次の方法で共有


仮想ネットワーク サービス タグ

サービス タグは、指定された Azure サービスからの IP アドレス プレフィックスのグループを表します。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。これにより、ネットワーク セキュリティ規則に対する頻繁な更新の複雑さを最小限に抑えられます。

重要

サービス タグは IP ベースのアクセス制御リスト (ACL) を有効にする機能を簡素化しますが、サービス タグだけでは、サービスの性質と送信されるトラフィックを考慮せずにトラフィックをセキュリティで保護するには十分ではありません。 IP ベースの ACL の詳細については、「IP ベースのアクセス制御リスト (ACL) とは」をご覧ください。

トラフィックの性質に関する追加情報については、この記事の後半で各サービスとそのタグについて説明します。 IP ベースの ACL にサービス タグを使用するときに許可するトラフィックをよく理解していることが重要です。 お使いの環境を保護するために、追加のレベルのセキュリティを検討してください。

サービス タグを使用して、ネットワーク セキュリティ グループAzure Firewall、ユーザー定義ルートでのネットワーク アクセスの制御を定義できます。 セキュリティ規則とルートを作成するときに、特定の IP アドレスの代わりにサービス タグを使用します。 セキュリティ規則の適切な "ソース" または "宛先" フィールドにサービス タグ名 (ApiManagement など) を指定することにより、対応するサービスのトラフィックを許可または拒否できます。 ルートのアドレス プレフィックスにサービス タグ名を指定することで、サービス タグによってカプセル化された任意のプレフィックスを対象としたトラフィックを目的のネクスト ホップの種類にルーティングできます。

サービス タグを使用すると、ネットワーク分離を実現し、パブリック エンドポイントを持つ Azure サービスへのアクセス時に一般のインターネットから Azure リソースを保護できます。 受信/送信ネットワーク セキュリティ グループ規則を作成して、インターネットとの間のトラフィックを拒否し、AzureCloud または他の特定の Azure サービスの利用可能なサービス タグとの間のトラフィックを許可します。

サービス タグを使用した Azure サービスのネットワーク分離

利用可能なサービス タグ

次の表には、ネットワーク セキュリティ グループの規則で使用できるすべてのサービス タグが含まれています。

各列は、タグが次を満たすかどうかを示しています。

  • 受信または送信トラフィックを扱う規則に適している。
  • リージョン スコープをサポートしている。
  • 受信または送信トラフィックの "宛先" 規則としてのみ Azure Firewall 規則で使用可能である。

既定では、サービス タグにはクラウド全体の範囲が反映されます。 サービス タグによっては、対応する IP 範囲を指定されたリージョンに制限することで、より詳細な制御を実現することもできます。 たとえば、サービス タグ Storage はクラウド全体の Azure Storage を表していますが、Storage.WestUS を使用すると、WestUS リージョンのストレージ IP アドレスのみに範囲が限定されます。 次の表は、各サービス タグがこのようなリージョン スコープをサポートしているかどうかを示し、各タグで示されている方向は推奨事項です。 たとえば、AzureCloud タグを使用して受信トラフィックを許可することができます。 ほとんどのシナリオでは、他の Azure ユーザーによって使用される IP がサービス タグの一部として含まれるため、すべての Azure IP からのトラフィックを許可することはお勧めしません。

タグ 目的 受信または送信で使用できるか リージョン別か Azure Firewall と共に使用できるか
ActionGroup アクション グループ。 受信 いいえ はい
ApiManagement Azure API Management 専用デプロイのための管理トラフィック。

: このタグは、リージョンごとのコントロール プレーンの Azure API Management サービス エンドポイントを表します。 このタグにより、顧客は API Management サービス上で構成された API、操作、ポリシー、NamedValues に対する管理操作を実行できるようになります。
受信 はい はい
ApplicationInsightsAvailability Application Insights の可用性。 受信 いいえ はい
AppConfiguration App Configuration。 送信 いいえ はい
AppService Azure App Service。 このタグは、Web アプリと関数アプリに対するアウトバウンド セキュリティ規則で推奨されています。

: このタグには、IP ベースの SSL (アプリに割り当てられたアドレス) を使用するときに割り当てられた IP アドレスは含まれません。
送信 はい はい
AppServiceManagement App Service Environment 専用デプロイのための管理トラフィック。 両方 いいえ はい
AzureActiveDirectory Microsoft Entra ID サービス。 このタグには、ログイン、MS Graph、およびこの表に特に記載されていないその他の Entra サービスが含まれます 送信 いいえ はい
AzureActiveDirectoryDomainServices Microsoft Entra Domain Services 専用のデプロイの管理トラフィック。 両方 いいえ はい
AzureAdvancedThreatProtection Microsoft Defender for Identity 送信 いいえ はい
AzureArcInfrastructure Azure Arc 対応サーバー、Azure Arc 対応 Kubernetes、ゲスト構成トラフィック。

: このタグは、AzureActiveDirectoryAzureTrafficManagerAzureResourceManager の各タグに依存しています。
送信 いいえ はい
AzureAttestation Azure Attestation。 送信 いいえ はい
AzureBackup Azure Backup。

: このタグは、StorageAzureActiveDirectory の各タグに依存します。
送信 いいえ はい
AzureBotService Azure Bot Service。 両方 いいえ はい
AzureCloud すべてのデータセンター パブリック IP アドレス。 このタグには IPv6 は含まれません。 両方 はい はい
AzureCognitiveSearch Azure AI Cognitive Search。

このタグでは、インデクサーベースのインデックス作成のために検索サービスによって使用されるマルチテナント実行環境の IP 範囲を指定します。

: 検索サービス自体の IP は、このサービス タグによってカバーされていません。 Azure リソースのファイアウォール構成では、サービス タグの他、検索サービス自体の特定の IP アドレスも指定する必要があります。
受信 いいえ はい
AzureConnectors このタグは、Azure Logic Apps サービスへの受信 Webhook コールバックと、Azure Storage や Azure Event Hubs などの各サービスへの送信呼び出しを行う、マネージド コネクタに使用される IP アドレスを表します。 Both はい はい
AzureContainerAppsService Azure Container Apps Service Both はい いいえ
AzureContainerRegistry Azure Container Registry。 送信 はい はい
AzureCosmosDB Azure Cosmos DB。 送信 はい はい
AzureDatabricks Azure Databricks。 両方 いいえ はい
AzureDataExplorerManagement Azure Data Explorer 管理。 受信 いいえ はい
AzureDeviceUpdate Device Update for IoT Hub。 両方 いいえ はい
AzureDevOps Azure DevOps です。 受信 はい はい
AzureDigitalTwins Azure Digital Twins。

: このタグ、またはこのタグによってカバーされる IP アドレスを使用すると、イベント ルート用に構成されたエンドポイントへのアクセスを制限することができます。
受信 いいえ はい
AzureEventGrid Azure Event Grid。 両方 いいえ はい
AzureFrontDoor.Frontend
AzureFrontDoor.Backend
AzureFrontDoor.FirstParty
Frontend サービス タグには、クライアントが Front Door に到達するために使用する IP アドレスが含まれます。 Azure Front Door の背後にあるサービスに接続できる送信トラフィックを制御する場合は、AzureFrontDoor.Frontend サービス タグを適用できます。 Backend サービス タグには、Azure Front Door で配信元への接続に使用される IP アドレスが含まれます。 配信元のセキュリティを構成するときに、このサービス タグを適用できます。 FirstParty は、Azure Front Door でホストされる Microsoft サービスの一部のグループ用に予約された特別なタグです。 両方 はい はい
AzureHealthcareAPIs このタグによってカバーされる IP アドレスを使うと、Azure Health Data Services へのアクセスを制限することができます。 両方 いいえ はい
AzureInformationProtection Azure Information Protection。

: このタグは、AzureActiveDirectoryAzureFrontDoor.FrontendAzureFrontDoor.FirstParty の各タグに依存します。
送信 いいえ はい
AzureIoTHub Azure IoT Hub。 送信 はい はい
AzureKeyVault Azure Key Vault。

: このタグは、AzureActiveDirectory タグに依存します。
送信 はい はい
AzureLoadBalancer Azure インフラストラクチャのロード バランサー。 このタグは、Azure の正常性プローブの送信元となるホストの仮想 IP アドレス (168.63.129.16) に変換されます。 これにはプローブ トラフィックのみが含まれ、バックエンド リソースへの実際のトラフィックは含まれません。 Azure Load Balancer を使っていない場合は、この規則をオーバーライドできます。 両方 いいえ いいえ
AzureMachineLearningInference このサービス タグは、プライベート ネットワークマネージド推論シナリオでパブリック ネットワークイングレスを制限するために使用されます。 受信 いいえ はい
AzureManagedGrafana Azure Managed Grafana インスタンス エンドポイント。 送信 いいえ はい
AzureMonitor Log Analytics、Application Insights、Azure Monitor ワークスペース、AzMon、カスタム メトリック (GiG エンドポイント)。

: Log Analytics の場合は、Storage タグも必要です。 Linux エージェントが使用されている場合は、GuestAndHybridManagement タグも必要です。
送信 いいえ はい
AzureOpenDatasets Azure Open Datasets。

: このタグは、AzureFrontDoor.FrontendStorage の各タグに依存します。
送信 いいえ はい
AzurePlatformDNS 基本インフラストラクチャ (既定) の DNS サービス。

このタグを使用すると、既定の DNS を無効にすることができます。 このタグを使用する場合は注意が必要です。 「Azure プラットフォームに関する考慮事項」を参照することをお勧めします。 また、このタグを使用する前にテストを実行することをお勧めします。
送信 いいえ いいえ
AzurePlatformIMDS Azure Instance Metadata Service (IMDS)。これは基本的なインフラストラクチャ サービスです。

このタグを使用すると、既定の IMDS を無効にすることができます。 このタグを使用する場合は注意が必要です。 「Azure プラットフォームに関する考慮事項」を参照することをお勧めします。 また、このタグを使用する前にテストを実行することをお勧めします。
送信 いいえ いいえ
AzurePlatformLKM Windows のライセンスまたはキー管理サービス。

このタグを使用すると、ライセンスの既定値を無効にすることができます。 このタグを使用する場合は注意が必要です。 「Azure プラットフォームに関する考慮事項」を参照することをお勧めします。 また、このタグを使用する前にテストを実行することをお勧めします。
送信 いいえ いいえ
AzureResourceManager Azure Resource Manager。 送信 いいえ はい
AzureSentinel Microsoft Sentinel。 受信 いいえ はい
AzureSignalR Azure SignalR。 送信 いいえ はい
AzureSiteRecovery Azure Site Recovery。

: このタグは、AzureActiveDirectoryAzureKeyVaultEventHubGuestAndHybridManagementStorage の各タグに依存します。
送信 いいえ はい
AzureSphere このタグ、またはこのタグによってカバーされる IP アドレスを使用すると、Azure Sphere Security Services へのアクセスを制限することができます。 両方 いいえ はい
AzureSpringCloud Azure Spring Apps でホストされているアプリケーションへのトラフィックを許可します。 送信 いいえ はい
AzureStack Azure Stack Bridge サービス。
このタグは、リージョンごとの Azure Stack Bridge サービス エンドポイントを表します。
送信 いいえ はい
AzureTrafficManager Azure Traffic Manager プローブ IP アドレス。

Traffic Manager プローブ IP アドレスについて詳しくは、「Traffic Manager についてよく寄せられる質問 (FAQ)」をご覧ください。
受信 いいえ はい
AzureUpdateDelivery Windows 更新プログラムへのアクセスに使用される Azure Update Delivery サービス タグは非推奨としてマークされており、今後は使用停止になる予定です。

お客様は、このサービス タグに依存しないことをお勧めします。既に使用しているお客様は、次のいずれかのオプションに移行することをお勧めします。

次のドキュメントに従って Windows 10/11 デバイス用に Azure Firewall を構成します。

Windows 11 Enterprise の接続エンドポイントの管理

Windows 10 Enterprise バージョン 21H2 の接続エンドポイントを管理する

Windows Server Update Services (WSUS) を展開する

Azure で Windows VM を更新するための展開を計画する次に、
手順 2: WSUS を構成するに進んでください
送信 いいえ はい
AzureWebPubSub AzureWebPubSub Both はい はい
BatchNodeManagement Azure Batch 専用デプロイのための管理トラフィック。 両方 はい はい
ChaosStudio Azure Chaos Studio。

: Chaos Agent で Application Insights 統合を有効にしている場合は、AzureMonitor タグも必要です。
両方 いいえ はい
CognitiveServicesFrontend Azure AI サービス フロントエンド ポータルのトラフィックのアドレス範囲。 両方 いいえ はい
CognitiveServicesManagement Azure AI サービスのトラフィックのアドレス範囲。 両方 いいえ はい
DataFactory Azure Data Factory 両方 はい はい
DataFactoryManagement Azure Data Factory の管理トラフィック。 送信 いいえ はい
Dynamics365ForMarketingEmail Dynamics 365 のマーケティング電子メール サービスのアドレス範囲。 両方 はい はい
Dynamics365BusinessCentral このタグ、またはこのタグによってカバーされる IP アドレスを使用すると、Dynamics 365 Business Central Services へのアクセスを制限することができます。 両方 いいえ はい
EOPExternalPublishedIPs このタグは、セキュリティ/コンプライアンス センター PowerShell に使用される IP アドレスを表します。 詳細については、EXO V2 モジュールを使用したセキュリティ/コンプライアンス センター PowerShell への接続に関するページを参照してください。 両方 いいえ はい
EventHub Azure Event Hubs。 送信 はい はい
GatewayManager Azure VPN Gateway と Application Gateway 専用デプロイのための管理トラフィック。 受信 いいえ いいえ
GuestAndHybridManagement Azure Automation とゲスト構成。 送信 いいえ はい
HDInsight Azure HDInsight。 受信 はい はい
Internet パブリック インターネットによってアクセスできる仮想ネットワークの外部の IP アドレス空間。

このアドレス範囲には、Azure によって所有されているパブリック IP アドレス空間が含まれています。
両方 いいえ いいえ
KustoAnalytics Kusto Analytics。 両方 いいえ いいえ
LogicApps Logic Apps。 両方 いいえ はい
LogicAppsManagement Logic Apps の管理トラフィック。 受信 いいえ はい
M365ManagementActivityApi Office 365 管理アクティビティ API は、Office 365 および Microsoft Entra アクティビティ ログからのさまざまなユーザー、管理者、システム、およびポリシーアクションとイベントに関する情報を提供します。 お客様とパートナーは、この情報を使用して、操作、セキュリティ、コンプライアンスの監視ソリューションを企業向けに新たに作成したり既存のソリューションを強化したりすることができます。

: このタグは、AzureActiveDirectory タグに依存します。
送信 はい はい
M365ManagementActivityApiWebhook 新しいコンテンツが利用可能になると、サブスクリプション用に構成された Webhook に通知が送信されます。 受信 はい はい
MicrosoftAzureFluidRelay このタグは、Azure Microsoft Fluid Relay Server に使用される IP アドレスを表します。
: このタグは、AzureFrontDoor.Frontend タグと依存関係があります。
送信 いいえ はい
MicrosoftCloudAppSecurity Microsoft Defender for Cloud Apps。 送信 いいえ はい
MicrosoftDefenderForEndpoint Microsoft Defender for Endpoint コア サービス。

: このサービス タグを使用するには、デバイスを合理化された接続でオンボードし、要件を満たす必要があります。 Defender for Endpoint/Server では、すべての機能をサポートするために、OneDSCollector などの追加のサービス タグが必要です。

詳細については、「Microsoft Defender for Endpoint の合理化された接続を使用したデバイスのオンボード」を参照してください
両方 いいえ はい
PowerBI Power BI プラットフォーム バックエンド サービスと API エンドポイント。

両方 いいえ はい
PowerPlatformInfra このタグは、Power Platform サービスをホストするためにインフラストラクチャによって使用される IP アドレスを表します。 Both はい Yes
PowerPlatformPlex このタグは、顧客に代わって Power Platform 拡張機能の実行をホストするためにインフラストラクチャによって使用される IP アドレスを表します。 両方 はい はい
PowerQueryOnline Power Query Online。 両方 いいえ はい
スキューバ Microsoft セキュリティ製品 (Sentinel、Defender など) 用のデータ コネクタ。 受信 いいえ いいえ
SerialConsole シリアル コンソール サービス タグからのブート診断ストレージ アカウントへのアクセスを制限する 着信 いいえ はい
ServiceBus Premium サービス レベルを使用する Azure Service Bus トラフィック。 送信 はい はい
ServiceFabric Azure Service Fabric。

: このタグは、リージョンごとのコントロール プレーンの Service Fabric サービス エンドポイントを表します。 これにより、顧客は VNET エンドポイントから Service Fabric クラスターの管理操作を行うことができます。 (例: https:// westus.servicefabric.azure.com)。
両方 いいえ はい
Sql Azure SQL Database、Azure Database for MySQL Single Server、Azure Database for PostgreSQL Single Server、Azure Database for MariaDB、Azure Synapse Analytics。

: このタグはサービスだけを表し、サービスの特定のインスタンスは表しません。 たとえば、このタグは Azure SQL Database サービスを表しますが、特定の SQL データベースや SQL サーバーは表しません。 このタグは、SQL マネージド インスタンスには適用されません。
送信 はい はい
SqlManagement SQL 専用デプロイのための管理トラフィック。 両方 いいえ はい
Storage Azure Storage です。

: このタグはサービスだけを表し、サービスの特定のインスタンスは表しません。 たとえば、このタグは Azure Storage サービスを表しますが、特定の Azure Storage アカウントは表しません。
送信 はい はい
StorageSyncService ストレージ同期サービス。 両方 いいえ はい
StorageMover Storage Mover。 送信 はい はい
WindowsAdminCenter Windows Admin Center バックエンド サービスが Windows Admin Center のお客様のインストールと通信できるようにします。 送信 いいえ はい
WindowsVirtualDesktop Azure Virtual Desktop (旧称 Windows Virtual Desktop)。 両方 いいえ はい
VideoIndexer
顧客が Video Indexer サービスへの NSG を開いてサービスへのコールバックを受け取ることができるように使用されます。
両方 いいえ はい
VirtualNetwork 仮想ネットワーク アドレス空間 (仮想ネットワークに対して定義されているすべての IP アドレスの範囲)、すべての接続されたオンプレミスのアドレス空間、ピアリングされた仮想ネットワーク、仮想ネットワーク ゲートウェイに接続された仮想ネットワーク、ホストの仮想 IP アドレス、およびユーザーが定義したルートで使用されるアドレス プレフィックス。 このタグには、既定のルートも含まれる場合もあります。 両方 いいえ 無効

注意

  • Azure Firewall でサービス タグを使用する場合、受信トラフィックと送信トラフィックに対する宛先規則のみを作成できます。 ソース規則はサポートされていません。 詳しくは、Azure Firewall サービス タグに関するドキュメントをご覧ください。

  • Azure サービスのサービス タグは、使用される特定のクラウドのアドレス プレフィックスを表します。 たとえば、Azure パブリック クラウドの Sql タグ値に対応する基になる IP 範囲は、21Vianet によって運営される Microsoft Azure クラウドの基になる範囲とは異なります。

  • Azure Storage や Azure SQL Database などのサービスの仮想ネットワーク サービス エンドポイントを実装する場合、Azure はサービスの仮想ネットワーク サブネットへのルートを追加します。 ルートのアドレス プレフィックスは、対応するサービス タグと同じアドレス プレフィックスまたは CIDR 範囲になります。

クラシック デプロイ モデルでサポートされるタグ

(Azure Resource Manager の前の) クラシック デプロイ モデルでは、前の表に示したタグのごく一部がサポートされます。 クラシック デプロイ モデルのタグは、次の表に示すように、スペルが異なります。

Resource Manager のタグ クラシック デプロイ モデルの対応するタグ
AzureLoadBalancer AZURE_LOADBALANCER
Internet INTERNET
VirtualNetwork VIRTUAL_NETWORK

ユーザー定義ルートではサポートされていないタグ (UDR)

現在ユーザー定義ルート (UDR) で使用することができないタグの一覧を次に示します。

  • AzurePlatformDNS

  • AzurePlatformIMDS

  • AzurePlatformLKM

  • VirtualNetwork

  • AzureLoadBalancer

  • インターネット

オンプレミスのサービス タグ

現在のサービス タグと範囲情報を、オンプレミスのファイアウォール構成の一部として取得して含めることができます。 この情報は、各サービス タグに対応する現在の特定時点の IP 範囲の一覧です。 次のセクションで説明するように、プログラムまたは JSON ファイルのダウンロードを使用して、この情報を取得できます。

Service Tag Discovery API を使用する

サービス タグの現在の一覧を IP アドレス範囲の詳細と共にプログラムで取得できます。

たとえば、Storage サービス タグのすべてのプレフィックスを取得するには、次の PowerShell コマンドレットを使用できます。

$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes

Note

  • API データは、リージョンの NSG ルールで使用できるこれらのタグを表します。 API データは、JSON ダウンロード可能ファイルとは異なる可能性があるため、使用可能なサービス タグの信頼できるソースとして使用します。
  • 新しいサービス タグ データがすべての Azure リージョンの API の結果に反映されるまでに、最大 4 週間かかります。 このプロセスのために、API データの結果がダウンロード可能 JSON ファイルと同期しなくなる可能性があります。これは、API データが、ダウンロード可能 JSON ファイル内のタグのサブセットを現時点で表しているためです。
  • 現在のサブスクリプションに対して、認証され、読み取りアクセス許可を持つロールを持っている必要があります。

ダウンロード可能な JSON ファイルを使用してサービス タグを検出する

サービス タグの現在の一覧と IP アドレス範囲の詳細を含む JSON ファイルをダウンロードできます。 これらの一覧は、毎週更新されて公開されます。 各クラウドの場所は次のとおりです。

これらのファイル内の IP アドレス範囲は CIDR 表記です。

次の AzureCloud タグには、標準スキーマに従って書式設定された地域名が含まれていません。

  • AzureCloud.centralfrance (FranceCentral)

  • AzureCloud.southfrance (FranceSouth)

  • AzureCloud.germanywc (GermanyWestCentral)

  • AzureCloud.germanyn (GermanyNorth)

  • AzureCloud.norwaye (NorwayEast)

  • AzureCloud.norwayw (NorwayWest)

  • AzureCloud.switzerlandn (SwitzerlandNorth)

  • AzureCloud.switzerlandw (SwitzerlandWest)

  • AzureCloud.usstagee (EastUSSTG)

  • AzureCloud.usstagec (SouthCentralUSSTG)

  • AzureCloud.brazilse (BrazilSoutheast)

ヒント

  • ある公開からその次の公開に更新されたかどうかは、JSON ファイル内の changeNumber の値の増加に注目することで理解できます。 各サブセクション (たとえば Storage.WestUS) には、変更が発生するたびに増えていく固有の changeNumber があります。 ファイルの changeNumber の最上位レベルは、サブセクションのいずれかが変更されると増加します。

  • サービス タグ情報を解析する方法の例 (WestUS のストレージについてのすべてのアドレス範囲を取得する方法など) については、Service Tag Discovery API PowerShell のドキュメントを参照してください。

  • 新しい IP アドレスがサービス タグに追加されると、それらは少なくとも 1 週間は Azure で使用されません。 これにより、サービス タグに関連付けられた IP アドレスを追跡する必要がある可能性のあるシステムを更新する時間が得られます。

次のステップ