次の方法で共有


シナリオ: ユーザーとグループに基づいて P2S アクセスを構成する - Microsoft Entra ID 認証

この記事では、Microsoft Entra ID 認証を使用するポイント対サイト (P2S) VPN 接続用にユーザーとグループに基づいてアクセスを構成するシナリオを見ていきます。 このシナリオでは、指定されたアクセス許可を持つ複数のカスタム対象ユーザー アプリ ID と複数の P2S VPN ゲートウェイを使って、この種類のアクセスを構成します。 P2S プロトコルと認証の詳細については、「ポイント対サイト VPN について」を参照してください。

このシナリオでは、ユーザーは特定の P2S VPN ゲートウェイに接続するアクセス許可に基づいて異なるアクセス権を持ちます。 大まかには、ワークフローは次のようになります。

  1. Microsoft Entra ID 認証を使用する P2S VPN 用に構成する P2S VPN ゲートウェイごとに、カスタム アプリを作成します。 カスタム アプリ ID を記録しておきます。
  2. カスタム アプリの構成に Azure VPN クライアント アプリケーションを追加します。
  3. カスタム アプリごとにユーザーとグループのアクセス許可を割り当てます。
  4. P2S VPN Microsoft Entra ID 認証用にゲートウェイを構成するときに、Microsoft Entra ID テナントと、そのゲートウェイ経由での接続を許可するユーザーに関連付けられているカスタム アプリ ID を指定します。
  5. ユーザーが接続アクセス許可を持つ P2S VPN ゲートウェイの設定を使って、クライアントのコンピューター上の Azure VPN クライアント プロファイルを構成します。
  6. ユーザーは、接続するときに認証され、自分のアカウントにアクセス許可がある P2S VPN ゲートウェイにのみ接続できます。

考慮事項:

  • VPN ゲートウェイが 1 つしかない場合、この種のきめ細かいアクセスを作成することはできません。
  • Microsoft Entra ID 認証は、OpenVPN® プロトコル接続でのみサポートされており、Azure VPN クライアントを必要とします。 * 適切なクライアント プロファイル パッケージ構成設定を使って各 Azure VPN クライアントを構成し、ユーザーが持っているアクセス許可に対応するゲートウェイに確実に接続するように注意してください。
  • この演習の構成手順を使うときは、最初のカスタム アプリ ID とゲートウェイについてすべての手順を実行してから、残りの各カスタム アプリ ID とゲートウェイについて繰り返すのが、最も簡単かもしれません。

前提条件

  • このシナリオでは、Microsoft Entra テナントが必要です。 まだテナントがない場合は、Microsoft Entra ID で新しいテナントを作成します。 テナント ID を書き留めておきます。 Microsoft Entra ID 認証用に P2S VPN ゲートウェイを構成するときに、この値が必要です。

  • このシナリオでは、複数の VPN ゲートウェイが必要です。 ゲートウェイごとに、カスタム アプリ ID を 1 つだけ割り当てることができます。

    • Microsoft Entra ID 認証と互換性がある少なくとも 2 つの VPN ゲートウェイがまだ機能していない場合は、Azure portal での VPN ゲートウェイの作成と管理に関する記事を参照して、VPN ゲートウェイを作成します。
    • 一部のゲートウェイ オプションは、Microsoft Entra ID 認証を使う P2S VPN ゲートウェイと互換性がありません。 Basic SKU とポリシー ベースの VPN の種類はサポートされていません。 ゲートウェイ SKU の詳細については、「ゲートウェイ SKU について」を参照してください。 VPN の種類の詳細については、VPN Gateway の設定に関するページを参照してください。

アプリケーションの登録

VPN ゲートウェイを構成するときに指定するカスタム対象ユーザー アプリ ID の値を作成するには、アプリケーションを登録する必要があります。 アプリケーションを登録します。 手順については、「アプリケーションの登録」をご覧ください。

  • [名前] フィールドは、ユーザーに表示されます。 このカスタム アプリケーションを介して接続しているユーザーまたはグループを説明するわかりやすいものを使ってください。
  • 残りの設定については、記事で示されている設定を使います。

スコープを追加する

スコープを追加します。 スコープの追加は、ユーザーとグループのアクセス許可を構成するシーケンスの一部です。 手順については、「API を公開し、スコープを追加する」をご覧ください。 後で、このスコープにユーザーとグループのアクセス許可を割り当てます。

  • [スコープ名] フィールドにはわかりやすいものを使ってください (例: マーケティング VPN ユーザー)。 必要に応じて、残りのフィールドを入力します。
  • [状態] では、[有効] を選びます。

Azure VPN クライアント アプリケーションを追加する

Azure VPN クライアント アプリケーションの [クライアント ID] を追加し、[承認済みのスコープ] を指定します。 アプリケーションを追加するとき、可能な場合は、Azure パブリック用の Microsoft 登録済み Azure VPN クライアント アプリ ID c632b3df-fb67-4d84-bdcf-b95ad541b5c8 を使うことをお勧めします。 このアプリの値はグローバルに同意されているため、ユーザーが手動で登録する必要はありません。 手順については、「Azure VPN クライアント アプリケーションを追加する」をご覧ください。

Azure VPN クライアント アプリケーションを追加したら、[概要] ページに移動し、[アプリケーション (クライアント) ID] をコピーして保存します。 この情報は、P2S VPN ゲートウェイを構成するために必要です。

ユーザーとグループの割り当て

ゲートウェイに接続するユーザーやグループにアクセス許可を割り当てます。 グループを指定する場合、ユーザーはグループの直接のメンバーである必要があります。 入れ子になったグループはサポートされていません。

  1. Microsoft Entra ID に移動し、[エンタープライズ アプリケーション] を選択 します。
  2. 一覧から、登録したアプリケーションを見つけ、それをクリックして開きます。
  3. [管理] を展開して、[プロパティ] を選びます。 [プロパティ] ページ で、[ユーザーのサインインが有効になっていますか][はい] に設定されていることを確認します。 そうでない場合は、値を [はい] に変更します。
  4. [必須の割り当て] で、値を [はい] に変更します。 この設定の詳細については、「アプリケーションのプロパティ」を参照してください。
  5. 変更した場合は、ページ上部の [保存] を選びます。
  6. 左側のウィンドウで [ユーザーとグループ] を選択します。 [ユーザーおよびグループ] ページで、[+ ユーザーまたはグループの追加] を選んで [割り当ての追加] ページを開きます。
  7. [ユーザーおよびグループ] の下のリンクをクリックして、[ユーザーおよびグループ] ページを開きます。 割り当てるユーザーとグループを選択し、[選択] をクリックします。
  8. ユーザーとグループの選択を終えたら、[割り当てる] を選びます。

P2S VPN の構成

前のセクションの手順を完了したら、「Microsoft Entra ID 認証用に P2S VPN Gateway を構成する – Microsoft 登録済みアプリ」に進んでください。

  • 各ゲートウェイを構成するときに、適切なカスタム対象ユーザー アプリ ID を関連付けます。
  • Azure VPN クライアント構成パッケージをダウンロードし、特定のゲートウェイに接続するアクセス許可を持つユーザーに対して Azure VPN クライアントを構成します。

Azure VPN クライアントを構成する

Azure VPN クライアント プロファイル構成パッケージを使って、各ユーザーのコンピューターで Azure VPN クライアントを構成します。 クライアント プロファイルが、ユーザーが接続する P2S VPN ゲートウェイに対応していることを確認します。

次のステップ