【正しい順序】

1. ステップ 1: Storage Account 作成
2. ステップ 2: PE + DNS 統合
3. ステップ 3: Resolver + オンプレ DNS
4. ステップ 4: Public Disable

【各ステップの理由】

• ステップ 1 Storage Account 作成: まず Storage Account を作成します。初期状態では Public Network Access は Default Enabled です。
• ステップ 2 PE + DNS 統合: PE を作成し、Microsoft 推奨 Private DNS Zone をリンク + Zone Group で A レコード自動登録を構成します。
• ステップ 3 Resolver + オンプレ DNS: DNS Private Resolver の Inbound endpoint をデプロイし、オンプレ DNS で blob.core.windows.net 系の条件付き転送を設定します。
• ステップ 4 Public Disable: すべての経路 (VNet 内 + Hybrid) が成立したことを確認した後、Public Network Access を Disabled に切り替えて Zero Trust を完成させます。

【誤った順序の問題点】

• Public Disable を先に行う: PE / DNS が未構成では Storage への一切のアクセスが切断され、運用障害となります。
• Resolver なしでオンプレ DNS 設定: 転送先となる Resolver IP がないため、オンプレからの DNS 解決が失敗します。

【参考】

Hybrid PE DNS