Azure SQL Managed Instance のパブリックエンドポイントを構成する

適用対象:Azure SQL Managed Instance

Azure SQL Managed Instance のパブリックエンドポイントを使用すると、仮想ネットワークの外部から SQL マネージドインスタンスへのデータアクセスが可能になります。 Power BI、Azure App Service、オンプレミスネットワークなどのマルチテナント Azure サービスから SQL マネージドインスタンスにアクセスできます。 SQL マネージドインスタンスでパブリックエンドポイントを使用すると、VPN を使用する必要がなくなります。これは、VPN スループットの問題を回避するのに役立ちます。

この記事では、次のことについて説明します。

SQL マネージドインスタンスのパブリックエンドポイントを有効または無効にする
SQL マネージドインスタンスのパブリックエンドポイントへのトラフィックを許可するように SQL マネージドインスタンスネットワークセキュリティグループ (NSG) を構成する
SQL マネージドインスタンスのパブリックエンドポイント接続文字列を取得する

アクセス許可

SQL マネージドインスタンス内のデータの機密性のため、SQL マネージドインスタンスのパブリックエンドポイントを有効にする構成には 2 段階のプロセスが必要です。このセキュリティ対策は、職務の分離 (SoD) に準拠します。

SQL マネージドインスタンス管理者は、SQL マネージドインスタンスでパブリックエンドポイントを有効にする必要があります。 SQL マネージドインスタンス管理者は、SQL マネージドインスタンスリソースの [概要 ] ページにあります。
ネットワーク管理者は、ネットワークセキュリティグループ (NSG) を使用して SQL マネージドインスタンスへのトラフィックを許可する必要があります。詳しくは、ネットワークセキュリティグループのアクセス許可に関するページを参照してください。

パブリックエンドポイントの有効化

Azure portal、Azure PowerShell、または Azure CLI を使って、SQL マネージドインスタンスのパブリックエンドポイントを有効にできます。

Azure portal で SQL マネージドインスタンスのパブリックエンドポイントを有効にするには、次の手順のようにします。

Azure ポータルにアクセスします。
SQL マネージドインスタンスでリソースグループを開き、パブリックエンドポイントを構成する SQL マネージドインスタンス を選択します。
[セキュリティ] 設定で [ネットワーク] タブを選択します。
[仮想ネットワークの構成] ページで、[ 有効] を選択し、[ 保存] アイコンを選択して構成を更新します。

パブリックエンドポイントが有効になっている SQL Managed Instance の [仮想ネットワーク] ページを示すスクリーンショット。

PowerShell でパブリックエンドポイントを有効にするには、-PublicDataEndpointEnabled でインスタンスプロパティを更新するときに、trueをに設定します。

サンプルの PowerShell スクリプトを使って、SQL マネージドインスタンスのパブリックエンドポイントを有効にします。次の値を置き換えます。

subscription_id は、実際のサブスクリプション ID
rg-name と SQL マネージドインスタンスのリソースグループ
mi-name を SQL マネージドインスタンスの名前に置き換える

PowerShell を使ってパブリックエンドポイントを有効にするには、次のスクリプトを実行します。

Install-Module -Name Az

Import-Module Az.Accounts
Import-Module Az.Sql

Connect-AzAccount

# Use your subscription ID in place of subscription-id below

Select-AzSubscription -SubscriptionId {subscription-id}

# Replace rg-name with the resource group for your SQL managed instance, and replace mi-name with the name of your SQL managed instance

$mi = Get-AzSqlInstance -ResourceGroupName {rg-name} -Name {mi-name}

$mi = $mi | Set-AzSqlInstance -PublicDataEndpointEnabled $true -force

Azure CLI でパブリックエンドポイントを有効にするには、--public-data-endpoint-enabled でインスタンスプロパティを更新するときにtrueをに設定します。

サンプルの Azure CLI コマンドを使って、SQL マネージドインスタンスのパブリックエンドポイントを有効にします。次の値を置き換えます。

subscription は、実際のサブスクリプション ID
rg-name と SQL マネージドインスタンスのリソースグループ
mi-name を SQL マネージドインスタンスの名前に置き換える

Azure CLI を使ってパブリックエンドポイントを有効にするには、次のコマンドを実行します。

az sql mi update --subscription {subscription-id} --resource-group {rg-name} --name {mi-name} --public-data-endpoint-enabled true

パブリックエンドポイントの無効化

Azure portal、Azure PowerShell、Azure CLI を使って、SQL マネージドインスタンスのパブリックエンドポイントを無効にできます。

Azure portal を使ってパブリックエンドポイントを無効にするには、次の手順のようにします。

Azure ポータルにアクセスします。
SQL マネージドインスタンスでリソースグループを開き、パブリックエンドポイントを構成する SQL マネージドインスタンス を選択します。
[セキュリティ] 設定で [ネットワーク] タブを選択します。
[仮想ネットワークの構成] ページで、[ 無効にする] を選択し、[ 保存] アイコンを選択して構成を更新します。

PowerShell でパブリックエンドポイントを無効にするには、-PublicDataEndpointEnabled でインスタンスプロパティを更新するときに、falseをに設定します。

Azure PowerShell を使って、SQL マネージドインスタンスのパブリックエンドポイントを無効にします。ネットワークセキュリティグループ (NSG) のポート 3342 にインバウンドセキュリティ規則を構成している場合は、それも必ず閉じてください。

パブリックエンドポイントを無効にするには、次のコマンドを使います。

Set-AzSqlInstance -PublicDataEndpointEnabled $false -force

Azure CLI でパブリックエンドポイントを無効にするには、--public-data-endpoint-enabled でインスタンスプロパティを更新するときにfalseをに設定します。

Azure CLI を使って、SQL マネージドインスタンスのパブリックエンドポイントを無効にします。次の値を置き換えます。

subscription は、実際のサブスクリプション ID
rg-name と SQL マネージドインスタンスのリソースグループ
mi-name と SQL マネージドインスタンスの名前。

ネットワークセキュリティグループ (NSG) のポート 3342 にインバウンドセキュリティ規則を構成している場合は、それも必ず閉じてください。

パブリックエンドポイントを無効にするには、次のコマンドを使います。

az sql mi update --subscription {subscription-id} --resource-group {rg-name} --name {mi-name} --public-data-endpoint-enabled false

ネットワークセキュリティグループでパブリックエンドポイントのトラフィックを許可する

Azure portal を使って、ネットワークセキュリティグループ内のパブリックトラフィックを許可します。次の手順に従います。

Azure portal で SQL マネージドインスタンスの [概要] ページに移動します。
[仮想ネットワークまたはサブネット] リンクを選ぶと、[仮想ネットワークの構成] ページに移動します。
仮想ネットワークの構成ウィンドウで [ サブネット ] タブを選択し、SQL マネージドインスタンスの セキュリティグループ 名を書き留めます。
SQL マネージドインスタンスを含むリソースグループに戻ります。前に記録したネットワークセキュリティグループの名前が表示されるはずです。 ネットワークセキュリティグループの名前を選んで、ネットワークセキュリティグループの構成ページを開きます。

[受信セキュリティ規則] タブを選択し、次の設定でdeny_all_inbound規則よりも優先度の高い規則を追加します。

設定	提案された値	説明
ソース	任意の IP アドレスまたはサービスタグ	Power BI などの Azure サービスの場合は、Azure クラウドサービスタグを選択します自分のコンピューターまたは Azure 仮想マシンの場合は、NAT IP アドレスを使用します
ソースポート範囲	*	ソースポートは、通常、動的に割り当てられ、予測できないため、* (任意) のままにしておきます
宛先	Any	宛先を Any のままにして、SQL マネージドインスタンスサブネットへのトラフィックを許可する
宛先ポート範囲	3342	宛先ポートのスコープを 3342 (SQL マネージドインスタンスのパブリック TDS エンドポイント) に設定する
プロトコル	TCP	SQL Managed Instance では、TDS に TCP プロトコルを使用します
操作	Allow	パブリックエンドポイントを介して SQL マネージドインスタンスへの受信トラフィックを許可する
優先順位	1300	この規則が deny_all_inbound 規則よりも優先度が高いことを確認してください

新しい public_endpoint_inbound ルールが deny_all_inbound ルールの上にある受信セキュリティルールを示すスクリーンショット。

注意

ポート 3342 は、SQL マネージドインスタンスへのパブリックエンドポイント接続に使用され、現在変更することはできません。

ルーティングが適切に構成されていることを確認する

アドレスプレフィックスが 0.0.0.0/0 のルートは、サブネットのルートテーブル内の他のルートのアドレスプレフィックス内にない IP アドレス宛てのトラフィックをルーティングする方法を Azure に指示します。サブネットが作成されると、アドレスプレフィックスが 0.0.0.0/0 で、ネクストホップの種類がインターネットの既定のルートが作成されます。

パブリックエンドポイントトラフィックが インターネット に直接ルーティングされるようにするために必要なルートを追加せずにこの既定のルートをオーバーライドすると、受信トラフィックが仮想アプライアンス/仮想ネットワークゲートウェイ経由で流れないため、非対称ルーティングの問題が発生する可能性があります。パブリックインターネット経由で SQL マネージドインスタンスに到達するすべてのトラフィックがパブリックインターネット経由で戻るようにします。そのためには、ソースごとに特定のルートを追加するか、既定のルートを 0.0.0.0/0 アドレスプレフィックスに次ホップの種類として インターネット に戻します。

デフォルトルートに対する変更の影響に関する詳細は、「0.0.0.0/0 アドレスプレフィックス」を参照してください。

パブリックエンドポイントの接続文字列を取得する

パブリックエンドポイントに対して有効になっている SQL マネージドインスタンス構成ページに移動します。 [設定] 構成の下にある [接続文字列] タブを選択します。
パブリックエンドポイントのホスト名は <mi_name>.public.<dns_zone>.database.windows.net形式になり、接続に使用されるポートは 3342 です。 SQL Server Management Studio 接続で使用できるパブリックエンドポイントポートを示す接続文字列の例を次に示します。 <mi_name>.public.<dns_zone>.database.windows.net,3342

次のステップ

パブリックエンドポイントで Azure SQL Managed Instance を安全に使用する

フィードバック

このページはお役に立ちましたか?

Last updated on 2025-09-11

次の方法で共有

Azure SQL Managed Instance のパブリック エンドポイントを構成する

アクセス許可

パブリック エンドポイントの有効化

パブリック エンドポイントの無効化

ネットワーク セキュリティ グループでパブリック エンドポイントのトラフィックを許可する