ポイント対サイト (P2S) VPN ゲートウェイが、OpenVPN と証明書認証を使用するように構成されている場合、Azure VPN クライアントを使用して仮想ネットワークに接続できます。 この記事では、Azure VPN クライアントを構成して仮想ネットワークに接続する手順について説明します。
開始する前に
クライアントの構成手順を開始する前に、正しい VPN クライアント構成に関する記事を参照していることを確認してください。 次の表は、VPN Gateway ポイント対サイト VPN クライアントで使用できる構成に関する記事を示しています。 手順は、認証の種類、トンネルの種類、クライアント OS によって異なります。
| 認証方法 | トンネルの種類 | クライアント OS | VPN クライアント |
|---|---|---|---|
| 証明書 | |||
| IKEv2、SSTP | ウィンドウズ | ネイティブ VPN クライアント | |
| IKEv2 | macOS | ネイティブ VPN クライアント | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | ウィンドウズ | Azure VPN クライアント OpenVPN クライアント バージョン 2.x OpenVPN クライアント バージョン 3.x |
|
| OpenVPN | macOS | OpenVPN クライアント | |
| OpenVPN | iOS | OpenVPN クライアント | |
| OpenVPN | Linux | Azure VPN クライアント OpenVPN クライアント |
|
| Microsoft Entra ID | |||
| OpenVPN | ウィンドウズ | Azure VPN クライアント | |
| OpenVPN | macOS | Azure VPN クライアント | |
| OpenVPN | Linux | Azure VPN クライアント |
前提条件
この記事では、次の前提条件が既に完了していることを前提とします。
- ポイント対サイト証明書認証と OpenVPN トンネル タイプ用に VPN ゲートウェイを作成して構成した。 手順については、「P2S VPN Gateway 接続用にサーバー設定を構成する - 証明書認証」を参照してください。
- VPN クライアント構成ファイルを生成し、ダウンロードした。 手順については、「VPN クライアント プロファイル構成ファイルを生成する」を参照してください。
- 認証に必要なクライアント証明書を生成するか、または適切なクライアント証明書を取得することができる。
Azure VPN Client for Windows が他のオペレーティング システムバージョンで動作する可能性もありますが、Azure VPN Client for Windows は次のリリースでのみサポートされています。
- サポートされている Windows リリース: X64 プロセッサ上の Windows 10、Windows 11。
- Azure VPN Client for Windows は、ARM プロセッサで実行されているシステムではサポートされていません。
接続の要件
Azure に接続するには、接続する各クライアント コンピューターに次のものが必要です。
- 各クライアント コンピューターに Azure VPN クライアント ソフトウェアをインストールする必要があります。
- Azure VPN クライアント プロファイルは、ダウンロードした azurevpnconfig.xml または azurevpnconfig_cert.xml 構成ファイルに含まれる設定を使用して構成されます。
- クライアント コンピューターには、ローカルにインストールされているクライアント証明書が必要です。
クライアント証明書を生成してインストールする
証明書認証の場合、クライアント証明書を各クライアント コンピューターにインストールする必要があります。 使用するクライアント証明書は秘密キーを含めてエクスポートし、証明書パスにすべての証明書が含まれている必要があります。 さらに、一部の構成では、ルート証明書情報もインストールする必要があります。
- 証明書の操作の詳細については、ポイント対サイトの証明書の生成に関するページを参照してください。
- インストールされたクライアント証明書を表示するには、[ユーザー証明書の管理] を開きます。 クライアント証明書は、Current User\Personal\Certificates にインストールされます。
クライアント証明書をインストールする
認証を行うには、各コンピューターにクライアント証明書が必要です。 クライアント証明書がまだローカル コンピューターにインストールされていない場合は、次の手順を使用してインストールできます。
- クライアント証明書を見つけます。 クライアント証明書の詳細については、クライアント証明書のインストールに関する記事を参照してください。
- クライアント証明書をインストールします。 これを行うには、通常、証明書ファイルをダブルクリックし、(必要に応じて) パスワードを指定します。
構成ファイルを表示する
VPN クライアント プロファイル構成パッケージには、特定のフォルダーが含まれています。 フォルダー内のファイルには、クライアント コンピューターで VPN クライアント プロファイルを構成するために必要な設定が含まれています。 このファイルとそれに含まれる設定は、VPN ゲートウェイと、VPN ゲートウェイで使用するように設定されている認証とトンネルの種類に固有のものです。
生成した VPN クライアント プロファイル構成パッケージを見つけて解凍します。 証明書認証と OpenVPN の場合、AzureVPN フォルダーが表示されます。 P2S の構成に複数の認証の種類が含まれるかどうかに応じて、このフォルダーには azurevpnconfig_cert.xml ファイルまたは azurevpnconfig.xml ファイルがあります。 .xml ファイルには、VPN クライアント プロファイルの構成に使用する設定が含まれています。
どちらのファイルも表示されない場合、または AzureVPN フォルダーがない場合、VPN ゲートウェイが OpenVPN トンネル タイプを使用するように構成されていること、および証明書認証が選択されていることを確認します。
Azure VPN クライアントをダウンロードする
Azure VPN クライアントで使用できる機能と設定は、使用しているクライアントのバージョンによって異なります。 Azure VPN クライアントのバージョンについては、記事「Azure VPN クライアントのバージョン」を参照してください。
次のいずれかのリンクを使用して、最新バージョンの Azure VPN クライアント インストール ファイルをダウンロードします。
- クライアント インストール ファイルを使用してインストールする: https://aka.ms/azvpnclientdownload。
- クライアント コンピューターにサインインしたときに直接インストールする: Microsoft Store。
Azure VPN クライアントを各コンピューターにインストールします。
Azure VPN クライアントにバックグラウンドで実行するためのアクセス許可があることを確認します。 手順については、Windows バックグラウンド アプリに関するページを参照してください。
インストールされているクライアントのバージョンを確認するには、Azure VPN クライアントを開きます。 クライアントの下部に移動し、[...] -> [? ヘルプ] の順にクリックします。 右側のペインで、クライアントのバージョン番号を確認できます。
VPN クライアントを構成して接続する
Azure VPN クライアントを開きます。
ページの左下にある [+] を選択し、[インポート] を選択します。
ウィンドウで、構成に応じて azurevpnconfig.xml または azurevpnconfig_cert.xml ファイルに移動します。 ファイルを選んで、[開く] を選択します。
クライアント プロファイル ページでは、設定の多くが既に指定されていることに注目してください。 インポートした VPN クライアント プロファイル パッケージには、事前構成済みの設定が含まれています。 ほとんどの設定は既に指定されていますが、クライアント コンピューターに固有の設定を構成する必要があります。
[証明書情報] ドロップダウンから、子証明書 (クライアント証明書) の名前を選択します。 たとえば、P2SChildCert です。 この演習では、セカンダリ プロファイルとして [なし] を選択します。
[証明書情報] ドロップダウンにクライアント証明書が表示されない場合は、プロファイル構成のインポートを取り消し、問題を解決してから続行する必要があります。 次のいずれかが当てはまる可能性があります。
- クライアント証明書がクライアント コンピューターのローカルにインストールされていません。
- ローカル コンピューターにまったく同じ名前の複数の証明書がインストールされています (テスト環境によく見られます)。
- 子証明書が壊れています。
インポートが検証 (エラーなしでインポート) されたら、[保存] を選択します。
左側のペインで [VPN 接続] を見つけて、[接続] を選択します。
-
バージョン 4.0.0.0 以降で利用可能な Azure VPN クライアント システム トレイを使用すると、接続をアクティブにしたまま Azure VPN クライアント アプリケーションを閉じることができます。 アプリケーションを閉じると、Windows システム トレイにアプリケーションが表示されます。 トレイ アイコンをクリックすると、Azure VPN クライアント アプリをコンパクト モードで再度開くことができます。
接続の問題が発生した場合、Azure VPN クライアントの v4.0.0.0 バージョン以降を実行していれば、Azure VPN クライアント ページの下部にある [...] をクリックし、[前提条件] を選択できます。 [アプリケーションの前提条件のテスト] ページで、[前提条件テストの実行] を選択します。 問題を修正し、接続をもう一度試します。 詳細については、Azure VPN クライアントの前提条件チェックに関するページを参照してください。
クライアント プロファイルをエクスポートして配布する
使用するプロファイルを作成した後、それを他のユーザーに配布する必要がある場合は、次の手順に従ってプロファイルをエクスポートできます。
エクスポートする VPN クライアント プロファイルを強調表示し、[...]、[エクスポート] の順に選択します。
![[Azure VPN クライアント] ページを示すスクリーンショット。省略記号が選択され、[エクスポート] が強調表示されています。](../includes/media/vpn-gateway-vwan-azure-vpn-client-entra-windows/export.png)
このプロファイルを保存する場所を選択し、ファイル名はそのままで、[保存] を選択して xml ファイルを保存します。
![[Azure VPN クライアント] ページを示すスクリーンショット。省略記号が選択され、[エクスポート] が強調表示されています。](../includes/media/vpn-gateway-vwan-azure-vpn-client-entra-windows/export.png#lightbox)
クライアント プロファイルを削除する
エクスポートする VPN クライアント プロファイルを強調表示し、[...]、[削除] の順に選択します。
確認ポップアップで、[削除] を選択して削除します。
セカンダリ プロファイルを構成する
Azure VPN クライアントは、クライアント プロファイルの高可用性を提供します。 セカンダリ クライアント プロファイルを追加すると、クライアントは、より回復性の高い方法で VPN にアクセスできます。 リージョンの停止や、プライマリ VPN クライアント プロファイルへの接続の失敗が発生した場合、Azure VPN クライアントは、中断を引き起こすことなくセカンダリ クライアント プロファイルに自動接続します。 この機能には、Azure VPN クライアント バージョン 2.2124.51.0 以降が必要です。
この例では、セカンダリ プロファイルを既存のプロファイルに追加します。 クライアントが VNet1 に接続できない場合、中断を引き起こすことなく自動的に Contoso に接続します。
Azure VPN クライアントに別の VPN クライアント プロファイルを追加します。 この例では、VPN クライアント プロファイル ファイルをインポートし、Contoso への接続を追加しました。
次に、VNet1 プロファイルに移動し、[...]、[構成] の順にクリックします。
[セカンダリ プロファイル] ドロップダウンから、Contoso のプロファイルを選択します。 次に、設定を[保存]します。
接続の操作
自動的に接続するには
以下の手順は、Always-on を使用して自動的に接続するように構成するのに役立ちます。
VPN クライアントのホームページで、[VPN 設定] を選択します。 アプリ切り替えのダイアログ ボックスが表示されたら、[はい] を選択します。
![[VPN 設定] が選択されている VPN ホームページのスクリーンショット。](../includes/media/vpn-gateway-vwan-azure-vpn-client-entra-windows/vpn-settings.png)
構成するプロファイルが接続されている場合、接続を切断し、プロファイルを強調表示し、[自動的に接続する] チェック ボックスをオンにします。
![[自動的に接続する] チェック ボックスがオンになっている [設定] ウィンドウのスクリーンショット。](../includes/media/vpn-gateway-vwan-azure-vpn-client-entra-windows/automatic.png)
[接続] を選択して VPN 接続を開始します。
![[VPN 設定] が選択されている VPN ホームページのスクリーンショット。](../includes/media/vpn-gateway-vwan-azure-vpn-client-entra-windows/vpn-settings.png#lightbox)
![[自動的に接続する] チェック ボックスがオンになっている [設定] ウィンドウのスクリーンショット。](../includes/media/vpn-gateway-vwan-azure-vpn-client-entra-windows/automatic.png#lightbox)
接続の問題を診断する
前提条件チェック
Azure VPN クライアントのバージョンが 4.0.0.0 以降である場合、前提条件チェックを実行して、正常に接続するために必要な項目がコンピューターに構成され、インストールされていることを確認できます。 インストールされている Azure VPN クライアントのバージョン番号を表示するには、クライアントを起動し、[ヘルプ] を選択します。
- Azure VPN クライアント ページの下部にある [...] をクリックし、[前提条件] を選択します。
- [アプリケーションの前提条件のテスト] ページで、[前提条件テストの実行] を選択します。
- 問題を修正し、接続をもう一度試します。 詳細については、Azure VPN クライアントの前提条件チェックに関するページを参照してください。
診断ツール
診断する VPN 接続の横にある [...] を選択して、メニューを表示します。 次に、[診断] を選択します。
[接続プロパティ] ページで、[診断の実行] を選択します。 求められたら、自分の資格情報でサインインし、結果を表示します。
![省略記号と [診断] が選択されていることを示すスクリーンショット。](../includes/media/vpn-gateway-vwan-azure-vpn-client-entra-windows/diagnose.png)
![省略記号と [診断] が選択されていることを示すスクリーンショット。](../includes/media/vpn-gateway-vwan-azure-vpn-client-entra-windows/diagnose.png#lightbox)
カスタム設定: DNS とルーティング
追加の DNS サーバー、カスタム DNS、強制トンネリング、カスタム ルート、その他の設定などの省略可能な構成設定を使用して Azure VPN クライアントを構成できます。 使用可能な設定と構成手順の説明については、Azure VPN クライアントの省略可能な設定に関するページを参照してください。
次のステップ
引き続き、追加のサーバーや接続の設定を行います。 「ポイント対サイトの構成の手順」を参照してください。