ネットワークセキュリティグループの作成、変更、削除

[アーティクル]
10/01/2024

ネットワークセキュリティグループ (NSG) でセキュリティ規則を使用すると、仮想ネットワークサブネットとネットワークインターフェイスに出入りするネットワークトラフィックの種類をフィルター処理できます。 NSG の詳細については、ネットワークセキュリティグループの概要に関するページを参照してください。次に、ネットワークトラフィックのフィルター処理のチュートリアルを完了して、NSG について少し経験してみてください。

前提条件

Azure アカウントとアクティブなサブスクリプションをお持ちでない場合は、無料で作成できます。この記事の残りの部分を始める前に、次のタスクのいずれかを完了してください。

ポータルユーザー: Azure アカウントで Azure Portal にサインインします。
PowerShell ユーザー: Azure Cloud Shell でコマンドを実行するか、コンピューターからローカルで PowerShell を実行します。 Cloud Shell は無料のインタラクティブシェルです。この記事の手順は、Azure Cloud Shell を使って実行することができます。一般的な Azure ツールがプレインストールされており、アカウントで使用するように構成されています。 Cloud Shell のブラウザータブで、[環境の選択] ドロップダウンリストを見つけます。まだ選択されていない場合は、[PowerShell] を選択します。

PowerShell をローカルで実行している場合は、Azure PowerShell モジュールバージョン 1.0.0 以降を使用してください。インストールされているバージョンを確認するには、Get-Module -ListAvailable Az.Network を実行します。インストールまたはアップグレードする必要がある場合は、Azure PowerShell モジュールのインストールに関するページを参照してください。 Connect-AzAccount を実行して Azure にサインインします。
Azure CLI ユーザー: Cloud Shell でコマンドを実行するか、コンピューターからローカルで Azure CLI を実行します。 Cloud Shell は無料のインタラクティブシェルです。この記事の手順は、Azure Cloud Shell を使って実行することができます。一般的な Azure ツールがプレインストールされており、アカウントで使用するように構成されています。 Cloud Shell のブラウザータブで、[環境の選択] ドロップダウンリストを見つけます。まだ選択されていない場合は、[Bash] を選択します。

Azure CLI をローカルで実行している場合は、Azure CLI バージョン 2.0.28 以降を使用してください。インストールされているバージョンを確認するには、az --version を実行します。インストールまたはアップグレードが必要な場合は、Azure CLI のインストールに関するページを参照してください。 az login を実行して Azure にサインインします。

適切なアクセス許可を持つネットワーク共同作成者ロールまたはカスタムロールを割り当てます。

ネットワークセキュリティグループを操作する

NSG の作成、すべて表示、詳細表示、変更、削除を行うことができます。また、NSG のネットワークインターフェイスまたはサブネットへの関連付けや、関連付けの解除をすることもできます。

ネットワークセキュリティグループの作成

Azure リージョンおよびサブスクリプションごとに作成できる NSG の数は制限されています。詳しくは、「Azure サブスクリプションとサービスの制限、クォータ、制約」をご覧ください。

ポータルの上部にある検索ボックスに、「ネットワークセキュリティグループ」と入力します。検索結果から [ネットワークセキュリティグループ] を選択します。
[+ 作成] を選択します。

[ネットワークセキュリティグループの作成] ページの [基本] タブで、次の値を入力または選択します。

設定	アクション
プロジェクトの詳細
サブスクリプション	Azure サブスクリプションを選択します。
Resource group	既存のリソースグループを選択するか、[新規作成] を選択して新しく作成します。この例では、`myResourceGroup` リソースグループを使用します。
インスタンスの詳細
ネットワークセキュリティグループ名	作成する NSG の名前を入力します。
リージョン	希望するリージョンを選択します。

Azure portal での NSG の作成を示すスクリーンショット。

[Review + create](レビュー + 作成) を選択します。
"検証に成功しました" というメッセージが表示されたら、 [作成] を選択します。

New-AzNetworkSecurityGroup を使用して、米国東部リージョンに myNSG という名前の NSG を作成します。 myNSG という名前の NSG は、既存の myResourceGroup リソースグループに作成されます。

New-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup  -Location  eastus

az network nsg create を使用して、既存の myResourceGroup リソースグループに myNSG という名前の NSG を作成します。

az network nsg create --resource-group MyResourceGroup --name myNSG

すべてのネットワークセキュリティグループを表示する

ポータルの上部にある検索ボックスに、「ネットワークセキュリティグループ」と入力します。検索結果で [ネットワークセキュリティグループ] を選択すると、サブスクリプション内の NSG の一覧が表示されます。

Azure portal でのネットワークセキュリティグループの一覧を示すスクリーンショット。

Get-AzNetworkSecurityGroup を使用して、サブスクリプション内のすべての NSG を一覧表示します。

Get-AzNetworkSecurityGroup | format-table Name, Location, ResourceGroupName, ProvisioningState, ResourceGuid

az network nsg list を使用して、サブスクリプション内のすべての NSG を一覧表示します。

az network nsg list --out table

ネットワークセキュリティグループの詳細を表示する

ポータルの上部にある検索ボックスに「ネットワークセキュリティグループ」と入力し、検索結果の "ネットワークセキュリティグループ" を選びます。
NSG の名前を選択します。
- [設定] で、NSG が関連付けられている [受信セキュリティ規則]、[送信セキュリティ規則]、[ネットワークインターフェイス]、[サブネット] を表示します。
- [監視] で、[診断設定] を有効または無効にします。詳細については、「ネットワークセキュリティグループのリソースログ」を参照してください。
- [ヘルプ] で、[有効なセキュリティ規則] を表示します。詳細については、「仮想マシン (VM) のネットワークトラフィックフィルターの問題を診断する」を参照してください。

記載されている一般的な Azure 設定の詳細については、次の記事を参照してください。

Get-AzNetworkSecurityGroup を使用して、NSG の詳細を表示します。

Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup

記載されている一般的な Azure 設定の詳細については、次の記事を参照してください。

az network nsg show を使用して、NSG の詳細を表示します。

az network nsg show --resource-group myResourceGroup --name myNSG

記載されている一般的な Azure 設定の詳細については、次の記事を参照してください。

ネットワークセキュリティグループを変更する

NSG に対する最も一般的な変更は次のとおりです。

ネットワークインターフェイスに対してネットワークセキュリティグループを関連付ける、または関連付けを解除する
サブネットに対してネットワークセキュリティグループを関連付ける、または関連付けを解除する
セキュリティ規則を作成する
セキュリティ規則を削除する

ネットワークインターフェイスに対してネットワークセキュリティグループを関連付ける、または関連付けを解除する

NSG の関連付けと関連付けの解除の詳細については、「ネットワークセキュリティグループを関連付けるか関連付けを解除する」を参照してください。

サブネットに対してネットワークセキュリティグループを関連付ける、または関連付けを解除する

ポータルの上部にある検索ボックスに、「ネットワークセキュリティグループ」と入力します。次に、検索結果で [ネットワークセキュリティグループ] を選択します。
NSG の名前を選択してから、[サブネット] を選択します。
- NSG をサブネットに関連付けるには、[+関連付け] を選択します。次に、NSG を関連付ける仮想ネットワークとサブネットを選択します。 [OK] を選択します。
- NSG をサブネットから関連付けを解除するには、NSG を関連付け解除するサブネットの横にある 3 つのドットを選択し、[関連付けの解除] を選択します。 [はい] を選択します。

Set-AzVirtualNetworkSubnetConfig を使用して、サブネットに対する NSG の関連付けまたは関連付け解除を行います。

## Place the virtual network configuration into a variable. ##
$virtualNetwork = Get-AzVirtualNetwork -Name myVNet -ResourceGroupName myResourceGroup
## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Update the subnet configuration. ##
Set-AzVirtualNetworkSubnetConfig -Name mySubnet -VirtualNetwork $virtualNetwork -AddressPrefix 10.0.0.0/24 -NetworkSecurityGroup $networkSecurityGroup
## Update the virtual network. ##
Set-AzVirtualNetwork -VirtualNetwork $virtualNetwork

az network vnet subnet update を使用して、サブネットに対する NSG の関連付けまたは関連付け解除を行います。

az network vnet subnet update --resource-group myResourceGroup --vnet-name myVNet --name mySubnet --network-security-group myNSG

ネットワークセキュリティグループを削除する

NSG がサブネットまたはネットワークインターフェイスに関連付けられている場合は、削除できません。 NSG を削除する前に、すべてのサブネットおよびネットワークインターフェイスから NSG の関連付けを解除します。

ポータルの上部にある検索ボックスに、「ネットワークセキュリティグループ」と入力します。次に、検索結果で [ネットワークセキュリティグループ] を選択します。
削除する NSG を選択します。
削除を選択し、確認のダイアログボックスではいを選択します。

Remove-AzNetworkSecurityGroup を使用して、NSG を削除します。

Remove-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup

az network nsg delete を使用して、NSG を削除します。

az network nsg delete --resource-group myResourceGroup --name myNSG

セキュリティ規則を操作する

NSG には 0 個以上のセキュリティ規則が含まれます。セキュリティ規則の作成、すべて表示、詳細の表示、変更、削除を行うことができます。

セキュリティ規則を作成する

各 Azure の場所とサブスクリプションに対して作成できる NSG ごとの規則の数は制限されています。詳しくは、「Azure サブスクリプションとサービスの制限、クォータ、制約」をご覧ください。

ポータルの上部にある検索ボックスに、「ネットワークセキュリティグループ」と入力します。次に、検索結果で [ネットワークセキュリティグループ] を選択します。
セキュリティ規則を追加する NSG の名前を選択します。
[受信セキュリティ規則] または [送信セキュリティ規則] を選びます。

既存の規則が一覧表示されます (追加していないものが含まれることもあります)。 NSG を作成すると、その中にいくつかの既定のセキュリティ規則が作成されます。詳細については、「既定のセキュリティ規則」を参照してください。既定の規則は削除できませんが、優先順位の高い規則を使用してオーバーライドできます。

[+ 追加] を選びます。次の設定の値を選択または追加し、[追加] を選択します。

設定	値	詳細
ソース	つぎのいずれかです。 [任意] [IP アドレス] マイ IP アドレスサービスタグアプリケーションセキュリティグループ	[IP アドレス] を選択した場合は、[ソース IP アドレス/CIDR 範囲] も指定する必要があります。 [サービスタグ] を選択した場合は、[ソースサービスタグ] も選択する必要があります。 [アプリケーションセキュリティグループ] を選択した場合は、既存のアプリケーションセキュリティグループも選択する必要があります。 [ソース] と [宛先] の両方に対して [アプリケーションセキュリティグループ] を選択した場合は、両方のアプリケーションセキュリティグループ内のネットワークインターフェイスが同じ仮想ネットワーク内にある必要があります。アプリケーションセキュリティグループの作成方法を参照してください。
ソース IP アドレス/CIDR 範囲	IP アドレスおよびクラスレスドメイン間ルーティング (CIDR) 範囲のコンマ区切りリスト	[ソース] を [IP アドレス] に設定すると、この設定が表示されます。単一の値またはコンマで区切った複数の値のリストを指定する必要があります。複数の値の例は、`10.0.0.0/16, 192.188.1.1` です。指定できる値の数には制限があります。詳しくは、Azure での制限に関するページをご覧ください。指定した IP アドレスが Azure VM に割り当てられている場合は、そのパブリック IP アドレスではなく、そのプライベート IP アドレスを指定します。 Azure によってセキュリティ規則が処理されるのは、受信セキュリティ規則の場合はパブリック IP アドレスがプライベート IP アドレスに変換された後、送信規則の場合はプライベート IP アドレスがパブリック IP アドレスに変換される前です。 Azure の IP アドレスの詳細については、「パブリック IP アドレス」と「プライベート IP アドレス」を参照してください。
ソースサービスタグ	ドロップダウンリストからのサービスタグ	この設定は、セキュリティ規則の [ソース] を [サービスタグ] に設定した場合に表示されます。サービスタグは、IP アドレスのカテゴリに対する定義済みの識別子です。利用可能なサービスタグと各タグが表していることの詳細については、「サービスタグ」を参照してください。
ソースアプリケーションのセキュリティグループ	既存のアプリケーションのセキュリティグループ	この設定は、 [ソース] を [アプリケーションのセキュリティグループ] に設定した場合に表示されます。ネットワークインターフェイスと同じリージョンに存在するアプリケーションのセキュリティグループを選択します。アプリケーションセキュリティグループの作成方法を参照してください。
ソースポート範囲	つぎのいずれかです。単一のポート (例: `80`) ポートの範囲 (例: `1024-65535`) 単一つのポートまたはポート範囲 (またはその両方) のコンマ区切りのリスト (例: `80, 1024-65535`) 任意のポートでトラフィックを許可する場合はアスタリスク (`*`)	この設定では、規則でトラフィックを許可または拒否するポートを指定します。指定できるポートの数には制限があります。詳しくは、Azure での制限に関するページをご覧ください。
宛先	つぎのいずれかです。 [任意] [IP アドレス] サービスタグアプリケーションセキュリティグループ	[IP アドレス] 選択した場合は、[宛先 IP アドレス/CIDR 範囲] も指定する必要があります。 [サービスタグ] を選択した場合は、[宛先サービスタグ] も選択する必要があります。 [アプリケーションセキュリティグループ] を選択した場合は、既存のアプリケーションセキュリティグループも選択する必要があります。 [ソース] と [宛先] の両方に対して [アプリケーションセキュリティグループ] を選択した場合は、両方のアプリケーションセキュリティグループ内のネットワークインターフェイスが同じ仮想ネットワーク内にある必要があります。アプリケーションセキュリティグループの作成方法を参照してください。
宛先 IP アドレス/CIDR 範囲	IP アドレスと CIDR 範囲のコンマ区切りのリスト	[宛先] を [IP アドレス] に変更すると、この設定が表示されます。 [ソース] や [ソース IP アドレス/CIDR 範囲] と同じように、単一のアドレス、複数のアドレス、または範囲を指定できます。指定できる数には限りがあります。詳しくは、Azure での制限に関するページをご覧ください。指定した IP アドレスが Azure VM に割り当てられている場合は、そのパブリック IP アドレスではなく、必ずそのプライベート IP アドレスを指定します。 Azure によってセキュリティ規則が処理されるのは、受信セキュリティ規則の場合はパブリック IP アドレスがプライベート IP アドレスに変換された後、送信規則の場合はプライベート IP アドレスがパブリック IP アドレスに変換される前です。 Azure の IP アドレスの詳細については、「パブリック IP アドレス」と「プライベート IP アドレス」を参照してください。
宛先サービスタグ	ドロップダウンリストからのサービスタグ	この設定は、セキュリティ規則の [宛先] を [サービスタグ] に設定した場合に表示されます。サービスタグは、IP アドレスのカテゴリに対する定義済みの識別子です。利用可能なサービスタグと各タグが表していることの詳細については、「サービスタグ」を参照してください。
宛先アプリケーションのセキュリティグループ	既存のアプリケーションのセキュリティグループ	この設定は、 [宛先] を [アプリケーションのセキュリティグループ] に設定した場合に表示されます。ネットワークインターフェイスと同じリージョンに存在するアプリケーションのセキュリティグループを選択します。アプリケーションセキュリティグループの作成方法を参照してください。
サービス	ドロップダウンリストの宛先プロトコル	この設定では、セキュリティ規則の宛先プロトコルとポート範囲を指定します。 [RDP] などの定義済みサービスを選択するか、[カスタム] を選択して [宛先ポート範囲] でポート範囲を指定できます。
宛先ポート範囲	つぎのいずれかです。単一のポート (例: `80`) ポートの範囲 (例: `1024-65535`) 単一つのポートまたはポート範囲 (またはその両方) のコンマ区切りのリスト (例: `80, 1024-65535`) 任意のポートでトラフィックを許可する場合はアスタリスク (`*`)	[ソースポート範囲] と同様に、1 つまたは複数のポートおよび範囲を指定できます。指定できる数には限りがあります。詳しくは、Azure での制限に関するページをご覧ください。
プロトコル	[任意] 、 [TCP] 、 [UDP] 、または [ICMP]	規則を、伝送制御プロトコル (TCP)、ユーザーデータグラムプロトコル (UDP)、またはインターネット制御メッセージプロトコル (ICMP) に制限できます。既定では、規則はすべてのプロトコル ([すべて]) に適用されます。
操作	[許可] または [拒否]	この設定では、指定したソースと宛先の構成に対して、この規則でアクセスを許可するか拒否するかを指定します。
優先順位	NSG 内のすべてのセキュリティ規則に対して一意である 100 から 4,096 の値	Azure では、優先順位の順序でセキュリティ規則が処理されます。数値が小さいほど、優先度は高くなります。規則を作成するときに、間を空けて優先順位を指定することをお勧めします (100、200、300 など)。間を空けることにより、将来規則を追加しやすくなり、既存の規則よりも高いまたは低い優先順位を与えることができます。
名前	NSG 内の規則の一意の名前	名前の最大長は 80 文字です。先頭は文字または数字、末尾は文字、数字、またはアンダースコアでなければなりません。名前に使用できるのは、文字、数字、アンダースコア、ピリオド、またはハイフンのみです。
説明	テキストの説明	必要に応じて、セキュリティ規則の説明文を指定できます。説明は 140 文字以内にする必要があります。

Azure portal でのネットワークセキュリティグループへのセキュリティ規則の追加を示すスクリーンショット。

Add-AzNetworkSecurityRuleConfig を使用して、NSG 規則を作成します。

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Create the security rule. ##
Add-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup `
-Description "Allow RDP" -Access Allow -Protocol Tcp -Direction Inbound -Priority 300 `
-SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
## Updates the network security group. ##
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

az network nsg rules create を使用して、NSG 規則を作成します。

az network nsg rule create --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule --priority 300 \
    --destination-address-prefixes '*' --destination-port-ranges 3389 --protocol Tcp --description "Allow RDP"

すべてのセキュリティ規則を表示する

NSG には 0 個以上の規則が含まれます。規則を表示するときの情報の一覧の詳細については、「セキュリティ規則」を参照してください。

ポータルの上部にある検索ボックスに、「ネットワークセキュリティグループ」と入力します。次に、検索結果で [ネットワークセキュリティグループ] を選択します。
規則を表示する NSG の名前を選択します。
[受信セキュリティ規則] または [送信セキュリティ規則] を選びます。

一覧には、作成した規則と NSG の既定のセキュリティ規則が含まれています。

Get-AzNetworkSecurityRuleConfig を使用して、NSG のセキュリティ規則を表示します。

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## List security rules of the network security group in a table. ##
Get-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $networkSecurityGroup | format-table Name, Protocol, Access, Priority, Direction, SourcePortRange, DestinationPortRange, SourceAddressPrefix, DestinationAddressPrefix

az network nsg rules list を使用して、NSG のセキュリティ規則を表示します。

az network nsg rule list --resource-group myResourceGroup --nsg-name myNSG

セキュリティ規則の詳細を表示する

ポータルの上部にある検索ボックスに、「ネットワークセキュリティグループ」と入力します。次に、検索結果で [ネットワークセキュリティグループ] を選択します。
規則を表示する NSG の名前を選択します。
[受信セキュリティ規則] または [送信セキュリティ規則] を選びます。
詳細を表示する規則を選択します。すべての設定の詳細については、セキュリティ規則の設定に関する記事をご覧ください。

Note

この手順は、カスタムセキュリティ規則にのみ適用されます。既定のセキュリティ規則を選択した場合は機能しません。

Get-AzNetworkSecurityRuleConfig を使用して、セキュリティ規則の詳細を表示します。

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## View details of the security rule. ##
Get-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup

Note

この手順は、カスタムセキュリティ規則にのみ適用されます。既定のセキュリティ規則を選択した場合は機能しません。

az network nsg rule show を使用して、セキュリティ規則の詳細を表示します。

az network nsg rule show --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule

Note

この手順は、カスタムセキュリティ規則にのみ適用されます。既定のセキュリティ規則を選択した場合は機能しません。

セキュリティ規則を変更する

ポータルの上部にある検索ボックスに、「ネットワークセキュリティグループ」と入力します。次に、検索結果で [ネットワークセキュリティグループ] を選択します。
規則を表示する NSG の名前を選択します。
[受信セキュリティ規則] または [送信セキュリティ規則] を選びます。
変更する規則を選択します。
必要に応じて設定を変更し、 [保存] を選択します。すべての設定の詳細については、セキュリティ規則の設定に関する記事をご覧ください。

Note

この手順は、カスタムセキュリティ規則にのみ適用されます。既定のセキュリティ規則を変更することは許可されていません。

Set-AzNetworkSecurityRuleConfig を使用して、NSG 規則を更新します。

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Make changes to the security rule. ##
Set-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup `
-Description "Allow RDP" -Access Allow -Protocol Tcp -Direction Inbound -Priority 200 `
-SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
## Updates the network security group. ##
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Note

この手順は、カスタムセキュリティ規則にのみ適用されます。既定のセキュリティ規則を変更することは許可されていません。

az network nsg rules update を使用して、NSG 規則を更新します。

az network nsg rule update --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule --priority 200

Note

この手順は、カスタムセキュリティ規則にのみ適用されます。既定のセキュリティ規則を変更することは許可されていません。

セキュリティ規則を削除する

ポータルの上部にある検索ボックスに、「ネットワークセキュリティグループ」と入力します。次に、検索結果で [ネットワークセキュリティグループ] を選択します。
規則を表示する NSG の名前を選択します。
[受信セキュリティ規則] または [送信セキュリティ規則] を選びます。
削除する規則を選択します。
[削除] を選択してから、 [はい] を選択します。

Note

この手順は、カスタムセキュリティ規則にのみ適用されます。既定のセキュリティ規則を削除することは許可されていません。

Remove-AzNetworkSecurityRuleConfig を使用して、NSG からセキュリティ規則を削除します。

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Remove the security rule. ##
Remove-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup
## Updates the network security group. ##
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Note

この手順は、カスタムセキュリティ規則にのみ適用されます。既定のセキュリティ規則を変更することは許可されていません。

az network nsg rules delete を使用して、NSG からセキュリティ規則を削除します。

az network nsg rule delete --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule

Note

この手順は、カスタムセキュリティ規則にのみ適用されます。既定のセキュリティ規則を変更することは許可されていません。

アプリケーションセキュリティグループを操作する

アプリケーションセキュリティグループには、0 個または複数個のネットワークインターフェイスが含まれます。詳細については、「アプリケーションセキュリティグループ」を参照してください。アプリケーションセキュリティグループ内のすべてのネットワークインターフェイスは、同じ仮想ネットワークに存在している必要があります。アプリケーションセキュリティグループにネットワークインターフェイスを追加する方法については、「アプリケーションセキュリティグループにネットワークインターフェイスを追加する」を参照してください。

アプリケーションセキュリティグループを作成する

ポータルの上部にある検索ボックスに、「アプリケーションのセキュリティグループ」と入力します。次に、検索結果で [アプリケーションセキュリティグループ] を選択します。
[+ 作成] を選択します。

[アプリケーションセキュリティグループの作成] ページの [基本] タブで、次の値を入力または選択します。

設定	アクション
プロジェクトの詳細
サブスクリプション	Azure サブスクリプションを選択します。
Resource group	既存のリソースグループを選択するか、[新規作成] を選択して新しく作成します。この例では、`myResourceGroup` リソースグループを使用します。
インスタンスの詳細
Name	作成しているアプリケーションセキュリティグループの名前を入力します。
リージョン	アプリケーションセキュリティグループを作成するリージョンを選択します。

Azure portal でのアプリケーションセキュリティグループの作成を示すスクリーンショット。

[Review + create](レビュー + 作成) を選択します。
"検証に成功しました" というメッセージが表示されたら、 [作成] を選択します。

New-AzApplicationSecurityGroup を使用して、アプリケーションセキュリティグループを作成します。

New-AzApplicationSecurityGroup -ResourceGroupName myResourceGroup -Name myASG -Location eastus

az network asg create を使用して、アプリケーションセキュリティグループを作成します。

az network asg create --resource-group myResourceGroup --name myASG --location eastus

すべてのアプリケーションセキュリティグループを表示する

ポータルの上部にある検索ボックスに、「アプリケーションのセキュリティグループ」と入力します。次に、検索結果で [アプリケーションセキュリティグループ] を選択します。 Azure portal に、アプリケーションセキュリティグループの一覧が表示されます。

Azure portal での既存のアプリケーションセキュリティグループを示すスクリーンショット。

Get-AzApplicationSecurityGroup を使用して、Azure サブスクリプション内のすべてのアプリケーションセキュリティグループを一覧表示します。

Get-AzApplicationSecurityGroup | format-table Name, ResourceGroupName, Location

az network asg list を使用して、リソースグループ内のすべてのアプリケーションセキュリティグループを一覧表示します。

az network asg list --resource-group myResourceGroup --out table

特定のアプリケーションセキュリティグループの詳細を表示する

ポータルの上部にある検索ボックスに、「アプリケーションのセキュリティグループ」と入力します。次に、検索結果で [アプリケーションセキュリティグループ] を選択します。
詳細を表示するアプリケーションセキュリティグループを選択します。

Get-AzApplicationSecurityGroup を使用して、アプリケーションセキュリティグループの詳細を表示します。

Get-AzApplicationSecurityGroup -Name myASG

az network asg show を使用して、アプリケーションセキュリティグループの詳細を表示します。

az network asg show --resource-group myResourceGroup --name myASG

アプリケーションセキュリティグループを変更する

ポータルの上部にある検索ボックスに、「アプリケーションのセキュリティグループ」と入力します。次に、検索結果で [アプリケーションセキュリティグループ] を選択します。
変更するアプリケーションセキュリティグループを選択します。
- [リソースグループ] または [サブスクリプション] の横にある [移動] を選択して、リソースグループまたはサブスクリプションをそれぞれ変更します。
- [タグ] の横にある [編集] を選択して、タグを追加または削除します。詳細については、「タグを使用して Azure リソースと整理階層を整理する」を参照してください。
  
  Note
  
  アプリケーションのセキュリティグループの場所は変更できません。
- [アクセス制御 (IAM)] を選び、アプリケーションのセキュリティグループに対するアクセス許可の割り当てまたは削除を行います。

az network asg update を使って、アプリケーションのセキュリティグループのタグを更新します。

az network asg update --resource-group myResourceGroup --name myASG --tags Dept=Finance

Note

Azure CLI を使用して、アプリケーションセキュリティグループのリソースグループ、サブスクリプション、または場所を変更することはできません。

アプリケーションセキュリティグループを削除する

アプリケーションのセキュリティグループにネットワークインターフェイスが含まれる場合は、アプリケーションのセキュリティグループを削除できません。アプリケーションのセキュリティグループからすべてのネットワークインターフェイスを削除するには、ネットワークインターフェイスの設定を変更するか、ネットワークインターフェイスを削除します。詳細については、「アプリケーションセキュリティグループに対して追加または削除を実行する」または「ネットワークインターフェイスの削除」を参照してください。

ポータルの上部にある検索ボックスに、「アプリケーションのセキュリティグループ」と入力します。次に、検索結果で [アプリケーションセキュリティグループ] を選択します。
削除するアプリケーションセキュリティグループを選択します。
[削除] を選択し、 [はい] を選んでアプリケーションセキュリティグループを削除します。

Remove-AzApplicationSecurityGroup を使って、アプリケーションのセキュリティグループを削除します。

Remove-AzApplicationSecurityGroup -ResourceGroupName myResourceGroup -Name myASG

az network asg delete を使って、アプリケーションのセキュリティグループを削除します。

az network asg delete --resource-group myResourceGroup --name myASG

アクセス許可

NSG、セキュリティ規則、アプリケーションセキュリティグループを管理するには、アカウントにネットワーク共同作成者ロールを割り当てる必要があります。次の表に示すように、適切なアクセス許可が割り当てられたカスタムロールを使用することもできます。

Note

ネットワーク共同作成者ロールがリソースグループレベルで割り当てられている場合、サービスタグの完全な一覧が表示され "ない" ことがあります。完全な一覧を表示するには、代わりにサブスクリプションスコープでこのロールを割り当てます。リソースグループに対してネットワーク共同作成者ロールのみを許可できる場合は、アクセス許可 Microsoft.Network/locations/serviceTags/read および Microsoft.Network/locations/serviceTagDetails/read のカスタムロールを作成することもできます。これらをサブスクリプションスコープで割り当て、リソースグループスコープでネットワーク共同作成者ロールを割り当てます。

ネットワークセキュリティグループ

アクション	Name
`Microsoft.Network/networkSecurityGroups/read`	NSG を取得します。
`Microsoft.Network/networkSecurityGroups/write`	NSG を作成または更新します。
`Microsoft.Network/networkSecurityGroups/delete`	NSG を削除します。
`Microsoft.Network/networkSecurityGroups/join/action`	NSG をサブネットまたはネットワークインターフェイスに関連付けます。

Note

NSG に対して write 操作を実行するには、サブスクリプションアカウントに、Microsoft.Network/networkSecurityGroups/write アクセス許可に加えて、少なくともリソースグループに対する read アクセス許可が必要です。

ネットワークセキュリティグループの規則

アクション	Name
`Microsoft.Network/networkSecurityGroups/securityRules/read`	規則を取得します。
`Microsoft.Network/networkSecurityGroups/securityRules/write`	規則を作成または更新します。
`Microsoft.Network/networkSecurityGroups/securityRules/delete`	規則を削除します。

アプリケーションセキュリティグループ

アクション	Name
`Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action`	IP 構成をアプリケーションセキュリティグループに結合します。
`Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action`	セキュリティ規則をアプリケーションセキュリティグループに結合します。
`Microsoft.Network/applicationSecurityGroups/read`	アプリケーションのセキュリティグループを取得します。
`Microsoft.Network/applicationSecurityGroups/write`	アプリケーションセキュリティグループを作成または更新します。
`Microsoft.Network/applicationSecurityGroups/delete`	アプリケーションセキュリティグループを削除します。

ネットワークインターフェイスをアプリケーションのセキュリティグループに追加または削除します。
仮想ネットワークの Azure Policy 定義を作成して割り当てます。

次の方法で共有

ネットワークセキュリティグループの作成、変更、削除

前提条件

ネットワークセキュリティグループを操作する

ネットワークセキュリティグループの作成

すべてのネットワークセキュリティグループを表示する

ネットワークセキュリティグループの詳細を表示する

ネットワークセキュリティグループを変更する

ネットワークインターフェイスに対してネットワークセキュリティグループを関連付ける、または関連付けを解除する

サブネットに対してネットワークセキュリティグループを関連付ける、または関連付けを解除する

ネットワークセキュリティグループを削除する

セキュリティ規則を操作する

セキュリティ規則を作成する

すべてのセキュリティ規則を表示する

セキュリティ規則の詳細を表示する

セキュリティ規則を変更する

セキュリティ規則を削除する

アプリケーションセキュリティグループを操作する

アプリケーションセキュリティグループを作成する

すべてのアプリケーションセキュリティグループを表示する

特定のアプリケーションセキュリティグループの詳細を表示する

アプリケーションセキュリティグループを変更する

アプリケーションセキュリティグループを削除する

アクセス許可

ネットワークセキュリティグループ

ネットワークセキュリティグループの規則

アプリケーションセキュリティグループ

フィードバック

その他のリソース

次の方法で共有

ネットワーク セキュリティ グループの作成、変更、削除

前提条件

ネットワーク セキュリティ グループを操作する

ネットワーク セキュリティ グループの作成

すべてのネットワーク セキュリティ グループを表示する

ネットワーク セキュリティ グループの詳細を表示する

ネットワーク セキュリティ グループを変更する

ネットワーク インターフェイスに対してネットワーク セキュリティ グループを関連付ける、または関連付けを解除する

サブネットに対してネットワーク セキュリティ グループを関連付ける、または関連付けを解除する

ネットワーク セキュリティ グループを削除する

セキュリティ規則を操作する

セキュリティ規則を作成する

すべてのセキュリティ規則を表示する

セキュリティ規則の詳細を表示する

セキュリティ規則を変更する

セキュリティ規則を削除する

アプリケーション セキュリティ グループを操作する

アプリケーション セキュリティ グループを作成する

すべてのアプリケーション セキュリティ グループを表示する

特定のアプリケーション セキュリティ グループの詳細を表示する

アプリケーション セキュリティ グループを変更する

アプリケーション セキュリティ グループを削除する

アクセス許可

ネットワーク セキュリティ グループ

ネットワーク セキュリティ グループの規則

アプリケーション セキュリティ グループ

関連するコンテンツ

フィードバック

その他のリソース

ネットワークセキュリティグループの作成、変更、削除

ネットワークセキュリティグループを操作する

ネットワークセキュリティグループの作成

すべてのネットワークセキュリティグループを表示する

ネットワークセキュリティグループの詳細を表示する

ネットワークセキュリティグループを変更する

ネットワークインターフェイスに対してネットワークセキュリティグループを関連付ける、または関連付けを解除する

サブネットに対してネットワークセキュリティグループを関連付ける、または関連付けを解除する

ネットワークセキュリティグループを削除する

アプリケーションセキュリティグループを操作する

アプリケーションセキュリティグループを作成する

すべてのアプリケーションセキュリティグループを表示する

特定のアプリケーションセキュリティグループの詳細を表示する

アプリケーションセキュリティグループを変更する

アプリケーションセキュリティグループを削除する

ネットワークセキュリティグループ

ネットワークセキュリティグループの規則

アプリケーションセキュリティグループ