Zezwalaj na adresy URL Azure Portal na serwerze zapory lub serwera proxy

  • Artykuł

Aby zoptymalizować łączność między siecią a Azure Portal i jej usługami, warto dodać określone adresy URL Azure Portal do listy dozwolonych. Może to poprawić wydajność i łączność między siecią lokalną lub rozległą a chmurą platformy Azure.

Administratorzy sieci często wdrażają serwery proxy, zapory lub inne urządzenia, co może pomóc zabezpieczyć i zapewnić kontrolę nad sposobem, w jaki użytkownicy uzyskują dostęp do Internetu. Reguły przeznaczone do ochrony użytkowników mogą czasami blokować lub spowalniać legalny ruch internetowy związany z działalnością biznesową. Ten ruch obejmuje komunikację między Tobą a platformą Azure za pośrednictwem adresów URL wymienionych tutaj.

Porada

Aby uzyskać pomoc w diagnozowaniu problemów z połączeniami sieciowymi z tymi domenami, zobacz https://portal.azure.com/selfhelp.

Tagi usług umożliwiają definiowanie kontroli dostępu do sieci w sieciowych grupach zabezpieczeń, Azure Firewall i trasach zdefiniowanych przez użytkownika. Używaj tagów usług zamiast w pełni kwalifikowanych nazw domen (FQDN) lub określonych adresów IP podczas tworzenia reguł zabezpieczeń i tras.

Azure Portal adresy URL obejścia serwera proxy

Punkty końcowe adresów URL umożliwiające Azure Portal są specyficzne dla chmury platformy Azure, w której wdrożono organizację. Aby zezwolić na ruch sieciowy do tych punktów końcowych w celu obejścia ograniczeń, wybierz chmurę, a następnie dodaj listę adresów URL do serwera proxy lub zapory. Nie zalecamy dodawania dodatkowych adresów URL związanych z portalem poza adresami wymienionymi w tym miejscu, chociaż możesz dodać adresy URL związane z innymi produktami i usługami firmy Microsoft. W zależności od używanych usług może nie być konieczne uwzględnienie wszystkich tych adresów URL na liście dozwolonych.

Ważne

Dołączenie symbolu wieloznacznego (*) na początku punktu końcowego umożliwi wszystkie poddomeny. W przypadku punktów końcowych z symbolami wieloznacznymi zalecamy również dodanie adresu URL bez symbolu wieloznacznych. Na przykład należy dodać oba *.portal.azure.com elementy i portal.azure.com w celu zapewnienia, że dostęp do domeny jest dozwolony z poddomeną lub bez tej domeny.

Unikaj dodawania symbolu wieloznacznego do punktów końcowych wymienionych tutaj, które jeszcze ich nie zawierają. Zamiast tego, jeśli zidentyfikujesz dodatkowe poddomeny punktu końcowego, które są wymagane w danym scenariuszu, zalecamy zezwolenie tylko na określoną poddomenę.

Porada

Tagi usługi wymagane do uzyskania dostępu do Azure Portal (w tym uwierzytelnianie i lista zasobów) to AzureActiveDirectory, AzureResourceManager i AzureFrontDoor.Frontend. Dostęp do innych usług może wymagać dodatkowych uprawnień, jak opisano poniżej.
Istnieje jednak możliwość, że może być również dozwolona niepotrzebna komunikacja inna niż komunikacja w celu uzyskania dostępu do portalu. Jeśli wymagana jest szczegółowa kontrola, wymagana jest kontrola dostępu oparta na nazwach FQDN, taka jak Azure Firewall.

Uwierzytelnianie Azure Portal

login.microsoftonline.com
*.aadcdn.msftauth.net
*.aadcdn.msftauthimages.net
*.aadcdn.msauthimages.net
*.logincdn.msftauth.net
login.live.com
*.msauth.net
*.aadcdn.microsoftonline-p.com
*.microsoftonline-p.com

struktura Azure Portal

*.portal.azure.com
*.hosting.portal.azure.net
*.reactblade.portal.azure.net
management.azure.com
*.ext.azure.com
*.graph.windows.net
*.graph.microsoft.com

Dane konta

*.account.microsoft.com
*.bmx.azure.com
*.subscriptionrp.trafficmanager.net
*.signup.azure.com

Ogólne usługi i dokumentacja platformy Azure

aka.ms (Microsoft short URL)
*.asazure.windows.net (Analysis Services)
*.azconfig.io (AzConfig Service)
*.aad.azure.com (Microsoft Entra)
*.aadconnecthealth.azure.com (Microsoft Entra)
ad.azure.com (Microsoft Entra)
adf.azure.com (Azure Data Factory)
api.aadrm.com (Microsoft Entra)
api.loganalytics.io (Log Analytics Service)
api.azrbac.mspim.azure.com (Microsoft Entra)
*.applicationinsights.azure.com (Application Insights Service)
appservice.azure.com (Azure App Services)
*.arc.azure.net (Azure Arc)
asazure.windows.net (Analysis Services)
bastion.azure.com (Azure Bastion Service)
batch.azure.com (Azure Batch Service)
catalogapi.azure.com (Azure Marketplace)
catalogartifact.azureedge.net (Azure Marketplace)
changeanalysis.azure.com (Change Analysis)
cognitiveservices.azure.com (Cognitive Services)
config.office.com (Microsoft Office)
cosmos.azure.com (Azure Cosmos DB)
*.database.windows.net (SQL Server)
datalake.azure.net (Azure Data Lake Service)
dev.azure.com (Azure DevOps)
dev.azuresynapse.net (Azure Synapse)
digitaltwins.azure.net (Azure Digital Twins)
learn.microsoft.com (Azure documentation)
elm.iga.azure.com (Microsoft Entra)
eventhubs.azure.net (Azure Event Hubs)
functions.azure.com (Azure Functions)
gallery.azure.com (Azure Marketplace)
go.microsoft.com (Microsoft documentation placeholder)
help.kusto.windows.net (Azure Kusto Cluster Help)
identitygovernance.azure.com (Microsoft Entra)
iga.azure.com (Microsoft Entra)
informationprotection.azure.com (Microsoft Entra)
kusto.windows.net (Azure Kusto Clusters)
learn.microsoft.com (Azure documentation)
logic.azure.com (Logic Apps)
marketplacedataprovider.azure.com (Azure Marketplace)
marketplaceemail.azure.com (Azure Marketplace)
media.azure.net (Azure Media Services)
monitor.azure.com (Azure Monitor Service)
*.msidentity.com (Microsoft Entra)
mspim.azure.com (Microsoft Entra)
network.azure.com (Azure Network)
purview.azure.com (Azure Purview)
quantum.azure.com (Azure Quantum Service)
rest.media.azure.net (Azure Media Services)
search.azure.com (Azure Search)
servicebus.azure.net (Azure Service Bus)
servicebus.windows.net (Azure Service Bus)
shell.azure.com (Azure Command Shell)
sphere.azure.net (Azure Sphere)
azure.status.microsoft (Azure Status)
storage.azure.com (Azure Storage)
storage.azure.net (Azure Storage)
vault.azure.net (Azure Key Vault Service)
ux.console.azure.com (Azure Cloud Shell)

Uwaga

Ruch do tych punktów końcowych używa standardowych portów TCP dla protokołów HTTP (80) i HTTPS (443).