VPN Gateway P2S 接続用の Azure AD テナントと P2S 構成を構成する

  • [アーティクル]

この記事は、Azure AD 認証用に AD テナントと P2S 設定を構成する際に役立ちます。 ポイント対サイト プロトコルと認証の詳細については、VPN Gateway ポイント対サイト VPN の概要に関する記事を参照してください。 Azure AD 認証の種類を使用して認証するには、ポイント対サイト構成に OpenVPN トンネルの種類を含める必要があります。

注意

Azure AD 認証は、OpenVPN® プロトコル接続でのみサポートされ、Azure VPN クライアントを必要とします。

Azure AD テナント

この記事の手順には、Azure AD テナントが必要です。 Azure AD テナントがない場合、新しいテナントの作成に関する記事の手順に従って作成できます。 ディレクトリを作成するときは、次のフィールドに注意してください。

  • 組織名
  • 初期ドメイン名

Azure AD テナント ユーザーを作成する

  1. 新しく作成した Azure AD テナントに 2 つのアカウントを作成します。 手順については、新しいユーザーの追加または削除に関するページを参照してください。

    • 全体管理者アカウント
    • ユーザー アカウント

    全体管理者アカウントを使用して Azure VPN アプリの登録に同意することができます。 ユーザー アカウントを使用して、OpenVPN 認証をテストできます。

  2. アカウントの 1 つを全体管理者ロールに割り当てます。 手順については、「Azure Active Directory を使ってユーザーに管理者と管理者以外のロールを割り当てる」を参照してください。

Azure VPN アプリケーションを承認する

アプリケーションを承認する

  1. 全体管理者ロールを割り当てられたユーザーとして、Azure portal にサインインします。

  2. 次に、組織に管理者の同意を付与します。 これにより、Azure VPN アプリケーションでサインインしてユーザー プロファイルを読み取ることができるようになります。 デプロイの場所に関連する URL をコピーし、ブラウザーのアドレス バーに貼り付けます。

    パブリック

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent

    Microsoft Cloud Germany

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent

    Azure China 21Vianet

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent

    Note

    Azure AD テナントにネイティブではない全体管理者アカウントを使用して同意を与える場合は、URL の "common" を Azure AD テナント ID に置き換えます。 また、他の特定のケースでも、"common" をテナント ID に置き換える必要がある場合があります。 テナント ID を見つける際にヘルプが必要な場合は、「Azure Active Directory のテナント ID を見つける方法」を参照してください。

  3. メッセージが表示されたら、全体管理者ロールを持つアカウントを選択します。

  4. [要求されているアクセス許可] ページで、[承諾] を選択します。

  5. [Azure Active Directory] に移動します。 左側のウィンドウで、[エンタープライズ アプリケーション] をクリックします。 Azure VPN が一覧表示されます。

    [エンタープライズ アプリケーション] ページのスクリーンショット。[Azure VPN] が表示されています。

ゲートウェイの認証を構成する

  1. 認証に使用するディレクトリのテナント ID を特定します。 これは、[Active Directory] ページの [プロパティ] セクションに表示されています。 テナント ID を見つける際にヘルプが必要な場合は、「Azure Active Directory のテナント ID を見つける方法」を参照してください。

  2. 機能しているポイント対サイト環境がまだない場合は、指示に従って作成します。 ポイント対サイト VPN ゲートウェイを作成して構成する方法については、ポイント対サイト VPN の作成に関する記事を参照してください。

    重要

    Basic SKU は OpenVPN ではサポートされていません。

  3. 仮想ネットワーク ゲートウェイに移動します。 左側のウィンドウで、[ポイント対サイト構成] をクリックします。

    トンネルの種類、認証の種類、および Azure Active Directory 設定の設定を示すスクリーンショット。

    次の値を構成します。

    • アドレス プール: クライアント アドレス プール
    • トンネルの種類: OpenVPN (SSL)
    • 認証の種類: Azure Active Directory

    Azure Active Directory の値については、テナント対象ユーザー発行者の値に関して次のガイドラインを参照します。 {AzureAD TenantID} を実際のテナント ID に置き換えます。

    • テナント: Azure AD テナントの TenantID。 構成に対応するテナント ID を入力します。 テナント URL の末尾に \ が含まれていないことを確認します。

      • Azure Public AD: https://login.microsoftonline.com/{AzureAD TenantID}
      • Azure Government AD: https://login.microsoftonline.us/{AzureAD TenantID}
      • Azure Germany AD: https://login-us.microsoftonline.de/{AzureAD TenantID}
      • China 21Vianet AD: https://login.chinacloudapi.cn/{AzureAD TenantID}

    • Audience (対象ユーザー): "Azure VPN" Azure AD Enterprise アプリのアプリケーション ID。

      • Azure Public: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
      • Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
      • Azure Germany: 538ee9e6-310a-468d-afef-ea97365856a9
      • Azure China 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa

    • 発行者: セキュリティ トークン サービスの URL。 [発行者] 値の末尾にはスラッシュを含めます。 それ以外の場合は、接続に失敗する可能性があります。

      • https://sts.windows.net/{AzureAD TenantID}/

  4. 設定の構成が完了したら、ページの上部にある [保存] をクリックします。

Azure VPN クライアント プロファイル構成パッケージをダウンロードする

このセクションでは、Azure VPN クライアント プロファイル構成パッケージを生成してダウンロードします。 このパッケージには、クライアント コンピューターで Azure VPN クライアント プロファイルを構成するために使用できる設定が含まれています。

  1. [ポイント対サイトの構成] ページの上部で [VPN クライアントのダウンロード] をクリックします。 クライアント構成パッケージが生成されるまでに数分かかります。

  2. お使いのブラウザーは、クライアント構成の zip ファイルが使用可能なことを示します。 ファイルにはゲートウェイと同じ名前が付けられています。

  3. ダウンロードした zip ファイルを解凍します。

  4. 解凍された "AzureVPN" フォルダーを参照します。

  5. "azurevpnconfig.xml" ファイルの場所をメモしておきます。 azurevpnconfig.xml には、VPN 接続のための設定が含まれています。 このファイルは、接続する必要があるすべてのユーザーに、電子メールやその他の方法で配布することもできます。 ユーザーが正常に接続するには、有効な Azure AD 資格情報が必要になります。 詳細については、Azure AD 認証用の Azure VPN クライアント プロファイル構成ファイルに関するページを参照してください。

次のステップ