Groupes de sécuritéSecurity groups

Vous pouvez filtrer le trafic réseau depuis et vers les ressources Azure dans un réseau virtuel Azure avec un groupe de sécurité réseau.You can filter network traffic to and from Azure resources in an Azure virtual network with a network security group. Un groupe de sécurité réseau contient des règles de sécurité qui autorisent ou rejettent le trafic réseau entrant et sortant vers différents types de ressources Azure.A network security group contains security rules that allow or deny inbound network traffic to, or outbound network traffic from, several types of Azure resources. Pour en savoir plus sur les ressources Azure pouvant être déployées dans un réseau virtuel et auxquelles des groupes de sécurité réseau peuvent être associées, consultez Intégration d’un réseau virtuel pour les services Azure.To learn about which Azure resources can be deployed into a virtual network and have network security groups associated to them, see Virtual network integration for Azure services. Pour chaque règle, vous pouvez spécifier la source et la destination, le port et le protocole.For each rule, you can specify source and destination, port, and protocol.

Cet article explique les concepts de groupe de sécurité réseau, pour vous aider à les utiliser efficacement.This article explains network security group concepts, to help you use them effectively. Si vous n’avez jamais créé un groupe de sécurité réseau, vous pouvez suivre un didacticiel rapide pour vous entraîner.If you've never created a network security group, you can complete a quick tutorial to get some experience creating one. Si vous êtes familier avec les groupes de sécurité réseau et que vous devez en gérer un, consultez Gérer un groupe de sécurité réseau.If you're familiar with network security groups and need to manage them, see Manage a network security group. Si vous rencontrez des problèmes de communication et que vous avez besoin résoudre les problèmes de groupes de sécurité réseau, consultez Diagnostiquer un problème de filtre de trafic réseau sur une machine virtuelle.If you're having communication problems and need to troubleshoot network security groups, see Diagnose a virtual machine network traffic filter problem. Vous pouvez activer les journaux de flux de groupe de sécurité réseau afin d’analyser le trafic réseau vers et à partir des ressources auxquelles un groupe de sécurité réseau est associé.You can enable network security group flow logs to analyze network traffic to and from resources that have an associated network security group.

Règles de sécuritéSecurity rules

Un groupe de sécurité réseau contient le nombre des règles souhaité (ou aucune), dans les limites de l’abonnement Azure.A network security group contains zero, or as many rules as desired, within Azure subscription limits. Chaque règle spécifie les propriétés suivantes :Each rule specifies the following properties:

PropriétéProperty ExplicationExplanation
NomName Nom unique au sein du groupe de sécurité réseau.A unique name within the network security group.
PrioritéPriority Nombre compris entre 100 et 4096.A number between 100 and 4096. Les règles sont traitées dans l’ordre croissant, car les nombres les plus faibles sont prioritaires.Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. Une fois que le trafic correspond à une règle, le traitement s’arrête.Once traffic matches a rule, processing stops. Par conséquent, les règles avec des priorités plus faibles (des nombres plus élevés) et ayant les mêmes attributs que les règles de priorité supérieure ne sont pas traitées.As a result, any rules that exist with lower priorities (higher numbers) that have the same attributes as rules with higher priorities are not processed.
Source ou destinationSource or destination Tout, ou adresse IP, bloc de routage CIDR (10.0.0.0/24, par exemple), une balise de service ou groupe de sécurité d’application individuel(le).Any, or an individual IP address, classless inter-domain routing (CIDR) block (10.0.0.0/24, for example), service tag, or application security group. Si vous spécifiez une adresse pour une ressource Azure, spécifiez l’adresse IP privée assignée à la ressource.If you specify an address for an Azure resource, specify the private IP address assigned to the resource. Les groupes de sécurité réseau sont traités une fois qu’Azure a converti une adresse IP publique en adresse IP privée pour le trafic entrant, et avant qu’Azure ne convertisse une adresse IP privée en une adresse IP publique pour le trafic sortant.Network security groups are processed after Azure translates a public IP address to a private IP address for inbound traffic, and before Azure translates a private IP address to a public IP address for outbound traffic. En savoir plus sur les adresses IP Azure.Learn more about Azure IP addresses. En spécifiant une plage, une balise de service ou un groupe de sécurité d’application, vous pouvez créer moins des règles de sécurité.Specifying a range, a service tag, or application security group, enables you to create fewer security rules. La possibilité de spécifier plusieurs adresses IP individuelles et plages (vous ne pouvez pas spécifier plusieurs balises de service ou groupes d’applications) dans une règle est désignée sous le nom de règles de sécurité augmentée.The ability to specify multiple individual IP addresses and ranges (you cannot specify multiple service tags or application groups) in a rule is referred to as augmented security rules. Les règles de sécurité augmentée peuvent uniquement être créées dans des groupes de sécurité réseau créés par le biais du modèle de déploiement du Gestionnaire de ressources.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Vous ne pouvez pas spécifier plusieurs adresses IP et plages d’adresses IP dans les groupes de sécurité réseau créés par le biais du modèle de déploiement classique.You cannot specify multiple IP addresses and IP address ranges in network security groups created through the classic deployment model. En savoir plus sur les modèles de déploiement Azure.Learn more about Azure deployment models.
ProtocoleProtocol TCP, UDP, ICMP ou n’importe lequel.TCP, UDP, ICMP or Any.
DirectionDirection Indique si la règle s’applique au trafic entrant ou sortant.Whether the rule applies to inbound, or outbound traffic.
Plage de portsPort range Vous pouvez spécifier un port individuel ou une plage de ports.You can specify an individual or range of ports. Par exemple, indiquez 80 ou 10000-10005.For example, you could specify 80 or 10000-10005. La spécification de plages vous permet de créer moins de règles de sécurité.Specifying ranges enables you to create fewer security rules. Les règles de sécurité augmentée peuvent uniquement être créées dans des groupes de sécurité réseau créés par le biais du modèle de déploiement du Gestionnaire de ressources.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Vous ne pouvez pas spécifier plusieurs ports ou plages de ports dans les groupes de sécurité réseau créés par le biais du modèle de déploiement classique.You cannot specify multiple ports or port ranges in the same security rule in network security groups created through the classic deployment model.
ActionAction Autoriser ou refuserAllow or deny

Les règles de sécurité des groupes de sécurité réseau sont évaluées par priorité selon un tuple à 5 éléments (source, port source, destination, port de destination et protocole) pour autoriser ou refuser le trafic.Network security group security rules are evaluated by priority using the 5-tuple information (source, source port, destination, destination port, and protocol) to allow or deny the traffic. Un enregistrement de flux est créé pour les connexions existantes.A flow record is created for existing connections. La communication est autorisée ou refusée en fonction de l’état de connexion de l’enregistrement de flux.Communication is allowed or denied based on the connection state of the flow record. L’enregistrement de flux permet d’obtenir un groupe de sécurité réseau avec état.The flow record allows a network security group to be stateful. Si vous spécifiez une règle de sécurité sortante vers n’importe quelle adresse sur le port 80, par exemple, il n’est pas nécessaire d’indiquer une règle de sécurité entrante pour la réponse au trafic sortant.If you specify an outbound security rule to any address over port 80, for example, it's not necessary to specify an inbound security rule for the response to the outbound traffic. Vous devez uniquement spécifier une règle de sécurité entrante si la communication est établie en externe.You only need to specify an inbound security rule if communication is initiated externally. Le contraire est également vrai.The opposite is also true. Si le trafic entrant est autorisé sur un port, il n’est pas nécessaire de spécifier une règle de sécurité sortante pour répondre au trafic sur ce port.If inbound traffic is allowed over a port, it's not necessary to specify an outbound security rule to respond to traffic over the port. Les connexions existantes ne peuvent pas être interrompues quand vous supprimez une règle de sécurité ayant activé le flux.Existing connections may not be interrupted when you remove a security rule that enabled the flow. Les flux de trafic sont interrompus quand les connexions sont arrêtées et qu’aucun trafic ne transite dans un sens ou dans l’autre pendant au moins quelques minutes.Traffic flows are interrupted when connections are stopped and no traffic is flowing in either direction, for at least a few minutes.

Le nombre de règles de sécurité que vous pouvez créer dans un groupe de sécurité réseau est limité.There are limits to the number of security rules you can create in a network security group. Pour plus d’informations, consultez limites Azure.For details, see Azure limits.

Règles de sécurité augmentéeAugmented security rules

Les règles de sécurité augmentée simplifient la définition de la sécurité pour les réseaux virtuels, ce qui vous permet de définir des stratégies de sécurité réseau plus vastes et plus complexes, avec moins de règles.Augmented security rules simplify security definition for virtual networks, allowing you to define larger and complex network security policies, with fewer rules. Vous pouvez combiner plusieurs ports ainsi que des adresses ou plages d’adresses IP explicites dans une seule règle de sécurité facilement compréhensible.You can combine multiple ports and multiple explicit IP addresses and ranges into a single, easily understood security rule. Utiliser des règles de sécurité augmentée dans les champs de la source, de la destination et du port d’une règle.Use augmented rules in the source, destination, and port fields of a rule. Pour simplifier la maintenance de votre définition de règle de sécurité, combinez des règles de sécurité augmentée avec des balises de service ou des groupes de sécurité d’application.To simplify maintenance of your security rule definition, combine augmented security rules with service tags or application security groups. Le nombre d’adresses, les plages et les ports que vous pouvez spécifier dans une règle sont limités.There are limits to the number of addresses, ranges, and ports that you can specify in a rule. Pour plus d’informations, consultez limites Azure.For details, see Azure limits.

Balises de serviceService tags

Une balise de service représente un groupe de préfixes d’adresses IP qui permet de simplifier la création de règles de sécurité.A service tag represents a group of IP address prefixes to help minimize complexity for security rule creation. Vous ne peut pas créer votre propre balise de service, ni spécifier les adresses IP incluses dans une balise.You cannot create your own service tag, nor specify which IP addresses are included within a tag. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent.Microsoft manages the address prefixes encompassed by the service tag, and automatically updates the service tag as addresses change. Vous pouvez utiliser des balises de service à la place des adresses IP spécifiques lors de la création de règles de sécurité.You can use service tags in place of specific IP addresses when creating security rules.

Vous pouvez utiliser les balises de service suivantes dans les règles de groupes de sécurité réseau.The following service tags are available for use in network security groups rules. Les balises de service se terminant par un astérisque (par exemple, AzureCloud*) peuvent également être utilisées dans les règles réseau de Pare-feu Azure.Service tags with asterisk at the end (i.e. AzureCloud*) can also be used in Azure Firewall network rules.

  • VirtualNetwork (Resource Manager) (VIRTUAL_NETWORK pour le mode classique) : cette balise inclut l’espace d’adressage du réseau virtuel (toutes les plages CIDR définies pour le réseau virtuel), tous les espaces d’adressage locaux connectés, les réseaux virtuels appairés ou les réseaux virtuels connectés à une passerelle de réseau virtuel et les préfixes d’adresse utilisés sur les routes définies par l’utilisateur.VirtualNetwork (Resource Manager) (VIRTUAL_NETWORK for classic): This tag includes the virtual network address space (all CIDR ranges defined for the virtual network), all connected on-premises address spaces, peered virtual networks or virtual network connected to a virtual network gateway and address prefixes used on user defined routes. N’oubliez pas que cette balise peut contenir une route par défaut.Be aware that this tag may contain default route.
  • AzureLoadBalancer (Resource Manager) (AZURE_LOADBALANCER pour le mode classique) : Cette balise par défaut indique l’équilibreur de charge de l’infrastructure d’Azure.AzureLoadBalancer (Resource Manager) (AZURE_LOADBALANCER for classic): This tag denotes Azure's infrastructure load balancer. Elle est translatée vers l’adresse IP virtuelle de l’hôte (168.63.129.16) d’où proviennent les sondes d’intégrité d’Azure.The tag translates to the Virtual IP address of the host (168.63.129.16) where Azure's health probes originate. Vous pouvez remplacer cette règle si vous n’utilisez pas l’équilibreur de charge Azure.If you are not using the Azure load balancer, you can override this rule.
  • Internet (Resource Manager) (INTERNET pour le mode classique) : Cette balise par défaut indique l’espace d’adresse IP qui se trouve en dehors du réseau virtuel et est accessible sur les réseaux Internet publics.Internet (Resource Manager) (INTERNET for classic): This tag denotes the IP address space that is outside the virtual network and reachable by the public Internet. La plage d’adresse inclut l’espace de l’adresse IP public d’Azure.The address range includes the Azure owned public IP address space.
  • AzureCloud* (Resource Manager uniquement) : Cette balise désigne l’espace d’adressage IP pour Azure, notamment l’ensemble des adresses IP publiques du centre de données.AzureCloud* (Resource Manager only): This tag denotes the IP address space for Azure including all datacenter public IP addresses. Si vous spécifiez AzureCloud comme valeur, le trafic est autorisé ou refusé pour les adresses IP publiques Azure.If you specify AzureCloud for the value, traffic is allowed or denied to Azure public IP addresses. Si vous souhaitez uniquement autoriser l’accès à AzureCloud dans une région spécifique, vous pouvez spécifier la région au format suivant : AzureCloud.[nom_région].If you only want to allow access to AzureCloud in a specific region, you can specify the region in the following format AzureCloud.[region name]. Cette balise est recommandée pour la règle de sécurité sortante.This tag is recommended for outbound security rule.
  • AzureTrafficManager* (Resource Manager uniquement) : Cette balise désigne l’espace d’adressage IP pour les adresses IP de sondage Azure Traffic Manager.AzureTrafficManager* (Resource Manager only): This tag denotes the IP address space for the Azure Traffic Manager probe IP addresses. Vous trouverez plus d’informations sur les adresses IP de sondage Traffic Manager dans les Questions fréquentes (FAQ) sur Azure Traffic Manager.More information on Traffic Manager probe IP addresses can be found in the Azure Traffic Manager FAQ. Cette balise est recommandée pour la règle de sécurité entrante.This tag is recommended for inbound security rule.
  • Stockage* (Resource Manager uniquement) : Cette balise désigne l’espace d’adressage IP pour le service Stockage Azure.Storage* (Resource Manager only): This tag denotes the IP address space for the Azure Storage service. Si vous spécifiez Storage pour la valeur, le trafic est autorisé ou refusé vers le stockage.If you specify Storage for the value, traffic is allowed or denied to storage. Si vous souhaitez uniquement autoriser l’accès au stockage dans une région spécifique, vous pouvez spécifier la région au format suivant : Stockage.[nom_région].If you only want to allow access to storage in a specific region, you can specify the region in the following format Storage.[region name]. La balise représente le service, mais pas des instances du service.The tag represents the service, but not specific instances of the service. Par exemple, la balise représente le service Azure Storage, mais pas un compte Azure Storage spécifique.For example, the tag represents the Azure Storage service, but not a specific Azure Storage account. Cette balise est recommandée pour la règle de sécurité sortante.This tag is recommended for outbound security rule.
  • Sql* (Resource Manager uniquement) : cette balise désigne les préfixes d’adresse des services Azure SQL Database, Azure Database pour MySQL, Azure Database pour PostgreSQL et Azure SQL Data Warehouse.Sql* (Resource Manager only): This tag denotes the address prefixes of the Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL, and Azure SQL Data Warehouse services. Si vous spécifiez Sql pour la valeur, le trafic vers Sql est autorisé ou refusé.If you specify Sql for the value, traffic is allowed or denied to Sql. Si vous souhaitez uniquement autoriser l’accès à Sql dans une région spécifique, vous pouvez spécifier la région au format suivant : Sql.[nom_région].If you only want to allow access to Sql in a specific region, you can specify the region in the following format Sql.[region name]. La balise représente le service, mais pas des instances du service.The tag represents the service, but not specific instances of the service. Par exemple, la balise représente le service Azure SQL Database, mais pas une base de données ou un serveur SQL spécifique.For example, the tag represents the Azure SQL Database service, but not a specific SQL database or server. Cette balise est recommandée pour la règle de sécurité sortante.This tag is recommended for outbound security rule.
  • AzureCosmosDB* (Resource Manager uniquement) : Cette balise désigne les préfixes d’adresse du service Azure Cosmos DB.AzureCosmosDB* (Resource Manager only): This tag denotes the address prefixes of the Azure Cosmos Database service. Si vous spécifiez AzureCosmosDB comme valeur, le trafic vers AzureCosmosDB est autorisé ou refusé.If you specify AzureCosmosDB for the value, traffic is allowed or denied to AzureCosmosDB. Si vous souhaitez uniquement autoriser l’accès à AzureCosmosDB dans une région spécifique, vous pouvez spécifier la région au format suivant : AzureCosmosDB.[nom_région].If you only want to allow access to AzureCosmosDB in a specific region, you can specify the region in the following format AzureCosmosDB.[region name]. Cette balise est recommandée pour la règle de sécurité sortante.This tag is recommended for outbound security rule.
  • AzureKeyVault* (Resource Manager uniquement) : Cette balise désigne les préfixes d’adresse du service Azure Key Vault.AzureKeyVault* (Resource Manager only): This tag denotes the address prefixes of the Azure KeyVault service. Si vous spécifiez AzureKeyVault comme valeur, le trafic vers AzureKeyVault est autorisé ou refusé.If you specify AzureKeyVault for the value, traffic is allowed or denied to AzureKeyVault. Si vous souhaitez uniquement autoriser l’accès à AzureKeyVault dans une région spécifique, vous pouvez spécifier la région au format suivant : AzureKeyVault.[nom_région].If you only want to allow access to AzureKeyVault in a specific region, you can specify the region in the following format AzureKeyVault.[region name]. Cette balise est dotée d’une dépendance par rapport à la balise AzureActiveDirectory.This tag has dependency on the AzureActiveDirectory tag. Cette balise est recommandée pour la règle de sécurité sortante.This tag is recommended for outbound security rule.
  • EventHub* (Resource Manager uniquement) : Cette balise désigne les préfixes d’adresse du service Azure EventHub.EventHub* (Resource Manager only): This tag denotes the address prefixes of the Azure EventHub service. Si vous spécifiez EventHub comme valeur, le trafic vers EventHub est autorisé ou refusé.If you specify EventHub for the value, traffic is allowed or denied to EventHub. Si vous souhaitez uniquement autoriser l’accès à EventHub dans une région spécifique, vous pouvez spécifier la région au format suivant : EventHub.[nom_région].If you only want to allow access to EventHub in a specific region, you can specify the region in the following format EventHub.[region name]. Cette balise est recommandée pour la règle de sécurité sortante.This tag is recommended for outbound security rule.
  • ServiceBus* (Resource Manager uniquement) : cette balise désigne les préfixes d’adresse du service Azure ServiceBus utilisant le niveau de service Premium.ServiceBus* (Resource Manager only): This tag denotes the address prefixes of the Azure ServiceBus service using the Premium service tier. Si vous spécifiez ServiceBus comme valeur, le trafic vers ServiceBus est autorisé ou refusé.If you specify ServiceBus for the value, traffic is allowed or denied to ServiceBus. Si vous souhaitez uniquement autoriser l’accès à ServiceBus dans une région spécifique, vous pouvez spécifier la région au format suivant : ServiceBus.[nom_région].If you only want to allow access to ServiceBus in a specific region, you can specify the region in the following format ServiceBus.[region name]. Cette balise est recommandée pour la règle de sécurité sortante.This tag is recommended for outbound security rule.
  • MicrosoftContainerRegistry* (Resource Manager uniquement) : Cette balise désigne les préfixes d’adresse du service Microsoft Container Registry.MicrosoftContainerRegistry* (Resource Manager only): This tag denotes the address prefixes of the Microsoft Container Registry service. Si vous spécifiez MicrosoftContainerRegistry comme valeur, le trafic vers MicrosoftContainerRegistry est autorisé ou refusé.If you specify MicrosoftContainerRegistry for the value, traffic is allowed or denied to MicrosoftContainerRegistry. Si vous souhaitez uniquement autoriser l’accès à MicrosoftContainerRegistry dans une région spécifique, vous pouvez spécifier la région au format suivant : MicrosoftContainerRegistry.[nom_région].If you only want to allow access to MicrosoftContainerRegistry in a specific region, you can specify the region in the following format MicrosoftContainerRegistry.[region name]. Cette balise est recommandée pour la règle de sécurité sortante.This tag is recommended for outbound security rule.
  • AzureContainerRegistry* (Resource Manager uniquement) : Cette balise désigne les préfixes d’adresse du service Azure Container Registry.AzureContainerRegistry* (Resource Manager only): This tag denotes the address prefixes of the Azure Container Registry service. Si vous spécifiez AzureContainerRegistry comme valeur, le trafic vers AzureContainerRegistry est autorisé ou refusé.If you specify AzureContainerRegistry for the value, traffic is allowed or denied to AzureContainerRegistry. Si vous souhaitez uniquement autoriser l’accès à AzureContainerRegistry dans une région spécifique, vous pouvez spécifier la région au format suivant : AzureContainerRegistry.[nom_région].If you only want to allow access to AzureContainerRegistry in a specific region, you can specify the region in the following format AzureContainerRegistry.[region name]. Cette balise est recommandée pour la règle de sécurité sortante.This tag is recommended for outbound security rule.
  • AppService* (Resource Manager uniquement) : Cette balise désigne les préfixes d’adresse du service Azure AppService.AppService* (Resource Manager only): This tag denotes the address prefixes of the Azure AppService service. Si vous spécifiez AppService comme valeur, le trafic vers AppService est autorisé ou refusé.If you specify AppService for the value, traffic is allowed or denied to AppService. Si vous souhaitez uniquement autoriser l’accès à AppService dans une région spécifique, vous pouvez spécifier la région au format suivant : AppService.[nom_région].If you only want to allow access to AppService in a specific region, you can specify the region in the following format AppService.[region name]. Cette balise est recommandée pour la règle de sécurité sortante vers les serveurs frontaux des applications web.This tag is recommended for outbound security rule to WebApps frontends.
  • AppServiceManagement* (Resource Manager uniquement) : cette balise désigne les préfixes d’adresse du trafic de gestion pour les déploiements dédiés d’App Service Environment.AppServiceManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for App Service Environment dedicated deployments. Si vous spécifiez AppServiceManagement comme valeur, le trafic vers AppServiceManagement est autorisé ou refusé.If you specify AppServiceManagement for the value, traffic is allowed or denied to AppServiceManagement. Cette balise est recommandée pour la règle de sécurité entrante/sortante.This tag is recommended for inbound/outbound security rule.
  • ApiManagement* (Resource Manager uniquement) : cette balise désigne les préfixes d’adresse du trafic de gestion pour les déploiements dédiés d’APIM.ApiManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for APIM dedicated deployments. Si vous spécifiez ApiManagement comme valeur, le trafic vers ApiManagement est autorisé ou refusé.If you specify ApiManagement for the value, traffic is allowed or denied to ApiManagement. Cette balise est recommandée pour la règle de sécurité entrante/sortante.This tag is recommended for inbound/outbound security rule.
  • AzureConnectors* (Resource Manager uniquement) : cette balise désigne les préfixes d’adresse des connecteurs Logic Apps pour les connexions de sonde/back-end.AzureConnectors* (Resource Manager only): This tag denotes the address prefixes of the Logic Apps connectors for probe/backend connections. Si vous spécifiez AzureConnectors comme valeur, le trafic vers AzureConnectors est autorisé ou refusé.If you specify AzureConnectors for the value, traffic is allowed or denied to AzureConnectors. Si vous souhaitez uniquement autoriser l’accès à AzureConnectors dans une région spécifique, vous pouvez spécifier la région au format suivant : AzureConnectors.[nom_région].If you only want to allow access to AzureConnectors in a specific region, you can specify the region in the following format AzureConnectors.[region name]. Cette balise est recommandée pour la règle de sécurité entrante.This tag is recommended for inbound security rule.
  • GatewayManager (Resource Manager uniquement) : cette balise désigne les préfixes d’adresse du trafic de gestion pour les déploiements dédiés des passerelles App/VPN.GatewayManager (Resource Manager only): This tag denotes the address prefixes of the management traffic for VPN/App Gateways dedicated deployments. Si vous spécifiez GatewayManager comme valeur, le trafic vers GatewayManager est autorisé ou refusé.If you specify GatewayManager for the value, traffic is allowed or denied to GatewayManager. Cette balise est recommandée pour la règle de sécurité entrante.This tag is recommended for inbound security rule.
  • AzureDataLake* (Resource Manager uniquement) : Cette balise désigne les préfixes d’adresse du service Azure Data Lake.AzureDataLake* (Resource Manager only): This tag denotes the address prefixes of the Azure Data Lake service. Si vous spécifiez AzureDataLake comme valeur, le trafic vers AzureDataLake est autorisé ou refusé.If you specify AzureDataLake for the value, traffic is allowed or denied to AzureDataLake. Cette balise est recommandée pour la règle de sécurité sortante.This tag is recommended for outbound security rule.
  • AzureActiveDirectory* (Resource Manager uniquement) : Cette balise désigne les préfixes d’adresse du service AzureActiveDirectory.AzureActiveDirectory* (Resource Manager only): This tag denotes the address prefixes of the AzureActiveDirectory service. Si vous spécifiez AzureActiveDirectory comme valeur, le trafic vers AzureActiveDirectory est autorisé ou refusé.If you specify AzureActiveDirectory for the value, traffic is allowed or denied to AzureActiveDirectory. Cette balise est recommandée pour la règle de sécurité sortante.This tag is recommended for outbound security rule.
  • AzureMonitor* (Resource Manager uniquement) : Cette balise désigne les préfixes d’adresse des métriques personnalisées (points de terminaison GiG), de Log Analytics, d’App Insights et d’AzMon.AzureMonitor* (Resource Manager only): This tag denotes the address prefixes of the Log Analytics, App Insights, AzMon, and custom metrics (GiG endpoints). Si vous spécifiez AzureMonitor comme valeur, le trafic vers AzureMonitor est autorisé ou refusé.If you specify AzureMonitor for the value, traffic is allowed or denied to AzureMonitor. Pour Log Analytics, cette balise est dotée une dépendance par rapport à la balise Storage.For Log Analytics, this tag has dependency on the Storage tag. Cette balise est recommandée pour la règle de sécurité sortante.This tag is recommended for outbound security rule.
  • ServiceFabric* (Resource Manager uniquement) : Cette balise désigne les préfixes d’adresse du service ServiceFabric.ServiceFabric* (Resource Manager only): This tag denotes the address prefixes of the ServiceFabric service. Si vous spécifiez ServiceFabric comme valeur, le trafic vers ServiceFabric est autorisé ou refusé.If you specify ServiceFabric for the value, traffic is allowed or denied to ServiceFabric. Cette balise est recommandée pour la règle de sécurité sortante.This tag is recommended for outbound security rule.
  • AzureMachineLearning* (Resource Manager uniquement) : Cette balise désigne les préfixes d’adresse du service AzureMachineLearning.AzureMachineLearning* (Resource Manager only): This tag denotes the address prefixes of the AzureMachineLearning service. Si vous spécifiez AzureMachineLearning comme valeur, le trafic est autorisé ou refusé à AzureMachineLearning.If you specify AzureMachineLearning for the value, traffic is allowed or denied to AzureMachineLearning. Cette balise est recommandée pour la règle de sécurité sortante.This tag is recommended for outbound security rule.
  • BatchNodeManagement* (Resource Manager uniquement) : cette balise désigne les préfixes d’adresse du trafic de gestion pour les déploiements dédiés d’Azure Batch.BatchNodeManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for Azure Batch dedicated deployments. Si vous spécifiez BatchNodeManagement pour la valeur, le trafic est autorisé ou refusé, du service Batch vers les nœuds de calcul.If you specify BatchNodeManagement for the value, traffic is allowed or denied from the Batch service to compute nodes. Cette balise est recommandée pour la règle de sécurité entrante/sortante.This tag is recommended for inbound/outbound security rule.
  • AzureBackup* (Resource Manager uniquement) : cette balise désigne les préfixes d’adresse du service AzureBackup.AzureBackup* (Resource Manager only): This tag denotes the address prefixes of the AzureBackup service. Si vous spécifiez AzureBackup comme valeur, le trafic vers AzureBackup est autorisé ou refusé.If you specify AzureBackup for the value, traffic is allowed or denied to AzureBackup. Cette balise est dotée d’une dépendance par rapport aux balises Storage et AzureActiveDirectory. Cette balise est recommandée pour la règle de sécurité sortante.This tag has dependency on the Storage and AzureActiveDirectory tag.This tag is recommended for outbound security rule.
  • AzureActiveDirectoryDomainServices* (Resource Manager uniquement) : cette balise désigne les préfixes d’adresse du trafic de gestion pour les déploiements dédiés d’Azure Active Directory Domain Services.AzureActiveDirectoryDomainServices* (Resource Manager only): This tag denotes the address prefixes of the management traffic for Azure Active Directory Domain Services dedicated deployments. Si vous spécifiez AzureActiveDirectoryDomainServices comme valeur, le trafic vers AzureActiveDirectoryDomainServices est autorisé ou refusé.If you specify AzureActiveDirectoryDomainServices for the value, traffic is allowed or denied to AzureActiveDirectoryDomainServices. Cette balise est recommandée pour la règle de sécurité entrante/sortante.This tag is recommended for inbound/outbound security rule.
  • SqlManagement *(Resource Manager uniquement) : cette balise désigne les préfixes d’adresse du trafic de gestion pour les déploiements dédiés de SQL.SqlManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for SQL dedicated deployments. Si vous spécifiez SqlManagement comme valeur, le trafic vers SqlManagement est autorisé ou refusé.If you specify SqlManagement for the value, traffic is allowed or denied to SqlManagement. Cette balise est recommandée pour la règle de sécurité entrante/sortante.This tag is recommended for inbound/outbound security rule.
  • CognitiveServicesManagement (Gestionnaire des ressources uniquement) : Cette balise désigne les préfixes d’adresse du trafic pour Cognitive Services.CognitiveServicesManagement (Resource Manager only): This tag denotes the address prefixes of traffic for Cognitive Services. Si vous spécifiez CognitiveServicesManagement pour sa valeur, le trafic vers et depuis CognitiveServicesManagement est autorisé ou refusé.If you specify CognitiveServicesManagement for the value, traffic is allowed or denied to CognitiveServicesManagement. Cette balise est recommandée pour la règle de sécurité sortante.This tag is recommended for outbound security rule.
  • Dynamics365ForMarketingEmail (Gestionnaire des ressources uniquement) : Cette balise désigne les préfixes d’adresse du service de messagerie marketing de Dynamics 365.Dynamics365ForMarketingEmail (Resource Manager only): This tag denotes the address prefixes of the marketing email service of Dynamics 365. Si vous spécifiez Dynamics365ForMarketingEmail pour sa valeur, le trafic vers et depuis Dynamics365ForMarketingEmail est autorisé ou refusé.If you specify Dynamics365ForMarketingEmail for the value, traffic is allowed or denied to Dynamics365ForMarketingEmail. Si vous souhaitez uniquement autoriser l’accès à Dynamics365ForMarketingEmail dans une région spécifique, vous pouvez spécifier la région au format suivant : Dynamics365ForMarketingEmail.[nom de la région].If you only want to allow access to Dynamics365ForMarketingEmail in a specific region, you can specify the region in the following format Dynamics365ForMarketingEmail.[region name].
  • AzurePlatformDNS (Gestionnaire des ressources uniquement) : Cette balise désigne le serveur DNS, qui est un service d’infrastructure de base.AzurePlatformDNS (Resource Manager only): This tag denotes DNS which is a basic infrastructure service. Si vous spécifiez AzurePlatformDNS pour sa valeur, vous pouvez désactiver la prise en compte de la plateforme Azure par défaut pour DNS.If you specify AzurePlatformDNS for the value, you can disable the default Azure platform consideration for DNS. Nous vous recommandons de faire preuve de prudence lors de l’utilisation de cette balise.Please take caution in using this tag. Veillez à passer par une phase de test avant de l’utiliser.Testing is recommended before using this tag.
  • AzurePlatformIMDS (Gestionnaire des ressources uniquement) : Cette balise désigne IMDS, qui est un service d’infrastructure de base.AzurePlatformIMDS (Resource Manager only): This tag denotes IMDS which is a basic infrastructure service. Si vous spécifiez AzurePlatformIMDS pour sa valeur, vous pouvez désactiver la prise en compte de la plateforme Azure par défaut pour IMDS.If you specify AzurePlatformIMDS for the value, you can disable the default Azure platform consideration for IMDS. Nous vous recommandons de faire preuve de prudence lors de l’utilisation de cette balise.Please take caution in using this tag. Veillez à passer par une phase de test avant de l’utiliser.Testing is recommended before using this tag.
  • AzurePlatformLKM (Gestionnaire des ressources uniquement) : Cette balise désigne le gestionnaire de licences Windows ou le service de gestion de clés.AzurePlatformLKM (Resource Manager only): This tag denotes Windows licensing or key management service. Si vous spécifiez AzurePlatformLKM pour sa valeur, vous pouvez désactiver la prise en compte de la plateforme Azure par défaut pour la gestion des licences.If you specify AzurePlatformLKM for the value, you can disable the default Azure platform consideration for licensing. Nous vous recommandons de faire preuve de prudence lors de l’utilisation de cette balise.Please take caution in using this tag. Veillez à passer par une phase de test avant de l’utiliser.Testing is recommended before using this tag.

Notes

Les balises des services Azure indiquent les préfixes d’adresse du cloud spécifique utilisé.Service tags of Azure services denotes the address prefixes from the specific cloud being used.

Notes

Si vous implémentez un point de terminaison de service de réseau virtuel pour un service, par exemple Stockage Azure ou Azure SQL Database, Azure ajoute un itinéraire vers un sous-réseau de réseau virtuel pour le service.If you implement a virtual network service endpoint for a service, such as Azure Storage or Azure SQL Database, Azure adds a route to a virtual network subnet for the service. Les préfixes d’adresse de l’itinéraire sont les mêmes préfixes d’adresse ou plages CIDR que pour la balise de service correspondante.The address prefixes in the route are the same address prefixes, or CIDR ranges, as the corresponding service tag.

Balises de service en localService tags in on-premises

Vous pouvez télécharger et intégrer à un pare-feu local la liste des balises de service, avec les informations de préfixe, dans les publications hebdomadaires suivantes pour les clouds ci-après : Public, Administration américaine, Chine et Allemagne.You can download and integrate with an on-premises firewall the list of service tags with prefix details on the following weekly publications for Azure Public, US government, China, and Germany clouds.

Vous pouvez également récupérer cette information programmatiquement à l’aide de l’API Découverte des balises de service (préversion publique) - REST, Azure PowerShell et Azure CLI.You can also programmatically retrieve this information using the Service Tag Discovery API (Public Preview) - REST, Azure PowerShell, and Azure CLI.

Notes

Les publications hebdomadaires suivantes (ancienne version) pour les clouds Azure Public, Chine et Allemagne seront dépréciées d’ici le 30 juin 2020.Following weekly publications (old version) for Azure Public, China, and Germany clouds will be deprecated by June 30, 2020. Démarrez à l’aide des publications mises à jour, comme décrit ci-dessus.Please start using the updated publications as described above.

Règles de sécurité par défautDefault security rules

Azure crée les règles par défaut suivantes dans chaque groupe de sécurité réseau que vous créez :Azure creates the following default rules in each network security group that you create:

Trafic entrantInbound

AllowVNetInBoundAllowVNetInBound

PrioritéPriority SourceSource Ports sourceSource ports DestinationDestination Ports de destinationDestination ports ProtocoleProtocol AccessAccess
65 00065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 QuelconqueAny AUTORISERAllow

AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound

PrioritéPriority SourceSource Ports sourceSource ports DestinationDestination Ports de destinationDestination ports ProtocoleProtocol AccessAccess
65 00165001 AzureLoadBalancerAzureLoadBalancer 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 QuelconqueAny AUTORISERAllow

DenyAllInboundDenyAllInbound

PrioritéPriority SourceSource Ports sourceSource ports DestinationDestination Ports de destinationDestination ports ProtocoleProtocol AccessAccess
65 50065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 QuelconqueAny DenyDeny

Règle de trafic sortantOutbound

AllowVnetOutBoundAllowVnetOutBound

PrioritéPriority SourceSource Ports sourceSource ports DestinationDestination Ports de destinationDestination ports ProtocoleProtocol AccessAccess
65 00065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 QuelconqueAny AUTORISERAllow

AllowInternetOutBoundAllowInternetOutBound

PrioritéPriority SourceSource Ports sourceSource ports DestinationDestination Ports de destinationDestination ports ProtocoleProtocol AccessAccess
65 00165001 0.0.0.0/00.0.0.0/0 0-655350-65535 InternetInternet 0-655350-65535 QuelconqueAny AUTORISERAllow

DenyAllOutBoundDenyAllOutBound

PrioritéPriority SourceSource Ports sourceSource ports DestinationDestination Ports de destinationDestination ports ProtocoleProtocol AccessAccess
65 50065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 QuelconqueAny DenyDeny

Dans les colonnes Source et Destination, VirtualNetwork, AzureLoadBalancer et Internet sont des balises de service, non des adresses IP.In the Source and Destination columns, VirtualNetwork, AzureLoadBalancer, and Internet are service tags, rather than IP addresses. Dans la colonne de protocole, Any (N’importe lequel) englobe TCP, UDP et ICMP.In the protocol column, Any encompasses TCP, UDP, and ICMP. Lorsque vous créez une règle, vous pouvez spécifier TCP, UDP, ICMP ou Any (N’importe lequel).When creating a rule, you can specify TCP, UDP, ICMP or Any. 0.0.0.0/0 dans les colonnes Source et Destination représente toutes les adresses.0.0.0.0/0 in the Source and Destination columns represents all addresses. Les clients, tels que le portail Azure, Azure CLI ou Powershell peuvent utiliser « * » ou « any » pour cette expression.Clients like Azure portal, Azure CLI, or Powershell can use * or any for this expression.

Vous ne pouvez pas supprimer les règles par défaut, mais vous pouvez les remplacer par des règles de priorité plus élevée.You cannot remove the default rules, but you can override them by creating rules with higher priorities.

Groupes de sécurité d’applicationApplication security groups

Les groupes de sécurité d’application permettent de configurer la sécurité réseau comme un prolongement naturel de la structure de l’application, et donc de regrouper les machines virtuelles et définir des stratégies de sécurité réseau basés sur ces groupes.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. Vous pouvez réutiliser votre stratégie de sécurité à grande échelle sans maintenance manuelle d’adresses IP explicites.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. La plateforme gère la complexité des adresses IP explicites et plusieurs ensembles de règles, ce qui vous permet de vous concentrer sur la logique métier.The platform handles the complexity of explicit IP addresses and multiple rule sets, allowing you to focus on your business logic. Pour mieux comprendre les groupes de sécurité d’application, prenons l’exemple suivant :To better understand application security groups, consider the following example:

Groupes de sécurité d’application

Dans l’image précédente, NIC1 et NIC2 sont membres du groupe de sécurité d’application AsgWeb.In the previous picture, NIC1 and NIC2 are members of the AsgWeb application security group. NIC3 est un membre du groupe de sécurité d’application AsgLogic.NIC3 is a member of the AsgLogic application security group. NIC4 est un membre du groupe de sécurité d’application AsgDb.NIC4 is a member of the AsgDb application security group. Bien que chaque interface réseau dans cet exemple soit membre d’un seul groupe de sécurité d’application, une interface réseau peut être membre de plusieurs groupes de sécurité d’application, jusqu'aux limites Azure.Though each network interface in this example is a member of only one application security group, a network interface can be a member of multiple application security groups, up to the Azure limits. Aucune de ces interfaces réseau ne dispose d’un groupe de sécurité réseau associé.None of the network interfaces have an associated network security group. NSG1 est associé aux deux sous-réseaux et contient les règles suivantes :NSG1 is associated to both subnets and contains the following rules:

Allow-HTTP-Inbound-InternetAllow-HTTP-Inbound-Internet

Cette règle est nécessaire pour autoriser le trafic internet vers les serveurs web.This rule is needed to allow traffic from the internet to the web servers. Étant donné que le trafic entrant à partir d’internet est refusé par la règle de sécurité par défaut DenyAllInbound, aucune règle supplémentaire n’est nécessaire pour les groupes de sécurité d’application AsgLogic ou AsgDb.Because inbound traffic from the internet is denied by the DenyAllInbound default security rule, no additional rule is needed for the AsgLogic or AsgDb application security groups.

PrioritéPriority SourceSource Ports sourceSource ports DestinationDestination Ports de destinationDestination ports ProtocoleProtocol AccessAccess
100100 InternetInternet * AsgWebAsgWeb 8080 TCPTCP AUTORISERAllow

Deny-Database-AllDeny-Database-All

Étant donné que la règle de sécurité par défaut AllowVNetInBound autorise toutes les communications entre les ressources dans le même réseau virtuel, cette règle est nécessaire pour refuser le trafic à partir de toutes les ressources.Because the AllowVNetInBound default security rule allows all communication between resources in the same virtual network, this rule is needed to deny traffic from all resources.

PrioritéPriority SourceSource Ports sourceSource ports DestinationDestination Ports de destinationDestination ports ProtocoleProtocol AccessAccess
120120 * * AsgDbAsgDb 14331433 QuelconqueAny DenyDeny

Allow-Database-BusinessLogicAllow-Database-BusinessLogic

Cette règle autorise le trafic du groupe de sécurité d’application AsgLogic vers le groupe de sécurité d’application AsgDb.This rule allows traffic from the AsgLogic application security group to the AsgDb application security group. Cette règle est prioritaire par rapport à la règle Deny-Database-All.The priority for this rule is higher than the priority for the Deny-Database-All rule. Par conséquent, cette règle est traitée avant la règle Deny-Database-All, c’est pourquoi le trafic en provenance du groupe de sécurité d’application AsgLogic est autorisé, tandis que tout autre trafic est bloqué.As a result, this rule is processed before the Deny-Database-All rule, so traffic from the AsgLogic application security group is allowed, whereas all other traffic is blocked.

PrioritéPriority SourceSource Ports sourceSource ports DestinationDestination Ports de destinationDestination ports ProtocoleProtocol AccessAccess
110110 AsgLogicAsgLogic * AsgDbAsgDb 14331433 TCPTCP AUTORISERAllow

Les règles spécifiant un groupe de sécurité d’application en tant que source ou destination sont appliquées uniquement aux interfaces réseau qui sont membres du groupe de sécurité d’application.The rules that specify an application security group as the source or destination are only applied to the network interfaces that are members of the application security group. Si l’interface réseau n’est pas membre d’un groupe de sécurité d’application, la règle n’est pas appliquée à l’interface réseau, même si le groupe de sécurité réseau est associé au sous-réseau.If the network interface is not a member of an application security group, the rule is not applied to the network interface, even though the network security group is associated to the subnet.

Les groupes de sécurité d’application ont les contraintes suivantes :Application security groups have the following constraints:

  • Le nombre de groupes de sécurité d’application que vous pouvez avoir dans un abonnement, ainsi que d’autres paramètres relatifs aux groupes de sécurité d’application, sont limités.There are limits to the number of application security groups you can have in a subscription, as well as other limits related to application security groups. Pour plus d’informations, consultez limites Azure.For details, see Azure limits.
  • Vous pouvez spécifier un groupe de sécurité d’application en tant que source et destination dans une règle de sécurité.You can specify one application security group as the source and destination in a security rule. Vous ne pouvez pas spécifier plusieurs groupes de sécurité d’application dans la source ou la destination.You cannot specify multiple application security groups in the source or destination.
  • Toutes les interfaces réseau affectées à un groupe de sécurité d’application doivent exister dans le même réseau virtuel que celui où se trouve la première interface réseau affectée au groupe de sécurité d’application.All network interfaces assigned to an application security group have to exist in the same virtual network that the first network interface assigned to the application security group is in. Par exemple, si la première interface réseau assignée à un groupe de sécurité d’application nommé AsgWeb se trouve dans le réseau virtuel nommé VNet1, toutes les interfaces réseau suivantes affectées àAsgWeb doivent exister dans VNet1.For example, if the first network interface assigned to an application security group named AsgWeb is in the virtual network named VNet1, then all subsequent network interfaces assigned to ASGWeb must exist in VNet1. Vous ne pouvez pas ajouter d’interfaces réseau à partir de différents réseaux virtuels au même groupe de sécurité d’application.You cannot add network interfaces from different virtual networks to the same application security group.
  • Si vous spécifiez un groupe de sécurité d’application en tant que source et destination dans une règle de sécurité, les interfaces réseau dans les deux groupes de sécurité d’application doivent se trouver dans le même réseau virtuel.If you specify an application security group as the source and destination in a security rule, the network interfaces in both application security groups must exist in the same virtual network. Par exemple, si AsgLogic contient des interfaces réseau de VNet1, et si AsgDb contient des interfaces réseau de VNet2, vous ne pouvez pas assigner AsgLogic en tant que source et AsgDb en tant que destination dans une règle.For example, if AsgLogic contained network interfaces from VNet1, and AsgDb contained network interfaces from VNet2, you could not assign AsgLogic as the source and AsgDb as the destination in a rule. Toutes les interfaces réseau pour les groupes de sécurité d’application source et destination doivent exister dans le même réseau virtuel.All network interfaces for both the source and destination application security groups need to exist in the same virtual network.

Conseil

Pour réduire le nombre de règles de sécurité dont vous avez besoin et la nécessité de modifier les règles, planifiez les groupes de sécurité d’application dont vous avez besoin et créez des règles à l’aide de balises de service ou des groupes de sécurité d’application, plutôt que des adresses IP individuelles ou des plages d’adresses IP, chaque fois que c’est possible.To minimize the number of security rules you need, and the need to change the rules, plan out the application security groups you need and create rules using service tags or application security groups, rather than individual IP addresses, or ranges of IP addresses, whenever possible.

Évaluation du traficHow traffic is evaluated

Vous pouvez déployer des ressources à partir de plusieurs services Azure dans un réseau virtuel Azure.You can deploy resources from several Azure services into an Azure virtual network. Pour une liste complète, consultez Services pouvant être déployés dans un réseau virtuel.For a complete list, see Services that can be deployed into a virtual network. Vous pouvez associer zéro ou un groupe de sécurité réseau à chaque sous-réseau de réseau virtuel et interface réseau dans une machine virtuelle.You can associate zero, or one, network security group to each virtual network subnet and network interface in a virtual machine. Vous pouvez associer le même groupe de sécurité réseau à autant d’interfaces réseau individuelles et autant de sous-réseaux que vous le souhaitez.The same network security group can be associated to as many subnets and network interfaces as you choose.

L’image suivante illustre les différents scénarios de déploiement des groupes de sécurité réseau afin d’autoriser le trafic réseau vers et à partir d’internet via le port TCP 80 :The following picture illustrates different scenarios for how network security groups might be deployed to allow network traffic to and from the internet over TCP port 80:

NSG-processing

Référez-vous à l’image précédente ainsi qu’au texte suivant pour comprendre comment Azure traite les règles entrantes et sortantes pour les groupes de sécurité réseau :Reference the previous picture, along with the following text, to understand how Azure processes inbound and outbound rules for network security groups:

Trafic entrantInbound traffic

Pour le trafic entrant, Azure traite d’abord les règles dans un groupe de sécurité réseau associées à un sous-réseau, si elles existent, puis les règles dans un groupe de sécurité réseau associées à l’interface réseau, si elles existent.For inbound traffic, Azure processes the rules in a network security group associated to a subnet first, if there is one, and then the rules in a network security group associated to the network interface, if there is one.

  • VM1 : Les règles de la sécurité dans NSG1 sont traitées dans la mesure où elles sont associées à Subnet1 et VM1 est dans Subnet1.VM1: The security rules in NSG1 are processed, since it is associated to Subnet1 and VM1 is in Subnet1. Sauf si vous avez créé une règle autorisant le trafic entrant par le port 80, le trafic est refusé par la règle de sécurité par défaut DenyAllInbound et n’est jamais évalué par NSG2, étant donné que NSG2 est associé à l’interface réseau.Unless you've created a rule that allows port 80 inbound, the traffic is denied by the DenyAllInbound default security rule, and never evaluated by NSG2, since NSG2 is associated to the network interface. Si NSG1 dispose d’une règle de sécurité qui autorise le trafic entrant par le port 80, le trafic est ensuite traité par NSG2.If NSG1 has a security rule that allows port 80, the traffic is then processed by NSG2. Pour autoriser le port 80 vers la machine virtuelle, NSG1 et NSG2 doivent disposer tous deux d’une règle autorisant l’accès au port 80 à partir d’Internet.To allow port 80 to the virtual machine, both NSG1 and NSG2 must have a rule that allows port 80 from the internet.
  • VM2 : Les règles dans NSG1 sont traitées étant donné que VM2 se trouve également dans Subnet1.VM2: The rules in NSG1 are processed because VM2 is also in Subnet1. Dans la mesure où VM2 ne dispose pas d’un groupe de sécurité réseau associé à son interface réseau, elle reçoit tout le trafic autorisé via NSG1 ou se voit refuser tout le trafic refusé par NSG1.Since VM2 does not have a network security group associated to its network interface, it receives all traffic allowed through NSG1 or is denied all traffic denied by NSG1. Le trafic est soit autorisé, soit refusé à toutes les ressources dans le même sous-réseau lorsqu’un groupe de sécurité réseau est associé à un sous-réseau.Traffic is either allowed or denied to all resources in the same subnet when a network security group is associated to a subnet.
  • VM3 : Dans la mesure où il n’existe aucun groupe de sécurité réseau associé à Subnet2, le trafic est autorisé dans le sous-réseau et traité par NSG2, car NSG2 est associé à l’interface réseau attachée à VM3.VM3: Since there is no network security group associated to Subnet2, traffic is allowed into the subnet and processed by NSG2, because NSG2 is associated to the network interface attached to VM3.
  • VM4 : Le trafic est autorisé vers VM4, car aucun groupe de sécurité réseau n’est associé à Subnet3 ou à l’interface réseau dans la machine virtuelle.VM4: Traffic is allowed to VM4, because a network security group isn't associated to Subnet3, or the network interface in the virtual machine. L’intégralité du trafic réseau est autorisée via une interface réseau et un sous-réseau si aucun groupe de sécurité réseau leur est associé.All network traffic is allowed through a subnet and network interface if they don't have a network security group associated to them.

Trafic sortantOutbound traffic

Pour le trafic sortant, Azure traite d’abord les règles dans un groupe de sécurité réseau associées à une interface réseau, si elles existent, puis les règles dans un groupe de sécurité réseau associées au sous-réseau, si elles existent.For outbound traffic, Azure processes the rules in a network security group associated to a network interface first, if there is one, and then the rules in a network security group associated to the subnet, if there is one.

  • VM1 : Les règles de sécurité dans NSG2 sont traitées.VM1: The security rules in NSG2 are processed. Sauf si vous créez une règle de sécurité qui refuse le trafic sortant vers internet au niveau du port 80, le trafic est autorisé par la règle de sécurité par défaut AllowInternetOutbound à la fois dans NSG1 et NSG2.Unless you create a security rule that denies port 80 outbound to the internet, the traffic is allowed by the AllowInternetOutbound default security rule in both NSG1 and NSG2. Si NSG2 présente une règle de sécurité qui refuse le trafic par le port 80, le trafic est refusé et n’est jamais évalué par NSG1.If NSG2 has a security rule that denies port 80, the traffic is denied, and never evaluated by NSG1. Pour refuser le port 80 à partir de la machine virtuelle, l’un au moins des groupes de sécurité réseau doit disposer d’une règle qui refuse l’accès à Internet par le port 80.To deny port 80 from the virtual machine, either, or both of the network security groups must have a rule that denies port 80 to the internet.
  • VM2 : L’ensemble du trafic est envoyé au sous-réseau via l’interface réseau puisque l’interface réseau attachée à VM2 ne dispose pas d’un groupe de sécurité réseau associé.VM2: All traffic is sent through the network interface to the subnet, since the network interface attached to VM2 does not have a network security group associated to it. Les règles dans NSG1 sont traitées.The rules in NSG1 are processed.
  • VM3 : Si NSG2 présente une règle de sécurité qui refuse le trafic par le port 80, le trafic est refusé.VM3: If NSG2 has a security rule that denies port 80, the traffic is denied. Si NSG2 a une règle de sécurité qui autorise le trafic par le port 80, le port 80 autorise le trafic sortant vers internet, étant donné qu’un groupe de sécurité réseau n’est pas associé à Subnet2.If NSG2 has a security rule that allows port 80, then port 80 is allowed outbound to the internet, since a network security group is not associated to Subnet2.
  • VM4 : L’ensemble du trafic réseau est autorisé depuis VM4, car aucun groupe de sécurité réseau n’est associé à Subnet3 ou à l’interface réseau associée à la machine virtuelle.VM4: All network traffic is allowed from VM4, because a network security group isn't associated to the network interface attached to the virtual machine, or to Subnet3.

Vous pouvez facilement afficher des règles d’agrégation appliquées à une interface réseau en consultant les règles de sécurité efficaces relatives à une interface réseau.You can easily view the aggregate rules applied to a network interface by viewing the effective security rules for a network interface. Vous pouvez également utiliser la fonctionnalité de vérification du flux IP dans Azure Network Watcher pour déterminer si la communication est autorisée vers ou à partir d’une interface réseau.You can also use the IP flow verify capability in Azure Network Watcher to determine whether communication is allowed to or from a network interface. Le Flux IP vous indique si la communication est autorisée ou refusée, ainsi que la règle de sécurité réseau qui autorise ou refuse le trafic.IP flow verify tells you whether communication is allowed or denied, and which network security rule allows or denies the traffic.

Notes

Les groupes de sécurité réseau sont associés à des sous-réseaux ou à des machines virtuelles et services cloud déployés dans le modèle de déploiement classique, et à des sous-réseaux ou des interfaces réseau dans le modèle de déploiement Resource Manager.Network security groups are associated to subnets or to virtual machines and cloud services deployed in the classic deployment model, and to subnets or network interfaces in the Resource Manager deployment model. Pour en savoir plus sur les modèles de déploiement Azure, consultez l’article Déploiement Azure Resource Manager et déploiement classique : comprendre les modèles de déploiement et l’état de vos ressources.To learn more about Azure deployment models, see Understand Azure deployment models.

Conseil

Sauf si vous avez une raison particulière, nous vous recommandons d’associer un groupe de sécurité réseau à un sous-réseau ou à une interface réseau, mais pas aux deux.Unless you have a specific reason to, we recommended that you associate a network security group to a subnet, or a network interface, but not both. Dans la mesure où les règles d’un groupe de sécurité réseau associées à un sous-réseau peut entrer en conflit avec des règles d’un groupe de sécurité réseau associées à une interface réseau, vous pourrez subir des problèmes de communication inattendus qui nécessiteront une intervention.Since rules in a network security group associated to a subnet can conflict with rules in a network security group associated to a network interface, you can have unexpected communication problems that require troubleshooting.

Considérations relatives à la plateforme AzureAzure platform considerations

  • Adresse IP virtuelle du nœud hôte : Des services d’infrastructure de base tels que DHCP, DNS, IMDS et la surveillance de l’intégrité sont fournis par le biais des adresses IP d’hôte virtualisées 168.63.129.16 et 169.254.169.254.Virtual IP of the host node: Basic infrastructure services such as DHCP, DNS, IMDS, and health monitoring are provided through the virtualized host IP addresses 168.63.129.16 and 169.254.169.254. Ces adresses IP appartiennent à Microsoft et sont les seules adresses IP virtualisées utilisées à cet effet dans toutes les régions.These IP addresses belong to Microsoft and are the only virtualized IP addresses used in all regions for this purpose.

  • Gestion des licences (Service de gestion des clés) : Les images Windows en cours d’exécution sur les machines virtuelles doivent être acquises sous licence.Licensing (Key Management Service): Windows images running in virtual machines must be licensed. Pour assurer la gestion des licences, une requête est envoyée aux serveurs hôtes du Service de gestion de clés qui gèrent les requêtes de ce type.To ensure licensing, a request is sent to the Key Management Service host servers that handle such queries. La requête est effectuée en sortie par le biais du port 1688.The request is made outbound through port 1688. Cette règle de plateforme est désactivée pour les déploiements utilisant la configuration itinéraire par défaut 0.0.0.0/0.For deployments using default route 0.0.0.0/0 configuration, this platform rule will be disabled.

  • Machines virtuelles dans des pools d’équilibrage de charge : Le port source et la plage d’adresses appliquées proviennent de l’ordinateur d’origine, pas de l’équilibreur de charge.Virtual machines in load-balanced pools: The source port and address range applied are from the originating computer, not the load balancer. La plage de ports et d’adresses de destination sont ceux de l’ordinateur de destination, et non de l’équilibreur de charge.The destination port and address range are for the destination computer, not the load balancer.

  • Instances de service Azure : Les instances de plusieurs services Azure, tels que HDInsight, les environnements de service d’application et Virtual Machine Scale Sets, sont déployées dans des sous-réseaux du réseau virtuel.Azure service instances: Instances of several Azure services, such as HDInsight, Application Service Environments, and Virtual Machine Scale Sets are deployed in virtual network subnets. Pour obtenir la liste complète des services que vous pouvez déployer sur des réseaux virtuels, consultez Réseau virtuel pour les services Azure.For a complete list of services you can deploy into virtual networks, see Virtual network for Azure services. Familiarisez-vous avec les exigences de port pour chaque service avant d’appliquer un groupe de sécurité réseau au sous-réseau dans lequel la ressource est déployée.Ensure you familiarize yourself with the port requirements for each service before applying a network security group to the subnet the resource is deployed in. Si vous refusez les ports requis par le service, ce dernier ne fonctionnera pas correctement.If you deny ports required by the service, the service doesn't function properly.

  • Envoi d’e-mail sortant : Microsoft vous recommande l’utilisation de services de relais authentifiés SMTP (généralement connectés via le port TCP 587, mais parfois via d’autres ports) pour envoyer un e-mail depuis des machines virtuelles Azure.Sending outbound email: Microsoft recommends that you utilize authenticated SMTP relay services (typically connected via TCP port 587, but often others, as well) to send email from Azure Virtual Machines. Les services de relais SMTP se spécialisent dans la réputation des expéditeurs, afin de minimiser les risques de renvoi de messages de la part de fournisseurs de messagerie tiers.SMTP relay services specialize in sender reputation, to minimize the possibility that third-party email providers reject messages. Ce type de services de relais SMTP incluent, sans s’y limiter, Exchange Online Protection et SendGrid.Such SMTP relay services include, but are not limited to, Exchange Online Protection and SendGrid. L’utilisation de services de relais SMTP n’est en aucun cas limitée dans Azure et ne tient pas compte de votre type d’abonnement.Use of SMTP relay services is in no way restricted in Azure, regardless of your subscription type.

    Si vous avez créé votre abonnement Azure avant le 15 novembre 2017, vous pouvez, en plus d’utiliser des services de relais SMTP, envoyer des messages électroniques via le port TCP 25 directement.If you created your Azure subscription prior to November 15, 2017, in addition to being able to use SMTP relay services, you can send email directly over TCP port 25. Si vous avez créé votre abonnement après le 15 novembre 2017, vous ne serez peut-être pas en mesure d’envoyer des messages électroniques via le port TCP 25 directement.If you created your subscription after November 15, 2017, you may not be able to send email directly over port 25. Le comportement des communications sortantes via le port 25 dépend de votre type d’abonnement :The behavior of outbound communication over port 25 depends on the type of subscription you have, as follows:

    • Contrat Entreprise : Les communications sortantes via le port 25 sont autorisées.Enterprise Agreement: Outbound port 25 communication is allowed. Vous êtes en mesure d’envoyer du courrier sortant directement depuis les machines virtuelles vers des fournisseurs de messagerie électronique externes, sans limitations de la plateforme Azure.You are able to send outbound email directly from virtual machines to external email providers, with no restrictions from the Azure platform.
    • Paiement à l’utilisation : Les communications sortantes via le port 25 sont bloquées pour toutes les ressources.Pay-as-you-go: Outbound port 25 communication is blocked from all resources. Si vous devez envoyer des courriers électroniques directement depuis une machine virtuelle vers des fournisseurs de messagerie électronique externes (sans utiliser des relais SMTP authentifiés), vous pouvez effectuer une requête pour retirer la restriction.If you need to send email from a virtual machine directly to external email providers (not using an authenticated SMTP relay), you can make a request to remove the restriction. Les demandes sont étudiées et acceptées par Microsoft. Elles ne sont accordées qu’après des vérifications antifraude.Requests are reviewed and approved at Microsoft's discretion and are only granted after anti-fraud checks are performed. Pour effectuer une requête, ouvrez un cas d’assistance avec pour type de problème Technique, Connectivité du réseau virtuel, Envoi de messages électroniques impossible (SMTP/Port 25) .To make a request, open a support case with the issue type Technical, Virtual Network Connectivity, Cannot send e-mail (SMTP/Port 25). Dans votre cas d’assistance, indiquez les raisons pour lesquelles votre abonnement doit être en mesure d’envoyer des courriers électroniques directement aux fournisseurs, sans passer par un relais authentifié SMTP.In your support case, include details about why your subscription needs to send email directly to mail providers, instead of going through an authenticated SMTP relay. Si votre abonnement est exempté, seules les machines virtuelles créées après la date d’exemption sont en mesure d’utiliser des communications sortantes via le port 25.If your subscription is exempted, only virtual machines created after the exemption date are able to communicate outbound over port 25.
    • MSDN, Pass Azure, Azure dans Open, Éducation, BizSpark et Essai gratuit : Les communications sortantes via le port 25 sont bloquées pour toutes les ressources.MSDN, Azure Pass, Azure in Open, Education, BizSpark, and Free trial: Outbound port 25 communication is blocked from all resources. Aucune demande pour retirer la restriction ne peut être faite. Elles ne sont pas autorisées.No requests to remove the restriction can be made, because requests are not granted. Si vous devez envoyer des courriers électroniques depuis votre machine virtuelle, vous devez utiliser un service de relais SMTP.If you need to send email from your virtual machine, you have to use an SMTP relay service.
    • Fournisseur de services cloud : Les clients qui consomment des ressources Azure via un fournisseur de services cloud peuvent créer une demande de support auprès de celui-ci et demander qu’il crée une demande de déblocage en son nom, si un relais SMTP sécurisé ne peut pas être utilisé.Cloud service provider: Customers that are consuming Azure resources via a cloud service provider can create a support case with their cloud service provider, and request that the provider create an unblock case on their behalf, if a secure SMTP relay cannot be used.

    Si Azure vous permet d’envoyer des courriers électroniques via le port 25, Microsoft ne peut vous garantir que les fournisseurs de messagerie électronique accepteront le message entrant en provenance de votre machine virtuelle.If Azure allows you to send email over port 25, Microsoft cannot guarantee email providers will accept inbound email from your virtual machine. Si un fournisseur spécifique rejette les messages en provenance de votre machine virtuelle, contactez directement le fournisseur pour résoudre tout problème de livraison de messages ou de filtrage de spam, ou bien utilisez un service de relais SMTP authentifié.If a specific provider rejects mail from your virtual machine, work directly with the provider to resolve any message delivery or spam filtering issues, or use an authenticated SMTP relay service.

Étapes suivantesNext steps