ポイント対サイト VPN 接続を使用してデバイスをネットワークに接続する
ポイント対サイト (P2S) VPN ゲートウェイ接続では、個々のクライアント コンピューターから仮想ネットワークへの、セキュリティで保護された接続を作成することができます。 P2S 接続は、クライアント コンピューターから接続を開始することによって確立されます。 このソリューションは、在宅勤務者が自宅や会議室など、遠隔地から Azure VNet に接続する場合に便利です。 P2S VPN は、VNet への接続を必要とするクライアントが数台である場合に、S2S VPN の代わりに使用するソリューションとしても便利です。
ポイント対サイト プロトコル
ポイント対サイト VPN では、次のいずれかのプロトコルを使用できます。
- SSL/TLS ベースの VPN プロトコルである OpenVPN® プロトコル。 ほとんどのファイアウォールは、TLS で使用されるアウトバウンド TCP ポート 443 を開いているため、TLS VPN ソリューションはファイアウォールを通過できます。 OpenVPN は、Android、iOS (バージョン 11.0 以上)、Windows、Linux、および Mac デバイス (macOS バージョン 10.13 以上) から接続する際に使用できます。
- Secure Socket トンネリング プロトコル (SSTP)。これは、TLS ベースの独自の VPN プロトコルです。 ほとんどのファイアウォールは、TLS で使用されるアウトバウンド TCP ポート 443 を開いているため、TLS VPN ソリューションはファイアウォールを通過できます。 SSTP は、Windows デバイスでのみサポートされます。 Azure では、SSTP を備えたすべてのバージョンの Windows (Windows 7 以降) がサポートされています。
- IKEv2 VPN。これは、標準ベースの IPsec VPN ソリューションです。 IKEv2 VPN は、Mac デバイス (macOS バージョン 10.11 以上) から接続する際に使用できます。
ポイント対サイト認証方法
Azure が P2S VPN 接続を受け入れる前に、ユーザーを認証する必要があります。 Azure では、接続するユーザーを認証するメカニズムが 2 つ用意されています。
ネイティブ Azure 証明書認証を使用した認証
ネイティブ Azure 証明書認証を使用する場合は、デバイス上のクライアント証明書を使用して接続しているユーザーを認証します。 クライアント証明書は信頼されたルート証明書から生成され、各クライアント コンピューターにインストールされます。 エンタープライズ ソリューションを使って生成されたルート証明書を使用することも、自己署名証明書を生成することもできます。
クライアント証明書の検証は、P2S VPN 接続が確立される間、VPN ゲートウェイによって実行されます。 検証にはルート証明書が必要なため、そのルート証明書を Azure にアップロードする必要があります。
ネイティブ Microsoft Entra 認証を使用して認証する
Microsoft Entra 認証では、ユーザーは Microsoft Entra の資格情報を使用して Azure に接続できます。 ネイティブ Microsoft Entra 認証は、OpenVPN プロトコルと Windows 10 のみでサポートされており、Azure VPN クライアントを使用する必要があります。
ネイティブ Microsoft Entra 認証を使用すると、Microsoft Entra の条件付きアクセスに加えて、VPN 用の Multi-Factor Authentication (MFA) 機能を利用できます。
大まかに言えば、Microsoft Entra 認証を構成するには、次の手順を実行する必要があります。
- Microsoft Entra テナントを構成する
- ゲートウェイで Microsoft Entra 認証を有効にする
- Azure VPN クライアントをダウンロードして構成する
Active Directory (AD) ドメイン サーバーを使用した認証
AD ドメイン認証は、一般的なオプションであるといえます。ユーザーは組織のドメイン資格情報を使用して Azure に接続できるためです。 これには AD サーバーと統合する RADIUS サーバーが必要です。 また、組織は既存の RADIUS デプロイを利用することもできます。
RADIUS サーバーは、オンプレミスまたは Azure VNet にデプロイされます。 認証中に、Azure VPN Gateway は、RADIUS サーバーと接続デバイスの間で認証メッセージがやり取りされます。 そのため、Gateway は RADIUS サーバーと通信できる必要があります。 RADIUS サーバーがオンプレミスに存在する場合、アクセスのために、Azure からオンプレミス サイトへの VPN サイト間接続が必要になります。
また、RADIUS サーバーは、AD 証明書サービスとも統合できます。 これにより、Azure 証明書認証の代替手段として、P2S 証明書認証に RADIUS サーバーとエンタープライズ証明書デプロイを使用できます。 RADIUS サーバーと AD 証明書サービスを統合すると、AD ですべての証明書管理を行えるので、ルート証明書と失効した証明書を Azure にアップロードする必要はなくなります。
RADIUS サーバーは、他の外部 ID システムと統合することもできます。 これにより、多要素オプションを含む、P2S VPN の多くの認証オプションが開きます。
ポイント対サイト クライアントを構成する
ユーザーは、P2S 用の Windows デバイスと Mac デバイスでネイティブ VPN クライアントを使用します。 これらのネイティブ クライアントが Azure に接続するために必要な設定が含まれた VPN クライアント構成 zip ファイルは、Azure に用意されています。
- Windows デバイスの場合、VPN クライアント構成は、ユーザーがデバイスにインストールするインストーラー パッケージで構成されています。
- Mac デバイスの場合、これは、ユーザーがデバイスにインストールする mobileconfig ファイルで構成されています。
zip ファイルでは、Azure 側のいくつかの重要な設定の値も指定されており、この値を使用することで、これらのデバイス用に独自のプロファイルを作成できます。 このような値には、VPN ゲートウェイ アドレス、構成されたトンネルの種類、ルート、ゲートウェイ検証用のルート証明書などがあります。
Note
Windows クライアントの場合、クライアント デバイスから Azure への VPN 接続を開始するには、クライアント デバイスで管理者権限が必要です。