Microsoft Entra ID 認証用に P2S VPN ゲートウェイを構成する – Microsoft 登録済みアプリ (プレビュー)

この記事は、新しい Microsoft 登録済み Azure VPN クライアント アプリ ID を使用して、Microsoft Entra ID 認証用にポイント対サイト (P2S) VPN ゲートウェイを構成する場合に役立ちます。

VPN Gateway では、最新バージョンの Azure VPN クライアントに対して、Microsoft 登録済みアプリ ID とそれに対応する対象ユーザー値をサポートするようになりました。 新しい対象ユーザー値を使用して P2S VPN ゲートウェイを構成する場合は、Microsoft Entra テナント用に Azure VPN クライアント アプリを手動で登録するプロセスをスキップします。 アプリ ID は既に作成されており、追加の登録手順を実行しなくても、テナントはそのアプリ ID を自動的に使用できます。 このプロセスは、アプリの承認や、グローバル管理者ロールによるアクセス許可の割り当てを行う必要がないため、Azure VPN クライアントを手動で登録するよりも安全です。

以前は、Azure VPN クライアント アプリを Microsoft Entra テナントに手動で登録 (統合) する必要がありました。 クライアント アプリを登録すると、Azure VPN クライアント アプリケーションの ID を表すアプリ ID が作成され、グローバル管理者ロールを使用して認証を行う必要があります。 アプリケーション オブジェクトの種類の違いをより深く理解するには、「アプリケーションを Microsoft Entra ID に追加する方法と理由」を参照してください。

可能な場合は、Azure VPN クライアント アプリをテナントに手動で登録するのではなく、Microsoft 登録済み Azure VPN クライアント アプリ ID とそれに対応する対象ユーザー値を使用して、新しい P2S ゲートウェイを構成することをお勧めします。 Microsoft Entra ID 認証を使用する Azure VPN Gateway を既に構成している場合は、新しい Microsoft 登録済みアプリ ID を利用するようにゲートウェイとクライアントを更新できます。 Linux クライアントを接続するには、P2S ゲートウェイを新しい対象ユーザー値に更新する必要があります。 Linux 用 Azure VPN クライアントは、古い対象ユーザー値と下位互換性がありません。 既存の P2S ゲートウェイを、新しい対象ユーザー値を使用するように更新する必要がある場合は、P2S VPN ゲートウェイの対象ユーザーの変更に関するページを参照してください。

考慮事項と制限:

• P2S VPN ゲートウェイでサポートできる対象ユーザー値は 1 つのみです。 同時に複数の対象ユーザー値をサポートすることはできません。

• 現時点では、新しい Microsoft 登録済みアプリ ID は、手動で登録される古いアプリほど多くの対象ユーザー値をサポートしていません。 Azure パブリックまたはカスタム以外の対象ユーザー値が必要な場合は、古い手動による登録方法と値を使用します。

• Linux 用 Azure VPN クライアントは、手動で登録されたアプリに対応する古い対象ユーザー値を使用するように構成された P2S ゲートウェイと下位互換性がありません。 Linux 用 Azure VPN クライアントでは、カスタム対象ユーザー値はサポートされています。

• Linux 用 Azure VPN クライアントは他の Linux ディストリビューションやリリースで動作する可能性もありますが、Linux 用 Azure VPN クライアントは次のリリースでのみサポートされています。

  • Ubuntu 20.04
  • Ubuntu 22.04

• macOS および Windows 用 Azure VPN クライアントは、手動で登録されたアプリに対応する古い対象ユーザー値を使用するように構成された P2S ゲートウェイと下位互換性があります。 これらのクライアントでは、カスタム対象ユーザー値を使用することもできます。

次の表は、各アプリ ID でサポートされている Azure VPN クライアントのバージョンと、対応する使用可能な対象ユーザー値を示しています。

ポイント対サイト ワークフロー

Microsoft Entra ID 認証を使用して P2S 接続を正常に構成するには、一連の手順を実行する必要があります。

この記事は次のことに役立ちます。

1. テナントを確認します。
2. 必要な設定を適切に行って VPN ゲートウェイを構成します。
3. VPN クライアント構成パッケージを生成してダウンロードします。

以下の手順では、「次のステップ」セクションに示す記事が役立ちます。

1. Azure VPN クライアントをクライアント コンピューターにダウンロードします。
2. VPN クライアント構成パッケージの設定を使用してクライアントを構成します。
3. 接続。

前提条件

この記事では、次の前提条件が満たされていることを前提としています。

• VPN ゲートウェイ

  • 特定のゲートウェイ オプションは、Microsoft Entra ID 認証を使用する P2S VPN ゲートウェイと互換性がありません。 VPN ゲートウェイでは、Basic SKU またはポリシーベースの VPN の種類を使用できません。 ゲートウェイ SKU の詳細については、「ゲートウェイ SKU について」を参照してください。 VPN の種類の詳細については、VPN Gateway の設定に関するページを参照してください。

  • Microsoft Entra ID 認証と互換性がある VPN ゲートウェイがまだ機能していない場合は、Azure portal での VPN ゲートウェイの作成と管理に関するページを参照してください。 互換性のある VPN ゲートウェイを作成し、この記事に戻って P2S 設定を構成します。

• Microsoft Entra テナント

  • この記事の手順では、Microsoft Entra テナントが必要です。 詳細については、「Microsoft Entra ID で新しいテナントを作成する」を参照してください。

VPN クライアント アドレス プールを追加する

クライアント アドレス プールとは、指定するプライベート IP アドレスの範囲です。 ポイント対サイト VPN 経由で接続するクライアントは、この範囲内の IP アドレスを動的に受け取ります。 接続元であるオンプレミスの場所、または接続先とする VNet と重複しないプライベート IP アドレス範囲を使用してください。 複数のプロトコルを構成するとき、SSTP がプロトコルの 1 つの場合、構成後のアドレス プールは構成されるプロトコル間で均等に分割されます。

1. Azure portal で、お使いの VPN Gateway に移動します。

2. ゲートウェイのページの左側にあるペインで、[ポイント対サイト構成] を選択します。

3. [今すぐ構成] をクリックして構成ページを開きます。

   

4. [ポイント対サイトの構成] ページの [アドレス プール] ボックスに、使用するプライベート IP アドレス範囲を追加します。 VPN クライアントには、指定した範囲から動的に IP アドレスが割り当てられます。 最小のサブネット マスクは、アクティブ/パッシブ構成の場合は 29 ビット、アクティブ/アクティブ構成の場合は 28 ビットです。

5. 次のセクションに進んで他の設定を構成します。

トンネルの種類と認証を構成する

1. 認証に使用するディレクトリのテナント ID を特定します。 テナント ID の検索に関するヘルプについては、「Microsoft Entra テナント ID を検索する方法」を参照してください。

2. トンネルの種類と認証の値を構成します。

   

   次の値を構成します。

   • アドレス プール: クライアント アドレス プール
   • トンネルの種類: OpenVPN (SSL)
   • 認証の種類: Microsoft Entra ID

   Microsoft Entra ID 値の場合は、テナント、対象ユーザー、 発行者 の値に関する次のガイドラインを使用します。 {Microsoft ID Entra Tenant ID} をご使用のテナント ID に置き換えます。この値を置き換える際、例の {} を削除することを忘れないでください。

   • テナント: Microsoft Entra ID テナントの TenantID。 構成に対応するテナント ID を入力します。 テナント URL の末尾に \ (円記号) がないことを確認します。 スラッシュは許容されます。

     • Azure Public: https://login.microsoftonline.com/{Microsoft ID Entra Tenant ID}

   • 対象ユーザー: Microsoft 登録済み Azure VPN クライアントのアプリ ID に対応する値。 このフィールドには、カスタム対象ユーザーを指定することもできます。

     • Azure Public: c632b3df-fb67-4d84-bdcf-b95ad541b5c8

   • 発行者: セキュリティ トークン サービスの URL。 [発行者] 値の末尾にはスラッシュを含めます。 そうしないと、接続が失敗する可能性があります。 例:

     • https://sts.windows.net/{Microsoft ID Entra Tenant ID}/

3. [Azure VPN クライアント アプリケーションに対して管理者の同意を付与する] をクリックする必要はありません。 このリンクは、手動で登録され、古い対象ユーザー値を使用する VPN クライアントのみに使用します。 これにより、Azure portal でページが開きます。

4. 設定の構成が完了したら、ページの上部にある [保存] をクリックします。

VPN クライアント プロファイル構成パッケージをダウンロードする

このセクションでは、Azure VPN クライアント プロファイル構成パッケージを生成してダウンロードします。 このパッケージには、クライアント コンピューターで Azure VPN クライアントのプロファイルを構成するために使用できる設定が含まれています。

1. [ポイント対サイトの構成] ページの上部で [VPN クライアントのダウンロード] をクリックします。 クライアント構成パッケージが生成されるまでに数分かかります。

2. お使いのブラウザーは、クライアント構成の zip ファイルが使用可能なことを示します。 ファイルにはゲートウェイと同じ名前が付けられています。

3. ダウンロードした zip ファイルを解凍します。

4. 解凍された "AzureVPN" フォルダーを参照します。

5. "azurevpnconfig.xml" ファイルの場所をメモしておきます。 azurevpnconfig.xml には、VPN 接続のための設定が含まれています。 このファイルは、接続する必要があるすべてのユーザーに、電子メールやその他の方法で配布することもできます。 正常に接続するには、ユーザーに、有効な Microsoft Entra ID 資格情報が必要です。

Azure VPN クライアントを構成する

次に、プロファイル構成パッケージを調べ、クライアント コンピューター用に Azure VPN クライアントを構成して、Azure に接続します。 [次のステップ] セクションで示されている記事を参照してください。

次のステップ

Azure VPN クライアントを構成します。

• Linux 用 Azure VPN クライアント
• Windows 用 Azure VPN クライアント
• macOS 用 Azure VPN クライアント