Azure VPN クライアントの構成 - Microsoft Entra ID 認証 - Windows

この記事は、VPN Gateway ポイント対サイト (P2S) VPN と Microsoft Entra ID 認証を使用して仮想ネットワークに接続するように Windows コンピューター上の Azure VPN クライアントを構成する際に役立ちます。 ポイント対サイト接続について詳しくは、ポイント対サイト接続に関するページを参照してください。 Azure VPN クライアントは、KB4577063 修正プログラムを使用した Windows FIPS モードでサポートされています。

前提条件

Microsoft Entra ID 認証を指定するポイント対サイト VPN 接続用に VPN ゲートウェイを構成します。 「Microsoft Entra ID 認証用に P2S VPN ゲートウェイを構成する」を参照してください。

ワークフロー

この記事では、「Microsoft Entra ID 認証用に P2S VPN ゲートウェイを構成する」の手順の続きを扱います。 この記事は次のことに役立ちます。

  1. Windows 用 Azure VPN クライアントをダウンロードしてインストールします。
  2. VPN クライアント プロファイル構成ファイルを抽出します。
  3. プロファイル構成ファイルをカスタム対象ユーザーの値 (該当する場合) で更新します。
  4. クライアント プロファイル設定を VPN クライアントにインポートします。
  5. 接続を作成し、Azure に接続します。

Azure VPN クライアントをダウンロードする

  1. 次のいずれかのリンクを使用して、最新バージョンの Azure VPN クライアント インストール ファイルをダウンロードします。

    • クライアント インストール ファイルを使用してインストールする: https://aka.ms/azvpnclientdownload
    • クライアント コンピューターにサインインしたときに直接インストールする: Microsoft Store
  2. Azure VPN クライアントを各コンピューターにインストールします。

  3. Azure VPN クライアントにバックグラウンドで実行するためのアクセス許可があることを確認してください。 手順については、Windows バックグラウンド アプリに関するページを参照してください。

  4. インストールされているクライアントのバージョンを確認するには、Azure VPN クライアントを開きます。 クライアントの下部に移動し、[...] -> [? ヘルプ] をクリックします。 右側のウィンドウで、クライアントのバージョン番号を確認できます。

クライアント プロファイルの構成ファイルを抽出する

Azure VPN クライアント プロファイルを構成するには、Azure P2S ゲートウェイから VPN クライアント プロファイル構成パッケージをダウンロードする必要があります。 このパッケージは、構成された VPN ゲートウェイに固有のものとなり、VPN クライアントを構成するために必要な設定が含まれます。 「前提条件」セクションで説明されているように P2S サーバー構成手順を使用した場合は、VPN プロファイル構成ファイルを含む VPN クライアント プロファイル構成パッケージが既に生成およびダウンロードされています。 構成ファイルを生成する必要がある場合は、「VPN クライアント プロファイル構成パッケージをダウンロードする」を参照してください。

VPN クライアント プロファイル構成パッケージを取得したら、zip ファイルを抽出します。 zip ファイルには、AzureVPN フォルダーが含まれています。 AzureVPN フォルダーには、P2S 構成に複数の認証の種類が含まれているかどうかに応じて、azurevpnconfig_aad.xml ファイルまたは azurevpnconfig.xml ファイルが含まれます。 azurevpnconfig_aad.xml または azurevpnconfig.xml のいずれも表示されない場合、あるいは AzureVPN フォルダーがない場合は、VPN ゲートウェイで使用するように構成されているトンネルの種類が OpenVPN であること、および Azure Active Directory (Microsoft Entra ID) 認証が選択されていることを確認します。

プロファイル構成ファイルを変更する

P2S 構成でカスタム対象ユーザーが使用されていて、登録済みのアプリが Microsoft 登録済みアプリ ID に関連付けられている場合は、接続しようとするとエラー メッセージ AADSTS650057 が表示されることがあります。 2 回目のポップアップに Entra ID 資格情報を入力すると、問題が解決します。 これは、VPN クライアント プロファイルに、カスタム対象ユーザー ID と Microsoft アプリケーション ID の両方が必要であるために発生します。 これを回避するには、プロファイル構成 .xml ファイルを、カスタム アプリケーション ID と Microsoft アプリケーション ID の両方を含むように変更します。

Note

この手順は、P2S ゲートウェイ構成でカスタム対象ユーザーの値が使用され、登録済みのアプリが Microsoft 登録済み Azure VPN クライアント アプリ ID に関連付けられている場合に必要です。 お使いの P2S ゲートウェイ構成がこれに当てはまらない場合は、この手順をスキップできます。

  1. Azure VPN クライアント構成 .xml ファイルを変更するには、メモ帳などのテキスト エディターを使用してファイルを開きます。

  2. 次に、applicationid の値を追加し、変更を保存します。 次の例は、c632b3df-fb67-4d84-bdcf-b95ad541b5c8 のアプリケーション ID の値を示しています。

    <aad>
       <audience>{customAudienceID}</audience>
       <issuer>https://sts.windows.net/{tenant ID value}/</issuer>
       <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant>
       <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> 
    </aad>
    

クライアント プロファイル構成設定のインポート

Note

Azure Active Directory の Azure VPN クライアント フィールドを Microsoft Entra ID に変更しています。 この記事で参照されている Microsoft Entra ID フィールドが表示されていても、それらの値がクライアントに反映されていない場合は、同等の Azure Active Directory 値を選択します。

  1. ページ上で、 [インポート] を選択します。

    [追加] ボタンが選択され、[インポート] 操作がウィンドウの左下で強調表示されていることを示すスクリーンショット。

  2. 抽出した Azure VPN クライアント プロファイル構成フォルダーに移動します。 AzureVPN フォルダーを開き、クライアント プロファイル構成ファイル (azurevpnconfig_aad.xml または azurevpnconfig.xml) を選択します。 [開く] を選択してファイルをインポートします。

  3. 接続名の名前を変更します (省略可能)。 この例では、表示される対象ユーザーの値が、Microsoft 登録済み Azure VPN クライアント アプリ ID に関連付けられた新しい Azure パブリック値であることに注目してください。 このフィールドの値は、P2S VPN ゲートウェイが使用するように構成されている値と一致する必要があります。

    スクリーンショットには、プロファイルを保存しているところが示されています。

  4. [保存] をクリックして接続プロファイルを保存します。

  5. 左側のペインで、使用する接続プロファイルを選択します。 [接続] をクリックして、接続を開始します。

    VPN と [接続] ボタンが選択されていることを示すスクリーンショット。

  6. プロンプトが表示されたら、資格情報を使用して認証します。

  7. 接続されると、アイコンが緑色に変わり、[接続済み] と表示されます。

自動的に接続するには

Always-on を使用して自動的に接続するように構成するには、次の手順に従います。

  1. VPN クライアントのホームページで、 [VPN 設定] を選択します。 アプリ切り替えのダイアログ ボックスが表示されたら、[はい] を選択します。

    VPN ホームページのスクリーンショット。[VPN 設定] が選択されています。

  2. 構成するプロファイルが接続されている場合、接続を切断し、プロファイルを強調表示し、[自動的に接続する] チェック ボックスをオンにします。

    [設定] ウィンドウのスクリーンショット。[自動的に接続する] チェック ボックスがオンになっています。

  3. [接続] を選択して接続を開始します。

クライアント プロファイルをエクスポートおよび配布する

使用するプロファイルを作成した後、それを他のユーザーに配布する必要がある場合は、次の手順に従ってプロファイルをエクスポートできます。

  1. エクスポートする VPN クライアント プロファイルを強調表示し、 [...] を選択して、 [エクスポート] を選択します。

    [Azure VPN クライアント] ページを示すスクリーンショット。省略記号が選択され、[エクスポート] が強調表示されています。

  2. このプロファイルを保存する場所を選択し、ファイル名はそのままで、 [保存] を選択して xml ファイルを保存します。

クライアント プロファイルを削除する

  1. 削除するクライアント プロファイルの横にある省略記号を選択します。 [削除] を選択します。

    省略記号と [削除] オプションが選択されていることを示すスクリーンショット。

  2. 確認ポップアップで、[削除] を選択して削除します。

接続の問題を診断する

  1. 接続の問題を診断するには、診断ツールを使用します。 診断する VPN 接続の横にある [...] を選択して、メニューを表示します。 次に、 [診断] を選択します。 [接続プロパティ] ページで、[診断の実行] を選択します。

    省略記号と [診断] が選択されていることを示すスクリーンショット。

  2. 求められたら、自分の資格情報でサインインします。

  3. 結果を表示します。

オプションのクライアント構成設定

追加の DNS サーバー、カスタム DNS、強制トンネリング、カスタム ルート、その他の設定などのオプションの構成設定を使用して Azure VPN クライアントを構成できます。 詳細については、Azure VPN クライアントのオプション設定に関するページを参照してください。

Azure VPN クライアントのバージョン情報

Azure VPN クライアントのバージョン情報については、「Azure VPN クライアントのバージョン」を参照してください。

次のステップ

ポイント対サイト接続について