次の方法で共有

Azure Local バージョン 23H2 上の仮想マシンで既定のネットワーク アクセス ポリシーを使用する

  • [アーティクル]

適用対象: Azure Local 2311.2 以降

適用対象: Windows Server 2025

この記事では、既定のネットワーク アクセス ポリシーを有効にして、仮想マシン (VM) に割り当てる方法について説明します。

既定のネットワーク ポリシーを使用して、外部の承認されていない攻撃から実行されている仮想マシンを保護できます。 これらのポリシーは、すべての送信アクセスを許可しながら、仮想マシンへのすべての受信アクセス (有効にする指定された管理ポートを除く) をブロックします。 これらのポリシーを使用して、ワークロード VM が必要な資産にのみアクセスできるようにし、脅威が横方向に広がることを困難にします。

Note

このリリースでは、Windows Admin Center を使用して既定のネットワーク ポリシーを有効にして割り当てることができます。

前提条件

ネットワーク アクセス ポリシーを使用するには、次の前提条件を満たす必要があります。

  • Azure Stack HCI オペレーティング システム、バージョン 23H2 以降がシステムにインストールされている。 詳細については、 Azure Stack HCI オペレーティング システムバージョン 23H2 をインストールする方法を参照してください。

  • ネットワーク コントローラーがインストールされている。 ネットワーク コントローラーは、既定のネットワーク ポリシーを適用します。 詳細については、「ネットワーク コントローラーのインストールする方法」を参照してください。

  • 使用する論理ネットワークまたは仮想ネットワークがあります。 詳細については、「論理ネットワークを作成する方法仮想ネットワークを作成する方法を参照してください。

  • ポリシーを適用する VM がある。 詳細については、「Windows Admin Center を使用して VM を管理する する方法を参照してください。

  • 管理者のアクセス許可を持っているか、システム ノードとネットワーク コントローラーと同等の権限を持っている。

  • Windows Server 2025 以降を使用している。 詳細については、「 Get started with Windows Server」を参照してください。

  • ネットワーク コントローラーがインストールされている。 ネットワーク コントローラーは、既定のネットワーク ポリシーを適用します。 詳細については、「ネットワーク コントローラーのインストールする方法」を参照してください。

  • 使用する論理ネットワークまたは仮想ネットワークがあります。 詳細については、「論理ネットワークを作成する方法仮想ネットワークを作成する方法を参照してください。

  • ポリシーを適用する VM がある。 詳細については、「Windows Admin Center を使用して VM を管理する する方法を参照してください。

  • 管理者のアクセス許可を持っているか、システム ノードとネットワーク コントローラーと同等の権限を持っている。

VM に既定のネットワーク ポリシーを割り当てる

既定のポリシーは、次の 2 つの方法で VM にアタッチできます。

  • VM の作成時。 VM を論理ネットワーク (従来の VLAN ネットワーク) または SDN 仮想ネットワークに接続する必要があります。
  • VM の作成後。

ネットワークの作成と接続

VM を接続するネットワークの種類によっては、手順が異なる場合があります。

  • 物理ネットワークに VM を接続する: これらの物理ネットワークを表す 1 つ以上の論理ネットワークを作成します。 論理ネットワークは、Azure Local で使用できる 1 つ以上の物理ネットワークの表現にすぎません。 詳細については、「論理ネットワークを作成する する方法を参照してください。

  • VM を SDN 仮想ネットワークにアタッチする: VM を作成する前に仮想ネットワークを作成します。 詳細については、「仮想ネットワークを作成する する方法を参照してください。

論理ネットワークに VM をアタッチする

Windows Admin Center で論理ネットワークを作成したら、Windows Admin Center で VM を作成し、論理ネットワークに接続できます。 VM の作成の一環として、Logical Network として Isolation Mode を選択し論理ネットワークの適切な論理サブネットを選択し、VM の IP アドレスを指定します。

Note

Azure Local バージョン 22H2 とは異なり、Windows Admin Center を使用して VM を VLAN に直接接続することはできなくなります。 代わりに、VLAN を表す論理ネットワークを作成し、VLAN を使用して論理ネットワーク サブネットを作成し、その VM を論理ネットワーク サブネットに接続する必要があります。

Note

VLAN を表す論理ネットワークを作成し、VLAN を使用して論理ネットワーク サブネットを作成し、その VM を論理ネットワーク サブネットに接続する必要があります。

ネットワーク コントローラーのインストール時に VM を VLAN に直接接続する方法を説明する例を次に示します。 この例では、VM を VLAN 5 に接続する方法を示します。

  1. 任意の名前の論理ネットワークを作成します。 ネットワーク仮想化が無効になっていることを確認します。

  2. 任意の名前の論理サブネットを追加します。 サブネットの作成時に VLAN ID (5) を指定します。

  3. 変更を適用します。

  4. VM を作成するときは、先ほど作成した論理ネットワークと論理ネットワーク サブネットにアタッチします。 詳細については、「論理ネットワークを作成する する方法を参照してください。

    VM を VLAN に直接接続する方法を示すスクリーンショット。

既定のネットワーク ポリシーを適用する

Windows Admin Center を使用して VM を作成すると、 セキュリティ レベル 設定が表示されます。

Windows Admin Center の VM の 3 つのセキュリティ レベル オプションを示すスクリーンショット。

次の 3 つのオプションがあります。

  • 保護なし - VM にネットワーク アクセス ポリシーを適用しない場合は、このオプションを選択します。 このオプションを選択すると、VM 上のすべてのポートが外部ネットワークに公開され、セキュリティ 上のリスクが発生します。 "このオプションは推奨されません"。

    Windows Admin Center で VM に対して [保護なし] オプションが選択されていることを示すスクリーンショット。

  • 一部のポートを開きます - 既定のポリシーを使用するには、このオプションを選択します。 既定のポリシーでは、すべての受信アクセスがブロックされ、すべての送信アクセスが許可されます。 必要に応じて、要件に従って、1 つ以上の適切に定義されたポート (HTTP、HTTPS、SSH、RDP など) への受信アクセスを有効にすることができます。

    Windows Admin Center での VM の作成時に指定された VM で開くことができるポートを示すスクリーンショット。

  • 既存の NSG を使用する - カスタム ポリシーを適用するには、このオプションを選択します。 既に作成したネットワーク セキュリティ グループ (NSG) を指定します。

    Windows Admin Center での VM の作成時に選択された既存のネットワーク セキュリティ グループを示すスクリーンショット。

Windows Admin Center の外部で作成された VM

Windows Admin Center の外部で VM を作成し、既定のネットワーク アクセス ポリシーを有効にすると、問題が発生する可能性があります。 たとえば、既定のネットワーク アクセス ポリシーを有効にし、Hyper-V UI または New-VM PowerShell コマンドレットを使用して VM を作成したとします。

  • VM にネットワーク接続がない可能性があります。 VM は仮想フィルタリング プラットフォーム (VFP) と呼ばれる Hyper-V スイッチ拡張機能によって管理されているため、既定では、VM に接続されている Hyper-V ポートはブロック状態になります。

    ポートのブロックを解除するには、VM が配置されている Hyper-V ホスト上の PowerShell セッションから次のコマンドを実行します。

    1. PowerShell を管理者として実行します。

    2. SdnDiagnostics モジュールをダウンロードしてインストールします。 次のコマンドを実行します。

      Install-Module -Name SdnDiagnostics

      または、既にインストールされている場合は、次のコマンドを使用します。

      Update-Module -Name SdnDiagnostics

      PowerShell ギャラリーからインストールするすべてのプロンプトを受け入れます。

    3. VFP ポートが VM に適用されているかどうかを確認する

      Get-SdnVMNetworkAdapterPortProfile -VMName <VMName>

      アダプターの VFP ポート プロファイル情報が返されることを確認します。 そうでない場合は、ポート プロファイルの関連付けを続行します。

    4. VM でブロックを解除するポートを指定します。

      Set-SdnVMNetworkAdapterPortProfile -VMName <VMName> -MacAddress <MACAddress> -ProfileId ([guid]::Empty) -ProfileData 2

  • VM には既定のネットワーク ポリシーが適用されていません。 この VM は Windows Admin Center の外部で作成されているため、VM の既定のポリシーは適用されず、VM の Network 設定 が正しく表示されません。 この問題を修正するには、次の手順に従います。

    Windows Admin Center で、 論理ネットワークを作成します。 論理ネットワークの下にサブネットを作成し、VLAN ID またはサブネット プレフィックスを指定しません。 次の手順を使用して、論理ネットワークに VM をアタッチします。

    1. Toolsで、Networking 領域まで下にスクロールし、仮想マシンを選択します

    2. [Inventory] タブを選択し、VM を選択し、[Settings を選択します。

    3. [設定] ページで [ネットワーク] を選択します。

    4. 分離モードでは、 Logical Network を選択します。

    5. 前に作成した Logical networkLogical サブネット を選択します。

      1. セキュリティ レベルには、次の 2 つのオプションがあります。

        1. 保護なし: VM のネットワーク アクセス ポリシーが不要な場合は、これを選択します。
        2. 既存の NSG を使用する: VM にネットワーク アクセス ポリシーを適用する場合は、これを選択します。 新しい NSG を作成して VM にアタッチすることも、既存の NSG を VM にアタッチすることもできます。

    VLAN への既定のネットワークを有効にする方法を示すスクリーンショット。

  • VM には既定のネットワーク ポリシーが適用されていません。 この VM は Windows Admin Center の外部で作成されているため、VM の既定のポリシーは適用されず、VM の Network 設定 が正しく表示されません。 この問題を修正するには、次の手順に従います。

    Windows Admin Center で、 論理ネットワークを作成します。 論理ネットワークの下にサブネットを作成し、VLAN ID またはサブネット プレフィックスを指定しません。 次の手順を使用して、論理ネットワークに VM をアタッチします。

    1. Toolsで、Networking 領域まで下にスクロールし、仮想マシンを選択します

    2. [Inventory] タブを選択し、VM を選択し、[Settings を選択します。

    3. [設定] ページで [ネットワーク] を選択します。

    4. 分離モードでは、 Logical Network を選択します。

    5. 前に作成した Logical networkLogical サブネット を選択します。

      1. セキュリティ レベルには、次の 2 つのオプションがあります。

        1. 保護なし: VM のネットワーク アクセス ポリシーが不要な場合は、これを選択します。
        2. 既存の NSG を使用する: VM にネットワーク アクセス ポリシーを適用する場合は、これを選択します。 新しい NSG を作成して VM にアタッチすることも、既存の NSG を VM にアタッチすることもできます。

    VLAN への既定のネットワークを有効にする方法を示すスクリーンショット。

次のステップ

各項目の詳細情報