次の方法で共有

Private Link を使用して Azure Digital Twins へのプライベート アクセスを有効にする

Azure Digital Twins を Azure Private Link と共に使用することで、Azure Digital Twins インスタンスのプライベート エンドポイントを有効にして、パブリック露出を排除し、仮想ネットワーク内のクライアントが Private Link 経由でインスタンスに安全にアクセスできるようにします。 Azure Digital Twins のこのセキュリティ戦略の詳細については、「Azure Digital Twins インスタンスのプライベート エンドポイントを使用した Private Link」を参照してください。

この記事で取り上げるプロセスを次に示します。

  • Private Link を有効にし、Azure Digital Twins インスタンス用のプライベート エンドポイントを構成します。
  • Azure Digital Twins インスタンスのプライベート エンドポイントを表示、編集、または削除します。
  • パブリック ネットワーク アクセス フラグを無効または有効にして、Private Link 接続のみに Azure Digital Twins の API アクセスを制限します。
  • ARM テンプレートを使用して Private Link を使用して Azure Digital Twins をデプロイする
  • 構成のトラブルシューティングを行います。

前提条件

プライベート エンドポイントを設定する前に、エンドポイントをデプロイできる Azure Virtual Network (VNet) が必要です。 VNet がまだない場合は、 Azure Virtual Network のクイックスタート に従って設定します。

Azure Digital Twins にプライベート エンドポイントを追加する

Azure portal または Azure CLI を使用して、Azure Digital Twins インスタンス用のプライベート エンドポイントを含む Private Link を有効にすることができます。

インスタンスの初期セットアップの一部として Private Link を設定する場合は、Azure portal を使用する必要があります。 それ以外の場合は、作成後にインスタンスで Private Link を有効にする場合は、Azure portal または Azure CLI を使用できます。 これらの作成方法のいずれも、インスタンスに対して同じ構成オプションと同じ最終結果を提供します。

次のセクションのタブを使用して、好みのエクスペリエンスの手順を選択します。

ヒント

また、Azure Digital Twins インスタンスを使用するのではなく、Private Link サービスを使用して Private Link エンドポイントを設定することもできます。 その場合も、構成オプションと最終的な結果は同じです。

Private Link リソースの設定の詳細については、Azure portalAzure CLIAzure Resource Manager、または PowerShell の Private Link に関するドキュメントを参照してください。

インスタンスの作成時にプライベート エンドポイントを追加する

このセクションでは、Azure Digital Twins インスタンスの初期セットアップの一環として、Private Link を使用してプライベート エンドポイントを作成します。 この作業は、Azure portal でのみ行うことができます。

Private Link のオプションは、インスタンスのセットアップの [ネットワーク] タブにあります。

  1. Azure portal で Azure Digital Twins のインスタンスのセットアップを始めます。 手順については、インスタンスと認証の設定に関する記事を参照してください。

  2. インスタンスのセットアップで [ネットワーク] タブまで来たら、[接続方法][プライベート エンドポイント] オプションを選択することにより、プライベート エンドポイントを有効にできます。

    これにより、プライベート エンドポイントの詳細を構成できる プライベート エンドポイント接続 というセクションが追加されます。 [+ 追加] ボタンをクリックして続けます。

    新しい Azure Digital Twins インスタンスの [ネットワーク] タブを示す Azure portal のスクリーンショット。プライベート エンドポイントを作成する方法が強調表示されています。[追加] ボタンが強調表示されています。

  3. [プライベート エンドポイントの作成] ページが表示されたら、新しいプライベート エンドポイントの詳細を入力します。

    [プライベート エンドポイントの作成] ページを示す Azure portal のスクリーンショット。ここには、次の手順で説明するフィールドが含まれています。

    1. [サブスクリプション][リソース グループ] の選択を入力します。 [場所] を、使用している VNet と同じ場所に設定します。 エンドポイントの [名前] を選択し、[Target sub-resources]\(ターゲット サブリソース\)[API] を選択します。

    2. 次に、エンドポイントのデプロイに使用する [仮想ネットワーク][サブネット] を選択します。

    3. 最後に、[プライベート DNS ゾーンと統合する] かどうかを選択します。 既定の [はい] をそのまま使用できます。または、このオプションの詳細については、ポータルのリンクに従って、プライベート DNS 統合の詳細を確認してください。

    4. 構成オプションを設定した後、[OK] を選択して完了します。

  4. このプロセスが完了すると、ポータルから Azure Digital Twins インスタンスのセットアップの [ ネットワーク ] タブに戻ります。 新しいエンドポイントが [プライベート エンドポイントの接続] に表示されていることを確認します。

    新しく作成されたプライベート エンドポイントがある Azure Digital Twins の [ネットワーク] タブが表示されている Azure portal のスクリーンショット。

  5. 下部にあるナビゲーション ボタンを使用して、インスタンスの残りのセットアップを続けることができます。

既存のインスタンスにプライベート エンドポイントを追加する

このセクションでは、既に存在する Azure Digital Twins インスタンスのプライベート エンドポイントで Private Link を有効にします。 このアクションは、Azure portal または Azure CLI で実行できます。

  1. まず、ブラウザーで Azure portal に移動します。 ポータルの検索バーでその名前を検索して、Azure Digital Twins インスタンスを開きます。

  2. 左側のメニューから [ネットワーク > 設定] を選択します。

  3. **[プライベート エンドポイント接続]** タブに切り替えます。

  4. [+ プライベート エンドポイント] を選択して、[プライベート エンドポイントの作成] の設定を開きます。

    既存の Azure Digital Twins インスタンスの [ネットワーク] ページが表示されている Azure portal のスクリーンショット。プライベート エンドポイントの作成方法が強調表示されています。

  5. [ 基本 ] タブで、プロジェクトの サブスクリプションリソース グループ 、およびエンドポイントの 名前ネットワーク インターフェイス名 (既定の設定を使用できます)、 リージョン を入力または選択します。 リージョンは、使用している VNet のリージョンと同じにする必要があります。

    [プライベート エンドポイントの作成] ダイアログの最初の (基本) タブを示す Azure portal のスクリーンショット。

    操作が完了したら、[次へ: リソース >] ボタンを選択して、次のタブに進んでください。

  6. [リソース] タブで、次の情報を入力または選択します。

    • [接続方法]: [マイ ディレクトリ内の Azure リソースに接続します] を選んで、お使いの Azure Digital Twins インスタンスを検索します。
    • サブスクリプション: サブスクリプションを入力します。
    • [リソースの種類]: [Microsoft.DigitalTwins/digitalTwinsInstances] を選びます
    • [リソース]: お使いの Azure Digital Twins インスタンスの名前を選びます。
    • [ターゲット サブリソース]: [API] を選びます。

    [プライベート エンドポイントの作成] ダイアログの 2 番目の (リソース) タブを示す Azure portal のスクリーンショット。

    完了したら、[ 次へ: 仮想ネットワーク > ] ボタンを選択して次のタブに移動します。

  7. [ 仮想ネットワーク ] タブで、次の情報を入力または選択します。

    • 仮想ネットワーク:仮想ネットワークを選択します。
    • サブネット: 仮想ネットワークからサブネットを選択します。
    • プライベート エンドポイントのネットワーク ポリシー: 有効または無効にします。 詳細については、「プライベート エンドポイントのネットワーク ポリシーを管理する」を参照してください。
    • プライベート IP 構成: IP アドレスを動的に割り当てるか、プライベート IP を使用して静的に割り当てるかを選択します。
    • アプリケーション セキュリティ グループ: 必要に応じてセキュリティの詳細を構成します。 詳細については、「アプリケーション セキュリティ グループ」を参照してください。

    [プライベート エンドポイントの作成] ダイアログの 3 番目の (構成) タブを示す Azure portal のスクリーンショット。

    [次へ: DNS] を選択します。

  8. [DNS] は既定値のままにします。 [次へ: タグ]、[次へ: 確認と作成] の順に選択します。

  9. [確認および作成] タブで選択内容を確認し、[作成] ボタンを選択します。

エンドポイントのデプロイが完了すると、Azure Digital Twins インスタンスのプライベート エンドポイント接続に表示されます。

プライベート エンドポイントを管理する

このセクションでは、プライベート エンドポイントの作成後に表示、編集、削除する方法について説明します。 これらのアクションは、Azure portal または Azure CLI で実行できます。

Azure Digital Twins インスタンスのプライベート エンドポイントが作成されたら、Azure Digital Twins インスタンスの [設定] > [ネットワーク] ページで表示できます。 このページには、インスタンスに関連付けられているすべてのプライベート エンドポイント接続が表示されます。

プライベート エンドポイントが 1 つある既存の Azure Digital Twins インスタンスの [ネットワーク] ページが表示されている Azure portal のスクリーンショット。

エンドポイントを選択して、詳細情報を表示したり、構成設定を変更したり、接続を削除したりします。

ヒント

エンドポイントは、Azure portal の Private Link センターから表示することもできます。

パブリック ネットワーク アクセス フラグを無効または有効にする

すべてのパブリック接続を拒否し、プライベート エンドポイント経由の接続のみを許可するように、Azure Digital Twins インスタンスを構成して、ネットワークのセキュリティを強化できます。 この操作は、パブリック ネットワーク アクセス フラグで行います。

このポリシーを使用すると、API アクセスを Private Link 接続のみに制限することができます。 パブリック ネットワーク アクセス フラグを disabled に設定すると、パブリック クラウドから Azure Digital Twins インスタンス データ プレーンに対するすべての REST API 呼び出しが 403, Unauthorized返されます。 それ以外の場合、ポリシーが disabled に設定され、プライベート エンドポイントを介して要求が行われると、API 呼び出しは成功します。

ネットワーク フラグの値は、Azure portalAzure CLI、または ARMClient コマンド ツールを使用して更新できます。

Azure portal でパブリック ネットワーク アクセスを無効または有効にするには、ポータルを開き、お使いの Azure Digital Twins インスタンスに移動します。

  1. 左側 のメニューで [ネットワーク > 設定] を選択します。

  2. [パブリック アクセス] タブの [Allow public network access to]\(パブリック ネットワーク アクセスを許可する\) を、[無効] または [すべてのネットワーク] に設定します。

    Azure Digital Twins インスタンスの [ネットワーク] ページが表示されている Azure portal のスクリーンショット。パブリック アクセスの切り替え方法が強調表示されています。

    [保存] を選択します。

Resource Manager テンプレートを使用してデプロイする

ARM テンプレートを使用して、Azure Digital Twins との Private Link を設定することもできます。

Azure 関数を Private Link エンドポイントを介して Azure Digital Twins に接続できるようにするサンプル テンプレートについては、Azure 関数と Private Link を使用する Azure Digital Twins (ARM テンプレート) に関する記事を参照してください。

このテンプレートを使用して Azure Digital Twins インスタンス、仮想ネットワーク、仮想ネットワークに接続された Azure 関数、Private Link 接続を作成し、プライベート エンドポイントを介して Azure 関数から Azure Digital Twins インスタンスにアクセスできるようにします。

制限事項とトラブルシューティング

Azure Digital Twins で Private Link を使用する場合の制限事項は、テナント間のシナリオがサポートされていないことです。

トラブルシューティングのために、一般的な問題に対するいくつかの解決策を次に示します。

  • 発行: Azure Digital Twins API にアクセスしようとすると、HTTP エラー コード 403 が表示され、応答本文に次のエラーが表示されます。

    {
    "statusCode": 403,
    "message": "Public network access disabled by policy."
}

    解決: このエラーは、Azure Digital Twins インスタンスに対して publicNetworkAccess が無効になっており、API 要求が Private Link 経由で送信されることが予想されるが、呼び出しがパブリック ネットワークを介してルーティングされた場合に発生します (仮想ネットワーク用に構成されたロード バランサー経由の可能性があります)。 API クライアントが、エンドポイントのホスト名を使用して API にアクセスしようとしているときに、プライベート エンドポイントのプライベート IP を解決していることを確認します。

    サブネット内のプライベート エンドポイントのプライベート IP にホスト名を解決できるように、プライベート DNS ゾーンを構成できます。 プライベート DNS ゾーンが仮想ネットワークに正しくリンクされていること、および正しいゾーン名 (privatelink.digitaltwins.azure.net など) を使用していることを確認します。

  • 発行: プライベート エンドポイントを介して Azure Digital Twins にアクセスしようとすると、接続がタイムアウトします。

    解決策: クライアントがプライベート エンドポイントおよびそのサブネットと通信できないようにするネットワーク セキュリティ グループ規則が存在しないことを確認します。 クライアントのソース IP アドレス/サブネットとプライベート エンドポイントの宛先 IP アドレス/サブネットとの間の、TCP ポート 443 での通信を許可する必要があります。

Private Link のトラブルシューティングに関するその他の推奨事項については、「Azure プライベート エンドポイント接続に関する問題のトラブルシューティング」を参照してください。

次のステップ

ARM テンプレートを使用して Private Link がある保護された環境を迅速にセットアップする: Azure 関数と Private Link を使用する Azure Digital Twins

または、Azure での Private Link の詳細を学ぶ: Azure Private Link サービスとは