Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Een servicetag vertegenwoordigt een groep IP-adresvoorvoegsels van een bepaalde Azure-service. Microsoft beheert de adresvoorvoegsels die worden omvat door de servicetag en werkt de servicetag automatisch bij naarmate de adressen veranderen, waardoor de complexiteit van frequente updates voor netwerkbeveiligingsregels wordt geminimaliseerd.
Belangrijk
Servicetags vereenvoudigen de mogelijkheid om op IP gebaseerde toegangsbeheerlijsten (ACL's) in te schakelen, maar servicetags zijn niet voldoende om verkeer te beveiligen zonder rekening te houden met de aard van de service en het verkeer dat wordt verzonden. Zie Wat is een op IP gebaseerde toegangsbeheerlijst (ACL)? voor meer informatie over op IP gebaseerde ACL's.
Verderop in dit artikel vindt u aanvullende informatie over de aard van het verkeer voor elke service en de bijbehorende tag. Het is belangrijk om ervoor te zorgen dat u bekend bent met het verkeer dat u toestaat bij het gebruik van servicetags voor OP IP gebaseerde ACL's. Overweeg extra beveiligingsniveaus om uw omgeving te beschermen.
U kunt servicetags gebruiken om netwerktoegangsbeheer te definiëren voor netwerkbeveiligingsgroepen, Azure Firewall en door de gebruiker gedefinieerde routes. Gebruik servicetags in plaats van specifieke IP-adressen wanneer u beveiligingsregels en routes maakt. Door de naam van de servicetag op te geven, zoals ApiManagement, in het juiste bron - of doelveld van een beveiligingsregel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Door de naam van de servicetag op te geven in het adresvoorvoegsel van een route, kunt u verkeer routeren dat is bedoeld voor een van de voorvoegsels die door de servicetag zijn ingekapseld naar een gewenst volgend hoptype.
U kunt servicetags gebruiken om netwerkisolatie te bereiken en uw Azure-resources te beschermen tegen het algemene internet terwijl u toegang krijgt tot Azure-services met openbare eindpunten. Maak regels voor binnenkomende/uitgaande netwerkbeveiligingsgroepen om verkeer van/naar internet te weigeren en verkeer naar/van AzureCloud of andere beschikbare servicetags van specifieke Azure-services toe te staan.
Beschikbare servicetags
De volgende tabel bevat alle servicetags die beschikbaar zijn voor gebruik in regels voor netwerkbeveiligingsgroepen .
De kolommen geven aan of de tag:
- Is geschikt voor regels die betrekking hebben op inkomend of uitgaand verkeer.
- Ondersteunt regionaal bereik.
- Kan alleen worden gebruikt in Azure Firewall-regelsals doelregel voor inkomend of uitgaand verkeer.
Servicetags weerspiegelen de standaard reikwijdten voor de hele cloud. Sommige servicetags bieden ook gedetailleerdere controle door de bijbehorende IP-bereiken te beperken tot een opgegeven regio. De servicetag Storage vertegenwoordigt bijvoorbeeld Azure Storage voor de hele cloud, maar Storage.WestUS beperkt het bereik tot alleen het IP-adresbereik van de opslag van de regio WestUS. De volgende tabel geeft aan of elke servicetag een dergelijk regionaal bereik ondersteunt en de richting die voor elke tag wordt vermeld, is een aanbeveling. De AzureCloud-tag kan bijvoorbeeld worden gebruikt om binnenkomend verkeer toe te staan. In de meeste scenario's is het niet raadzaam om verkeer van alle Azure-IP's toe te staan, omdat IP-adressen die door andere Azure-klanten worden gebruikt, worden opgenomen als onderdeel van de servicetag.
| Etiket | Doel | Kunt u inkomend of uitgaand gebruiken? | Kan het regionaal zijn? | Kan dit worden gebruikt met Azure Firewall? |
|---|---|---|---|---|
| ActionGroup | Actiegroep. | Inkomend | Nee | Ja |
| ApiManagement | Beheerverkeer voor Azure API Management-toegewijde implementaties. Opmerking: deze tag vertegenwoordigt het Azure API Management-service-eindpunt voor het besturingsvlak per regio. Met de tag kunnen klanten beheerbewerkingen uitvoeren op de API's, Bewerkingen, Beleid, NamedValues die zijn geconfigureerd in de API Management-service. |
Inkomend | Ja | Ja |
| ApplicationInsightsAvailability | Beschikbaarheid van Application Insights. | Inkomend | Nee | Ja |
| AppConfiguration | App-configuratie. | Uitgaand | Nee | Ja |
| AppService | Azure App Service. Deze tag wordt aanbevolen voor uitgaande beveiligingsregels voor web-apps en functie-apps. Opmerking: deze tag bevat geen IP-adressen die zijn toegewezen bij het gebruik van SSL op basis van IP (app-toegewezen adres). |
Uitgaand | Ja | Ja |
| AppServiceManagement | Beheerverkeer voor implementaties die zijn toegewezen aan App Service Environment. | Beide | Nee | Ja |
| AzureActiveDirectory | Microsoft Entra ID Services. Deze tag omvat aanmelding, MS Graph en andere Entra-services die niet specifiek worden vermeld in deze tabel | Uitgaand | Nee | Ja |
| AzureActiveDirectoryDomainServices | Beheerverkeer voor implementaties die zijn toegewezen aan Microsoft Entra Domain Services. | Beide | Nee | Ja |
| AzureAdvancedThreatProtection | Microsoft Defender for Identity. | Uitgaand | Nee | Ja |
| AzureArcInfrastructure | Azure Arc-ingeschakelde servers, Azure Arc-ingeschakelde Kubernetes en gastconfiguratieverkeer. Opmerking: deze tag heeft een afhankelijkheid van de tags AzureActiveDirectory, AzureTrafficManager en AzureResourceManager . |
Uitgaand | Nee | Ja |
| AzureAttestation | Azure Attestation. | Uitgaand | Nee | Ja |
| AzureBackup | Azure Backup. Opmerking: deze tag heeft een afhankelijkheid van de tags Storage en AzureActiveDirectory . |
Uitgaand | Nee | Ja |
| AzureBotService | Azure Bot Service. | Beide | Nee | Ja |
| AzureCloud | Alle openbare IP-adressen van datacenters. Deze tag bevat geen IPv6. | Beide | Ja | Ja |
| AzureCognitiveSearch | Azure AI Search. Met deze tag worden de IP-bereiken opgegeven van de multitenant-uitvoeringsomgevingen die door een zoekservice worden gebruikt voor indexeerfunctiegebaseerde indexering. Opmerking: het IP-adres van de zoekservice zelf wordt niet gedekt door deze servicetag. In de firewallconfiguratie van uw Azure-resource moet u de servicetag en ook het specifieke IP-adres van de zoekservice zelf opgeven. |
Inkomend | Nee | Ja |
| AzureConnectors | Deze tag vertegenwoordigt de IP-adressen die worden gebruikt voor beheerde connectors die binnenkomende webhook-callbacks maken naar de Azure Logic Apps-service en uitgaande aanroepen naar hun respectieve services, bijvoorbeeld Azure Storage of Azure Event Hubs. | Beide | Ja | Ja |
| AzureContainerAppsService | Azure Container Apps-dienst | Beide | Ja | Nee |
| AzureContainerRegistry | Azure Container Registry. | Uitgaand | Ja | Ja |
| AzureCosmosDB | Azure Cosmos DB. | Uitgaand | Ja | Ja |
| AzureDatabricks | Azure Databricks. | Beide | Nee | Ja |
| AzureDataExplorerManagement | Azure Data Explorer-beheer. | Inkomend | Nee | Ja |
| AzureDeviceUpdate | Apparaatupdate voor IoT Hub. | Beide | Nee | Ja |
| AzureDevOps | Azure DevOps. | Inkomend | Ja | Ja |
| AzureDigitalTwins | Azure Digital Twins. Opmerking: deze tag of de IP-adressen waarop deze tag betrekking heeft, kunnen worden gebruikt om de toegang tot eindpunten te beperken die zijn geconfigureerd voor gebeurtenisroutes. |
Inkomend | Nee | Ja |
| AzureEventGrid | Azure Event Grid. | Beide | Nee | Ja |
|
AzureFrontDoor.Frontend AzureFrontDoor.Backend AzureFrontDoor.FirstParty AzureFrontDoor.MicrosoftSecurity |
De front-endservicetag bevat de IP-adressen die clients gebruiken om Front Door te bereiken. U kunt de servicetag AzureFrontDoor.Frontend toepassen wanneer u het uitgaande verkeer wilt beheren dat verbinding kan maken met services achter Azure Front Door. De back-endservicetag bevat de IP-adressen die Azure Front Door gebruikt voor toegang tot uw origins. U kunt deze servicetag toepassen wanneer u beveiliging voor uw origins configureert. FirstParty en MicrosoftSecurity zijn speciale tags die zijn gereserveerd voor een bepaalde groep Microsoft-services die worden gehost op Azure Front Door. FirstParty-servicetag is alleen beschikbaar in de openbare cloud, terwijl de andere servicetags beschikbaar zijn in openbare clouds en overheidsclouds. | Beide | Ja | Ja |
| AzureHealthcare-API's | De IP-adressen die door deze tag worden gedekt, kunnen worden gebruikt om de toegang tot Azure Health Data Services te beperken. | Beide | Nee | Ja |
| AzureInformationProtection | Azure Informatiebescherming. Opmerking: Deze tag heeft een afhankelijkheid van de tags AzureActiveDirectory, AzureFrontDoor.Frontend en AzureFrontDoor.FirstParty . |
Uitgaand | Nee | Ja |
| AzureIoTHub | Azure IoT Hub. | Uitgaand | Ja | Ja |
| AzureKeyVault | Azure Key Vault. Opmerking: deze tag heeft een afhankelijkheid van de AzureActiveDirectory-tag . |
Uitgaand | Ja | Ja |
| AzureLoadBalancer | De Load Balancer van de Azure-infrastructuur. De tag wordt omgezet in het virtuele IP-adres van de host (168.63.129.16) waar de Azure-statustests vandaan komen. Dit omvat alleen proefverkeer, geen echt verkeer naar uw backend-resource. Als u Azure Load Balancer niet gebruikt, kunt u deze regel overschrijven. | Beide | Nee | Nee |
| AzureMachineLearningInference | Deze servicetag wordt gebruikt om toegang vanuit openbare netwerken te beperken in scenario's voor inferentie die beheerd worden binnen een privénetwerk. | Inkomend | Nee | Ja |
| AzureManagedGrafana | Azure Managed Grafana-instantie-eindpunt. | Uitgaand | Nee | Ja |
| AzureMonitor | Log Analytics, Application Insights, Azure Monitor Workspace, AzMon en aangepaste metrische gegevens (GiG-eindpunten). Opmerking: Voor de Azure Monitor-agent is AzureResourceManager ook vereist. Voor de Log Analytics-agent is ook de opslagtag vereist. Als Linux Log Analytics-agents worden gebruikt, is ook de tag GuestAndHybridManagement vereist. (De verouderde Log Analytics-agent is vanaf 31 augustus 2024 afgeschaft.) |
Uitgaand | Nee | Ja |
| AzureOpenDatasets | Azure Open Datasets. Opmerking: deze tag heeft een afhankelijkheid van de AzureFrontDoor.Frontend - en Storage-tag . |
Uitgaand | Nee | Ja |
| AzurePlatformDNS | De basisinfrastructuur (standaard) DNS-service. U kunt deze tag gebruiken om de standaard-DNS uit te schakelen. Wees voorzichtig wanneer u deze tag gebruikt. We raden u aan overwegingen voor het Azure-platform te lezen. We raden u ook aan om tests uit te voeren voordat u deze tag gebruikt. |
Uitgaand | Nee | Nee |
| AzurePlatformIMDS | Azure Instance Metadata Service (IMDS), een basisinfrastructuurservice. U kunt deze tag gebruiken om de standaard-IMDS uit te schakelen. Wees voorzichtig wanneer u deze tag gebruikt. We raden u aan overwegingen voor het Azure-platform te lezen. We raden u ook aan om tests uit te voeren voordat u deze tag gebruikt. |
Uitgaand | Nee | Nee |
| AzurePlatformLKM | Windows-licentie- of sleutelbeheerservice. U kunt deze tag gebruiken om de standaardinstellingen voor licenties uit te schakelen. Wees voorzichtig wanneer u deze tag gebruikt. We raden u aan overwegingen voor het Azure-platform te lezen. We raden u ook aan om tests uit te voeren voordat u deze tag gebruikt. |
Uitgaand | Nee | Nee |
| AzureResourceManager | Azure Resource Manager. | Uitgaand | Nee | Ja |
| AzureSentinel | Microsoft Sentinel. | Inkomend | Nee | Ja |
| AzureSignalR | Azure SignalR. | Uitgaand | Nee | Ja |
| AzureSiteRecovery | Azure Site Recovery. Opmerking: deze tag heeft een afhankelijkheid van de tags AzureActiveDirectory, AzureKeyVault, EventHub, GuestAndHybridManagement en Storage . |
Uitgaand | Nee | Ja |
| AzureSphere | Deze tag of de IP-adressen waarop deze tag betrekking heeft, kunnen worden gebruikt om de toegang tot Azure Sphere-beveiligingsservices te beperken. | Beide | Nee | Ja |
| AzureSpringCloud | Verkeer naar toepassingen die worden gehost in Azure Spring Apps toestaan. | Uitgaand | Nee | Ja |
| AzureStack | Azure Stack Bridge-diensten. Deze tag vertegenwoordigt het Service-eindpunt van Azure Stack Bridge per regio. |
Uitgaand | Nee | Ja |
| AzureTrafficManager | Azure Traffic Manager test-IP-adressen. Zie Azure Traffic Manager FAQ voor meer informatie over probe IP-adressen van Traffic Manager. |
Inkomend | Nee | Ja |
| AzureUpdateDelivery | De Azure Update Delivery-servicetag die wordt gebruikt voor toegang tot Windows Updates, is afgeschaft.
Klanten wordt aangeraden geen afhankelijkheid te nemen van deze servicetag en voor klanten die deze al gebruiken, wordt geadviseerd om te migreren naar een van de volgende opties: Azure Firewall configureren voor uw Windows 10/11-apparaten zoals beschreven: • beheren • De Windows Server Update Services (WSUS) implementeren Plan de implementatie voor het bijwerken van Windows-VM's in Azure en ga vervolgens verder met stap 2: WSUS configureren voor meer informatie. Zie Wijzigingen die beschikbaar zijn in de Azure Update Delivery-servicetag |
Uitgaand | Nee | Ja |
| AzureWebPubSub | AzureWebPubSub | Beide | Ja | Ja |
| BatchNodeManagement | Beheerverkeer voor implementaties die zijn toegewezen aan Azure Batch. | Beide | Ja | Ja |
| ChaosStudio | Azure Chaos Studio. Opmerking: als u Application Insights-integratie hebt ingeschakeld op de Chaos Agent, is de AzureMonitor-tag ook vereist. |
Beide | Nee | Ja |
| CognitiveServicesFrontend | De adresbereiken voor verkeer voor de frontend-portalen van Azure AI-services. | Beide | Nee | Ja |
| CognitiveServicesManagement | De adresbereiken voor verkeer voor Azure AI-services. | Beide | Nee | Ja |
| DataFactory | Azure Data Factory | Beide | Ja | Ja |
| DataFactoryManagement | Beheerverkeer voor Azure Data Factory. | Uitgaand | Nee | Ja |
| Dynamics365ForMarketingEmail | De adresbereiken voor de marketinge-mailservice van Dynamics 365. | Beide | Ja | Ja |
| Dynamics365BusinessCentral | Deze tag of de IP-adressen waarop deze tag betrekking heeft, kunnen worden gebruikt om de toegang tot/met de Dynamics 365 Business Central Services te beperken. | Beide | Nee | Ja |
| EOPExternalPublishedIPs | Deze tag vertegenwoordigt de IP-adressen die worden gebruikt voor Security & Compliance Center PowerShell. Raadpleeg de |
Beide | Nee | Ja |
| EventHub | Azure Event Hubs. | Uitgaand | Ja | Ja |
| GatewayManager | Beheerverkeer voor implementaties die zijn toegewezen aan Azure VPN Gateway en Application Gateway. | Inkomend | Nee | Nee |
| GuestAndHybridManagement | Azure Automation en Gastconfiguratie. | Uitgaand | Nee | Ja |
| HDInsight | Azure HDInsight. | Inkomend | Ja | Ja |
| Internet | De IP-adresruimte die zich buiten het virtuele netwerk bevindt en bereikbaar is via het openbare internet. Het adresbereik bevat de openbare IP-adresruimte van Azure. |
Beide | Nee | Nee |
| KustoAnalytics | Kusto Analytics. | Beide | Nee | Nee |
| LogicApps | Logic Apps. | Beide | Nee | Ja |
| LogicAppsManagement | Beheer van verkeer voor Logic Apps. | Inkomend | Nee | Ja |
| M365ManagementActivityApi | De Office 365 Management Activity-API biedt informatie over verschillende activiteitenlogboeken van gebruikers, beheerders, systemen en beleidsacties en -gebeurtenissen uit de activiteitenlogboeken van Office 365 en Microsoft Entra. Klanten en partners kunnen deze informatie gebruiken om nieuwe bewerkingen, beveiliging en nalevingsbewakingsoplossingen voor de onderneming te maken of te verbeteren. Opmerking: deze tag heeft een afhankelijkheid van de AzureActiveDirectory-tag . |
Uitgaand | Ja | Ja |
| M365ManagementActivityApiWebhook | Meldingen worden verzonden naar de geconfigureerde webhook voor een abonnement wanneer er nieuwe inhoud beschikbaar komt. | Inkomend | Ja | Ja |
| MicrosoftAzureFluidRelay | Deze tag vertegenwoordigt de IP-adressen die worden gebruikt voor Azure Fluid Relay Server.
Opmerking: deze tag heeft een afhankelijkheid van de tag AzureFrontDoor.Frontend . |
Beide | Nee | Ja |
| MicrosoftCloudAppSecurity | Microsoft Defender voor Cloud-apps. | Beide | Nee | Ja |
| MicrosoftDefenderForEndpoint | Microsoft Defender voor Eindpunt kernservices. Opmerking: apparaten moeten worden ge onboardd met gestroomlijnde connectiviteit en voldoen aan de vereisten om deze servicetag te kunnen gebruiken. Defender voor Eindpunt/Server vereist extra servicetags, zoals OneDSCollector, om alle functionaliteit te ondersteunen. Voor meer informatie, zie Apparaten onboarden met gestroomlijnde connectiviteit voor Microsoft Defender voor Eindpunt |
Beide | Nee | Ja |
| PowerBI | Back-endservices en API-eindpunten van het Power BI-platform. |
Beide | Ja | Ja |
| PowerPlatformInfra | Deze tag vertegenwoordigt de IP-adressen die door de infrastructuur worden gebruikt voor het hosten van Power Platform-services. | Beide | Ja | Ja |
| PowerPlatformPlex | Deze tag vertegenwoordigt de IP-adressen die worden gebruikt door de infrastructuur voor het hosten van de Power Platform-extensie namens de klant. | Beide | Ja | Ja |
| PowerQueryOnline | Power Query Online. | Beide | Nee | Ja |
| Scuba | Gegevensconnectors voor Microsoft-beveiligingsproducten (Sentinel, Defender, enzovoort). | Inkomend | Nee | Nee |
| SerialConsole | Toegang tot opslagaccounts voor opstartdiagnoses beperken tot alleen de seriële console servicetag. | Inkomend | Nee | Ja |
| ServiceBus | Azure Service Bus-verkeer. | Uitgaand | Ja | Ja |
| ServiceFabric | Azure Service Fabric. Opmerking: Deze tag vertegenwoordigt het Service Fabric-service-eindpunt voor het besturingsvlak per regio. Hierdoor kunnen klanten beheerbewerkingen uitvoeren voor hun Service Fabric-clusters vanaf hun VNET-eindpunt. (Bijvoorbeeld https:// westus.servicefabric.azure.com). |
Beide | Nee | Ja |
| SQL | Azure SQL Database, Azure Database for MariaDB en Azure Synapse Analytics. Opmerking: deze tag vertegenwoordigt de service, maar niet specifieke exemplaren van de service. De tag vertegenwoordigt bijvoorbeeld de service Azure SQL Database, maar geen specifieke SQL-database of -server. Deze tag is niet van toepassing op sql Managed Instance. |
Uitgaand | Ja | Ja |
| SqlManagement | Beheerverkeer voor specifieke SQL-implementaties. | Beide | Nee | Ja |
| Opslag | Azure Storage. Opmerking: deze tag vertegenwoordigt de service, maar niet specifieke exemplaren van de service. De tag vertegenwoordigt bijvoorbeeld de service Azure Storage, maar geen specifiek Azure Storage-account. |
Uitgaand | Ja | Ja |
| StorageSyncService | Opslagsynchronisatieservice. | Beide | Nee | Ja |
| StorageMover | Opslagverplaatser. | Uitgaand | Ja | Ja |
| WindowsAdminCenter | Laat de back-endservice van Windows Admin Center communiceren met de Windows Admin Center-installatie van klanten. | Uitgaand | Nee | Ja |
| WindowsVirtualDesktop | Azure Virtual Desktop (voorheen Windows Virtual Desktop). | Beide | Nee | Ja |
| VideoIndexer | Video Indexer.
Hiermee kunnen klanten hun NSG openstellen voor de Video Indexer-service en callbacks ontvangen naar hun eigen service. |
Beide | Nee | Ja |
| VirtualNetwork | De adresruimte van het virtuele netwerk (alle IP-adresbereiken die zijn gedefinieerd voor het virtuele netwerk), alle verbonden on-premises adresruimten, gekoppelde virtuele netwerken, virtuele netwerken die zijn verbonden met een virtuele netwerkgateway, het virtuele IP-adres van de host en adresvoorvoegsels die worden gebruikt voor door de gebruiker gedefinieerde routes. Deze tag kan ook standaardroutes bevatten. | Beide | Nee | Nee |
Notitie
Wanneer u servicetags gebruikt met Azure Firewall, kunt u alleen doelregels maken voor inkomend en uitgaand verkeer. Bronregels worden niet ondersteund. Zie het document Azure Firewall Service Tags voor meer informatie.
Servicetags van Azure-services geven de adresvoorvoegsels aan van de specifieke cloud die wordt gebruikt. De onderliggende IP-bereiken die overeenkomen met de sql-tagwaarde in de openbare Azure-cloud, verschillen bijvoorbeeld van de onderliggende bereiken in de Microsoft Azure-cloud die worden beheerd door de 21Vianet-cloud.
Als u een service-eindpunt voor een virtueel netwerk implementeert voor een service, zoals Azure Storage of Azure SQL Database, voegt Azure een route toe aan een subnet van een virtueel netwerk voor de service. De adresvoorvoegsels in de route zijn dezelfde adresvoorvoegsels of CIDR-bereiken als die van de bijbehorende servicetag.
Tags die worden ondersteund in het klassieke implementatiemodel
Het klassieke implementatiemodel (vóór Azure Resource Manager) ondersteunt een kleine subset van de tags die in de vorige tabel worden vermeld. De tags in het klassieke implementatiemodel zijn anders gespeld, zoals wordt weergegeven in de volgende tabel:
| Resource Manager-tag | Bijbehorende tag in het klassieke implementatiemodel |
|---|---|
| AzureLoadBalancer | Azure Loadbalancer |
| Internet | Internet |
| VirtualNetwork | VIRTUEEL_NETWERK |
Tags die niet worden ondersteund voor door de gebruiker gedefinieerde routes (UDR)
Hier volgt een lijst met tags die momenteel niet worden ondersteund voor gebruik met door de gebruiker gedefinieerde routes (UDR).
AzurePlatformDNS
AzurePlatformIMDS
AzurePlatformLKM
VirtualNetwork
Azure LoadBalancer
Internet
Service-tags op locatie
U kunt de huidige servicetag- en bereikgegevens verkrijgen die u wilt opnemen als onderdeel van uw on-premises firewallconfiguraties. Deze informatie is de huidige point-in-time-lijst van de IP-bereiken die overeenkomen met elke servicetag. U moet de informatie programmatisch of via een JSON-bestand downloaden, zoals beschreven in de volgende secties.
De Service Tag Discovery-API gebruiken
U kunt de huidige lijst met servicetags programmatisch ophalen, samen met details van IP-adresbereik:
Als u bijvoorbeeld alle voorvoegsels voor de Storage Service Tag wilt ophalen, kunt u de volgende PowerShell-cmdlets gebruiken:
$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes
Notitie
- De API-gegevens vertegenwoordigen de tags die kunnen worden gebruikt met NSG-regels in uw regio. Gebruik de API-gegevens als de bron van waarheid voor beschikbare servicetags, omdat deze mogelijk anders zijn dan het downloadbare JSON-bestand.
- Het duurt maximaal 4 weken voordat nieuwe servicetaggegevens zijn doorgegeven in de API-resultaten in alle Azure-regio's. Vanwege dit proces zijn uw API-gegevensresultaten mogelijk niet gesynchroniseerd met het downloadbare JSON-bestand, omdat de API-gegevens een subset vertegenwoordigen van de tags die zich momenteel in het downloadbare JSON-bestand bevinden.
- U moet geverifieerd zijn en een rol met leesmachtigingen hebben voor uw huidige abonnement.
Servicetags detecteren met behulp van downloadbare JSON-bestanden
U kunt JSON-bestanden downloaden die de huidige lijst met servicetags bevatten, samen met details van IP-adresbereik. Deze lijsten worden wekelijks bijgewerkt en gepubliceerd. Locaties voor elke cloud zijn:
De IP-adresbereiken in deze bestanden bevinden zich in CIDR-notatie.
De volgende AzureCloud-tags hebben geen regionale namen die zijn opgemaakt volgens het normale schema:
AzureCloud.centralfrance (FranceCentral)
AzureCloud.southfrance (FranceSouth)
AzureCloud.duitslandwc (DuitslandWestCentraal)
AzureCloud.germanyn (GermanyNorth)
AzureCloud.norwaye (NoorwegenEast)
AzureCloud.norwayw (NorwayWest)
AzureCloud.switzerlandn (ZwitserlandNorth)
AzureCloud.switzerlandw (ZwitserlandWest)
AzureCloud.usstagee (EastUSSTG)
AzureCloud.usstagec (SouthCentralUSSTG)
AzureCloud.brazilse (BrazilSoutheast)
Aanbeveling
U kunt updates van de ene publicatie naar de volgende detecteren door verhoogde changeNumber-waarden in het JSON-bestand te noteren. Elke subsectie (bijvoorbeeld Storage.WestUS) heeft een eigen changeNumber dat wordt verhoogd wanneer er wijzigingen optreden. Het hoogste niveau van het changeNumber van het bestand wordt verhoogd wanneer een van de subsecties wordt gewijzigd.
Zie de PowerShell-documentatie van de Service Tag Discovery-API voor voorbeelden van het parseren van de servicetag-informatie (bijvoorbeeld alle adresbereiken voor Opslag in WestUS ophalen).
Wanneer er nieuwe IP-adressen worden toegevoegd aan servicetags, worden deze gedurende ten minste één week niet in Azure gebruikt. Hiermee kunt u alle systemen bijwerken die mogelijk de IP-adressen moeten bijhouden die zijn gekoppeld aan servicetags.
Volgende stappen
- Meer informatie over het maken van een netwerkbeveiligingsgroep.