監視対象のアプリケーションまたはインフラストラクチャがファイアウォールの内側にある場合は、 Azure Monitor サービスとの通信を許可するようにネットワーク アクセスを構成する必要があります。
Azure Monitor では 、サービス タグを使用します。これは、特にサービス タグを実装できる Azure ネットワーク セキュリティ グループ、Azure Firewall、または次世代ファイアウォール (NGFW) を使用している場合に、ネットワーク アクセスを動的に管理する方法を提供します。 サービス タグをサポートしていないハイブリッド リソースまたはオンプレミス リソース、またはネットワーク境界コントロールの場合は、同等の IP アドレス一覧をプログラムで取得するか、JSON ファイルとしてダウンロードします。 詳細については、「 オンプレミスのサービス タグ」を参照してください。
必要なすべての例外をカバーするには、サービス タグ ActionGroup、 ApplicationInsightsAvailability、および AzureMonitorを使用します。 サービス タグは、顧客の Azure リソースと他のサービス タグ リソース間のテナント間通信に必要な検証と認証チェックに代わるものです。
アウトバウンド トラフィック
次の各 Azure Monitor サービス セクションでは、特に明記されていない限り、送信トラフィック ルール (宛先) が必要です。 たとえば、可用性の監視とアクション グループの Webhook には、受信ファイアウォール規則 (ソース) が必要です。
注
Azure Government では、.usではなく、最上位ドメイン .comが使用されます。
Azure パブリック エンドポイントと Azure Government エンドポイントを 一般的な Azure サービスと比較します。
Application Insights のインジェスト
Application Insights SDK または Application Insights エージェントがポータルにデータを送信できるようにするには、ファイアウォールで次の送信ポートを開く必要があります。
注
これらのエンドポイントでは、IPv4 と IPv6 がサポートされます。
| 目的 | ホスト名 | タイプ | ポート |
|---|---|---|---|
| テレメトリ | dc.applicationinsights.azure.comdc.applicationinsights.microsoft.comdc.services.visualstudio.com{region}.in.applicationinsights.azure.com |
グローバル グローバル グローバル 地域 |
443 |
| ライブ メトリック | live.applicationinsights.azure.comrt.applicationinsights.microsoft.comrt.services.visualstudio.com{region}.livediagnostics.monitor.azure.com{region}の例を次に示します。westus2 |
グローバル グローバル グローバル 地域 |
443 |
Application Insights エージェントの構成
Application Insights エージェントの構成は、変更を加えるときにのみ必要です。
| 目的 | ホスト名 | ポート |
|---|---|---|
| コンフィギュレーション | management.core.windows.net |
443 |
| コンフィギュレーション | management.azure.com |
443 |
| コンフィギュレーション | login.windows.net |
443 |
| コンフィギュレーション | login.microsoftonline.com |
443 |
| コンフィギュレーション | secure.aadcdn.microsoftonline-p.com |
443 |
| コンフィギュレーション | auth.gfx.ms |
443 |
| コンフィギュレーション | login.live.com |
443 |
| 取り付け |
globalcdn.nuget.org、 packages.nuget.org 、api.nuget.org/v3/index.jsonnuget.org、 api.nuget.org、 dc.services.vsallin.net |
443 |
可用性テスト
可用性テストでは、受信ファイアウォール アクセスが必要であり、サービス タグとカスタム ヘッダーを使用して最適に構成されます。 詳細については、 ファイアウォールの背後での可用性テストを参照してください。
クエリ API エンドポイントをログに記録する
2025 年 7 月 1 日以降、Log Analytics では、セキュリティで保護された通信のために TLS 1.2 以降が適用されます。 詳細については、「 転送中のセキュリティで保護されたログ データ」を参照してください。
| 目的 | ホスト名 | ポート |
|---|---|---|
| Application Insights | api.applicationinsights.ioapi1.applicationinsights.ioapi2.applicationinsights.ioapi3.applicationinsights.ioapi4.applicationinsights.ioapi5.applicationinsights.ioapi.applicationinsights.azure.com*.api.applicationinsights.azure.com |
443 |
| Log Analytics | api.loganalytics.io*.api.loganalytics.ioapi.loganalytics.azure.comapi.monitor.azure.com*.api.monitor.azure.com |
443 |
| Azure Data Explorer | ade.loganalytics.ioade.applicationinsights.ioadx.monitor.azure.com*.adx.monitor.azure.com*.adx.applicationinsights.azure.comadx.applicationinsights.azure.comadx.loganalytics.azure.com*.adx.loganalytics.azure.com |
443 |
インジェスト API エンドポイントをログに記録する
2026 年 3 月 1 日以降、ログ インジェストでは、セキュリティで保護された通信に TLS 1.2 以降が適用されます。 詳細については、「 転送中のセキュリティで保護されたログ データ」を参照してください。
| 目的 | ホスト名 | ポート |
|---|---|---|
| ログ インジェスト API | *.ingest.monitor.azure.comprod.la.ingest.monitor.core.windows.NET*.prod.la.ingestion.msftcloudes.comprod.la.ingestion.msftcloudes.com*.prod.la.ingest.monitor.core.windows.NET |
443 |
Application Insights 分析
| 目的 | ホスト名 | ポート |
|---|---|---|
| CDN (コンテンツ配信ネットワーク) | applicationanalytics.azureedge.net |
80,443 |
| メディア CDN | applicationanalyticsmedia.azureedge.net |
80,443 |
Log Analytics ポータル
| 目的 | ホスト名 | ポート |
|---|---|---|
| Portal | portal.loganalytics.io |
443 |
Application Insights Azure portal 拡張機能
| 目的 | ホスト名 | ポート |
|---|---|---|
| Application Insights 拡張機能 | stamp2.app.insightsportal.visualstudio.com |
80,443 |
| Application Insights 拡張機能 CDN | insightsportal-prod2-cdn.aisvc.visualstudio.cominsightsportal-prod2-asiae-cdn.aisvc.visualstudio.cominsightsportal-cdn-aimon.applicationinsights.io |
80,443 |
Application Insights SDK (ソフトウェア開発キット)
| 目的 | ホスト名 | ポート |
|---|---|---|
| Application Insights JS SDK CDN | az416426.vo.msecnd.netjs.monitor.azure.com |
80,443 |
アクション グループ Webhook
Webhook には受信ネットワーク アクセスが必要です。 ActionGroup サービス タグを使用して、ファイアウォールとネットワーク構成を更新する必要がなくなります。 または、 Get-AzNetworkServiceTag PowerShell コマンド またはその他の オンプレミス のサービス タグ を使用して、アクション グループによって使用されている IP アドレスの現在の一覧に対してクエリを実行することもできます。
ActionGroup サービス タグを持つ受信セキュリティ規則の例を次に示します。
Application Insights Profiler for .NET
| 目的 | ホスト名 | ポート |
|---|---|---|
| エージェント | agent.azureserviceprofiler.net*.agent.azureserviceprofiler.netprofiler.monitor.azure.com |
443 |
| Portal | gateway.azureserviceprofiler.netdataplane.diagnosticservices.azure.com |
443 |
| Storage | *.core.windows.net |
443 |
スナップショット デバッガー
注
Application Insights Profiler for .NET とスナップショット デバッガーは、同じ IP アドレスのセットを共有します。
| 目的 | ホスト名 | ポート |
|---|---|---|
| エージェント | agent.azureserviceprofiler.net*.agent.azureserviceprofiler.netsnapshot.monitor.azure.com |
443 |
| Portal | gateway.azureserviceprofiler.netdataplane.diagnosticservices.azure.com |
443 |
| Storage | *.core.windows.net |
443 |
よく寄せられる質問
このセクションでは、一般的な質問への回答を示します。
イントラネット Web サーバーを監視できますか?
はい。ただし、ファイアウォール例外またはプロキシ リダイレクトによってサービスへのトラフィックを許可する必要があります。
サービスと IP アドレスの全一覧については、「Azure Monitor で使用される IP アドレス」を参照してください。
インターネット上でサーバーからゲートウェイにトラフィックを再ルーティングするにはどうすればよいですか?
構成内のエンドポイントを上書きすることによって、ご利用のサーバーからのトラフィックをイントラネット上のゲートウェイにルーティングします。
Endpointプロパティが構成に存在しない場合、これらのクラスは、Azure Monitor で使用される IP アドレスに記載されている既定値を使用します。
ご利用のゲートウェイは、Microsoft のエンドポイントのベース アドレスにトラフィックをルーティングする必要があります。 構成内の既定値を http://<your.gateway.address>/<relative path> に置き換えてください。