Поделиться через


Разрешение URL-адресов портала Azure в брандмауэре или на прокси-сервере

Для оптимизации подключения между сетью, порталом Azure и его службами рекомендуется добавить определенные URL-адреса портала Azure в список разрешений. Это может улучшить производительность и подключение между локальной или глобальной сетью и облаком Azure.

Администраторы сети часто развертывают прокси-серверы, брандмауэры или другие устройства, которые могут помочь обеспечить безопасность и предоставить контроль над доступом пользователей к Интернету. Правила, предназначенные для защиты пользователей, иногда могут блокировать или замедлять бизнес-трафик, связанный с бизнесом. Этот трафик включает взаимодействие между вами и Azure через указанные здесь URL-адреса.

Совет

Чтобы диагностировать проблемы с сетевыми подключениями к этим доменам, проверьте https://portal.azure.com/selfhelp.

Теги службы можно использовать, чтобы определить элементы управления доступом к сети для групп безопасности сети, Брандмауэра Azure и определяемых пользователем маршрутов. Теги службы можно использовать вместо полных доменных имен (FQDN) или определенных IP-адресов при создании правил безопасности и маршрутов.

URL-адреса портала Azure для обхода прокси-сервера

Разрешенные конечные точки URL-адреса для портала Azure относятся к облаку Azure, в котором развернута ваша организация. Чтобы разрешить трафик к этим конечным точкам для обхода ограничений, выберите свое облако, а затем добавьте список URL-адресов в прокси-сервер или брандмауэр. Не рекомендуем добавлять дополнительные URL-адреса, связанные с порталом, кроме перечисленных здесь, хотя может потребоваться добавить URL-адреса, связанные с другими продуктами и службами корпорации Майкрософт. В зависимости от того, какие службы вы используете, включать все эти URL-адреса в число разрешенных может быть не нужно.

Внимание

Включение подстановочного знака (*) в начале конечной точки позволит всем поддоменам. Для конечных точек с подстановочными знаками мы также рекомендуем добавить URL-адрес без подстановочного знака. Например, следует добавить оба *.portal.azure.com элемента и portal.azure.com убедиться, что доступ к домену разрешен или без поддомена.

Избегайте добавления символа подстановочного знака в конечные точки, перечисленные здесь, которые еще не включают его. Вместо этого при определении дополнительных поддоменов конечной точки, необходимых для конкретного сценария, рекомендуется разрешить только этот поддомен.

Совет

Теги служб, необходимые для доступа к портал Azure (включая проверку подлинности и список ресурсов), являются AzureActiveDirectory, AzureResourceManager и AzureFrontDoor.Frontend. Доступ к другим службам может потребовать дополнительных разрешений, как описано ниже.
Однако существует вероятность того, что ненужное взаимодействие, отличное от обмена данными для доступа к порталу, также может быть разрешено. Если требуется детализированный контроль, требуется управление доступом на основе FQDN, например Брандмауэр Azure.

Проверка подлинности на портале Azure

login.microsoftonline.com
*.aadcdn.msftauth.net
*.aadcdn.msftauthimages.net
*.aadcdn.msauthimages.net
*.logincdn.msftauth.net
login.live.com
*.msauth.net
*.aadcdn.microsoftonline-p.com
*.microsoftonline-p.com

Платформа портала Azure

*.portal.azure.com
*.hosting.portal.azure.net
*.reactblade.portal.azure.net
management.azure.com
*.ext.azure.com
*.graph.windows.net
*.graph.microsoft.com

Данные учетной записи

*.account.microsoft.com
*.bmx.azure.com
*.subscriptionrp.trafficmanager.net
*.signup.azure.com

Общие службы и документация Azure

aka.ms (Microsoft short URL)
*.asazure.windows.net (Analysis Services)
*.azconfig.io (AzConfig Service)
*.aad.azure.com (Microsoft Entra)
*.aadconnecthealth.azure.com (Microsoft Entra)
ad.azure.com (Microsoft Entra)
adf.azure.com (Azure Data Factory)
api.aadrm.com (Microsoft Entra)
api.loganalytics.io (Log Analytics Service)
api.azrbac.mspim.azure.com (Microsoft Entra)
*.applicationinsights.azure.com (Application Insights Service)
appmanagement.activedirectory.microsoft.com (Microsoft Entra)
appservice.azure.com (Azure App Services)
*.arc.azure.net (Azure Arc)
asazure.windows.net (Analysis Services)
bastion.azure.com (Azure Bastion Service)
batch.azure.com (Azure Batch Service)
catalogapi.azure.com (Azure Marketplace)
catalogartifact.azureedge.net (Azure Marketplace)
changeanalysis.azure.com (Change Analysis)
cognitiveservices.azure.com (Cognitive Services)
config.office.com (Microsoft Office)
cosmos.azure.com (Azure Cosmos DB)
*.database.windows.net (SQL Server)
datalake.azure.net (Azure Data Lake Service)
dev.azure.com (Azure DevOps)
dev.azuresynapse.net (Azure Synapse)
digitaltwins.azure.net (Azure Digital Twins)
elm.iga.azure.com (Microsoft Entra)
eventhubs.azure.net (Azure Event Hubs)
functions.azure.com (Azure Functions)
gallery.azure.com (Azure Marketplace)
go.microsoft.com (Microsoft documentation placeholder)
help.kusto.windows.net (Azure Kusto Cluster Help)
identitygovernance.azure.com (Microsoft Entra)
iga.azure.com (Microsoft Entra)
informationprotection.azure.com (Microsoft Entra)
kusto.windows.net (Azure Kusto Clusters)
learn.microsoft.com (Azure documentation)
logic.azure.com (Logic Apps)
marketplacedataprovider.azure.com (Azure Marketplace)
marketplaceemail.azure.com (Azure Marketplace)
media.azure.net (Azure Media Services)
monitor.azure.com (Azure Monitor Service)
*.msidentity.com (Microsoft Entra)
mspim.azure.com (Microsoft Entra)
network.azure.com (Azure Network)
purview.azure.com (Azure Purview)
quantum.azure.com (Azure Quantum Service)
rest.media.azure.net (Azure Media Services)
search.azure.com (Azure Search)
servicebus.azure.net (Azure Service Bus)
servicebus.windows.net (Azure Service Bus)
shell.azure.com (Azure Command Shell)
sphere.azure.net (Azure Sphere)
azure.status.microsoft (Azure Status)
storage.azure.com (Azure Storage)
storage.azure.net (Azure Storage)
vault.azure.net (Azure Key Vault Service)
ux.console.azure.com (Azure Cloud Shell)

Примечание.

Трафик к этим конечным точкам использует стандартные TCP-порты для HTTP (80) и HTTPS (443).