Azure VPN クライアントの構成 - Microsoft Entra ID 認証 - Linux (プレビュー)
この記事は、VPN Gateway ポイント対サイト (P2S) VPN と Microsoft Entra ID 認証を使用して仮想ネットワークに接続するように Linux コンピューター (Ubuntu) 上の Azure VPN クライアントを構成する際に役立ちます。 ポイント対サイト接続について詳しくは、ポイント対サイト接続に関するページを参照してください。
この記事の手順は、アプリ ID と対象ユーザーの値が関連付けられている、Microsoft が登録した Azure VPN クライアント アプリを使用する場合の Microsoft Entra ID 認証に適用されます。 この記事は、テナント用に手動で登録された古い Azure VPN クライアント アプリには適用されません。 詳細については、「ポイント対サイト VPN について - Microsoft Entra ID 認証」を参照してください。
Linux 用 Azure VPN クライアントは他の Linux ディストリビューションやリリースで動作する可能性もありますが、Linux 用 Azure VPN クライアントは次のリリースでのみサポートされています。
- Ubuntu 20.04
- Ubuntu 22.04
前提条件
ポイント対サイト サーバー構成の手順を完了します。 「Microsoft Entra ID 認証用に P2S VPN ゲートウェイを構成する」を参照してください。
ワークフロー
Azure VPN Gateway P2S サーバー構成が完了したら、次の手順を実行します。
- Linux 用 Azure VPN クライアントをダウンロードしてインストールします。
- クライアント プロファイル設定を VPN クライアントにインポートします。
- 接続を作成します。
Azure VPN クライアントをダウンロードしてインストールする
次の手順に従って、最新バージョンの Linux 用 Azure VPN クライアントをダウンロードしてインストールします。
Note
Ubuntu バージョン 20.04 または 22.04 のリポジトリ リストのみを追加します。 詳細については、「Microsoft 製品用の Linux ソフトウェア リポジトリ」を参照してください。
# install curl utility
sudo apt-get install curl
# Install Microsoft's public key
curl -sSl https://packages.microsoft.com/keys/microsoft.asc | sudo tee /etc/apt/trusted.gpg.d/microsoft.asc
# Install the production repo list for focal
# For Ubuntu 20.04
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-
ubuntu-focal-prod.list
# Install the production repo list for jammy
# For Ubuntu 22.04
curl https://packages.microsoft.com/config/ubuntu/22.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-
ubuntu-jammy-prod.list
sudo apt-get update
sudo apt-get install microsoft-azurevpnclient
VPN クライアント プロファイル構成パッケージを抽出する
Azure VPN クライアント プロファイルを構成するには、Azure P2S ゲートウェイから VPN クライアント プロファイル構成パッケージをダウンロードします。 このパッケージには、VPN クライアントを構成するために必要な設定が含まれています。
「前提条件」セクションで説明されているように P2S サーバー構成手順を使用した場合は、必要な VPN プロファイル構成ファイルを含む VPN クライアント プロファイル構成パッケージが既に生成およびダウンロードされています。 構成ファイルを生成する必要がある場合は、「VPN クライアント プロファイル構成パッケージをダウンロードする」を参照してください。
以前に手動で登録されたアプリ ID バージョンを使用するように P2S ゲートウェイ構成が構成済みである場合、ご利用の P2S 構成によって Linux VPN クライアントはサポートされません。 Microsoft が登録した Azure VPN クライアント用アプリ ID について記載されたページを参照してください。
VPN クライアント プロファイル構成パッケージを含む zip ファイルを見つけて抽出します。 zip ファイルには、AzureVPN フォルダーが含まれています。 AzureVPN フォルダーには、P2S 構成に複数の認証の種類が含まれているかどうかに応じて、azurevpnconfig_aad.xml ファイルまたは azurevpnconfig.xml ファイルのいずれかがあります。 .xml ファイルには、VPN クライアント プロファイルの構成に使用する設定が含まれています。
プロファイル構成ファイルを変更する
P2S 構成で Microsoft 登録済みアプリ ID を使用するカスタム対象ユーザーを使用している場合、接続しようとするとエラー メッセージ AADSTS650057 が表示されることがあります。 認証を再試行すると、通常は問題が解決します。 これは、VPN クライアント プロファイルにカスタム対象ユーザー ID と Microsoft アプリケーション ID の両方が必要であるために発生します。 これを防ぐには、プロファイル構成 .xml ファイルを変更して、カスタム アプリケーション ID と Microsoft アプリケーション ID の両方を含むようにします。
Note
この手順は、P2S ゲートウェイ構成でカスタム対象ユーザーの値が使用され、登録済みのアプリが Microsoft 登録済み Azure VPN クライアント アプリ ID に関連付けられている場合に必要です。 これがお使いの P2S ゲートウェイ構成に当てはまらない場合は、この手順をスキップできます。
Azure VPN クライアント構成 .xml ファイルを変更するには、メモ帳などのテキスト エディターを使用してファイルを開きます。
次に、applicationid の値を追加し、変更を保存します。 次の例は、
c632b3df-fb67-4d84-bdcf-b95ad541b5c8
のアプリケーション ID 値を示しています。例
<aad> <audience>{customAudienceID}</audience> <issuer>https://sts.windows.net/{tenant ID value}/</issuer> <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant> <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> </aad>
クライアント プロファイル構成設定のインポート
このセクションでは、Linux 用 Azure VPN クライアントを構成します。
[Azure VPN クライアント] ページで、 [インポート] を選択します。
[プロファイルのインポート] を選択し、検索してプロファイル xml ファイルを見つけます。 ファイルを選択します。 ファイルが選択された状態で、[OK] を選択します。
接続プロファイル情報を表示します。 [証明書情報] の値を変更して、既定の DigiCert_Global_Root G2.pem または DigiCert_Global_Root_CA.pem を表示します。 空白のままにしないでください。
VPN クライアント プロファイルに複数のクライアント認証が含まれている場合は、[クライアント認証] の [認証タイプ] で [Microsoft Entra ID] 用のオプションを選択します。
[テナント] フィールドに、Microsoft Entra テナントの URL を指定します。 テナント URL の末尾に
\
(円記号) がないことを確認します。 スラッシュは許容されます。テナント ID の構造は次のとおりです:
https://login.microsoftonline.com/{Entra TenantID}
[対象ユーザー] フィールドに、アプリケーション ID (アプリ ID) を指定します。
Azure Public のアプリ ID は次のとおりです:
c632b3df-fb67-4d84-bdcf-b95ad541b5c8
。 このフィールドのカスタム アプリ ID もサポートされています。[発行者] フィールドに、セキュリティで保護されたトークン サービスの URL を指定します。 [発行者] 値の末尾にはスラッシュを含めます。 そうしないと、接続が失敗する可能性があります。
例:
https://sts.windows.net/{AzureAD TenantID}/
フィールドが入力されたら、[保存] をクリックします。
[VPN 接続] ペインで、保存した接続プロファイルを選択します。 次に、ドロップダウンから [接続] をクリックします。
Web ブラウザーが自動的に表示されます。 Microsoft Entra ID 認証のユーザー名またはパスワードの資格情報を入力して、接続します。
接続が正常に完了すると、クライアントに緑色のアイコンが表示され、[ステータス ログ] ウィンドウには [Status = Connected] が表示されます。
接続されると、状態が 接続済み に変わります。 セッションから切断するには、ドロップダウンから [切断] を選択します。
VPN クライアント プロファイルを削除する
ログを確認する
問題を診断するには、Azure VPN クライアントのログを使用します。
Azure VPN クライアントで、[設定] に移動します。 右側のペインで、[ログ ディレクトリの表示] を選択します。
ログ ファイルにアクセスするには、/var/log/azurevpnclient フォルダーに移動し、AzureVPNClient.log ファイルを見つけます。
次のステップ
VPN Gateway の詳細については、「VPN Gateway のよくあるご質問」をご覧ください。
ポイント対サイト接続について詳しくは、ポイント対サイト接続に関するページを参照してください。