動作箇所NSG はサブネットや Azure 仮想マシンの NIC 上で動作します。 Azure Firewall はインターネット(仮想ネットワーク)と仮想ネットワークの境界で動作します。 サービスタグによるフィルター処理サービス タグは、指定された Azure サービスからの IP アドレス プレフィックスのグループを表します。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。これにより、ネットワーク セキュリティ規則に対する頻繁な更新の複雑さを最小限に抑えられます。 なお、NSG と Azure Firewall では使用できるサービスタグは異なります。 仮想ネットワーク サービス タグ FQDN によるフィルター処理FQDN によるフィルター処理は Azure Firewall のみの機能