Azure の DNS サービスは Azure DNS (Public)・Private DNS Zones・Azure DNS Private Resolver の 3 つで構成されます。 Private Endpoint の普及により DNS 設計の重要性が劇的に増しており、特にハイブリッド環境では設計の良し悪しが運用全体を左右します。 本記事では、3 サービスの使い分け・統合パターン・ハイブリッド DNS 設計・落とし穴を網羅的に整理します。
| サービス | 用途 | スコープ | 料金 |
|---|---|---|---|
| Azure DNS (Public) | Public ドメイン権威 DNS | インターネット | Zone 月 50 円〜 |
| Private DNS Zones | VNet 内専用 DNS | VNet 内 | Zone 月 50 円〜 |
| Azure DNS Private Resolver | ハイブリッド DNS | Azure ↔ オンプレ | 2-3 万円/月〜 |
Public ドメイン (example.com など) の権威 DNS ホスティング。Microsoft の Anycast ベース DNS で、世界中の Edge から名前解決、SLA 100% (シングル DNS Zone)。
Cloudflare DNS・Google Cloud DNS・AWS Route 53 と機能は同等。Azure 利用企業は Azure DNS を選ぶのが運用統一・連携の観点で自然な選択です。
VNet 内専用の DNS ゾーン。Public からは見えず、内部リソースの名前解決に使用します。
| サービス | Private DNS Zone 名 |
|---|---|
| Storage Blob | privatelink.blob.core.windows.net |
| Storage File | privatelink.file.core.windows.net |
| Storage Data Lake Gen2 | privatelink.dfs.core.windows.net |
| Azure SQL Database | privatelink.database.windows.net |
| Cosmos DB NoSQL | privatelink.documents.azure.com |
| Key Vault | privatelink.vaultcore.azure.net |
| App Service | privatelink.azurewebsites.net |
| Container Registry | privatelink.azurecr.io |
| Azure AI Search | privatelink.search.windows.net |
Azure DNS Private Resolver は 2022 GA のマネージド DNS 解決サービス。オンプレ DNS サーバーと Azure Private DNS Zones 間の双方向フォワーディングを実現します。
『どのドメインをどこへフォワード』を宣言的に管理。例: corp.contoso.local → オンプレ DNS 192.168.10.10。
従来は VM ベースの DNS Forwarder (BIND・Windows DNS Server) を VNet 内に構築する必要があったが、Private Resolver で完全マネージド化。月額約 2-3 万円から、ハイブリッド環境の DNS インフラを劇的に簡素化します。
代表的なパターン:
オンプレ DNS 機器側 (Windows DNS Server・BIND・F5 BIG-IP) でも Conditional Forwarder の設定が必要で、両側の整合が取れていないと名前解決失敗します。
Azure DNS (Public) の DNSSEC は 2024 年に Preview から GA 移行中。完全 GA 後は全 Public Zone で DNSSEC 有効化可能になる予定。
Azure DNS の 3 つのサービスとは?
1) Azure DNS (Public): Public ドメイン (example.com など) の権威 DNS ホスティング、世界中の Anycast ネットワーク経由で名前解決、Microsoft 365 / Web サイト向け。2) Azure Private DNS Zones: VNet 内専用のプライベート DNS ゾーン、Private Endpoint や VM の内部名前解決に必須、Public からは見えない。3) Azure DNS Private Resolver: 2022 GA のハイブリッド DNS 解決サービス、オンプレと Azure 間の双方向 DNS フォワーディングを可能に。それぞれ独立したサービスで、組み合わせて使うのが一般的。Private Endpoint を使う場合は Private DNS Zones がほぼ必須で、ハイブリッド環境では Private Resolver を追加するのが現代的なベストプラクティスです。
Private DNS Zone はどう使いますか?
Private DNS Zone は VNet 内専用の DNS ゾーン。代表的なユースケース: 1) Private Endpoint の名前解決 (例: privatelink.blob.core.windows.net Zone を作成、VNet にリンク、Private Endpoint 作成時に A レコード自動登録)、2) VM の内部名前解決 (Custom Zone 例: corp.contoso.local)、3) AKS Service Discovery 補助。設定手順: Private DNS Zone を作成 → 対象 VNet と Virtual Network Link で関連付け (Registration Enabled で VM の DNS 自動登録 or Resolution Only で読み取り専用)。Microsoft Entra Connect Sync で使う privatelink.* ゾーンは Microsoft 推奨の標準命名規則があり、Azure Portal で Private Endpoint 作成時に自動構成されます。
Azure DNS Private Resolver とは?
Azure DNS Private Resolver は 2022 GA のマネージド DNS 解決サービス。オンプレ DNS サーバーと Azure Private DNS Zones 間の双方向フォワーディングを実現。2 つのエンドポイント: Inbound Endpoint (オンプレ DNS から Azure へ DNS クエリ受信、Private DNS Zones を解決して返却) と Outbound Endpoint (Azure VM から特定オンプレドメインのクエリをオンプレ DNS へフォワード)。DNS Forwarding Ruleset で『どのドメインをどこへフォワード』を宣言的に管理。従来は VM ベースの DNS Forwarder (BIND・Windows DNS Server) を VNet 内に構築する必要があったが、Private Resolver で完全マネージド化。月額約 2-3 万円から、ハイブリッド環境の DNS インフラを劇的に簡素化します。
Conditional Forwarding はどう設定しますか?
Conditional Forwarding は『特定ドメインのクエリのみ別 DNS サーバーへフォワード』する仕組み。代表的なパターン: 1) オンプレ DNS で『privatelink.blob.core.windows.net』を Azure DNS Private Resolver Inbound Endpoint (10.x.x.x) へフォワード → オンプレからの Private Endpoint 解決可能、2) Azure VM の DNS Forwarder で『corp.contoso.local』をオンプレ DNS (192.168.x.x) へフォワード → Azure からのオンプレリソース解決可能。Private Resolver の Outbound Endpoint + DNS Forwarding Ruleset でこれを宣言的に管理。オンプレ DNS 機器側 (Windows DNS Server・BIND・F5 BIG-IP) でも Conditional Forwarder の設定が必要で、両側の整合が取れていないと名前解決失敗します。
Azure DNS (Public) と Cloudflare などの違いは?
Azure DNS (Public) は Microsoft の Anycast ベース権威 DNS、世界中の Edge から名前解決、SLA 100% (シングル DNS Zone)、コスト最安レベル (Zone あたり月 50 円・100 万クエリあたり 50 円)。Cloudflare DNS・Google Cloud DNS・AWS Route 53 などと機能は同等。Azure 利用企業は Azure DNS を選ぶのが運用統一・コスト・連携の観点で自然な選択。差別化要因: 1) Azure リソース (App Service・Application Gateway) との Alias Record 連携 (リソース IP 変更時に自動追随)、2) Microsoft Entra ID 認証 + RBAC でゾーン管理、3) Azure Monitor 統合。サードパーティ DNS にこだわる理由がなければ Azure DNS が標準選択肢になります。
DNSSEC は対応していますか?
Azure DNS (Public) の DNSSEC は 2024 年に Preview から GA 移行中で、本記事執筆時点では一部リージョンで利用可能。完全 GA 後は全 Public Zone で DNSSEC 有効化可能になる予定。DNSSEC は DNS レスポンスの改ざん防止 (DNS スプーフィング対策) で、政府機関・金融機関では必須要件のケース多。Azure DNS の DNSSEC は Microsoft マネージドで鍵管理不要、Zone Sign / KSK / ZSK ロールオーバーすべて自動。コスト追加は小規模 (月数百円〜)、有効化すると Parent Zone (TLD レジストリ) に DS レコード登録必要 (.com なら GoDaddy や Cloudflare Registrar 経由)。Microsoft の DNSSEC GA 完了後は本番 Public Zone で有効化が推奨されます。
DNS 設計の落とし穴は?
代表的な落とし穴: 1) Private Endpoint 作成時に Private DNS Zone との統合を忘れ、名前解決失敗、2) VNet Custom DNS 設定 (Custom DNS = オンプレ DC IP) で Azure 提供 DNS が無効化、Private DNS Zone が機能しない (Private Resolver Inbound Endpoint を VNet DNS に設定する必要)、3) 複数 VNet で同じ Private DNS Zone を別々に作成、不整合発生 (Hub VNet に集約推奨)、4) オンプレ Conditional Forwarder の設定忘れで Private Endpoint がオンプレから解決不可、5) Public DNS と Private DNS で同じ FQDN を持ち、Split-horizon DNS の挙動が想定外、6) DNS TTL を長くしすぎて変更反映遅延 (1 時間以下推奨)、7) Azure DNS の Resource Locking 設定忘れで誤削除。Private Endpoint 普及で DNS 設計の重要性が劇的に増している領域です。
関連認定試験は?
AZ-700 (Network Engineer Associate) で Azure DNS・Private DNS Zone・Private Resolver が深く問われ、ハイブリッド DNS 設計が頻出。AZ-104 (Administrator) のドメイン 4 で基礎、AZ-305 (Solutions Architect Expert) でアーキテクト視点での DNS 戦略、AZ-800 / AZ-801 (Windows Server Hybrid) でハイブリッド AD DS DNS、SC-100 (Cybersecurity Architect Expert) でゼロトラストネットワーク・名前解決のセキュリティ。Private Endpoint を多用する現代の Azure 設計では DNS の理解が必須スキルです。
関連記事・技術深掘り
Azure Private Endpoint vs Service Endpoint 完全比較|PaaS への安全な接続パターン【2026 年版】
Azure の PaaS サービスへの安全なネットワーク接続パターン Private Endpoint と Service Endpoint を完全比較。動作原理・コスト・セキュリティ・対応サービス・名前解決・NSG 統合・制約を表形式で整理。Private DNS Zone 設定、オンプレからの解決、選定基準、関連認定試験 (AZ-700 / SC-100) を日本語で網羅。
Azure Architect キャリアロードマップ|AZ-900 → AZ-305 → SC-100 シニアアーキテクトへの道【2026 年版】
Azure Solutions Architect になるための認定取得ロードマップ完全版。AZ-900 → AZ-104 → AZ-305 の王道ルート、AZ-400 / SC-100 / AZ-700 との二刀流 / 三刀流戦略、マルチクラウド対応 (AWS / GCP)、未経験から 7-12 ヶ月の学習プラン、年収レンジまで日本語で網羅。
Hyper-V on Azure 完全ガイド|Nested Virtualization・AVS・Azure Migrate・Windows Server 2025 新機能【2026 年版】
Hyper-V on Azure (Nested Virtualization) の完全ガイド。Nested Virtualization の制約、Azure VMware Solution (AVS) との違い、構築手順、Azure Migrate でのオンプレ Hyper-V VM 移行、Windows Server 2025 新機能、Container / WSL2 等代替技術、関連認定試験 (AZ-800 / AZ-801 / AZ-140) を日本語で網羅。
Azure VMSS 完全ガイド|Uniform/Flexible・Auto Scale・Rolling Upgrade・Spot 混在【2026 年版】
Azure Virtual Machine Scale Sets (VMSS) の完全ガイド。Uniform vs Flexible Orchestration mode の使い分け、Auto Scale (Metric/Schedule/Custom)、Custom Image と Azure Compute Gallery、Rolling Upgrade Policy、Spot + Regular 混在パターン、関連認定試験 (AZ-104 / AZ-305 / AZ-400) を日本語で網羅。
本記事の技術情報は Azure DNS Documentation に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Azure は Microsoft group of companies の商標です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ず公式ページをご確認ください。
NicheeLab編集部
データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。
AZ-900 完全ガイド|Microsoft Azure Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Fundamentals (AZ-900) の 2026 年 1 月 14 日改訂版に対...
Azure 認定資格ロードマップ 2026 完全版|全 26 試験の体系と大型再編 (AI-901/AI-103/SC-500)
Microsoft Azure 認定資格 全 26 試験 (現行 23 + 退役 3) の 2026 年版ロードマップ。...
AI-901 完全ガイド|Azure AI Fundamentals 新試験
Microsoft Certified: Azure AI Fundamentals (AI-901) の出題範囲・Mi...
Microsoft Entra ID 入門|旧 Azure AD から学ぶ ID 管理 (AZ-900/SC-900/AZ-104 必須知識)
Microsoft Entra ID (旧 Azure Active Directory) の入門解説。2023 年 7...
DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範...