在防火墙或代理服务器上允许 Azure 门户 URL
为了优化你的网络与 Azure 门户及其服务之间的连接,建议将特定的 Azure 门户 URL 添加到允许列表。 此操作可改进局域网或广域网和 Azure 云之间的性能和连接性。
网络管理员会经常部署代理服务器、防火墙或其他设备,这样有助于确保用户访问 Internet 时的安全性并控制其访问方式。 旨在保护用户的规则有时候可能会阻止合法的与业务相关的 Internet 流量或降低其速度。 此流量包括你与 Azure 之间通过此处列出的 URL 进行的通信。
提示
若要帮助诊断这些域的网络连接问题,请检查 https://portal.azure.cn/selfhelp 。
可以在网络安全组、Azure 防火墙和用户定义的路由中使用服务标记来定义网络访问控制。 创建安全规则和路由时,可使用服务标记代替完全限定的域名 (FQDN) 或特定的 IP 地址。
用于跳过代理的 Azure 门户 URL
可用于 Azure 门户的 URL 终结点特定于部署组织的 Azure 云。 若要允许发送到这些终结点的网络流量绕过限制,请选择你的云,然后将 URL 列表添加到代理服务器或防火墙。 除了列表里列出的,建议不要再添加任何其他与门户相关的 URL,不过你可能需要添加与其他 Azure 产品和服务相关的 URL。 根据所使用的服务,可能不需要在允许列表中包含所有这些 URL。
重要
在终结点的开头包含通配符 (*) 将允许所有子域。 对于具有通配符的终结点,我们还建议添加不带通配符的 URL。 例如,应同时添加 *.portal.azure.cn 和 portal.azure.cn 以确保允许在有或没有子域的情况下访问域。
请避免向此处列出的尚未包含通配符的终结点添加通配符符号。 相反,如果你标识特定方案所需的终结点的其他子域,建议只允许该特定子域。
提示
访问 Azure 门户所需的服务标记(包括身份验证和资源列表)为 AzureActiveDirectory、AzureResourceManager 和 AzureFrontDoor.Frontend。 访问其他服务可能需要其他权限,如下所述。
但是,除了访问门户的通信之外,还可能允许不必要的通信。 如果需要精细控制,则需要基于 FQDN 的访问控制,例如 Azure 防火墙。
Azure 门户身份验证
*.login.microsoftonline.com
*.aadcdn.msftauth.net
*.aadcdn.msftauthimages.net
*.aadcdn.msauthimages.net
*.logincdn.msftauth.net
*.login.live.com
*.msauth.net
*.aadcdn.microsoftonline-p.com
*.microsoftonline-p.com
Azure 门户框架
*.portal.azure.com
*.hosting.portal.azure.net
*.reactblade.portal.azure.net
*.management.azure.com
*.ext.azure.com
*.graph.windows.net
*.graph.microsoft.com
帐户数据
*.account.microsoft.com
*.bmx.azure.com
*.subscriptionrp.trafficmanager.net
*.signup.azure.com
常规 Azure 服务和文档
aka.ms (Microsoft short URL)
*.asazure.windows.net (Analysis Services)
*.azconfig.io (AzConfig Service)
*.aad.azure.com (Microsoft Entra ID)
*.aadconnecthealth.azure.com (Microsoft Entra ID)
ad.azure.com (Microsoft Entra ID)
adf.azure.com (Azure Data Factory)
api.aadrm.com (Microsoft Entra ID)
api.loganalytics.io (Log Analytics Service)
api.azrbac.mspim.azure.com (Microsoft Entra ID)
*.applicationinsights.azure.com (Application Insights Service)
appservice.azure.com (Azure App Services)
*.arc.azure.net (Azure Arc)
asazure.windows.net (Analysis Services)
bastion.azure.com (Azure Bastion Service)
batch.azure.com (Azure Batch Service)
catalogapi.azure.com (Azure Marketplace)
catalogartifact.azureedge.net (Azure Marketplace)
changeanalysis.azure.com (Change Analysis)
cognitiveservices.azure.com (Cognitive Services)
config.office.com (Microsoft Office)
cosmos.azure.com (Azure Cosmos DB)
*.database.windows.net (SQL Server)
datalake.azure.net (Azure Data Lake Service)
dev.azure.com (Azure DevOps)
dev.azuresynapse.net (Azure Synapse)
digitaltwins.azure.net (Azure Digital Twins)
learn.microsoft.com (Azure documentation)
elm.iga.azure.com (Microsoft Entra ID)
eventhubs.azure.net (Azure Event Hubs)
functions.azure.com (Azure Functions)
gallery.azure.com (Azure Marketplace)
go.microsoft.com (Microsoft documentation placeholder)
help.kusto.windows.net (Azure Kusto Cluster Help)
identitygovernance.azure.com (Microsoft Entra ID)
iga.azure.com (Microsoft Entra ID)
informationprotection.azure.com (Microsoft Entra ID)
kusto.windows.net (Azure Kusto Clusters)
learn.microsoft.com (Azure documentation)
logic.azure.com (Logic Apps)
marketplacedataprovider.azure.com (Azure Marketplace)
marketplaceemail.azure.com (Azure Marketplace)
media.azure.net (Azure Media Services)
monitor.azure.com (Azure Monitor Service)
*.msidentity.com (Microsoft Entra)
mspim.azure.com (Microsoft Entra ID)
network.azure.com (Azure Network)
purview.azure.com (Azure Purview)
quantum.azure.com (Azure Quantum Service)
rest.media.azure.net (Azure Media Services)
search.azure.com (Azure Search)
servicebus.azure.net (Azure Service Bus)
servicebus.windows.net (Azure Service Bus)
shell.azure.com (Azure Command Shell)
sphere.azure.net (Azure Sphere)
azure.status.microsoft (Azure Status)
storage.azure.com (Azure Storage)
storage.azure.net (Azure Storage)
vault.azure.net (Azure Key Vault Service)
ux.console.azure.com (Azure Cloud Shell)
注意
发往这些终结点的流量使用标准的 TCP 端口:80 (HTTP) 和 443 (HTTPS)。