仮想ネットワーク内の DPS のプライベート エンドポイントへのアクセスを制限するには、パブリック ネットワーク アクセスを無効にします。 これを行うには、Azure portal または publicNetworkAccess API を使用します。 ポータルまたは publicNetworkAccess API を使用してパブリック アクセスを許可することもできます。
Azure portal を使用してパブリック ネットワーク アクセスをオフにする
パブリック ネットワーク アクセスをオフにするには:
Azure portal にサインインします。
ポータル メニューまたはポータル ページから、[ すべてのリソース] を選択します。
Device Provisioning Service インスタンスを選択します。
サービス メニューの [設定] で [ ネットワーク] を選択します。
作業ウィンドウの [パブリック ネットワーク アクセス] で、[無効] を選択します。
保存 を選択します。
パブリック ネットワーク アクセスを有効にするには:
- [ すべてのネットワーク] を選択します。
- 保存 を選択します。
パブリック ネットワーク アクセスの制限を無効にする
パブリック ネットワーク アクセスが無効になっている場合は、次の制限事項に注意してください。
DPS インスタンスには、 Azure Private Link を使用した仮想ネットワーク プライベート エンドポイント経由でのみアクセスできます。
AZURE portal を使用して DPS インスタンスの登録を管理することはできなくなります。 代わりに、DPS インスタンスで構成された仮想ネットワーク内のマシンから、Azure CLI、PowerShell、またはサービス API を使用して登録を管理できます。 詳細については、「 プライベート エンドポイントの制限事項」を参照してください。
パブリック ネットワーク アクセスを無効にした後の DPS エンドポイント、IP アドレス、ポート
DPS はマルチテナント のサービスとしてのプラットフォーム (PaaS) であり、さまざまなお客様が同じコンピューティング、ネットワーク、ストレージ ハードウェア リソースのプールを共有します。 DPS のホスト名は、インターネット経由でパブリックにルーティング可能な IP アドレスを持つパブリック エンドポイントにマップされます。 さまざまなお客様がこの DPS パブリック エンドポイントを共有しており、ワイド エリア ネットワークとオンプレミス ネットワーク内の IoT デバイスはすべてアクセスできます。
パブリック ネットワーク アクセスの無効化は、特定の DPS リソースに適用され、分離が確保されます。 パブリック パスを使用して他の顧客リソースに対してサービスをアクティブに保つために、そのパブリック エンドポイントは解決可能なままであり、IP アドレスは検出可能であり、ポートは開いたままです。 Microsoft は複数のセキュリティレイヤーを統合してテナント間の完全な分離を確保するため、この検出可能性は懸念の原因ではありません。 詳細については、「 Azure パブリック クラウドでの分離」を参照してください。
IP フィルター
パブリック ネットワーク アクセスが無効になっている場合、すべての IP フィルター 規則は無視されます。 この動作は、パブリック インターネットからのすべての IP がブロックされるために発生します。 IP フィルタリングを使用するには、[ 選択した IP 範囲 ] オプションを選択します。
すべてのネットワーク範囲を有効にする
すべてのネットワーク範囲を有効にするには:
- Azure portal にサインインします。
- ポータル メニューまたはポータル ページから、[ すべてのリソース] を選択します。
- Device Provisioning Service インスタンスを選択します。
- サービス メニューの [設定] で [ ネットワーク] を選択します。
- 作業ウィンドウの [パブリック ネットワーク アクセス] で、[すべてのネットワーク] を選択します。
- 保存 を選択します。