Microsoft Entra ID 認証用に P2S VPN ゲートウェイを構成する
この記事は、Microsoft Entra ID 認証用に Microsoft Entra テナントとポイント対サイト (P2S) VPN Gateway の設定を構成するのに役立ちます。 ポイント対サイト プロトコルと認証の詳細については、VPN Gateway ポイント対サイト VPN の概要に関する記事を参照してください。 Microsoft Entra ID 認証を使用して認証するには、ポイント対サイト構成に OpenVPN トンネルの種類を含める必要があります。
Note
Microsoft Entra 認証は、OpenVPN® プロトコル接続でのみサポートされ、Azure VPN クライアントを必要とします。
前提条件
この記事の手順では、Microsoft Entra テナントが必要です。 Microsoft Entra テナントがない場合は、「新しいテナントの作成」の記事の手順を使用して作成できます。 ディレクトリを作成するときは、次のフィールドに注意してください。
- 組織名
- 初期ドメイン名
既存の P2S ゲートウェイが既にある場合、この記事の手順は、そのゲートウェイを Microsoft Entra ID 認証用に構成する際に役立ちます。 新しい VPN ゲートウェイを作成することもできます。 この記事には、新しいゲートウェイを作成するためのリンクが含まれています。
Microsoft Entra テナント ユーザーの作成
新しく作成した Microsoft Entra テナントに 2 つのアカウントを作成します。 手順については、新しいユーザーの追加または削除に関するページを参照してください。
- 全体管理者アカウント
- ユーザー アカウント
全体管理者アカウントを使用して Azure VPN アプリの登録に同意することができます。 ユーザー アカウントを使用して、OpenVPN 認証をテストできます。
アカウントの 1 つを全体管理者ロールに割り当てます。 手順については、「Microsoft Entra ID を持つユーザーに管理者ロールと管理者以外のロールを割り当てる」を参照してください。
Azure VPN アプリケーションを承認する
全体管理者ロールを割り当てられたユーザーとして、Azure portal にサインインします。
次に、組織に管理者の同意を付与します。 これにより、Azure VPN アプリケーションでサインインしてユーザー プロファイルを読み取ることができるようになります。 デプロイの場所に関連する URL をコピーし、ブラウザーのアドレス バーに貼り付けます。
パブリック
https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consentAzure Government
https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consentMicrosoft Cloud Germany
https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent21Vianet が運用する Microsoft Azure
https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consentNote
同意を提供するために Microsoft Entra テナントにネイティブではないグローバル管理者アカウントを使用している場合は、"common" を URL の Microsoft Entra テナント ID に置き換えます。 また、他の特定のケースでも、"common" をテナント ID に置き換える必要がある場合があります。 テナント ID の検索に関するヘルプについては、「Microsoft Entra テナント ID を検索する方法」を参照してください。
メッセージが表示されたら、全体管理者ロールを持つアカウントを選択します。
[要求されているアクセス許可] ページで、[承諾] を選択します。
Microsoft Entra ID に移動します。 左側のウィンドウで、[エンタープライズ アプリケーション] をクリックします。 Azure VPN が一覧表示されます。
![[エンタープライズ アプリケーション] ページのスクリーンショット。[Azure VPN] が表示されています。](../includes/media/vpn-gateway-vwan-tenant/vpn.png)
![[エンタープライズ アプリケーション] ページのスクリーンショット。[Azure VPN] が表示されています。](../includes/media/vpn-gateway-vwan-tenant/vpn.png#lightbox)
VPN ゲートウェイを構成する
重要
Azure portal は、Azure Active Directory フィールドを Entra に更新中です。 Microsoft Entra ID が参照されていて、ポータルにこれらの値がまだ表示されていない場合は、Azure Active Directory の値を選択できます。
認証に使用するディレクトリのテナント ID を特定します。 これは、[Active Directory] ページの [プロパティ] セクションに表示されています。 テナント ID の検索に関するヘルプについては、「Microsoft Entra テナント ID を検索する方法」を参照してください。
機能しているポイント対サイト環境がまだない場合は、指示に従って作成します。 ポイント対サイト VPN ゲートウェイを作成して構成する方法については、ポイント対サイト VPN の作成に関する記事を参照してください。 VPN ゲートウェイを作成する場合、Basic SKU は OpenVPN ではサポートされていません。
仮想ネットワーク ゲートウェイに移動します。 左側のウィンドウで、[ポイント対サイト構成] をクリックします。
![[トンネルの種類]、[認証の種類]、Microsoft Entra の設定項目の設定を示すスクリーンショット。](media/openvpn-create-azure-ad-tenant/configuration.png)
次の値を構成します。
- アドレス プール: クライアント アドレス プール
- トンネルの種類: OpenVPN (SSL)
- 認証の種類: Microsoft Entra ID
Microsoft Entra ID 値の場合は、テナント、対象ユーザー、 発行者 の値に関する次のガイドラインを使用します。 {TenantID} をご使用のテナント ID に置き換えます。この値を置き換えるときに、例から {} を削除するように気をつけてください。
テナント: Microsoft Entra テナントの TenantID。 構成に対応するテナント ID を入力します。 テナント URL の末尾に
\(円記号) がないことを確認します。 スラッシュは許容されます。- Azure Public AD:
https://login.microsoftonline.com/{TenantID} - Azure Government AD:
https://login.microsoftonline.us/{TenantID} - Azure Germany AD:
https://login-us.microsoftonline.de/{TenantID} - China 21Vianet AD:
https://login.chinacloudapi.cn/{TenantID}
- Azure Public AD:
対象ユーザー: "Azure VPN" Microsoft Entra Enterprise アプリのアプリケーション ID。
- Azure Public:
41b23e61-6c1e-4545-b367-cd054e0ed4b4 - Azure Government:
51bb15d4-3a4f-4ebf-9dca-40096fe32426 - Azure Germany:
538ee9e6-310a-468d-afef-ea97365856a9 - 21Vianet によって運営される Microsoft Azure:
49f817b6-84ae-4cc0-928c-73f27289b3aa
- Azure Public:
発行者: セキュリティ トークン サービスの URL。 [発行者] 値の末尾にはスラッシュを含めます。 そうしないと、接続が失敗する可能性があります。 例:
https://sts.windows.net/{TenantID}/
設定の構成が完了したら、ページの上部にある [保存] をクリックします。
Azure VPN クライアント プロファイル構成パッケージをダウンロードする
このセクションでは、Azure VPN クライアント プロファイル構成パッケージを生成してダウンロードします。 このパッケージには、クライアント コンピューターで Azure VPN クライアント プロファイルを構成するために使用できる設定が含まれています。
[ポイント対サイトの構成] ページの上部で [VPN クライアントのダウンロード] をクリックします。 クライアント構成パッケージが生成されるまでに数分かかります。
お使いのブラウザーは、クライアント構成の zip ファイルが使用可能なことを示します。 ファイルにはゲートウェイと同じ名前が付けられています。
ダウンロードした zip ファイルを解凍します。
解凍された "AzureVPN" フォルダーを参照します。
"azurevpnconfig.xml" ファイルの場所をメモしておきます。 azurevpnconfig.xml には、VPN 接続のための設定が含まれています。 このファイルは、接続する必要があるすべてのユーザーに、電子メールやその他の方法で配布することもできます。 ユーザーが正常に接続するには、有効な Microsoft Entra 資格情報が必要です。 詳細については、Microsoft Entra 認証 の Azure VPN クライアント プロファイル構成ファイル を参照してください。
次のステップ
- 仮想ネットワークに接続するには、クライアント コンピューターで Azure VPN クライアントを構成する必要があります。 「VPN クライアントを P2S VPN 接続用に構成する」を参照してください。
- よく寄せられる質問については、「VPN Gateway に関する FAQ」の「ポイント対サイト」セクションを参照してください。