2026年3月31日、Azureはデフォルトのアウトバウンド接続を変更します。

お知らせ

Microsoft Azureは、2026年3月31日以降に作成された新しい仮想マシン（VM）のインターネットへのデフォルトアクセスのサポートが終了することを最近発表しました。詳細については、機能更新: 新しく作成された仮想ネットワークのデフォルト動作はプライベートになりますをご覧ください。

この変更は既存のVMには影響しませんが、この日以降に構築されたVMは、アウトバウンドインターネットアクセスを許可するための明示的な方法が必要になります。

この変更は、Azure仮想ネットワーク内のサブネットを特に対象としています。サブネットに接続されたリソースは、トラフィックを送信するためにサブネットで定義されたアウトバウンドアクセスを使用します。期限前に作成されたすべてのサブネットには、インターネットへの組み込みルートがあり、VMや他のリソースがインターネットや他のパブリックエンドポイントに接続できるようになっています。しかし、期限後に作成されたサブネットには、デフォルトでこの機能が有効になっていません。この変更は、すべてのクラウドリソースがデフォルトで安全であることを確保するというマイクロソフトのビジョンに沿ったものです。これを有効にするために、Azureは、インスタンスレベルのパブリックIP、Azure Load Balancerのアウトバウンドルール、Azure NAT Gateway、ベンダー提供またはAzureネイティブのファイアウォールソリューションなど、VMがパブリックエンドポイントに接続できるようにするためのいくつかのオプションを提供しています。

顧客への影響

ほとんどの大規模およびエンタープライズ顧客においては、通常、Azureまたはサードパーティのファイアウォールを介してアウトバウンドトラフィックを管理するためのネットワークソリューションが整っています。これらの顧客は、締切後にアウトバウンドアクセスを必要とするすべてのリソースサブネットがこのファイアウォールで定義されていることを確認する必要があります。

中小企業（SME）顧客の場合、Azureまたはサードパーティのファイアウォールが設置されていない可能性があります。そのような場合、Azure NAT Gatewayが最も適したソリューションである可能性が高く、単一の仮想ネットワーク内のすべてのサブネットでトラフィックを定義されたSNATパブリックIPアドレス経由でルーティングするために使用できます。

インスタンスレベルのパブリックIPやLoad Balancerのアウトバウンドルールは、特に本番ワークロードに対して重大なセキュリティ上の懸念を引き起こす可能性があるため、お勧めしません。

課題

すべての顧客にとっての一つの課題は、どのサービスがアウトバウンドインターネットアクセスを必要とするかを判断することです。VMが内部またはAzureサービスにのみアクセスする必要がある場合もありますが、多くのサービス、特にマイクロソフト管理のサービスは、パブリックエンドポイントを介してのみアクセス可能です。AzureのPaaSサービス、例えばストレージ、Key Vault、SQLなどは、プライベートエンドポイントが設定されていない場合、このカテゴリに該当することがよくあります。これは、Entra ID Joinを使用しているAVD管理者にとって特に重要です。Entraの参加プロセスは完全にパブリックエンドポイントに依存しており、インターネットアクセスがない場合、クラウド参加は失敗します。多くのVM拡張機能も、DSCやモニタリングエージェントなどのインターネットベースのエンドポイントに依存しています。これらのVM拡張機能は、アウトバウンド接続が設定されていない場合、デプロイに失敗し、自動化に支障が生じ、ホストのセットアップもできなくなります。このような場合、ホストが接続されているサブネットは、ビルドプロセスを完了するためにインターネットアクセスが必要です。

Nerdioがどのように支援できるか

Nerdio Managerは、NATゲートウェイを作成し、希望するサブネット（複数の場合も可）に接続するためのスクリプトアクションを提供します。

さらに、Nerdio Managerには、Azure仮想ネットワークおよびネットワークセキュリティグループ（NSG）をネイティブに作成し、リンクするためのネットワーク管理ツールがあります。詳細については、Azure 環境: リンクされたネットワークとリソースグループをご覧ください。

今後の見通し

Microsoftは、この変更が新規作成されたサブネットにのみ影響を与えると述べていますが、この変更は最終的にすべての既存のサブネットにも適用されると考えられています。したがって、Azure内のすべてのリソースに対して適切なソリューションを導入することは、長期的に見ても賢明です。アウトバウンドインターネットアクセスソリューションの設計と導入に関してご質問やご支援が必要な場合は、ご連絡の上、打ち合わせのご予約を承ります。