Azure Active Directory 認証: P2S OpenVPN プロトコル接続用に VPN クライアントを構成する

この記事では、VPN クライアントからポイント対サイト VPN と Azure Active Directory 認証を使用して仮想ネットワークに接続する際の構成について説明します。 Azure AD を使用して接続と認証を行うには、まず Azure AD テナントを構成する必要があります。 詳細については、「Azure AD テナントの構成」を参照してください。 ポイント対サイトの詳細については、ポイント対サイトに関する記事をご覧ください。

注意

Azure AD 認証は、OpenVPN® プロトコル接続でサポートされ、Azure VPN クライアントを必要とします。

クライアント プロファイルの操作

VPN クライアント経由で VNet に接続するすべてのコンピューターについて、コンピューター用の Azure VPN クライアントをダウンロードし、VPN クライアント プロファイルを構成する必要があります。 複数のコンピューターを構成する場合は、1 台のコンピューターでクライアント プロファイルを作成し、これをエクスポートして、他のコンピューターにインポートすることができます。

Azure VPN Client をダウンロードするには

  1. Azure VPN クライアントを各コンピューターにダウンロードします。

  2. Azure VPN クライアントにバックグラウンドで実行するためのアクセス許可があることを確認してください。 アクセス許可を確認して有効にするには、 [スタート] -> [設定] -> [プライバシー] -> [バックグラウンド アプリ] に移動します。

    • [バックグラウンド アプリ] で、 [アプリのバックグラウンド実行を許可する][オン] になっていることを確認します。

    • [バックグラウンドでの実行を許可するアプリを選んでください] で、 [Azure VPN クライアント] の設定を [オン] にします。

      スクリーンショットはバックグラウンド アクセス許可を示しています。

証明書ベースのクライアント プロファイルを作成するには

証明書ベースのプロファイルを使用する場合は、クライアント コンピューターに適切な証明書がインストールされていることを確認してください。 証明書の詳細については、「クライアント証明書のインストール」を参照してください。

証明書認証のスクリーンショット。

RADIUS クライアント プロファイルを作成するには

RADIUS 認証のスクリーンショット。

注意

サーバー シークレットは、P2S VPN クライアント プロファイルでエクスポートできます。 クライアント プロファイルをエクスポートする手順については、こちらを参照してください。

クライアント プロファイルをエクスポートして配布するには

使用するプロファイルを作成した後、それを他のユーザーに配布する必要がある場合は、次の手順に従ってプロファイルをエクスポートできます。

  1. エクスポートする VPN クライアント プロファイルを強調表示し、 [...] を選択して、 [エクスポート] を選択します。

    [Azure VPN クライアント] ページを示すスクリーンショット。省略記号が選択され、[エクスポート] が強調表示されています。

  2. このプロファイルを保存する場所を選択し、ファイル名はそのままで、 [保存] を選択して xml ファイルを保存します。

    エクスポート

クライアント プロファイルをインポートするには

  1. ページ上で、 [インポート] を選択します。

    [追加] ボタンが選択され、[インポート] 操作がウィンドウの左下で強調表示されていることを示すスクリーンショット。

  2. プロファイル xml ファイルを参照し、選択します。 ファイルが選択された状態で、 [開く] を選択します。

    プロファイル xml ファイルが選択されていることを示すスクリーンショット。

  3. プロファイルの名前を指定し、 [保存] を選択します。

    [接続名] が強調表示され、[保存] ボタンが選択されていることを示すスクリーンショット。

  4. [接続] を選択して VPN に接続します。

    VPN と [接続] ボタンが選択されていることを示すスクリーンショット。

  5. 接続されると、アイコンが緑色に変わり、 [接続済み] と表示されます。

    import

クライアント プロファイルを削除するには

  1. 削除するクライアント プロファイルの横にある省略記号を選択します。 [削除] を選択します。

    省略記号と [削除] オプションが選択されていることを示すスクリーンショット。

  2. [削除] を選択して削除します。

    delete

接続を作成する

  1. ページ上で、 [+] を選択し、 [追加 +] を選択します。

    [追加] ボタンが選択されていることを示すスクリーンショット。

  2. 接続情報を入力します。 値が不明な場合は、管理者に問い合わせてください。 値を入力したら、 [保存] を選択します。

    [VPN 接続] プロパティが強調表示され、[保存] ボタンがオンになっていることを示すスクリーンショット。

  3. [接続] を選択して VPN に接続します。

    [接続] ボタンが選択されていることを示すスクリーンショット。

  4. 適切な資格情報を選択し、 [続行] を選択します。

    資格情報の例が強調表示され、[続行] ボタンが選択されていることを示すスクリーンショット。

  5. 正常に接続されると、アイコンが緑色に変わり、 [接続済み] と表示されます。

    connection

自動的に接続するには

Always-on を使用して自動的に接続するように構成するには、次の手順に従います。

  1. VPN クライアントのホームページで、 [VPN 設定] を選択します。

    VPN ホームページのスクリーンショット。[VPN 設定] が選択されています。

  2. アプリ切り替えのダイアログ ボックスで、 [はい] を選択します。

    [アプリを切り替えますか?] ダイアログのスクリーンショット。 [はい] ボタンが選択されています。

  3. 設定する接続が既に接続済みでないことを確認してから、プロファイルを強調表示し、 [自動的に接続する] チェック ボックスを オンにします。

    [設定] ウィンドウのスクリーンショット。[自動的に接続する] チェックボックスがオンになっています。

  4. [接続] を選択して接続を開始します。

    自動

接続の問題を診断する

  1. 接続の問題を診断するには、診断 ツールを使用します。 診断する VPN 接続の横にある [...] を選択して、メニューを表示します。 次に、 [診断] を選択します。

    省略記号と [診断] が選択されていることを示すスクリーンショット。

  2. [接続プロパティ] ページで、 [Run Diagnosis](診断の実行) を選択します。

    [接続プロパティ] ページを示すスクリーンショット。[Run Diagnosis](診断の実行) が選択されています。

  3. 自分の資格情報でサインインします。

    [サインインしましょう] ダイアログを示すスクリーンショット。[職場または学校アカウント] が選択されています。

  4. 診断結果を確認します。

    診断

よく寄せられる質問

Azure VPN クライアントは、Windows FIPS モードでサポートされていますか?

はい。KB4577063 修正プログラムを使用してください。

VPN クライアントに DNS サフィックスを追加する方法

ダウンロードしたプロファイル XML ファイルを変更して、 <dnssuffixes><dnssufix> </dnssufix></dnssuffixes> タグを追加することができます。

<azvpnprofile>
<clientconfig>

    <dnssuffixes>
          <dnssuffix>.mycorp.com</dnssuffix>
          <dnssuffix>.xyz.com</dnssuffix>
          <dnssuffix>.etc.net</dnssuffix>
    </dnssuffixes>
    
</clientconfig>
</azvpnprofile>

VPN クライアントにカスタム DNS サーバーを追加する方法

ダウンロードしたプロファイル XML ファイルを変更して、 <dnsservers><dnsserver> </dnsserver></dnsservers> タグを追加することができます。

<azvpnprofile>
<clientconfig>

    <dnsservers>
        <dnsserver>x.x.x.x</dnsserver>
        <dnsserver>y.y.y.y</dnsserver>
    </dnsservers>
    
</clientconfig>
</azvpnprofile>

注意

OpenVPN Azure AD クライアントは、DNS 名前解決ポリシー テーブル (NRPT) エントリを利用します。したがって、DNS サーバーは ipconfig /all の出力には一覧表示されません。 使用中の DNS 設定を確認するには、PowerShell で Get-DnsClientNrptPolicy を参照してください。

VPN クライアントの分割トンネリングを構成できますか。

既定では、分割トンネリングは VPN クライアント用に構成されています。

すべてのトラフィックを VPN トンネルに転送する方法 (強制トンネリング)

強制トンネリングを構成するには、カスタム ルートをアドバタイズするか、プロファイル XML ファイルを変更するという 2 つの異なる方法を使用できます。

注意

VPN ゲートウェイ経由でインターネット接続は提供されません。 その結果、インターネット向けのすべてのトラフィックが削除されます。

  • カスタム ルートのアドバタイズ: カスタム ルート 0.0.0.0/1 と 128.0.0.0/1 をアドバタイズできます。 詳細については、「P2S VPN クライアント用のカスタム ルートをアドバタイズする」を参照してください。

  • プロファイル XML: ダウンロードしたプロファイル XML ファイルを変更して、 <includeroutes><route><destination><mask> </destination></mask></route></includeroutes> タグを追加することができます。

    <azvpnprofile>
    <clientconfig>
    
        <includeroutes>
            <route>
                <destination>0.0.0.0</destination><mask>1</mask>
            </route>
            <route>
                <destination>128.0.0.0</destination><mask>1</mask>
            </route>
        </includeroutes>
    
    </clientconfig>
    </azvpnprofile>
    

VPN クライアントにカスタム ルートを追加する方法

ダウンロードしたプロファイル XML ファイルを変更して、 <includeroutes><route><destination><mask> </destination></mask></route></includeroutes> タグを追加することができます。

<azvpnprofile>
<clientconfig>

    <includeroutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
    </includeroutes>
    
</clientconfig>
</azvpnprofile>

VPN クライアントからルートをブロック (除外) する方法

ダウンロードしたプロファイル XML ファイルを変更して、 <excluderoutes><route><destination><mask> </destination></mask></route></excluderoutes> タグを追加することができます。

<azvpnprofile>
<clientconfig>

    <excluderoutes>
        <route>
            <destination>x.x.x.x</destination><mask>24</mask>
        </route>
    </excluderoutes>
    
</clientconfig>
</azvpnprofile>

コマンド ライン プロンプトからプロファイルをインポートできますか?

ダウンロードした azurevpnconfig.xml ファイルを %userprofile%\AppData\Local\Packages\Microsoft.AzureVpn_8wekyb3d8bbwe\LocalState フォルダーに置き、次のコマンドを実行することにより、コマンド ライン プロンプトからプロファイルをインポートできます。

azurevpn -i azurevpnconfig.xml 

強制的にインポートするには、 -f スイッチを使用します。

次のステップ

詳細については、Azure AD 認証を使用する P2S Open VPN 接続用の Azure Active Directory テナントの作成に関するページを参照してください。