許可される IP アドレスとドメイン URL
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
組織がファイアウォールまたはプロキシ サーバーでセキュリティ保護されている場合は、特定のインターネット プロトコル (IP) アドレスとドメイン uniform resource locator (URL) を allowlist に追加する必要があります。 これらの IP と URL を許可リストに追加すると、Azure DevOps で最高のエクスペリエンスが得られるようにするのに役立ちます。 ネットワーク上の Azure DevOps にアクセスできない場合は、許可リストを更新する必要があることがわかります。 この記事の次のセクションを参照してください。
ヒント
Visual Studio と Azure Services がネットワークの問題なしで適切に機能するように、選択したポートとプロトコルを開きます。 詳細については、「 ファイアウォールまたはプロキシ サーバーの背後で Visual Studio をインストールして使用する」を参照してください。Visual Studio と Azure Services の使用。
IP アドレスと範囲の制限
送信接続
送信接続 他の依存サイトを対象とします。 このような接続の例を次に示します。
- ユーザーが Azure DevOps の機能にアクセスして使用するときに Azure DevOps Web サイトに接続するブラウザー
- 保留中のジョブをポーリングするために Azure DevOps に接続している組織のネットワークにインストールされている Azure Pipelines エージェント
- 組織のネットワーク内でホストされているソース コード リポジトリから Azure DevOps に送信される CI イベント
次の IP アドレスが送信接続に対して許可されていることを確認して、組織が既存のファイアウォールまたは IP 制限を使用できるようにします。 次のグラフのエンドポイント データは、組織内のマシンから Azure DevOps Services への接続の要件を示しています。
現在、 13.107.6.183 と 13.107.9.183 IP アドレスを許可している場合は、それらを削除する必要はないので、そのままにしておきます。
Note
Azure サービス タグ は、 送信 接続ではサポートされていません。
受信接続
受信接続 は、組織のネットワーク内の Azure DevOps とターゲット リソースから発信されます。 このような接続の例を次に示します。
- Service Hooks のエンドポイントに接続する Azure DevOps Services
- Data Import の顧客が管理する SQL Azure VM に接続する Azure DevOps Services
- GitHub Enterprise や Bitbucket Server などのオンプレミスのソース コード リポジトリに接続する Azure Pipelines
- Azure DevOps Services Audit Streaming オンプレミスまたはクラウドベースの Splunk に接続する
次の IP アドレスが受信接続に対して許可されていることを確認して、組織が既存のファイアウォールまたは IP 制限を使用できるようにします。 次のグラフのエンドポイント データは、Azure DevOps Services からオンプレミスまたはその他のクラウド サービスへの接続の要件を示しています。
| 地理的な場所 | 地域 | IP V4 の範囲 |
|---|---|---|
| オーストラリア | オーストラリア東部 | 20.37.194.0/24 |
| オーストラリア東南部 | 20.42.226.0/24 | |
| ブラジル | ブラジル南部 | 191.235.226.0/24 |
| Canada | カナダ中部 | 52.228.82.0/24 |
| アジア太平洋 | 東南アジア (シンガポール) | 20.195.68.0/24 |
| インド | インド南部 | 20.41.194.0/24 |
| インド中部 | 20.204.197.192/26 | |
| United States | 中央米国 | 20.37.158.0/23 |
| 中西部米国 | 52.150.138.0/24 | |
| 東米国 | 20.42.5.0/24 | |
| East 2 米国 | 20.41.6.0/23 | |
| 北米国 | 40.80.187.0/24 | |
| 南米国 | 40.119.10.0/24 | |
| 西米国 | 40.82.252.0/24 | |
| 西 2 米国 | 20.42.134.0/23 | |
| 西 3 米国 | 20.125.155.0/24 | |
| ヨーロッパ | 西ヨーロッパ | 40.74.28.0/23 |
| 北ヨーロッパ | 20.166.41.0/24 | |
| イギリス | イギリス南部 | 51.104.26.0/24 |
Azure サービス タグは、 バインド 接続でのみサポートされます。 前述の IP 範囲を許可する代わりに、JSON ファイルのダウンロードを使用して、Azure Firewall and Network Security Group (NSG) またはオンプレミス ファイアウォールの AzureDevOps サービス タグを使用できます。
Note
サービス タグまたは前述の受信 IP アドレスは、Microsoft ホステッド エージェントには適用されません。 お客様は、引き続き Microsoft ホステッド エージェントの 地域を許可する必要があります。 地域全体を許可することが問題である場合は、 Azure 仮想マシン スケール セット エージェントを使用することをお勧めします。 スケール セット エージェントは、ニーズに合わせて自動スケールできるセルフホステッド エージェントの一種です。
ホストされる macOS エージェントは、GitHub の macOS クラウドでホストされます。 IP 範囲は、こちらに記載されている手順に従って、GitHub メタデータ API を使って取得できます。
その他の IP アドレス
次の IP アドレスのほとんどは、Microsoft 365 Common および Office Online に関連しています。
40.82.190.38
52.108.0.0/14
52.237.19.6
52.238.106.116/32
52.244.37.168/32
52.244.203.72/32
52.244.207.172/32
52.244.223.198/32
52.247.150.191/32
詳細については、「ワールドワイド エンドポイントおよび ip アドレス規則の追加を参照してください。
Azure DevOps ExpressRoute 接続
組織で ExpressRoute を使用している場合は、送信接続と受信接続の両方で次の IP アドレスが許可されていることを確認します。
13.107.6.175/32
13.107.6.176/32
13.107.6.183/32
13.107.9.175/32
13.107.9.176/32
13.107.9.183/32
13.107.42.18/32
13.107.42.19/32
13.107.42.20/32
13.107.43.18/32
13.107.43.19/32
13.107.43.20/32
Azure DevOps と ExpressRoute の詳細については、「Azure DevOps のExpressRouteを参照してください。
許可されるドメイン URL
ネットワーク接続の問題は、接続をブロックしている可能性があるセキュリティ アプライアンスが原因で発生する可能性があります。Visual Studio では TLS 1.2 以降が使用されます。 NuGet または Visual Studio 2015 以降から接続している場合は、次の接続で TLS 1.2 以降をサポートするようにセキュリティ アプライアンスを更新します。
組織が既存のファイアウォールまたは IP 制限と連携するようにするには、 dev.azure.com と *.dev.azure.com が開かれていることを確認します。
次のセクションには、サインインとライセンス接続をサポートするための最も一般的なドメイン URL が含まれています。
https://dev.azure.com
https://*.dev.azure.com
https://aex.dev.azure.com
https://aexprodea1.vsaex.visualstudio.com
https://*vstmrblob.vsassets.io
https://amp.azure.net
https://app.vssps.dev.azure.com
https://app.vssps.visualstudio.com
https://*.vsblob.visualstudio.com
https://*.vssps.visualstudio.com
https://*.vstmr.visualstudio.com
https://azure.microsoft.com
https://go.microsoft.com
https://graph.microsoft.com
https://login.microsoftonline.com
https://management.azure.com
https://management.core.windows.net
https://microsoft.com
https://microsoftonline.com
https://static2.sharepointonline.com
https://visualstudio.com
https://vsrm.dev.azure.com
https://vstsagentpackage.azureedge.net
https://*.windows.net
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com
Azure DevOps uses content delivery network (CDN) to serve static content. The following URLs are part of that.
https://cdn.vsassets.io
https://*.vsassets.io
https://*gallerycdn.vsassets.io
https://aadcdn.msauth.net
https://aadcdn.msftauth.net
https://amcdn.msftauth.net
https://azurecomcdn.azureedge.net
次のエンドポイントは、Microsoft アカウント (MSA) を使用して Azure DevOps 組織を認証するために使用されます。 これらのエンドポイントは、Microsoft アカウント (MSA) によってサポートされている Azure DevOps 組織にのみ必要です。 Microsoft Entra テナントをサポートしている Azure DevOps 組織には、次の URL は必要ありません。
https://live.com
https://login.live.com
データ移行ツールを使用して Azure DevOps サーバーからクラウド サービスに移行する場合は、次の URL が必要です。
https://dataimport.dev.azure.com
Note
Azure DevOps では、コンテンツ配信ネットワーク (CDN) を使用して静的コンテンツを提供します。 China のユーザーは、次のドメイン URL も許可リストに追加する必要があります。
https://*.vsassetscdn.azure.cn
https://*.gallerycdn.azure.cn
次の IP アドレスとドメイン上のすべてのトラフィックへのポート 443 を開いてお勧めします。 また、ターゲット IP アドレスの小さなサブセットにポート 22 を開くこともできます。
| その他のドメイン URL | 説明 |
|---|---|
| https://login.microsoftonline.com | 認証とサインインに関連する |
| https://*.vssps.visualstudio.com | 認証とサインインに関連する |
| https://*gallerycdn.vsassets.io | Azure DevOps 拡張機能をホストする |
| https://*vstmrblob.vsassets.io | Azure DevOps TCM ログ データをホストする |
| https://cdn.vsassets.io | Azure DevOps コンテンツ配信ネットワーク (CDN) コンテンツをホストする |
| https://static2.sharepointonline.com | Azure DevOps がフォント用の "office fabric" UI キットで使用するいくつかのリソースをホストします。 |
| https://vsrm.dev.azure.com | ホストのリリース |
| https://vstsagentpackage.azureedge.net | ネットワーク内のマシンでセルフホステッド エージェントを設定するために必要 |
| https://amp.azure.net | Azure App Service へのデプロイに必要 |
| https://go.microsoft.com | Accesses go リンク |
Azure Artifacts
Azure Artifacts に対して次のドメイン URL が許可されていることを確認します。
https://*.blob.core.windows.net
https://*.visualstudio.com
https://*.dedup.microsoft.com
また、"name": "Storage" 内のすべての IP アドレスを許可します。次のファイルの {region}" セクション (毎週更新): Azure IP 範囲とサービス タグ - パブリック クラウド。 {region} は、組織と同じ Azure Geography です。
NuGet 接続
NuGet 接続で次のドメイン URL が許可されていることを確認します。
https://azurewebsites.net
https://*.nuget.org
Note
プライベート所有の NuGet サーバー URL は、前の一覧に含まれていない可能性があります。 %APPData%\Nuget\NuGet.Configを開くと、使用している NuGet サーバーを確認できます。
SSH 接続
SSH を使用して Azure DevOps 上の Git リポジトリに接続する必要がある場合は、次のホストのポート 22 への要求を許可します。
ssh.dev.azure.com
vs-ssh.visualstudio.com
また、このダウンロード可能なファイルの "name": "AzureDevOps" セクションで IP アドレス 許可します (毎週更新) という名前が付けられます: Azure IP 範囲とサービス タグ - パブリック クラウド
Azure Pipelines の Microsoft でホストされるエージェント
Microsoft でホストされるエージェントを使用してジョブを実行し、使用される IP アドレスに関する情報が必要な場合は、「 Microsoft でホストされるエージェントの IP 範囲を参照してください。 Azure Virtual Machine Scale Set エージェントをすべて表示します。
ホストされている Windows、Linux、および macOS エージェントの詳細については、「 Microsoft でホストされるエージェントの IP 範囲を参照してください。
Azure Pipelines のセルフホステッド エージェント
ファイアウォールを実行していて、コードが Azure Repos にある場合は、セルフホステッド Linux エージェントに関する FAQ、セルフホステッド macOS エージェントに関する FAQセルフホステッド Windows エージェントに関する FAQを参照してください。 この記事では、プライベート エージェントが通信する必要があるドメイン URL と IP アドレスについて説明します。
Azure DevOps インポート サービス
インポート プロセス中は、仮想マシン (VM) へのアクセスを Azure DevOps の IP アドレスのみに制限することを強くお勧めします。 アクセスを制限するには、コレクション データベースのインポート プロセスに関係していた一連の Azure DevOps IP アドレスからの接続のみを許可します。 正しい IP アドレスの識別については、「 (省略可能) Azure DevOps Services IP のみにアクセスを制限するを参照してください。
Note
Azure DevOps では、設定内での直接の許可リストのサポートはネイティブに行われません。 ただし、組織のファイアウォールまたはプロキシ設定を使用して、ネットワーク レベルで許可リストを管理できます。