【重要】2025年12月2日までにFWのルールを変更しないとIntuneが使えなくなります!
この記事の内容
- 2025年12月2日までに、IntuneがAzure Front DoorのIPアドレス経由でも通信を行うようになります
- 対応しないと、ユーザーのログインやデバイス登録ができなくなる可能性があります
- ファイアウォールやプロキシで「AzureFrontDoor.Frontend」などのサービスタグを許可する対応が必要です
- 許可が必要なポートはTCP 443番(HTTPS)です
- サービスタグを活用することで、最新のIPアドレス範囲への自動追従が可能です
なぜ今、ネットワーク設定の変更が必要なのか?
2025年9月11日に公開されたMicrosoftの公式記事で、IntuneがAzure Front DoorのIPアドレス経由でも通信を行うようになることが発表されました。この変更により、従来の設定のままではIntuneが正常に動作しなくなるため、早急な対応が必要です。
特に、Intuneの通信のみを許可し、その他のAzureサービスへの通信を制限している企業・組織は影響を受けます。現行のファイアウォールルールやプロキシ設定を見直さなければ、Intuneが利用できなくなる恐れがあります。
なお、Microsoft 365管理センター上でもすでに通知が出ていますが、見落としがちなため今回改めて内容を確認しておきましょう。
Azure Front Doorとは?
Azure Front Door(アジュールフロントドア)は、Microsoft Azureが提供するグローバルなアプリケーション配信ネットワークサービスです。Webトラフィックの最適化・高速化、セキュリティ強化を担うCDN(コンテンツデリバリーネットワーク)の一種です。
Intuneはすでにそのサービス基盤の一部としてAzure Front Doorを活用するようになるため、このIPアドレスレンジへの通信を許可しておく必要が生じています。
対応期限:2025年12月2日
今回の変更における重要な日付は 2025年12月2日 です。この日までに、Azure Front DoorのIPアドレスレンジへの通信を許可する設定変更を完了しておく必要があります。
対応が遅れた場合、以下のような業務上の影響が発生する可能性があります。
- ユーザーがIntuneへログインできなくなる
- デバイスがIntuneに登録・接続できなくなる
- Company Portalアプリにアクセスできなくなる
- Intune管理下の各種機能が利用不能になる
組織全体の端末管理やセキュリティポリシーの運用に直結するため、早めの対応をおすすめします。
具体的な対応方法
1. Azure Front DoorのIPアドレス範囲を確認する
Microsoftが公開している「Azure IPs & Service Tags – Public Cloud」のページから、Azure Front Doorの最新IPアドレスレンジをJSON形式でダウンロードできます。このファイルには各サービスごとのIPアドレス情報が一覧でまとめられています。
2. サービスタグを活用する
IPアドレスを直接管理するのは運用負荷が高くなりがちです。そこで サービスタグ の活用をおすすめします。Intuneに必要な通信に対応したサービスタグとしては、以下が用意されています。
AzureFrontDoor.FrontendAzureFrontDoor.Microsoft
ファイアウォールやネットワーク機器でこれらのサービスタグを許可設定することで、IPアドレスレンジが更新された際にも自動的に追従できます。
3. 許可が必要なポート
許可すべき通信ポートは以下の通りです。
Intuneの通信は基本的にHTTPSで行われるため、443番ポートの許可が必要です。
まとめ
2025年12月2日までに、IntuneがAzure Front Door経由での通信を開始します。現在ファイアウォールやプロキシでAzureのトラフィックを細かく制御している環境では、対応しないとIntuneが利用できなくなる可能性があります。
対応のポイントは以下の3点です。
- Azure Front DoorのIPレンジを確認する(Microsoft公式のAzure IPs & Service Tagsから取得)
- サービスタグ(
AzureFrontDoor.Frontendなど)を許可設定する - TCP 443番ポートを許可する
期限まで時間はそれほど多くありません。早めにネットワーク担当者と連携し、設定変更を完了させておきましょう。