「AzureのVMに外部からアクセスしたいけど、IPアドレスがよく分からない」 「Microsoft 365を使うのに、どのIPを許可すればいいの?」 「グローバルIPって高いんじゃない?料金が心配…」 「セキュリティ的に大丈夫なの?」
こんな疑問や不安、ありませんか?
実は、MicrosoftのグローバルIP管理を理解すれば、クラウドサービスがもっと便利に、安全に使えるようになるんです!
Azureの仮想マシンに固定IPを割り当てたり、ファイアウォールでMicrosoft 365を適切に許可したり… すべてグローバルIPの知識で解決できます。
この記事を読めば、MicrosoftのグローバルIPを完全に理解して、実務で活用できるようになりますよ!
グローバルIPアドレスの基本を理解しよう
グローバルIPとプライベートIPの違い
まず基本から押さえましょう。
グローバルIPアドレス(パブリックIP):
- インターネット上で一意のアドレス
- 世界中からアクセス可能
- 例:20.194.XX.XX(Azure)
- ISPやクラウド事業者が管理
プライベートIPアドレス:
- 内部ネットワークのみで使用
- 例:10.0.0.X、192.168.X.X
- 外部から直接アクセス不可
- 組織内で自由に割り当て
なぜグローバルIPが必要?
クラウド時代には欠かせない理由があります。
必要になる場面:
- Webサーバーの公開
- リモートアクセス(RDP、SSH)
- VPN接続の確立
- API サービスの提供
- メール送信(送信元の信頼性)
Azure のグローバルIP(パブリックIP)管理
パブリックIPアドレスの種類
Azureでは2種類のパブリックIPが利用できます。
🔄 動的(Dynamic)IP:
- VMの起動時に自動割り当て
- 停止すると解放される
- コストが安い
- 開発・テスト環境向き
🔒 静的(Static)IP:
- 固定のIPアドレス
- VMを停止しても保持
- DNSと紐づけやすい
- 本番環境向き
パブリックIPの作成と割り当て
Azure PortalでパブリックIPを作成する手順です。
作成手順:
- Azure Portalにサインイン
- 「リソースの作成」をクリック
- 「パブリックIPアドレス」を検索
- 「作成」をクリック
設定項目:
名前: my-public-ip
IPバージョン: IPv4
SKU: Standard
階層: Regional
割り当て: 静的
アイドルタイムアウト: 4分
DNSラベル: myapp-server(任意)
- リソースグループとリージョンを選択
- 「確認および作成」→「作成」
仮想マシンへの割り当て
作成したパブリックIPをVMに割り当てます。
割り当て方法:
新規VM作成時:
- VM作成画面の「ネットワーク」タブ
- 「パブリックIP」で新規作成または既存を選択
- 静的/動的を選択
既存VMへの追加:
- VMの「ネットワーク」設定
- 「ネットワークインターフェイス」を選択
- 「IP構成」→「追加」
- パブリックIPを関連付け
Microsoft 365のIPアドレス範囲
なぜMicrosoft 365のIP範囲を知る必要がある?
企業のネットワークセキュリティに必須です。
知っておくべき理由:
- ファイアウォールの設定
- プロキシサーバーの除外設定
- ネットワーク帯域の最適化
- セキュリティ監視の効率化
- トラブルシューティング
IP範囲の確認方法
Microsoft 365のIPアドレスは定期的に更新されます。
確認方法1:公式Webサイト
- aka.ms/o365endpoints にアクセス
- 「Worldwide」を選択
- JSON形式でダウンロード
確認方法2:PowerShell
# Microsoft 365 エンドポイントを取得
$endpoints = Invoke-RestMethod -Uri "https://endpoints.office.com/endpoints/worldwide?clientrequestid=b10c5ed1-bad1-445f-b386-b919946339a7"
# IP範囲を表示
$endpoints | Where-Object {$_.ips} | Select-Object serviceArea, ips
主要サービスのIP範囲
サービスごとに異なるIP範囲があります。
Exchange Online:
- 送信: 40.92.0.0/15, 40.107.0.0/16
- 受信: 別途MXレコードで確認
SharePoint Online / OneDrive:
- 13.107.136.0/22
- 40.108.128.0/17
- リージョンによって異なる
Teams:
- 13.107.64.0/18
- 52.112.0.0/14
- 52.122.0.0/15
Azureサービスの送信IPアドレス
Azure App ServiceのアウトバウンドIP
App Serviceから外部への通信時のIPアドレスです。
確認方法:
- App Serviceリソースを開く
- 「プロパティ」を選択
- 「送信IPアドレス」を確認
複数のIPが表示されます(ロードバランサーのため)。
PowerShellでの確認:
# App Serviceの送信IP確認
$app = Get-AzWebApp -ResourceGroupName "myRG" -Name "myapp"
$app.OutboundIpAddresses
Azure FunctionsのIPアドレス
関数アプリの送信IPも重要です。
固定IPが必要な場合:
- NAT Gatewayを使用
- VNet統合を設定
- 静的パブリックIPを割り当て
セキュリティベストプラクティス
ネットワークセキュリティグループ(NSG)の設定
パブリックIPへのアクセスを制限しましょう。
推奨設定:
# SSH/RDPアクセスの制限
優先度: 100
名前: Allow-SSH-From-Office
ソース: 特定のIPアドレス(会社のIP)
プロトコル: TCP
ポート: 22 (SSH) / 3389 (RDP)
アクション: 許可
# その他すべて拒否
優先度: 4096
名前: Deny-All
ソース: Any
プロトコル: Any
ポート: Any
アクション: 拒否
Azure Firewallの活用
より高度なセキュリティが必要な場合。
Azure Firewallの利点:
- 完全管理型ファイアウォール
- FQDN(ドメイン名)での制御
- 脅威インテリジェンス
- 一元的なログ管理
料金体系と最適化
パブリックIPの料金
コストを理解して適切に管理しましょう。
料金体系(2024年現在の目安):
静的IPアドレス:
- Basic SKU: 約0.5円/時間
- Standard SKU: 約0.6円/時間
- 月額: 約400-500円
データ転送料金:
- 送信(アウトバウンド): 最初の5GBまで無料
- 5GB~10TB: 約14円/GB
- 受信(インバウンド): 無料
コスト削減の方法
無駄なコストを削減するテクニック。
削減方法:
- 使わない時はVMを停止(割り当て解除)
- 開発環境は動的IPを使用
- Azure Bastionでパブリック IP削減
- Load Balancerで複数VMを1つのIPに
- 不要なIPは即削除
トラブルシューティング
よくある問題と解決方法
問題1:パブリックIPでアクセスできない
確認事項:
- NSGで該当ポートが許可されているか
- VMのファイアウォール設定
- サービスが正しく起動しているか
- DNSの伝播待ち(最大48時間)
問題2:IPアドレスが変わってしまった
解決策:
- 静的IPに変更
- Azure DNS使用
- Dynamic DNSサービス利用
問題3:Microsoft 365に接続できない
確認事項:
- 最新のIP範囲を確認
- プロキシ設定の除外
- SSL検査の除外設定
- ExpressRouteの設定確認
実践例:WebサーバーをグローバルIPで公開
手順を追って設定
実際にWebサーバーを公開する例です。
1. VMの作成:
# Azure CLIでVM作成
az vm create \
--resource-group myRG \
--name myWebServer \
--image UbuntuLTS \
--public-ip-address myPublicIP \
--public-ip-address-allocation static
2. Webサーバーのインストール:
# Apache/Nginxインストール
sudo apt update
sudo apt install nginx -y
sudo systemctl start nginx
3. NSGでHTTP/HTTPS許可:
# ポート80/443を開放
az vm open-port --port 80 --resource-group myRG --name myWebServer
az vm open-port --port 443 --resource-group myRG --name myWebServer --priority 901
4. DNS設定:
- ドメインのAレコードをパブリックIPに向ける
- Azure DNSゾーンも利用可能
IPアドレス管理の自動化
Azure Resource Manager(ARM)テンプレート
インフラのコード化で管理を効率化。
ARMテンプレート例:
{
"type": "Microsoft.Network/publicIPAddresses",
"apiVersion": "2020-11-01",
"name": "[parameters('publicIPName')]",
"location": "[parameters('location')]",
"sku": {
"name": "Standard"
},
"properties": {
"publicIPAllocationMethod": "Static",
"dnsSettings": {
"domainNameLabel": "[parameters('dnsLabel')]"
}
}
}
PowerShellでの一括管理
複数のIPを効率的に管理。
# すべてのパブリックIPを取得
$publicIPs = Get-AzPublicIpAddress
# 未使用のIPを検出
$unusedIPs = $publicIPs | Where-Object {$_.IpConfiguration -eq $null}
# 未使用IPを削除
$unusedIPs | Remove-AzPublicIpAddress -Force
よくある質問(FAQ)
Q1: IPv6は使える?
A: はい、AzureではIPv6もサポートしています。デュアルスタック構成も可能です。
Q2: 1つのVMに複数のパブリックIPを割り当てられる?
A: はい、複数のネットワークインターフェイスまたはIP構成を使用して可能です。
Q3: オンプレミスの固定IPをAzureで使える?
A: いいえ、AzureのIPアドレス範囲から割り当てられます。BYOIP(Bring Your Own IP)は限定的にサポート。
Q4: Microsoft 365のIP範囲はどのくらいの頻度で変わる?
A: 月に1-2回程度更新されます。RSSフィードで更新通知を受け取れます。
Q5: パブリックIPなしでインターネットアクセスできる?
A: はい、NAT GatewayやAzure Firewallを経由すれば可能です。
監視とログ分析
Azure Monitorでの監視
IPアドレスの使用状況を監視しましょう。
監視項目:
- DDoS攻撃の検知
- データ転送量
- 接続数
- パケットドロップ率
アラート設定例:
メトリック: DDoS攻撃の可能性
しきい値: 1より大きい
期間: 5分
アクション: メール通知
Log Analyticsでの分析
詳細なログ分析で問題を早期発見。
クエリ例:
// 過去24時間の接続元IPトップ10
AzureDiagnostics
| where TimeGenerated > ago(24h)
| where ResourceType == "PUBLICIPADDRESSES"
| summarize count() by CallerIpAddress
| top 10 by count_
まとめ:グローバルIPを使いこなして、クラウドを最大活用!
MicrosoftのグローバルIP管理について、基本から実践まで解説してきました。
この記事のポイント: ✅ Azureでは静的/動的パブリックIPが選択可能 ✅ Microsoft 365のIP範囲は定期的に確認が必要 ✅ NSGとAzure Firewallで適切なセキュリティ対策 ✅ コスト最適化で月額料金を削減 ✅ 自動化で効率的な管理を実現
今すぐやるべきこと:
- 現在のパブリックIP使用状況を確認
- 不要なIPアドレスを削除
- NSGのルールを見直し
- Microsoft 365のIP範囲を最新化
- 監視アラートを設定
最後にアドバイス: グローバルIPは「クラウドへの入り口」です。 適切に管理すれば、セキュアで効率的なクラウド環境が構築できます。
料金を気にして避けがちですが、必要な場所には投資する価値があります。 この記事を参考に、最適なIP管理を実現してください!
セキュリティとコストのバランスを取りながら、クラウドのメリットを最大限に活用しましょう!
コメント