プライベート エンドポイントのネットワーク ポリシーを管理する

既定では、仮想ネットワーク内のサブネットに対してネットワーク ポリシーは無効になっています。 ユーザー定義ルートやネットワーク セキュリティ グループのサポートなどのネットワーク ポリシーを使用するには、サブネットに対してネットワーク ポリシーのサポートを有効にする必要があります。 この設定は、サブネット内のプライベート エンドポイントにのみ適用され、サブネット内のすべてのプライベート エンドポイントに影響します。 サブネット内の他のリソースについては、ネットワーク セキュリティ グループのセキュリティ規則に基づいてアクセスが制御されます。

ネットワーク ポリシーは、ネットワーク セキュリティ グループのみ、ユーザー定義ルートのみ、またはその両方に対して有効にすることができます。

ユーザー定義ルートに対してネットワーク セキュリティ ポリシーを有効にする場合、仮想ネットワーク アドレス空間のプレフィックス長以上のカスタム アドレス プレフィックス長 (サブネット マスク) を使用して、プライベート エンドポイントによって伝達される /32 の既定のルートを無効にすることができます。 この機能は、プライベート エンドポイント接続要求がファイアウォールまたは仮想アプライアンスを確実に通過するようにしたい場合に役立つ可能性があります。 それ以外の場合、/32 の既定のルートでは、プレフィックスの最長一致アルゴリズムに従って、トラフィックがプライベート エンドポイントに直接送信されます。

重要

プライベート エンドポイント ルートを無効にするには、ユーザー定義ルートに、プライベート エンドポイントがプロビジョニングされている仮想ネットワーク アドレス空間以下のサイズのプレフィックスが必要です。 たとえば、ユーザー定義ルートの既定のルート (0.0.0.0/0) では、プライベート エンドポイントのアドレス空間よりも広い範囲が対象になるため、プライベート エンドポイント ルートは無効になりません。 プレフィックスの最長一致ルールでは、より限定的なアドレス プレフィックスの優先順位が高くなります。 さらに、プライベート エンドポイントをホストするサブネットでネットワーク ポリシーが有効になっていることを確認します。

プライベート エンドポイントのネットワーク ポリシーを有効または無効にするには、次の手順を使用します。

• Azure Portal
• Azure PowerShell
• Azure CLI
• Azure Resource Manager テンプレート (ARM テンプレート)

以下の例では、myResourceGroup という名前のリソース グループ内でホストされている 10.1.0.0/24 という default サブネットを持つ myVNet という名前の仮想ネットワークの PrivateEndpointNetworkPolicies を有効または無効にする方法について説明します。

ネットワーク ポリシーを有効にする

プライベート エンドポイントのネットワーク セキュリティ グループおよびルート テーブルを構成するには、次の手順に従います。

ポータル

1. Azure portal にサインインします。

2. ポータルの上部にある検索ボックスに、「仮想ネットワーク」と入力します。 [仮想ネットワーク] を選択します。

3. [myVNet] を選択します。

4. myVNET の設定で、[サブネット] を選択します。

5. 既定のサブネットを選択します。

6. [サブネットの編集] ペインの [プライベート エンドポイントのネットワーク ポリシー] で、必要に応じてネットワーク セキュリティ グループまたはルート テーブルのボックスをオンにします。

7. [保存] を選択します。

PowerShell

ポリシーを有効にするには、Get-AzVirtualNetwork、Set-AzVirtualNetworkSubnetConfig、および Set-AzVirtualNetwork を使用します。

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Enabled'  # Can be either 'Disabled', 'NetworkSecurityGroupEnabled', 'RouteTableEnabled', or 'Enabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

ポリシーを有効にするには、az network vnet subnet update を使用します。 Azure CLI では、値 true または false のみをサポートします。 ユーザー定義ルートまたはネットワーク セキュリティ グループに対してのみ、ポリシーを選択的に有効にすることはできません。

az network vnet subnet update \
  --disable-private-endpoint-network-policies false \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet

JSON

このセクションでは、ARM テンプレートを使用して、サブネットのプライベート エンドポイント ポリシーを有効にする方法について説明します。 privateEndpointNetworkPolicies で有効な値は、Disabled、NetworkSecurityGroupEnabled、RouteTableEnabled、Enabled です。

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Enabled" 
                                 } 
                         } 
                  ] 
          } 
} 

ネットワーク ポリシーを無効にする

ポータル

1. Azure portal にサインインします。

2. ポータルの上部にある検索ボックスに、「仮想ネットワーク」と入力します。 [仮想ネットワーク] を選択します。

3. [myVNet] を選択します。

4. myVNET の設定で、[サブネット] を選択します。

5. 既定のサブネットを選択します。

6. [サブネットの編集] ペインの [プライベート エンドポイントのネットワーク ポリシー] で、[無効化] のボックスをオンにします。

7. [保存] を選択します。

PowerShell

ポリシーを無効にするには、Get-AzVirtualNetwork、Set-AzVirtualNetwork、および Set-AzVirtualNetworkSubnetConfig を使用します。

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

$sub = @{
    Name = 'default'
    VirtualNetwork = $vnet
    AddressPrefix = '10.1.0.0/24'
    PrivateEndpointNetworkPoliciesFlag = 'Disabled'
}
Set-AzVirtualNetworkSubnetConfig @sub

$vnet | Set-AzVirtualNetwork

CLI

ポリシーを無効にするには、az network vnet subnet update を使用します。

az network vnet subnet update \
  --disable-private-endpoint-network-policies true \
  --name default \
  --resource-group myResourceGroup \
  --vnet-name myVNet
  

JSON

このセクションでは、ARM テンプレートを使用して、サブネットのプライベート エンドポイント ポリシーを無効にする方法について説明します。

{ 
          "name": "myVNet", 
          "type": "Microsoft.Network/virtualNetworks", 
          "apiVersion": "2019-04-01", 
          "location": "WestUS", 
          "properties": { 
                "addressSpace": { 
                     "addressPrefixes": [ 
                          "10.1.0.0/16" 
                        ] 
                  }, 
                  "subnets": [ 
                         { 
                                "name": "default", 
                                "properties": { 
                                    "addressPrefix": "10.1.0.0/24", 
                                    "privateEndpointNetworkPolicies": "Disabled" 
                                 } 
                         } 
                  ] 
          } 
} 

重要

プライベート エンドポイントには、ネットワーク ポリシー機能、ネットワーク セキュリティ グループ、ユーザー定義ルートに関する制限があります。 詳細については、制限に関するページを参照してください。

次のステップ

この攻略ガイドでは、Azure 仮想ネットワークでプライベート エンドポイントのネットワーク ポリシーを有効および無効にしました。 Azure portal、Azure PowerShell、Azure CLI、Azure Resource Manager テンプレートを使用して、プライベート エンドポイントのネットワーク ポリシーを管理する方法について学びました。

プライベート エンドポイントをサポートするサービスの詳細については、以下を参照してください。

プライベート エンドポイントとは