Azure File Sync のプロキシとファイアウォールの設定Azure File Sync proxy and firewall settings

Azure File Sync は、オンプレミスのサーバーを Azure Files に接続することで、マルチサイトの同期とクラウドの階層化の機能を実現します。Azure File Sync connects your on-premises servers to Azure Files, enabling multi-site synchronization and cloud tiering features. そのため、オンプレミスのサーバーがインターネットに接続されている必要があります。As such, an on-premises server must be connected to the internet. サーバーから Azure Cloud Services に到達するための最適なパスは、IT 管理者が決める必要があります。An IT admin needs to decide the best path for the server to reach into Azure cloud services.

この記事では、ご利用のサーバーを Azure File Sync に正しく安全に接続するための具体的な要件と選択肢についての分析情報を提供します。This article will provide insight into specific requirements and options available to successfully and securely connect your server to Azure File Sync.

この攻略ガイドを読む前に、「Azure File Sync のネットワークに関する考慮事項」を読むことをお勧めします。We recommend reading Azure File Sync networking considerations prior to reading this how to guide.


Azure File Sync は、Windows Server と Azure ファイル共有など各種 Azure サービスとの間のオーケストレーション サービスとして機能し、同期グループ内の定義に従ってデータを同期します。Azure File Sync acts as an orchestration service between your Windows Server, your Azure file share, and several other Azure services to sync data as described in your sync group. Azure File Sync を正しく機能させるためには、次の Azure サービスと通信するための構成をサーバーに対して行う必要があります。For Azure File Sync to work correctly, you will need to configure your servers to communicate with the following Azure services:

  • Azure StorageAzure Storage
  • Azure File SyncAzure File Sync
  • Azure Resource ManagerAzure Resource Manager
  • 認証サービスAuthentication services


クラウド サービスに対する要求はすべて、Windows Server 上の Azure File Sync エージェントによって開始されます。したがってファイアウォールの観点から考慮する必要があるのは送信トラフィックだけです。The Azure File Sync agent on Windows Server initiates all requests to cloud services which results in only having to consider outbound traffic from a firewall perspective.
Azure File Sync エージェントへの接続が Azure サービス側から開始されることはありません。No Azure service initiates a connection to the Azure File Sync agent.


Azure File Sync は HTTPS のみを使ってファイル データとメタデータを移動するため、送信方向のポート 443 を開放する必要があります。Azure File Sync moves file data and metadata exclusively over HTTPS and requires port 443 to be open outbound. 結果的にすべてのトラフィックが暗号化されます。As a result all traffic is encrypted.

Azure への特別な接続とネットワークNetworks and special connections to Azure

Azure File Sync エージェントと Azure とのチャンネルに関して特別な要件 (ExpressRoute など) はありません。The Azure File Sync agent has no requirements regarding special channels like ExpressRoute, etc. to Azure.

Azure File Sync は、Azure に到達さえできれば、その接続手段を問わず正しく機能します。さまざまなネットワーク特性 (帯域幅、待ち時間など) に応じた自動調整のほか、管理制御による微調整の手段も用意されています。Azure File Sync will work through any means available that allow reach into Azure, automatically adapting to various network characteristics like bandwidth, latency as well as offering admin control for fine-tuning. 一部の機能については、現時点では利用することができません。Not all features are available at this time. 構成の対象として希望する具体的な動作がある場合は、Azure Files の UserVoice でお聞かせください。If you would like to configure specific behavior, let us know via Azure Files UserVoice.


Azure File Sync では、アプリ固有のプロキシ設定とマシン全体のプロキシ設定がサポートされています。Azure File Sync supports app-specific and machine-wide proxy settings.

アプリ固有のプロキシ設定を使用すると、Azure File Sync のトラフィック専用のプロキシを構成できます。App-specific proxy settings allow configuration of a proxy specifically for Azure File Sync traffic. アプリ固有のプロキシ設定はエージェント バージョン 以降でサポートされ、エージェントのインストール中に、または Set-StorageSyncProxyConfiguration PowerShell コマンドレットを使用して構成できます。App-specific proxy settings are supported on agent version or newer and can be configured during the agent installation or by using the Set-StorageSyncProxyConfiguration PowerShell cmdlet.

アプリ固有のプロキシ設定を構成する PowerShell コマンドを次に示します。PowerShell commands to configure app-specific proxy settings:

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Set-StorageSyncProxyConfiguration -Address <url> -Port <port number> -ProxyCredential <credentials>

マシン全体のプロキシ設定は、Azure File Sync エージェントに対して透過的です。このプロキシではサーバーのトラフィック全体がルーティングされるためです。Machine-wide proxy settings are transparent to the Azure File Sync agent as the entire traffic of the server is routed through the proxy.

マシン全体のプロキシ設定を構成するには、次の手順のようにします。To configure machine-wide proxy settings, follow the steps below:

  1. .NET アプリケーションのプロキシ設定を構成しますConfigure proxy settings for .NET applications

    • 以下の 2 つのファイルを編集します。Edit these two files:

    • <> セクションを machine.config ファイルに追加します (<system.serviceModel> セクションの下)。Add the <> section in the machine.config files (below the <system.serviceModel> section). 127.0.01:8888 をプロキシ サーバーの IP アドレスとポートに変更します。Change 127.0.01:8888 to the IP address and port for the proxy server.

         <defaultProxy enabled="true" useDefaultCredentials="true">
           <proxy autoDetect="false" bypassonlocal="false" proxyaddress="" usesystemdefault="false" />
  2. WinHTTP のプロキシ設定を設定しますSet the WinHTTP proxy settings

    • 管理者特権でのコマンド プロンプトまたは PowerShell から次のコマンドを実行して、既存のプロキシ設定を表示します。Run the following command from an elevated command prompt or PowerShell to see the existing proxy setting:

      netsh winhttp show proxynetsh winhttp show proxy

    • 管理者特権でのコマンド プロンプトまたは PowerShell から次のコマンドを実行して、プロキシ設定を設定します (127.0.01:8888 をプロキシ サーバーの IP アドレスとポートに変更します)。Run the following command from an elevated command prompt or PowerShell to set the proxy setting (change 127.0.01:8888 to the IP address and port for the proxy server):

      netsh winhttp set proxy winhttp set proxy

  3. 管理者特権でのコマンド プロンプトまたは PowerShell から次のコマンドを実行して、ストレージ同期エージェント サービスを開始し直します。Restart the Storage Sync Agent service by running the following command from an elevated command prompt or PowerShell:

    net stop filesyncsvcnet stop filesyncsvc

    注:ストレージ同期エージェント (filesyncsvc) サービスは、停止すると自動的に開始します。Note: The Storage Sync Agent (filesyncsvc) service will auto-start once stopped.


前のセクションで述べたように、送信方向のポート 443 を開放する必要があります。As mentioned in a previous section, port 443 needs to be open outbound. さらに、ご利用のデータセンターやブランチ、リージョンのポリシーによっては、このポート上のトラフィックを特定のドメインに制限することが望ましい、または必須となる場合もあります。Based on policies in your datacenter, branch or region, further restricting traffic over this port to specific domains may be desired or required.

次の表で、通信に必要なドメインについて説明します。The following table describes the required domains for communication:

サービスService パブリック クラウド エンドポイントPublic cloud endpoint Azure Government のエンドポイントAzure Government endpoint 使用法Usage
Azure Resource ManagerAzure Resource Manager 初回サーバー登録呼び出しを含め、すべてのユーザー呼び出し (PowerShell など) は、この URL に向かうか、この URL を経由します。Any user call (like PowerShell) goes to/through this URL, including the initial server registration call.
Azure Active DirectoryAzure Active Directory Azure Resource Manager の呼び出しは、認証済みのユーザーが行う必要があります。Azure Resource Manager calls must be made by an authenticated user. 成功するためには、この URL を使用してユーザー認証を行う必要があります。To succeed, this URL is used for user authentication.
Azure Active DirectoryAzure Active Directory Azure File Sync をデプロイする過程で、サブスクリプションの Azure Active Directory のサービス プリンシパルを作成する必要があります。As part of deploying Azure File Sync, a service principal in the subscription's Azure Active Directory will be created. この URL は、その際に使用されます。This URL is used for that. このプリンシパルは、最小限の権限一式を Azure File Sync サービスに委任する目的で使用されます。This principal is used for delegating a minimal set of rights to the Azure File Sync service. Azure File Sync の初回セットアップは、サブスクリプション所有者の権限を持った認証済みユーザーが実行する必要があります。The user performing the initial setup of Azure File Sync must be an authenticated user with subscription owner privileges.
Azure Active DirectoryAzure Active Directory パブリック エンドポイント URL を使用します。Use the public endpoint URL. この URL は、管理者のログインの際に Azure File Sync サーバー登録 UI が使用する Active Directory 認証ライブラリによってアクセスされます。This URL is accessed by the Active Directory authentication library that the Azure File Sync server registration UI uses to log in the administrator.
Azure ストレージAzure Storage ** ** サーバーがファイルをダウンロードするとき、ストレージ アカウント内の Azure ファイル共有との間で直接通信を行った方が、データの移動を効率よく実行することができます。When the server downloads a file, then the server performs that data movement more efficiently when talking directly to the Azure file share in the Storage Account. このサーバーには、対象のファイル共有へのアクセスのみが許可された SAS キーが与えられます。The server has a SAS key that only allows for targeted file share access.
Azure File SyncAzure File Sync **
** サーバーの初回登録後、そのサーバーには、特定のリージョン内の Azure File Sync サービス インスタンスに使用されるリージョン固有の URL が送信されます。After initial server registration, the server receives a regional URL for the Azure File Sync service instance in that region. サーバーは、この URL を使って、その同期処理を行うインスタンスと直接かつ効率的に通信を行います。The server can use the URL to communicate directly and efficiently with the instance handling its sync.
Microsoft PKIMicrosoft PKI
Azure File Sync エージェントがインストールされると、PKI URL を使用して、Azure File Sync サービスと Azure ファイル共有との通信に必要な中間証明書がダウンロードされます。Once the Azure File Sync agent is installed, the PKI URL is used to download intermediate certificates required to communicate with the Azure File Sync service and Azure file share. OCSP URL は、証明書の状態を確認するために使用されます。The OCSP URL is used to check the status of a certificate.


* へのトラフィックを許可すると、同期サービスへのトラフィックのみが可能になります。When allowing traffic to *, traffic is only possible to the sync service. このドメインを使用する他の Microsoft サービスはありません。There are no other Microsoft services using this domain. * へのトラフィックを許可すると、同期サービスに限らず、サーバーから出て行くそれ以外のトラフィックも許可されます。When allowing traffic to *, traffic to more than just the sync service is possible from the server. サブドメインには、その他多くの Microsoft サービスが提供されています。There are many more Microsoft services available under subdomains.

* または * では範囲が広すぎる場合は、通信の許可の対象となる Azure Files Sync サービスのリージョン固有のインスタンスを明示的に指定することで、サーバーの通信を制限することができます。If * or * is too broad, you can limit the server's communication by allowing communication to only explicit regional instances of the Azure Files Sync service. どのインスタンスを選ぶかは、実際にサーバーのデプロイと登録を行ったストレージ同期サービスのリージョンによって異なります。Which instance(s) to choose depends on the region of the storage sync service you have deployed and registered the server to. そのリージョンを、以下の表では "プライマリ エンドポイント URL" と記述しています。That region is called "Primary endpoint URL" in the table below.

事業継続とディザスター リカバリー (BCDR) 上の理由から、グローバル冗長ストレージ (GRS) アカウント内の Azure ファイル共有が指定されていることも考えられます。For business continuity and disaster recovery (BCDR) reasons you may have specified your Azure file shares in a globally redundant (GRS) storage account. そのようなケースで、万一長時間にわたる地域的な機能不全が生じた場合には、Azure ファイル共有がペア リージョンにフェールオーバーされます。If that is the case, then your Azure file shares will fail over to the paired region in the event of a lasting regional outage. Azure File Sync がストレージとして使用するリージョン ペアは変わりません。Azure File Sync uses the same regional pairings as storage. そのため、GRS ストレージ アカウントを使用している場合は、サーバーが Azure File Sync のペア リージョンと通信するための URL を別途有効にする必要があります。以下の表では、これを "ペア リージョン" と記述しています。So if you use GRS storage accounts, you need to enable additional URLs to allow your server to talk to the paired region for Azure File Sync. The table below calls this "Paired region". また、Traffic Manager のプロファイルの URL も有効にする必要があります。Additionally, there is a traffic manager profile URL that needs to be enabled as well. これにより、万一フェールオーバーが発生した場合、ネットワーク トラフィックがペア リージョンに対してシームレスに再ルーティングされます。次の表では、これを "検出 URL" と記述しています。This will ensure network traffic can be seamlessly re-routed to the paired region in the event of a fail-over and is called "Discovery URL" in the table below.

クラウドCloud リージョンRegion プライマリ エンドポイントの URLPrimary endpoint URL ペアのリージョンPaired region 探索 URLDiscovery URL
パブリックPublic オーストラリア東部Australia East
オーストラリア南東部Australia Southeast
パブリックPublic オーストラリア南東部Australia Southeast
オーストラリア東部Australia East
パブリックPublic ブラジル南部Brazil South 米国中南部South Central US
パブリックPublic カナダ中部Canada Central
カナダ東部Canada East
パブリックPublic カナダ東部Canada East
カナダ中部Canada Central
パブリックPublic インド中部Central India
インド南部South India
パブリックPublic 米国中部Central US
米国東部 2East US 2
パブリックPublic 東アジアEast Asia
東南アジアSoutheast Asia
パブリックPublic 米国東部East US
米国西部West US
パブリックPublic 米国東部 2East US 2
米国中部Central US
パブリックPublic 東日本Japan East 西日本Japan West
パブリックPublic 西日本Japan West 東日本Japan East
パブリックPublic 韓国中部Korea Central 韓国南部Korea South
パブリックPublic 韓国南部Korea South 韓国中部Korea Central
パブリックPublic 米国中北部North Central US 米国中南部South Central US
パブリックPublic 北ヨーロッパNorth Europe
西ヨーロッパWest Europe
パブリックPublic 米国中南部South Central US 米国中北部North Central US
パブリックPublic インド南部South India
インド中部Central India
パブリックPublic 東南アジアSoutheast Asia
東アジアEast Asia
パブリックPublic 英国南部UK South
英国西部UK West
パブリックPublic 英国西部UK West
英国南部UK South
パブリックPublic 米国中西部West Central US 米国西部 2West US 2
パブリックPublic 西ヨーロッパWest Europe
北ヨーロッパNorth Europe
パブリックPublic 米国西部West US
米国東部East US
パブリックPublic 米国西部 2West US 2 米国中西部West Central US
GovernmentGovernment US Gov アリゾナUS Gov Arizona US Gov テキサスUS Gov Texas
GovernmentGovernment US Gov テキサスUS Gov Texas US Gov アリゾナUS Gov Arizona
  • 使用しているストレージ アカウントがローカル冗長 (LRS) またはゾーン冗長 (ZRS) の場合、有効にする必要があるのは、"プライマリ エンドポイント URL" に記載された URL だけです。If you use locally redundant (LRS) or zone redundant (ZRS) storage accounts, you only need to enable the URL listed under "Primary endpoint URL".

  • グローバル冗長ストレージ (GRS) アカウントを使用している場合は、3 つの URL を有効にすることになります。If you use globally redundant (GRS) storage accounts, enable three URLs.

例: ストレージ同期サービスを "West US" にデプロイしてそこにサーバーを登録するとします。Example: You deploy a storage sync service in "West US" and register your server with it. この場合、サーバーには、次の URL との通信を許可することになります。The URLs to allow the server to communicate to for this case are:

  • (primary endpoint:米国西部) (primary endpoint: West US)
  • (対になっているフェール オーバーリージョン: 米国東部) (paired fail-over region: East US)
  • (プライマリ リージョンの探索 URL) (discovery URL of the primary region)

Azure File Sync IP アドレスの許可リストAllow list for Azure File Sync IP addresses

Azure File Sync ではサービス タグの使用がサポートされています。これは、指定された Azure サービスからの IP アドレス プレフィックスのグループを表すものです。Azure File Sync supports the use of service tags, which represent a group of IP address prefixes for a given Azure service. サービス タグを使用して、Azure File Sync サービスとの通信を可能にするファイアウォール規則を作成できます。You can use service tags to create firewall rules that enable communication with the Azure File Sync service. Azure File Sync のサービス タグは StorageSyncService です。The service tag for Azure File Sync is StorageSyncService.

Azure 内で Azure File Sync を使用している場合は、ネットワーク セキュリティ グループでサービス タグ名を直接使用して、トラフィックを許可することができます。If you are using Azure File Sync within Azure, you can use name of service tag directly in your network security group to allow traffic. 詳しい方法については、「セキュリティ グループ」を参照してください。To learn more about how to do this, see Network security groups.

オンプレミスの Azure File Sync を使用している場合は、サービス タグ API を使用して、ファイアウォールの許可リスト用の特定の IP アドレス範囲を取得できます。If you are using Azure File Sync on-premises, you can use the service tag API to get specific IP address ranges for your firewall's allow list. この情報を取得するには、次の 2 つの方法があります。There are two methods for getting this information:

  • サービス タグをサポートするすべての Azure サービスの最新の IP アドレス範囲の一覧が、Microsoft ダウンロード センターに JSON ドキュメントの形式で毎週公開されています。The current list of IP address ranges for all Azure services supporting service tags are published weekly on the Microsoft Download Center in the form of a JSON document. 各 Azure クラウドには、そのクラウドに関連する IP アドレス範囲が記載された独自の JSON ドキュメントが存在します。Each Azure cloud has its own JSON document with the IP address ranges relevant for that cloud:
  • サービス タグ検出 API (プレビュー) を使用すると、サービス タグの現在の一覧をプログラムで取得できます。The service tag discovery API (preview) allows programmatic retrieval of the current list of service tags. プレビューの段階では、サービス タグ検出 API によって返される情報は、Microsoft ダウンロード センターに公開されている JSON ドキュメントから返される情報よりも古い場合があります。In preview, the service tag discovery API may return information that's less current than information returned from the JSON documents published on the Microsoft Download Center. API サーフェスは、ご自分の自動化の設定に基づいて使用できます。You can use the API surface based on your automation preference:

サービス タグ検出 API は、Microsoft ダウンロード センターに公開される JSON ドキュメントほど頻繁に更新されないため、JSON ドキュメントを使用して、オンプレミスのファイアウォールの許可リストを更新することをお勧めします。Because the service tag discovery API is not updated as frequently as the JSON documents published to the Microsoft Download Center, we recommend using the JSON document to update your on-premises firewall's allow list. そのためには、次の手順に従います。This can be done as follows:

# The specific region to get the IP address ranges for. Replace westus2 with the desired region code 
# from Get-AzLocation.
$region = "westus2"

# The service tag for Azure File Sync. Do not change unless you're adapting this
# script for another service.
$serviceTag = "StorageSyncService"

# Download date is the string matching the JSON document on the Download Center. 
$possibleDownloadDates = 0..7 | `
    ForEach-Object { [System.DateTime]::Now.AddDays($_ * -1).ToString("yyyyMMdd") }

# Verify the provided region
$validRegions = Get-AzLocation | `
    Where-Object { $_.Providers -contains "Microsoft.StorageSync" } | `
    Select-Object -ExpandProperty Location

if ($validRegions -notcontains $region) {
    Write-Error `
            -Message "The specified region $region is not available. Either Azure File Sync is not deployed there or the region does not exist." `
            -ErrorAction Stop

# Get the Azure cloud. This should automatically based on the context of 
# your Az PowerShell login, however if you manually need to populate, you can find
# the correct values using Get-AzEnvironment.
$azureCloud = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty Name

# Build the download URI
$downloadUris = @()
switch($azureCloud) {
    "AzureCloud" { 
        $downloadUris = $possibleDownloadDates | ForEach-Object {  

    "AzureUSGovernment" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 

    "AzureChinaCloud" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 

    "AzureGermanCloud" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 

    default {
        Write-Error -Message "Unrecognized Azure Cloud: $_" -ErrorAction Stop

# Find most recent file
$found = $false 
foreach($downloadUri in $downloadUris) {
    try { $response = Invoke-WebRequest -Uri $downloadUri -UseBasicParsing } catch { }
    if ($response.StatusCode -eq 200) {
        $found = $true

if ($found) {
    # Get the raw JSON 
    $content = [System.Text.Encoding]::UTF8.GetString($response.Content)

    # Parse the JSON
    $serviceTags = ConvertFrom-Json -InputObject $content -Depth 100

    # Get the specific $ipAddressRanges
    $ipAddressRanges = $serviceTags | `
        Select-Object -ExpandProperty values | `
        Where-Object { $ -eq "$serviceTag.$region" } | `
        Select-Object -ExpandProperty properties | `
        Select-Object -ExpandProperty addressPrefixes
} else {
    # If the file cannot be found, that means there hasn't been an update in
    # more than a week. Please verify the download URIs are still accurate
    # by checking
    Write-Verbose -Message "JSON service tag file not found."

その後、$ipAddressRanges 内の IP アドレス範囲を使用して、ファイアウォールを更新できます。You can then use the IP address ranges in $ipAddressRanges to update your firewall. ファイアウォールを更新する方法については、ご利用のファイアウォールまたはネットワーク アプライアンスの Web サイトを確認してください。Check your firewall/network appliance's website for information on how to update your firewall.

サービス エンドポイントへのネットワーク接続をテストするTest network connectivity to service endpoints

サーバーが Azure File Sync サービスに登録されたら、Test-StorageSyncNetworkConnectivity コマンドレットと ServerRegistration.exe を使用して、このサーバーに固有のすべてのエンドポイント (URL) との通信をテストできます。Once a server is registered with the Azure File Sync service, the Test-StorageSyncNetworkConnectivity cmdlet and ServerRegistration.exe can be used to test communications with all endpoints (URLs) specific to this server. このコマンドレットは、不完全な通信によってサーバーが Azure File Sync で完全に動作しない場合のトラブルシューティングに役立ちます。また、プロキシとファイアウォールの構成を微調整するために使用できます。This cmdlet can help troubleshoot when incomplete communication prevents the server from fully working with Azure File Sync and it can be used to fine-tune proxy and firewall configurations.

ネットワーク接続テストを実行するには、Azure File Sync エージェント バージョン 9.1 以降をインストールし、次の PowerShell コマンドを実行します。To run the network connectivity test, install Azure File Sync agent version 9.1 or later and run the following PowerShell commands:

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"

概要とリスクの制限Summary and risk limitation

このドキュメントで前述したリストは、現時点で Azure File Sync が通信する URL を記載したものです。The lists earlier in this document contain the URLs Azure File Sync currently communicates with. ファイアウォールで、これらのドメインに向かうトラフィックを許可する必要があります。Firewalls must be able to allow traffic outbound to these domains. Microsoft は、このリストを最新の内容に保つよう努めます。Microsoft strives to keep this list updated.

ドメインを制限するファイアウォール規則の設定は、セキュリティを強化するための対策になると考えられます。Setting up domain restricting firewall rules can be a measure to improve security. そうしたファイアウォール構成を使用する場合、時間の経過に伴って URL が追加されること、また場合によっては変更される可能性もあることに留意する必要があります。If these firewall configurations are used, one needs to keep in mind that URLs will be added and might even change over time. こちらの記事を定期的にご確認ください。Check this article periodically.

次のステップNext steps