Разрешение URL-адресов портала Azure в брандмауэре или на прокси-сервере

  • Статья

Для оптимизации подключения между сетью, порталом Azure и его службами рекомендуется добавить определенные URL-адреса портала Azure в список разрешений. Это может улучшить производительность и подключение между локальной или глобальной сетью и облаком Azure.

Администраторы сети часто развертывают прокси-серверы, брандмауэры или другие устройства, которые могут помочь обеспечить безопасность и предоставить контроль над доступом пользователей к Интернету. Правила, предназначенные для защиты пользователей, иногда могут блокировать или замедлять бизнес-трафик, связанный с бизнесом. Этот трафик включает взаимодействие между вами и Azure через указанные здесь URL-адреса.

Совет

Чтобы диагностировать проблемы с сетевыми подключениями к этим доменам, проверьте https://portal.azure.com/selfhelp.

Теги службы можно использовать, чтобы определить элементы управления доступом к сети для групп безопасности сети, Брандмауэра Azure и определяемых пользователем маршрутов. Теги службы можно использовать вместо полных доменных имен (FQDN) или определенных IP-адресов при создании правил безопасности и маршрутов.

URL-адреса портала Azure для обхода прокси-сервера

Разрешенные конечные точки URL-адреса для портала Azure относятся к облаку Azure, в котором развернута ваша организация. Чтобы разрешить трафик к этим конечным точкам для обхода ограничений, выберите свое облако, а затем добавьте список URL-адресов в прокси-сервер или брандмауэр. Не рекомендуем добавлять дополнительные URL-адреса, связанные с порталом, кроме перечисленных здесь, хотя может потребоваться добавить URL-адреса, связанные с другими продуктами и службами корпорации Майкрософт. В зависимости от того, какие службы вы используете, включать все эти URL-адреса в число разрешенных может быть не нужно.

Важно!

Включение подстановочного знака (*) в начале конечной точки позволит использовать все поддомены. Для конечных точек с подстановочными знаками также рекомендуется добавить URL-адрес без подстановочного знака. Например, следует добавить и *.portal.azure.comportal.azure.com , чтобы гарантировать, что доступ к домену разрешен с поддоменом или без нее.

Не добавляйте подстановочный знак в перечисленные здесь конечные точки, которые еще не содержат его. Вместо этого при определении дополнительных поддоменов конечной точки, необходимых для конкретного сценария, рекомендуется разрешить только этот поддомен.

Совет

Теги службы, необходимые для доступа к портал Azure (включая проверку подлинности и список ресурсов), — это AzureActiveDirectory, AzureResourceManager и AzureFrontDoor.Frontend. Для доступа к другим службам могут потребоваться дополнительные разрешения, как описано ниже.
Однако существует вероятность того, что для доступа к порталу также может быть разрешено ненужное взаимодействие, отличное от обмена данными. Если требуется детализированное управление, требуется управление доступом на основе полного доменного имени, например Брандмауэр Azure.

Проверка подлинности на портале Azure

login.microsoftonline.com
*.aadcdn.msftauth.net
*.aadcdn.msftauthimages.net
*.aadcdn.msauthimages.net
*.logincdn.msftauth.net
login.live.com
*.msauth.net
*.aadcdn.microsoftonline-p.com
*.microsoftonline-p.com

Платформа портала Azure

*.portal.azure.com
*.hosting.portal.azure.net
*.reactblade.portal.azure.net
management.azure.com
*.ext.azure.com
*.graph.windows.net
*.graph.microsoft.com

Данные учетной записи

*.account.microsoft.com
*.bmx.azure.com
*.subscriptionrp.trafficmanager.net
*.signup.azure.com

Общие службы и документация Azure

aka.ms (Microsoft short URL)
*.asazure.windows.net (Analysis Services)
*.azconfig.io (AzConfig Service)
*.aad.azure.com (Microsoft Entra)
*.aadconnecthealth.azure.com (Microsoft Entra)
ad.azure.com (Microsoft Entra)
adf.azure.com (Azure Data Factory)
api.aadrm.com (Microsoft Entra)
api.loganalytics.io (Log Analytics Service)
api.azrbac.mspim.azure.com (Microsoft Entra)
*.applicationinsights.azure.com (Application Insights Service)
appservice.azure.com (Azure App Services)
*.arc.azure.net (Azure Arc)
asazure.windows.net (Analysis Services)
bastion.azure.com (Azure Bastion Service)
batch.azure.com (Azure Batch Service)
catalogapi.azure.com (Azure Marketplace)
catalogartifact.azureedge.net (Azure Marketplace)
changeanalysis.azure.com (Change Analysis)
cognitiveservices.azure.com (Cognitive Services)
config.office.com (Microsoft Office)
cosmos.azure.com (Azure Cosmos DB)
*.database.windows.net (SQL Server)
datalake.azure.net (Azure Data Lake Service)
dev.azure.com (Azure DevOps)
dev.azuresynapse.net (Azure Synapse)
digitaltwins.azure.net (Azure Digital Twins)
learn.microsoft.com (Azure documentation)
elm.iga.azure.com (Microsoft Entra)
eventhubs.azure.net (Azure Event Hubs)
functions.azure.com (Azure Functions)
gallery.azure.com (Azure Marketplace)
go.microsoft.com (Microsoft documentation placeholder)
help.kusto.windows.net (Azure Kusto Cluster Help)
identitygovernance.azure.com (Microsoft Entra)
iga.azure.com (Microsoft Entra)
informationprotection.azure.com (Microsoft Entra)
kusto.windows.net (Azure Kusto Clusters)
learn.microsoft.com (Azure documentation)
logic.azure.com (Logic Apps)
marketplacedataprovider.azure.com (Azure Marketplace)
marketplaceemail.azure.com (Azure Marketplace)
media.azure.net (Azure Media Services)
monitor.azure.com (Azure Monitor Service)
*.msidentity.com (Microsoft Entra)
mspim.azure.com (Microsoft Entra)
network.azure.com (Azure Network)
purview.azure.com (Azure Purview)
quantum.azure.com (Azure Quantum Service)
rest.media.azure.net (Azure Media Services)
search.azure.com (Azure Search)
servicebus.azure.net (Azure Service Bus)
servicebus.windows.net (Azure Service Bus)
shell.azure.com (Azure Command Shell)
sphere.azure.net (Azure Sphere)
azure.status.microsoft (Azure Status)
storage.azure.com (Azure Storage)
storage.azure.net (Azure Storage)
vault.azure.net (Azure Key Vault Service)
ux.console.azure.com (Azure Cloud Shell)

Примечание

Трафик к этим конечным точкам использует стандартные TCP-порты для HTTP (80) и HTTPS (443).