概要
企業内ネットワークではインターネットへのアクセスをプロキシサーバーで許可されたサイトにのみ制限している場合があります。Microsoft Azure のようなクラウドサービスを利用する場合、この制限を緩和させポータルへのアクセスが出来るよう社内 IT 部門との調整が必要となる場合があります。
本記事では、そのようなケースでの助けとなる Azure ポータルへのアクセスに必要な URL 一覧を掲載しています。これらをプロキシサーバーの http および https 通信のホワイトリストとして登録することで社内ネットワークから Azure ポータルへのアクセスが可能となります。
URL (FQDN) 一覧
※ 以下の URL (FQDN) 一覧は、Microsoft 社が正式に公開しているものではなく検証結果に基づく情報となる点をご留意ください。
*.azure.com
*.azure-api.net
*.azure.net
*.azureedge.net
*.microsoft.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msftauth.net
*.windows.net
*.windowsazure.com
補足1
企業内利用の観点から上記は Azure AD 組織アカウントで Azure ポータルへログインする場合を前提としています。コンシューマー向けの @hotmail.com, @live.com, @outlook.com といったマイクロソフトアカウントで Azure ポータルへログインする場合には、認証用サイトとして下記 URL (FQDN) への https アクセスを追加で許可する必要があります。
*.live.com
```
## 補足2
Azure ポータルからデプロイしたサービスの一部には、サービスその物が提供する専用の URL (FQDN) を持つ物があります。ここでは幾つかの参考例を記載していますが、これらは標準の Azure ポータルサイトの FQDN とは独立したドメインとなります。制限された社内ネットワークから直接これらサービスを利用する場合には、独自ドメインへの追加許可が必要となります。
``````:一例
<instance-name>.trafficmanager.net (Traffic Manager)
<instance-name>.azuredatalakestore.net (DataLake Store)
<instance-name>.azuredatalakeanalytics.net (DataLake Analytics)
```
## 補足3
補足2と同様に Microsoft Azure は非常に広範囲で多岐にわたるクラウドサービスを提供しているため、[Azure ML Studio](https://azure.microsoft.com/ja-jp/services/machine-learning-studio/) や [Cognitive Service](https://azure.microsoft.com/ja-jp/services/cognitive-services/) など一部のサービスでは、標準の Azure ポータルとは別に独立したサービス専用のポータルサイトを持っています。
``````:一例
*.cris.ai (Custom Speech Portal)
*.azureml.net (Azure ML Studio)
```
# URL (FQDN) の調査方法
補足2、補足3にあるようなサービス固有の URL (FQDN) の確認には WEBブラウザのデバッグ機能や Fiddler ツールによる解析が役に立ちます。基本的な考え方としては、制限されて**いない**ネットワーク環境で実際に利用するサービスにアクセスして、必要となる URL (FQDN) を確認していきます。
Web開発でよく使う、特に使えるChromeデベロッパー・ツールの機能
https://www.buildinsider.net/web/chromedevtools/01
以下は Chrome ブラウザで Azure ポータルへアクセスした際の [Network] トレース情報となります。列項目に [Domain] 列を追加し昇順もしくは降順にソートする事で FQDN 確認の可視性が高まります。

Fiddler トレース収集ツール・収集方法について
https://blogs.msdn.microsoft.com/dsazurejp/2014/10/31/fiddler/
# 最後に
本記事で掲載している URL (FQDN) 一覧は検証に基づく情報となります。Azure ポータルの仕様変更などがあった場合、将来にわたり永続的に動作保証するものではありません。また全ての操作をテストしたわけでないため場合によっては更に必要な URL (FQDN) が追加で発生する可能性がある点もご留意ください。本記事の調査にあたっては下記 blog 記事を参考としています。
ネットワーク制限がかかった環境から Azure 上のリソースを管理する場合のベスト プラクティス
https://blogs.technet.microsoft.com/jpaztech/2017/10/11/access_portal_behind_proxy/