次の方法で共有


Microsoft Entra ID 認証用に P2S VPN Gateway を構成する – 手動登録アプリ

この記事は、Microsoft Entra ID 認証用にポイント対サイト (P2S) VPN ゲートウェイを構成し、Azure VPN クライアントを手動で登録する場合に役立ちます。 このタイプの構成は、OpenVPN プロトコル接続でのみサポートされています。

このタイプの P2S VPN Gateway 構成は、新しい Microsoft 登録済み VPN クライアント アプリのステップを使用して作成することもできます。 新しいバージョンを使用すると、Azure VPN クライアントを Microsoft Entra テナントに登録するステップがバイパスされます。 また、サポートされるクライアント オペレーティング システムも増えます。 ただし、特定の対象ユーザーの値はまだサポートされていない可能性があります。 ポイント対サイト プロトコルと認証の詳細については、VPN Gateway ポイント対サイト VPN の概要に関する記事を参照してください。

前提条件

この記事の手順では、Microsoft Entra テナントが必要です。 Microsoft Entra テナントがない場合は、「新しいテナントの作成」の記事の手順を使用して作成できます。 ディレクトリを作成するときは、次のフィールドに注意してください。

  • 組織名
  • 初期ドメイン名

既存の P2S ゲートウェイが既にある場合、この記事の手順は、そのゲートウェイを Microsoft Entra ID 認証用に構成する際に役立ちます。 新しい VPN ゲートウェイを作成することもできます。 この記事には、新しいゲートウェイを作成するためのリンクが含まれています。

Note

Microsoft Entra ID 認証は、OpenVPN® プロトコル接続でのみサポートされており、Azure VPN クライアントを必要とします。

Microsoft Entra テナント ユーザーの作成

  1. 新しく作成した Microsoft Entra テナントに 2 つのアカウントを作成します。 手順については、新しいユーザーの追加または削除に関するページを参照してください。

    クラウド アプリケーション管理者ロールは、Azure VPN アプリ登録への同意を与えるために使われます。 ユーザー アカウントを使用して、OpenVPN 認証をテストできます。

  2. アカウントの 1 つにクラウド アプリケーション管理者ロールを割り当てます。 手順については、「Microsoft Entra ID を持つユーザーに管理者ロールと管理者以外のロールを割り当てる」を参照してください。

Azure VPN アプリケーションを承認する

  1. クラウド アプリケーション管理者ロールを割り当てられたユーザーとして、Azure portal にサインインします。

  2. 次に、組織に管理者の同意を付与します。 これにより、Azure VPN アプリケーションでサインインしてユーザー プロファイルを読み取ることができるようになります。 デプロイの場所に関連する URL をコピーし、ブラウザーのアドレス バーに貼り付けます。

    パブリック

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent
    

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent
    

    Microsoft Cloud Germany

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent
    

    21Vianet が運用する Microsoft Azure

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
    

    Note

    同意を提供するために Microsoft Entra テナントにネイティブではないクラウド アプリケーション管理者アカウントを使用している場合は、"common" を URL の Microsoft Entra テナント ID に置き換えます。 また、他の特定のケースでも、"common" をテナント ID に置き換える必要がある場合があります。 テナント ID の検索に関するヘルプについては、「Microsoft Entra テナント ID を検索する方法」を参照してください。

  3. メッセージが表示されたら、クラウド アプリケーション管理者のロールを持つアカウントを選択します。

  4. [要求されているアクセス許可] ページで、[承諾] を選択します。

  5. Microsoft Entra ID に移動します。 左側のウィンドウで、[エンタープライズ アプリケーション] をクリックします。 Azure VPN が一覧表示されます。

    [エンタープライズ アプリケーション] ページのスクリーンショット。[Azure VPN] が表示されています。

VPN ゲートウェイを構成する

重要

Azure portal は、Azure Active Directory フィールドを Entra に更新中です。 Microsoft Entra ID が参照されていて、ポータルにこれらの値がまだ表示されていない場合は、Azure Active Directory の値を選択できます。

  1. 認証に使用するディレクトリのテナント ID を特定します。 これは、[Active Directory] ページの [プロパティ] セクションに表示されています。 テナント ID の検索に関するヘルプについては、「Microsoft Entra テナント ID を検索する方法」を参照してください。

  2. 機能しているポイント対サイト環境がまだない場合は、指示に従って作成します。 ポイント対サイト VPN ゲートウェイを作成して構成する方法については、ポイント対サイト VPN の作成に関する記事を参照してください。 VPN ゲートウェイを作成する場合、Basic SKU は OpenVPN ではサポートされていません。

  3. 仮想ネットワーク ゲートウェイに移動します。 左側のウィンドウで、[ポイント対サイト構成] をクリックします。

    [トンネルの種類]、[認証の種類]、Microsoft Entra の設定項目の設定を示すスクリーンショット。

    次の値を構成します。

    • アドレス プール: クライアント アドレス プール
    • トンネルの種類: OpenVPN (SSL)
    • 認証の種類: Microsoft Entra ID

    Microsoft Entra ID 値の場合は、テナント対象ユーザー発行者 の値に関する次のガイドラインを使用します。 {TenantID} をご使用のテナント ID に置き換えます。この値を置き換えるときに、例から {} を削除するように気をつけてください。

    • テナント: Microsoft Entra テナントの TenantID。 構成に対応するテナント ID を入力します。 テナント URL の末尾に \ (円記号) がないことを確認します。 スラッシュは許容されます。

      • Azure Public AD: https://login.microsoftonline.com/{TenantID}
      • Azure Government AD: https://login.microsoftonline.us/{TenantID}
      • Azure Germany AD: https://login-us.microsoftonline.de/{TenantID}
      • China 21Vianet AD: https://login.chinacloudapi.cn/{TenantID}
    • 対象ユーザー: "Azure VPN" Microsoft Entra Enterprise アプリのアプリケーション ID。

      • Azure Public: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
      • Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
      • Azure Germany: 538ee9e6-310a-468d-afef-ea97365856a9
      • 21Vianet によって運営される Microsoft Azure: 49f817b6-84ae-4cc0-928c-73f27289b3aa
    • 発行者: セキュリティ トークン サービスの URL。 [発行者] 値の末尾にはスラッシュを含めます。 そうしないと、接続が失敗する可能性があります。 例:

      • https://sts.windows.net/{TenantID}/
  4. 設定の構成が完了したら、ページの上部にある [保存] をクリックします。

Azure VPN クライアント プロファイル構成パッケージをダウンロードする

このセクションでは、Azure VPN クライアント プロファイル構成パッケージを生成してダウンロードします。 このパッケージには、クライアント コンピューターで Azure VPN クライアント プロファイルを構成するために使用できる設定が含まれています。

  1. [ポイント対サイトの構成] ページの上部で [VPN クライアントのダウンロード] をクリックします。 クライアント構成パッケージが生成されるまでに数分かかります。

  2. お使いのブラウザーは、クライアント構成の zip ファイルが使用可能なことを示します。 ファイルにはゲートウェイと同じ名前が付けられています。

  3. ダウンロードした zip ファイルを解凍します。

  4. 解凍された "AzureVPN" フォルダーを参照します。

  5. "azurevpnconfig.xml" ファイルの場所をメモしておきます。 azurevpnconfig.xml には、VPN 接続のための設定が含まれています。 このファイルは、接続する必要があるすべてのユーザーに、電子メールやその他の方法で配布することもできます。 ユーザーが正常に接続するには、有効な Microsoft Entra ID 資格情報が必要です。

次のステップ