# プライベート エンドポイント

SCEPman 2.8 以降をインストールすると、Storage Account と Key Vault は Private Endpoint を通じて VNET に接続されます。例外を定義しない限り、これら 2 つの Azure Resources のデータへのアクセスはこの VNET 経由でのみ可能です。

この VNET は、他の SCEPman コンポーネントと同じリソース グループ内にあります。SCEPman および SCEPman Certificate Master の App Services は VNET に接続されており、ネットワーク レベルで Storage Account と Key Vault にアクセスできます。

インストール後は例外が設定されていないため、他のエンティティは Key Vault の証明書やキー、または Storage Account の Table Storage にアクセスできません。必要な場合、たとえば [Subordinate CA を生成する場合](/ja/scepman-depuroi/intermediate-certificate.md) または[ Storage Account を照会する場合](/ja/sono/faqs/general.md#how-can-i-programmatically-query-the-storage-account-table)は、それぞれの Azure Resource の Networking ブレードで例外を追加する必要があります。

Key Vault と Storage Account の管理インターフェースへのアクセスは影響を受けません。つまり、Storage Account の SKU を変更したり、Key Vault のアクセス ログを確認したりするために、管理用マシンを例外リストに追加する必要はありません。&#x20;

SCEPman 2.8 以降をインストールしても、SCEPman および SCEPman Certificate Master の App Services には Private Endpoint はありません。ネットワーク制限なしで、引き続きインターネットからアクセスできます。SCEPman は通常、ネットワーク接続を確立するために使用されるインフラストラクチャの一部であるため、ネットワーク レベルでの SCEPman へのアクセス制限は推奨しません。まだ接続されていない場合でも利用可能であるべきです。

必要に応じて、Conditional Access を使用して、ネットワーク条件を含むさまざまな制限により SCEPman Certificate Master へのアクセスを制限できます。SCEPman は通常 Conditional Access を使用しません。2 つのエンドポイント SCEP と OCSP は Entra 認証を使用しないためです。ただし、次へのアクセスを制限するために Conditional Access を使用することはできます。 [SCEPman の REST API](/ja/zheng-ming-shu-guan-li/api-certificates.md).

## Private Endpoint 用に使用される Azure Resources

## 既存の SCEPman インストールに Private Endpoint を追加する

SCEPman 2.7 以前をインストールしている場合、SCEPman 2.8 以降に更新しても、Key Vault と Storage Account に Private Endpoint は自動的には追加されません。意図的に判断したうえで、手動で追加する必要があります。次の手順に従ってください。

{% stepper %}
{% step %}

### Virtual Network の作成

* SCEPman のリソース グループで、既定の設定または組織の要件に応じて新しい Virtual Network を作成します。これには **既定のサブネット**.
* 新しい **Virtual Network** に追加のサブネットを作成し、既定の設定を使用して **「Subnet Delegation」** を **Microsoft.Web/serverFarms**

<figure><img src="/files/7b6ffa6b1ae9b9f62ef2459766830c06a922b1f8" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### KeyVault Private Endpoint の作成

1. SCEPman の Resource Group > **KeyVault** > Settings > Networking > Private endpoint connections に移動し、private endpoint を作成します
2. リソースの種類を選択: **Microsoft.KeyVault/vaults**
3. を選択し、 **KeyVault** を Resource で選択して **vault** を Target sub-resource に指定します
4. Virtual Network と既定のサブネットを選択します（最初の手順で作成したサブネットではありません）
5. 有効にする **private DNS zone と統合** して、Private DNS zone を自動的に作成して接続します
   {% endstep %}

{% step %}

### Storage Account Private Endpoint の作成

1. SCEPman の Resource Group > **Storage Account** > Security + Networking > Networking > Private endpoints に移動し、Private Endpoint を作成します
2. リソースごとに、target sub-resource を **table**
3. に設定し、Virtual Network と既定のサブネットを選択します
4. 有効にする **private DNS zone と統合** して、Private DNS zone を自動的に作成して接続します
   {% endstep %}

{% step %}

### SCEPman App Service の統合

1. に移動する **SCEPman App service** > Networking > Add virtual network integration を **Outbound traffic configuration** で「Not configured」をクリックして
2. 最初の手順で作成した Virtual Network とサブネットを選択します。
3. 「Outbound internet traffic」オプションのチェックを外し、適用します

<figure><img src="/files/863a6e4ca90fe603bec8fcffbe00bbb38d4ee93a" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/d8da0baca2df51fdde6f2d7a87a8611450bc46a6" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Certificate Master App Service の統合

* 2 つ目の app service に virtual network integration を追加すると、以前の接続を一覧から選択できるため、新しい接続を作成する必要はありません。
* 有効になっている場合は、「Outbound internet traffic」オプションのチェックを外し、適用します

<figure><img src="/files/0420a4a6d19337d5ee645d165e27465481590d5f" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Private Endpoint 承認の確認

KeyVault と Storage Account の両方の Private Endpoint が Approved 状態であることを確認します

<figure><img src="/files/0f43c35c2fa5f76bec3a48dba5d55dd6f576db7e" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### テストと結果

確認できたら、Key Vault と Storage account の両方の public access を無効にできます。

<figure><img src="/files/575aac6d336d9db35e1dba3acb43d279a2c302c7" alt=""><figcaption></figcaption></figure>

正しく接続されている場合、SCEPman のホームページにはすべての接続が「Connected」と表示されるはずです\
![](/files/0fb4620b83637e238e9c10f701ba8a00fb3b850b)

MDM またはを使用して証明書を展開し、private endpoints の実装が成功していることをテストします [Certificate Master。](/ja/zheng-ming-shu-guan-li/certificate-master.md)
{% endstep %}
{% endstepper %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.scepman.com/ja/azure-gou-cheng/private-endpoints.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.