Azure Virtual Network Manager に関する FAQ

2025-07-21

この記事では、Azure Virtual Network Manager についてよく寄せられる質問に回答します。

全般

どの Azure リージョンで Azure Virtual Network Manager がサポートされていますか?

リージョンのサポートに関する最新情報については、「リージョン別の利用可能な製品」を参照してください。

注

フランス中部を除く、すべてのリージョンに可用性ゾーンがあります。

Azure Virtual Network Manager の一般的なユースケースは何ですか。

お使いの環境とその機能のセキュリティ要件を満たすために、ネットワークグループを作成できます。たとえば、運用環境とテスト環境のネットワークグループを作成して、その接続とセキュリティ規則を大規模に管理できます。

セキュリティ管理者ルールの場合は、2 つの規則コレクションを使用してセキュリティ管理者の構成を作成できます。各ルールコレクションは、それぞれ運用環境とテストネットワークグループを対象とします。デプロイ後、この構成では、運用環境のネットワークリソースに対して 1 つのセキュリティ管理者規則のセットと、テスト環境用の別のセットが適用されます。
接続構成を適用して、組織のサブスクリプション全体で多数の仮想ネットワークのメッシュまたはハブおよびスポークネットワークトポロジを作成できます。
危険度の高いトラフィックを拒否できます。企業の管理者は、通常トラフィックを許可するネットワークセキュリティグループの規則をオーバーライドする特定のプロトコルまたはソースをブロックできます。
トラフィックを強制的に許可できます。たとえば、ネットワークセキュリティグループの規則がトラフィックを拒否するように構成されている場合でも、特定のセキュリティスキャナーが常にすべてのリソースへの受信接続を持つことが許可される場合があります。

Azure Virtual Network Manager を使用する場合のコストはどのくらいですか?

Azure Virtual Network Manager の料金は、アクティブな Virtual Network Manager 構成がデプロイされている仮想ネットワークの数に基づいています。たとえば、Virtual Network Manager スコープに 100 個の仮想ネットワークが含まれているが、構成がそれらの仮想ネットワークの 5 つのみデプロイされている場合、それらの 5 つの仮想ネットワーク (すべて 100 個ではなく) に対して課金されます。また、ピアリングの料金は、デプロイされた接続構成 (メッシュまたはハブアンドスポーク) によって管理される仮想ネットワークのトラフィック量にも適用されることに注意してください。

同じ Virtual Network Manager インスタンスによって仮想ネットワークに複数の構成がデプロイされている場合、その仮想ネットワークには 1 つの料金料金のみが発生します。料金は重複しません。たとえば、Virtual Network Manager が接続構成とセキュリティ管理者構成の両方を同じ 5 つの仮想ネットワークセットにデプロイする場合、これらの 5 つの仮想ネットワークに対して課金されますが、2 回は課金されません。このコストは、構成が異なる Virtual Network Manager インスタンスから生成される場合を除き、複数の構成には考慮されません。

2025 年 3 月より前の Azure Virtual Network Manager の料金は、アクティブな Virtual Network Manager 構成がデプロイされた仮想ネットワークを含むサブスクリプションの数に基づいていました。 2025 年 3 月より前に Virtual Network Manager インスタンスを作成した場合は、仮想ネットワークベースの価格に価格を切り替えることができます。

Azure Virtual Network Manager のネットワーク検証ツールは、Azure Virtual Network Manager 検証ツールワークスペースで実行される到達可能性分析ごとに課金されます。この料金は、Azure Virtual Network Manager の料金とは別です。

お住まいの地域の現在の価格は、[Azure Virtual Network Manager の価格] ページで確認できます。

Azure Virtual Network Manager をデプロイするにはどうすればよいですか?

Azure Virtual Network Manager のインスタンスと構成は、次のようなさまざまなツールを使用してデプロイおよび管理できます。

技術

仮想ネットワークは、複数の Azure Virtual Network Manager インスタンスに属することはできますか?

はい。仮想ネットワークは複数の Azure Virtual Network Manager インスタンスに属することができます。

メッシュ接続構成中にスポーク仮想ネットワークを Virtual WAN ハブに接続して、それらのスポーク仮想ネットワークが直接通信できるようにすることはできますか。

はい。スポーク仮想ネットワークは、メッシュ接続構成中に Virtual WAN ハブに接続できます。メッシュ化されたグループ内の仮想ネットワークは、相互に直接接続されます。

Azure Virtual Network Manager メッシュの一部である仮想ネットワーク内の IP プレフィックスに対する操作は自動的に伝達されますか?

メッシュ内の仮想ネットワークは自動的に同期されます。IP プレフィックスは自動的に更新されます。つまり、メッシュ内の仮想ネットワークで IP プレフィックスが変更された後でも、メッシュ内のトラフィックは機能します。

メッシュ接続の構成が意図したとおりに適用されていることを確認するにはどうすればよいですか?

適用された構成を表示する方法については、ドキュメントを参照してください。メッシュ接続構成では仮想ネットワークが仮想ネットワークピアリングに接続されないため、ピアリングブレードにメッシュ接続が表示されません。

Azure Virtual Network Manager が作成されているリージョンがダウンした場合はどうなりますか? デプロイされた構成に影響しますか、それとも構成を変更できないだけですか?

構成を変更する機能のみが影響を受けます。ユーザーが構成をコミットした後、Azure Virtual Network Manager によって構成がプログラムされると、その構成は動作し続けます。たとえば、Azure Virtual Network Manager インスタンスがリージョン 1 に作成され、メッシュトポロジがリージョン 2 で確立されている場合、リージョン 1 が使用できなくなった場合でも、リージョン 2 のメッシュは引き続き機能します。

グローバルメッシュネットワークトポロジとは何ですか?

グローバルメッシュを使用すると、リージョン間の仮想ネットワークが相互に通信できます。その効果は、グローバル仮想ネットワークピアリングの動作に似ています。

作成できるネットワークグループの数に制限はありますか?

作成できるネットワークグループの数に制限はありません。

適用されているすべての構成のデプロイを削除するにはどうすればよいですか?

構成が適用されているすべてのリージョンに [なし] 構成をデプロイする必要があります。

自分で管理していない別のサブスクリプションから仮想ネットワークを追加できますか?

はい (それらの仮想ネットワークにアクセスするための適切なアクセス許可がある場合)。

手動で追加されたメンバーと条件付きで追加されたメンバーを持つネットワークグループ間で、構成のデプロイはどのように異なりますか。

「Azure Virtual Network Manager での構成のデプロイ」を参照してください。

Azure Virtual Network Manager コンポーネントを削除するにはどうすればよいですか?

「Azure Virtual Network Manager コンポーネントの削除および更新のチェックリスト」を参照してください。

Azure Virtual Network Manager には顧客データが格納されますか?

いいえ。 Azure Virtual Network Manager には、顧客データは格納されません。

Azure Virtual Network Manager インスタンスを移動できますか?

いいえ。 Azure Virtual Network Manager では現在、インスタンスを別のリージョン、リソースグループ、またはサブスクリプションに移動する機能はサポートされていません。インスタンスを移動する必要がある場合は、インスタンスを削除し、Azure Resource Manager テンプレートを使用して目的の場所に別のインスタンスを作成することを検討してください。

Azure 仮想ネットワークマネージャーを使用してサブスクリプションを別のテナントに移動できますか?

はい。ただし、注意すべきいくつかの考慮事項を次に示します。

ターゲットテナントに Azure Virtual Network Manager を作成することはできません。
ネットワークグループ内のスポーク仮想ネットワークは、テナントを変更するときに参照が失われる可能性があるため、ハブ仮想ネットワークへの接続が失われる可能性があります。これを解決するには、サブスクリプションを別のテナントに移動した後、スポーク仮想ネットワークを Azure Virtual Network Manager のネットワークグループに手動で追加する必要があります。

トラブルシューティングのために適用済みの構成を確認するにはどうすればよいですか?

仮想ネットワークの [Network Manager] で、Azure Virtual Network Manager の設定を表示できます。設定には、適用される構成が表示されます。詳細については、「Azure Virtual Network Manager によって適用される構成の表示」を参照してください。

Azure Virtual Network Manager インスタンスがあるリージョンですべてのゾーンがダウンした場合はどうなりますか?

地域的な停電が発生した場合、現在管理されている仮想ネットワークリソースに適用されているすべての構成はそのまま維持されます。停電中は、新しい構成を作成することも、既存の構成を変更することもできません。停電が解消されれば、仮想ネットワークリソースの管理は以前と同じように継続できます。

Azure Virtual Network Manager によって管理される仮想ネットワークは、管理対象外の仮想ネットワークとピアリングできますか?

はい。 Azure Virtual Network Manager は、手動ピアリングで作成された既存のハブアンドスポークトポロジと完全に互換性があります。ハブとスポークの仮想ネットワーク間の既存のピアリングされた接続を削除する必要はありません。移行は、お客様のネットワークにダウンタイムが生じることなく行われます。

既存のハブアンドスポークトポロジを Azure Virtual Network Manager に移行できますか?

はい。既存の仮想ネットワークを Azure Virtual Network Manager のハブアンドスポークトポロジに移行するのは簡単です。ハブアンドスポークトポロジ接続構成を作成できます。この構成をデプロイすると、Azure Virtual Network Manager によって必要なピアリングが自動的に作成されます。既存のピアリングはそのまま残るので、ダウンタイムはありません。

仮想ネットワーク間の接続の確立に関して、接続グループは仮想ネットワークピアリングとどのような違いがありますか?

Azure では、仮想ネットワーク間の接続を確立する方法として、仮想ネットワークピアリングと接続グループの 2 つがあります。仮想ネットワークピアリングは、仮想ネットワーク間に 1 対 1 のマッピングを作成することによって機能します。一方、接続されたグループは、そのようなマッピングなしで接続を確立する新しいコンストラクトを使用します。

接続グループでは、すべての仮想ネットワークが個々のピアリング関係なしで接続されています。たとえば、3 つの仮想ネットワークが同じ接続グループに属している場合、個々のピアリング関係を必要とせずに、各仮想ネットワーク間を接続できます。

各方法の効果は同じであり、仮想ネットワーク間で双方向接続が確立されます。ただし、接続されたグループを使用すると、複数の仮想ネットワークを 1 つのエンティティとして管理でき、ピアリングの制限を超えてより高いスケールの接続を実現できるため、接続の管理が簡素化されます。

仮想ネットワークピアリングを使用して仮想ネットワークを管理する場合、その結果、Azure Virtual Network Manager で仮想ネットワークピアリング料金が 2 回支払われますか?

ピアリングに 2 回目や二重の料金が発生することはありません。仮想ネットワークマネージャーは、以前に作成したすべての仮想ネットワークピアリングを尊重し、それらの接続を移行します。すべてのピアリングリソースは、仮想ネットワークマネージャーの内部または外部のいずれで作成されたかに関係なく、1 つのピアリング料金が発生します。

セキュリティ管理規則に例外を作成できますか?

通常、セキュリティ管理規則は、仮想ネットワーク間のトラフィックをブロックするために定義されます。ただし、特定の仮想ネットワークとそのリソースでは、管理またはその他のプロセスのためにトラフィックを許可する必要がある場合があります。このようなシナリオでは、必要に応じて例外を作成することができます。これらのシナリオで、例外を使用して、リスクの高いポートをブロックする方法について説明します。

リージョンに複数のセキュリティ管理者構成をデプロイするにはどうすればよいですか?

1 つのリージョンにデプロイできるセキュリティ管理者構成は 1 つだけです。ただし、セキュリティ管理者の構成で複数のルールコレクションを作成する場合は、リージョンに複数の接続構成が存在する可能性があります。

セキュリティ管理規則は Azure プライベートエンドポイントに適用されますか?

現在、セキュリティ管理規則は、Azure Virtual Network Manager で管理される仮想ネットワークの範囲内にある Azure プライベートエンドポイントには適用されません。

アウトバウンド規則

港 / ポート	Protocol	source	宛先	アクション
443、12000	TCP	`VirtualNetwork`	`AzureCloud`	許可する
[任意]	[任意]	`VirtualNetwork`	`VirtualNetwork`	許可する

Azure Virtual WAN ハブをネットワークグループに含めることはできますか?

いいえ。現時点では、Azure Virtual WAN ハブをネットワークグループに含めることはできません。

Azure Virtual Network Manager のハブアンドスポーク接続構成で、ハブとして Azure Virtual WAN インスタンスを使用できますか。

いいえ。現時点では、Azure Virtual WAN ハブはハブアンドスポークトポロジのハブとして使用することはできません。

私の仮想ネットワークが期待している構成を受け取っていません。どのようにトラブルシューティングすればよいですか。

考えられる解決策については、次の質問に従います。

仮想ネットワークのリージョンに構成をデプロイしましたか?

Azure Virtual Network Manager の構成は、デプロイされるまで有効になりません。適切な構成で、仮想ネットワークリージョンへのデプロイを行ってください。

仮想ネットワークはスコープ内にありますか?

ネットワークマネージャーには、スコープ内の仮想ネットワークに構成を適用するのに必要なアクセスしか委任されません。リソースは、ネットワークグループ内にあってもスコープ外の場合には構成は受け取れません。

マネージドインスタンスを含む仮想ネットワークにセキュリティ規則を適用していますか?

Azure SQL Managed Instance には、いくつかのネットワーク要件があります。これらの要件は、セキュリティ管理規則と競合する目的を持つ、優先度の高いネットワークインテントポリシーを通じて適用されます。既定では、管理者ルールの適用は、これらの意図ポリシーのいずれかを含む仮想ネットワークではスキップされます。 [Allow] 規則は競合のリスクがないため、securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices で AllowRulesOnly を設定することで [Allow Only] 規則を適用することもできます。

セキュリティ構成規則をブロックするサービスを含む仮想ネットワークまたはサブネットに、セキュリティ規則を適用していますか?

特定のサービスでは、適切に機能するために特定のネットワーク要件が必要です。これらのサービスには、Azure SQL Managed Instance、Azure Databricks、Azure Application Gateway が含まれます。既定では、これらのサービスを含む仮想ネットワークとサブネットでは、セキュリティ管理者ルールの適用はスキップされます。 [Allow] 規則は競合のリスクがないため、securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices .NET クラスでセキュリティ構成の AllowRulesOnly フィールドを設定することで [Allow Only] 規則を適用することもできます。

制限

Azure Virtual Network Manager のサービス制限とは何ですか?

最新情報については、「Azure Virtual Network Manager の制限事項」を参照してください。

次のステップ

Azure portal を使用して Azure Virtual Network Manager インスタンスを作成します。