Microsoft Entra ID 認証用に P2S VPN Gateway を構成する – 手動登録アプリ
この記事は、Microsoft Entra ID 認証用に Microsoft Entra テナントとポイント対サイト (P2S) VPN Gateway の設定を構成するのに役立ちます。 ポイント対サイト プロトコルと認証の詳細については、VPN Gateway ポイント対サイト VPN の概要に関する記事を参照してください。 Microsoft Entra ID 認証を使用して認証するには、ポイント対サイト構成に OpenVPN トンネルの種類を含める必要があります。
Note
Microsoft Entra ID 認証は、OpenVPN® プロトコル接続でのみサポートされており、Azure VPN クライアントが必要です。
前提条件
この記事の手順では、Microsoft Entra テナントが必要です。 Microsoft Entra テナントがない場合は、「新しいテナントの作成」の記事の手順を使用して作成できます。 ディレクトリを作成するときは、次のフィールドに注意してください。
- 組織名
- 初期ドメイン名
既存の P2S ゲートウェイが既にある場合、この記事の手順は、そのゲートウェイを Microsoft Entra ID 認証用に構成する際に役立ちます。 新しい VPN ゲートウェイを作成することもできます。 この記事には、新しいゲートウェイを作成するためのリンクが含まれています。
Note
Microsoft Entra ID 認証は、OpenVPN® プロトコル接続でのみサポートされており、Azure VPN クライアントを必要とします。
Microsoft Entra テナント ユーザーの作成
新しく作成した Microsoft Entra テナントに 2 つのアカウントを作成します。 手順については、新しいユーザーの追加または削除に関するページを参照してください。
- 全体管理者アカウント
- ユーザー アカウント
全体管理者アカウントを使用して Azure VPN アプリの登録に同意することができます。 ユーザー アカウントを使用して、OpenVPN 認証をテストできます。
アカウントの 1 つを全体管理者ロールに割り当てます。 手順については、「Microsoft Entra ID を持つユーザーに管理者ロールと管理者以外のロールを割り当てる」を参照してください。
Azure VPN アプリケーションを承認する
全体管理者ロールを割り当てられたユーザーとして、Azure portal にサインインします。
次に、組織に管理者の同意を付与します。 これにより、Azure VPN アプリケーションでサインインしてユーザー プロファイルを読み取ることができるようになります。 デプロイの場所に関連する URL をコピーし、ブラウザーのアドレス バーに貼り付けます。
パブリック
https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent
Azure Government
https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent
Microsoft Cloud Germany
https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent
21Vianet が運用する Microsoft Azure
https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
Note
同意を提供するために Microsoft Entra テナントにネイティブではないグローバル管理者アカウントを使用している場合は、"common" を URL の Microsoft Entra テナント ID に置き換えます。 また、他の特定のケースでも、"common" をテナント ID に置き換える必要がある場合があります。 テナント ID の検索に関するヘルプについては、「Microsoft Entra テナント ID を検索する方法」を参照してください。
メッセージが表示されたら、全体管理者ロールを持つアカウントを選択します。
[要求されているアクセス許可] ページで、[承諾] を選択します。
Microsoft Entra ID に移動します。 左側のウィンドウで、[エンタープライズ アプリケーション] をクリックします。 Azure VPN が一覧表示されます。
VPN ゲートウェイを構成する
重要
Azure portal は、Azure Active Directory フィールドを Entra に更新中です。 Microsoft Entra ID が参照されていて、ポータルにこれらの値がまだ表示されていない場合は、Azure Active Directory の値を選択できます。
認証に使用するディレクトリのテナント ID を特定します。 これは、[Active Directory] ページの [プロパティ] セクションに表示されています。 テナント ID の検索に関するヘルプについては、「Microsoft Entra テナント ID を検索する方法」を参照してください。
機能しているポイント対サイト環境がまだない場合は、指示に従って作成します。 ポイント対サイト VPN ゲートウェイを作成して構成する方法については、ポイント対サイト VPN の作成に関する記事を参照してください。 VPN ゲートウェイを作成する場合、Basic SKU は OpenVPN ではサポートされていません。
仮想ネットワーク ゲートウェイに移動します。 左側のウィンドウで、[ポイント対サイト構成] をクリックします。
次の値を構成します。
- アドレス プール: クライアント アドレス プール
- トンネルの種類: OpenVPN (SSL)
- 認証の種類: Microsoft Entra ID
Microsoft Entra ID 値の場合は、テナント、対象ユーザー、 発行者 の値に関する次のガイドラインを使用します。 {TenantID} をご使用のテナント ID に置き換えます。この値を置き換えるときに、例から {} を削除するように気をつけてください。
テナント: Microsoft Entra テナントの TenantID。 構成に対応するテナント ID を入力します。 テナント URL の末尾に
\
(円記号) がないことを確認します。 スラッシュは許容されます。- Azure Public AD:
https://login.microsoftonline.com/{TenantID}
- Azure Government AD:
https://login.microsoftonline.us/{TenantID}
- Azure Germany AD:
https://login-us.microsoftonline.de/{TenantID}
- China 21Vianet AD:
https://login.chinacloudapi.cn/{TenantID}
- Azure Public AD:
対象ユーザー: "Azure VPN" Microsoft Entra Enterprise アプリのアプリケーション ID。
- Azure Public:
41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure Government:
51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure Germany:
538ee9e6-310a-468d-afef-ea97365856a9
- 21Vianet によって運営される Microsoft Azure:
49f817b6-84ae-4cc0-928c-73f27289b3aa
- Azure Public:
発行者: セキュリティ トークン サービスの URL。 [発行者] 値の末尾にはスラッシュを含めます。 そうしないと、接続が失敗する可能性があります。 例:
https://sts.windows.net/{TenantID}/
設定の構成が完了したら、ページの上部にある [保存] をクリックします。
Azure VPN クライアント プロファイル構成パッケージをダウンロードする
このセクションでは、Azure VPN クライアント プロファイル構成パッケージを生成してダウンロードします。 このパッケージには、クライアント コンピューターで Azure VPN クライアント プロファイルを構成するために使用できる設定が含まれています。
[ポイント対サイトの構成] ページの上部で [VPN クライアントのダウンロード] をクリックします。 クライアント構成パッケージが生成されるまでに数分かかります。
お使いのブラウザーは、クライアント構成の zip ファイルが使用可能なことを示します。 ファイルにはゲートウェイと同じ名前が付けられています。
ダウンロードした zip ファイルを解凍します。
解凍された "AzureVPN" フォルダーを参照します。
"azurevpnconfig.xml" ファイルの場所をメモしておきます。 azurevpnconfig.xml には、VPN 接続のための設定が含まれています。 このファイルは、接続する必要があるすべてのユーザーに、電子メールやその他の方法で配布することもできます。 ユーザーが正常に接続するには、有効な Microsoft Entra ID 資格情報が必要です。
次のステップ
- 仮想ネットワークに接続するには、クライアント コンピューターで Azure VPN クライアントを構成する必要があります。 「VPN クライアントを P2S VPN 接続用に構成する - Windows」または「VPN クライアントを P2S VPN 接続用に構成する - macOS」を参照してください。
- よく寄せられる質問については、「VPN Gateway に関する FAQ」の「ポイント対サイト」セクションを参照してください。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示