App Service 環境をロックするLocking down an App Service Environment

App Service Environment (ASE) が適切に動作するには、アクセスする必要がある外部の依存関係が複数あります。The App Service Environment (ASE) has a number of external dependencies that it requires access to in order to function properly. ASE は、お客様の Azure Virtual Network (VNet) 内にあります。The ASE lives in the customer Azure Virtual Network (VNet). お客様は、ASE の依存トラフィックを許可する必要があります。これは、自社の VNet からのすべての送信をロックしたいお客様にとって問題です。Customers must allow the ASE dependency traffic, which is a problem for customers that want to lock down all egress from their VNet.

ASE が持っている受信依存関係は複数あります。There are a number of inbound dependencies that an ASE has. 受信管理トラフィックはファイアウォール デバイスを介して送信できません。The inbound management traffic cannot be sent through a firewall device. このトラフィックのソース アドレスは既知であり、「App Service Environment の管理アドレス」ドキュメントで公開されています。The source addresses for this traffic are known and are published in the App Service Environment management addresses document. その情報を使用してネットワーク セキュリティ グループ ルールを作成し、受信トラフィックをセキュリティで保護することができます。You can create Network Security Group rules with that information to secure inbound traffic.

ASE の送信依存関係は、ほぼすべて、背後に静的アドレスがない FQDN を使用して定義されています。The ASE outbound dependencies are almost entirely defined with FQDNs, which do not have static addresses behind them. 静的アドレスがないということは、ネットワーク セキュリティ グループ (NSG) を使用して ASE からの送信トラフィックをロックできないことを意味します。The lack of static addresses means that Network Security Groups (NSGs) cannot be used to lock down the outbound traffic from an ASE. アドレスは頻繁に変わるので、現在の解決策に基づいてルールを設定し、それを使用して NSG を作成することができません。The addresses change often enough that one cannot set up rules based on the current resolution and use that to create NSGs.

送信アドレスをセキュリティで保護する解決策は、ドメイン名に基づいて送信トラフィックを制御できるファイアウォール デバイスの使用方法にあります。The solution to securing outbound addresses lies in use of a firewall device that can control outbound traffic based on domain names. Azure Firewall では、宛先の FQDN に基づいて送信 HTTP および HTTPS トラフィックを制限できます。Azure Firewall can restrict outbound HTTP and HTTPS traffic based on the FQDN of the destination.

システム アーキテクチャSystem architecture

アウトバウンドのトラフィックがファイアウォール デバイスを経由するようにして ASE をデプロイするには、ASE サブネットのルートを変更する必要があります。Deploying an ASE with outbound traffic going through a firewall device requires changing routes on the ASE subnet. ルートは IP レベルで動作します。Routes operate at an IP level. ルートを慎重に定義しないと、別のアドレスからの TCP 応答トラフィックの発信が強制される可能性があります。If you are not careful in defining your routes, you can force TCP reply traffic to source from another address. 応答アドレスが、トラフィックの送信先のアドレスと異なる場合、この問題は非対称ルーティングと呼ばれ、TCP が中断されます。When your reply address is different from the address traffic was sent to, the problem is called asymmetric routing and it will break TCP.

ASE へのインバウンドのトラフィックが、そのトラフィックが入ってきたのと同じ方法で応答できるようにルートが定義されている必要があります。There must be routes defined so that inbound traffic to the ASE can reply back the same way the traffic came in. ルートは、インバウンドの管理要求にも、インバウンドのアプリケーション要求にも定義する必要があります。Routes must be defined for inbound management requests and for inbound application requests.

ASE との間のトラフィックは、次の規則に従っている必要がありますThe traffic to and from an ASE must abide by the following conventions

  • Azure SQL、Storage、および Event Hub へのトラフィックは、ファイアウォール デバイスを使用する場合、サポートされません。The traffic to Azure SQL, Storage, and Event Hub are not supported with use of a firewall device. このトラフィックは、それらのサービスに直接送信される必要があります。This traffic must be sent directly to those services. それを実行する方法は、それらの 3 つのサービスのサービス エンドポイントを構成することです。The way to make that happen is to configure service endpoints for those three services.
  • インバウンドの管理トラフィックをその送信元から送り返すルート テーブル規則が定義されている必要があります。Route table rules must be defined that send inbound management traffic back from where it came.
  • インバウンドのアプリケーション トラフィックをその送信元から送り返すルート テーブル規則が定義されている必要があります。Route table rules must be defined that send inbound application traffic back from where it came.
  • ASE を離れる他のすべてのトラフィックは、ルート テーブル規則を使用してファイアウォール デバイスに送信することができます。All other traffic leaving the ASE can be sent to your firewall device with a route table rule.

ASE と Azure Firewall の接続フロー

ASE に合わせて Azure Firewall を構成するConfiguring Azure Firewall with your ASE

Azure Firewall を使用して既存の ASE からのエグレスをロックダウンする手順は次のとおりです。The steps to lock down egress from your existing ASE with Azure Firewall are:

  1. ASE サブネット上の SQL、Storage、Event Hub へのサービス エンドポイントを有効にします。Enable service endpoints to SQL, Storage, and Event Hub on your ASE subnet. サービス エンドポイントを有効にするには、ネットワーク ポータル、[サブネット] の順に移動し、[サービス エンドポイント] ドロップダウンから [Microsoft.EventHub]、[Microsoft.SQL]、[Microsoft.Storage] を選択します。To enable service endpoints, go into the networking portal > subnets and select Microsoft.EventHub, Microsoft.SQL and Microsoft.Storage from the Service endpoints dropdown. Azure SQL に対するサービス エンドポイントを有効にした場合、お使いのアプリの Azure SQL の依存関係もすべて、サービス エンドポイントで構成する必要があります。When you have service endpoints enabled to Azure SQL, any Azure SQL dependencies that your apps have must be configured with service endpoints as well.

    サービス エンドポイントの選択

  2. ASE が存在する VNet に AzureFirewallSubnet という名前のサブネットを作成します。Create a subnet named AzureFirewallSubnet in the VNet where your ASE exists. Azure Firewall のドキュメント」の指示に従って Azure Firewall を作成します。Follow the directions in the Azure Firewall documentation to create your Azure Firewall.

  3. Azure Firewall UI の [ルール]、[アプリケーション ルール コレクション] から、[アプリケーション ルール コレクションの追加] を選択します。From the Azure Firewall UI > Rules > Application rule collection, select Add application rule collection. 名前、優先度を指定し、[許可] を設定します。Provide a name, priority, and set Allow. [FQDN タグ] セクションで、名前を指定し、[ソース アドレス] を「*」に設定して、FQDN タグとして App Service Environment と Windows Update を選択します。In the FQDN tags section, provide a name, set the source addresses to * and select the App Service Environment FQDN Tag and the Windows Update.

    アプリケーション ルールの追加

  4. Azure Firewall UI の [ルール]、[ネットワーク ルール コレクション] から、[ネットワーク ルール コレクションの追加] を選択します。From the Azure Firewall UI > Rules > Network rule collection, select Add network rule collection. 名前、優先度を指定し、[許可] を設定します。Provide a name, priority, and set Allow. [ルール] セクションで、名前を指定し、 [任意] を選択して、[ソース アドレス] と [宛先アドレス] に「*」を設定し、ポートを「123」を設定します。In the Rules section, provide a name, select Any, set * to Source and Destination addresses, and set the ports to 123. このルールにより、システムでは NTP を使用してクロック同期を実行できます。This rule allows the system to perform clock sync using NTP. システムのあらゆる問題をトリアージできるように、ポート 12000 に対しても同様に別のルールを作成します。Create another rule the same way to port 12000 to help triage any system issues.

    NTP ネットワーク ルールの追加

  5. インターネットの次ホップがある App Service Environment 管理アドレスから管理アドレスを使用してルート テーブルを作成します。Create a route table with the management addresses from App Service Environment management addresses with a next hop of Internet. ルート テーブル エントリは、非対称ルーティングの問題を回避するために必要です。The route table entries are required to avoid asymmetric routing problems. インターネットの次ホップがある IP アドレスの依存関係に、以下に示す IP アドレスの依存関係のルートを追加します。Add routes for the IP address dependencies noted below in the IP address dependencies with a next hop of Internet. 0.0.0.0/0 のルート テーブルに、次ホップが Azure Firewall プライベート IP アドレスである仮想アプライアンス ルートを追加します。Add a Virtual Appliance route to your route table for 0.0.0.0/0 with the next hop being your Azure Firewall private IP address.

    ルート テーブルの作成

  6. 作成したルート テーブルを ASE サブネットに割り当てます。Assign the route table you created to your ASE subnet.

ファイアウォールの内側に ASE をデプロイするDeploying your ASE behind a firewall

ファイアウォールの内側に ASE をデプロイする手順は、Azure Firewall を使用して既存の ASE を構成する手順と同じです。ただし、例外として、ASE サブネットを作成してから前の手順に従う必要があります。The steps to deploy your ASE behind a firewall are the same as configuring your existing ASE with an Azure Firewall except you will need to create your ASE subnet and then follow the previous steps. 既存のサブネットに ASE を作成するには、Resource Manager テンプレートを使用した ASE の作成に関するドキュメントで説明されているように、Resource Manager テンプレートを使用する必要があります。To create your ASE in a pre-existing subnet, you need to use a Resource Manager template as described in the document on Creating your ASE with a Resource Manager template.

アプリケーション トラフィックApplication traffic

上記の手順で、ASE が問題なく動作するようになります。The above steps will allow your ASE to operate without problems. ただし、実際のアプリケーションのニーズに合わせて構成する必要があります。You still need to configure things to accommodate your application needs. Azure Firewall を使用して構成された ASE 内のアプリケーションには 2 つの問題があります。There are two problems for applications in an ASE that is configured with Azure Firewall.

  • アプリケーションの依存関係を Azure Firewall またはルート テーブルに追加する必要がある。Application dependencies must be added to the Azure Firewall or the route table.
  • 非対称ルーティングの問題を回避するために、アプリケーションのトラフィック用にルートを作成する必要がある。Routes must be created for the application traffic to avoid asymmetric routing issues

アプリケーションに依存関係がある場合は、それらを Azure Firewall に追加する必要があります。If your applications have dependencies, they need to be added to your Azure Firewall. その他すべてに関する HTTP/HTTPS トラフィックとネットワークのルールを許可するようにアプリケーション ルールを作成します。Create Application rules to allow HTTP/HTTPS traffic and Network rules for everything else.

アプリケーション要求トラフィックの送信元であるアドレス範囲がわかっている場合は、そのアドレス範囲を ASE サブネットに割り当てられているルート テーブルに追加することができます。If you know the address range that your application request traffic will come from, you can add that to the route table that is assigned to your ASE subnet. アドレス範囲が大きい場合や指定されていない場合は、Application Gateway などのネットワーク アプライアンスを使用して、ルート テーブルに追加するアドレスを 1 つ指定することができます。If the address range is large or unspecified, then you can use a network appliance like the Application Gateway to give you one address to add to your route table. ILB ASE に合わせて Application Gateway を構成する方法の詳細については、ILB ASE を Application Gateway と統合する方法に関するページを参照してください。For details on configuring an Application Gateway with your ILB ASE, read Integrating your ILB ASE with an Application Gateway

この Application Gateway の使用は、システムの構成方法の一例にすぎません。This use of the Application Gateway is just one example of how to configure your system. このパスに従わなかった場合は、ASE サブネット ルート テーブルへのルートの追加が必要になります。その結果、Application Gateway に送信された応答トラフィックはそこに直接送られます。If you did follow this path, then you would need to add a route to the ASE subnet route table so the reply traffic sent to the Application Gateway would go there directly.

ログの記録Logging

Azure Firewall は、Azure Storage、Event Hub、または Azure Monitor ログにログを送信できます。Azure Firewall can send logs to Azure Storage, Event Hub, or Azure Monitor logs. お使いのアプリをサポート対象の送信先と統合するには、Azure Firewall ポータルの [診断ログ] に移動し、目的の送信先のログを有効にします。To integrate your app with any supported destination, go to the Azure Firewall portal > Diagnostic Logs and enable the logs for your desired destination. Azure Monitor ログと統合すると、Azure Firewall に送信されたすべてのトラフィックのログを確認できます。If you integrate with Azure Monitor logs, then you can see logging for any traffic sent to Azure Firewall. 拒否されているトラフィックを表示するには、Log Analytics ワークスペース ポータルの [ログ] を開き、次のようなクエリを入力しますTo see the traffic that is being denied, open your Log Analytics workspace portal > Logs and enter a query like

AzureDiagnostics | where msg_s contains "Deny" | where TimeGenerated >= ago(1h)

Azure Firewall を Azure Monitor ログと統合すると、アプリケーションのすべての依存関係がわからないときに初めてアプリケーションを動作させる場合に役立ちます。Integrating your Azure Firewall with Azure Monitor logs is useful when first getting an application working when you are not aware of all of the application dependencies. Azure Monitor ログの詳細については、Azure Monitor でのログ データの分析に関する記事をご覧ください。You can learn more about Azure Monitor logs from Analyze log data in Azure Monitor.

依存関係Dependencies

次の情報が必要なのは、Azure Firewall 以外のファイアウォール アプライアンスを構成する場合のみです。The following information is only required if you wish to configure a firewall appliance other than Azure Firewall.

  • サービス エンドポイント対応のサービスは、サービス エンドポイントを使用して構成する必要があります。Service Endpoint capable services should be configured with service endpoints.
  • IP アドレスの依存関係が HTTP/S 以外のトラフィック (TCP トラフィックと UDP トラフィックの両方) に対応していますIP Address dependencies are for non-HTTP/S traffic (both TCP and UDP traffic)
  • FQDN HTTP/HTTPS エンドポイントは、ファイアウォール デバイスに配置することができます。FQDN HTTP/HTTPS endpoints can be placed in your firewall device.
  • ワイルドカード HTTP/HTTPS エンドポイントは、いくつかの修飾子に基づき、ASE によって異なる依存関係になります。Wildcard HTTP/HTTPS endpoints are dependencies that can vary with your ASE based on a number of qualifiers.
  • Linux の依存関係は、ASE に Linux アプリをデプロイする場合にのみ考慮する必要があります。Linux dependencies are only a concern if you are deploying Linux apps into your ASE. Linux アプリを ASE に展開していない場合は、これらのアドレスをファイアウォールに追加する必要はありません。If you are not deploying Linux apps into your ASE, then these addresses do not need to be added to your firewall.

サービス エンドポイント対応の依存関係Service Endpoint capable dependencies

エンドポイントEndpoint
Azure SQLAzure SQL
Azure StorageAzure Storage
Azure Event HubAzure Event Hub

IP アドレスの依存関係IP Address dependencies

エンドポイントEndpoint 詳細Details
*:123*:123 NTP クロック チェック。NTP clock check. トラフィックは、ポート 123 上の複数のエンドポイントでチェックされますTraffic is checked at multiple endpoints on port 123
*:12000*:12000 このポートは、一部のシステム監視に使用されています。This port is used for some system monitoring. ブロックされている場合、一部の問題はトリアージが難しくなりますが、ASE は引き続き動作しますIf blocked, then some issues will be harder to triage but your ASE will continue to operate
40.77.24.27:8040.77.24.27:80 ASE の問題の監視とアラート通知に必要Needed to monitor and alert on ASE problems
40.77.24.27:44340.77.24.27:443 ASE の問題の監視とアラート通知に必要Needed to monitor and alert on ASE problems
13.90.249.229:8013.90.249.229:80 ASE の問題の監視とアラート通知に必要Needed to monitor and alert on ASE problems
13.90.249.229:44313.90.249.229:443 ASE の問題の監視とアラート通知に必要Needed to monitor and alert on ASE problems
104.45.230.69:80104.45.230.69:80 ASE の問題の監視とアラート通知に必要Needed to monitor and alert on ASE problems
104.45.230.69:443104.45.230.69:443 ASE の問題の監視とアラート通知に必要Needed to monitor and alert on ASE problems
13.82.184.151:8013.82.184.151:80 ASE の問題の監視とアラート通知に必要Needed to monitor and alert on ASE problems
13.82.184.151:44313.82.184.151:443 ASE の問題の監視とアラート通知に必要Needed to monitor and alert on ASE problems

Azure Firewall を使用すると、FQDN タグで構成された以下のものすべてが自動的に取得されます。With an Azure Firewall, you automatically get everything below configured with the FQDN tags.

FQDN HTTP/HTTPS の依存関係FQDN HTTP/HTTPS dependencies

エンドポイントEndpoint
graph.windows.net:443graph.windows.net:443
login.live.com:443login.live.com:443
login.windows.com:443login.windows.com:443
login.windows.net:443login.windows.net:443
login.microsoftonline.com:443login.microsoftonline.com:443
client.wns.windows.com:443client.wns.windows.com:443
definitionupdates.microsoft.com:443definitionupdates.microsoft.com:443
go.microsoft.com:80go.microsoft.com:80
go.microsoft.com:443go.microsoft.com:443
www.microsoft.com:80www.microsoft.com:80
www.microsoft.com:443www.microsoft.com:443
wdcpalt.microsoft.com:443wdcpalt.microsoft.com:443
wdcp.microsoft.com:443wdcp.microsoft.com:443
ocsp.msocsp.com:443ocsp.msocsp.com:443
mscrl.microsoft.com:443mscrl.microsoft.com:443
mscrl.microsoft.com:80mscrl.microsoft.com:80
crl.microsoft.com:443crl.microsoft.com:443
crl.microsoft.com:80crl.microsoft.com:80
www.thawte.com:443www.thawte.com:443
crl3.digicert.com:80crl3.digicert.com:80
ocsp.digicert.com:80ocsp.digicert.com:80
csc3-2009-2.crl.verisign.com:80csc3-2009-2.crl.verisign.com:80
crl.verisign.com:80crl.verisign.com:80
ocsp.verisign.com:80ocsp.verisign.com:80
cacerts.digicert.com:80cacerts.digicert.com:80
azperfcounters1.blob.core.windows.net:443azperfcounters1.blob.core.windows.net:443
azurewatsonanalysis-prod.core.windows.net:443azurewatsonanalysis-prod.core.windows.net:443
global.metrics.nsatc.net:80global.metrics.nsatc.net:80
global.metrics.nsatc.net:443global.metrics.nsatc.net:443
az-prod.metrics.nsatc.net:443az-prod.metrics.nsatc.net:443
antares.metrics.nsatc.net:443antares.metrics.nsatc.net:443
azglobal-black.azglobal.metrics.nsatc.net:443azglobal-black.azglobal.metrics.nsatc.net:443
azglobal-red.azglobal.metrics.nsatc.net:443azglobal-red.azglobal.metrics.nsatc.net:443
antares-black.antares.metrics.nsatc.net:443antares-black.antares.metrics.nsatc.net:443
antares-red.antares.metrics.nsatc.net:443antares-red.antares.metrics.nsatc.net:443
maupdateaccount.blob.core.windows.net:443maupdateaccount.blob.core.windows.net:443
clientconfig.passport.net:443clientconfig.passport.net:443
packages.microsoft.com:443packages.microsoft.com:443
schemas.microsoft.com:80schemas.microsoft.com:80
schemas.microsoft.com:443schemas.microsoft.com:443
management.core.windows.net:443management.core.windows.net:443
management.core.windows.net:80management.core.windows.net:80
management.azure.com:443management.azure.com:443
www.msftconnecttest.com:80www.msftconnecttest.com:80
shavamanifestcdnprod1.azureedge.net:443shavamanifestcdnprod1.azureedge.net:443
validation-v2.sls.microsoft.com:443validation-v2.sls.microsoft.com:443
flighting.cp.wd.microsoft.com:443flighting.cp.wd.microsoft.com:443
dmd.metaservices.microsoft.com:80dmd.metaservices.microsoft.com:80
admin.core.windows.net:443admin.core.windows.net:443
prod.warmpath.msftcloudes.com:443prod.warmpath.msftcloudes.com:443
prod.warmpath.msftcloudes.com:80prod.warmpath.msftcloudes.com:80
azureprofileruploads.blob.core.windows.net:443azureprofileruploads.blob.core.windows.net:443
azureprofileruploads2.blob.core.windows.net:443azureprofileruploads2.blob.core.windows.net:443
azureprofileruploads3.blob.core.windows.net:443azureprofileruploads3.blob.core.windows.net:443
azureprofileruploads4.blob.core.windows.net:443azureprofileruploads4.blob.core.windows.net:443
azureprofileruploads5.blob.core.windows.net:443azureprofileruploads5.blob.core.windows.net:443
azperfmerges.blob.core.windows.net:443azperfmerges.blob.core.windows.net:443
azprofileruploads1.blob.core.windows.net:443azprofileruploads1.blob.core.windows.net:443
azprofileruploads10.blob.core.windows.net:443azprofileruploads10.blob.core.windows.net:443
azprofileruploads2.blob.core.windows.net:443azprofileruploads2.blob.core.windows.net:443
azprofileruploads3.blob.core.windows.net:443azprofileruploads3.blob.core.windows.net:443
azprofileruploads4.blob.core.windows.net:443azprofileruploads4.blob.core.windows.net:443
azprofileruploads6.blob.core.windows.net:443azprofileruploads6.blob.core.windows.net:443
azprofileruploads7.blob.core.windows.net:443azprofileruploads7.blob.core.windows.net:443
azprofileruploads8.blob.core.windows.net:443azprofileruploads8.blob.core.windows.net:443
azprofileruploads9.blob.core.windows.net:443azprofileruploads9.blob.core.windows.net:443
azureprofilerfrontdoor.cloudapp.net:443azureprofilerfrontdoor.cloudapp.net:443
settings-win.data.microsoft.com:443settings-win.data.microsoft.com:443
maupdateaccount2.blob.core.windows.net:443maupdateaccount2.blob.core.windows.net:443
maupdateaccount3.blob.core.windows.net:443maupdateaccount3.blob.core.windows.net:443
dc.services.visualstudio.com:443dc.services.visualstudio.com:443
gmstorageprodsn1.blob.core.windows.net:443gmstorageprodsn1.blob.core.windows.net:443
gmstorageprodsn1.file.core.windows.net:443gmstorageprodsn1.file.core.windows.net:443
gmstorageprodsn1.queue.core.windows.net:443gmstorageprodsn1.queue.core.windows.net:443
gmstorageprodsn1.table.core.windows.net:443gmstorageprodsn1.table.core.windows.net:443
rteventservice.trafficmanager.net:443rteventservice.trafficmanager.net:443

Wildcard HTTP/HTTPS dependenciesWildcard HTTP/HTTPS dependencies

エンドポイントEndpoint
gr-Prod-*.cloudapp.net:443gr-Prod-*.cloudapp.net:443
*.management.azure.com:443*.management.azure.com:443
*.update.microsoft.com:443*.update.microsoft.com:443
*.windowsupdate.microsoft.com:443*.windowsupdate.microsoft.com:443
*.identity.azure.net:443*.identity.azure.net:443

Linux の依存関係Linux dependencies

エンドポイントEndpoint
wawsinfraprodbay063.blob.core.windows.net:443wawsinfraprodbay063.blob.core.windows.net:443
registry-1.docker.io:443registry-1.docker.io:443
auth.docker.io:443auth.docker.io:443
production.cloudflare.docker.com:443production.cloudflare.docker.com:443
download.docker.com:443download.docker.com:443
us.archive.ubuntu.com:80us.archive.ubuntu.com:80
download.mono-project.com:80download.mono-project.com:80
packages.treasuredata.com:80packages.treasuredata.com:80
security.ubuntu.com:80security.ubuntu.com:80
*.cdn.mscr.io:443*.cdn.mscr.io:443
mcr.microsoft.com:443mcr.microsoft.com:443
packages.fluentbit.io:80packages.fluentbit.io:80
packages.fluentbit.io:443packages.fluentbit.io:443
apt-mo.trafficmanager.net:80apt-mo.trafficmanager.net:80
apt-mo.trafficmanager.net:443apt-mo.trafficmanager.net:443
azure.archive.ubuntu.com:80azure.archive.ubuntu.com:80
azure.archive.ubuntu.com:443azure.archive.ubuntu.com:443
changelogs.ubuntu.com:80changelogs.ubuntu.com:80
13.74.252.37:1137113.74.252.37:11371
13.75.127.55:1137113.75.127.55:11371
13.76.190.189:1137113.76.190.189:11371
13.80.10.205:1137113.80.10.205:11371
13.91.48.226:1137113.91.48.226:11371
40.76.35.62:1137140.76.35.62:11371
104.215.95.108:11371104.215.95.108:11371

US Gov の依存関係US Gov dependencies

US Gov については、ストレージ、SQL、およびイベント ハブのサービス エンドポイントを引き続き設定する必要があります。For US Gov you still need to set service endpoints for Storage, SQL and Event Hub. このドキュメントで前述した手順に従って、Azure Firewall を使用することもできます。You can also use Azure Firewall with the instructions earlier in this document. 独自のエグレス ファイアウォール デバイスを使用する必要がある場合は、エンドポイントは以下のとおりです。If you need to use your own egress firewall device, the endpoints are listed below.

エンドポイントEndpoint
*.ctldl.windowsupdate.com:80*.ctldl.windowsupdate.com:80
*.management.usgovcloudapi.net:80*.management.usgovcloudapi.net:80
*.update.microsoft.com:80*.update.microsoft.com:80
admin.core.usgovcloudapi.net:80admin.core.usgovcloudapi.net:80
azperfmerges.blob.core.windows.net:80azperfmerges.blob.core.windows.net:80
azperfmerges.blob.core.windows.net:80azperfmerges.blob.core.windows.net:80
azprofileruploads1.blob.core.windows.net:80azprofileruploads1.blob.core.windows.net:80
azprofileruploads10.blob.core.windows.net:80azprofileruploads10.blob.core.windows.net:80
azprofileruploads2.blob.core.windows.net:80azprofileruploads2.blob.core.windows.net:80
azprofileruploads3.blob.core.windows.net:80azprofileruploads3.blob.core.windows.net:80
azprofileruploads4.blob.core.windows.net:80azprofileruploads4.blob.core.windows.net:80
azprofileruploads5.blob.core.windows.net:80azprofileruploads5.blob.core.windows.net:80
azprofileruploads6.blob.core.windows.net:80azprofileruploads6.blob.core.windows.net:80
azprofileruploads7.blob.core.windows.net:80azprofileruploads7.blob.core.windows.net:80
azprofileruploads8.blob.core.windows.net:80azprofileruploads8.blob.core.windows.net:80
azprofileruploads9.blob.core.windows.net:80azprofileruploads9.blob.core.windows.net:80
azureprofilerfrontdoor.cloudapp.net:80azureprofilerfrontdoor.cloudapp.net:80
azurewatsonanalysis.usgovcloudapp.net:80azurewatsonanalysis.usgovcloudapp.net:80
cacerts.digicert.com:80cacerts.digicert.com:80
client.wns.windows.com:80client.wns.windows.com:80
crl.microsoft.com:80crl.microsoft.com:80
crl.verisign.com:80crl.verisign.com:80
crl3.digicert.com:80crl3.digicert.com:80
csc3-2009-2.crl.verisign.com:80csc3-2009-2.crl.verisign.com:80
ctldl.windowsupdate.com:80ctldl.windowsupdate.com:80
definitionupdates.microsoft.com:80definitionupdates.microsoft.com:80
download.windowsupdate.com:80download.windowsupdate.com:80
fairfax.warmpath.usgovcloudapi.net:80fairfax.warmpath.usgovcloudapi.net:80
flighting.cp.wd.microsoft.com:80flighting.cp.wd.microsoft.com:80
gcwsprodgmdm2billing.queue.core.usgovcloudapi.net:80gcwsprodgmdm2billing.queue.core.usgovcloudapi.net:80
gcwsprodgmdm2billing.table.core.usgovcloudapi.net:80gcwsprodgmdm2billing.table.core.usgovcloudapi.net:80
global.metrics.nsatc.net:80global.metrics.nsatc.net:80
go.microsoft.com:80go.microsoft.com:80
gr-gcws-prod-bd3.usgovcloudapp.net:80gr-gcws-prod-bd3.usgovcloudapp.net:80
gr-gcws-prod-bn1.usgovcloudapp.net:80gr-gcws-prod-bn1.usgovcloudapp.net:80
gr-gcws-prod-dd3.usgovcloudapp.net:80gr-gcws-prod-dd3.usgovcloudapp.net:80
gr-gcws-prod-dm2.usgovcloudapp.net:80gr-gcws-prod-dm2.usgovcloudapp.net:80
gr-gcws-prod-phx20.usgovcloudapp.net:80gr-gcws-prod-phx20.usgovcloudapp.net:80
gr-gcws-prod-sn5.usgovcloudapp.net:80gr-gcws-prod-sn5.usgovcloudapp.net:80
login.live.com:80login.live.com:80
login.microsoftonline.us:80login.microsoftonline.us:80
management.core.usgovcloudapi.net:80management.core.usgovcloudapi.net:80
management.usgovcloudapi.net:80management.usgovcloudapi.net:80
maupdateaccountff.blob.core.usgovcloudapi.net:80maupdateaccountff.blob.core.usgovcloudapi.net:80
mscrl.microsoft.commscrl.microsoft.com
ocsp.digicert.0ocsp.digicert.0
ocsp.msocsp.coocsp.msocsp.co
ocsp.verisign.0ocsp.verisign.0
rteventse.trafficmanager.net:80rteventse.trafficmanager.net:80
settings-n.data.microsoft.com:80settings-n.data.microsoft.com:80
shavamafestcdnprod1.azureedge.net:80shavamafestcdnprod1.azureedge.net:80
shavanifestcdnprod1.azureedge.net:80shavanifestcdnprod1.azureedge.net:80
v10ortex-win.data.microsoft.com:80v10ortex-win.data.microsoft.com:80
wp.microsoft.com:80wp.microsoft.com:80
dcpalt.microsoft.com:80dcpalt.microsoft.com:80
www.microsoft.com:80www.microsoft.com:80
www.msftconnecttest.com:80www.msftconnecttest.com:80
www.thawte.com:80www.thawte.com:80
*ctldl.windowsupdate.com:443*ctldl.windowsupdate.com:443
*.management.usgovcloudapi.net:443*.management.usgovcloudapi.net:443
*.update.microsoft.com:443*.update.microsoft.com:443
admin.core.usgovcloudapi.net:443admin.core.usgovcloudapi.net:443
azperfmerges.blob.core.windows.net:443azperfmerges.blob.core.windows.net:443
azperfmerges.blob.core.windows.net:443azperfmerges.blob.core.windows.net:443
azprofileruploads1.blob.core.windows.net:443azprofileruploads1.blob.core.windows.net:443
azprofileruploads10.blob.core.windows.net:443azprofileruploads10.blob.core.windows.net:443
azprofileruploads2.blob.core.windows.net:443azprofileruploads2.blob.core.windows.net:443
azprofileruploads3.blob.core.windows.net:443azprofileruploads3.blob.core.windows.net:443
azprofileruploads4.blob.core.windows.net:443azprofileruploads4.blob.core.windows.net:443
azprofileruploads5.blob.core.windows.net:443azprofileruploads5.blob.core.windows.net:443
azprofileruploads6.blob.core.windows.net:443azprofileruploads6.blob.core.windows.net:443
azprofileruploads7.blob.core.windows.net:443azprofileruploads7.blob.core.windows.net:443
azprofileruploads8.blob.core.windows.net:443azprofileruploads8.blob.core.windows.net:443
azprofileruploads9.blob.core.windows.net:443azprofileruploads9.blob.core.windows.net:443
azureprofilerfrontdoor.cloudapp.net:443azureprofilerfrontdoor.cloudapp.net:443
azurewatsonanalysis.usgovcloudapp.net:443azurewatsonanalysis.usgovcloudapp.net:443
cacerts.digicert.com:443cacerts.digicert.com:443
client.wns.windows.com:443client.wns.windows.com:443
crl.microsoft.com:443crl.microsoft.com:443
crl.verisign.com:443crl.verisign.com:443
crl3.digicert.com:443crl3.digicert.com:443
csc3-2009-2.crl.verisign.com:443csc3-2009-2.crl.verisign.com:443
ctldl.windowsupdate.com:443ctldl.windowsupdate.com:443
definitionupdates.microsoft.com:443definitionupdates.microsoft.com:443
download.windowsupdate.com:443download.windowsupdate.com:443
fairfax.warmpath.usgovcloudapi.net:443fairfax.warmpath.usgovcloudapi.net:443
flighting.cp.wd.microsoft.com:443flighting.cp.wd.microsoft.com:443
gcwsprodgmdm2billing.queue.core.usgovcloudapi.net:443gcwsprodgmdm2billing.queue.core.usgovcloudapi.net:443
gcwsprodgmdm2billing.table.core.usgovcloudapi.net:443gcwsprodgmdm2billing.table.core.usgovcloudapi.net:443
global.metrics.nsatc.net:443global.metrics.nsatc.net:443
go.microsoft.com:443go.microsoft.com:443
gr-gcws-prod-bd3.usgovcloudapp.net:443gr-gcws-prod-bd3.usgovcloudapp.net:443
gr-gcws-prod-bn1.usgovcloudapp.net:443gr-gcws-prod-bn1.usgovcloudapp.net:443
gr-gcws-prod-dd3.usgovcloudapp.net:443gr-gcws-prod-dd3.usgovcloudapp.net:443
gr-gcws-prod-dm2.usgovcloudapp.net:443gr-gcws-prod-dm2.usgovcloudapp.net:443
gr-gcws-prod-phx20.usgovcloudapp.net:443gr-gcws-prod-phx20.usgovcloudapp.net:443
gr-gcws-prod-sn5.usgovcloudapp.net:443gr-gcws-prod-sn5.usgovcloudapp.net:443
login.live.com:443login.live.com:443
login.microsoftonline.us:443login.microsoftonline.us:443
management.core.usgovcloudapi.net:443management.core.usgovcloudapi.net:443
management.usgovcloudapi.net:443management.usgovcloudapi.net:443
maupdateaccountff.blob.core.usgovcloudapi.net:443maupdateaccountff.blob.core.usgovcloudapi.net:443
mscrl.microsoft.com:443mscrl.microsoft.com:443
ocsp.digicert.com:443ocsp.digicert.com:443
ocsp.msocsp.com:443ocsp.msocsp.com:443
ocsp.verisign.com:443ocsp.verisign.com:443
rteventservice.trafficmanager.net:443rteventservice.trafficmanager.net:443
settings-win.data.microsoft.com:443settings-win.data.microsoft.com:443
shavamanifestcdnprod1.azureedge.net:443shavamanifestcdnprod1.azureedge.net:443
shavamanifestcdnprod1.azureedge.net:443shavamanifestcdnprod1.azureedge.net:443
v10.vortex-win.data.microsoft.com:443v10.vortex-win.data.microsoft.com:443
wdcp.microsoft.com:443wdcp.microsoft.com:443
wdcpalt.microsoft.com:443wdcpalt.microsoft.com:443
www.microsoft.com:443www.microsoft.com:443
www.msftconnecttest.com:443www.msftconnecttest.com:443
www.thawte.com:443www.thawte.com:443