みち草

Azure中心にまとめる技術情報ブログ

プロキシやファイアウォールでAzureポータルのURLを許可する

はじめに

いつの間にか、Azureポータルを使うためにプロキシやFWで許可が必要なFQDNが公式に出ていたため、その紹介です。

目次

許可すべきURL

Azureポータルを利用するために許可が必要なFQDNはこれらです。

以下に対して、80/443ポートでの通信が必要です。

*.aadcdn.microsoftonline-p.com
*.aka.ms
*.applicationinsights.io
*.azure.com
*.azure.net
*.azureafd.net
*.azure-api.net
*.azuredatalakestore.net
*.azureedge.net
*.loganalytics.io
*.microsoft.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msftauth.net
*.trafficmanager.net
*.visualstudio.com
*.windows.net
*.windows-int.net

上記は一般用であり、Governmentリージョン、中国リージョンではそれぞれ許可が必要なFQDNが異なるようです。詳細は以下のサイトを参照ください。

Azure portal の URL をセーフリストに追加する | Microsoft Docs

これで、アクセスを制限している環境でもAzureポータルが使えそうですね。

ちょっと心配なこと

数年前、AzureのIaaS環境を構築した際、「社内からインターネットへ出る際はプロキシで制限をかけている。Azureを使用するために許可が必要なURL、FQDNを教えてほしい。」と言われたことがあります。 その頃は上記の公式情報がなくサポートに聞いて、それをお客さんに設定してもらい構築作業に臨みました。

すると、ポータル自体は表示されており問題ないように見えるのですが、当時は選択制だった[ストレージの暗号化を有効にする]をクリックすると、 実は別のURLに飛ぶようで、そこが許可されておらずエラーが出て有効化できない、という問題で手間取ったことがあります。

という具合に、ポータル内の操作によって別のURLが必要なことが多々あるようで、同じようなことにならないといいなーという心配があります。

足りないものがあれば今後更新されていくとは思いますし、そもそも公式なので信じるしかないですが...(-"-)

おわりに

昔引っかかったことを思い出しましたが、その頃から考えると、公式にまとめて頂けるのは大変ありがたいです。

新しいサービスが出た際にはFQDNも追加される可能性があるため、利用の際は適度にチェックした方がよさそうです。