Tento dokument slouží jako návod pro správce IT u klienta, jak nastavit firewall/allowlist pro komunikaci s naším řešením.
1) Příchozí komunikace ke službě (klient -> naše služba)
Co je potřeba povolit
Na straně klienta je potřeba povolit IP rozsahy služby Microsoft Azure Front Door (Frontend).
Zdroj pravdy je Microsoftem publikovaný, strojově zpracovatelný seznam IP adres a rozsahů:
- Microsoft Download: https://www.microsoft.com/en-us/download/details.aspx?id=56519
- Extrahovaný seznam IPv4 (pomůcka) v příloze - aktuální ke dni 15.05.2026 10:02.
Jaký seznam je relevantní
V uvedených datech je pro tuto situaci relevantní položka (service tag):
AzureFrontDoor.Frontend
Doporučený postup
- Stáhněte aktuální soubor se service tags od Microsoftu.
- V datech vyfiltrujte záznamy pro
AzureFrontDoor.Frontend. - Získejte z nich IP rozsahy (IPv4 a případně i IPv6, pokud ve vaší infrastruktuře používáte).
- Zaveďte je do firewallu / WAF / proxy jako allowlist.
- Nastavte proces pravidelné aktualizace (Microsoft seznam průběžně mění).
Graf (tok komunikace)
[Uživatel / Klientská síť]
|
| 1) Odchozí provoz z klienta
v
[Firewall / Proxy / WAF klienta]
|
| 2) Allowlist: AzureFrontDoor.Frontend (Microsoft Service Tags)
v
[Azure Front Door (Frontend)]
|
v
[Naše aplikace / API]
2) Odchozí komunikace od nás (naše služba -> klient / externí systémy)
Níže je přehled odchozích IP adres (nebo rozsahů) používaných z naší strany, které mohou být potřeba povolit na straně klienta.
Graf (přehled odchozích IP)
Graf (kde se odchozí IP typicky používají)
[Naše služba] |\ | \__ (A) volání klientských API endpointů | \____ (B) webhooky a callbacky do klientských systémů
3) Doporučení pro provoz a změny
Aktualizace seznamu Microsoft IP
- Microsoft IP rozsahy se mění, proto doporučujeme zavést pravidelnou kontrolu a aktualizaci allowlistu.
- V prostředí s přísnými pravidly je vhodné aktualizace automatizovat (načtení dat, filtrace
AzureFrontDoor.Frontend, nasazení do firewallu).
Ověření funkčnosti po nasazení
- Po přidání allowlistu ověřte, že:
- uživatelé se z klientské sítě dostanou na aplikaci,
- API komunikace nepadá na timeout nebo 403/blocked,
- případné webhooky/callbacky prochází oběma směry.
Graf (životní cyklus změny)
[Změna v MS IP listech]
|
v
[Aktualizace allowlistu]
|
v
[Test konektivity]
|
v
[Monitoring + provoz]
4) Nejčastější problémy (troubleshooting)
- Po nasazení allowlistu stále nejde přístup
- Zkontrolujte, že filtrujete správný service tag:
AzureFrontDoor.Frontend. - Ověřte, že pravidla platí pro správné směry (egress z klienta).
- Zkontrolujte, že filtrujete správný service tag:
- Klient používá IPv6
- Ověřte, zda klientská síť nekomunikuje primárně přes IPv6 a zda máte povolené i IPv6 rozsahy.
- Proxy/WAF přepisuje nebo blokuje požadavky
- Ověřte pravidla inspekování TLS, limity, rate-limiting a blokace podle reputace.
Kontaktní informace
Pokud potřebujete potvrdit, které IP a směry komunikace jsou relevantní pro váš konkrétní scénář, kontaktujte nás na podpora@jobka.cz a přiložte:
- popis prostředí (proxy/firewall/WAF),
- případné logy blokací (timestamp, cílová URL, důvod blokace).
Byl tento článek užitečný?
To je skvělé!
Děkujeme Vám za zpětnou vazbu
Je nám líto, že jsme vám nepomohli
Děkujeme Vám za zpětnou vazbu
Zpětná vazba odeslána
Oceňujeme vaši snahu a pokusíme se článek opravit