セキュリティ グループSecurity groups

ネットワーク セキュリティ グループを使用して、Azure 仮想ネットワークの Azure リソース間のネットワーク トラフィックをフィルター処理できます。You can filter network traffic to and from Azure resources in an Azure virtual network with a network security group. ネットワーク セキュリティ グループには、何種類かの Azure リソースとの送受信ネットワーク トラフィックを許可または拒否するセキュリティ規則が含まれています。A network security group contains security rules that allow or deny inbound network traffic to, or outbound network traffic from, several types of Azure resources. どの種類の Azure リソースを仮想ネットワークへのデプロイ後にネットワーク セキュリティ グループに関連付けできるのかについては、「Azure サービスの仮想ネットワーク統合」を参照してください。To learn about which Azure resources can be deployed into a virtual network and have network security groups associated to them, see Virtual network integration for Azure services. 各規則で、送信元と送信先、ポート、およびプロトコルを指定することができます。For each rule, you can specify source and destination, port, and protocol.

この記事では、ネットワーク セキュリティ グループを効果的に使用できるように、その概念について説明します。This article explains network security group concepts, to help you use them effectively. ネットワーク セキュリティ グループを作成したことがない場合は、簡単なチュートリアルで作成作業を体験することができます。If you've never created a network security group, you can complete a quick tutorial to get some experience creating one. ネットワーク セキュリティ グループに精通していて、それらを管理する必要がある場合は、ネットワーク セキュリティ グループの管理に関するページを参照してください。If you're familiar with network security groups and need to manage them, see Manage a network security group. 通信に問題があり、ネットワーク セキュリティ グループのトラブルシューティングが必要な場合は、「仮想マシン ネットワーク トラフィック フィルターの問題を診断する」を参照してください。If you're having communication problems and need to troubleshoot network security groups, see Diagnose a virtual machine network traffic filter problem. ネットワーク セキュリティ グループのフロー ログを有効にして、ネットワーク セキュリティ グループが関連付けられているリソース間のネットワーク トラフィックを分析することができます。You can enable network security group flow logs to analyze network traffic to and from resources that have an associated network security group.

セキュリティ規則Security rules

ネットワーク セキュリティ グループには、0 個、または Azure サブスクリプションの制限内の任意の数の規則が含まれています。A network security group contains zero, or as many rules as desired, within Azure subscription limits. 各規則では次のプロパティを指定します。Each rule specifies the following properties:

プロパティProperty 説明Explanation
NameName ネットワーク セキュリティ グループ内で一意の名前。A unique name within the network security group.
優先順位Priority 100 ~ 4096 の数値。A number between 100 and 4096. 規則は、優先順位に従って処理され、数値が小さいほど優先順位が高いために、大きい数値の前に小さい数値が処理されます。Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. トラフィックが規則に一致すると、処理が停止します。Once traffic matches a rule, processing stops. この結果、優先順位低く (数値が大きい)、優先順位が高い規則と同じ属性を持つ規則は処理されません。As a result, any rules that exist with lower priorities (higher numbers) that have the same attributes as rules with higher priorities are not processed.
ソース/ターゲットSource or destination IP アドレス、クラスレス ドメイン間ルーティング (CIDR) ブロック (例: 10.0.0.0/24)、サービス タグ、またはアプリケーション セキュリティ グループAny, or an individual IP address, classless inter-domain routing (CIDR) block (10.0.0.0/24, for example), service tag, or application security group. Azure リソースのアドレスを指定する場合は、そのリソースに割り当てられているプライベート IP アドレスを指定します。If you specify an address for an Azure resource, specify the private IP address assigned to the resource. 受信トラフィックの場合、ネットワーク セキュリティ グループが処理されるタイミングは、Azure でパブリック IP アドレスがプライベート IP アドレスに変換された後です。送信トラフィックの場合は、Azure でプライベート IP アドレスがパブリック IP アドレスに変換される前になります。Network security groups are processed after Azure translates a public IP address to a private IP address for inbound traffic, and before Azure translates a private IP address to a public IP address for outbound traffic. Azure IP アドレスの詳細については、こちらを参照してください。Learn more about Azure IP addresses. 範囲、サービス タグ、またはアプリケーション セキュリティ グループを指定すると、作成するセキュリティ規則の数を減らせます。Specifying a range, a service tag, or application security group, enables you to create fewer security rules. 規則内で複数の個別 IP アドレスと範囲 (複数のサービス タグまたはアプリケーション グループは指定できません) を指定する機能は、拡張セキュリティ規則と呼ばれています。The ability to specify multiple individual IP addresses and ranges (you cannot specify multiple service tags or application groups) in a rule is referred to as augmented security rules. 拡張セキュリティ規則は、Resource Manager デプロイ モデルで作成されたネットワーク セキュリティ グループでのみ作成できます。Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. クラシック デプロイ モデルで作成されたネットワーク セキュリティ グループで、複数の IP アドレスおよび IP アドレス範囲を指定することはできません。You cannot specify multiple IP addresses and IP address ranges in network security groups created through the classic deployment model. Azure のデプロイ モデルの詳細については、こちらを参照してください。Learn more about Azure deployment models.
プロトコルProtocol TCP、UDP、または Any。Any には TCP、UDP、ICMP が含まれます。TCP, UDP, or Any, which includes TCP, UDP, and ICMP. ICMP だけを指定することはできないので、ICMP が必要な場合は、Any を使用します。You cannot specify ICMP alone, so if you require ICMP, use Any.
方向Direction 規則が受信トラフィックまたは送信トラフィックに適用されるかどうか。Whether the rule applies to inbound, or outbound traffic.
ポートの範囲Port range 個別のポートまたはポートの範囲を指定できます。You can specify an individual or range of ports. たとえば、80 や 10000-10005 などと指定できます。For example, you could specify 80 or 10000-10005. 範囲を指定すると、作成するセキュリティ規則の数を減らすことができます。Specifying ranges enables you to create fewer security rules. 拡張セキュリティ規則は、Resource Manager デプロイ モデルで作成されたネットワーク セキュリティ グループでのみ作成できます。Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. クラシック デプロイ モデルで作成されたネットワーク セキュリティ グループで、複数のポートまたはポート範囲を指定することはできません。You cannot specify multiple ports or port ranges in the same security rule in network security groups created through the classic deployment model.
ActionAction 許可または拒否Allow or deny

トラフィックを許可または拒否するために、5 組の情報 (送信元、送信元ポート、送信先、送信先ポート、プロトコル) を使用して、優先度に従ってネットワーク セキュリティ グループ セキュリティ規則が評価されます。Network security group security rules are evaluated by priority using the 5-tuple information (source, source port, destination, destination port, and protocol) to allow or deny the traffic. 既存の接続に対するフロー レコードが作成されます。A flow record is created for existing connections. そのフロー レコードの接続の状態に基づいて、通信が許可または拒否されます。Communication is allowed or denied based on the connection state of the flow record. フロー レコードにより、ネットワーク セキュリティ グループはステートフルであることが可能になります。The flow record allows a network security group to be stateful. たとえば、ポート 80 経由で任意のアドレスに送信セキュリティ規則を指定した場合、送信トラフィックへの応答に受信セキュリティ規則を指定する必要はありません。If you specify an outbound security rule to any address over port 80, for example, it's not necessary to specify an inbound security rule for the response to the outbound traffic. 通信が外部から開始された場合は、受信セキュリティ規則のみを指定する必要があります。You only need to specify an inbound security rule if communication is initiated externally. 反対の場合も同じです。The opposite is also true. ポートで受信トラフィックが許可されている場合、そのポートでのトラフィックに応答するために、送信セキュリティ規則を指定する必要はありません。If inbound traffic is allowed over a port, it's not necessary to specify an outbound security rule to respond to traffic over the port. フローを有効にしたセキュリティ規則を削除したときに、既存の接続が中断されない場合があります。Existing connections may not be interrupted when you remove a security rule that enabled the flow. 接続が停止され、少なくとも数分間、どちらの方向のトラフィックも流れていないときに、トラフィック フローが中断されます。Traffic flows are interrupted when connections are stopped and no traffic is flowing in either direction, for at least a few minutes.

ネットワーク セキュリティ グループ内に作成できるセキュリティ規則の数には、制限があります。There are limits to the number of security rules you can create in a network security group. 詳細については、Azure の制限に関する記事をご覧ください。For details, see Azure limits.

拡張セキュリティ規則Augmented security rules

拡張セキュリティ規則を使用すると仮想ネットワークのセキュリティ定義が簡略化され、大規模で複雑なネットワーク セキュリティ ポリシーを少ない規則で定義できます。Augmented security rules simplify security definition for virtual networks, allowing you to define larger and complex network security policies, with fewer rules. 複数のポート、複数の明示的 IP アドレスおよび範囲を組み合わせて、単一のわかりやすいセキュリティ規則を作成することができます。You can combine multiple ports and multiple explicit IP addresses and ranges into a single, easily understood security rule. 拡張規則は、規則のソース、ターゲット、ポート フィールドで使います。Use augmented rules in the source, destination, and port fields of a rule. セキュリティ規則の定義の保守を簡素化するには、拡張セキュリティ規則とサービス タグまたはアプリケーション セキュリティ グループを組み合わせます。To simplify maintenance of your security rule definition, combine augmented security rules with service tags or application security groups. 規則に指定できるアドレス、範囲、およびポートの数には、制限があります。There are limits the number of addresses, ranges, and ports that you can specify in a rule. 詳細については、Azure の制限に関する記事をご覧ください。For details, see Azure limits.

サービス タグService tags

サービス タグは IP アドレス プレフィックスのグループを表し、セキュリティ規則の作成の複雑さを最小限に抑えるのに役立ちます。A service tag represents a group of IP address prefixes to help minimize complexity for security rule creation. 独自のサービス タグを作成したり、タグに含まれる IP アドレスを指定したりすることはできません。You cannot create your own service tag, nor specify which IP addresses are included within a tag. サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。Microsoft manages the address prefixes encompassed by the service tag, and automatically updates the service tag as addresses change. セキュリティ規則を作成するときは、特定の IP アドレスの代わりにサービス タグを使うことができます。You can use service tags in place of specific IP addresses when creating security rules.

Azure パブリック米国政府中国ドイツ クラウドに対する以下の毎週の発行でサービス タグのリストとプレフィックスの詳細をダウンロードして、オンプレミスのファイアウォールと統合できます。You can download and integrate with an on premises firewall the list of service tags with prefix details on the following weekly publications for Azure Public, US government, China, and Germany clouds.

セキュリティ規則の定義で使うことができるサービス タグは次のとおりです。The following service tags are available for use in security rule definition. サービス タグの名前は、Azure のデプロイメント モデルにより若干異なります。Their names vary slightly between Azure deployment models.

  • VirtualNetwork (Resource Manager) (クラシックの場合は VIRTUAL_NETWORK): このタグには、仮想ネットワーク アドレス空間 (仮想ネットワークに対して定義されているすべての CIDR 範囲)、すべての接続されたオンプレミスのアドレス空間、およびピアリングされた仮想ネットワークまたは仮想ネットワーク ゲートウェイに接続された仮想ネットワークが含まれます。VirtualNetwork (Resource Manager) (VIRTUAL_NETWORK for classic): This tag includes the virtual network address space (all CIDR ranges defined for the virtual network), all connected on-premises address spaces, and peered virtual networks or virtual network connected to a virtual network gateway.
  • AzureLoadBalancer (Resource Manager) (クラシックの場合は AZURE_LOADBALANCER): このタグは、Azure のインフラストラクチャのロード バランサーを表します。AzureLoadBalancer (Resource Manager) (AZURE_LOADBALANCER for classic): This tag denotes Azure's infrastructure load balancer. このタグは、Azure の正常性プローブの送信元となるホストの仮想 IP アドレス (168.63.129.16) に変換されます。The tag translates to the Virtual IP address of the host (168.63.129.16) where Azure's health probes originate. Azure Load Balancer を使っていない場合は、この規則をオーバーライドできます。If you are not using the Azure load balancer, you can override this rule.
  • Internet (Resource Manager) (クラシックの場合は INTERNET): このタグは、パブリック インターネットによってアクセスできる仮想ネットワークの外部の IP アドレス空間を表します。Internet (Resource Manager) (INTERNET for classic): This tag denotes the IP address space that is outside the virtual network and reachable by the public Internet. Azure に所有されているパブリック IP アドレス空間がこのアドレス範囲に含まれます。The address range includes the Azure owned public IP address space.
  • AzureCloud (Resource Manager のみ): このタグは、すべてのデータセンターのパブリック IP アドレスを含む Azure の IP アドレス空間を表します。AzureCloud (Resource Manager only): This tag denotes the IP address space for Azure including all datacenter public IP addresses. 値として AzureCloud を指定した場合、Azure パブリック IP アドレスへのトラフィックが許可または拒否されます。If you specify AzureCloud for the value, traffic is allowed or denied to Azure public IP addresses. 特定のリージョンの AzureCloud に対するアクセスのみを許可する場合は、リージョンを指定することができます。If you only want to allow access to AzureCloud in a specific region, you can specify the region. たとえば、米国東部リージョンの Azure AzureCloud へのアクセスのみを許可する場合は、サービス タグとして AzureCloud.EastUS と指定できます。For example, if you want to allow access only to Azure AzureCloud in the East US region, you could specify AzureCloud.EastUS as a service tag.
  • AzureTrafficManager (Resource Manager のみ): このタグは、Azure Traffic Manager プローブ IP アドレスに対する IP アドレス空間を表します。AzureTrafficManager (Resource Manager only): This tag denotes the IP address space for the Azure Traffic Manager probe IP addresses. Traffic Manager プローブ IP アドレスについて詳しくは、Azure Traffic Manager の FAQ に関するページをご覧ください。More information on Traffic Manager probe IP addresses can be found in the Azure Traffic Manager FAQ.
  • Storage (Resource Manager のみ): このタグは、Azure Storage サービスの IP アドレス空間を表します。Storage (Resource Manager only): This tag denotes the IP address space for the Azure Storage service. 値として Storage を指定した場合、ストレージへのトラフィックが許可または拒否されます。If you specify Storage for the value, traffic is allowed or denied to storage. 特定のリージョンのストレージに対するアクセスのみを許可する場合は、リージョンを指定することができます。If you only want to allow access to storage in a specific region, you can specify the region. たとえば、米国東部リージョンの Azure Storage へのアクセスのみを許可する場合は、サービス タグとして Storage.EastUS と指定できます。For example, if you want to allow access only to Azure Storage in the East US region, you could specify Storage.EastUS as a service tag. タグはサービスだけを表し、サービスの特定のインスタンスは表しません。The tag represents the service, but not specific instances of the service. たとえば、このタグは Azure Storage サービスを表しますが、特定の Azure Storage アカウントは表しません。For example, the tag represents the Azure Storage service, but not a specific Azure Storage account. このタグで表されるすべてのアドレス プレフィックスは、Internet タグでも表されます。All address prefixes represented by this tag are also represented by the Internet tag.
  • Sql (Resource Manager のみ): このタグは、Azure SQL Database サービスおよび Azure SQL Data Warehouse サービスのアドレス プレフィックスを表します。Sql (Resource Manager only): This tag denotes the address prefixes of the Azure SQL Database and Azure SQL Data Warehouse services. 値として Sql を指定した場合、SQL へのトラフィックが許可または拒否されます。If you specify Sql for the value, traffic is allowed or denied to Sql. 特定のリージョンの SQL へのアクセスのみを許可する場合は、リージョンを指定することができます。If you only want to allow access to Sql in a specific region, you can specify the region. たとえば、米国東部リージョンの Azure SQL Database へのアクセスのみを許可する場合は、サービス タグとして Sql.EastUS と指定できます。For example, if you want to allow access only to Azure SQL Database in the East US region, you could specify Sql.EastUS as a service tag. タグはサービスだけを表し、サービスの特定のインスタンスは表しません。The tag represents the service, but not specific instances of the service. たとえば、このタグは Azure SQL Database サービスを表しますが、特定の SQL データベースや SQL サーバーは表しません。For example, the tag represents the Azure SQL Database service, but not a specific SQL database or server. このタグで表されるすべてのアドレス プレフィックスは、Internet タグでも表されます。All address prefixes represented by this tag are also represented by the Internet tag.
  • AzureCosmosDB (Resource Manager のみ): このタグは、Azure Cosmos Database サービスのアドレス プレフィックスを表します。AzureCosmosDB (Resource Manager only): This tag denotes the address prefixes of the Azure Cosmos Database service. 値として AzureCosmosDB を指定した場合、AzureCosmosDB へのトラフィックが許可または拒否されます。If you specify AzureCosmosDB for the value, traffic is allowed or denied to AzureCosmosDB. 特定のリージョンの AzureCosmosDB へのアクセスのみを許可する場合は、AzureCosmosDB.[リージョン名] の形式でリージョンを指定できます。If you only want to allow access to AzureCosmosDB in a specific region, you can specify the region in the following format AzureCosmosDB.[region name].
  • AzureKeyVault (Resource Manager のみ): このタグは、Azure KeyVault サービスのアドレス プレフィックスを表します。AzureKeyVault (Resource Manager only): This tag denotes the address prefixes of the Azure KeyVault service. 値として AzureKeyVault を指定した場合、AzureKeyVault へのトラフィックが許可または拒否されます。If you specify AzureKeyVault for the value, traffic is allowed or denied to AzureKeyVault. 特定のリージョンの AzureKeyVault へのアクセスのみを許可する場合は、AzureKeyVault.[リージョン名] の形式でリージョンを指定できます。If you only want to allow access to AzureKeyVault in a specific region, you can specify the region in the following format AzureKeyVault.[region name].
  • EventHub (Resource Manager のみ): このタグは、Azure EventHub サービスのアドレス プレフィックスを表します。EventHub (Resource Manager only): This tag denotes the address prefixes of the Azure EventHub service. 値として EventHub を指定した場合、EventHub へのトラフィックが許可または拒否されます。If you specify EventHub for the value, traffic is allowed or denied to EventHub. 特定のリージョンの EventHub へのアクセスのみを許可する場合は、EventHub.[リージョン名] の形式でリージョンを指定できます。If you only want to allow access to EventHub in a specific region, you can specify the region in the following format EventHub.[region name].
  • ServiceBus (Resource Manager のみ): このタグは、Azure ServiceBus サービスのアドレス プレフィックスを表します。ServiceBus (Resource Manager only): This tag denotes the address prefixes of the Azure ServiceBus service. 値として ServiceBus を指定した場合、ServiceBus へのトラフィックが許可または拒否されます。If you specify ServiceBus for the value, traffic is allowed or denied to ServiceBus. 特定のリージョンの ServiceBus へのアクセスのみを許可する場合は、ServiceBus.[リージョン名] の形式でリージョンを指定できます。If you only want to allow access to ServiceBus in a specific region, you can specify the region in the following format ServiceBus.[region name].
  • MicrosoftContainerRegistry (Resource Manager のみ): このタグは、Microsoft Container Registry サービスのアドレス プレフィックスを表します。MicrosoftContainerRegistry (Resource Manager only): This tag denotes the address prefixes of the Microsoft Container Registry service. 値として MicrosoftContainerRegistry を指定した場合、MicrosoftContainerRegistry へのトラフィックが許可または拒否されます。If you specify MicrosoftContainerRegistry for the value, traffic is allowed or denied to MicrosoftContainerRegistry. 特定のリージョンの MicrosoftContainerRegistry へのアクセスのみを許可する場合は、MicrosoftContainerRegistry.[リージョン名] の形式でリージョンを指定できます。If you only want to allow access to MicrosoftContainerRegistry in a specific region, you can specify the region in the following format MicrosoftContainerRegistry.[region name].
  • AzureContainerRegistry (Resource Manager のみ): このタグは、Azure Container Registry サービスのアドレス プレフィックスを表します。AzureContainerRegistry (Resource Manager only): This tag denotes the address prefixes of the Azure Container Registry service. 値として AzureContainerRegistry を指定した場合、AzureContainerRegistry へのトラフィックが許可または拒否されます。If you specify AzureContainerRegistry for the value, traffic is allowed or denied to AzureContainerRegistry. 特定のリージョンの AzureContainerRegistry へのアクセスのみを許可する場合は、AzureContainerRegistry.[リージョン名] の形式でリージョンを指定できます。If you only want to allow access to AzureContainerRegistry in a specific region, you can specify the region in the following format AzureContainerRegistry.[region name].
  • AppService (Resource Manager のみ): このタグは、Azure AppService サービスのアドレス プレフィックスを表します。AppService (Resource Manager only): This tag denotes the address prefixes of the Azure AppService service. 値として AppService を指定した場合、AppService へのトラフィックが許可または拒否されます。If you specify AppService for the value, traffic is allowed or denied to AppService. 特定のリージョンの AppService へのアクセスのみを許可する場合は、AppService.[リージョン名] の形式でリージョンを指定できます。If you only want to allow access to AppService in a specific region, you can specify the region in the following format AppService.[region name].
  • AppServiceManagement (Resource Manager のみ): このタグは、Azure AppService Management サービスのアドレス プレフィックスを表します。AppServiceManagement (Resource Manager only): This tag denotes the address prefixes of the Azure AppService Management service. 値として AppServiceManagement を指定した場合、AppServiceManagement へのトラフィックが許可または拒否されます。If you specify AppServiceManagement for the value, traffic is allowed or denied to AppServiceManagement. 特定のリージョンの AppServiceManagement へのアクセスのみを許可する場合は、AppServiceManagement.[リージョン名] の形式でリージョンを指定できます。If you only want to allow access to AppServiceManagement in a specific region, you can specify the region in the following format AppServiceManagement.[region name].
  • ApiManagement (Resource Manager のみ): このタグは、Azure Api Management サービスのアドレス プレフィックスを表します。ApiManagement (Resource Manager only): This tag denotes the address prefixes of the Azure Api Management service. 値として ApiManagement を指定した場合、ApiManagement へのトラフィックが許可または拒否されます。If you specify ApiManagement for the value, traffic is allowed or denied to ApiManagement. 特定のリージョンの ApiManagement へのアクセスのみを許可する場合は、ApiManagement.[リージョン名] の形式でリージョンを指定できます。If you only want to allow access to ApiManagement in a specific region, you can specify the region in the following format ApiManagement.[region name].
  • AzureConnectors (Resource Manager のみ): このタグは、Azure Connectors サービスのアドレス プレフィックスを表します。AzureConnectors (Resource Manager only): This tag denotes the address prefixes of the Azure Connectors service. 値として AzureConnectors を指定した場合、AzureConnectors へのトラフィックが許可または拒否されます。If you specify AzureConnectors for the value, traffic is allowed or denied to AzureConnectors. 特定のリージョンの AzureConnectors へのアクセスのみを許可する場合は、AzureConnectors.[リージョン名] の形式でリージョンを指定できます。If you only want to allow access to AzureConnectors in a specific region, you can specify the region in the following format AzureConnectors.[region name].
  • GatewayManager (Resource Manager のみ): このタグは、Azure Gateway Manager サービスのアドレス プレフィックスを表します。GatewayManager (Resource Manager only): This tag denotes the address prefixes of the Azure Gateway Manager service. 値として GatewayManager を指定した場合、GatewayManager へのトラフィックが許可または拒否されます。If you specify GatewayManager for the value, traffic is allowed or denied to GatewayManager. 特定のリージョンの GatewayManager へのアクセスのみを許可する場合は、GatewayManager.[リージョン名] の形式でリージョンを指定できます。If you only want to allow access to GatewayManager in a specific region, you can specify the region in the following format GatewayManager.[region name].
  • AzureDataLake (Resource Manager のみ): このタグは、Azure Data Lake サービスのアドレス プレフィックスを表します。AzureDataLake (Resource Manager only): This tag denotes the address prefixes of the Azure Data Lake service. 値として AzureDataLake を指定した場合、AzureDataLake へのトラフィックが許可または拒否されます。If you specify AzureDataLake for the value, traffic is allowed or denied to AzureDataLake.
  • AzureActiveDirectory (Resource Manager のみ): このタグは、AzureActiveDirectory サービスのアドレス プレフィックスを表します。AzureActiveDirectory (Resource Manager only): This tag denotes the address prefixes of the AzureActiveDirectory service. 値として AzureActiveDirectory を指定した場合、AzureActiveDirectory へのトラフィックが許可または拒否されます。If you specify AzureActiveDirectory for the value, traffic is allowed or denied to AzureActiveDirectory.

注意

Azure サービスのサービス タグは、使用されている特定のクラウドからのアドレス プレフィックスを表します。Service tags of azure services denotes the address prefixes from the specific cloud being used. リージョン サービス タグは国内クラウドではサポートされておらず、グローバル形式でのみサポートされます。Regional service tags are not supported on national clouds, only in global format. たとえば、StorageSql などです。For example, Storage and Sql.

注意

Azure Storage や Azure SQL Database などのサービスの仮想ネットワーク サービス エンドポイントを実装する場合、Azure ではサービスの仮想ネットワーク サブネットにルートが追加します。If you implement a virtual network service endpoint for a service, such as Azure Storage or Azure SQL Database, Azure adds a route to a virtual network subnet for the service. ルートのアドレス プレフィックスは、対応するサービス タグと同じアドレス プレフィックスまたは CIDR 範囲です。The address prefixes in the route are the same address prefixes, or CIDR ranges, as the corresponding service tag.

既定セキュリティ規則Default security rules

作成する各ネットワーク セキュリティ グループに、Azure によって次の既定の規則が作成されます。Azure creates the following default rules in each network security group that you create:

受信Inbound

AllowVNetInBoundAllowVNetInBound

優先順位Priority ソースSource ソース ポートSource ports 変換先Destination ターゲット ポートDestination ports プロトコルProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 AllAll ALLOWAllow

AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound

優先順位Priority ソースSource ソース ポートSource ports 変換先Destination ターゲット ポートDestination ports プロトコルProtocol AccessAccess
6500165001 AzureLoadBalancerAzureLoadBalancer 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AllAll ALLOWAllow

DenyAllInboundDenyAllInbound

優先順位Priority ソースSource ソース ポートSource ports 変換先Destination ターゲット ポートDestination ports プロトコルProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AllAll 拒否Deny

送信Outbound

AllowVnetOutBoundAllowVnetOutBound

優先順位Priority ソースSource ソース ポートSource ports 変換先Destination ターゲット ポートDestination ports プロトコルProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 AllAll ALLOWAllow

AllowInternetOutBoundAllowInternetOutBound

優先順位Priority ソースSource ソース ポートSource ports 変換先Destination ターゲット ポートDestination ports プロトコルProtocol AccessAccess
6500165001 0.0.0.0/00.0.0.0/0 0-655350-65535 インターネットInternet 0-655350-65535 AllAll ALLOWAllow

DenyAllOutBoundDenyAllOutBound

優先順位Priority ソースSource ソース ポートSource ports 変換先Destination ターゲット ポートDestination ports プロトコルProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AllAll 拒否Deny

"ソース" 列と "ターゲット" 列の VirtualNetworkAzureLoadBalancer、および Internet は、IP アドレスではなくサービス タグです。In the Source and Destination columns, VirtualNetwork, AzureLoadBalancer, and Internet are service tags, rather than IP addresses. "プロトコル" 列で "すべて" は TCP、UDP、ICMP を含みます。In the protocol column, All encompasses TCP, UDP, and ICMP. 規則を作成するとき、TCP、UDP、またはすべてを指定できますが、ICMP だけを指定することはできません。When creating a rule, you can specify TCP, UDP, or All, but you cannot specify ICMP alone. そのため、規則で ICMP が必要な場合は、プロトコルとして "すべて" を選択します。Therefore, if your rule requires ICMP, select All for protocol. "ソース" 列と "ターゲット" 列の 0.0.0.0/0 は、すべてのアドレスを表します。0.0.0.0/0 in the Source and Destination columns represents all addresses.

既定の規則は削除できませんが、優先順位の高い規則を作成することでオーバーライドできます。You cannot remove the default rules, but you can override them by creating rules with higher priorities.

アプリケーション セキュリティ グループApplication security groups

アプリケーション セキュリティ グループを使用すると、ネットワーク セキュリティをアプリケーションの構造の自然な拡張として構成でき、仮想マシンをグループ化して、それらのグループに基づくネットワーク セキュリティ ポリシーを定義できます。Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. 明示的な IP アドレスを手動でメンテナンスせずに、大きなセキュリティ ポリシーを再利用することができます。You can reuse your security policy at scale without manual maintenance of explicit IP addresses. プラットフォームが明示的な IP アドレスと複数の規則セットの複雑さを処理するので、ユーザーはビジネス ロジックに専念することができます。The platform handles the complexity of explicit IP addresses and multiple rule sets, allowing you to focus on your business logic. アプリケーション セキュリティ グループをよりよく理解するために、次の例について考えてください。To better understand application security groups, consider the following example:

アプリケーション セキュリティ グループ

前の図では、NIC1NIC2AsgWeb アプリケーション セキュリティ グループのメンバーです。In the previous picture, NIC1 and NIC2 are members of the AsgWeb application security group. NIC3 は、AsgLogic アプリケーション セキュリティ グループのメンバーです。NIC3 is a member of the AsgLogic application security group. NIC4 は、AsgDb アプリケーション セキュリティ グループのメンバーです。NIC4 is a member of the AsgDb application security group. この例の各ネットワーク インターフェイスは 1 つのアプリケーション セキュリティ グループだけのメンバーですが、ネットワーク インターフェイスは複数のアプリケーション セキュリティ グループのメンバーにすることができます (最大数については、Azure の制限を参照してください)。Though each network interface in this example is a member of only one application security group, a network interface can be a member of multiple application security groups, up to the Azure limits. ネットワーク セキュリティ グループが関連付けられているネットワーク インターフェイスはありません。None of the network interfaces have an associated network security group. NSG1 は両方のサブネットに関連付けられており、次の規則を含んでいます。NSG1 is associated to both subnets and contains the following rules:

Allow-HTTP-Inbound-InternetAllow-HTTP-Inbound-Internet

この規則は、インターネットから Web サーバーへのトラフィックを許可するために必要です。This rule is needed to allow traffic from the internet to the web servers. インターネットからの受信トラフィックは DenyAllInbound 既定セキュリティ規則によって拒否されるため、AsgLogic または AsgDb アプリケーション セキュリティ グループでは追加の規則は必要ありません。Because inbound traffic from the internet is denied by the DenyAllInbound default security rule, no additional rule is needed for the AsgLogic or AsgDb application security groups.

優先順位Priority ソースSource ソース ポートSource ports 変換先Destination ターゲット ポートDestination ports プロトコルProtocol AccessAccess
100100 インターネットInternet * AsgWebAsgWeb 8080 TCPTCP ALLOWAllow

Deny-Database-AllDeny-Database-All

AllowVNetInBound 既定セキュリティ規則では、同じ仮想ネットワーク上にあるリソース間の通信がすべて許可されるため、この規則はすべてのリソースからのトラフィックを拒否するために必要です。Because the AllowVNetInBound default security rule allows all communication between resources in the same virtual network, this rule is needed to deny traffic from all resources.

優先順位Priority ソースSource ソース ポートSource ports 変換先Destination ターゲット ポートDestination ports プロトコルProtocol AccessAccess
120120 * * AsgDbAsgDb 14331433 AllAll 拒否Deny

Allow-Database-BusinessLogicAllow-Database-BusinessLogic

この規則は、AsgLogic アプリケーション セキュリティ グループから AsgDb アプリケーション セキュリティ グループへのトラフィックを許可します。This rule allows traffic from the AsgLogic application security group to the AsgDb application security group. この規則の優先度は、Deny-Database-All 規則の優先度よりも高くなっています。The priority for this rule is higher than the priority for the Deny-Database-All rule. その結果、この規則は Deny-Database-All 規則の前に処理されるため、AsgLogic アプリケーション セキュリティ グループからのトラフィックは許可されますが、他のすべてのトラフィックはブロックされます。As a result, this rule is processed before the Deny-Database-All rule, so traffic from the AsgLogic application security group is allowed, whereas all other traffic is blocked.

優先順位Priority ソースSource ソース ポートSource ports 変換先Destination ターゲット ポートDestination ports プロトコルProtocol AccessAccess
110110 AsgLogicAsgLogic * AsgDbAsgDb 14331433 TCPTCP ALLOWAllow

アプリケーション セキュリティ グループを送信元または送信先として指定されている規則は、アプリケーション セキュリティ グループのメンバーであるネットワーク インターフェイスにのみ適用されます。The rules that specify an application security group as the source or destination are only applied to the network interfaces that are members of the application security group. ネットワーク インターフェイスがアプリケーション セキュリティ グループのメンバーでない場合、ネットワーク セキュリティ グループがサブネットに関連付けられていても、規則はネットワーク インターフェイスに適用されません。If the network interface is not a member of an application security group, the rule is not applied to the network interface, even though the network security group is associated to the subnet.

アプリケーション セキュリティ グループには、次の制約があります。Application security groups have the following constraints:

  • アプリケーション セキュリティ グループに関しては他にもいくつかの制限がありますが、サブスクリプションに含めることができるアプリケーション セキュリティ グループの数にも制限があります。There are limits to the number of application security groups you can have in a subscription, as well as other limits related to application security groups. 詳細については、Azure の制限に関する記事をご覧ください。For details, see Azure limits.
  • セキュリティ規則のソースおよびターゲットとして、1 つのアプリケーション セキュリティ グループを指定できます。You can specify one application security group as the source and destination in a security rule. 送信元と送信先に複数のアプリケーション セキュリティ グループを指定することはできません。You cannot specify multiple application security groups in the source or destination.
  • アプリケーション セキュリティ グループに最初に割り当てられたネットワーク インターフェイスが存在する仮想ネットワークに、そのアプリケーション セキュリティ グループに割り当てられたすべてのネットワーク インターフェイスが存在する必要があります。All network interfaces assigned to an application security group have to exist in the same virtual network that the first network interface assigned to the application security group is in. たとえば、AsgWeb という名前のアプリケーション セキュリティ グループに最初に割り当てられたネットワーク インターフェイスが VNet1 という名前の仮想ネットワークにある場合、AsgWeb に以降に割り当てられるすべてのネットワーク インターフェイスが VNet1 に存在する必要があります。For example, if the first network interface assigned to an application security group named AsgWeb is in the virtual network named VNet1, then all subsequent network interfaces assigned to ASGWeb must exist in VNet1. 異なる仮想ネットワークからのネットワーク インターフェイスを同じアプリケーション セキュリティ グループに追加することはできません。You cannot add network interfaces from different virtual networks to the same application security group.
  • セキュリティ規則のソースおよびターゲットとしてアプリケーション セキュリティ グループを指定する場合、両方のアプリケーション セキュリティ グループのネットワーク インターフェイスが、同じ仮想ネットワークに存在している必要があります。If you specify an application security group as the source and destination in a security rule, the network interfaces in both application security groups must exist in the same virtual network. たとえば、VNet1 のネットワーク インターフェイスが AsgLogicVNet2 のネットワーク インターフェイスが AsgDb に存在する場合、規則の送信元として AsgLogic、送信先として AsgDb を割り当てることはできません。For example, if AsgLogic contained network interfaces from VNet1, and AsgDb contained network interfaces from VNet2, you could not assign AsgLogic as the source and AsgDb as the destination in a rule. 送信元と送信先の両方のアプリケーション セキュリティ グループ内のすべてのネットワーク インターフェイスは、同じ仮想ネットワークに存在している必要があります。All network interfaces for both the source and destination application security groups need to exist in the same virtual network.

ヒント

必要なセキュリティ規則の数と、規則を変更する必要性を最小限に抑えるには、必要なアプリケーション セキュリティ グループを綿密に計画し、できる限り個々の IP アドレスまたは IP アドレスの範囲ではなく、サービス タグまたはアプリケーション セキュリティ グループを使用して規則を作成します。To minimize the number of security rules you need, and the need to change the rules, plan out the application security groups you need and create rules using service tags or application security groups, rather than individual IP addresses, or ranges of IP addresses, whenever possible.

トラフィックの評価方法How traffic is evaluated

1 つの Azure 仮想ネットワークに、いくつかの Azure サービスのリソースをデプロイすることができます。You can deploy resources from several Azure services into an Azure virtual network. 完全な一覧については、「仮想ネットワークにデプロイできるサービス」を参照してください。For a complete list, see Services that can be deployed into a virtual network. 仮想マシンの各仮想ネットワーク サブネットおよびネットワーク インターフェイスに、ゼロ個または 1 個のネットワーク セキュリティ グループを関連付けることができます。You can associate zero, or one, network security group to each virtual network subnet and network interface in a virtual machine. 同じネットワーク セキュリティ グループを、任意の数のサブネットとネットワーク インターフェイスに関連付けることができます。The same network security group can be associated to as many subnets and network interfaces as you choose.

次の図は、インターネットとの間で TCP ポート 80 を経由してネットワーク トラフィックを送受信できるようにネットワーク セキュリティ グループをデプロイするさまざまなシナリオを示しています。The following picture illustrates different scenarios for how network security groups might be deployed to allow network traffic to and from the internet over TCP port 80:

NSG の処理

Azure がネットワーク セキュリティ グループの受信規則と送信規則をどのように処理するかを理解するために、以下のテキストを読みながら、前の図を参照してください。Reference the previous picture, along with the following text, to understand how Azure processes inbound and outbound rules for network security groups:

受信トラフィックInbound traffic

受信トラフィックの場合、Azure は、サブネットに関連付けられているネットワーク セキュリティ グループがあれば、まずその規則を処理し、次にネットワーク インターフェイスに関連付けられているネットワーク セキュリティ グループがあれば、その規則を処理します。For inbound traffic, Azure processes the rules in a network security group associated to a subnet first, if there is one, and then the rules in a network security group associated to the network interface, if there is one.

  • VM1: NSG1 のセキュリティ規則が処理されます。ネットワーク セキュリティ グループが Subnet1 に関連付けられており、VM1Subnet1 内にあるためです。VM1: The security rules in NSG1 are processed, since it is associated to Subnet1 and VM1 is in Subnet1. ポート 80 の受信を許可する規則を作成していない場合、トラフィックは DenyAllInbound 既定セキュリティ規則によって拒否され、NSG2 によって評価されることはありません。これは、NSG2 がネットワーク インターフェイスに関連付けられているためです。Unless you've created a rule that allows port 80 inbound, the traffic is denied by the DenyAllInbound default security rule, and never evaluated by NSG2, since NSG2 is associated to the network interface. NSG1 にポート 80 を許可するセキュリティ規則がある場合、トラフィックは NSG2 によって処理されます。If NSG1 has a security rule that allows port 80, the traffic is then processed by NSG2. 仮想マシンにポート 80 を許可するには、NSG1NSG2 の両方に、インターネットからのポート 80 を許可する規則が必要です。To allow port 80 to the virtual machine, both NSG1 and NSG2 must have a rule that allows port 80 from the internet.
  • VM2: NSG1 の規則が処理されます。VM2Subnet1 内にあるためです。VM2: The rules in NSG1 are processed because VM2 is also in Subnet1. VM2 はネットワーク インターフェイスに関連付けられたネットワーク セキュリティ グループを持たないため、NSG1 で許可されたすべてのトラフィックを受信するか、NSG1 によって拒否されたすべてのトラフィックが拒否されます。Since VM2 does not have a network security group associated to its network interface, it receives all traffic allowed through NSG1 or is denied all traffic denied by NSG1. トラフィックは、ネットワーク セキュリティ グループがサブネットに関連付けられている場合、同じサブネット内のすべてのリソースに対して許可または拒否されます。Traffic is either allowed or denied to all resources in the same subnet when a network security group is associated to a subnet.
  • VM3: Subnet2 にはネットワーク セキュリティ グループが関連付けられていないため、トラフィックはサブネットに対して許可され、NSG2 によって処理されます。NSG2 が、VM3 に接続されているネットワーク インターフェイスに関連付けられているためです。VM3: Since there is no network security group associated to Subnet2, traffic is allowed into the subnet and processed by NSG2, because NSG2 is associated to the network interface attached to VM3.
  • VM4: ネットワーク セキュリティ グループが Subnet3 にも仮想マシンのネットワーク インターフェイスにも関連付けられていないため、VM4 へのトラフィックが許可されます。VM4: Traffic is allowed to VM4, because a network security group isn't associated to Subnet3, or the network interface in the virtual machine. サブネットおよびネットワーク インターフェイスにネットワーク セキュリティ グループが関連付けられていない場合、すべてのネットワーク トラフィックがサブネットおよびネットワーク インターフェイスを介して許可されます。All network traffic is allowed through a subnet and network interface if they don't have a network security group associated to them.

送信トラフィックOutbound traffic

送信トラフィックの場合、Azure はネットワーク インターフェイスに関連付けられているネットワーク セキュリティ グループがあれば、まずその規則を処理し、次にサブネットに関連付けられているネットワーク セキュリティ グループがあれば、その規則を処理します。For outbound traffic, Azure processes the rules in a network security group associated to a network interface first, if there is one, and then the rules in a network security group associated to the subnet, if there is one.

  • VM1: NSG2 のセキュリティ規則が処理されます。VM1: The security rules in NSG2 are processed. インターネットへのポート 80 送信を拒否するセキュリティ規則を作成しない限り、トラフィックは NSG1NSG2 の両方の AllowInternetOutbound 既定セキュリティ規則によって許可されます。Unless you create a security rule that denies port 80 outbound to the internet, the traffic is allowed by the AllowInternetOutbound default security rule in both NSG1 and NSG2. NSG2 にポート 80 を拒否するセキュリティ規則がある場合、トラフィックは拒否され、NSG1 によって評価されることはありません。If NSG2 has a security rule that denies port 80, the traffic is denied, and never evaluated by NSG1. 仮想マシンのポート 80 を拒否するには、ネットワーク セキュリティ グループのいずれかまたは両方に、インターネットへのポート 80 を拒否する規則が必要です。To deny port 80 from the virtual machine, either, or both of the network security groups must have a rule that denies port 80 to the internet.
  • VM2: すべてのトラフィックがネットワーク インターフェイスを介してサブネットに送信されます。VM2 に接続されているネットワーク インターフェイスに、ネットワーク セキュリティ グループが関連付けられていないためです。VM2: All traffic is sent through the network interface to the subnet, since the network interface attached to VM2 does not have a network security group associated to it. NSG1 の規則が処理されます。The rules in NSG1 are processed.
  • VM3: NSG2 にポート 80 を拒否するセキュリティ規則がある場合、トラフィックは拒否されます。VM3: If NSG2 has a security rule that denies port 80, the traffic is denied. NSG2 にポート 80 を許可するセキュリティ規則がある場合、ネットワーク セキュリティ グループが Subnet2 に関連付けられていないため、ポート 80 はインターネットへの送信を許可されます。If NSG2 has a security rule that allows port 80, then port 80 is allowed outbound to the internet, since a network security group is not associated to Subnet2.
  • VM4: ネットワーク セキュリティ グループが、仮想マシンに接続されているネットワーク インターフェイスにも Subnet3 にも関連付けられていないため、VM4 からのすべてのネットワーク トラフィックが許可されます。VM4: All network traffic is allowed from VM4, because a network security group isn't associated to the network interface attached to the virtual machine, or to Subnet3.

ネットワーク インターフェイスの有効なセキュリティ規則を表示すると、ネットワーク インターフェイスに適用されている規則の集計を簡単に確認できます。You can easily view the aggregate rules applied to a network interface by viewing the effective security rules for a network interface. Azure Network Watcher の [IP フローの確認] 機能を使って、ネットワーク インターフェイスの受信/送信が許可されているかどうかを確認することもできます。You can also use the IP flow verify capability in Azure Network Watcher to determine whether communication is allowed to or from a network interface. IP フローの確認を使うと、通信が許可または拒否されているかどうかと、どのネットワーク セキュリティ規則でトラフィックが許可/拒否されているかを確認できます。IP flow verify tells you whether communication is allowed or denied, and which network security rule allows or denies the traffic.

注意

ネットワーク セキュリティ グループは、Resource Manager デプロイ モデルのネットワーク インターフェイスではなく、サブネット、またはクラシック デプロイ モデルにデプロイされた仮想マシン クラウド サービスに関連付けられています。Network security groups are associated to subnets or to virtual machines and cloud services deployed the classic deployment model, rather than to network interfaces in the Resource Manager deployment model. Azure のデプロイメント モデルについて詳しくは、Azure のデプロイメント モデルの概要に関する記事をご覧ください。To learn more about Azure deployment models, see Understand Azure deployment models.

ヒント

特別な理由がない限り、ネットワーク セキュリティ グループをサブネットまたはネットワーク インターフェイスに関連付けることをお勧めします。両方に関連付けることは、お勧めしません。Unless you have a specific reason to, we recommended that you associate a network security group to a subnet, or a network interface, but not both. サブネットに関連付けられたネットワーク セキュリティ グループの規則が、ネットワーク インターフェイスに関連付けられたネットワーク セキュリティ グループの規則と競合する可能性があるため、予期しない通信の問題が発生し、トラブルシューティングが必要になることがあります。Since rules in a network security group associated to a subnet can conflict with rules in a network security group associated to a network interface, you can have unexpected communication problems that require troubleshooting.

Azure プラットフォームに関する考慮事項Azure platform considerations

  • ホスト ノードの仮想 IP: DHCP、DNS、正常性の監視などの基本的なインフラストラクチャ サービスは、仮想化されたホストの IP アドレス 168.63.129.16 および 169.254.169.254 を通じて提供されます。Virtual IP of the host node: Basic infrastructure services such as DHCP, DNS, and health monitoring are provided through the virtualized host IP addresses 168.63.129.16 and 169.254.169.254. このパブリック IP アドレスは Microsoft に属し、この目的のためにすべてのリージョンで使われる唯一の仮想化 IP アドレスです。These public IP addresses belong to Microsoft and are the only virtualized IP addresses used in all regions for this purpose. このアドレスは、仮想マシンをホストしているサーバー マシン (ホスト ノード) の物理 IP アドレスにマッピングされます。The addresses map to the physical IP address of the server machine (host node) hosting the virtual machine. ホスト ノードは、DHCP リレー、DNS の再帰的リゾルバー、および Load Balancer の正常性プローブとマシンの正常性プローブのプローブ元として機能します。The host node acts as the DHCP relay, the DNS recursive resolver, and the probe source for the load balancer health probe and the machine health probe. この IP アドレスへの通信は攻撃ではありません。Communication to these IP addresses is not an attack. これらの IP アドレスの受信/送信トラフィックをブロックすると、仮想マシンが正しく機能しない可能性があります。If you block traffic to or from these IP addresses, a virtual machine may not function properly.
  • ライセンス (キー管理サービス): 仮想マシンで実行されている Windows イメージのライセンスを取得する必要があります。Licensing (Key Management Service): Windows images running in virtual machines must be licensed. ライセンスを適用するために、そのような問い合わせを処理するキー管理サービスのホスト サーバーには要求が送信されます。To ensure licensing, a request is sent to the Key Management Service host servers that handle such queries. この要求は、ポート 1688 を通じて送信されます。The request is made outbound through port 1688. default route 0.0.0.0/0 構成を使用したデプロイに関しては、このプラットフォーム ルールは無効となります。For deployments using default route 0.0.0.0/0 configuration, this platform rule will be disabled.
  • 負荷分散プール内の仮想マシン: 適用されるソース ポートおよびアドレス範囲は、元のコンピューターからのもので、ロード バランサーではありません。Virtual machines in load-balanced pools: The source port and address range applied are from the originating computer, not the load balancer. ターゲット ポートとアドレス範囲は、ロード バランサーのものではなく、ターゲット コンピューターのものになります。The destination port and address range are for the destination computer, not the load balancer.
  • Azure のサービス インスタンス: HDInsight、Application Service Environments、および仮想マシン スケール セットなどの Azure サービスのインスタンスが仮想ネットワークのサブネットにデプロイされています。Azure service instances: Instances of several Azure services, such as HDInsight, Application Service Environments, and Virtual Machine Scale Sets are deployed in virtual network subnets. 仮想ネットワークにデプロイできるサービスの詳細な一覧については、Azure サービスの仮想ネットワークに関するページをご覧ください。For a complete list of services you can deploy into virtual networks, see Virtual network for Azure services. リソースがデプロイされているサブネットにネットワーク セキュリティ グループを適用する前に、各サービスのポート要件を確認してください。Ensure you familiarize yourself with the port requirements for each service before applying a network security group to the subnet the resource is deployed in. サービスに必要なポートを拒否すると、サービスは正しく機能しません。If you deny ports required by the service, the service doesn't function properly.
  • アウトバウンド メールの送信: Azure Virtual Machines からのメール送信に関して、Microsoft では、Authenticated SMTP リレー サービスの利用を推奨しています (通常は、TCP ポート 587 で接続されますが、他のポートが使用されることもあります)。Sending outbound email: Microsoft recommends that you utilize authenticated SMTP relay services (typically connected via TCP port 587, but often others, as well) to send email from Azure Virtual Machines. SMTP リレー サービスは、送信者評価に特化することで、サード パーティのメール プロバイダーによってメッセージが拒否される可能性を最小限に抑えます。SMTP relay services specialize in sender reputation, to minimize the possibility that third-party email providers reject messages. そのような SMTP リレー サービスとしては、Exchange Online Protection や SendGrid が代表的ですが、他にもさまざまなリレー サービスが存在します。Such SMTP relay services include, but are not limited to, Exchange Online Protection and SendGrid. Azure に限らず、またサブスクリプションの種類に限らず、SMTP リレー サービスは広く利用されています。Use of SMTP relay services is in no way restricted in Azure, regardless of your subscription type.

    2017 年 11 月 15 日より前に Azure サブスクリプションを作成した場合、SMTP リレー サービスが利用できるほか、TCP ポート 25 を使用して直接メールを送信することもできます。If you created your Azure subscription prior to November 15, 2017, in addition to being able to use SMTP relay services, you can send email directly over TCP port 25. 2017 年 11 月 15 日以降に Azure サブスクリプションを作成した場合、ポート 25 を使用して直接メールを送信することはできません。If you created your subscription after November 15, 2017, you may not be able to send email directly over port 25. ポート 25 を使用したアウトバウンド通信の動作は、ご利用のサブスクリプションの種類によって次のように異なります。The behavior of outbound communication over port 25 depends on the type of subscription you have, as follows:

    • マイクロソフト エンタープライズ契約: 送信ポート 25 の通信が許可されます。Enterprise Agreement: Outbound port 25 communication is allowed. 仮想マシンから外部のメール プロバイダーに直接アウトバウンド メールを送信できます。Azure プラットフォームによる制限はありません。You are able to send outbound email directly from virtual machines to external email providers, with no restrictions from the Azure platform.
    • 従量課金制: アウトバウンド ポート 25 の通信が、送信元となるすべてのリソースについてブロックされます。Pay-as-you-go: Outbound port 25 communication is blocked from all resources. 外部のメール プロバイダーに仮想マシンから直接 (認証済み SMTP リレーを介さずに) メールを送信する必要がある場合は、申請によって制限を解除することができます。If you need to send email from a virtual machine directly to external email providers (not using an authenticated SMTP relay), you can make a request to remove the restriction. 申請は Microsoft の裁量にて審査および承認されます。また、申請が許可されるのは、詐欺行為防止チェックの実施後となります。Requests are reviewed and approved at Microsoft's discretion and are only granted after anti-fraud checks are performed. 申請を行うには、[Technical](技術)[Virtual Network Connectivity](仮想ネットワーク接続)[Cannot send e-mail (SMTP/Port 25)](メールを送信できない (SMTP/ポート 25)) を問題の種類とするサポート ケースを開いてください。To make a request, open a support case with the issue type Technical, Virtual Network Connectivity, Cannot send e-mail (SMTP/Port 25). ご利用のサブスクリプションから Authenticated SMTP リレー経由ではなく直接メール プロバイダーにメールを送信することが必要である理由をサポート ケースに詳しく記してください。In your support case, include details about why your subscription needs to send email directly to mail providers, instead of going through an authenticated SMTP relay. ご利用のサブスクリプションが免除された場合に、ポート 25 を使用したアウトバウンド通信が許可されるのは、その免除日以降に作成された仮想マシンだけです。If your subscription is exempted, only virtual machines created after the exemption date are able to communicate outbound over port 25.
    • MSDN、Azure Pass、Azure イン オープン プラン、Education、BizSpark、無料試用版: アウトバウンド ポート 25 の通信が、送信元となるすべてのリソースについてブロックされます。MSDN, Azure Pass, Azure in Open, Education, BizSpark, and Free trial: Outbound port 25 communication is blocked from all resources. 制限解除を申請することはできません。申請は許可されません。No requests to remove the restriction can be made, because requests are not granted. 仮想マシンからメールを送信する必要がある場合は、SMTP リレー サービスを使用する必要があります。If you need to send email from your virtual machine, you have to use an SMTP relay service.
    • クラウド サービス プロバイダー: クラウド サービス プロバイダーを介して Azure リソースを使用しているお客様は、クラウド サービス プロバイダーを相手方とするサポート ケースを作成できます。また、安全な SMTP リレーが利用できない場合は、お客様の代わりにプロバイダーがブロック解除のケースを作成するよう要求できます。Cloud service provider: Customers that are consuming Azure resources via a cloud service provider can create a support case with their cloud service provider, and request that the provider create an unblock case on their behalf, if a secure SMTP relay cannot be used.

    Azure でポート 25 経由のメール送信が許可された場合に、メール プロバイダーが、ご利用の仮想マシンからのインバウンド メールを受け入れるかどうかについては、Microsoft では保証できません。If Azure allows you to send email over port 25, Microsoft cannot guarantee email providers will accept inbound email from your virtual machine. ご利用の仮想マシンからのメールが特定のプロバイダーによって拒否される場合は、そのプロバイダーに直接働きかけて、メッセージ配信の問題やスパム フィルターの問題を解決するか、Authenticated SMTP リレー サービスを使用します。If a specific provider rejects mail from your virtual machine, work directly with the provider to resolve any message delivery or spam filtering issues, or use an authenticated SMTP relay service.

次の手順Next steps