Microsoftディスカバリーのネットワークセキュリティ

Microsoft Discovery には、ワークスペースリソースとデータプレーントラフィックを保護するための 2 つの層のネットワークセキュリティが用意されています。

レイヤー	保護対象	どのように機能するのか
ネットワークのセキュリティ強化	データベース、ストレージ、AI サービス、その他のバックエンドサービスなどのマネージドリソース	マネージドリソースグループ (MRG) リソースのネットワークセキュリティ境界 (NSP) とプライベートエンドポイントは、承認された探索コンポーネントへのアクセスのみを制限します
プライベートエンドポイント	ワークスペースとブックシェルのデータプレーン API	Azure Private Linkは、AZURE バックボーンを介して API トラフィックをルーティングし、パブリックインターネットの公開を排除します

ネットワークのセキュリティ強化は、 2026-02-01-preview API バージョン以降で管理されているすべてのワークスペースとブックシェルに対して既定で有効になっています。データプレーンアクセス用のプライベートエンドポイントは省略可能であり、個別に構成できます。

ネットワークセキュリティが重要な理由

Microsoft Discovery ワークスペースまたはブックシェルを作成すると、サービスによってマネージドリソース (データベース、ストレージアカウント、AI サービス) がユーザーに代わってプロビジョニングされます。初期プレビュー期間中、これらのリソースにはパブリックエンドポイントがあり、データプレーン API トラフィックはパブリックインターネットを通過しました。

既定でネットワークのセキュリティ強化が有効になっていると、すべてのマネージドリソースが自動的に保護されるようになりました。データプレーンアクセスのプライベートエンドポイントを有効にすると、セキュリティが強化されます。

Data protection - すべてのトラフィックがAzureバックボーンネットワークに残り、パブリックインターネットを通過することはありません。
コンプライアンス - ネットワークのセキュリティ強化とプライベート接続に関する規制要件を満たします。
攻撃対象領域の縮小 - マネージドリソースには、承認された探索サービスコンポーネントのみがアクセスできます。
多層防御 - ネットワーク境界、プライベートエンドポイント、仮想ネットワークインジェクション、ID ベースのアクセス制御を組み合わせます。

ビフォーアフターの比較

Before: パブリックプレビュー（ネットワークハードニングなし）

後: パブリックプレビュー (ネットワークのセキュリティ強化あり)

特徴	ネットワークのセキュリティ強化なし (早期プレビュー)	ネットワークのセキュリティ強化を使用する (既定)
マネージドリソース	パブリックエンドポイント	NSP + プライベートエンドポイントの背後でロックされている
データプレーントラフィック	パブリックインターネット	Azureのバックボーンを介したPrivate Link

ネットワークのセキュリティ強化のしくみ

ワークスペースを作成すると、探索コントロールプレーンは自動的に次の操作を行います。

ワークスペース用にプロビジョニングされたマネージドリソースを囲むネットワークセキュリティ境界 (NSP) を作成します。
マネージドリソース (データベース、ストレージ、AI サービス) のプライベートエンドポイントをデプロイして、Azureバックボーン経由で通信できるようにします。
委任されたサブネットを使用してワークスペースサービスの仮想ネットワークインジェクションを構成し、ワークスペースプラットフォームサービスとエージェントが仮想ネットワーク内で確実に実行されるようにします。

NSP は、承認された探索サービスコンポーネントのみがマネージドリソースにアクセスできるように強制します。 Discovery コンポーネント間でパブリックインターネット経由でデータが移動しません。

必要なロールの割り当て

NSP の関連付けを作成するには、探索ファーストパーティサービスプリンシパル (Discovery コントロールプレーンサービスアプリ) に、サブスクリプションに対して次の 2 つのロールの割り当てが必要です。

探索 NSP 境界結合者 (カスタムロール) - サービスプリンシパルが NSP 受信アクセス規則を作成できるようにします。
少なくとも 閲覧者 (組み込みロール) - サービスプリンシパルがネットワーク構成の検証のためにサブスクリプションリソースを列挙できるようにします。所有者または共同作成者が既に割り当てられている場合は、別の閲覧者の割り当ては必要ありません。

これらのロールを作成して割り当てる手順については、「ネットワークセキュリティの構成」を参照してください。

プライベートエンドポイントがデータプレーントラフィックをルーティングする方法

Azure Private Linkを使用すると、仮想ネットワーク内のプライベートエンドポイント経由でワークスペースとブックシェルのデータプレーン API にアクセスできます。構成すると次のようになります。

プライベートエンドポイントが仮想ネットワークサブネットに作成され、プライベート IP アドレスが受信されます。
プライベート DNS ゾーンは、探索サービスの FQDN をプライベート IP にマップします。
仮想ネットワークからのすべての API トラフィックはプライベートエンドポイントに解決され、Microsoftバックボーンネットワークを通過します。

プライベートエンドポイントがない場合、データプレーン API 呼び出しはパブリックインターネットを経由します。プライベートエンドポイントでは、トラフィックは完全に Azure バックボーン内に留まります。

`publicNetworkAccess` 値	プライベートエンドポイント経由	パブリックインターネット経由
`Enabled` (既定値)	許可	許可
`Disabled`	許可	403 許可されていません

プライベートエンドポイントでサポートされているリソースの種類

リソースの種類	グループ識別子	プライベート DNS ゾーン
`Microsoft.Discovery/workspaces`	`workspace`	`privatelink.workspace.discovery.azure.com`
`Microsoft.Discovery/bookshelves`	`bookshelf`	`privatelink.bookshelf.discovery.azure.com`

検出リソースは、同じテナント内で作成されたプライベートエンドポイントの自動承認をサポートします。テナント間接続では、リソース所有者による手動承認が必要です。

NSP 境界結合者ロールのセキュリティに関する注意事項

最小限のアクセス許可 - このカスタムロールは、 joinPerimeterRule/action と networkSecurityPerimeterOperationStatuses/read のみを付与します。NSP アクセス規則の作成に対して可能な限り狭いアクセス許可です。
データアクセスなし - このアクセス許可は、顧客データまたはリソースの読み取り、書き込み、または削除へのアクセス権を付与しません。
サブスクリプションスコープが必要 - NSP 受信アクセス規則は、許可されたソースとしてサブスクリプションを参照するため、アクセス許可はサブスクリプションスコープである必要があります。

制限事項

リージョン間のプライベートエンドポイントはサポートされていません。プライベートエンドポイントは、探索リソースと同じリージョンに存在する必要があります。
各プライベートエンドポイント接続のスコープは、1 つのワークスペースまたはブックシェルリソースです。
各探索リソース (ワークスペース、ブックシェル、スーパーコンピューター) には、独自の一意の重複しないサブネットが必要です。異なる探索リソースインスタンス間でサブネットを共有することはできません。
スーパーコンピューターの AKS API サーバーにはパブリック FQDN があります。ワークロードトラフィックは仮想ネットワーク内に留まりますが、Kubernetes API サーバーエンドポイントにはパブリックにアクセスできます。プライベートクラスターのサポートは、今後のリリースで予定されています。
NSP をサポートしていないマネージドリソースは、代わりに仮想ネットワークの挿入または委任されたサブネットによって保護されます。
ネットワークのセキュリティ強化は、 米国東部、 英国南部、 スウェーデン中部のリージョンでサポートされています。

次のステップ

ネットワークセキュリティの構成 - ロールの割り当て、サブネットの構成、プライベートエンドポイントの作成。
エンドツーエンドのネットワーク強化デプロイ - 完全にネットワーク分離された探索スタックをデプロイします。
Azure Private Linkとは
ネットワークセキュリティ境界とは

フィードバック

このページはお役に立ちましたか?

Last updated on 2026-04-20