ファイアウォールまたはプロキシ サーバーで Azure portal の URL を許可する

ご利用のネットワークと Azure portal およびそのサービスとの間の接続性を最適化するために、Azure portal の特定の URL を許可リストに追加することをお勧めします。 そうすることにより、ローカルまたはワイドエリアネットワークと Azure クラウドの間のパフォーマンスと接続性が向上します。

プロキシ サーバーやファイアウォールなどのデバイスがネットワーク管理者によってデプロイされていることは少なくありません。これらのデバイスによって、ユーザーのインターネット アクセスに対するセキュリティと制御を向上させることができます。 ユーザーを保護するように設計されたルールは、ビジネスに関連する正当なインターネットトラフィックをブロックまたは低速化する場合があります。 たとえば、以下に記載した URL で行われるユーザーと Azure との間の通信が、そのようなトラフィックに該当します。

ヒント

これらのドメインに対するネットワーク接続の問題を診断するうえで役立つ情報については、 https://portal.azure.com/selfhelp をご覧ください。

サービス タグを使用して、ネットワーク セキュリティ グループ、Azure Firewall、ユーザー定義ルートでのネットワーク アクセスの制御を定義できます。 セキュリティ規則とルートを作成するときに、完全修飾ドメイン名 (FQDN) または特定の IP アドレスの代わりにサービス タグを使用します。

プロキシのバイパス対象となる Azure portal の URL

Azure portal に対して許可する URL エンドポイントは、組織がデプロイされている Azure クラウドによって異なります。 それらのエンドポイントへのネットワーク トラフィックを許可し、制限をバイパスするには、ご利用のクラウドを選択し、記載されている一連の URL をプロキシ サーバーまたはファイアウォールに追加してください。 他の Microsoft 製品やサービスに関連する URL を追加することもできますが、ここに記載されている URL 以外にポータル関連の URL を追加することは推奨されません。 使用するサービスによっては、これらの URL のすべてを許可リストに含める必要がない場合もあります。

重要

エンドポイントの先頭にワイルドカード記号 (*) を含めると、すべてのサブドメインが許可されます。 ワイルドカードを含むエンドポイントの場合は、ワイルドカードを含まない URL を追加することもお勧めします。 たとえば、*.portal.azure.com と portal.azure.com の両方を追加して、サブドメインの有無にかかわらず、ドメインへのアクセスが許可されるようにする必要があります。

ここに記載されている、ワイルドカード記号が含まれていないエンドポイントにワイルドカード記号を追加しないでください。 代わりに、特定のシナリオに必要なエンドポイントの追加サブドメインを特定する場合は、その特定のサブドメインのみを許可することをお勧めします。

パブリック クラウド

ヒント

Azure portal にアクセスするために必要なサービス タグ (認証とリソースの一覧を含む) は、AzureActiveDirectory、AzureResourceManager、AzureFrontDoor.Frontend です。 他のサービスにアクセスするには、以下で説明するように、追加のアクセス許可が必要になる場合があります。
ただし、ポータルにアクセスするための通信以外の不要な通信も許可される可能性があります。 きめ細かい制御が必要な場合は、Azure Firewall などの FQDN ベースのアクセス制御が必要です。

Azure portal 認証

login.microsoftonline.com
*.aadcdn.msftauth.net
*.aadcdn.msftauthimages.net
*.aadcdn.msauthimages.net
*.logincdn.msftauth.net
login.live.com
*.msauth.net
*.aadcdn.microsoftonline-p.com
*.microsoftonline-p.com

Azure portal フレームワーク

*.portal.azure.com
*.hosting.portal.azure.net
*.reactblade.portal.azure.net
management.azure.com
*.ext.azure.com
*.graph.windows.net
*.graph.microsoft.com

アカウント データ

*.account.microsoft.com
*.bmx.azure.com
*.subscriptionrp.trafficmanager.net
*.signup.azure.com

一般的な Azure サービスとドキュメント

aka.ms (Microsoft short URL)
*.asazure.windows.net (Analysis Services)
*.azconfig.io (AzConfig Service)
*.aad.azure.com (Microsoft Entra)
*.aadconnecthealth.azure.com (Microsoft Entra)
ad.azure.com (Microsoft Entra)
adf.azure.com (Azure Data Factory)
api.aadrm.com (Microsoft Entra)
api.loganalytics.io (Log Analytics Service)
api.azrbac.mspim.azure.com (Microsoft Entra)
*.applicationinsights.azure.com (Application Insights Service)
appservice.azure.com (Azure App Services)
*.arc.azure.net (Azure Arc)
asazure.windows.net (Analysis Services)
bastion.azure.com (Azure Bastion Service)
batch.azure.com (Azure Batch Service)
catalogapi.azure.com (Azure Marketplace)
catalogartifact.azureedge.net (Azure Marketplace)
changeanalysis.azure.com (Change Analysis)
cognitiveservices.azure.com (Cognitive Services)
config.office.com (Microsoft Office)
cosmos.azure.com (Azure Cosmos DB)
*.database.windows.net (SQL Server)
datalake.azure.net (Azure Data Lake Service)
dev.azure.com (Azure DevOps)
dev.azuresynapse.net (Azure Synapse)
digitaltwins.azure.net (Azure Digital Twins)
learn.microsoft.com (Azure documentation)
elm.iga.azure.com (Microsoft Entra)
eventhubs.azure.net (Azure Event Hubs)
functions.azure.com (Azure Functions)
gallery.azure.com (Azure Marketplace)
go.microsoft.com (Microsoft documentation placeholder)
help.kusto.windows.net (Azure Kusto Cluster Help)
identitygovernance.azure.com (Microsoft Entra)
iga.azure.com (Microsoft Entra)
informationprotection.azure.com (Microsoft Entra)
kusto.windows.net (Azure Kusto Clusters)
learn.microsoft.com (Azure documentation)
logic.azure.com (Logic Apps)
marketplacedataprovider.azure.com (Azure Marketplace)
marketplaceemail.azure.com (Azure Marketplace)
media.azure.net (Azure Media Services)
monitor.azure.com (Azure Monitor Service)
*.msidentity.com (Microsoft Entra)
mspim.azure.com (Microsoft Entra)
network.azure.com (Azure Network)
purview.azure.com (Azure Purview)
quantum.azure.com (Azure Quantum Service)
rest.media.azure.net (Azure Media Services)
search.azure.com (Azure Search)
servicebus.azure.net (Azure Service Bus)
servicebus.windows.net (Azure Service Bus)
shell.azure.com (Azure Command Shell)
sphere.azure.net (Azure Sphere)
azure.status.microsoft (Azure Status)
storage.azure.com (Azure Storage)
storage.azure.net (Azure Storage)
vault.azure.net (Azure Key Vault Service)
ux.console.azure.com (Azure Cloud Shell)

米国政府のクラウド

*.applicationinsights.us
*.azure.us
*.loganalytics.us
*.microsoft.us
*.microsoftonline.us
*.msauth.net
*.msidentity.us
*.usgovcloudapi.net
*.usgovtrafficmanager.net
*.windowsazure.us
graph.microsoftazure.us

21Vianet によって運営される Microsoft Azure クラウド

aadcdn.msauth.cn
aadcdn.msftauth.cn
login.live.com
catalogartifact.azureedge.net
store-images.s-microsoft.com
*.azure.cn
*.microsoft.cn
*.microsoftonline.cn
*.msidentity.cn
*.chinacloudapi.cn
*.trafficmanager.cn
*.windowsazure.cn

Note

これらのエンドポイントへのトラフィックには、標準的な TCP ポートが使用されます (HTTP では 80、HTTPS では 443)。