こんにちは、Azure テクニカル サポート チームです。
2023 年 9 月末、Azure が既定で提供しているインターネット向けへの外部接続用の送信アクセスのサービス提供を、2025 年 9 月 30 日の翌日から 限定的に終了することがアナウンスされました(Tracking ID:3T84-PZZ)。
アナウンスされた内容は英語でのご案内であったり、対処方法のご説明などを省略させていただいた概要でのご案内となっておりますので、この記事にて補足させていただきます。
【2026 年 5 月 更新】 その後、公式ドキュメントにて実装方法および適用日が変更されました。本記事も最新の仕様に合わせて更新しています。最新の情報は 公式ドキュメント (Default outbound access in Azure) もあわせてご確認ください。
[アナウンスの概要]
2025 年 10 月 1 日以降に作成された新しい Azure VM は、Azure 既定の送信アクセス (既定の SNAT) を利用してインターネット宛へのアウトバウンド通信ができなくなります。インターネット宛へのアウトバウンド接続が必要な場合には、明示的な送信接続の設定が必要となります。2025 年 10 月 1 日よりも前に作成している既存の Azure VM は、現状、本通知の対象外となるため影響を受けませんが明示的に送信接続の設定を加えていただくことを推奨としています。
【2026 年 5 月 更新】 最新の公式ドキュメントによる仕様は以下のとおりです。
- 2026 年 3 月 31 日より後にリリースされた API バージョン を使用して作成された新しい仮想ネットワーク (VNet) では、サブネットの
defaultOutboundAccessプロパティが既定でfalseに設定されます (= プライベート サブネットとして作成されます)。 - これにより、当該サブネット内に作成された仮想マシンには既定の送信 IP が割り当てられなくなり、インターネット宛て通信を行うには 明示的な送信接続の設定 が必要となります。
- Azure portal は既に既定でプライベート サブネットとして作成する仕様 になっています。今回の API レベルの変更により、ARM テンプレート、PowerShell、Azure CLI など他の構成方法でも同様の挙動となります。
- 既存の仮想ネットワークおよびそのサブネットには変更は適用されません。 既存 VNet 内に新たに作成された仮想マシンも、引き続き既定の送信 IP が割り当てられます (明示的にサブネットをプライベートに変更しない限り)。
- 旧 API バージョンを使用するデプロイ (Terraform などで古い API バージョンを指定している場合を含む) では、
defaultOutboundAccessは引き続きnull(= 暗黙的に既定の送信アクセスを許可) として動作します。
既定の送信アクセスとは、ユーザーが明示的に送信接続の指定をしていない場合でも、Azure VM がインターネットにアクセスできるようにする仕組みです。具体的には、Azure プラットフォーム上で使われていないパブリック IP アドレスを一時的に借りて SNAT を行います。
[FAQ]
Q1. Azure 既定の送信アクセスを利用しているかはどのように判断すればよいですか?
A1. 当ブログサイトの以下の記事に記載されている「判定フローチャート」をご確認の上、Azure 既定の送信アクセスをご利用いただいているか判断ください。
Azure VM の外部接続 (SNAT) オプション まとめ - 判定フローチャート | Japan Azure IaaS Core Support Blog
Q2. 明示的な送信接続方法が様々ありますが、どの送信接続方法を利用すればよいですか?
A2. 現在、明示的な送信接続方法は、4 パターンございますが、各構成パターンによって特性が異なります。
当ブログサイトの以下の記事に記載されている「構成の比較」をご確認の上、お客様の通信要件に合った明示的な送信接続方法をご利用下さい。
Azure VM の外部接続 (SNAT) オプション まとめ - 構成の比較 | Japan Azure IaaS Core Support Blog
Q3. 【2026 年 5 月 追記】既存の仮想ネットワーク内に新たに作成する VM は影響を受けますか?
A3. 既存の仮想ネットワーク (VNet) には今回の変更は適用されません。既存 VNet 内のサブネット (defaultOutboundAccess が未設定または true のサブネット) に新たに作成される VM も、引き続き既定の送信 IP が割り当てられます。
ただし、セキュリティ (ゼロ トラスト原則) および接続の安定性の観点から、明示的な送信接続方法への移行を推奨いたします。
Q4. 【2026 年 5 月 追記】新しい仮想ネットワークを作成する際にも、引き続き既定の送信アクセスを利用したい場合はどうすればよいですか?
A4. 新しい仮想ネットワークを作成する際、サブネットの defaultOutboundAccess プロパティを明示的に true に設定することで、従来どおり既定の送信アクセスを利用できます。ARM テンプレート、PowerShell、Azure CLI のいずれの構成方法でも設定可能です。
なお、本設定はあくまで暫定的な互換性確保を目的とした構成であり、長期的には明示的な送信接続方法への移行を推奨いたします。
Q5. 【2026 年 5 月 追記】Azure Advisor や Azure portal で「明示的な送信方法を追加して既定の送信を無効にする」といったアラート/推奨事項が表示されています。どのように対応すればよいですか?
A5. 該当する VM もしくは Virtual Machine Scale Set に対して明示的な送信接続方法 (NAT Gateway、Standard Load Balancer のアウトバウンド規則、Standard パブリック IP の関連付け、UDR による NVA/Firewall 経由など) を構成いただいたうえで、対象サブネットを「プライベート サブネット」に変更 (defaultOutboundAccess = false) し、VM の停止と割り当て解除 (Stop-Deallocate) を実施することでアラートが解消されます。
詳細は公式ドキュメントの FAQ: アラートのクリア手順 をご参照ください。
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。