ユーザーとグループに基づいてアクセスするための P2S の構成 - Microsoft Entra 認証

  • [アーティクル]

P2S の認証方法として Microsoft Entra ID を使用する場合は、ユーザーとグループごとに異なるアクセスを許可するように P2S を構成できます。 異なるユーザーのセットがそれぞれ異なる VPN ゲートウェイに接続できるようにしたい場合、複数のアプリを AD に登録し、それらを異なる VPN ゲートウェイにリンクさせる方法が考えられます。 この記事では、P2S Microsoft Entra 認証用に Microsoft Entra テナントを設定し、Microsoft Entra ID で複数のアプリを作成して登録し、ユーザーやグループごとに異なるアクセスを許可する方法について説明します。 ポイント対サイト プロトコルと認証の詳細については、「ポイント対サイト VPN について」を参照してください。

Note

Microsoft Entra 認証は、OpenVPN® プロトコル接続でのみサポートされ、Azure VPN クライアントを必要とします。

Microsoft Entra テナント

この記事の手順では、Microsoft Entra テナントが必要です。 Microsoft Entra テナントがない場合は、「新しいテナントの作成」の記事の手順を使用して作成できます。 ディレクトリを作成するときは、次のフィールドに注意してください。

  • 組織名
  • 初期ドメイン名

Microsoft Entra テナント ユーザーの作成

  1. 新しく作成した Microsoft Entra テナントに 2 つのアカウントを作成します。 手順については、新しいユーザーの追加または削除に関するページを参照してください。

    • 全体管理者アカウント
    • ユーザー アカウント

    全体管理者アカウントを使用して Azure VPN アプリの登録に同意することができます。 ユーザー アカウントを使用して、OpenVPN 認証をテストできます。

  2. アカウントの 1 つを全体管理者ロールに割り当てます。 手順については、「Microsoft Entra ID を持つユーザーに管理者ロールと管理者以外のロールを割り当てる」を参照してください。

Azure VPN アプリケーションを承認する

  1. 全体管理者ロールを割り当てられたユーザーとして、Azure portal にサインインします。

  2. 次に、組織に管理者の同意を付与します。 これにより、Azure VPN アプリケーションでサインインしてユーザー プロファイルを読み取ることができるようになります。 デプロイの場所に関連する URL をコピーし、ブラウザーのアドレス バーに貼り付けます。

    パブリック

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent

    Microsoft Cloud Germany

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent

    21Vianet が運用する Microsoft Azure

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent

    Note

    同意を提供するために Microsoft Entra テナントにネイティブではないグローバル管理者アカウントを使用している場合は、"common" を URL の Microsoft Entra テナント ID に置き換えます。 また、他の特定のケースでも、"common" をテナント ID に置き換える必要がある場合があります。 テナント ID の検索に関するヘルプについては、「Microsoft Entra テナント ID を検索する方法」を参照してください。

  3. メッセージが表示されたら、全体管理者ロールを持つアカウントを選択します。

  4. [要求されているアクセス許可] ページで、[承諾] を選択します。

  5. Microsoft Entra ID に移動します。 左側のウィンドウで、[エンタープライズ アプリケーション] をクリックします。 Azure VPN が一覧表示されます。

    Screenshot of the Enterprise application page showing Azure V P N listed.

その他のアプリケーションを登録する

このセクションでは、さまざまなユーザーやグループ用にその他のアプリケーションを登録できます。 これらの手順を繰り返して、セキュリティ要件に必要な数だけアプリケーションを作成します。 各アプリケーションが VPN ゲートウェイに関連付けられ、さまざまなユーザーのグループを指定できます。 1 つのゲートウェイに関連付けられるアプリケーションは 1 つだけです。

スコープを追加する

  1. Azure portal で、[Microsoft Entra ID] を選択します。

  2. 左側のウィンドウで、[アプリの登録] を選択します。

  3. [アプリの登録] ページの上部で、[+ 新規登録] を選択します。

  4. [アプリケーションの登録] ページで、 [名前] を入力します。 たとえば、MarketingVPN です。 名前は後でいつでも変更できます。

    • 希望する [サポートされているアカウントの種類] を選択します。
    • ページの下部にある [登録] をクリックします。

  5. 新しいアプリが登録されたら、左側のウィンドウで [API の公開] をクリックします。 次に、[+ スコープの追加] をクリックします。

    • [スコープの追加] ページで、既定のアプリケーション ID の URI をそのまま使用します。
    • 保存して続行 をクリックします。

  6. ページが [スコープの追加] ページに戻ります。 必須フィールドに入力し、[状態][有効] にします。

    Screenshot of Microsoft Entra ID add a scope page.

  7. フィールドへの入力が完了したら、[スコープの追加] をクリックします。

クライアント アプリケーションを追加する

  1. [API の公開] ページで、[+ クライアント アプリケーションの追加] をクリックします。

  2. [クライアント アプリケーションの追加] ページの [クライアント ID] に、クラウドに応じて次の値を入力します。

    • Azure Public: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
    • Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
    • Azure Germany: 538ee9e6-310a-468d-afef-ea97365856a9
    • 21Vianet によって運営される Microsoft Azure: 49f817b6-84ae-4cc0-928c-73f27289b3aa

  3. 含める [承認済みのスコープ] のチェック ボックスをオンにします。 次に、[アプリケーションの追加] をクリックします。

    Screenshot of Microsoft Entra ID add client application page.

  4. [アプリケーションの追加] をクリックします。

アプリケーション (クライアント) ID をコピーする

VPN ゲートウェイで認証を有効にする場合、ポイント対サイト構成の対象ユーザーの値を入力するために、アプリケーション (クライアント) ID の値が必要です。

  1. [概要] ページに移動します。

  2. [概要] ページからアプリケーション (クライアント) ID をコピーし、後でこの値にアクセスできるように保存します。 この情報は、VPN ゲートウェイを構成するために必要です。

    Screenshot showing Client ID value.

アプリケーションへのユーザーの割り当て

ユーザーをアプリケーションに割り当てます。 グループを指定する場合、ユーザーはグループの直接のメンバーである必要があります。 入れ子になったグループはサポートされていません。

  1. Microsoft Entra ID に移動し、[エンタープライズ アプリケーション] を選択 します。
  2. 一覧から、先ほど登録したアプリケーションを見つけ、それをクリックして開きます。
  3. [プロパティ] をクリックします。 [プロパティ] ページ で、[ユーザーのサインインが有効になっていますか][はい] に設定されていることを確認します。 そうでない場合は、値を [はい] に変更します。
  4. [必須の割り当て] で、値を [はい] に変更します。 この設定の詳細については、「アプリケーションのプロパティ」を参照してください。
  5. 変更を加えた場合は、[保存] をクリックして設定を保存します。
  6. 左側のウィンドウで [ユーザーとグループ] をクリックします。 [ユーザーおよびグループ] ページで、[+ ユーザーまたはグループの追加] をクリックして [割り当ての追加] ページを開きます。
  7. [ユーザーおよびグループ] の下のリンクをクリックして、[ユーザーおよびグループ] ページを開きます。 割り当てるユーザーとグループを選択し、[選択] をクリックします。
  8. ユーザーとグループの選択が完了したら、[割り当てる] をクリックします。

ゲートウェイの認証を構成する

重要

Azure portal は、Azure Active Directory フィールドを Entra に更新中です。 Microsoft Entra ID が参照されていて、ポータルにこれらの値がまだ表示されていない場合は、Azure Active Directory の値を選択できます。

この手順では、仮想ネットワーク ゲートウェイの P2S Microsoft Entra 認証を構成します。

  1. 仮想ネットワーク ゲートウェイに移動します。 左側のウィンドウで、[ポイント対サイト構成] をクリックします。

    Screenshot showing point-to-site configuration page.

    次の値を構成します。

    • アドレス プール: クライアント アドレス プール
    • トンネルの種類: OpenVPN (SSL)
    • 認証の種類: Microsoft Entra ID

    Microsoft Entra ID 値の場合は、テナント対象ユーザー発行者 の値に関する次のガイドラインを使用します。

    • テナント: https://login.microsoftonline.com/{TenantID}
    • 対象ユーザー ID: 前のセクションで作成した、アプリケーション (クライアント) ID に対応する値を使用します。 "Azure VPN" Microsoft Entra Enterprise App にはアプリケーション ID を使用しないでください - 作成して登録したアプリケーション ID を使用してください。 代わりに "Azure VPN" Microsoft Entra Enterprise App のアプリケーション ID を使用すると、作成して登録したアプリケーションに割り当てたユーザーのみを付与するのではなく、すべてのユーザーに VPN ゲートウェイへのアクセス権が付与されます (既定でアクセスを設定する方法になります)。
    • 発行者: https://sts.windows.net/{TenantID} 発行者の値には、末尾に必ず / を含めます。

  2. 設定の構成が完了したら、ページの上部にある [保存] をクリックします。

Azure VPN クライアント プロファイル構成パッケージをダウンロードする

このセクションでは、Azure VPN クライアント プロファイル構成パッケージを生成してダウンロードします。 このパッケージには、クライアント コンピューターで Azure VPN クライアント プロファイルを構成するために使用できる設定が含まれています。

  1. [ポイント対サイトの構成] ページの上部で [VPN クライアントのダウンロード] をクリックします。 クライアント構成パッケージが生成されるまでに数分かかります。

  2. お使いのブラウザーは、クライアント構成の zip ファイルが使用可能なことを示します。 ファイルにはゲートウェイと同じ名前が付けられています。

  3. ダウンロードした zip ファイルを解凍します。

  4. 解凍された "AzureVPN" フォルダーを参照します。

  5. "azurevpnconfig.xml" ファイルの場所をメモしておきます。 azurevpnconfig.xml には、VPN 接続のための設定が含まれています。 このファイルは、接続する必要があるすべてのユーザーに、電子メールやその他の方法で配布することもできます。 ユーザーが正常に接続するには、有効な Microsoft Entra 資格情報が必要です。 詳細については、Microsoft Entra 認証 の Azure VPN クライアント プロファイル構成ファイル を参照してください。

次のステップ