Azure Monitorのプライベート リンクを構成する

この記事では、複数のメソッドを使用して Azure Monitor Private Link Scope (AMPLS) を作成および構成する手順について詳しく説明します。

Azure Private Linkのインスタンスを構成するには、次の手順が必要です。 これらの各手順については、以下のセクションで詳しく説明します。

  1. Azure Monitor Private Link スコープ (AMPLS)を作成します。
  2. AZURE MONITOR リソースを AMPLS
  3. AMPLS をプライベート エンドポイントに接続します

Azure ポータルの Monitor メニューから、Private Link Scopes を選択し、Create を選択します。

スクリーンショットは、Azure Monitor プライベート リンク スコープを作成するオプションを示しています。

[基本] タブ

次の表では、AMPLS の作成時に設定する必要があるプロパティについて説明します。 [ 次へ: 確認と作成 ] を選択して AMPLS を作成します。

Azure Monitor Private Link Scope の作成を示すスクリーンショット。

プロパティ Description
Subscription 使用するAzure サブスクリプションを選択します。
リソース グループ 既存のリソース グループを選択するか、新しいリソース グループを作成します。
名前 AMPLS の名前を入力します。 名前は、選択したリソース グループ内で一意である必要があります。
クエリ アクセス モード
インジェスト アクセス モード		 AMPLS の アクセス モード を選択します。 Open:Private Link スコープを介して接続されていないパブリック ネットワークからのクエリを許可するか、接続されたプライベート ネットワークからのクエリのみを許可するPrivateOnly。 この設定は、後で AMPLS 自体に対して、または接続されている別のプライベート エンドポイントに対して変更できます。

リソースを AMPLS に接続する

AMPLS が作成されたら、Azure Monitorリソースを追加できます。 これらのリソースは、接続されている VNet 上のすべてのリソースで使用できます。 AMPLS に追加できるリソースの説明については、AMPLS を参照してください。

AMPLS のメニューから、Azure Monitor Resources を選択し、Add を選択します。 コンポーネントを選択し、[適用] を選択してコンポーネントをスコープに追加します。 Log Analytics ワークスペースやデータ収集エンドポイント (DCE) を含むAzure Monitorリソースのみを使用できます。

Azure MonitorリソースをAMPLSに追加することを示すスクリーンショット

Azure Monitorリソースを削除するには、まず、そのリソースが接続されているすべての AMPLS オブジェクトからリソースを切断する必要があります。 AMPLS に接続されているリソースを削除することはできません。

AMPLS をプライベート エンドポイントに接続する

AMPLS を VNet に接続するには、プライベート エンドポイントが必要です。 プライベート エンドポイントは、VNet 内の Azure サービス用の特別なネットワーク インターフェイスです。 プライベート エンドポイントには、VNet の IP アドレス範囲から IP アドレスが割り当てられます。 このプライベート エンドポイントが作成されると、AMPLS に接続されているすべてのリソースに、プライベート エンドポイントを介して VNet からアクセスできるようになります。

プライベート エンドポイントの詳細については、「ポータルを使用してプライベート エンドポイントを作成するAzureを参照してください。

AMPLS のメニューから、[プライベート エンドポイント接続][プライベート エンドポイント] の順に選択します。 Private Link センターで開始された接続を承認することもできます。その場合は、Approve を選択します。

プライベート エンドポイント接続の作成を示すスクリーンショット。

[基本] タブ

[ 基本 ] タブには、プライベート エンドポイントの一意の名前を含む一般的な情報があります。

プライベート エンドポイントの作成の [基本] タブを示すスクリーンショット。

プロパティ Description
Subscription エンドポイントに使用するサブスクリプションを選択します。
リソースグループ エンドポイント グループの既存のリソースを選択するか、新しいリソースを作成します。
氏名 プライベート エンドポイントの名前を入力します。 名前は、選択したリソース グループ内で一意である必要があります。
ネットワーク インターフェイス名 プライベート エンドポイント用に作成されたネットワーク インターフェイスの名前を入力します。
リージョン プライベート エンドポイントを作成するリージョンを選択します。 リージョンは、接続先の仮想ネットワークと同じにする必要があります。

[リソース] タブ

テキスト ボックスからリソースを選択するか、リソース ID またはエイリアスで Azure リソースに接続します。 AMPLS のリソース ID を貼り付けます。

リソース] タブが選択されたAzure ポータルの [プライベート エンドポイントの作成] ページを示すスクリーンショット。

プロパティ Description
AMPLS を含むサブスクリプション。
リソースの種類 Microsoft.insights/privateLinkScopes
リソース あなたの AMPLS の名前
ターゲット サブリソース azuremonitor

[Virtual Network] タブ

[Virtual Network] タブでは、プライベート エンドポイントを接続する VNet とサブネットを選択できます。

Azure ポータルで [Virtual Network] タブが選択された [プライベート エンドポイントの作成] ページを示すスクリーンショット。

プロパティ Description
仮想ネットワーク
サブネット		 Azure Monitor リソースに接続するリソースを含む仮想ネットワークとサブネット。
プライベート エンドポイントのネットワーク ポリシー プライベート エンドポイントを含むサブネットにネットワーク セキュリティ グループまたはルート テーブルを適用する場合は、[ 編集] を選択します。 詳細については、 プライベート エンドポイントのネットワーク ポリシーの管理に関するページを 参照してください。
プライベート IP 構成 既定では、[ IP アドレスを動的に割り当てる ] が選択されています。 静的 IP アドレスを割り当てる場合は、[IP アドレスを静的に割り当てる] を選択し、名前とプライベート IP を入力します。
アプリケーション セキュリティ グループ 必要に応じて、仮想マシンをグループ化し、それらのグループに基づいてネットワーク セキュリティ ポリシーを定義するアプリケーション セキュリティ グループを作成します。

[DNS] タブ

[ DNS ] タブでは、プライベート エンドポイントのプライベート DNS ゾーンを自動的に作成するかどうかを選択できます。 このプライベート DNS ゾーンには、VNet からのトラフィックをプライベート リンク経由でAzure Monitorするために必要な DNS レコードが含まれます。

DNS タブが選択されたAzure ポータルの [プライベート エンドポイントの作成] ページを示すスクリーンショット。

プロパティ Description
プライベート DNS ゾーンとの統合 新しいプライベート DNS ゾーンを自動的に作成するには、[ はい ] を選択します。 実際の DNS ゾーンは、次のスクリーンショットとは異なる場合があります。

DNS レコードを手動で管理する場合は、まずプライベート リンクの設定を完了します。 このプライベート エンドポイントと AMPLS 構成を含め、Azure プライベート エンドポイントの DNS 構成の手順に従って DNS を構成します。 プライベート リンクのセットアップの準備として空のレコードを作成しないようにしてください。 作成した DNS レコードは、既存の設定をオーバーライドし、Azure Monitorを使用した接続に影響を与えることができます。

プライベート DNS ゾーンとの統合を選択し、独自のカスタム DNS サーバーを使用しているかどうかに関係なく、Azure プライベート エンドポイント DNS 構成で説明されているパブリック DNS ゾーン フォワーダーの条件付きフォワーダーを設定する必要があります。 条件付きフォワーダーは、DNS クエリを Azure DNS に転送する必要があります。

プライベート エンドポイントのアクセス モードを構成する

プライベート リンクで AMPLS の既定値とは異なる アクセス モード を使用する場合は、AMPLS の [アクセス モード ] メニューから構成します。 [ 除外 ] セクションで、インジェストとクエリのプライベート エンドポイントとアクセス モードを選択します。

ネットワークの分離を示すスクリーンショット。


ARM テンプレートの展開

次の ARM テンプレートでは、次のことが実行されます。

  • クエリとインジェストのアクセス モードが "my-scope" に設定された、Open という名前の AMPLS。
  • "my-workspace" という名前のLog Analytics ワークスペース。
  • "my-scope" という名前のスコープ付きリソースの "my-workspace-connection" AMPLS への追加。
{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "private_link_scope_name": {
            "defaultValue": "my-scope",
            "type": "String"
        },
        "workspace_name": {
            "defaultValue": "my-workspace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "microsoft.insights/privatelinkscopes",
            "apiVersion": "2023-06-01-preview",
            "name": "[parameters('private_link_scope_name')]",
            "location": "global",
            "properties": {
                "accessModeSettings":{
                    "queryAccessMode":"Open",
                    "ingestionAccessMode":"Open"
                }
            }
        },
        {
            "type": "microsoft.operationalinsights/workspaces",
            "apiVersion": "2025-07-01",
            "name": "[parameters('workspace_name')]",
            "location": "westeurope",
            "properties": {
                "sku": {
                    "name": "pergb2018"
                },
                "publicNetworkAccessForIngestion": "Enabled",
                "publicNetworkAccessForQuery": "Enabled"
            }
        },
        {
            "type": "microsoft.insights/privatelinkscopes/scopedresources",
            "apiVersion": "2023-06-01-preview",
            "name": "[concat(parameters('private_link_scope_name'), '/', concat(parameters('workspace_name'), '-connection'))]",
            "dependsOn": [
                "[resourceId('microsoft.insights/privatelinkscopes', parameters('private_link_scope_name'))]",
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            ],
            "properties": {
                "linkedResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspace_name'))]"
            }
        }
    ]
}

Bicepテンプレートを展開

次のBicep テンプレートでは、次の処理が実行されます。

  • クエリとインジェストのアクセス モードが 'my-scope' に設定された、Open という名前の AMPLS。
  • 'my-workspace' という名前のLog Analytics ワークスペース。
  • 'my-scope' という名前のスコープ付きリソースの 'my-workspace-connection' AMPLS への追加。
param private_link_scope_name string = 'my-scope'
param workspace_name string = 'my-workspace'

resource private_link_scope_name_resource 'microsoft.insights/privatelinkscopes@2023-06-01-preview' = {
    name: private_link_scope_name
    location: 'global'
    properties: {
        accessModeSettings: {
            queryAccessMode: 'Open'
            ingestionAccessMode: 'Open'
        }
    }
}

resource workspace_name_resource 'microsoft.operationalinsights/workspaces@2025-07-01' = {
    name: workspace_name
    location: 'westeurope'
    properties: {
        sku: {
            name: 'pergb2018'
        }
        publicNetworkAccessForIngestion: 'Enabled'
        publicNetworkAccessForQuery: 'Enabled'
    }
}

resource private_link_scope_name_workspace_name_connection 'microsoft.insights/privatelinkscopes/scopedresources@2023-06-01-preview' = {
    parent: private_link_scope_name_resource
    name: '${workspace_name}-connection'
    properties: {
        linkedResourceId: workspace_name_resource.id
    }
}

AMPLS の構成を確認および検証する

このセクションの手順に従って、プライベート リンクのセットアップを確認し、検証します。

エンドポイントの DNS 設定を確認する

この記事で作成したプライベート エンドポイントには、次の 5 つの DNS ゾーンが構成されています。

  • privatelink.monitor.azure.com
  • privatelink.oms.opinsights.azure.com
  • privatelink.ods.opinsights.azure.com
  • privatelink.agentsvc.azure-automation.net
  • privatelink.blob.core.windows.net

これらの各ゾーンは、仮想ネットワークの IP プールからプライベート IP に特定のAzure Monitor エンドポイントをマップします。 以下の画像に示されている IP アドレスは単なる例です。 実際の構成では、代わりに、独自のネットワークからのプライベート IP が表示されるはずです。

このゾーンは、Azure Monitorによって使用されるグローバル エンドポイントを対象とします。つまり、エンドポイントはリソース固有の要求ではなく、グローバル/リージョンで要求を処理します。 このゾーンには、次のエンドポイントがマップされている必要があります。

  • in.ai: Application Insights インジェスト エンドポイント (グローバルおよびリージョン両方のエントリ)
  • api: Application Insights と Log Analytics API エンドポイント。
  • live: Application Insights ライブ メトリクス エンドポイント
  • profiler: .NET エンドポイント用の Application Insights Profiler。
  • snapshot: Application Insights スナップショット エンドポイント
  • diagservices-query: .NETデバッガーとスナップショット デバッガー用の Application Insights Profiler (Azure ポータルでプロファイラー/デバッガーの結果にアクセスするときに使用されます)。

このゾーンでは、次の DCE のリソース固有のエンドポイントも対象とします。

  • <unique-dce-identifier>.<regionname>.handler.control: プライベート構成エンドポイント (DCE リソースの一部)

  • <unique-dce-identifier>.<regionname>.ingest: プライベート インジェスト エンドポイント (DCE リソースの一部)

    プライベートDNSゾーン monitor-azure-com を示すスクリーンショット

Log Analytics エンドポイント

Log Analyticsでは、次の 4 つの DNS ゾーンを使用します。

  • privatelink-oms-opinsights-azure-com: AMA エンドポイントへのワークスペース固有のマッピングについて説明します。 このプライベート エンドポイントに接続されている AMPLS にリンクされた各ワークスペースのエントリが表示されます。
  • privatelink-ods-opinsights-azure-com: Log Analyticsのインジェスト エンドポイントである ODS エンドポイントへのワークスペース固有のマッピングについて説明します。 このプライベート エンドポイントに接続されている AMPLS にリンクされた各ワークスペースのエントリが表示されます。
  • privatelink-agentsvc-azure-automation-net*: エージェント サービス オートメーション エンドポイントへのワークスペース固有のマッピングを対象とします。 このプライベート エンドポイントに接続されている AMPLS にリンクされた各ワークスペースのエントリが表示されます。
  • privatelink-blob-core-windows-net: グローバル エージェントのソリューション パックのストレージ アカウントに対する接続を構成します。 これにより、エージェントは、新規または更新されたソリューション パック (管理パックとも呼ばれます) をダウンロードできます。 使用されているワークスペースの数に関係なく、すべてのLog Analytics エージェントを処理するために必要なエントリは 1 つだけです。 このエントリは、2021 年 4 月 19 日以降 (または Azure ソブリン クラウドで 2021 年 6 月以降) に作成されたプライベート リンクのセットアップにのみ追加されます。

次のスクリーンショットは、米国東部に 2 つのワークスペースを持ち、西ヨーロッパに 1 つのワークスペースを持つ AMPLS にマップされたエンドポイントを示しています。 米国東部のワークスペースが IP アドレスを共有していることに注意してください。 西ヨーロッパのワークスペース エンドポイントは別の IP アドレスにマップされています。 BLOB エンドポイントはこの画像には表示されていませんが、構成されています。

プライベートリンクの圧縮されたエンドポイントを示すスクリーンショット。

AMPLS 経由の通信を検証する

  • 要求がプライベート エンドポイントを介して送信されるようになったことを検証するには、ブラウザーまたはネットワーク追跡ツールを使用して確認します。 たとえば、ご利用のワークスペースまたはアプリケーションに対してクエリを試みる場合は、API エンドポイントにマップされたプライベート IP に要求が送信されることを確認します。 この例では、172.17.0.9 です。

ブラウザーによっては、他の DNS 設定が使用されます。 詳細については、「ブラウザーの DNS 設定」を参照してください。 目的の DNS 設定が適用されていることを確認します。

  • ワークスペースまたはコンポーネントが (AMPLS 経由で接続されていない) パブリック ネットワークから要求を受信していないことを確認するには、「プライベート エンドポイントのアクセス モードを構成する」で説明されているように、リソースのパブリック インジェストとクエリ フラグを [いいえ] に設定します。

  • ご利用の保護されたネットワーク上のクライアントから、nslookup を、ご利用の DNS ゾーンに一覧表示されている任意のエンドポイントに対して使用します。 それは、既定で使用されるパブリック IP ではなく、マップされたプライベート IP に、DNS サーバーによって解決される必要があります。

ローカルでのテスト

ネットワーク上の他のクライアントに影響を与えずにプライベート リンクをローカルでテストするには、プライベート エンドポイントを作成するときに DNS を更新しないようにしてください。 代わりに、お使いのマシン上の hosts ファイルを編集して、プライベート リンク エンドポイントに要求が送信されるようにします。

  • プライベート リンクを設定しますが、プライベート エンドポイントに接続する際に、DNS との自動統合をしないことを選択します。
  • マシンのホスト ファイルで関連するエンドポイントを構成します。

追加の設定

ネットワーク サブネットのサイズ

サポートされる最小の IPv4 サブネットは /27 です (CIDR サブネット定義を使用)。 Azure仮想ネットワーク /29 のように小さくできますが、Azure 5 つの IP アドレスを使用できます。 Azure Monitorプライベート リンクのセットアップでは、1 つのワークスペースに接続している場合でも、少なくとも 11 個の IP アドレスが必要です。 エンドポイントの DNS 設定を確認し、Azure Monitor のプライベートリンク エンドポイントの一覧を調べます

Azure ポータル

Application Insights、Log Analytics、および DCE Azure Monitorポータル エクスペリエンスを使用するには、Azure ポータルとAzure Monitor拡張機能にプライベート ネットワークでアクセスできるようにします。 AzureActiveDirectoryAzureResourceManagerAzureFrontDoor.FirstParty、および AzureFrontdoor.Frontendサービス タグをネットワーク セキュリティ グループに追加します。

プログラムによるアクセス

REST API を使用するには、Azure CLI、 または、プライベート ネットワーク上のAzure Monitorを使用する PowerShell で、service タグAzureActiveDirectory および AzureResourceManager をファイアウォールに追加します。

ブラウザーの DNS 設定

プライベート リンク経由でAzure Monitor リソースに接続する場合、これらのリソースへのトラフィックは、ネットワーク上で構成されているプライベート エンドポイントを経由する必要があります。 プライベート エンドポイントを有効にするには、プライベート エンドポイントへの接続の説明に従って、DNS 設定を更新します。 一部のブラウザーでは、ユーザーが設定したものではなく、ブラウザー自身の DNS 設定が使用されています。 ブラウザーは、Azure Monitorパブリック エンドポイントへの接続を試み、プライベート リンクを完全にバイパスしようとする場合があります。 ブラウザーの設定によって、DNS 設定がオーバーライドされていないこと、また、古い DNS 設定がキャッシュされていないことを確認してください。

ブラウザーのローカル ネットワーク アクセス設定

Azure Monitor Private Link スコープ (AMPLS) を使用してAzure ポータルのAzure Monitor リソースにアクセスする場合、ポータルでプライベート IP アドレスに要求を送信することが必要になる場合があります。 Chromium ベースのブラウザー (Microsoft Edgeや Google Chrome を含む) は、ユーザーまたは組織がローカル ネットワーク アクセスを許可しない限り、これらの要求をブロックできます。

これらの要求がブロックされている場合、ポータル内の一部のAzure Monitor エクスペリエンス (ログや Application Insights の調査ビューなど) に、"接続できない" または同様のエラーが表示されることがあります。

ローカル ネットワーク アクセスを許可する

  1. ブラウザープロンプトが表示される場合
    ローカル ネットワークに接続するためのアクセス許可を要求するプロンプトがブラウザーに表示されたら、[ 許可] を選択します。 通常、ブラウザーはサイトに対するこの選択を記憶します。

  2. プロンプト (Microsoft Edge)
    Edge では、サイトのアクセス許可で Azure ポータルを許可できます。
    > > > >。

  3. エンタープライズ管理環境
    管理者は、Edge ポリシー LocalNetworkAccessAllowedForUrls を使用して、Azure ポータルを許可リストに登録できます。

    値の例 (パブリック Azure): https://portal.azure.com

    別のAzure クラウドを使用する場合は、対応するポータル URL を使用します。

Azure Monitor Private Link スコープ (AMPLS) では、Azure Monitor エンドポイントがプライベート IP アドレスに解決されるため、ポータル データ クエリはプライベート ネットワーク上に維持されます。 Chromium ベースのブラウザーは、パブリック Web サイト (Azure ポータル) からプライベート ネットワーク アドレスへの要求を機密性の高い操作として扱い、ローカル ネットワーク アクセスが許可されていない限りブロックできます。 このアクセスを許可すると、プライベート エンドポイントに到達する必要がある場合に、ログや Application Insights の調査ビューなどの完全なポータル エクスペリエンスが復元されます。 詳細については、「 ローカル ネットワーク アクセスの新しいアクセス許可プロンプト」を参照してください。

クエリの制限: externaldata 演算子

  • externaldata 演算子は、ストレージ アカウントからデータを読み取りますが、ストレージにプライベートでアクセスすることは保証されないため、プライベート リンク経由ではサポートされていません。
  • Azure Data Explorer プロキシ (ADX プロキシ) を使用すると、ログ クエリでAzure Data Explorerクエリを実行できます。 ADX プロキシは、対象のリソースにプライベートでアクセスすることは保証されないため、Private Link 経由ではサポートされていません。

次のステップ

  • Last updated on