次の方法で共有

Azure VPN クライアントの構成 - Microsoft Entra ID 認証 - Windows

この記事は、VPN Gateway ポイント対サイト (P2S) VPN と Microsoft Entra ID 認証を使用して仮想ネットワークに接続するように Windows コンピューター上の Azure VPN クライアントを構成する際に役立ちます。 ポイント対サイト接続について詳しくは、ポイント対サイト接続に関するページを参照してください。 Azure VPN クライアントは、KB4577063 修正プログラムを使用した Windows FIPS モードでサポートされています。

前提条件

Microsoft Entra ID 認証を指定するポイント対サイト VPN 接続用に VPN ゲートウェイを構成します。 「Microsoft Entra ID 認証用に P2S VPN ゲートウェイを構成する」を参照してください。

Azure VPN Client for Windows が他のオペレーティング システムバージョンで動作する可能性もありますが、Azure VPN Client for Windows は次のリリースでのみサポートされています。

  • サポートされている Windows リリース: X64 プロセッサ上の Windows 10、Windows 11。
  • Azure VPN Client for Windows は、ARM プロセッサで実行されているシステムではサポートされていません。

Workflow

この記事では、「Microsoft Entra ID 認証用に P2S VPN ゲートウェイを構成する」の手順の続きを扱います。 この記事は次のことに役立ちます。

  1. Windows 用 Azure VPN クライアントをダウンロードしてインストールします。
  2. VPN クライアント プロファイル構成ファイルを抽出します。
  3. プロファイル構成ファイルをカスタム対象ユーザーの値 (該当する場合) で更新します。
  4. クライアント プロファイル設定を VPN クライアントにインポートします。
  5. 接続を作成し、Azure に接続します。

Azure VPN クライアントをダウンロードする

Azure VPN クライアントで使用できる機能と設定は、使用しているクライアントのバージョンによって異なります。 Azure VPN クライアントのバージョン情報については、「Azure VPN クライアントのバージョン」を参照してください。

  1. 次のいずれかのリンクを使用して、最新バージョンの Azure VPN クライアント インストール ファイルをダウンロードします。

    • クライアント インストール ファイルを使用してインストールする: https://aka.ms/azvpnclientdownload
    • クライアント コンピューターにサインインしたときに直接インストールする: Microsoft Store

  2. Azure VPN クライアントを各コンピューターにインストールします。

  3. Azure VPN クライアントにバックグラウンドで実行するためのアクセス許可があることを確認してください。 手順については、Windows バックグラウンド アプリに関するページを参照してください。

  4. インストールされているクライアントのバージョンを確認するには、Azure VPN クライアントを開きます。 クライアントの下部に移動し、[...] -> [? ヘルプ] をクリックします。 右側のウィンドウで、クライアントのバージョン番号を確認できます。

クライアント プロファイルの構成ファイルを抽出する

Azure VPN クライアント プロファイルを構成するには、Azure P2S ゲートウェイから VPN クライアント プロファイル構成パッケージをダウンロードする必要があります。 このパッケージは、構成された VPN ゲートウェイに固有のものとなり、VPN クライアントを構成するために必要な設定が含まれます。 「前提条件」セクションで説明されているように P2S サーバー構成手順を使用した場合は、VPN プロファイル構成ファイルを含む VPN クライアント プロファイル構成パッケージが既に生成およびダウンロードされています。 構成ファイルを生成する必要がある場合は、「VPN クライアント プロファイル構成パッケージをダウンロードする」を参照してください。

VPN クライアント プロファイル構成パッケージを取得したら、zip ファイルを抽出します。 zip ファイルには、AzureVPN フォルダーが含まれています。 AzureVPN フォルダーには、P2S 構成に複数の認証の種類が含まれているかどうかに応じて、azurevpnconfig_aad.xml ファイルまたは azurevpnconfig.xml ファイルが含まれます。 azurevpnconfig_aad.xml または azurevpnconfig.xml のいずれも表示されない場合、あるいは AzureVPN フォルダーがない場合は、VPN ゲートウェイで使用するように構成されているトンネルの種類が OpenVPN であること、および Azure Active Directory (Microsoft Entra ID) 認証が選択されていることを確認します。

プロファイル構成ファイルを変更する

P2S 構成でカスタム オーディエンスと Microsoft 登録アプリ ID を使用している場合は、資格情報の再入力と認証の実行を要求するポップアップが接続のたびに表示される場合があります。 この問題は通常、認証を再試行すると解決します。 これは、VPN クライアント プロファイルにカスタム オーディエンス ID と Microsoft アプリケーション ID の両方が必要であるために発生します。 これを回避するには、プロファイル構成 .xml ファイルを、カスタム アプリケーション ID と Microsoft アプリケーション ID の両方を含むように変更します。

この手順は、P2S ゲートウェイ構成でカスタム対象ユーザーの値が使用され、登録済みのアプリが Microsoft 登録済み Azure VPN クライアント アプリ ID に関連付けられている場合に必要です。 お使いの P2S ゲートウェイ構成がこれに当てはまらない場合は、この手順をスキップできます。

  1. Azure VPN クライアント構成 .xml ファイルを変更するには、メモ帳などのテキスト エディターを使用してファイルを開きます。

  2. 次に、applicationid の値を追加し、この変更を保存します。 次の例は、アプリケーション ID 値 c632b3df-fb67-4d84-bdcf-b95ad541b5c8 を示しています。

    <aad>
   <audience>{customAudienceID}</audience>
   <issuer>https://sts.windows.net/{tenant ID value}/</issuer>
   <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant>
   <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> 
</aad>

VPN クライアントを構成して接続する

Azure Active Directory の Azure VPN クライアント フィールドを Microsoft Entra ID に変更しています。 この記事で参照されている Microsoft Entra ID フィールドが表示されていても、それらの値がクライアントに反映されていない場合は、同等の Azure Active Directory 値を選択します。

  1. Azure VPN クライアントを開きます。

  2. ページの左下の + を選択した後、[インポート] を選択します。

  3. 抽出した Azure VPN クライアント プロファイル構成フォルダーに移動します。 AzureVPN フォルダーを開き、クライアント プロファイル構成ファイル (azurevpnconfig_aad.xml または azurevpnconfig.xml) を選択します。 [開く] を選択してファイルをインポートします。

  4. クライアント プロファイル ページでは、設定の多くが既に指定されていることに注目してください。 インポートした VPN クライアント プロファイル パッケージには、事前構成済みの設定が含まれています。 ほとんどの設定は既に指定されていますが、クライアント コンピューターに固有の設定を構成する必要があります。

  5. 接続名の名前を変更します (省略可能)。 この例では、表示されるオーディエンスの値が、Microsoft 登録済み Azure VPN クライアント アプリ ID に関連付けられた値であることに注目してください。 このフィールドの値は、P2S VPN ゲートウェイが使用するように構成されている値と一致する必要があります。

    スクリーンショットには、プロファイルを保存しているところが示されています。

  6. [保存] をクリックして接続プロファイルを保存します。

  7. 左側のペインで、使用する接続プロファイルを選択します。 [接続] をクリックして、接続を開始します。

  8. プロンプトが表示されたら、資格情報を使用して認証します。

  9. 接続されると、アイコンが緑色に変わり、[接続済み] と表示されます。

  10. バージョン 4.0.0.0 以降で利用可能な Azure VPN クライアント システム トレイを使用すると、接続をアクティブにしたまま Azure VPN クライアント アプリケーションを閉じることができます。 アプリケーションを閉じると、Windows システム トレイにアプリケーションが表示されます。 トレイ アイコンをクリックすると、Azure VPN クライアント アプリをコンパクト モードで再度開くことができます。

    Azure VPN クライアントのスクリーンショット。

クライアント プロファイルをエクスポートおよび配布する

使用するプロファイルを作成した後、それを他のユーザーに配布する必要がある場合は、次の手順に従ってプロファイルをエクスポートできます。

  1. エクスポートする VPN クライアント プロファイルを強調表示し、 [...] を選択して、 [エクスポート] を選択します。

    [Azure VPN クライアント] ページを示すスクリーンショット。省略記号が選択され、[エクスポート] が強調表示されています。

  2. このプロファイルを保存する場所を選択し、ファイル名はそのままで、 [保存] を選択して xml ファイルを保存します。

クライアント プロファイルを削除する

  1. エクスポートする VPN クライアント プロファイルを強調表示し、[...] を選択して、[削除] を選択します。

  2. 確認ポップアップで、[削除] を選択して削除します。

接続の操作

自動的に接続する

Always-on を使用して自動的に接続するように接続を構成できます。

  1. VPN クライアントのホームページで、 [VPN 設定] を選択します。 アプリ切り替えのダイアログ ボックスが表示されたら、[はい] を選択します。

    VPN ホームページのスクリーンショット。[VPN 設定] が選択されています。

  2. 構成するプロファイルが接続されている場合、接続を切断し、プロファイルを強調表示し、[自動的に接続する] チェック ボックスをオンにします。

    [設定] ウィンドウのスクリーンショット。[自動的に接続する] チェック ボックスがオンになっています。

  3. [接続] を選択して接続を開始します。

接続の問題を診断する

前提条件チェック

Azure VPN クライアントのバージョンが 4.0.0.0 以降である場合、前提条件チェックを実行して、正常に接続するために必要な項目がコンピューターに構成され、インストールされていることを確認できます。 インストールされている Azure VPN クライアントのバージョン番号を表示するには、クライアントを起動し、[ヘルプ] を選択します。

  1. Azure VPN クライアント ページの下部にある [...] をクリックし、[前提​​条件] を選択します。
  2. [アプリケーションの前提条件のテスト] ページで、[前提条件テストの実行] を選択します。
  3. 問題を修正し、接続をもう一度試します。 詳細については、Azure VPN クライアントの前提条件チェックに関するページを参照してください。

診断ツール

  1. 診断する VPN 接続の横にある [...] を選択して、メニューを表示します。 次に、 [診断] を選択します。

  2. [接続プロパティ] ページで、[診断の実行] を選択します。 求められたら、自分の資格情報でサインインし、結果を表示します。

    省略記号と [診断] が選択されていることを示すスクリーンショット。

カスタム設定の構成: DNS とルーティング

追加の DNS サーバー、カスタム DNS、強制トンネリング、カスタム ルート、その他の設定などのオプションの構成設定を使用して Azure VPN クライアントを構成できます。 詳細については、Azure VPN クライアントのオプション設定に関するページを参照してください。

次のステップ

ポイント対サイト接続について