次の方法で共有

Azure DevOps エージェントの構成とプライベートリンク接続についてのご質問

江藤 裕(DCS 公共ソリューション開発部) 0 評価のポイント
2026-01-05T06:18:33.15+00:00

ご担当者様

お世話になっております。以下の点についてご確認させてください。

前提状況:

• 現在、Azure DevOpsのMicrosoftホステッドエージェントを利用し、PaaS環境(Azure Functions, Azure Container Registryなど)へのパイプライン構築を検討しています。

• ネットワーク構成はプライベートリンク(閉域構成)を使用しており、外部からアクセスできない仕様となっております。

確認事項:

  1. Microsoftホステッドエージェントを利用する場合、プライベートリンク(閉域網)上に配置されたAzure PaaSリソースへ直接接続することは可能でしょうか?

→ 記事(Azure Pipelines エージェントの IP について※)を参照したところ、接続不可の可能性があると考えております。 改めてMicrosoftとしての最新状況をご教示いただけましたら幸いです。

  1. Self-hostedエージェントを利用する場合

• プライベートリンクで構成されたAzure PaaS環境(連携APIやAutomation Accountsなど)への接続が可能か。

• 接続するために追加でインフラ側での設定変更やセキュリティ対策が必要であれば、設計要件をご教示いただけますでしょうか。

  1. プライベートリンクでの接続有無・エージェント構成のいずれかに制約がある場合、推奨アプローチはございますか?

補足情報および背景:

• 現在の環境ではself-hostedエージェントを用いた構成を組んでいますが、最終的にはAzure Reposを利用予定であり、Microsoftホステッドエージェントを基本とした構成を計画しています。

• Automation AccountsのRunbookインポートはローカル実行を想定。将来的にAzure DevOps(pipelineでReposを使用)との連携を検討。

お忙しいところ恐れ入りますが、上記についてご回答いただけますと幸いです。

何卒よろしくお願い申し上げます。

※リンク
https://jpdscore.github.io/blog/azuredevops/pipelines-agents-ip-settings/#Azure-Web-App-%E3%82%84-Azure-Container-Registry-%E3%81%A8%E3%81%84%E3%81%A3%E3%81%9F-PaaS-%E3%83%AA%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%AB%E5%AF%BE%E3%81%97%E3%81%A6-Private-IP-%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E7%B5%8C%E7%94%B1%E3%81%A7%E3%83%87%E3%83%97%E3%83%AD%E3%82%A4%E3%81%97%E3%81%9F%E3%81%84:~:text=%E3%81%A7%E3%81%82%E3%82%8B%E3%81%93%E3%81%A8-,Azure%20Web%20App%20%E3%82%84%20Azure%20Container%20Registry%20%E3%81%A8%E3%81%84%E3%81%A3%E3%81%9F%20PaaS%20%E3%83%AA%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%AB%E5%AF%BE%E3%81%97%E3%81%A6%20Private%20IP%20%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E7%B5%8C%E7%94%B1%E3%81%A7%E3%83%87%E3%83%97%E3%83%AD%E3%82%A4%E3%81%97%E3%81%9F%E3%81%84,-Azure%20%E3%81%AE%20Virtual

Azure DevOps
0 件のコメント

1 件の回答

並べ替え方法: 最も役に立つ
最も役に立つ 新しい順 古い順
  1. Pravallika KV 6,085 評価のポイント Microsoft 外部スタッフ モデレーター
    2026-01-05T06:53:25.0333333+00:00

    こんにちは、Yutaka Eto (DCS Public Solutions Development Department),

    Microsoft Q&A へお問い合わせいただきありがとうございます。

    Azure DevOps エージェント(Microsoft-hosted および Self-hosted の両方)と、Private Link 経由での Azure PaaS リソース接続に関して、いくつかご質問があるようですね。以下で整理してご説明します。

    Microsoft-hosted エージェントについて

    IP アドレスに関する記事からご推察されているとおり、Microsoft-hosted エージェントは、Private Link の背後にあるリソースや、閉域ネットワーク構成内のリソースへの直接接続を通常サポートしていません
    Microsoft-hosted エージェントは共有環境上で実行され、予測可能な IP アドレス範囲を持たないため、Private Endpoint 構成とは互換性がない場合があります。

    Self-hosted エージェントについて

    Self-hosted エージェントはお客様自身のインフラ上で実行されるため、Private Link が構成された Azure PaaS リソースと通信することが可能です。設定にあたっては、以下の点をご考慮ください。

    1. ネットワーク構成
      Self-hosted エージェントが、Private Link 経由で Azure PaaS サービスにアクセスできるネットワーク接続を持っていることを確認してください。
      これには、同一の仮想ネットワークへの接続、または VPN / ExpressRoute 経由の接続が含まれます。
    2. ファイアウォールおよびセキュリティ
      Self-hosted エージェントが Azure サービスと通信する際に、適切なファイアウォールルールが設定されている必要があります。
      特定の IP アドレスや Azure DevOps サービスへの通信を許可する必要がある場合があります。
    3. 構成変更
      システム設計要件に応じて、Azure 側および Self-hosted エージェントが稼働するマシンの両方で、セキュリティ設定や構成の調整が必要になる場合があります。
    4. エージェントの権限
      Self-hosted エージェントが必要な Azure リソースへアクセスできるよう、適切な権限が付与されていることを確認してください。
      通常は、Azure 上でのロール割り当てやアクセス権の設定が必要となります。

    推奨アプローチ

    いずれのエージェント構成にも制約や制限がある可能性があるとのことですので、以下をご検討ください。

    • 可能であれば、Self-hosted エージェントの利用を継続することをおすすめします。
      Private Link に対応したネットワークおよびセキュリティ要件に合わせて、環境を柔軟にカスタマイズできます。
      • Microsoft-hosted エージェントが必要な特定のユースケースがある場合は、ネットワーク構成との互換性を満たしているか、要件を改めてご確認ください。
      Azure DevOps の実装を進めるうえで、少しでもお役に立てば幸いです。
      他にもご不明点がありましたら、お気軽にお知らせください。

    参考資料

    0 件のコメント

お客様の回答

質問作成者は回答に "承認済み"、モデレーターは "おすすめ" とマークできます。これにより、ユーザーは作成者の問題が回答によって解決したことを把握できます。