Azure VPN クライアントを構成する - Microsoft Entra ID 認証 - macOS

この記事は、Virtual WAN ユーザー VPN ポイント対サイト (P2S) 接続を使用して、Azure 仮想ネットワークに接続するように macOS クライアント コンピューターを構成する場合に役立ちます。 これらの手順は、Microsoft Entra ID 認証用に構成された Azure VPN Gateway を対象としています。 Microsoft Entra ID 認証は、OpenVPN® プロトコル接続のみをサポートしており、Azure VPN クライアントを必要とします。 macOS 用の Azure VPN クライアントは、現在、現地の規制と要件により、フランスと中国では使用できません。

開始する前に

正しい記事が表示されていることを確認します。 次の表は、Azure Virtual WAN ポイント対サイト (P2S) VPN クライアントで使用できる構成についての記事を示しています。 手順は、認証の種類、トンネルの種類、クライアント OS によって異なります。

認証方法	トンネルの種類	クライアントの OS	VPN client
証明書	IKEv2、SSTP	Windows	ネイティブ VPN クライアント
	IKEv2	macOS	ネイティブ VPN クライアント
	IKEv2	Linux	strongSwan
	OpenVPN	Windows	Azure VPN クライアント OpenVPN クライアント バージョン 2.x OpenVPN クライアント バージョン 3.x
	OpenVPN	macOS	OpenVPN クライアント
	OpenVPN	iOS	OpenVPN クライアント
	OpenVPN	Linux	Azure VPN クライアント OpenVPN クライアント
Microsoft Entra ID	OpenVPN	Windows	Azure VPN クライアント
	OpenVPN	macOS	Azure VPN クライアント
	OpenVPN	Linux	Azure VPN クライアント

前提条件

この記事では、次の前提条件が既に実行されていることを前提としています。

• Microsoft Entra ID 認証用のユーザー VPN (P2S) ゲートウェイの構成に関する記事の手順に従って、仮想 WAN を構成しました。 このユーザー VPN 構成では、Microsoft Entra ID (Azure Active Directory) 認証と OpenVPN トンネルの種類を使用する必要があります。
• VPN クライアント構成ファイルを生成し、ダウンロードした。 VPN クライアント プロファイル構成パッケージを生成する手順については、「グローバルおよびハブのプロファイルのダウンロード」を参照してください。

• サポートされたプロセッサ上でサポートされた OS を、クライアント コンピューターが実行していることを確認します。

  • サポートされている macOS リリース: 15 (Sequoia)、14 (Sonoma)、13 (Ventura)、12 (Monterey)
  • サポートされているプロセッサ: x64、Arm64

• デバイスに M シリーズ チップと VPN クライアントの 2.7.101 より前のリリースが搭載されている場合は、Rosetta ソフトウェアをインストールする必要があります。 詳細については、Apple のサポート記事を参照してください

• Azure VPN クライアントのバージョン 2.7.101 以降を使用している場合は、Rosetta ソフトウェアをインストールする必要はありません。

ワークフロー

1. macOS 用 Azure VPN クライアントをダウンロードしてインストールします。
2. VPN クライアント プロファイル構成ファイルを抽出します。
3. クライアント プロファイル設定を VPN クライアントにインポートします。
4. 接続を作成し、Azure に接続します。

Azure VPN クライアントをダウンロードする

1. Apple Store から最新の Azure VPN クライアントをダウンロードします。
2. クライアントをコンピューターにインストールします。

クライアント プロファイル構成ファイルを抽出する

生成した VPN クライアント プロファイル構成パッケージを見つけます。 これらのファイルをもう一度生成する必要がある場合は、「前提条件」セクションを参照してください。 VPN クライアント プロファイル構成パッケージには、VPN プロファイル構成ファイルが含まれています。

VPN クライアント プロファイル構成パッケージを生成してダウンロードすると、VPN クライアントに必要なすべての構成設定が、VPN クライアント プロファイル構成 ZIP ファイルに含まれています。 VPN クライアント プロファイル構成ファイルは、仮想ネットワークの P2S VPN ゲートウェイ構成に特化しています。 ファイルを生成した後に、P2S VPN 構成に変更があった場合は (VPN プロトコルの種類や認証の種類の変更など)、新しい VPN クライアント プロファイル構成ファイルを生成し、接続するすべての VPN クライアントに新しい構成を適用する必要があります。

VPN クライアント プロファイル構成パッケージを見つけて解凍し、AzureVPN フォルダーを開きます。 このフォルダーには、P2S 構成に複数の認証の種類が含まれているかどうかに応じて、azurevpnconfig_aad.xml ファイルまたは azurevpnconfig.xml ファイルがあります。 .xml ファイルには、VPN クライアント プロファイルの構成に使用する設定が含まれています。

プロファイル構成ファイルを変更する

P2S 構成でカスタム オーディエンスと Microsoft 登録アプリ ID を使用している場合は、資格情報の再入力と認証の実行を要求するポップアップが接続のたびに表示される場合があります。 この問題は通常、認証を再試行すると解決します。 これは、VPN クライアント プロファイルにカスタム オーディエンス ID と Microsoft アプリケーション ID の両方が必要であるために発生します。 これを回避するには、プロファイル構成 .xml ファイルを、カスタム アプリケーション ID と Microsoft アプリケーション ID の両方を含むように変更します。

Note

この手順は、P2S ゲートウェイ構成でカスタム対象ユーザーの値が使用され、登録済みのアプリが Microsoft 登録済み Azure VPN クライアント アプリ ID に関連付けられている場合に必要です。 お使いの P2S ゲートウェイ構成がこれに当てはまらない場合は、この手順をスキップできます。

1. Azure VPN クライアント構成 .xml ファイルを変更するには、メモ帳などのテキスト エディターを使用してファイルを開きます。

2. 次に、applicationid の値を追加し、変更を保存します。 次の例は、アプリケーション ID 値 c632b3df-fb67-4d84-bdcf-b95ad541b5c8 を示しています。

   例

   <aad>
      <audience>{customAudienceID}</audience>
      <issuer>https://sts.windows.net/{tenant ID value}/</issuer>
      <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant>
      <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> 
   </aad>
   

VPN クライアント プロファイル構成ファイルのインポート

Note

Azure Active Directory の Azure VPN クライアント フィールドを Microsoft Entra ID に変更しています。 この記事で Microsoft Entra ID フィールドが参照されていても、それらの値がクライアントに反映されていない場合は、同等の Azure Active Directory 値を選択してください。

1. [Azure VPN クライアント] ページで、 [インポート] を選択します。

2. インポートするファイルを含むフォルダーに移動し、そのファイルを選択して、[開く] をクリックします。

3. この画面では、インポートされた VPN クライアント構成ファイルの値を使用して接続値が設定されていることに注意してください。

   • [証明書情報] の値に、既定値や空白ではなく [DigiCert グローバル ルート G2] が表示されていることを確認します。 必要に応じて、この値を調整します。
   • クライアント認証の値が、Microsoft Entra ID 認証用に VPN ゲートウェイを構成するために使用された値と一致していることに注意してください。 このフィールドには、ゲートウェイで使用するように構成されているのと同じ値が反映されている必要があります。

   

4. [保存] をクリックして、接続プロファイル構成を保存します。

5. [VPN 接続] ペインで、保存した接続プロファイルを選択します。 次に、 [接続] をクリックします。

6. 接続されると、状態が 接続済み に変わります。 セッションから切断するには、 [切断] をクリックします。

接続を手動で作成する

1. Azure VPN クライアントを開きます。 クライアントの下部にある [追加] を選択して新しい接続を作成します。

2. [Azure VPN クライアント] ページで、プロファイル設定を構成できます。 [証明書情報] の値を変更して、既定や空白ではなく [DigiCert Global Root G2] を表示し、[保存] をクリックします。

   次の設定を構成します。

   • 接続名: 接続プロファイルを参照するときに使用する名前。
   • VPN サーバー: この名前は、サーバーを参照するために使用する名前です。 ここで選択する名前は、サーバーの正式な名前である必要はありません。
   • サーバー検証
     • 証明書情報: DigiCert グローバル ルート G2
     • サーバー シークレット: サーバー シークレット。
   • クライアント認証
     • 認証の種類: Microsoft Entra ID
     • テナント: テナントの名前。
     • 対象ユーザー: 対象ユーザー値は、P2S ゲートウェイで使用するように構成されている値と一致する必要があります。 通常、この値は c632b3df-fb67-4d84-bdcf-b95ad541b5c8 です。
     • 発行者: 発行者の名前。

3. フィールドに入力した後、 [保存] をクリックします。

4. [VPN 接続] ペインで、構成した接続プロファイルを選択します。 次に、 [接続] をクリックします。

VPN 接続プロファイルを削除する

お使いのコンピューターから VPN 接続プロファイルを削除することができます。

1. Azure VPN クライアントを開きます。
2. 削除する VPN 接続を選択し、[削除] をクリックします。

オプションのクライアント構成設定

追加の DNS サーバー、カスタム DNS、強制トンネリング、カスタム ルート、その他の追加設定など、オプションの構成設定を使用して Azure VPN クライアントを構成できます。 使用可能なオプションの設定と構成手順の説明については、Azure VPN クライアントのオプション設定に関するページを参照してください。

次のステップ

Microsoft 登録済み Azure VPN クライアントの詳細については、「Microsoft Entra ID 認証用に P2S ユーザー VPN を構成する」を参照してください。