分享方式:


虛擬網路服務標籤

服務標籤代表來自指定 Azure 服務的一組 IP 位址首碼。 Microsoft 會管理服務標籤包含的位址前置詞,並隨著位址變更自動更新服務標籤,而盡可能簡化網路安全性規則頻繁的更新。

重要

雖然服務標籤可簡化啟用 IP 型存取控制清單 (ACL) 的功能,但如果不考慮服務的性質及其傳送的流量,則僅使用服務標籤不足以保護流量。 如需 IP 型 ACL 的詳細資訊,請參閱什麼是 IP 型存取控制清單 (ACL)?

有關流量性質的其他資訊可以在本文後面找到,其中涵蓋每個服務及其標籤。 確保您熟悉在使用 IP 型 ACL 的服務標籤時允許的流量非常重要。 請考慮新增安全性層級以保護您的環境。

您可以使用服務標籤來定義網路安全性群組Azure 防火牆與使用者定義路由的網路控制。 建立安全性規則和路由時,請以服務標籤取代特定的 IP 位址。 在規則的適當 [來源] 或安全性規則的 [目的地] 欄位中指定服務標籤名稱 (例如 ApiManagement),即可允許或拒絕對應服務的流量。 在路由位址首碼指定服務標籤名稱,您可以將流量從服務標籤封裝的首碼,傳送至所需的下一個躍點型別。

您可以使用服務標籤達成網路隔離,以及在存取具有公用端點的 Azure 服務時,防止從一般網際網路存取您的 Azure 資源。 建立輸入/輸出網路安全性群組規則,可拒絕進出於網際網路的流量,並允許 AzureCloud 或特定 Azure 服務的其他可用服務標籤的輸入/輸出流量。

使用服務標籤的 Azure 服務網路隔離

可用的服務標籤

下表包含可在網路安全性群組規則中使用的所有服務標籤。

資料行表示標籤是否:

  • 適用於涵蓋輸入或輸出流量的規則。
  • 支援區域範圍。
  • Azure 防火牆規則中,只能作為輸入或輸出流量的目的地規則使用。

根據預設,服務標籤會反映整個雲端的範圍。 某些服務標籤也會將對應的 IP 範圍限定為指定的區域,以提供更精細的控制。 例如,服務標籤 Storage 代表整個雲端的 Azure 儲存體,而 Storage.WestUS 則會將範圍縮小為僅限來自美國西部區域的儲存體 IP 位址範圍。 下表列出各個服務標籤是否支援這類區域範圍,為各標籤所列出的是建議方向。 例如,您可以使用 AzureCloud 標籤來允許輸入流量。 大部分情況下並不建議允許來自所有 Azure IP 的流量,因為其他 Azure 客戶所使用的 IP 會包含在服務標籤中。

標籤 目的 可以使用輸入還是輸出? 是否可為區域性? 是否可與 Azure 防火牆搭配使用?
ActionGroup 動作群組。 傳入 No Yes
ApiManagement Azure API 管理專用部署的管理流量。

注意:此標籤代表各區域控制平面的 Azure API 管理服務端點。 這個標籤可讓客戶對 API 管理服務上所設定的 API、作業、原則、NamedValues 執行管理作業。
傳入 Yes Yes
ApplicationInsightsAvailability Application Insights 可用性。 傳入 No Yes
AppConfiguration 應用程式組態。 輸出 No Yes
AppService Azure App Service。 對於 Web 應用程式和函式應用程式的輸出安全性規則,建議使用此標籤。

附註:此標籤不包含使用 IP 型 SSL (應用程式指派位址) 時指派的 IP 位址。
出埠 Yes Yes
AppServiceManagement App Service 環境專用部署的管理流量。 兩者 No Yes
AzureActiveDirectory Microsoft Entra ID. 輸出 No Yes
AzureActiveDirectoryDomainServices Microsoft Entra 網域服務專用部署的管理流量。 兩者 No Yes
AzureAdvancedThreatProtection 適用於身分識別的 Microsoft Defender。 輸出 No Yes
AzureArcInfrastructure Azure Arc 啟用的伺服器、Azure Arc 啟用的 Kubernetes 和來賓設定流量。

注意:此標籤相依於 AzureActiveDirectoryAzureTrafficManagerAzureResourceManager 標籤。
輸出 No Yes
AzureAttestation Azure 證明。 輸出 No Yes
AzureBackup Azure 備份。

注意:此標籤相依於 StorageAzureActiveDirectory 標籤。
輸出 No Yes
AzureBotService Azure Bot Service。 兩者 No Yes
AzureCloud 所有的資料中心公用 IP 位址。 此標籤不包含 IPv6。 兩者 Yes Yes
AzureCognitiveSearch Azure AI 搜尋服務。

此標籤指定了搜尋服務用於基於索引器的索引編製的多租戶執行環境的 IP 範圍。

附註:此服務標籤不涵蓋搜尋服務本身的 IP。 在 Azure 資源的防火牆組態中,您應該指定服務標籤以及搜尋服務本身的特定 IP 位址。
傳入 No Yes
AzureConnectors 此標記代表受控連接器所使用的 IP 位址,可對 Azure Logic Apps 服務進行輸入 webhook 回撥,以及對其各自的服務進行輸出呼叫,例如 Azure 儲存體或 Azure 事件中樞。 兩者 Yes Yes
AzureContainerAppsService Azure 容器應用程式服務 兩者 No
AzureContainerRegistry Azure Container Registry。 出埠 Yes Yes
AzureCosmosDB Azure Cosmos DB。 出埠 Yes Yes
AzureDatabricks Azure Databricks。 兩者 No Yes
AzureDataExplorerManagement Azure 資料總管管理。 傳入 No Yes
AzureDeviceUpdate IoT 中樞裝置更新。 兩者 No Yes
AzureDevOps Azure DevOps。 傳入 Yes Yes
AzureDigitalTwins Azure Digital Twins。

注意:您可以使用此標籤或此標籤所涵蓋的 IP 位址,來限制存取為事件路由所設定的端點。
傳入 No Yes
AzureEventGrid Azure 事件格線。 兩者 No Yes
AzureFrontDoor.Frontend
AzureFrontDoor.Backend
AzureFrontDoor.FirstParty
前端服務標籤包含用戶端用來連線 Front Door 的 IP 位址。 當您想要控制可以連線至 Azure Front Door 後方服務的輸出流量時,您可以套用 AzureFrontDoor.Frontend 服務標籤。 後端服務標籤包含 Azure Front Door 用來存取您的來源的 IP 位址。 設定來源的安全性時,您可以套用此服務標籤。 FirstParty 是針對 Azure Front Door 上裝載的 Microsoft 服務的選取群組保留的特殊標籤。 兩者 Yes Yes
AzureHealthcareAPIs 此標籤所涵蓋的 IP 位址,可用來限制對 Azure 健康資料服務的存取。 兩者 No Yes
AzureInformationProtection Azure 資訊保護。

注意: 此標相依於 AzureActiveDirectoryAzureFrontDoor.FrontendAzureFrontDoor.FirstParty 標籤。
輸出 No Yes
AzureIoTHub Azure IoT 中樞。 出埠 Yes Yes
AzureKeyVault Azure Key Vault。

注意:此標籤相依於 AzureActiveDirectory 標籤。
出埠 Yes Yes
AzureLoadBalancer Azure 基礎結構負載平衡器。 此標籤會轉譯成作為 Azure 健康情況探查來源的主機虛擬 IP 位址 (168.63.129.16)。 這只包括探查流量,而不是您後端資源的實際流量。 如果您未使用 Azure Load Balancer,則可以覆寫此規則。 兩者 No No
AzureMachineLearningInference 此服務標籤用於限制私人網路受控推斷案例中的公用網路輸入。 傳入 No Yes
AzureManagedGrafana Azure 受控 Grafana 執行個體端點。 輸出 No Yes
AzureMonitor Log Analytics、Application Insights、Azure 監視器工作區、AzMon 及自訂計量 (GiG 端點)。

注意:若為 Log Analytics,則也需要 Storage 標籤。 如果使用 Linux 代理程式,則也需要 GuestAndHybridManagement 標籤。
輸出 No Yes
AzureOpenDatasets Azure 開放資料集。

注意:此標籤相依於 AzureFrontDoor.FrontendStorage 標籤。
輸出 No Yes
AzurePlatformDNS 基本基礎結構 (預設) DNS 服務。

您可以使用此標籤來停用預設 DNS。 使用此標籤時請多加留意。 建議您閱讀 Azure 平台的考量。 此外也建議您在使用此標籤前先執行測試。
輸出 No No
AzurePlatformIMDS Azure Instance Metadata Service (IMDS),這是基本的基礎結構服務。

您可以使用此標籤來停用預設 IMDS。 使用此標籤時請多加留意。 建議您閱讀 Azure 平台的考量。 此外也建議您在使用此標籤前先執行測試。
輸出 No No
AzurePlatformLKM Windows 授權或金鑰管理服務。

您可以使用此標籤來停用授權的預設值。 使用此標籤時請多加留意。 建議您閱讀 Azure 平台的考量。 此外也建議您在使用此標籤前先執行測試。
輸出 No No
AzureResourceManager Azure Resource Manager。 輸出 No Yes
AzureSentinel Microsoft Sentinel。 傳入 No Yes
AzureSignalR Azure SignalR。 輸出 No Yes
AzureSiteRecovery Azure Site Recovery。

注意:此標籤相依於 AzureActiveDirectoryAzureKeyVaultEventHubGuestAndHybridManagementStorage 標籤。
輸出 No Yes
AzureSphere 此標籤或此標籤所涵蓋的 IP 位址,可用來限制對 Azure Sphere 安全性服務的存取。 兩者 No Yes
AzureSpringCloud 允許流量流向裝載在 Azure Spring 應用程式中的應用程式。 輸出 No Yes
AzureStack Azure Stack 橋接器服務。
此標籤代表每個區域的 Azure Stack 橋接器服務端點。
輸出 No Yes
AzureTrafficManager Azure 流量管理員探查 IP 位址。

如需流量管理員探查 IP 位址的詳細資訊,請參閱 Azure 流量管理員常見問題集
傳入 No Yes
AzureUpdateDelivery 用於存取 Windows Update 的 Azure 更新傳遞服務標籤已標示為淘汰,未來將停用。

建議客戶不要依賴此服務標籤,對於已使用其的客戶,建議移轉到下列其中一個選項:

依照所述為您的 Windows 10/11 裝置設定 Azure 防火牆:

管理 Windows 11 企業版的連線端點

管理 Windows 10 企業版 21H2 版的連線端點

部署 Windows Server Update Services (WSUS)

規劃部署以更新 Azure 中的 Windows VM, 然後繼續執行
步驟 2:設定 WSUS
輸出 No Yes
AzureWebPubSub AzureWebPubSub 兩者 Yes Yes
BatchNodeManagement Azure Batch 專用部署的管理流量。 兩者 Yes Yes
ChaosStudio Azure Chaos Studio。

附註:如果您已在混沌代理程式上啟用 Application Insights 整合,則也需要 AzureMonitor 標籤。
兩者 No Yes
CognitiveServicesFrontend Azure AI 服務前端入口網站流量的位址範圍。 兩者 No Yes
CognitiveServicesManagement Azure AI 服務流量的位址範圍。 兩者 No Yes
DataFactory Azure Data Factory 兩者 Yes Yes
DataFactoryManagement Azure Data Factory 的管理流量。 輸出 No Yes
Dynamics365ForMarketingEmail Dynamics 365 行銷電子郵件服務的位址範圍。 兩者 Yes Yes
Dynamics365BusinessCentral 此標籤或此標籤所涵蓋的 IP 位址可用來限制往返 Dynamics 365 Business Central Services 的存取。 兩者 No Yes
EOPExternalPublishedIPs 此標記代表安全性與合規性中心 PowerShell 所使用的 IP 位址。 如需更多詳細資料,請參閱使用 EXO V2 模組連線至安全性與合規性中心 PowerShell 兩者 No Yes
EventHub Azure 事件中樞。 出埠 Yes Yes
GatewayManager Azure VPN 閘道和應用程式閘道專用部署的管理流量。 傳入 No No
GuestAndHybridManagement Azure 自動化和來賓設定。 輸出 No Yes
HDInsight Azure HDInsight。 傳入 Yes Yes
網際網路 位於虛擬網路以外、可透過公用網際網路存取的 IP 位址空間。

此位址範圍也包括 Azure 擁有的公用 IP 位址空間
兩者 No No
KustoAnalytics Kusto Analytics。 兩者 No No
LogicApps 邏輯應用程式。 兩者 No Yes
LogicAppsManagement Logic Apps 的管理流量。 傳入 No Yes
M365ManagementActivityApi Office 365 管理活動 API 可從 Office 365 和 Microsoft Entra 活動記錄中,提供各種使用者、管理員、系統和原則動作以及事件的相關資訊。 客戶和合作夥伴可以使用此資訊來建立新的或增強企業現有的作業、安全性和合規性監視解決方案。

注意:此標籤相依於 AzureActiveDirectory 標籤。
出埠 Yes Yes
M365ManagementActivityApiWebhook 當新的內容可供使用時,通知會傳送給訂用帳戶的已設定 Webhook。 傳入 Yes Yes
MicrosoftAzureFluidRelay 此標籤代表 Azure Microsoft 流體轉送伺服器所使用的 IP 位址。
注意:此標籤相依於 AzureFrontDoor.Frontend 標籤。
輸出 No Yes
MicrosoftCloudAppSecurity 適用於雲端的 Microsoft Defender 應用程式。 輸出 No Yes
MicrosoftDefenderForEndpoint 適用於端點的 Microsoft Defender 核心服務。

附註:裝置需要透過簡化的連線進行上線並符合需求才能使用此服務標籤。 適用於端點/伺服器的 Defender 需要其他服務標籤 (例如 OneDSCollector) 才能支援所有功能。

如需詳細資訊,請參閱使用針對適用於端點的 Microsoft Defender 的簡化連線將裝置上線
兩者 No Yes
PowerBI Power BI 平台後端服務和 API 端點。

附註: 目前不包含前端端點 (例如 app.powerbi.com)。

應透過 AzureCloud 標籤來提供前端端點的存取 (輸出、HTTPS 可以是區域)。
兩者 No Yes
PowerPlatformInfra 此標籤代表基礎結構用來裝載 Power Platform 服務的 IP 位址。 兩者 Yes Yes
PowerPlatformPlex 此標籤代表基礎結構用來代表客戶裝載 Power Platform 延伸模組執行的 IP 位址。 兩者 Yes Yes
PowerQueryOnline Power Query Online。 兩者 No Yes
Scuba Microsoft 安全性產品的資料連接器 (Sentinel、Defender 等)。 傳入 No No
SerialConsole 限制僅能透過序列主控台服務標籤存取開機診斷儲存體帳戶 傳入 No Yes
ServiceBus 使用進階服務層級的 Azure 服務匯流排流量。 出埠 Yes Yes
ServiceFabric Azure Service Fabric.

注意:此標籤代表各區域控制平面的 Service Fabric 服務端點。 如此可讓客戶從其 VNet 端點執行 Service Fabric 叢集的管理作業。 (例如,https:// westus.servicefabric.azure.com)。
兩者 No Yes
Sql Azure SQL 資料庫、適用於 MySQL 的 Azure 資料庫單一伺服器、適用於 PostgreSQL 的 Azure 資料庫單一伺服器、適用於 MariaDB 的 Azure 資料庫,以及 Azure Synapse Analytics。

注意:此標籤代表服務,但不代表服務的特定執行個體。 例如,標籤代表 SQL Database 或伺服器服務,但不代表特定的 Azure SQL Database。 此標籤不適用於 SQL 受控執行個體。
出埠 Yes Yes
SqlManagement SQL 專用部署的管理流量。 兩者 No Yes
Storage Azure 儲存體。

注意:此標籤代表服務,但不代表服務的特定執行個體。 例如,標籤代表 Azure 儲存體服務,但不代表特定的 Azure 儲存體帳戶。
出埠 Yes Yes
StorageSyncService 儲存體同步服務。 兩者 No Yes
StorageMover Storage Mover。 出埠 Yes Yes
WindowsAdminCenter 允許 Windows Admin Center 後端服務與客戶的 Windows Admin Center 安裝進行通訊。 輸出 No Yes
WindowsVirtualDesktop Azure 虛擬桌面 (先前為 Windows 虛擬桌面)。 兩者 No Yes
VideoIndexer Video Indexer。
用來允許客戶向 Video Indexer 服務開放 NSG,並接收對其服務的回撥。
兩者 No Yes
VirtualNetwork 虛擬網路位址空間 (針對虛擬網路定義的所有 IP 位址範圍)、所有已連線的內部部署位址空間、對等互連的虛擬網路、已連線至虛擬網路閘道的虛擬網路、主機的虛擬 IP 位址,以及在使用者定義的路由上使用的位址前置詞。 此標籤可能也會包含預設路由。 兩者 No

注意

  • 搭配 Azure 防火牆使用服務標籤時,您只能在輸入和輸出流量上建立目的地規則。 不支援來源規則。 如需詳細資訊,請參閱 Azure 防火牆服務標籤文件。

  • Azure 服務的服務標籤代表所使用之特定雲端中的位址首碼。 例如,與 Azure 公用雲端上的 Sql 標籤值相對應的基礎 IP 範圍,會與由 21Vianet 營運的 Microsoft Azure 雲端上的基礎範圍不同。

  • 如果您對服務 (例如 Azure 儲存體或 Azure SQL Database) 實作虛擬網路服務端點,Azure 會將路由新增至服務的虛擬網路子網路。 路由中的位址首碼是與對應的服務標籤相同的位址首碼或 CIDR 範圍。

傳統部署模型中支援的標籤

在傳統部署模型中 (Azure Resource Manager 之前),可支援上表所列出標籤的小型子集。 傳統部署模型中標籤的拼寫不同,如下表所示:

Resource Manager 標籤 傳統部署模型中的對應標籤
AzureLoadBalancer AZURE_LOADBALANCER
網際網路 網際網路
VirtualNetwork VIRTUAL_NETWORK

使用者定義路由 (UDR) 不支援的標籤

以下是目前不支援用於使用者定義路由 (UDR) 的標籤清單。

  • AzurePlatformDNS

  • AzurePlatformIMDS

  • AzurePlatformLKM

  • VirtualNetwork

  • AzureLoadBalancer

  • 網際網路

內部部署服務標籤

您可以取得目前的服務標籤和範圍資訊,並將其納入為內部部署防火牆設定的一部分。 這項資訊是與每個服務標籤相對應之 IP 範圍的目前時間點清單。 您可以透過程式設計方式或 JSON 檔案下載來取得資訊,如以下幾節所說明。

使用服務標籤探索 API

您可以透過程式設計方式,將目前的服務標籤清單連同 IP 位址範圍詳細資料一起擷取:

例如,若要擷取儲存體服務標籤的所有前置詞,您可以使用下列 PowerShell Cmdlet:

$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes

注意

  • API 資料代表可在您的區域中搭配 NSG 規則使用的標籤。 使用 API 資料作為可用服務標籤的真相來源,因為它可能與 JSON 可下載的檔案不同。
  • 新服務標籤資料最多需要 4 週的時間,才能在所有 Azure 區域的 API 結果中傳播。 因為這個程序,您的 API 資料結果可能與可下載的 JSON 檔案不同步,因為 API 資料代表目前在可下載 JSON 檔案中的標籤子集。
  • 您必須經過驗證,且擁有您目前訂用帳戶讀取權限的角色。

使用可下載的 JSON 檔案探索服務標籤

您可以下載 JSON 檔案,其中包含目前的服務標籤清單以及 IP 位址範圍詳細資料。 這些清單會每週更新並發佈。 每個雲端的位置如下:

這些檔案中的 IP 位址範圍是以 CIDR 標記法表示。

下列 AzureCloud 標籤不會根據一般結構描述來設定區域名稱格式:

  • AzureCloud.centralfrance (FranceCentral)

  • AzureCloud.southfrance (FranceSouth)

  • AzureCloud.germanywc (GermanyWestCentral)

  • AzureCloud.germanyn (GermanyNorth)

  • AzureCloud.norwaye (NorwayEast)

  • AzureCloud.norwayw (NorwayWest)

  • AzureCloud.switzerlandn (SwitzerlandNorth)

  • AzureCloud.switzerlandw (SwitzerlandWest)

  • AzureCloud.usstagee (EastUSSTG)

  • AzureCloud.usstagec (SouthCentralUSSTG)

  • AzureCloud.brazilse (BrazilSoutheast)

提示

  • 您可以記下 JSON 檔案中增長的 changeNumber 值,藉以偵測某個發行集的更新。 每個子區段 (例如 Storage.WestUS) 都會其本身的 changeNumber,會隨著變更而遞增。 當任何子區段變更時,檔案的 changeNumber 的最上層就會遞增。

  • 如需如何剖析服務標籤資訊的範例 (例如,取得美國西部的儲存體所有的位址範圍),請參閱服務標籤探索 API PowerShell 文件。

  • 當新的 IP 位址新增至服務標籤時,至少一週將不會用於 Azure 中。 這讓您有時間更新可能需要追蹤與服務標籤相關 IP 位址的任何系統。

下一步