Azure DevOps Services |Azure DevOps Server 2022 および Azure DevOps Server 2019
If your organization is secured with a firewall or proxy server, you must add certain internet protocol (IP) addresses and domain uniform resource locators (URLs) to the allowlist. これらの IP と URL を許可リストに追加すると、Azure DevOps で最高のエクスペリエンスが得られるようにするのに役立ちます。 ネットワーク上の Azure DevOps にアクセスできない場合は、許可リストを更新する必要があることがわかります。
Required ports:
- ポート 443 (HTTPS):すべての Azure DevOps Web アクセス、REST API 呼び出し、およびほとんどのサービス接続に必要
- ポート 22 (SSH): SSH プロトコルを使用する Git 操作にのみ必要
この記事の次のセクションを参照してください。
Tip
Visual Studio と Azure Services がネットワークの問題なしで適切に機能するように、選択したポートとプロトコルを開きます。 詳細については、「 ファイアウォールまたはプロキシ サーバーの背後で Visual Studio をインストールして使用する」を参照してください。Visual Studio と Azure Services の使用。
IP アドレスと範囲の制限
Outbound connections
Outbound connections target other dependent sites. このような接続の例を次に示します。
- ユーザーが Azure DevOps の機能にアクセスして使用するときに Azure DevOps Web サイトに接続するブラウザー
- 保留中のジョブをポーリングするために Azure DevOps に接続している組織のネットワークにインストールされている Azure Pipelines エージェント
- 組織のネットワーク内でホストされているソース コード リポジトリから Azure DevOps に送信される CI イベント
次の IP アドレスが ポート 443 (HTTPS) の送信接続に許可されていることを確認して、組織が既存のファイアウォールまたは IP 制限を使用できるようにします。 次のグラフのエンドポイント データは、組織内のマシンから Azure DevOps Services への接続の要件を示しています。
13.107.6.0/24
13.107.9.0/24
13.107.42.0/24
13.107.43.0/24
150.171.22.0/24
150.171.23.0/24
150.171.73.0/24
150.171.74.0/24
150.171.75.0/24
150.171.76.0/24
現在、 13.107.6.183 と 13.107.9.183 IP アドレスを許可している場合は、それらを削除する必要はないので、そのままにしておきます。
Note
Azure サービス タグ は、 送信 接続ではサポートされていません。
Inbound connections
Inbound connections originate from Azure DevOps and target resources within your organization's network. このような接続の例を次に示します。
- Azure DevOps Services connecting to endpoints for Service Hooks
- Azure DevOps Services connecting to customer-controlled SQL Azure VMs for Data Import
- Azure Pipelines connecting to on-premises source code repositories such as GitHub Enterprise or Bitbucket Server
- Azure DevOps Services Audit Streaming connecting to on-premises or cloud-based Splunk
組織が既存のファイアウォールまたは IP 制限を使用できるように、 ポート 443 (HTTPS) での受信接続に対して次の IP アドレスが許可されていることを確認します。 次のグラフのエンドポイント データは、Azure DevOps Services からオンプレミスまたはその他のクラウド サービスへの接続の要件を示しています。
| Geography | Region | IP V4 の範囲 |
|---|---|---|
| Australia | オーストラリア東部 | 20.37.194.0/24 |
| オーストラリア東南部 | 20.42.226.0/24 | |
| Brazil | ブラジル南部 | 191.235.226.0/24 |
| Canada | Central Canada | 52.228.82.0/24 |
| アジア太平洋 | 東南アジア (シンガポール) | 20.195.68.0/24 |
| India | インド南部 | 20.41.194.0/24 |
| インド中部 | 20.204.197.192/26 | |
| 米国 | 中央米国 | 20.37.158.0/23 |
| 中西部米国 | 52.150.138.0/24 | |
| 東米国 | 20.42.5.0/24 | |
| East 2 米国 | 20.41.6.0/23 | |
| 北米国 | 40.80.187.0/24 | |
| 南米国 | 40.119.10.0/24 | |
| 西米国 | 40.82.252.0/24 | |
| 西 2 米国 | 20.42.134.0/23 | |
| 西 3 米国 | 20.125.155.0/24 | |
| ヨーロッパ | Western Europe | 40.74.28.0/23 |
| 北ヨーロッパ | 20.166.41.0/24 | |
| United Kingdom | イギリス南部 | 51.104.26.0/24 |
Azure Service Tags are supported only for inbound connections. Instead of allowing the previously listed IP ranges, you may use the AzureDevOps service tag for Azure Firewall and Network Security Group (NSG) or on-premises firewall via a JSON file download.
Note
サービス タグまたは前述の受信 IP アドレスは、Microsoft ホステッド エージェントには適用されません。 お客様は、引き続き Microsoft ホステッド エージェントの 地域を許可する必要があります。 地域全体を許可することが問題である場合は、 Microsoft マネージド DevOps プールを使用することをお勧めします。 または、 Azure Virtual Machine Scale Set エージェントを使用することもできます。 マネージド DevOps プールおよびスケール セット エージェントは、ニーズに合わせて自動スケールできるセルフホステッド エージェントの一種です。
ホストされる macOS エージェントは、GitHub の macOS クラウドでホストされます。 IP 範囲は、こちらに記載されている手順に従って、GitHub メタデータ API を使って取得できます。
その他の IP アドレス
次の IP アドレスのほとんどは、Microsoft 365 Common および Office Online に関連しています。
40.82.190.38
52.108.0.0/14
52.237.19.6
52.238.106.116/32
52.244.37.168/32
52.244.203.72/32
52.244.207.172/32
52.244.223.198/32
52.247.150.191/32
For more information, see Worldwide endpoints and Adding IP address rules.
Azure DevOps ExpressRoute 接続
組織で ExpressRoute を使用している場合は、 ポート 443 (HTTPS) の送信接続と受信接続の両方で次の IP アドレスが許可されていることを確認します。
13.107.6.175/32
13.107.6.176/32
13.107.6.183/32
13.107.9.175/32
13.107.9.176/32
13.107.9.183/32
13.107.42.18/32
13.107.42.19/32
13.107.42.20/32
13.107.43.18/32
13.107.43.19/32
13.107.43.20/32
150.171.73.14/32
150.171.73.15/32
150.171.73.16/32
150.171.74.14/32
150.171.74.15/32
150.171.74.16/32
150.171.75.14/32
150.171.75.15/32
150.171.75.16/32
150.171.76.14/32
150.171.76.15/32
150.171.76.16/32
150.171.22.17/32
150.171.22.18/32
150.171.22.19/32
150.171.23.17/32
150.171.23.18/32
150.171.23.19/32
Azure DevOps と ExpressRoute の詳細については、「Azure DevOps のExpressRouteを参照してください。
許可されるドメイン URL
ネットワーク接続の問題は、接続をブロックしている可能性があるセキュリティ アプライアンスが原因で発生する可能性があります。Visual Studio では TLS 1.2 以降が使用されます。 When you're using NuGet or connecting from Visual Studio 2015 and later, update the security appliances to support TLS 1.2 and above for the following connections.
ドメイン URL のポート要件:
- ポート 443 (HTTPS): この記事に記載されているすべてのドメイン URL に必須
- ポート 22 (SSH): SSH Git 接続にのみ必要です ( SSH 接続 のセクションを参照)
To ensure your organization works with any existing firewall or IP restrictions, ensure that dev.azure.com and *.dev.azure.com are open on port 443.
次のセクションには、サインインとライセンス接続をサポートするための最も一般的なドメイン URL が含まれています。
https://dev.azure.com
https://*.dev.azure.com
https://aex.dev.azure.com
https://aexprodea1.vsaex.visualstudio.com
https://*.vstmrblob.vsassets.io
https://amp.azure.net
https://app.vssps.dev.azure.com
https://app.vssps.visualstudio.com
https://*.vsblob.visualstudio.com
https://*.vssps.visualstudio.com
https://*.vstmr.visualstudio.com
https://azure.microsoft.com
https://go.microsoft.com
https://graph.microsoft.com
https://login.microsoftonline.com
https://management.azure.com
https://management.core.windows.net
https://microsoft.com
https://microsoftonline.com
https://static2.sharepointonline.com
https://visualstudio.com
https://vsrm.dev.azure.com
https://*.windows.net
https://{organization_name}.visualstudio.com
https://{organization_name}.vsrm.visualstudio.com
https://{organization_name}.vstmr.visualstudio.com
https://{organization_name}.pkgs.visualstudio.com
https://{organization_name}.vssps.visualstudio.com
Azure DevOps uses the following URL to provide the agent software for download for self-hosted agents.
https://download.agent.dev.azure.com
Azure DevOps uses content delivery network (CDN) to serve static content. The following URLs are part of that.
https://cdn.vsassets.io
https://*.vsassets.io
https://*.gallerycdn.vsassets.io
https://aadcdn.msauth.net
https://aadcdn.msftauth.net
https://amcdn.msftauth.net
https://azurecomcdn.azureedge.net
次のエンドポイントは、Microsoft アカウント (MSA) を使用して Azure DevOps 組織を認証するために使用されます。 これらのエンドポイントは、Microsoft アカウント (MSA) によってサポートされている Azure DevOps 組織にのみ必要です。 Microsoft Entra テナントをサポートしている Azure DevOps 組織には、次の URL は必要ありません。
https://live.com
https://login.live.com
データ移行ツールを使用して Azure DevOps Server からクラウド サービスに移行する場合は、次の URL が必要です。
https://dataimport.dev.azure.com
Note
Azure DevOps では、コンテンツ配信ネットワーク (CDN) を使用して静的コンテンツを提供します。 Users in China should also add the following domain URLs to an allowlist:
https://*.vsassetscdn.azure.cn
https://*.gallerycdn.azure.cn
次の IP アドレスとドメイン上のすべてのトラフィックへのポート 443 を開いてお勧めします。 また、ターゲット IP アドレスの小さなサブセットにポート 22 を開くこともできます。
ポート構成の概要:
- ポート 443 (HTTPS): この記事に記載されているすべてのドメイン URL と IP アドレスに対して開く
- ポート 22 (SSH): SSH 接続セクションに記載されている SSH 固有のホストにのみ開く
| その他のドメイン URL | Descriptions | Required Port |
|---|---|---|
| https://login.microsoftonline.com | 認証とサインインに関連する | 443 |
| https://*.vssps.visualstudio.com | 認証とサインインに関連する | 443 |
| https://*.gallerycdn.vsassets.io | Azure DevOps 拡張機能をホストする | 443 |
| https://*.vstmrblob.vsassets.io | Azure DevOps TCM ログ データをホストする | 443 |
| https://cdn.vsassets.io | Azure DevOps コンテンツ配信ネットワーク (CDN) コンテンツをホストする | 443 |
| https://static2.sharepointonline.com | Azure DevOps がフォント用の "office fabric" UI キットで使用するいくつかのリソースをホストします。 | 443 |
| https://vsrm.dev.azure.com | Hosts releases | 443 |
| https://download.agent.dev.azure.com | ネットワーク内のマシンでセルフホステッド エージェントを設定するために必要 | 443 |
| https://amp.azure.net | Azure App Service へのデプロイに必要 | 443 |
| https://go.microsoft.com | Accesses go リンク | 443 |
Azure Artifacts
Azure Artifacts に対して次のドメイン URL が許可されていることを確認します。
https://*.blob.core.windows.net
https://*.visualstudio.com
https://*.dedup.microsoft.com
また、"name": "Storage" 内のすべての IP アドレスを許可します。次のファイルの {region}" セクション (毎週更新): Azure IP 範囲とサービス タグ - パブリック クラウド。 {region} は、組織と同じ Azure Geography です。
NuGet connections
NuGet 接続で次のドメイン URL が許可されていることを確認します。
https://*.azurewebsites.net
https://*.nuget.org
Note
プライベート所有の NuGet サーバー URL は、前の一覧に含まれていない可能性があります。
%APPData%\Nuget\NuGet.Configを開くと、使用している NuGet サーバーを確認できます。
SSH connections
If you need to connect to Git repositories on Azure DevOps with SSH, allow requests to port 22 for the following hosts:
ssh.dev.azure.com
vs-ssh.visualstudio.com
Also allow port 22 for IP addresses in the "name": "AzureDevOps" section of this downloadable file (updated weekly) named: Azure IP ranges and Service Tags - Public Cloud
Azure Pipelines の Microsoft でホストされるエージェント
Microsoft でホストされるエージェントを使用してジョブを実行し、使用される IP アドレスに関する情報が必要な場合は、「 Microsoft でホストされるエージェントの IP 範囲を参照してください。 すべての Microsoft マネージド DevOps プールと Azure Virtual Machine Scale Set エージェントを参照してください。
ホストされている Windows、Linux、および macOS エージェントの詳細については、「 Microsoft でホストされるエージェントの IP 範囲を参照してください。
Azure Pipelines のセルフホステッド エージェント
ファイアウォールを実行していて、コードが Azure Repos にある場合は、セルフホステッド Linux エージェントに関する FAQ、セルフホステッド macOS エージェントに関する FAQセルフホステッド Windows エージェントに関する FAQを参照してください。 この記事では、プライベート エージェントが通信する必要があるドメイン URL と IP アドレスについて説明します。
Important
Edgio CDN for Azure DevOps は廃止されました。この場合、エージェント ソフトウェアのダウンロード用のファイアウォール規則に新しいドメイン URL を許可一覧表示する必要がありました。
エージェントのダウンロードを許可リストに追加する新しいドメインが https://*.dev.azure.com。 ファイアウォール規則でワイルドカードが許可されていない場合は、 https://download.agent.dev.azure.comを使用します。
Azure DevOps チームは、次の日付までにこの変更を行うことをお勧めします。
- Azure DevOps Services の 2025 年 5 月 1 日
- Azure DevOps Server の 2025 年 5 月 15 日
詳細については、「 パイプラインのエージェントの CDN ドメイン URL の変更」を参照してください。
Azure DevOps インポート サービス
インポート プロセス中は、仮想マシン (VM) へのアクセスを Azure DevOps の IP アドレスのみに制限することを強くお勧めします。 アクセスを制限するには、コレクション データベースのインポート プロセスに関係していた一連の Azure DevOps IP アドレスからの接続のみを許可します。 正しい IP アドレスの識別については、「 (省略可能) Azure DevOps Services IP のみにアクセスを制限するを参照してください。
Note
Azure DevOps では、設定内での直接の許可リストのサポートはネイティブに行われません。 ただし、組織のファイアウォールまたはプロキシ設定を使用して、ネットワーク レベルで許可リストを管理できます。