次の方法で共有

Microsoft Entra Private Access を使用して Azure Private Link の背後にある Azure Storage アカウントにアクセスする方法

Microsoft Entra Private Access を使用すると、Azure Private Link のセキュリティ機能をリモート ユーザーとオンプレミス ユーザーに拡張できます。 セキュリティ機能を拡張すると、条件付きアクセスなどの最新の認証機能が、Azure Platform as a Service (PaaS) リソースの前面に表示されます。

Azure Private Link を使用すると、Azure Storage や Azure SQL Database などの Azure PaaS サービスにアクセスできます。 Azure Private Link を使用すると、仮想ネットワーク内のプライベート エンドポイント経由で Azure でホストされているサービスとパートナー サービスにアクセスすることもできます。 その結果、仮想マシン (VM) などのリソースは、Private Link リソースとプライベートかつ安全に通信できます。

Azure Private Link の詳細については、「Azure Private Link とは」を参照してください。.

この記事では、Microsoft Entra Private Access を使用して、Azure Private Link の背後にある Azure Storage アカウントにアクセスする方法について説明します。

Microsoft Entra Private Access を使用した Azure Private Link のアーキテクチャを示す図。

前提 条件

Azure ストレージ アカウントのグローバル セキュリティで保護されたアクセス アプリケーションを作成する

  1. グローバル セキュリティで保護されたアクセス管理者として、Microsoft Entra 管理センター にサインインします。
  2. グローバル セキュア アクセス>アプリケーション>エンタープライズ アプリケーションを参照します。
  3. 新しいアプリケーションを選択
  4. プライベート仮想ネットワークにデプロイされたコネクタを使用して、適切なコネクタ グループを選択します。
  5. [アプリケーション セグメント追加] を選択します。
    • 宛先の種類: FQDN
    • 完全修飾ドメイン名 (FQDN): <fqdn of the storage account>。 たとえば、storage1.blob.core.windows.netします。
    • ポート: 443
    • プロトコル: TCP
  6. [選択]、[ 適用] してアプリケーション セグメントを追加します。
  7. [保存] を選択して、アプリケーションを保存します。
  8. アプリケーションにユーザーを割り当てます。

ネットワーク アクセスのプロパティを示すスクリーンショット。

構成を検証する

ストレージ アカウントへの接続がコネクタ マシンから機能することを確認します。 コネクタは、同じプライベート仮想ネットワークにデプロイされます。

プライベート仮想ネットワークの外部からストレージ アカウントへの接続を確認します。 グローバル セキュリティで保護されたアクセス クライアントがインストールされていないコンピューターは失敗します。 グローバル セキュア アクセス クライアントがインストールされているコンピューターは正常に動作する必要があります。

次の手順