ポイント対サイト ユーザー VPN 接続を構成する - Azure Active Directory 認証

この記事では、Virtual WAN のユーザー VPN 用に Azure AD 認証を構成し、OpenVPN VPN 接続経由で Azure のリソースに接続する方法について説明します。 Azure Active Directory 認証は、OpenVPN プロトコルを使用するゲートウェイでのみ使用できます。 Virtual WAN の詳細については、Virtual WAN の概要に関するページを参照してください。

注意

Azure AD 認証は、OpenVPN® プロトコル接続でサポートされ、Azure VPN クライアントを必要とします。

この記事では、次のことについて説明します。

  • 仮想 WAN を作成する
  • ユーザー VPN 構成を作成する
  • 仮想 WAN ユーザー VPN プロファイルをダウンロードする
  • 仮想ハブを作成する
  • ハブを編集して P2S ゲートウェイを追加する
  • VNet を仮想ハブに接続する
  • ユーザー VPN クライアント構成をダウンロードして適用する
  • 仮想 WAN を表示する

仮想 WAN の図。

開始する前に

構成を開始する前に、以下の条件を満たしていることを確認します。

  • 接続先の仮想ネットワークが用意されていること。 オンプレミス ネットワークのどのサブネットも接続先の仮想ネットワークと重複していないことを確認してください。 Azure portal で仮想ネットワークを作成するには、クイックスタートを参照してください。

  • 仮想ネットワークに仮想ネットワーク ゲートウェイが存在しないこと。 仮想ネットワークにゲートウェイ (VPN または ExpressRoute のどちらか) が存在する場合は、すべてのゲートウェイを削除する必要があります。 代わりに、この構成では、仮想ネットワークが Virtual WAN ハブ ゲートウェイに接続されている必要があります。

  • ハブ リージョンの IP アドレス範囲を取得します。 このハブは、Virtual WAN によって作成および使用される仮想ネットワークです。 ハブに指定するアドレス範囲が、接続先の既存の仮想ネットワークと重複することはできません。 さらに、オンプレミスで接続するアドレス範囲と重複することもできません。 オンプレミス ネットワーク構成に含まれている IP アドレス範囲になじみがない場合は、それらの詳細を提供できるだれかと調整してください。

  • Azure サブスクリプションをお持ちでない場合は、無料アカウントを作成してください。

仮想 WAN を作成する

ブラウザーから Azure ポータル に移動し、Azure アカウントでサインインします。

  1. ポータルの [リソースの検索] バーで、検索ボックスに「Virtual WAN」と入力し、Enter キーを押します。

  2. 検索結果から、 [Virtual WAN] を選択します。 [Virtual WAN] ページで [+ 作成] を選択し、 [WAN の作成] ページを開きます。

  3. [WAN の作成] ページの [基本] タブで、フィールドに入力します。 例の値を変更して、お使いの環境に適用します。

    スクリーンショットには、[基本] タブが選択された [WAN の作成] ペインが表示されています。

    • サブスクリプション: 使用するサブスクリプションを選択します。
    • リソース グループ: 新規作成するか、または既存のものを使用します。
    • リソース グループの場所: ドロップダウンからリソースの場所を選択します。 WAN はグローバルなリソースであり、特定のリージョンに存在するものではありません。 ただし、作成した WAN リソースを管理および検索するために、リージョンを選択する必要があります。
    • 名前: 仮想 WAN に付ける名前を入力します。
    • 種類: Basic または Standard。 [Standard] を選択します。 [Basic] を選択した場合には、Basic 仮想 WAN は、Basic ハブのみを含むことができます。 Basic ハブは、サイト間接続にのみ使用できます。
  4. ページの下部でフィールドへの入力を完了したら、 [確認と作成] を選択します。

  5. 検証に合格したら、 [作成] をクリックして仮想 WAN を作成します。

ユーザー VPN 構成を作成する

ユーザー VPN 構成には、リモート クライアントを接続するためのパラメーターが定義されています。 使用するユーザー VPN 構成を指定する必要があるため、P2S の設定で仮想ハブを構成する前に、ユーザー VPN 構成を作成することが重要です。

  1. [仮想 WAN] -> [ユーザー VPN 構成] ページに移動し、 [+ ユーザー VPN 構成の作成] をクリックします。

    ユーザー VPN 構成の作成のスクリーンショット。

  2. [基本] ページでパラメーターを指定します。

    [基本] ページのスクリーンショット。

    • 構成名 - ユーザー VPN 構成に付ける名前を入力します。
    • [トンネルの種類] - ドロップダウン メニューから [OpenVPN] を選択します。
  3. [Azure Active Directory] をクリックしてページを開きます。

    [Azure Active Directory] ページのスクリーンショット。

    [Azure Active Directory][はい] に切り替え、テナントの詳細に基づいて次の値を指定します。 必要な値は、ポータルのエンタープライズ アプリケーションの [Azure Active Directory] ページで確認できます。

    • 認証方法: [Azure Active Directory] を選択します。
    • 対象ユーザー - Azure AD テナントに登録されている Azure VPN エンタープライズ アプリケーションのアプリケーション ID を入力します。
    • 発行者 - https://sts.windows.net/<your Directory ID>/
    • AAD テナント - https://login.microsoftonline.com/<your Directory ID>
  4. [作成] をクリックしてユーザー VPN 構成を作成します。 この構成は、演習で後ほど選択します。

空のハブを作成する

この演習では、空の仮想ハブを作成します。 次のセクションでは、既存のハブにゲートウェイを追加します。 ただし、これらのステップを組み合わせて、ハブと P2S ゲートウェイの設定を一度に作成することもできます。

  1. 作成した仮想 WAN を探します。 [仮想 WAN] ページの [接続] セクションで、 [ハブ] を選択します。

  2. [ハブ] ページで、 [+ 新しいハブ] をクリックして [仮想ハブを作成する] ページを開きます。

    [Hubs configuration]\(ハブの構成\) ダイアログ ボックスを示すスクリーンショット。[新しいハブ] が選択されています。

  3. [基本] タブで、値を入力します。

    [仮想ハブを作成する] ウィンドウを示すスクリーンショット。ここでは、値を入力できます。

    • [リージョン] : 仮想ハブをデプロイするリージョンを選択します。
    • [名前] : 仮想ハブに付ける名前。
    • [ハブ プライベート アドレス空間] : CIDR 表記のハブのアドレス範囲。
  4. [Review + create](レビュー + 作成) をクリックします。

  5. [検証に成功しました] ページで [作成] をクリックします。

ハブに P2S ゲートウェイを追加する

このセクションでは、既存の仮想ハブにゲートウェイを追加する方法を示します。 このステップでハブの更新が完了するまで、最大で 30 分かかることがあります。

  1. 仮想 WAN の下にある [ハブ] ページに移動します。

  2. VPN サーバーの構成を関連付けるハブを選択し、省略記号 [...] をクリックしてメニューを表示します。 次に、 [仮想ハブを編集する] をクリックします。

    メニューで [仮想ハブを編集する] が選択されていることを示すスクリーンショット。

  3. [仮想ハブを編集する] ページで、 [VPN サイト用の VPN ゲートウェイを含める][ポイント対サイト ゲートウェイを含める] のチェック ボックスをオンにして、設定を表示します。 次に、値を構成します。

    [仮想ハブを編集する] ページを示すスクリーンショット。

    • [ゲートウェイ スケール ユニット] : ゲートウェイ スケール ユニットを選択します。 スケール ユニットは、ユーザー VPN ゲートウェイの合計容量を表します。 40 以上のゲートウェイ スケール ユニットを選択した場合は、それに応じてクライアント アドレス プールを計画します。 この設定がクライアント アドレス プールに与える影響の詳細については、クライアント アドレス プールについての記事を参照してください。 ゲートウェイ スケール ユニットについては、FAQ に関する記事を参照してください。
    • [ユーザー VPN 構成] : 前に作成した構成を選択します。
    • [クライアント アドレス プール] : VPN クライアントに割り当てる IP アドレスが含まれるクライアント アドレス プールを指定します。 この設定は、指定したゲートウェイ スケール ユニットに対応します
  4. [Confirm](確認) をクリックします。 ハブの更新には最大 30 分かかる場合があります。

VNet をハブに接続する

このセクションでは、仮想ハブと VNet の間の接続を作成します。

  1. お使いの Virtual WAN に移動します。

  2. [仮想ネットワーク接続] を選択します。

  3. 仮想ネットワーク接続のページで、 [+ 接続の追加] を選択します。

    追加を示すスクリーンショット。

  4. [接続の追加] ページで、必要な設定を構成します。 ルーティング設定の詳細については、「ルーティングについて」を参照してください。

    VNet 接続ページを示すスクリーンショット。

    • 接続名: 接続に名前を付けます。
    • ハブ: この接続に関連付けるハブを選択します。
    • サブスクリプション:サブスクリプションを確認します。
    • リソース グループ: VNet が含まれるリソース グループ。
    • 仮想ネットワーク: このハブに接続する仮想ネットワークを選択します。 既存の仮想ネットワーク ゲートウェイがない仮想ネットワークを選択してください。
    • [なし] に伝達: 既定では、これは [いいえ] に設定されています。 このスイッチを [はい] に変更すると、 [ルート テーブルへ伝達] および [ラベルへ伝達] の構成オプションが構成できなくなります。
    • ルート テーブルを関連付ける: 関連付けるルート テーブルを選択できます。
    • 静的ルート: この設定を使用してネクスト ホップを指定できます。
  5. 構成する設定が完了したら、 [作成] を選択して接続を作成します。

ユーザー VPN プロファイルをダウンロードする

VPN クライアントに必要なすべての構成設定は、VPN クライアント構成 ZIP ファイルに含まれています。 ZIP ファイル内の設定を使用することで、VPN クライアントを簡単に構成できます。 生成する VPN クライアント構成ファイルは、お使いのゲートウェイのユーザー VPN 構成に固有です。 このセクションでは、VPN クライアントの構成に使用するファイルを生成してダウンロードします。

  1. 仮想 WAN のページで、 [ユーザー VPN 構成] を選択します。

  2. [ユーザー VPN 構成] ページで、構成を選択し、 [仮想 WAN のユーザー VPN プロファイルのダウンロード] を選択します。

    [仮想 WAN のユーザー VPN プロファイルのダウンロード] のスクリーンショット。

    • WAN レベルの構成をダウンロードすると、組み込みの Traffic Manager ベースのユーザー VPN プロファイルを入手できます。

    • グローバル プロファイルおよびハブベースのプロファイルの情報については、ハブ プロファイルに関する記事をご覧ください。 グローバル プロファイルを使用すると、フェールオーバーのシナリオが単純化されます。

    • なんらかの理由でハブが利用できない場合、サービスによって提供される組み込みのトラフィック管理によって、(別のハブを介した) Azure リソースへの接続がポイント対サイト ユーザー用に確保されます。 ハブ固有の VPN 構成は、そのハブに移動することでいつでもダウンロードできます。 [ユーザー VPN (ポイントからサイトへ)] で、仮想ハブの ユーザー VPN プロファイルをダウンロードします。

  3. [仮想 WAN のユーザー VPN プロファイルのダウンロード] ページで、必要な [認証の種類] を選択し、次に [プロファイルを生成してダウンロードする] をクリックします。

    クライアントの構成設定を含むプロファイル パッケージ (ZIP ファイル) が生成され、コンピューターにダウンロードされます。

    [プロファイルを生成してダウンロードする] のスクリーンショット。

ユーザー VPN クライアントを構成する

接続する各コンピューターには、クライアントがインストールされている必要があります。 前の手順でダウンロードした VPN ユーザー クライアント プロファイル ファイルを使用して、各クライアントを構成します。 接続するオペレーティング システムに関連する記事を使用してください。

macOS VPN クライアントを構成するには (プレビュー)

macOS クライアントの手順については、VPN クライアントの構成 - macOS (プレビュー) に関する記事を参照してください。

Windows VPN クライアントを構成するには

  1. Azure VPN クライアントを各コンピューターにダウンロードします。

  2. Azure VPN クライアントにバックグラウンドで実行するためのアクセス許可があることを確認してください。 アクセス許可を確認して有効にするには、 [スタート] -> [設定] -> [プライバシー] -> [バックグラウンド アプリ] に移動します。

    • [バックグラウンド アプリ] で、 [アプリのバックグラウンド実行を許可する][オン] になっていることを確認します。

    • [バックグラウンドでの実行を許可するアプリを選んでください] で、 [Azure VPN クライアント] の設定を [オン] にします。

      スクリーンショットはバックグラウンド アクセス許可を示しています。

VPN クライアント プロファイルをインポートするには (Windows)

  1. ページ上で、 [インポート] を選択します。

    [インポート] ページを示すスクリーンショット。

  2. プロファイル xml ファイルを参照し、選択します。 ファイルが選択された状態で、 [開く] を選択します。

    [開く] ダイアログ ボックスを示すスクリーンショット。ここでは、ファイルを選択できます。

  3. プロファイルの名前を指定し、 [保存] を選択します。

    [接続名] が追加され、[保存] ボタンが選択されていることを示すスクリーンショット。

  4. [接続] を選択して VPN に接続します。

    作成したばかりの接続用の [接続] ボタンを示すスクリーンショット。

  5. 接続されると、アイコンが緑色に変わり、 [接続済み] と表示されます。

    [接続済み] 状態の接続と [切断] オプションを示すスクリーンショット。

クライアント プロファイルを削除するには - Windows

  1. 削除するクライアント プロファイルの横にある省略記号 (...) を選択します。 [削除] を選択します。

    メニューで [削除] が選択されていることを示すスクリーンショット。

  2. [削除] を選択して削除します。

    [確認] ダイアログ ボックスと [削除] オプションまたは [キャンセル] オプションを示すスクリーンショット。

接続の問題を診断する - Windows

  1. 接続の問題を診断するには、診断 ツールを使用します。 診断する VPN 接続の横にある省略記号 (...) を選択して、メニューを表示します。 次に、 [診断] を選択します。

    メニューで [診断] が選択されていることを示すスクリーンショット。

  2. [接続プロパティ] ページで、 [Run Diagnosis](診断の実行) を選択します。

    接続の [Run Diagnosis](診断の実行) ボタンを示すスクリーンショット。

  3. 自分の資格情報でサインインします。

    このアクションの [サインイン] ダイアログ ボックスを示すスクリーンショット。

  4. 診断結果を確認します。

    診断の結果を示すスクリーンショット。

仮想 WAN を表示する

  1. 仮想 WAN に移動します。
  2. [概要] ページのマップ上の各ポイントは、ハブを表します。
  3. ハブと接続のセクションでは、ハブの状態、サイト、リージョン、VPN 接続の状態、および入出力バイト数を表示できます。

リソースをクリーンアップする

作成したリソースは、不要になったら削除してください。 Virtual WAN リソースのいくつかは、依存関係に応じた特定の順序で削除する必要があります。 削除が完了するまでに 30 分程度かかる場合があります。

  1. 作成した仮想 WAN を開きます。

  2. 仮想 WAN に関連付けられている仮想ハブを選択してハブ ページを開きます。

  3. ゲートウェイの種類の以下の順序に従って、すべてのゲートウェイ エンティティを削除します。 この処理は、完了までに 30 分ほどかかる場合があります。

    VPN:

    1. VPN サイトの切断
    2. VPN 接続を削除します
    3. VPN ゲートウェイの削除

    ExpressRoute:

    1. ExpressRoute 接続を削除する
    2. ExpressRoute ゲートウェイを削除する
  4. ハブはこの時点で削除することも、後でリソース グループを削除するときに削除することもできます。

  5. 仮想 WAN に関連付けられているすべてのハブについて、この手順を繰り返します。

  6. Azure portal でリソース グループに移動します。

  7. [リソース グループの削除] を選択します。 これでハブと仮想 WAN を含め、リソース グループの内容がすべて削除されます。

次のステップ

Virtual WAN の詳細については、Virtual WAN の概要に関するページを参照してください。