若要將網路與 Azure 入口網站及其服務之間的連線最佳化,您可以將特定的 Azure 入口網站 URL 加入至允許清單。 這樣做可以改善本機或廣域網路與 Azure 雲端之間的效能和連線能力。
網路管理員通常會部署 Proxy 伺服器、防火牆或其他裝置,協助保護並控制使用者對網際網路的存取。 設計來保護使用者的規則有時會封鎖或減緩合法的商務相關網際網路流量。 此流量包含您與 Azure 之間透過此處所列 URL 進行的通訊。
秘訣
如需診斷這些網域的網路連線問題的協助,請瀏覽 自我診斷。
您可以使用服務標籤來定義網路安全性群組、Azure 防火牆與使用者定義路由的網路存取控制。 建立安全性規則和路由時,請使用服務標籤取代完整網域名稱 (FQDN) 或特定 IP 位址。
適用於略過 Proxy 的 Azure 入口網站 URL
Azure 入口網站的 URL 端點是針對組織部署所在的特定 Azure 雲端服務而設計的。 若要允許這些端點的網路流量略過限制,請選取您的雲端,然後將 URL 清單新增至 Proxy 伺服器或防火牆。 除了此處所列的 URL 之外,我們不建議新增任何其他入口網站相關 URL,雖然您可能想要新增與其他 Microsoft 產品和服務相關的 URL。 根據您使用的服務,您可能不需要在允許清單中納入所有這些 URL。
重要
在端點開頭包含萬用字元符號 (*) 會允許所有子網域。 對於具有萬用字元的端點,我們也建議您新增不含萬用字元的 URL。 例如,您應該新增 *.portal.azure.com 和 portal.azure.com,以確保無論有或沒有子網域都允許存取該網域。
請勿在尚未包含萬用字元符號的此處所列端點中新增萬用字元符號。 而是,如果您確定您的特定場景需要某個端點的額外子網域時,我們建議您只允許該特定的子網域。
秘訣
存取 Azure 入口網站 所需的服務標籤(包括驗證和資源清單)為 AzureActiveDirectory、AzureResourceManager、AzureFrontDoor.Frontend 和 AzureFrontDoor.FirstParty。 存取其他服務可能需要額外的權限,如下所述。
不過,也可能會允許除了存取入口網站所需通訊之外的其他不必要的通訊。 如果需要精細控制,則需要基於 FQDN 的存取控制 (例如 Azure 防火牆)。
Azure 入口網站驗證
login.microsoftonline.com
*.aadcdn.msftauth.net
*.aadcdn.msftauthimages.net
*.aadcdn.msauthimages.net
*.logincdn.msftauth.net
login.live.com
*.msauth.net
*.aadcdn.microsoftonline-p.com
*.microsoftonline-p.com
重要
視您的環境而定,您可能需要允許與驗證相關的其他 URL,例如 Microsoft 365 URL 和 IP 位址範圍 中第 56、59 和 97 節所列的 URL。
Azure 入口網站結構
*.portal.azure.com
*.hosting.portal.azure.net
*.reactblade.portal.azure.net
management.azure.com
*.ext.azure.com
*.graph.windows.net
*.graph.microsoft.com
hosting.partners.azure.net
客戶資料
*.account.microsoft.com
*.bmx.azure.com
*.subscriptionrp.trafficmanager.net
*.signup.azure.com
一般 Azure 服務和文件
aka.ms (Microsoft short URL)
*.asazure.windows.net (Analysis Services)
*.azconfig.io (AzConfig Service)
*.aad.azure.com (Microsoft Entra)
*.aadconnecthealth.azure.com (Microsoft Entra)
ad.azure.com (Microsoft Entra)
adf.azure.com (Azure Data Factory)
api.aadrm.com (Microsoft Entra)
api.loganalytics.io (Log Analytics Service)
api.azrbac.mspim.azure.com (Microsoft Entra)
*.applicationinsights.azure.com (Application Insights Service)
appmanagement.activedirectory.microsoft.com (Microsoft Entra)
appservice.azure.com (Azure App Services)
*.arc.azure.net (Azure Arc)
asazure.windows.net (Analysis Services)
bastion.azure.com (Azure Bastion Service)
batch.azure.com (Azure Batch Service)
catalogapi.azure.com (Azure Marketplace)
catalogartifact.azureedge.net (Azure Marketplace)
changeanalysis.azure.com (Change Analysis)
cognitiveservices.azure.com (Cognitive Services)
config.office.com (Microsoft Office)
cosmos.azure.com (Azure Cosmos DB)
*.database.windows.net (SQL Server)
datalake.azure.net (Azure Data Lake Service)
dev.azure.com (Azure DevOps)
dev.azuresynapse.net (Azure Synapse)
digitaltwins.azure.net (Azure Digital Twins)
elm.iga.azure.com (Microsoft Entra)
eventhubs.azure.net (Azure Event Hubs)
functions.azure.com (Azure Functions)
gallery.azure.com (Azure Marketplace)
go.microsoft.com (Microsoft documentation placeholder)
help.kusto.windows.net (Azure Kusto Cluster Help)
identitygovernance.azure.com (Microsoft Entra)
iga.azure.com (Microsoft Entra)
informationprotection.azure.com (Microsoft Entra)
kusto.windows.net (Azure Kusto Clusters)
learn.microsoft.com (Azure documentation)
logic.azure.com (Logic Apps)
marketplacedataprovider.azure.com (Azure Marketplace)
main.prod.marketplacedataprovider.azure.com (Azure Marketplace)
marketplaceemail.azure.com (Azure Marketplace)
media.azure.net (Azure Media Services)
monitor.azure.com (Azure Monitor Service)
*.msidentity.com (Microsoft Entra)
mspim.azure.com (Microsoft Entra)
network.azure.com (Azure Network)
purview.azure.com (Azure Purview)
quantum.azure.com (Azure Quantum Service)
rest.media.azure.net (Azure Media Services)
search.azure.com (Azure Search)
servicebus.azure.net (Azure Service Bus)
servicebus.windows.net (Azure Service Bus)
shell.azure.com (Azure Command Shell)
sphere.azure.net (Azure Sphere)
azure.status.microsoft (Azure Status)
storage.azure.com (Azure Storage)
storage.azure.net (Azure Storage)
vault.azure.net (Azure Key Vault Service)
ux.console.azure.com (Azure Cloud Shell)
附註
這些端點的流量會使用標準的 TCP 通訊埠,分別為 HTTP (80) 和 HTTPS (443)。