギュレーション	`login.microsoftonline.com`	`443`
コンフィギュレーション	`secure.aadcdn.microsoftonline-p.com`	`443`
コンフィギュレーション	`auth.gfx.ms`	`443`
コンフィギュレーション	`login.live.com`	`443`
取り付け	`globalcdn.nuget.org`、 `packages.nuget.org` 、`api.nuget.org/v3/index.jsonnuget.org`、 `api.nuget.org`、 `dc.services.vsallin.net`	`443`

可用性テスト

可用性テストの詳細については、「 Private 可用性テストを参照してください。

クエリ API エンドポイントをログに記録する

2025 年 7 月 1 日以降、Log Analytics では、セキュリティで保護された通信のために TLS 1.2 以降が適用されます。詳細については、「転送中のセキュリティで保護されたログデータ」を参照してください。

目的	ホスト名	ポート
Application Insights	`api.applicationinsights.io` `api1.applicationinsights.io` `api2.applicationinsights.io` `api3.applicationinsights.io` `api4.applicationinsights.io` `api5.applicationinsights.io` `api.applicationinsights.azure.com` `*.api.applicationinsights.azure.com`	443
Log Analytics	`api.loganalytics.io` `.api.loganalytics.io` `api.loganalytics.azure.com` `api.monitor.azure.com` `.api.monitor.azure.com`	443
Azure Data Explorer	`ade.loganalytics.io` `ade.applicationinsights.io` `adx.monitor.azure.com` `.adx.monitor.azure.com` `.adx.applicationinsights.azure.com` `adx.applicationinsights.azure.com` `adx.loganalytics.azure.com` `*.adx.loganalytics.azure.com`	443

インジェスト API エンドポイントをログに記録する

2026 年 3 月 1 日以降、ログインジェストでは、セキュリティで保護された通信に TLS 1.2 以降が適用されます。詳細については、「転送中のセキュリティで保護されたログデータ」を参照してください。

目的	ホスト名	ポート
ログインジェスト API	`.ingest.monitor.azure.com` `prod.la.ingest.monitor.core.windows.NET` `.prod.la.ingestion.msftcloudes.com` `prod.la.ingestion.msftcloudes.com` `*.prod.la.ingest.monitor.core.windows.NET`	443

Application Insights 分析

目的	ホスト名	ポート
CDN (コンテンツ配信ネットワーク)	`applicationanalytics.azureedge.net`	80,443
メディア CDN	`applicationanalyticsmedia.azureedge.net`	80,443

Application Insights チームは、*.applicationinsights.io ドメインを所有しています。

Log Analytics ポータル

目的	ホスト名	ポート
Portal	`portal.loganalytics.io`	443

Log Analytics チームは、*.loganalytics.io ドメインを所有しています。

Application Insights Azure portal 拡張機能

目的	ホスト名	ポート
Application Insights 拡張機能	`stamp2.app.insightsportal.visualstudio.com`	80,443
Application Insights 拡張機能 CDN	`insightsportal-prod2-cdn.aisvc.visualstudio.com` `insightsportal-prod2-asiae-cdn.aisvc.visualstudio.com` `insightsportal-cdn-aimon.applicationinsights.io`	80,443

Application Insights SDK (ソフトウェア開発キット)

目的	ホスト名	ポート
Application Insights JS SDK CDN	`az416426.vo.msecnd.net` `js.monitor.azure.com`	80,443

アクショングループ Webhook

アクショングループによって使用される IP アドレスの一覧は、Get-AzNetworkServiceTag PowerShell コマンドを使用して問い合わせることができます。

アクショングループサービスタグ

ソース IP アドレスの変更管理には、時間がかかることがあります。 "サービスタグ" を使用すると、構成を更新する必要がなくなります。サービスタグは、特定の Azure サービスからの IP アドレスプレフィックスのグループを表します。 Microsoft は IP アドレスを管理し、アドレスが変更されたとき、サービスタグを自動更新します。アクショングループのネットワークセキュリティ規則を更新する必要はありません。

[Azure サービス] の下の Azure portal で、[ネットワークセキュリティグループ] を検索します。
[追加] を選択して、ネットワークセキュリティグループを作成します。
1. リソースグループ名を追加し、[インスタンスの詳細]の情報を入力します。
2. [確認と作成]、[作成] の順に選択します。
[リソースグループ] に移動し、作成したネットワークセキュリティグループを選択します。
1. [受信セキュリティ規則] を選択します。
2. [] を選択し、[] を追加します。
右側のペインに新しいウィンドウが開きます。
1. [ソース] に「サービスタグ」と入力します。
2. [ソースサービスタグ] に「ActionGroup」と入力します。
3. [] を選択し、[] を追加します。

Application Insights Profiler for .NET

目的	ホスト名	ポート
エージェント	`agent.azureserviceprofiler.net` `*.agent.azureserviceprofiler.net` `profiler.monitor.azure.com`	443
Portal	`gateway.azureserviceprofiler.net` `dataplane.diagnosticservices.azure.com`	443
Storage	`*.core.windows.net`	443

スナップショットデバッガー

注

Application Insights Profiler for .NET とスナップショットデバッガーは、同じ IP アドレスのセットを共有します。

目的	ホスト名	ポート
エージェント	`agent.azureserviceprofiler.net` `*.agent.azureserviceprofiler.net` `snapshot.monitor.azure.com`	443
Portal	`gateway.azureserviceprofiler.net` `dataplane.diagnosticservices.azure.com`	443
Storage	`*.core.windows.net`	443

よく寄せられる質問

このセクションでは、一般的な質問への回答を示します。

イントラネット Web サーバーを監視できますか?

はい。ただし、ファイアウォール例外またはプロキシリダイレクトによってサービスへのトラフィックを許可する必要があります。

サービスと IP アドレスの全一覧については、「Azure Monitor で使用される IP アドレス」を参照してください。

インターネット上でサーバーからゲートウェイにトラフィックを再ルーティングするにはどうすればよいですか?

構成内のエンドポイントを上書きすることによって、ご利用のサーバーからのトラフィックをイントラネット上のゲートウェイにルーティングします。 Endpointプロパティが構成に存在しない場合、これらのクラスは、Azure Monitor で使用される IP アドレスに記載されている既定値を使用します。

ご利用のゲートウェイは、Microsoft のエンドポイントのベースアドレスにトラフィックをルーティングする必要があります。構成内の既定値を http://<your.gateway.address>/<relative path> に置き換えてください。

製品がサービスタグをサポートしていない場合はどうなりますか?

製品がサービスタグをサポートしていない場合は、完全な接続を確保するために次の手順を実行します。

ダウンロード可能な Azure IP 範囲とサービスタグ JSON ファイルの最新の IP 範囲を確認します。これは毎週更新されます。
ブロックされた要求のファイアウォールログを確認し、必要に応じて許可リストを更新します。

詳細については、「 Azure サービスタグの概要」を参照してください。