P2S 証明書認証接続用にネイティブ VPN クライアントを構成する - Windows
ポイント対サイト (P2S) VPN Gateway が IKEv2/SSTP と証明書の認証を使用するように構成されている場合、Windows オペレーティング システムの一部であるネイティブ VPN クライアントを使用して VNet に接続できます。 この記事では、ネイティブ VPN クライアントを構成し、仮想ネットワークに接続する手順について説明します。
開始する前に
クライアント構成の手順を開始する前に、VPN クライアント構成に関する記事を参照していることを確認します。 次の表は、VPN Gateway ポイント対サイト VPN クライアントで使用できる構成についての記事を示しています。 手順は、認証の種類、トンネルの種類、クライアント OS によって異なります。
| 認証 | トンネルの種類 | クライアントの OS | VPN client |
|---|---|---|---|
| 証明書 | |||
| IKEv2、SSTP | Windows | ネイティブ VPN クライアント | |
| IKEv2 | macOS | ネイティブ VPN クライアント | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Azure VPN クライアント OpenVPN クライアント バージョン 2.x OpenVPN クライアント バージョン 3.x |
|
| OpenVPN | macOS | OpenVPN クライアント | |
| OpenVPN | iOS | OpenVPN クライアント | |
| OpenVPN | Linux | Azure VPN クライアント OpenVPN クライアント |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN クライアント | |
| OpenVPN | macOS | Azure VPN クライアント | |
| OpenVPN | Linux | Azure VPN クライアント |
前提条件
この記事では、次の前提条件が既に実行されていることを前提としています。
- ポイント対サイト証明書認証と IKEv2/SSTP トンネルの種類用に VPN ゲートウェイを作成し構成した。 手順については、「P2S VPN Gateway 接続用にサーバー設定を構成する - 証明書認証」を参照してください。
- VPN クライアント構成ファイルを生成し、ダウンロードした。 手順については、「VPN クライアント プロファイル構成ファイルを生成する」を参照してください。
- クライアント証明書を生成できる、または認証に必要な適切なクライアント証明書を取得できる。
ワークフロー
この記事のワークフローは次のとおりです。
- まだ行っていない場合は、クライアント証明書を生成し、インストールします。
- 生成した VPN クライアント プロファイル構成パッケージに含まれる VPN クライアント プロファイル構成ファイルを表示します。
- Windows コンピューターに既にインストールされているネイティブ VPN クライアントを構成します。
- Azure に接続します。
クライアント証明書を生成してインストールする
証明書認証の場合は、1 つのクライアント証明書を各クライアント コンピューターにインストールする必要があります。 使用するクライアント証明書は秘密キーを含めてエクスポートし、証明書パスにすべての証明書が含まれている必要があります。 さらに、一部の構成では、ルート証明書情報もインストールする必要があります。
多くの場合、クライアント証明書をダブルクリックして、クライアント コンピューターに直接インストールできます。 ただし、特定の OpenVPN クライアント構成では、構成を完了するためにクライアント証明書から情報を抽出することが必要な場合があります。
- 証明書の操作の詳細については、ポイント対サイトの証明書生成に関するページを参照してください。
- インストールされたクライアント証明書を表示するには、[ユーザー証明書の管理] を開きます。 クライアント証明書は、現在のユーザー\Personal\Certificates にインストールされます。
クライアント証明書のインストール
各コンピューターには、認証のためにクライアント証明書が必要です。 クライアント証明書がまだローカル コンピューターにインストールされていない場合は、次の手順を使用してインストールできます。
- クライアント証明書を見つけます。 クライアント証明書の詳細については、「クライアント証明書のインストール」を参照してください。
- クライアント証明書をインストールします。 通常は、証明書ファイルをダブルクリックし、(必要に応じて) パスワードを指定すると、これを行うことができます。
構成ファイルを表示する
VPN クライアント プロファイル構成パッケージには、特定のフォルダーが含まれています。 フォルダー内のファイルには、クライアント コンピューターで VPN クライアント プロファイルを構成するために必要な設定が含まれています。 このファイルとそれに含まれる設定は、VPN ゲートウェイと、VPN ゲートウェイで使用するように設定されている認証とトンネルの種類に固有のものです。
生成した VPN クライアント プロファイル構成パッケージを見つけて解凍します。 証明書認証と IKEv2/SSTP の場合、次のファイルが表示されます。
- WindowsAmd64 と WindowsX86 には、それぞれ Windows 64 ビットと 32 ビットのインストーラー パッケージが含まれています。 WindowsAmd64 インストーラー パッケージは、AMD だけでなく、サポートされている 64 ビットの Windows クライアントを対象としています。
- Generic には、独自の VPN クライアント構成の作成に使用される全般的な情報が含まれています。 Generic フォルダーが提供されるのは、IKEv2 または SSTP+IKEv2 がゲートウェイ上で構成された場合です。 構成されているのが SSTP のみの場合、Generic フォルダーは存在しません。
VPN クライアント プロファイルを構成する
接続するには、まず、必要な設定で VPN クライアントを構成する必要があります。 これを行うには、VPN クライアント構成パッケージに含まれる設定を使用して VPN クライアント プロファイルを構成してください。 パッケージ内の設定は、接続先の VPN ゲートウェイに固有です。
バージョンがクライアントのアーキテクチャと一致する限り、各 Windows クライアント コンピューターで同じ VPN クライアント構成パッケージを使用できます。 サポートされているクライアント オペレーティング システムの一覧については、「VPN Gateway に関する FAQ」のポイント対サイトに関するセクションを参照してください。
Note
接続元の Windows クライアント コンピューターの管理者権限が必要です。
VPN クライアント構成パッケージのインストール
- Windows コンピューターのアーキテクチャに対応する VPN クライアント構成ファイルを選択します。 64 ビットのプロセッサ アーキテクチャの場合は、"VpnClientSetupAmd64" インストーラー パッケージを選択します。 32 ビットのプロセッサ アーキテクチャの場合は、"VpnClientSetupX86" インストーラー パッケージを選択します。
- パッケージをダブルクリックしてインストールします。 SmartScreen ポップアップが表示された場合は、 [詳細] 、 [実行] の順に選択します。
のインスタンスに接続するときには、
ポイント対サイト VPN を使用して仮想ネットワークに接続します。
- [VPN] 設定にアクセスし、作成した VPN 接続を探します。 仮想ネットワークと同じ名前です。 [接続] を選択します。 ポップアップ メッセージが表示される場合があります。 [続行] を選択して、昇格された特権を使用します。
- [接続] 状態ページで、[接続] を選択して接続を開始します。 [証明書の選択] 画面が表示された場合は、表示されているクライアント証明書が接続に使用する証明書であることを確認します。 そうでない場合は、ドロップダウン矢印を使用して適切な証明書を選び、[OK] を選択します。
次のステップ
引き続き、追加のサーバーや接続の設定を行います。 「ポイント対サイトの構成の手順」を参照してください。