P2S ユーザー VPN のユーザー グループと IP アドレス プールを構成する

  • [アーティクル]

P2S ユーザー VPNは、ユーザー グループを作成して、ID または認証資格情報に基づいて特定のアドレス プールからユーザー IP アドレスを割り当てる機能を提供します。 この記事は、ユーザー グループ、グループ メンバー、グループの優先順位付けを構成するのに役立ちます。 ユーザー グループの操作の詳細については、ユーザー グループについてに関するページを参照してください。

前提条件

開始する前に、1 つ以上の認証方法を使用する仮想 WAN が構成されていることを確認してください。 手順については、チュートリアル: Virtual WAN ユーザー VPN P2S 接続の作成に関するページを参照してください。

ワークフロー

このアーティクルでは、次のワークフローを使用して、P2S VPN 接続のユーザー グループと IP アドレス プールを設定します。

  1. 構成要件を検討する

  2. 認証メカニズムを選択する

  3. ユーザー グループを作成する

  4. ゲートウェイ設定の構成

ステップ 1: 構成要件を検討する

このセクションでは、ユーザー グループと IP アドレス プールの構成要件と制限事項を示します。

  • 1 つの P2S VPN ゲートウェイで参照できるグループの最大数は 90 です。 1 つのゲートウェイに割り当てられたグループ内のポリシー/グループ メンバーの最大数 (接続しているユーザーが属しているグループを識別するために使用される条件) は 390 です。 ただし、グループが同じゲートウェイ上の複数の接続構成に割り当てられている場合、このグループとそのメンバーは制限に対して複数回カウントされます。 たとえば、ゲートウェイの 3 つの VPN 接続構成に割り当てられている、メンバーが 10 人のポリシー グループがある場合を考えます。 この構成は、10 人のメンバーを持つ 1 つのグループではなく、合計 30 人のメンバーを持つ 3 つのグループとしてカウントされます。 ゲートウェイに接続する同時ユーザーの総数は、ゲートウェイに関連付けられているポリシー/グループ メンバーの数ではなく、ゲートウェイ スケール ユニットと各ユーザー グループに割り当てられた IP アドレスの数によって制限されます。

  • VPN サーバー構成の一部としてグループが作成されると、グループの名前と既定の設定を変更することはできません。

  • グループ名は個別にする必要があります。

  • 数値優先度が低いグループは、数値優先度が高いグループより前に処理されます。 接続しているユーザーが複数のグループのメンバーである場合、ゲートウェイは、IP アドレスを割り当てる目的で、それらのユーザーを優先順位が低いグループのメンバーであるとみなします。

  • 既存のポイント対サイト VPN ゲートウェイで使用されているグループは削除できません。

  • グループに対応する上下の矢印ボタンをクリックすると、グループの優先順位を変更できます。

  • アドレス プールは、同じ仮想 WAN 内の他の接続構成 (同じまたは異なるゲートウェイ) で使用されるアドレス プールと重複することはできません。

  • アドレス プールは、仮想ネットワーク アドレス空間、仮想ハブ アドレス空間、またはオンプレミスのアドレスと重複することもできません。

  • アドレス プールを /24 より小さくすることはできません。 たとえば、/25 または /26 の範囲を割り当てることはできません。

ステップ 2: 認証メカニズムの選択

次のセクションでは、ユーザー グループの作成時に使用できる認証メカニズムのリストを示します。

Microsoft Entra グループ

Active Directory グループを作成および管理する場合は、「Microsoft Entra グループとグループ メンバーシップの管理」を参照してください。

  • Microsoft Entra グループ オブジェクト ID (グループ名ではない) は、Virtual WAN ポイント対サイト ユーザー VPN 構成の一部として指定する必要があります。
  • Microsoft Entra ユーザーは、複数の Active Directory グループの一部として割り当てることができますが、Virtual WAN では、ユーザーが最も低い数値優先度を持つ Virtual WAN ユーザーまたはポリシー グループの一部であると見なします。

RADIUS - NPS ベンダー固有の属性を構成する

ネットワーク ポリシー サーバー (NPS) のベンダー固有の属性の構成情報については、RADIUS - ベンダー固有の属性の NPS の構成に関するページを参照してください。

証明書

自己署名証明書を生成するには、ユーザー VPN P2S 接続の証明書の生成とエクスポート: PowerShell に関するページを参照してください。 特定の共通名を持つ証明書を生成するには、New-SelfSignedCertificate PowerShell コマンドを実行するときに Subject パラメーターを適切な値 (例 xx@domain.com) に変更します。

ステップ 3: ユーザー フローを作成する

ユーザー グループを作成するには、次のステップを実行します。

  1. Azure portal で、[Virtual WAN] -> [ユーザー VPN 構成] ページに移動します。

  2. [ユーザー VPN 構成] ページで、編集するユーザー VPN 構成を選択し、[構成の編集] を選択します。

  3. [ユーザー VPN 構成の編集] ページで、[ユーザー グループ] タブを開きます。

    Screenshot of enabling User Groups.

  4. [はい] を選択してユーザー グループを有効にします。 このサーバー構成が P2S VPN ゲートウェイに割り当てられると、同じユーザー グループに含まれるユーザーには、同じアドレス プールの IP アドレスが割り当てられます。 異なるグループの一部であるユーザーには、異なるグループの IP アドレスが割り当てられます。 この機能を使用する場合は、作成するグループの 1 つに既定のグループを選択する必要があります。

  5. 新しいユーザー グループの作成を開始するには、名前パラメーターに最初のグループの名前を入力します。

  6. [グループ名] の横にある [グループの構成] を選択して、[グループ設定の構成] ページを開きます。

    Screenshot of creating a new group.

  7. [グループ設定の構成] ページで、このグループに含める各メンバーの値を入力します。 1 つのグループに複数のグループ メンバーを含めることができます。

    • [名前] フィールドに入力して、新しいメンバーを作成します。

    • ドロップダウンから [認証: 設定の種類] を選びます。 ドロップダウンは、ユーザー VPN 構成で選択した認証方法に基づいて自動的に設定されます。

    • を入力します。 有効な値については、ユーザー グループについてに関するページを参照してください。

    Screenshot of configuring values for User Group members.

  8. グループの設定の作成が完了したら、[追加][OK] を選択します。

  9. 追加のグループを作成します。

  10. 少なくとも 1 つのグループを既定として選択します。 ゲートウェイで指定されたグループに参加していないユーザーは、ゲートウェイの既定のグループに割り当てられます。 また、グループが作成された後は、グループの "既定" 状態を変更できないことに注意してください。

    Screenshot of selecting the default group.

  11. 矢印を選択して、グループの優先順位を調整します。

    Screenshot of adjusting the priority order.

  12. [レビューと作成] を選択して、作成と構成を行います。 ユーザー VPN 構成を作成したら、ユーザー グループ機能を使用するようにゲートウェイ サーバー構成設定を構成します。

ステップ 4: ゲートウェイ設定の構成

  1. ポータルで、仮想ハブに移動し、[ユーザー VPN (ポイント対サイト)] を選択します。

  2. ポイント対サイトページで、[ゲートウェイ スケール ユニット] リンクを選択して、[ユーザー VPN ゲートウェイの編集] を開きます。 ドロップダウンから [ゲートウェイ スケール ユニット] の値を調整して、ゲートウェイのスループットを決定します。

  3. [ポイント対サイト サーバーの構成] で、ユーザー グループ用に構成したユーザー VPN 構成を選択します。 これらの設定をまだ構成していない場合は、ユーザー グループの作成に関するページを参照してください。

  4. 新しい構成名を入力して、新しいポイント対サイト構成を作成します。

  5. この構成に関連付ける 1 つ以上のグループを選択します。 この構成に関連付けられているグループの一部であるすべてのユーザーには、同じ IP アドレス プールの IP アドレスが割り当てられます。

    このゲートウェイのすべての構成で、1 つだけ既定のユーザー グループが選択されている必要があります。

    Screenshot of Edit User VPN gateway page with groups selected.

  6. [アドレス プール] の場合は、[構成] を選択して [アドレス プールの指定] ページを開きます。 このページで、新しいアドレス プールをこの構成に関連付けます。 この構成に関連付けられているグループのメンバーであるユーザーには、指定されたプールから IP アドレスが割り当てられます。 必要に応じて、ゲートウェイに関連付けられているゲートウェイ スケール ユニットの数に基づいて、複数のアドレス プールを指定します。 アドレス プールを /24 より小さくすることはできません。 たとえば、ユーザー グループのアドレス プール範囲を小さくしたい場合、/25 または /26 の範囲を割り当てることはできません。 最小のプレフィックスは /24 です。 [追加] を選択し、[OK] をクリックしてアドレス プールを保存します。

    Screenshot of Specify Address Pools page.

  7. 異なるアドレス プールから IP アドレスを割り当てる必要があるグループのセットごとに 1 つの構成が必要です。 手順を繰り返して、さらに構成を作成します。 アドレス プールとグループに関する要件と制限事項については、ステップ 1を参照してください。

  8. 必要な構成を作成したら、[編集] を選択し、[確認] をクリックして設定を保存します。

    Screenshot of Confirm settings.

トラブルシューティング

  1. 確認パケット は正しい属性があしますか?:Wireshark または別のパケット キャプチャを NPS モードで実行し、共有キーを使用してパケットを復号化できます。 RADIUS サーバーからポイント対サイト VPN ゲートウェイにパケットが送信され、適切な RADIUS VSA が構成されていることを検証できます。
  2. ユーザーは間違った割り当てIPを使用していますか?: ユーザーがポリシーに一致しているかどうかに関係なく、NPS イベント ログを設定し、認証を検査します。
  3. アドレス プールに問題がありますか? ゲートウェイで指定されたすべてのアドレス プール。 アドレス プールは 2 つのアドレス プールに分割され、ポイント対サイト VPN ゲートウェイ ペアの各アクティブ/アクティブ インスタンスに割り当てられます。 これらの分割アドレスは、有効なルート テーブルに表示されます。 たとえば、「10.0.0.0/24」 を指定すると、有効なルート テーブルに 2 つの 「/25」 ルートが表示されます。 そうでない場合は、ゲートウェイで定義されているアドレス プールを変更してみてください。
  4. P2S クライアントがルートを受信できない場合は? すべてのポイント対サイト VPN 接続構成が defaultRouteTable に関連付けられていることを確認し、同じルート テーブルのセットに反映します。 これはポータルを使用している場合は自動的に構成されますが、REST、PowerShell、または CLI を使用している場合は、すべての伝達と関連付けが適切に設定されていることを確認してください。
  5. Azure VPN クライアントを使用してマルチプールを有効にできない場合は? Azure VPN クライアントを使用している場合は、ユーザー デバイスにインストールされている Azure VPN クライアントが最新バージョンであることを確認します。 このフィーチャーを有効にするには、もう一度クライアントをダウンロードする必要があります。
  6. すべてのユーザーがデフォルトのグループに割り当てられますか? Microsoft Entra 認証を使用している場合は、サーバー構成 (https://login.microsoftonline.com/<tenant ID>) で入力されたテナント URL が\ で終わらないことを確認してください。 URL が \ で終わると、ゲートウェイでは Microsoft Entra ユーザー グループを適切に処理できず、すべてのユーザーが既定のグループに割り当てられます。 修復するには、サーバーの構成を変更して末尾の \ を削除し、ゲートウェイで構成されたアドレス プールを修正してこの変更をゲートウェイに適用します。 これは既知の問題です。
  7. マルチプールフィーチャーを使用するように外部ユーザーを招待しようとしていますか? Microsoft Entra 認証を使っており、外部のユーザー (VPN ゲートウェイ上で構成された Microsoft Entra ドメインに属していないユーザー) を Virtual WAN ポイント対サイト VPN ゲートウェイに接続するように招待する予定の場合、外部ユーザーのユーザーの種類が ''ゲスト'' ではなく、''メンバー'' であることを確認します。 また、ユーザーの "名前" がユーザーのメール アドレスに設定されていることを確認します。 接続ユーザーのユーザーの種類や名前が前述のように正しく設定されていない場合や、外部メンバーを Microsoft Entra ドメインの ''メンバー'' に設定できない場合、その接続ユーザーは既定のグループに割り当てられ、既定の IP アドレス プールから IP が割り当てられます。

次のステップ