次の方法で共有

Microsoft Entra ID 認証用に P2S ユーザー VPN を構成する – Microsoft 登録済みアプリ

  • [アーティクル]

この記事では、Microsoft Entra ID 認証と新しい Microsoft 登録済み Azure VPN クライアント アプリ ID を使用する Virtual WAN へのポイント対サイトユーザー VPN 接続を構成するのに役立ちます。

Note

この記事の手順は、新しい Microsoft 登録済み Azure VPN クライアント アプリ ID とそれに関連付けられた対象ユーザー値を使用して行う Microsoft Entra ID 認証を対象としています。 この記事は、テナント用に手動で登録された古い Azure VPN クライアント アプリには適用されません。 手動で登録された Azure VPN クライアントの手順については、手動で登録された VPN クライアントを使用した P2S ユーザー VPN の構成に関する記事を参照してください。

Virtual WAN では、最新バージョンの Azure VPN クライアントに対して、Microsoft 登録済みアプリ ID とそれに対応する対象ユーザー値をサポートするようになりました。 新しい対象ユーザー値を使用して P2S VPN ゲートウェイを構成する場合は、Microsoft Entra テナント用に Azure VPN クライアント アプリを手動で登録するプロセスをスキップします。 アプリ ID は既に作成されており、追加の登録手順を実行しなくても、テナントはそのアプリ ID を自動的に使用できます。 このプロセスは、アプリの承認や、グローバル管理者ロールによるアクセス許可の割り当てを行う必要がないため、Azure VPN クライアントを手動で登録するよりも安全です。

以前は、Azure VPN クライアント アプリを Microsoft Entra テナントに手動で登録 (統合) する必要がありました。 クライアント アプリを登録すると、Azure VPN クライアント アプリケーションの ID を表すアプリ ID が作成され、グローバル管理者ロールを使用して認証を行う必要があります。 アプリケーション オブジェクトの種類の違いをより深く理解するには、「アプリケーションを Microsoft Entra ID に追加する方法と理由」を参照してください。

可能な場合は、Azure VPN クライアント アプリをテナントに手動で登録するのではなく、Microsoft 登録済み Azure VPN クライアント アプリ ID とそれに対応する対象ユーザー値を使用して、新しい P2S ユーザー VPN ゲートウェイを構成することをお勧めします。 Microsoft Entra ID 認証を使用する P2S ユーザー VPN Gateway を既に構成している場合は、新しい Microsoft 登録済みアプリ ID を利用するようにゲートウェイとクライアントを更新できます。 Linux クライアントを接続するには、P2S ゲートウェイを新しい対象ユーザー値に更新する必要があります。 Linux 用 Azure VPN クライアントは、古い対象ユーザー値と下位互換性がありません。

考慮事項

  • P2S ユーザー VPN ゲートウェイでサポートできる対象ユーザー値は 1 つのみです。 同時に複数の対象ユーザー値をサポートすることはできません。

  • 現時点では、新しい Microsoft 登録済みアプリ ID は、手動で登録される古いアプリほど多くの対象ユーザー値をサポートしていません。 Azure パブリックまたはカスタム以外の対象ユーザー値が必要な場合は、古い手動による登録方法と値を使用します。

  • Linux 用 Azure VPN Client は、手動で登録されたアプリに対応する古い対象ユーザー値を使用するように構成された P2S ゲートウェイと下位互換性がありません。 ただし、Linux 用 Azure VPN クライアントでは、カスタムの対象ユーザー値がサポートされています。

  • Linux 用 Azure VPN クライアントは他の Linux ディストリビューションやリリースで動作する可能性もありますが、Linux 用 Azure VPN クライアントは次のリリースでのみサポートされています。

    • Ubuntu 20.04
    • Ubuntu 22.04

  • macOS および Windows 用の最新バージョンの Azure VPN クライアントは、手動で登録されたアプリに対応する古い対象ユーザー値を使用するように構成された、P2S ゲートウェイとの下位互換性があります。 これらのクライアントは、カスタムの対象ユーザー値もサポートしています。

Azure VPN クライアントの対象ユーザーの値

次の表は、各アプリ ID でサポートされている Azure VPN クライアントのバージョンと、対応する使用可能な対象ユーザー値を示しています。

アプリ ID サポートされている対象ユーザー値 サポートされるクライアント
Microsoft 登録済み - Azure パブリック: c632b3df-fb67-4d84-bdcf-b95ad541b5c8 - Linux
- Windows
- macOS
手動による登録 - Azure パブリック: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure Germany: 538ee9e6-310a-468d-afef-ea97365856a9
- 21Vianet によって運営される Microsoft Azure: 49f817b6-84ae-4cc0-928c-73f27289b3aa		 - Windows
- macOS
Custom <custom-app-id> - Linux
- Windows
- macOS

Note

Microsoft Entra ID 認証は、OpenVPN® プロトコル接続でのみサポートされており、Azure VPN クライアントを必要とします。

この記事では、次のことについて説明します。

  • 仮想 WAN を作成する
  • ユーザー VPN 構成を作成する
  • 仮想 WAN ユーザー VPN プロファイルをダウンロードする
  • 仮想ハブを作成する
  • ハブを編集して P2S ゲートウェイを追加する
  • 仮想ネットワークを仮想ハブに接続する
  • ユーザー VPN クライアント構成をダウンロードして適用する
  • 仮想 WAN を表示する

Virtual WAN 図のスクリーンショット。

開始する前に

構成を開始する前に、以下の条件を満たしていることを確認します。

  • 接続先の仮想ネットワークが用意されていること。 オンプレミス ネットワークのどのサブネットも接続先の仮想ネットワークと重複していないことを確認してください。 Azure portal で仮想ネットワークを作成するには、クイックスタートを参照してください。

  • 仮想ネットワークに仮想ネットワーク ゲートウェイが存在しないこと。 仮想ネットワークにゲートウェイ (VPN または ExpressRoute のどちらか) が存在する場合は、すべてのゲートウェイを削除する必要があります。 この構成の手順は、仮想ネットワークを Virtual WAN 仮想ハブ ゲートウェイに接続するのに役立ちます。

  • ハブ リージョンの IP アドレス範囲を取得します。 このハブは、Virtual WAN によって作成および使用される仮想ネットワークです。 ハブに指定するアドレス範囲が、接続先の既存の仮想ネットワークのアドレス範囲と重複しないようにしてください。 また、オンプレミスで接続するアドレス範囲とも重複しないようにしてください。 オンプレミス ネットワーク構成に含まれている IP アドレス範囲になじみがない場合は、それらの詳細を提供できるだれかと調整してください。

  • この構成には Microsoft Entra ID テナントが必要です。 お持ちでない場合は、「新しいテナントを作成する」の手順に従って作成できます。

  • カスタム対象ユーザー値を使用する場合は、カスタム対象ユーザー アプリ ID の作成または変更に関する記事を参照してください。

仮想 WAN を作成する

ブラウザーから Azure ポータル に移動し、Azure アカウントでサインインします。

  1. ポータルの [リソースの検索] バーで、検索ボックスに「Virtual WAN」と入力し、Enter キーを押します。

  2. 検索結果から、 [Virtual WAN] を選択します。 [Virtual WAN] ページで [+ 作成] を選択し、 [WAN の作成] ページを開きます。

  3. [WAN の作成] ページの [基本] タブで、フィールドに入力します。 例の値を変更して、お使いの環境に適用します。

    スクリーンショットには、[基本] タブが選択された [WAN の作成] ペインが表示されています。

    • サブスクリプション: 使用するサブスクリプションを選択します。
    • リソース グループ: 新規作成するか、または既存のものを使用します。
    • リソース グループの場所: ドロップダウンからリソースの場所を選択します。 WAN はグローバル リソースであり、特定のリージョンに存在するものではありません。 ただし、作成した WAN リソースを管理および検索するために、リージョンを選択する必要があります。
    • 名前: 仮想 WAN に付ける名前を入力します。
    • 種類: Basic または Standard。 [Standard] を選択します。 [Basic] を選択した場合には、Basic 仮想 WAN は、Basic ハブのみを含むことができます。 Basic ハブは、サイト間接続にのみ使用できます。

  4. ページの下部でフィールドへの入力を完了したら、 [確認と作成] を選択します。

  5. 検証に合格したら、 [作成] をクリックして仮想 WAN を作成します。

ユーザー VPN 構成を作成する

ユーザー VPN 構成には、リモート クライアントを接続するためのパラメーターが定義されています。 使用するユーザー VPN 構成を指定する必要があるため、P2S 設定で仮想ハブを構成する前に、ユーザー VPN 構成を作成することが重要です。

重要

Azure portal は、Azure Active Directory フィールドを Entra に更新中です。 Microsoft Entra ID が参照されていて、ポータルにこれらの値がまだ表示されていない場合は、Azure Active Directory の値を選択できます。

  1. お使いの Virtual WAN に移動します。 左側のウィンドウで [接続] を展開し、[ユーザー VPN 構成] ページを選択します。 [ユーザー VPN 構成] ページで、[+ユーザー VPN 構成の作成] をクリックします。

  2. [基本情報] ページで、次のパラメーターを指定します。

    • 構成名 - ユーザー VPN 構成に付ける名前を入力します。 たとえば、TestConfig1
    • [トンネルの種類] - ドロップダウン メニューから [OpenVPN] を選択します。

  3. ページの上部にある [Azure Active Directory] をクリックします。 必要な値は、ポータルのエンタープライズ アプリケーションの [Microsoft Entra ID] ページで確認できます。

    Microsoft Entra ID ページのスクリーンショット。 次の値を構成します:

    • Azure Active Directory - [はい]を選択します。
    • 対象ユーザー - Microsoft が登録した Azure VPN クライアント アプリ ID、Azure パブリック: c632b3df-fb67-4d84-bdcf-b95ad541b5c8 に対応する値を入力します。 このフィールドでは、カスタム対象ユーザーもサポートされています。
    • 発行者 - https://sts.windows.net/<your Directory ID>/ を入力します。
    • AAD テナント - Microsoft Entra テナントの TenantID を入力します。 Microsoft Entra テナント URL の末尾には / を付けないでください。

  4. [作成] をクリックしてユーザー VPN 構成を作成します。 この構成は、演習で後ほど選択します。

空のハブを作成する

次に、仮想ハブを作成します。 このセクションの手順では、後で P2S ゲートウェイを追加できる空の仮想ハブを作成します。 ただし、ハブの作成とゲートウェイの作成を組み合わせる方が常にはるかに効率的です。ハブの構成を変更するたびに、ハブの設定がビルドされるまで待つ必要があるためです。

デモンストレーションの目的で、最初に空のハブを作成し、次のセクションで P2S ゲートウェイを追加します。 ただし、ハブの構成と同時に、次のセクションの P2S ゲートウェイ設定を組み込むことを選択できます。

  1. 作成した仮想 WAN に移動します。 仮想 WAN ページの左側のウィンドウの [接続] で、[ハブ] を選択します。

  2. [ハブ] ページで、 [+ 新しいハブ] を選択して、 [仮想ハブを作成する] ページを開きます。

    スクリーンショットには、[基本] タブが選択された [仮想ハブの作成] ペインが表示されています。

  3. [仮想ハブを作成する] ページの [基本] タブで、次のフィールドを入力します。

    • [リージョン] : 仮想ハブをデプロイするリージョンを選択します。
    • [名前] : 仮想ハブに付ける名前。
    • [ハブ プライベート アドレス空間] : CIDR 表記のハブのアドレス範囲。 ハブを作成するための最小アドレス空間は /24 です。
    • 仮想ハブの容量: ドロップダウンから選択します。 詳細については、仮想ハブの設定に関するページを参照してください。
    • ハブ ルーティングの基本設定: このフィールドを変更する必要がある場合を除き、既定の ExpressRoute のままにします。 詳細については、「仮想ハブ ルーティングの優先順位」を参照してください。

設定を構成したら、検証のために [確認 + 作成] を、次にハブの [作成] をクリックします。 ハブの更新には最大 30 分かかる場合があります。

ハブに P2S ゲートウェイを追加する

このセクションでは、既存の仮想ハブにゲートウェイを追加する方法を示します。 ハブの更新には最大 30 分かかる場合があります。

  1. お使いの Virtual WAN に移動します。 左側のウィンドウで、[設定] を展開し、[ハブ] を選択します。

  2. 編集するハブの名前をクリックします。

  3. ページの上部にある [仮想ハブを編集する] をクリックして、[仮想ハブを編集する] ページを開きます。

  4. [仮想ハブを編集する] ページで、 [VPN サイト用の VPN ゲートウェイを含める][ポイント対サイト ゲートウェイを含める] のチェック ボックスをオンにして、設定を表示します。 次に、値を構成します。

    [仮想ハブを編集する] を示すスクリーンショット。

    • [ゲートウェイ スケール ユニット] : ゲートウェイ スケール ユニットを選択します。 スケール ユニットは、ユーザー VPN ゲートウェイの合計容量を表します。 40 以上のゲートウェイ スケール ユニットを選択した場合は、それに応じてクライアント アドレス プールを計画します。 この設定がクライアント アドレス プールに与える影響の詳細については、クライアント アドレス プールについての記事を参照してください。 ゲートウェイ スケール ユニットについては、FAQ に関する記事を参照してください。
    • [ユーザー VPN 構成] : 前に作成した構成を選択します。
    • ユーザー グループからアドレス プールへのマッピング: アドレス プールを指定します。 この設定の詳細については、「P2S ユーザー VPN のユーザー グループと IP アドレス プールの構成」を参照してください。

  5. 設定を構成したら、[確認] をクリックしてハブを更新します。 ハブの更新には最大 30 分かかる場合があります。

仮想ネットワークをハブに接続する

このセクションでは、仮想ハブと仮想ネットワークの間の接続を作成します。

  1. Azure portal で、左側のウィンドウの仮想 WAN に移動し、[仮想ネットワーク接続] を選択します。

  2. [仮想ネットワーク接続] のページで、[+ 接続の追加] を選択します。

  3. [接続の追加] ページで、接続の設定を構成します。 ルーティング設定については、「ルーティングについて」を参照してください。

    • 接続名: 接続に名前を付けます。
    • ハブ: この接続に関連付けるハブを選択します。
    • サブスクリプション:サブスクリプションを確認します。
    • リソース グループ: 接続先の仮想ネットワークを含むリソース グループを選択します。
    • 仮想ネットワーク: このハブに接続する仮想ネットワークを選択します。 既存の仮想ネットワーク ゲートウェイがない仮想ネットワークを選択してください。
    • [なし] に伝達: 既定では、これは [いいえ] に設定されています。 このスイッチを [はい] に変更すると、 [ルート テーブルへ伝達] および [ラベルへ伝達] の構成オプションが構成できなくなります。
    • ルート テーブルを関連付ける: ドロップダウンから、関連付けるルート テーブルを選択できます。
    • ラベルへ伝達: ラベルはルート テーブルの論理グループです。 この設定では、ドロップダウンから選びます。
    • 静的ルート: 必要に応じて静的ルートを構成します。 ネットワーク仮想アプライアンスの静的ルートを構成します (該当する場合)。 仮想 WAN では、仮想ネットワーク接続の静的ルートに対して 1 つの次ホップ IP がサポートされています。 たとえば、イングレスとエグレスのトラフィック フロー用に個別の仮想アプライアンスがある場合は、仮想アプライアンスを別の VNet に配置し、VNet を仮想ハブに接続することをお勧めします。
    • この VNet 内のワークロードのネクスト ホップ IP をバイパスする: この設定により、NVA を介したすべてのトラフィックを強制することなく、NVA と他のワークロードを同じ VNet にデプロイできます。 この設定は、新しい接続を構成する場合にのみ構成できます。 この設定を既に作成した接続に使用する場合は、接続を削除してから、新しい接続を追加します。
    • [静的ルートを伝達]: この設定は現在ロールアウト中です。この設定を使用すると、[静的ルート] セクションで定義されている静的ルートを、[ルート テーブルへ伝達] で指定されているルート テーブルに伝達できます。 さらに、ルートは、[ラベルへ伝達] と指定されているラベルがあるルート テーブルに伝達されます。 これらのルートは、既定のルート 0/0 を除き、ハブ間で伝達できます。

  4. 構成する設定が完了したら、[作成] をクリックして接続を作成します。

ユーザー VPN プロファイルをダウンロードする

VPN クライアントに必要なすべての構成設定は、VPN クライアント構成 ZIP ファイルに含まれています。 ZIP ファイル内の設定を使用することで、VPN クライアントを簡単に構成できます。 生成する VPN クライアント構成ファイルは、お使いのゲートウェイのユーザー VPN 構成に固有です。 グローバル (WAN レベル) プロファイルまたは特定のハブのプロファイルをダウンロードできます。 詳細と追加の手順については、「グローバル プロファイルとハブ プロファイルのダウンロード」を参照してください。 次の手順では、グローバル WAN レベルのプロファイルがダウンロードされます。

  1. WAN レベルのグローバル プロファイルの VPN クライアント構成パッケージを生成するには、[仮想 WAN] に移動します (仮想ハブではない)。

  2. 左側のウィンドウで [ユーザー VPN 構成] を選択します。

  3. プロファイルをダウンロードする対象の構成を選択します。 同じプロファイルに複数のハブが割り当てられている場合は、プロファイルを展開してハブを表示し、このプロファイルを使用するハブのいずれかを選択します。

  4. [仮想 WAN のユーザー VPN プロファイルのダウンロード] を選択します。

  5. ダウンロード ページで、[EAPTLS] を選択し、[Generate and download profile] (プロファイルを生成してダウンロードする) を選択します。 クライアントの構成設定を含むプロファイル パッケージ (ZIP ファイル) が生成され、コンピューターにダウンロードされます。 パッケージの内容は、構成での認証とトンネルの選択によって異なります。

Azure VPN クライアントを構成する

次に、プロファイル構成パッケージを調べ、クライアント コンピューター用に Azure VPN クライアントを構成して、Azure に接続します。 [次のステップ] セクションで示されている記事を参照してください。

次のステップ

Azure VPN クライアントを構成します。 VPN Gateway クライアントのドキュメントの手順を使用して、Virtual WAN 用の Azure VPN クライアントを構成できます。