次の方法で共有


P2S VPN Microsoft Entra ID 認証用のカスタム対象ユーザー アプリ ID を作成または変更する

この記事の手順は、ポイント対サイト (P2S) 接続用の新しい Microsoft 登録済み Azure VPN クライアント向けに Microsoft Entra ID カスタム アプリ ID (カスタム対象ユーザー) を作成するのに役立ちます。 また、既存のテナントを更新して、前の Azure VPN クライアント アプリから新しい Microsoft 登録済み Azure VPN クライアント アプリに変更することもできます。

カスタム対象ユーザー アプリ ID を構成する場合は、Azure VPN クライアント アプリに関連付けられているサポートされている値のいずれかを使用できます。 可能な場合は、Microsoft 登録済みアプリ ID の Azure パブリック対象ユーザーの値 c632b3df-fb67-4d84-bdcf-b95ad541b5c8 をカスタム アプリに関連付けすることをお勧めします。 サポートされている値の完全な一覧については、「P2S VPN - Microsoft Entra ID」を参照してください。

この記事では、大まかな手順について説明します。 アプリケーションを登録するスクリーンショットは、ユーザー インターフェイスへのアクセス方法によって若干異なる場合がありますが、設定は同じです。 詳細については、「クイックスタート: アプリケーションの登録」を参照してください。 P2S の Microsoft Entra ID 認証の詳細については、「P2S の Microsoft Entra ID 認証」を参照してください。

ユーザーとグループに基づいてアクセスを構成または制限するためにカスタム オーディエンス アプリ ID を構成する場合は、「シナリオ: ユーザーとグループに基づいて P2S アクセスを構成する - Microsoft Entra ID 認証」を参照してください。 このシナリオの記事では、アクセス許可を割り当てるワークフローと手順について説明します。

前提条件

  • この記事は、Microsoft Entra テナントとエンタープライズ アプリケーションを作成するためのアクセス許可 (通常はクラウド アプリケーション管理者のロール以上) が既にあることを想定しています。 詳細については、「Microsoft Entra ID で新しいテナントを作成する」と「Microsoft Entra ID を使用してユーザー ロールを割り当てる」を参照してください。

  • この記事では、読者が Microsoft 登録済みアプリ ID Azure パブリック オーディエンス値 c632b3df-fb67-4d84-bdcf-b95ad541b5c8 を使用してカスタム アプリを構成していることを前提としています。 この値はグローバルな同意を有しています。つまり、組織用の同意を提供するためにそれを手動で登録する必要はありません。 その値を使用することをお勧めします。

    • 現時点では、Microsoft 登録済みアプリでサポートされているオーディエンス値は 1 つだけです。 サポートされているその他の値については、サポートされているオーディエンス値の表を参照してください。

    • Microsoft 登録済みオーディエンス値が使用中の構成と互換性がない場合でも、古い手動で登録された ID 値を使用できます。

  • 代わりに手動で登録されたアプリ ID 値を使用する必要がある場合は、この構成を進める前に、アプリがサインインしてユーザー プロファイルを読み取ることを許可する同意を付与する必要があります。 クラウド アプリケーション管理者のロールが割り当てられたアカウントでサインインする必要があります。

    1. 組織用の管理者の同意を付与するには、次のコマンドを変更して目的の client_id 値を含むようにします。 この例では、client_id 値は Azure パブリック用です。 サポートされているその他の値については、を参照してください。

      https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    2. デプロイの場所に関連する URL をコピーし、ブラウザーのアドレス バーに貼り付けます。

    3. メッセージが表示されたら、クラウド アプリケーション管理者のロールを持つアカウントを選択します。

    4. [要求されているアクセス許可] ページで、[承諾] を選択します。

アプリケーションの登録

[アプリの登録] ページに移動する方法はいくつかあります。 1 つの方法は Microsoft Entra 管理センターを使用することです。 Azure portal と Microsoft Entra ID を使用することもできます。 クラウド アプリケーション管理者以上のロールを持つアカウントでサインインします。

  1. 複数のテナントにアクセスできる場合は、上部のメニューの [設定] アイコンを使い、[ディレクトリとサブスクリプション] メニューからアプリケーションを登録するテナントに切り替えます。

  2. [アプリの登録] に移動し、[新規登録] を選択します。

    [新規登録] が選択された [アプリの登録] ページを示すスクリーンショット。

  3. [アプリケーションの登録] ページに、アプリケーションの表示を入力します。 表示名は、サインイン時など、アプリケーションのユーザーがアプリを使用するときに表示されることがあります。 表示名はいつでも変更できます。 複数のアプリ登録で同じ名前を共有できます。 ID プラットフォーム内では、アプリ登録の自動生成されたアプリケーション (クライアント) ID によってアプリが一意に識別されます。

    [アプリケーションの登録] ページを示すスクリーンショット。

  4. アプリケーションを使用できるユーザーを指定します。これは、"サインインの対象ユーザー" と呼ばれることもあります。 [この組織ディレクトリのみに含まれるアカウント (nameofyourdirectory のみ - シングル テナント)] を選択します

  5. リダイレクト URI は次のセクションで構成するので、ここでは [リダイレクト URI (省略可能)] はそのままにしておきます。

  6. [登録] を選択して、初期のアプリ登録を完了します。

登録が完了すると、Microsoft Entra 管理センターにアプリの登録の [概要] ペインが表示されます。 [アプリケーション (クライアント) ID] の値を確認します。 この値は、"クライアント ID" とも呼ばれ、Microsoft ID プラットフォーム内のアプリケーションを一意に識別します。 これは、P2S ゲートウェイを構成するときに使用するカスタム対象ユーザーの値です。 この値が存在する場合でも、Micrsoft 登録済みアプリケーションをアプリケーション ID に関連付けるには、次のセクションを完了する必要があります。

API を公開し、スコープを追加する

このセクションでは、詳細なアクセス許可を割り当てるスコープを作成します。

  1. 登録済みアプリの左側のウィンドウで、[API の公開] を選択します。

    [API の公開] ページを示すスクリーンショット。

  2. スコープの追加 を選択します。 [スコープの追加] ウィンドウで、アプリケーション ID URI を表示します。 このフィールドは自動的に生成されます。 既定値は api://<application-client-id> です。 アプリ ID URI は、API のコードで参照するスコープのプレフィックスとして機能し、グローバルに一意である必要があります。

    スクリーンショットは、アプリケーション ID URI が表示された [スコープの追加] ウィンドウを示しています。

  3. [保存して続行] を選択し、次の [スコープの追加] ウィンドウに進みます。

  4. この [スコープの追加] ウィンドウで、スコープの属性を指定します。 このチュートリアルでは、例の値を使用するか、独自の値を指定できます。

    スクリーンショットには、[スコープの追加] ウィンドウとその詳細な設定が表示されています。

    フィールド
    スコープ名 例: p2s-vpn1
    同意できるユーザー 管理者のみ
    管理者の同意の表示名 例: p2s-vpn1-users
    管理者の同意の説明 例: P2S VPN へのアクセス
    State Enabled
  5. [スコープの追加] を選択してスコープを追加します。

Azure VPN クライアント アプリケーションを追加する

このセクションでは、Microsoft 登録済み Azure VPN クライアント アプリケーション ID を関連付けます。

  1. [API の公開] ページで、[+ クライアント アプリケーションの追加] を選択します。

    [クライアント アプリケーションの追加] が選択されているスクリーンショット。

  2. [クライアント アプリケーションの追加] ウィンドウの [クライアント ID] には、別の値が必要であることがわかっている場合を除き、Microsoft 登録済み Azure VPN クライアント アプリの Azure パブリック アプリケーション ID c632b3df-fb67-4d84-bdcf-b95ad541b5c8 を使用します。

    [クライアント アプリケーションの追加] ウィンドウを示すスクリーンショット。

  3. [承認済みスコープ] が選択されていることを確認します。

  4. [アプリケーションの追加] をクリックします。

値を収集する

アプリケーションの [概要] ページで、Microsoft Entra ID 認証用にポイント対サイト VPN ゲートウェイを構成するときに必要な次の値をメモします。

  • アプリケーション (クライアント) ID: P2S VPN ゲートウェイを構成するときに [対象ユーザー] フィールドに使用するカスタム対象ユーザー ID です。
  • ディレクトリ (テナント) ID: この値は、P2S VPN ゲートウェイの [テナント] および [発行者] フィールドに必要な値の一部です。

P2S VPN ゲートウェイを構成する

前のセクションの手順を完了したら、「Microsoft Entra ID 認証用に P2S VPN Gateway を構成する – Microsoft 登録済みアプリ」に進んでください。

Microsoft 登録済み VPN アプリのクライアント ID に更新する

Note

これらの手順は、Azure VPN クライアント アプリに関連付けられているサポートされている値のいずれかに使用できます。 可能な場合は、Microsoft 登録済みアプリ ID の Azure パブリック対象ユーザーの値 c632b3df-fb67-4d84-bdcf-b95ad541b5c8 をカスタム アプリに関連付けすることをお勧めします。

[対象ユーザー ID] フィールドにカスタム値を使用するように P2S VPN ゲートウェイを既に構成していて、新しい Microsoft 登録済み Azure VPN クライアントに変更する場合は、API にクライアント アプリケーションを追加することで、新しいアプリケーションを承認できます。 この方法を使用することで、最新バージョンのクライアントを使用している場合は、Azure VPN ゲートウェイまたは Azure VPN クライアント上の設定を変更する必要はありません。

次の手順では、Microsoft 登録済み Azure VPN クライアント アプリ ID の対象ユーザー値を使用して、別の承認済みクライアント アプリケーションを追加します。 既存の承認済みクライアント アプリケーションの値は変更しないでください。 既存の承認済みクライアント アプリケーションを使用しなくなった場合は、いつでも削除できます。

  1. [アプリの登録] ページに移動する方法はいくつかあります。 1 つの方法は Microsoft Entra 管理センターを使用することです。 Azure portal と Microsoft Entra ID を使用することもできます。 クラウド アプリケーション管理者以上のロールを持つアカウントでサインインします。

  2. 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを使用し、[ディレクトリとサブスクリプション] メニューから使用するテナントに切り替えます。

  3. [アプリの登録] に移動し、登録済みアプリの表示名を見つけます。 クリックしてページを開きます。

  4. [API の公開] をクリックします。 [API の公開] ページで、以前の Azure VPN クライアントの対象ユーザーの値 Client Id が存在することを確認します。

    [クライアント アプリケーションの追加] が強調表示されている [API の公開] ページを示すスクリーンショット。

  5. [+ クライアント アプリケーションの追加] を選びます。

  6. [クライアント アプリケーションの追加] ウィンドウの [クライアント ID] には、Microsoft 登録済み Azure VPN クライアント アプリの Azure パブリック アプリケーション ID c632b3df-fb67-4d84-bdcf-b95ad541b5c8 を使用します。

  7. [承認済みスコープ] が選択されていることを確認します。 次に、[アプリケーションの追加] をクリックします。

  8. [API の公開] ページに、両方のクライアント ID 値が一覧表示されます。 以前のバージョンを削除する場合は、値をクリックして [クライアント アプリケーションの編集] ページを開き、[削除] をクリックします。

  9. [概要] ページで、値が変更されていないことを確認してください。 ゲートウェイの [対象ユーザー ID] フィールドに表示されるカスタム アプリケーション (クライアント) ID を使用してゲートウェイとクライアントを既に構成しており、クライアントがこのカスタム値を使用するように既に構成されている場合は、追加の変更を加える必要はありません。

次のステップ