この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

通常、ExpressRoute に接続されていない仮想ネットワークでは、Azure から直接インターネットへ出れるようにルーティングされますが、強制トンネリング設定にて直接インターネットへ接続されないようにすることが可能です。

Azure の観点からとなりますと、強制トンネリングにより Azure VM からインターネット向けの通信は、BGP で配信されたデフォルトルート (0.0.0.0/0) 宛に通信が行われますが、その宛先を Azure 側の設定や構成により、オンプレミスの各 Provider Edge や各社オンプレミス環境に振り分けることはできません。

ExpressRoute で接続された Azure VM は、オンプレミスからくる BGP の経路情報をもとにルーティングされます。Azure VM がオンプレミスにない経路 (宛先) への通信が発生した場合、Azure VM はデフォルトルート宛に通信を行います。
Azure では既定でデフォルトルートは Azure からインターネットに抜ける構成となっていますが、強制トンネリング (オンプレミスから BGP でデフォルトルートを配信) を構成することで、インターネット宛への通信を ExpressRoute の先のオンプレミスに向けることができます。
Azure からデフォルトルートで ExpressRoute の先のオンプレミスに向けられた通信は、オンプレミスのネットワークにより通信の先が制御されます。

一般的に BGP の経路は、同じ経路が伝播された場合、優先度が高い方に通信が寄る構成となります。
通信元 (Azure VM) や宛先 (オンプレミスのルーター) によって通信を分ける場合は、通信を明示的に振り分ける機能を持つルーターを構成する必要があります。

また、強制トンネリングに関しての情報、構成例については下記ページに記載があります。

[詳説 Azure ExpressRoute – Part2: ExpressRoute のルーティング制御について] https://jpaztech1.z11.web.core.windows.net/%E8%A9%B3%E8%AA%ACAzureExpressRoute-Part2ExpressRoute%E3%81%AE%E3%83%AB%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0%E5%88%B6%E5%BE%A1%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6.html
※ 3 枚目の画像が強制トンネリングにてオンプレミス経由でインターネットを行う構成になります。

なお、制限設定の内容によってはライセンス認証ができなくなる場合がありますので、設定の際は下記ページ記載の内容をご参照ください。

[ExpressRoute 環境でライセンス認証ができない事象について]
https://jpaztech1.z11.web.core.windows.net/ExpressRoute%E7%92%B0%E5%A2%83%E3%81%A7%E3%83%A9%E3%82%A4%E3%82%BB%E3%83%B3%E3%82%B9%E8%AA%8D%E8%A8%BC%E3%81%8C%E3%81%A7%E3%81%8D%E3%81%AA%E3%81%84%E4%BA%8B%E8%B1%A1%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6.html