こんにちは、アーキテクトのやまぱんです。
今回 Microsoft Entra ID (旧 Azure AD) のサービスエンドポイントを試してみましたので簡単にメモしておきます。
補足コメントや質問、いいね、拡散、是非お願いします🥺!
間違ってたら優しく教えてください!
サービスエンドポイントとは
VNet から Private IP (送信元IP) を使って Azure の PaaS サービスにアクセスできるようになるものです。
また、その際のルーティングはシステムルートとして追加されます。
似た名前の Private Endpoint もあります。
これらの違いや詳細については下記をご覧ください。
検証
前提環境
- 1 VNet / 1Subnet + 1 VM (Public IP付) の環境 + ルーティング初期設定 + NSG Outbound 全開放
このような状態から進めます。
UDR の設定
以下のようにデフォルトルート (0.0.0.0/0) を上書き/強制トンネリングします。
(myIP は検証用にアクセスしている端末の IP アドレスへのルーティングです。)
こうすることで Outbound 通信は RDP している端末向けの通信を除き、ルーティングが構成されていないので疎通不可となります。
作成したルートテーブルを対象の VMが存在する VNet/Subnet に紐づけます。
Microsoft Entra ID への疎通確認
想定通り 以下の両方のコマンドが通らないことを確認します。
tnc -port 443 login.windows.net
Microsoft Entra ID の 宛先 URL は以下から確認できる
以下 URL の 56 / 59 が Microsoft Entra ID の宛先 URL
https://learn.microsoft.com/ja-jp/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide#microsoft-365-common-and-office-online
次に サービスエンドポイント を有効化します。
対象の VM が存在する VNet / Subnet に Microsoft Entra ID (旧AAD) の サービスエンドポイントを設定する
1 分程度で有効化されます。
対象 の VM のルーティングを確認します。
対象の VM → ネットワーク → NIC → 有効なルート 、より確認可能。
黄色ハイライト:サービスエンドポイントの構成によって自動的に追加されたもの
水色ハイライト: UDR で手動で追加したもの
0.0.0.0/0 より、黄色ハイライトの方が具体的なプレフィックスを指定しているので黄色ハイライトのルート(=Microsoft Entra ID のサービスエンドポイントルート) が優先されるはず。
Microsoft Entra ID への疎通確認
想定通り 以下の両方のコマンドが通ることを確認します。
tnc -port 443 login.windows.net
はい、無事にサービスエンドポイントが構成されて機能していることが分かりました✨