IoT Hub のクラシック IP フィルターとアップグレード方法IoT Hub classic IP filter and how to upgrade

IoT Hub のアップグレードされた IP フィルターは、 既定でセキュリティによって保護され、組み込みのエンドポイントを保護します。The upgraded IP filter for IoT Hub protects the built-in endpoint and is secure by default. Microsoft では破壊的変更を行わないよう努めていますが、アップグレードされた IP フィルターの強化されたセキュリティ モデルにはクラシック IP フィルターとの互換性がないため、ご提供を終了することを発表いたします。While we strive to never make breaking changes, the enhanced security model of the upgraded IP filter is incompatible with classic IP filter, so we announce its retirement. アップグレードされた新しい IP フィルターについては、最新情報IoT ハブの IP フィルターに関するページを参照してください。To learn more about the new upgraded IP filter, see What's new and IoT hub IP filters.

サービスの中断を回避するには、アップグレードが自動的に実行される移行期限の前に、ガイド付きアップグレードを実行する必要があります。To avoid service disruption, you must perform the guided upgrade before the migration deadline, at which point the upgrade will be performed automatically. 移行タイムラインの詳細については、Azure の更新に関するページを参照してください。To learn more about the migration timeline, see Azure update.

アップグレードする方法How to upgrade

  1. Azure portal にアクセスしますVisit Azure portal
  2. IoT Hub に移動します。Navigate to your IoT hub.
  3. 左側のメニューで [ネットワーキング] を選択します。Select Networking from the left-side menu.
  4. IP フィルターを新しいモデルにアップグレードするよう求めるバナーが表示されます。You should see a banner prompting you to upgrade your IP Filter to the new model. [はい] を選択して続行します。Select Yes to continue. クラシック IP フィルターからアップグレードするためのバナー プロンプトを示す画像
  5. 新しい IP フィルターでは既定ですべての IP がブロックされるため、アップグレードすると個別の拒否規則は削除されます。ただし、保存する前にそれらを確認できます。Since the new IP Filter blocks all IP by default, the upgrade removes your individual deny rules but gives you a chance to review them before saving. 規則を注意深く検討して、問題ないことを確認してください。Carefully review the rules to make sure they work for you.
  6. 画面の指示に従ってアップグレードを完了します。Follow prompts to finish upgrading.

新着情報What's new

既定でのセキュリティ保護Secure by default

クラシック IP フィルターでは、既定ですべての IP アドレスが IoT Hub への接続が暗黙的に許可されます。これは、多くの一般的なネットワーク セキュリティ シナリオとうまく合致しません。Classic IP filter implicitly allows all IP addresses to connect to the IoT Hub by default, which doesn't align well with the most common network security scenarios. 通常は、信頼できる IP アドレスのみが IoT ハブに接続できるようにし、他のすべてを拒否します。Typically, you would want only trusted IP addresses to be able to connect to your IoT hub and reject everything else. クラシック IP フィルターを使用してこの目標を達成する場合は、複数の手順から成るプロセスとなります。To achieve this goal with classic IP filter, it's a multi-step process. たとえば、192.168.100.0/22 からのトラフィックのみを受け入れる場合は、次のようにする必要があります。For example, if you want to only accept traffic from 192.168.100.0/22, you must

  1. 192.168.100.0/22 に対して 1 つの "許可" 規則を構成します。Configure a single allow rule for 192.168.100.0/22.
  2. 0.0.0.0/0 に対して別の "ブロック" 規則 ("すべてブロック" 規則) を構成します。Configure a different block rule for 0.0.0.0/0 (the "block all" rule)
  3. 規則が正しく順序付けされていることを確認します (許可規則の順序は、ブロック規則より上になります)。Make sure the rules are ordered correctly, with the allow rule ordered above the block rule.

実際には、この複数の手順から成るプロセスによって混乱が生じます。In practice, this multi-step process causes confusion. ユーザーが "すべてブロック" 規則を構成しなかったり、規則を正しく順序付けしなかったりした場合は、意図しない露出が発生します。Users didn't configure the "block all" rule or didn't order the rules correctly, resulting in unintended exposure.

新しい IP フィルターでは、既定ですべての IP アドレスがブロックされます。The new IP filter blocks all IP addresses by default. 明示的に追加した IP 範囲だけが IoT Hub への接続を許可されます。Only the IP ranges that you explicitly add are allowed to connect to IoT Hub. 上記の例の手順 2 と 3 はもう必要ありません。In the above example, steps 2 and 3 aren't needed anymore. この新しい動作では、構成が簡素化され、Secure By Default (既定でのセキュリティ保護) の原則が順守されます。This new behavior simplifies configuration and abides by the secure by default principle.

イベント ハブと互換性のある組み込みのエンドポイントを保護するProtect the built-in Event Hub compatible endpoint

クラシック IP フィルターは、組み込みのエンドポイントには適用できません。Classic IP filter cannot be applied to the built-in endpoint. この制限は、すべてブロック規則 (0.0.0.0/0 をブロック) が構成されているイベントでは、引き続きどの IP アドレスからでも組み込みのエンドポイントにアクセスできることを意味します。This limitation means that, event with a block all rule (block 0.0.0.0/0) configured, the built-in endpoint is still accessible from any IP address.

新しい IP フィルターには、組み込みのエンドポイントに規則を適用するオプションが用意されています。これにより、ネットワーク セキュリティの脅威に対する暴露を削減できます。The new IP filter provides an option to apply rules to the built-in endpoint, which reduces exposure to network security threats.

組み込みのエンドポイントに適用するかどうかのトグルを示す画像

注意

このオプションは、無料 (F1) の IoT ハブでは使用できません。This option isn't available to free (F1) IoT hubs. 組み込みのエンドポイントに IP フィルター規則を適用するには、有料の IoT ハブを使用してください。To apply IP filter rules to the built-in endpoint, use a paid IoT hub.

API の影響API impact

アップグレードされた IP フィルターは、2020-08-31 (および 2020-08-31-preview) 以降の IoT Hub リソース API で使用できます。The upgraded IP filter is available in IoT Hub resource API from 2020-08-31 (as well as 2020-08-31-preview) and onwards. クラシック IP フィルターは、すべての API バージョンで引き続き使用できますが、移行期限に近い将来の API バージョンで削除されます。Classic IP filter is still available in all API versions, but will be removed in a future API version near the migration deadline. 移行タイムラインの詳細については、Azure の更新に関するページを参照してください。To learn more about the migration timeline, see Azure update.

ヒント: 適用する前に変更を試すTip: try the changes before they apply

新しい IP フィルターでは既定ですべての IP アドレスがブロックされるため、個々のブロック規則には互換性がなくなります。Since the new IP filter blocks all IP address by default, individual block rules are no longer compatible. そのため、ガイド付きアップグレード プロセスでは、これらの個々のブロック規則は削除されます。So, the guided upgrade process removes these individual block rules.

クラシック IP フィルターを使って変更を試すには、次の操作を行います。To try to the change in with classic IP filter:

  1. IoT ハブで [ネットワーク] タブにアクセスします。Visit the Networking tab in your IoT hub
  2. ロールバックする場合に備えて、既存の IP フィルター (クラシック) の構成をメモしておきます。Note down your existing IP filter (classic) configuration, in case you want to roll back
  3. ブロック の規則の横で、ごみ箱のアイコンを選択してそれらを削除します。Next to rules with Block, Select the trash icon to remove them
  4. 0.0.0.0/0 を使用して下部に別の規則を追加し、 [ブロック] を選択します。Add another rule at the bottom with 0.0.0.0/0, and choose Block
  5. [保存] を選びます。Select Save

この構成では、クラシックからアップグレードした後に新しい IP フィルターがどのように動作するかを模倣します。This configuration mimics how the new IP filter behaves after upgrading from classic. 1 つの例外は、組み込みのエンドポイント保護です。これは、クラシック IP フィルターを使用して試行できません。One exception is the built-in endpoint protection, which is not possible to try using classic IP filter. ただし、その機能は省略可能なので、それによって何かが破損するおそれがあると思われる場合は使用する必要はありません。However, that feature is optional, so you don't have to use it if you think it might break something.

ヒント: IoT ハブへのすべての IP 接続の診断ログを確認するTip: check diagnostic logs for all IP connections to your IoT hub

円滑な切り替えを行うために、[接続] カテゴリの診断ログを確認します。To ensure a smooth transition, check your diagnostic logs under the Connections category. maskedIpAddress プロパティを検索して、範囲が想定どおりかどうかを確認します。Look for the maskedIpAddress property to see if the ranges are as you expect. 注意: 新しい IP フィルターでは、明示的に追加されていないすべての IP アドレスがブロックされます。Remember: the new IP filter will block all IP addresses that haven't been explicitly added.

IoT Hub クラシック IP フィルターのドキュメント (廃止)IoT Hub classic IP filter documentation (retired)

重要

次に示すのは、クラシック IP フィルターの元のドキュメントです。これは廃止されます。Below is the original documentation for classic IP filter, which is being retired.

セキュリティは、Azure IoT Hub をベースとするすべての IoT ソリューションの重要な側面です。Security is an important aspect of any IoT solution based on Azure IoT Hub. 場合によっては、セキュリティ構成の一部として、デバイスが接続できる IP アドレスを明示的に指定する必要があります。Sometimes you need to explicitly specify the IP addresses from which devices can connect as part of your security configuration. IP フィルター 機能を使用すると、特定の IPv4 アドレスからのトラフィックを拒否または許可するための規則を構成できます。The IP filter feature enables you to configure rules for rejecting or accepting traffic from specific IPv4 addresses.

使用する場合When to use

特定の IP アドレスの IoT Hub エンドポイントをブロックすると有用な特定のユース ケースには、次の 2 つがあります。There are two specific use-cases when it is useful to block the IoT Hub endpoints for certain IP addresses:

  • IoT Hub が指定された範囲の IP アドレスからのトラフィックのみを受信し、それ以外のトラフィックをすべて拒否する必要がある場合。Your IoT hub should receive traffic only from a specified range of IP addresses and reject everything else. たとえば、IoT Hub を Azure Express Route と共に使用して、IoT Hub とオンプレミス インフラストラクチャとの間にプライベート接続を作成する場合が該当します。For example, you are using your IoT hub with Azure Express Route to create private connections between an IoT hub and your on-premises infrastructure.

  • IoT Hub の管理者によって疑わしいと識別された IP アドレスからのトラフィックを拒否する必要がある場合。You need to reject traffic from IP addresses that have been identified as suspicious by the IoT hub administrator.

フィルター規則の適用方法How filter rules are applied

IP フィルター規則は、IoT Hub サービス レベルで適用されます。The IP filter rules are applied at the IoT Hub service level. したがって、IP フィルター規則は、サポートされているプロトコルを使用するデバイスおよびバックエンド アプリからのすべての接続に適用されます。Therefore, the IP filter rules apply to all connections from devices and back-end apps using any supported protocol. ただし、(IoT Hub 接続文字列経由ではなく) 組み込みイベント ハブ互換エンドポイントから直接読み取るクライアントには IP フィルター規則は適用されません。However, clients reading directly from the built-in Event Hub compatible endpoint (not via the IoT Hub connection string) are not bound to the IP filter rules.

IoT ハブの拒否 IP 規則に一致する IP アドレスからの接続試行に対しては、認証されていないアクセスを示す 401 状態コードとその説明が返されます。Any connection attempt from an IP address that matches a rejecting IP rule in your IoT hub receives an unauthorized 401 status code and description. IP 規則に関する記述は応答メッセージに含まれません。The response message does not mention the IP rule. IP アドレスを拒否すると、Azure Stream Analytics、Azure Virtual Machines、Azure portal のデバイス エクスプローラーなど、他の Azure サービスが IoT Hub と対話できなくなる可能性があります。Rejecting IP addresses can prevent other Azure services such as Azure Stream Analytics, Azure Virtual Machines, or the Device Explorer in Azure portal from interacting with the IoT hub.

注意

Azure Stream Analytics (ASA) を使用し、IP フィルターを有効にして IoT Hub からメッセージを読み取る必要がある場合、イベント ハブと互換性のある名前と IoT Hub のエンドポイントを利用し、ASA にイベント ハブ ストリーム入力を手動で追加します。If you must use Azure Stream Analytics (ASA) to read messages from an IoT hub with IP filter enabled, use the event hub-compatible name and endpoint of your IoT hub to manually add an Event Hubs stream input in the ASA.

既定の設定Default setting

既定では、ポータルの IoT ハブの [IP フィルター] は空白になっています。By default, the IP Filter grid in the portal for an IoT hub is empty. この既定の設定は、ハブが任意の IP アドレスからの接続を受け入れることを意味します。This default setting means that your hub accepts connections from any IP address. この既定の設定は、IP アドレス範囲 0.0.0.0/0 を受け入れる規則と同じです。This default setting is equivalent to a rule that accepts the 0.0.0.0/0 IP address range.

[IP フィルター設定] ページに移動するには、 [ネットワーク][パブリック アクセス][Selected IP Ranges](選択された IP 範囲) の順に選択します。To get to the IP Filter settings page, select Networking, Public access, then choose Selected IP Ranges:

IoT Hub の既定の IP フィルター設定

IP フィルター規則の追加または編集Add or edit an IP filter rule

IP フィルター規則を追加するには、 [+ IP フィルター規則の追加] を選択します。To add an IP filter rule, select + Add IP Filter Rule.

IoT Hub への IP フィルター規則の追加

[IP フィルター規則の追加] を選択したら、フィールドに入力します。After selecting Add IP Filter Rule, fill in the fields.

[IP フィルター規則の追加] を選択した後

  • IP フィルター規則の 名前 を指定します。Provide a name for the IP Filter rule. これは、一意であり、長さが最大 128 文字の、大文字と小文字を区別しない英数字の文字列である必要があります。This must be a unique, case-insensitive, alphanumeric string up to 128 characters long. ASCII 7 ビット英数字と {'-', ':', '/', '\', '.', '+', '%', '_', '#', '*', '?', '!', '(', ')', ',', '=', '@', ';', '''} のみを使用できます。Only the ASCII 7-bit alphanumeric characters plus {'-', ':', '/', '\', '.', '+', '%', '_', '#', '*', '?', '!', '(', ')', ',', '=', '@', ';', '''} are accepted.

  • 1 つの IPv4 アドレスか、または CIDR 表記法で記述した IP アドレス ブロックを指定します。Provide a single IPv4 address or a block of IP addresses in CIDR notation. たとえば、CIDR 表記 192.168.100.0/22 は、192.168.100.0 ~ 192.168.103.255 までの 1,024 個の IPv4 アドレスを表します。For example, in CIDR notation 192.168.100.0/22 represents the 1024 IPv4 addresses from 192.168.100.0 to 192.168.103.255.

  • IP フィルター規則の [アクション] として [許可] または [ブロック] を選択します。Select Allow or Block as the action for the IP filter rule.

フィールドに入力したら、 [保存] を選択して規則を保存します。After filling in the fields, select Save to save the rule. 更新が進行中であることを通知するアラートが表示されます。You see an alert notifying you that the update is in progress.

IP フィルター規則の保存に関する通知

IP フィルター規則が最大値の 10 個に達すると、 [追加] オプションは無効になります。The Add option is disabled when you reach the maximum of 10 IP filter rules.

既存の規則を編集するには、変更するデータを選択して変更を加え、 [保存] を選択して編集内容を保存します。To edit an existing rule, select the data you want to change, make the change, then select Save to save your edit.

IP フィルター規則の削除Delete an IP filter rule

IP フィルター規則を削除するには、その行のごみ箱アイコンを選択し、次に [保存] を選択します。To delete an IP filter rule, select the trash can icon on that row and then select Save. 規則が削除されて、変更が保存されます。The rule is removed and the change is saved.

IoT Hub の IP フィルター規則の削除

Azure CLI を使用した IP フィルターの取得および更新Retrieve and update IP filters using Azure CLI

Azure CLI を使用して、IoT Hub の IP フィルターを取得および更新できます。Your IoT Hub's IP filters can be retrieved and updated through Azure CLI.

IoT Hub の現在の IP フィルターを取得するには、以下を実行します。To retrieve current IP filters of your IoT Hub, run:

az resource show -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs

これにより、既存の IP フィルターが properties.ipFilterRules キーの下にリストされている JSON オブジェクトが返されます。This will return a JSON object where your existing IP filters are listed under the properties.ipFilterRules key:

{
...
    "properties": {
        "ipFilterRules": [
        {
            "action": "Reject",
            "filterName": "MaliciousIP",
            "ipMask": "6.6.6.6/6"
        },
        {
            "action": "Allow",
            "filterName": "GoodIP",
            "ipMask": "131.107.160.200"
        },
        ...
        ],
    },
...
}

IoT Hub の新しい IP フィルターを追加するには、以下を実行します。To add a new IP filter for your IoT Hub, run:

az resource update -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs --add properties.ipFilterRules "{\"action\":\"Reject\",\"filterName\":\"MaliciousIP\",\"ipMask\":\"6.6.6.6/6\"}"

IoT Hub の既存の IP フィルターを削除するには、以下を実行します。To remove an existing IP filter in your IoT Hub, run:

az resource update -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs --add properties.ipFilterRules <ipFilterIndexToRemove>

<ipFilterIndexToRemove> は、IoT Hub の properties.ipFilterRules の IP フィルターの順序に対応している必要があるので注意してください。Note that <ipFilterIndexToRemove> must correspond to the ordering of IP filters in your IoT Hub's properties.ipFilterRules.

Azure PowerShell を使用した IP フィルターの取得および更新Retrieve and update IP filters using Azure PowerShell

注意

この記事は、Azure Az PowerShell モジュールを使用するように更新されています。This article has been updated to use the Azure Az PowerShell module. Az PowerShell モジュールは、Azure と対話するために推奨される PowerShell モジュールです。The Az PowerShell module is the recommended PowerShell module for interacting with Azure. Az PowerShell モジュールの使用を開始するには、「Azure PowerShell をインストールする」を参照してください。To get started with the Az PowerShell module, see Install Azure PowerShell. Az PowerShell モジュールに移行する方法については、「AzureRM から Az への Azure PowerShell の移行」を参照してください。To learn how to migrate to the Az PowerShell module, see Migrate Azure PowerShell from AzureRM to Az.

Azure PowerShell を使用して、IoT Hub の IP フィルターを取得および設定できます。Your IoT Hub's IP filters can be retrieved and set through Azure PowerShell.

# Get your IoT Hub resource using its name and its resource group name
$iothubResource = Get-AzResource -ResourceGroupName <resourceGroupNmae> -ResourceName <iotHubName> -ExpandProperties

# Access existing IP filter rules
$iothubResource.Properties.ipFilterRules |% { Write-host $_ }

# Construct a new IP filter
$filter = @{'filterName'='MaliciousIP'; 'action'='Reject'; 'ipMask'='6.6.6.6/6'}

# Add your new IP filter rule
$iothubResource.Properties.ipFilterRules += $filter

# Remove an existing IP filter rule using its name, e.g., 'GoodIP'
$iothubResource.Properties.ipFilterRules = @($iothubResource.Properties.ipFilterRules | Where 'filterName' -ne 'GoodIP')

# Update your IoT Hub resource with your updated IP filters
$iothubResource | Set-AzResource -Force

REST を使用した IP フィルター規則の更新Update IP filter rules using REST

Azure リソース プロバイダーの REST エンドポイントを使用することでも、IoT Hub の IP フィルターを取得および変更できます。You may also retrieve and modify your IoT Hub's IP filter using Azure resource Provider's REST endpoint. createorupdate メソッドproperties.ipFilterRules を参照してください。See properties.ipFilterRules in createorupdate method.

IP フィルター規則の評価IP filter rule evaluation

IP フィルター規則は順に適用され、IP アドレスと一致する最初の規則に基づいて許可アクションまたは拒否アクションが決定されます。IP filter rules are applied in order and the first rule that matches the IP address determines the accept or reject action.

たとえば、範囲 192.168.100.0/22 内のアドレスを許可し、それ以外のアドレスをすべて拒否するには、グリッドの最初の規則でアドレス範囲 192.168.100.0/22 を許可する必要があります。For example, if you want to accept addresses in the range 192.168.100.0/22 and reject everything else, the first rule in the grid should accept the address range 192.168.100.0/22. さらに、次の規則で範囲 0.0.0.0/0 を使用してすべてのアドレスを拒否する必要があります。The next rule should reject all addresses by using the range 0.0.0.0/0.

グリッド内の IP フィルター規則の順序を変更するには、行の先頭のドットが縦に 3 つ並んだ部分をクリックし、ドラッグ アンド ドロップします。You can change the order of your IP filter rules in the grid by clicking the three vertical dots at the start of a row and using drag and drop.

新しい IP フィルター規則の順序を保存するには、 [保存] をクリックします。To save your new IP filter rule order, click Save.

IoT Hub の IP フィルター規則の順序の変更

次のステップNext steps

IoT Hub の機能を詳しく調べるには、次のリンクを使用してください。To further explore the capabilities of IoT Hub, see: