ポイント対サイト VPN についてAbout Point-to-Site VPN

ポイント対サイト (P2S) VPN ゲートウェイ接続では、個々のクライアント コンピューターから仮想ネットワークへの、セキュリティで保護された接続を作成することができます。A Point-to-Site (P2S) VPN gateway connection lets you create a secure connection to your virtual network from an individual client computer. P2S 接続は、クライアント コンピューターから接続を開始することによって確立されます。A P2S connection is established by starting it from the client computer. このソリューションは、在宅勤務の人間が自宅や会議室など、リモートの場所から Azure VNet に接続する場合に便利です。This solution is useful for telecommuters who want to connect to Azure VNets from a remote location, such as from home or a conference. P2S VPN は、VNet への接続が必要なクライアントがごく少ない場合に、S2S VPN の代わりに使用するソリューションとしても便利です。P2S VPN is also a useful solution to use instead of S2S VPN when you have only a few clients that need to connect to a VNet. この記事は、Resource Manager デプロイ モデルに適用されます。This article applies to the Resource Manager deployment model.

P2S で使用されるプロトコルWhat protocol does P2S use?

ポイント対サイト VPN では、次のいずれかのプロトコルを使用できます。Point-to-site VPN can use one of the following protocols:

  • SSL/TLS ベースの VPN プロトコルである OpenVPN® プロトコルOpenVPN® Protocol, an SSL/TLS based VPN protocol. SSL VPN ソリューションはファイアウォールを通過できます。これは、ほとんどのファイアウォールで開かれている TCP ポート 443 が SSL で使用されるためです。An SSL VPN solution can penetrate firewalls, since most firewalls open TCP port 443, which SSL uses. OpenVPN は、Android、iOS (バージョン 11.0 以上)、Windows、Linux、および Mac デバイス (OSX バージョン 10.13 以上) から接続する際に使用できます。OpenVPN can be used to connect from Android, iOS (versions 11.0 and above), Windows, Linux and Mac devices (OSX versions 10.13 and above).

  • Secure Socket トンネリング プロトコル (SSTP)。これは、SSL ベースの独自の VPN プロトコルです。Secure Socket Tunneling Protocol (SSTP), a proprietary SSL-based VPN protocol. SSL VPN ソリューションはファイアウォールを通過できます。これは、ほとんどのファイアウォールで開かれている TCP ポート 443 が SSL で使用されるためです。An SSL VPN solution can penetrate firewalls, since most firewalls open TCP port 443, which SSL uses. SSTP は、Windows デバイスでのみサポートされます。SSTP is only supported on Windows devices. Azure では、SSTP を備えたすべてのバージョンの Windows (Windows 7 以降) がサポートされています。Azure supports all versions of Windows that have SSTP (Windows 7 and later).

  • IKEv2 VPN。これは、標準ベースの IPsec VPN ソリューションです。IKEv2 VPN, a standards-based IPsec VPN solution. IKEv2 VPN は、Mac デバイス (OSX バージョン 10.11 以上) から接続する際に使用できます。IKEv2 VPN can be used to connect from Mac devices (OSX versions 10.11 and above).

注意

P2S 用 IKEv2 および OpenVPN は、Resource Manager デプロイ モデルでのみ使用できます。IKEv2 and OpenVPN for P2S are available for the Resource Manager deployment model only. これらは、クラシック デプロイ モデルでは使用できません。They are not available for the classic deployment model.

P2S VPN クライアントの認証方法How are P2S VPN clients authenticated?

Azure が P2S VPN 接続を受け入れる前に、ユーザーはまず認証を受ける必要があります。Before Azure accepts a P2S VPN connection, the user has to be authenticated first. Azure では、接続するユーザーを認証するメカニズムが 2 つ用意されています。There are two mechanisms that Azure offers to authenticate a connecting user.

ネイティブ Azure 証明書認証を使用した認証Authenticate using native Azure certificate authentication

ネイティブ Azure 証明書認証を使用する場合、デバイス上にあるクライアント証明書が、接続するユーザーの認証に使用されます。When using the native Azure certificate authentication, a client certificate that is present on the device is used to authenticate the connecting user. クライアント証明書は信頼されたルート証明書から生成され、各クライアント コンピューターにインストールされます。Client certificates are generated from a trusted root certificate and then installed on each client computer. エンタープライズ ソリューションを使って生成されたルート証明書を使用することも、自己署名証明書を生成することもできます。You can use a root certificate that was generated using an Enterprise solution, or you can generate a self-signed certificate.

クライアント証明書の検証は、P2S VPN 接続が確立される間、VPN ゲートウェイによって実行されます。The validation of the client certificate is performed by the VPN gateway and happens during establishment of the P2S VPN connection. 検証にはルート証明書が必要なため、そのルート証明書を Azure にアップロードする必要があります。The root certificate is required for the validation and must be uploaded to Azure.

Active Directory (AD) ドメイン サーバーを使用した認証Authenticate using Active Directory (AD) Domain Server

AD ドメイン認証では、ユーザーは組織のドメイン資格情報を使用して Azure に接続できます。AD Domain authentication allows users to connect to Azure using their organization domain credentials. これには AD サーバーと統合する RADIUS サーバーが必要です。It requires a RADIUS server that integrates with the AD server. また、組織は既存の RADIUS デプロイを利用することもできます。Organizations can also leverage their existing RADIUS deployment.       RADIUS サーバーは、オンプレミスまたは Azure VNET にデプロイできます。The RADIUS server could be deployed on-premises or in your Azure VNET. 認証が行われる間、Azure VPN ゲートウェイがパススルーとして機能し、接続するデバイスと RADIUS サーバーの間で認証メッセージを転送します。During authentication, the Azure VPN Gateway acts as a pass through and forwards authentication messages back and forth between the RADIUS server and the connecting device. そのため、ゲートウェイが RADIUS サーバーにアクセスできることが重要です。So Gateway reachability to the RADIUS server is important. RADIUS サーバーがオンプレミスに存在する場合、アクセスのために、Azure からオンプレミス サイトへの VPN サイト間接続が必要になります。If the RADIUS server is present on-premises, then a VPN S2S connection from Azure to the on-premises site is required for reachability.      また、RADIUS サーバーは、AD 証明書サービスとも統合できます。The RADIUS server can also integrate with AD certificate services. これにより、Azure 証明書認証の代替手段として、P2S 証明書認証に RADIUS サーバーとエンタープライズ証明書デプロイを使用できます。This lets you use the RADIUS server and your enterprise certificate deployment for P2S certificate authentication as an alternative to the Azure certificate authentication. この利点は、ルート証明書と失効した証明書を Azure にアップロードする必要がないことです。The advantage is that you don’t need to upload root certificates and revoked certificates to Azure.

RADIUS サーバーは、他の外部 ID システムと統合することもできます。A RADIUS server can also integrate with other external identity systems. これにより、多要素認証のオプションなど、P2S VPN 向けの多数の認証オプションを利用できるようになります。This opens up plenty of authentication options for P2S VPN, including multi-factor options.

注意

RADIUS 認証では、OpenVPN® プロトコルはサポートされていません。OpenVPN® Protocol is not supported with RADIUS authentication.

ポイント対サイトpoint-to-site

クライアントの構成要件についてWhat are the client configuration requirements?

注意

Windows クライアントの場合、クライアント デバイスから Azure に VPN 接続を開始するには、クライアント デバイスで管理権限が必要です。For Windows clients, you must have administrator rights on the client device in order to initiate the VPN connection from the client device to Azure.

ユーザーは、P2S 用の Windows デバイスと Mac デバイスでネイティブ VPN クライアントを使用します。Users use the native VPN clients on Windows and Mac devices for P2S. これらのネイティブ クライアントが Azure に接続するために必要な設定が含まれた VPN クライアント構成 zip ファイルは、Azure に用意されています。Azure provides a VPN client configuration zip file that contains settings required by these native clients to connect to Azure.

  • Windows デバイスの場合、VPN クライアント構成は、ユーザーがデバイスにインストールするインストーラー パッケージで構成されています。For Windows devices, the VPN client configuration consists of an installer package that users install on their devices.
  • Mac デバイスの場合、これは、ユーザーがデバイスにインストールする mobileconfig ファイルで構成されています。For Mac devices, it consists of the mobileconfig file that users install on their devices.

zip ファイルでは、Azure 側のいくつかの重要な設定の値も指定されており、この値を使用することで、これらのデバイス用に独自のプロファイルを作成できます。The zip file also provides the values of some of the important settings on the Azure side that you can use to create your own profile for these devices. このような値には、VPN ゲートウェイ アドレス、構成されたトンネルの種類、ルート、ゲートウェイ検証用のルート証明書などがあります。Some of the values include the VPN gateway address, configured tunnel types, routes, and the root certificate for gateway validation.

注意

2018 年 7 月 1 日以降、Azure VPN Gateway では TLS 1.0 および 1.1 のサポートが終了します。Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. VPN Gateway では、TLS 1.2 のみがサポートされるようになります。VPN Gateway will support only TLS 1.2. 影響を受けるのはポイント対サイト接続のみであり、サイト対サイト接続には影響ありません。Only point-to-site connections are impacted; site-to-site connections will not be affected. Windows 10 クライアント上でポイント対サイト VPN に対して TLS を使用する場合、特に何も行う必要はありません。If you’re using TLS for point-to-site VPNs on Windows 10 clients, you don’t need to take any action. Windows 7 および Windows 8 クライアント上でポイント対サイト接続に対して TLS を使用する場合、更新手順については「VPN Gateway に関する FAQ」を参照してください。If you are using TLS for point-to-site connections on Windows 7 and Windows 8 clients, see the VPN Gateway FAQ for update instructions.

P2S VPN がサポートされるゲートウェイ SKU の種類Which gateway SKUs support P2S VPN?

SKUSKU S2S/VNet 間
トンネル
S2S/VNet-to-VNet
Tunnels
P2S
SSTP 接続
P2S
SSTP Connections
P2S
IKEv2/OpenVPN 接続
P2S
IKEv2/OpenVPN Connections
合計
スループット ベンチマーク
Aggregate
Throughput Benchmark
BGPBGP ゾーン冗長Zone-redundant
BasicBasic 最大Max. 1010 最大Max. 128128 サポートされていませんNot Supported 100 Mbps100 Mbps サポートされていませんNot Supported いいえNo
VpnGw1VpnGw1 最大Max. 30*30* 最大Max. 128128 最大Max. 250250 650 Mbps650 Mbps サポートされていますSupported いいえNo
VpnGw2VpnGw2 最大Max. 30*30* 最大Max. 128128 最大Max. 500500 1 Gbps1 Gbps サポートされていますSupported いいえNo
VpnGw3VpnGw3 最大Max. 30*30* 最大Max. 128128 最大Max. 1,0001000 1.25 Gbps1.25 Gbps サポートされていますSupported いいえNo
VpnGw1AZVpnGw1AZ 最大Max. 30*30* 最大Max. 128128 最大Max. 250250 650 Mbps650 Mbps サポートされていますSupported はいYes
VpnGw2AZVpnGw2AZ 最大Max. 30*30* 最大Max. 128128 最大Max. 500500 1 Gbps1 Gbps サポートされていますSupported はいYes
VpnGw3AZVpnGw3AZ 最大Max. 30*30* 最大Max. 128128 最大Max. 1,0001000 1.25 Gbps1.25 Gbps サポートされていますSupported はいYes

(*) 30 個を超える S2S VPN トンネルが必要な場合は、Virtual WAN を使用してください。(*) Use Virtual WAN if you need more than 30 S2S VPN tunnels.

  • 合計スループット ベンチマークは、1 つのゲートウェイから集計された複数のトンネルの測定値に基づいています。Aggregate Throughput Benchmark is based on measurements of multiple tunnels aggregated through a single gateway. VPN ゲートウェイの合計スループット ベンチマークは、S2S と P2S を組み合わせたものです。The Aggregate Throughput Benchmark for a VPN Gateway is S2S + P2S combined. 多数のポイント対サイト接続がある場合、スループットの制限が原因でサイト間接続に悪影響が及ぶ可能性があります。If you have a lot of P2S connections, it can negatively impact a S2S connection due to throughput limitations. 合計スループット ベンチマークは、インターネット トラフィックの状況とアプリケーションの動作に依存するため、保証されたスループットではありません。The Aggregate Throughput Benchmark is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

  • これらの接続の制限は別々になっています。These connection limits are separate. たとえば、VpnGw1 SKU では 128 の SSTP 接続が利用できると共に 250 の IKEv2 接続を利用できます。For example, you can have 128 SSTP connections and also 250 IKEv2 connections on a VpnGw1 SKU.

  • 料金情報については、価格に関するページをご覧ください。Pricing information can be found on the Pricing page.

  • SLA (サービス レベル アグリーメント) 情報は SLA のページで確認できます。SLA (Service Level Agreement) information can be found on the SLA page.

  • VpnGw1、VpnGw2、および VpnGw3 は、Resource Manager デプロイ モデルを使用する VPN ゲートウェイでのみサポートされます。VpnGw1, VpnGw2, and VpnGw3 are supported for VPN gateways using the Resource Manager deployment model only.

  • Basic SKU はレガシ SKU とみなされます。The Basic SKU is considered a legacy SKU. Basic SKU には一定の機能制限があります。The Basic SKU has certain feature limitations. Basic SKU を使用するゲートウェイのサイズを変更し、新しいゲートウェイ SKU のいずれかにすることはできません。その代わり、新しい SKU に変更する必要があります。You can't resize a gateway that uses a Basic SKU to one of the new gateway SKUs, you must instead change to a new SKU, which involves deleting and recreating your VPN gateway. Basic SKU を使用する前に、必要としている機能がサポートされていることを確認してください。Verify that the feature that you need is supported before you use the Basic SKU.

注意

Basic SKU では、IKEv2 と RADIUS 認証はサポートされません。The Basic SKU does not support IKEv2 or RADIUS authentication.

P2S 接続の構成方法How do I configure a P2S connection?

P2S 構成で必要な手順には、特有のものが非常に多くあります。A P2S configuration requires quite a few specific steps. 次の記事では、P2S 構成の詳細な手順と、VPN クライアント デバイスの構成方法のリンクをご紹介します。The following articles contain the steps to walk you through P2S configuration, and links to configure the VPN client devices:

ネイティブ Azure 証明書認証に関する FAQFAQ for native Azure certificate authentication

ポイント対サイト構成で保持できる VPN クライアント エンドポイントの最大数を教えてください。How many VPN client endpoints can I have in my Point-to-Site configuration?

それは、ゲートウェイ SKU によって異なります。It depends on the gateway SKU. サポートされる接続の数の詳細については、「ゲートウェイの SKU」を参照してください。For more information on the number of connections supported, see Gateway SKUs.

ポイント対サイト接続で使用できるクライアント オペレーティング システムを教えてください。What client operating systems can I use with Point-to-Site?

次のクライアント オペレーティング システムがサポートされています。The following client operating systems are supported:

  • Windows 7 (32 ビットと 64 ビット)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (64 ビットのみ)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32 ビットと 64 ビット)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (64 ビットのみ)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (64 ビットのみ)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (64 ビットのみ)Windows Server 2016 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X バージョン 10.11 以降Mac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

注意

2018 年 7 月 1 日以降、Azure VPN Gateway では TLS 1.0 および 1.1 のサポートが終了します。Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. VPN Gateway では、TLS 1.2 のみがサポートされるようになります。VPN Gateway will support only TLS 1.2. サポートを維持するには、TLS1.2 のサポートを有効にする更新プログラムに関するページを参照してください。To maintain support, see the updates to enable support for TLS1.2.

さらに、次の TLS 用レガシ アルゴリズムも 2018 年 7 月 1 日に廃止される予定です。Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (データ暗号化アルゴリズム)DES (Data Encryption Algorithm)
  • 3DES (トリプル データ暗号化アルゴリズム)3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)MD5 (Message Digest 5)

Windows 7 および Windows 8.1 で TLS 1.2 のサポートを有効にするにはどうすればよいですか。How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. 右クリックし、昇格した特権でコマンド プロンプトを開きコマンド プロンプト選択管理者として実行します。Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. コマンド プロンプトで次のコマンドを実行します。Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. 次の更新プログラムをインストールします。Install the following updates:

  4. コンピューターを再起動します。Reboot the computer.

  5. VPN に接続します。Connect to the VPN.

注意

以前のバージョンの Windows 10 (10240) を実行している場合は、上記のレジストリ キーを設定する必要があります。You will have to set the above registry key if you are running an older version of Windows 10 (10240).

プロキシやファイアウォールを経由してポイント対サイト接続の機能を使用できますか。Can I traverse proxies and firewalls using Point-to-Site capability?

Azure では、次の 3 種類のポイント対サイト VPN オプションをサポートしています。Azure supports three types of Point-to-site VPN options:

  • Secure Socket Tunneling Protocol (SSTP)。Secure Socket Tunneling Protocol (SSTP). SSTP は、ほとんどのファイアウォールが 443 SSL で使用される送信 TCP ポートを開いているためにファイアウォールを通過できる、Microsoft 独自の SSL ベースのソリューションです。SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN。OpenVPN. OpenVPN は、ほとんどのファイアウォールが 443 SSL で使用される送信 TCP ポートを開いているためにファイアウォールを通過できる、SSL ベースのソリューションです。OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • IKEv2 VPN。IKEv2 VPN. IKEv2 VPN は標準ベースの IPsec VPN ソリューションであり、送信 UDP ポート 500 と 4500 のほか、IP プロトコル番号IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50 を使用しています。50. ファイアウォールでここに挙げたポートが必ずしも開いているとは限りません。このため、IKEv2 VPN ではプロキシとファイアウォールを通過できないことがあります。Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

ポイント対サイト接続用に構成されたクライアント コンピューターを再起動した場合、VPN は自動的に再接続されますか。If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

既定では、クライアント コンピューターの再起動時には VPN の自動再接続は行われません。By default, the client computer will not reestablish the VPN connection automatically.

ポイント対サイトの自動再接続と VPN クライアントの DDNS はサポートされていますか。Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

ポイント対サイト VPN では、自動再接続と DDNS は現時点ではサポートされていません。Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

サイト間接続およびポイント対サイト接続の構成は、同一仮想ネットワークに共存させることはできますか。Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

はい。Yes. Resource Manager デプロイ モデルの場合には、ゲートウェイにルートベースの VPN が必要になります。For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. クラシック デプロイ モデルの場合は、動的ゲートウェイが必要です。For the classic deployment model, you need a dynamic gateway. 静的ルーティング VPN ゲートウェイと、ポリシーベースの VPN ゲートウェイでは、ポイント対サイト接続はサポートされません。We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

ポイント対サイト接続のクライアントを同時に複数の仮想ネットワークに接続するように構成することはできますか。Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

いいえ。No. ポイント対サイト接続のクライアントは、仮想ネットワーク ゲートウェイが存在する VNet にあるリソースに接続できるにとどまります。A Point-to-Site client can only connect to resources in the VNet in which the virtual network gateway resides.

サイト間接続またはポイント対サイト接続ではどの程度のスループットが得られますか。How much throughput can I expect through Site-to-Site or Point-to-Site connections?

VPN トンネルのスループットを正確に一定レベルに維持することは困難です。It's difficult to maintain the exact throughput of the VPN tunnels. IPsec と SSTP は、VPN プロトコルの中でも暗号化処理の負荷が高いものです。IPsec and SSTP are crypto-heavy VPN protocols. また、スループットはオンプレミスとインターネットの間の待機時間や帯域幅によっても制限されます。Throughput is also limited by the latency and bandwidth between your premises and the Internet. IKEv2 ポイント対サイト VPN 接続のみを使用する VPN ゲートウェイでは、期待できるスループットの総量がゲートウェイの SKU に応じて変わります。For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. スループットの詳細については、「ゲートウェイの SKU」を参照してください。For more information on throughput, see Gateway SKUs.

SSTP や IKEv2 をサポートしているポイント対サイト接続では、ソフトウェア VPN クライアントを使用できますか。Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

いいえ。No. SSTP については Windows のネイティブ VPN クライアント、IKEv2 については Mac のネイティブ VPN クライアントのみ使用できます。You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. ただし、すべてのプラットフォーム上で OpenVPN クライアントを使用して、OpenVPN プロトコル経由で接続できます。However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. サポートされているクライアント オペレーティング システムの一覧を参照してください。Refer to the list of supported client operating systems.

Azure は、Windows で IKEv2 VPN をサポートしていますか。Does Azure support IKEv2 VPN with Windows?

IKEv2 は、Windows 10 および Windows Server 2016 でサポートされています。IKEv2 is supported on Windows 10 and Server 2016. ただし、IKEv2 を使用するには、更新プログラムをインストールして、ローカルでレジストリ キーの値を設定する必要があります。However, in order to use IKEv2, you must install updates and set a registry key value locally. Windows 10 以前の OS バージョンはサポートされておらず、それらのバージョンで使用できるのは SSTP または OpenVPN® プロトコルのみです。OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Windows 10 または Windows Server 2016 を IKEv2 用に準備するには:To prepare Windows 10 or Server 2016 for IKEv2:

  1. 更新プログラムをインストールします。Install the update.

    OS バージョンOS version DateDate 数/リンクNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 バージョン 1607Windows 10 Version 1607
    2018 年 1 月 17 日January 17, 2018 KB4057142KB4057142
    Windows 10 バージョン 1703Windows 10 Version 1703 2018 年 1 月 17 日January 17, 2018 KB4057144KB4057144
    Windows 10 バージョン 1709Windows 10 Version 1709 2018 年 3 月 22 日March 22, 2018 KB4089848KB4089848
  2. レジストリ キーの値を設定します。Set the registry key value. レジストリの "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD キーを作成するか、または 1 に設定します。Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

P2S VPN 接続に対して SSTP と IKEv2 の両方を構成した場合、何が起こりますか。What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Windows デバイスと Mac デバイスが混在する環境で SSTP と IKEv2 の両方を構成すると、Windows VPN クライアントは必ず最初に IKEv2 トンネルを試行します。ただし、IKEv2 接続が成功しなかった場合 SSTP にフォールバックします。When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX は IKEv2 経由のみで接続します。MacOSX will only connect via IKEv2.

Windows と Mac 以外に、Azure が P2S VPN 向けにサポートしている他のプラットフォームはありますか。Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Azure では、P2S VPN 向けに Windows、Mac、および Linux をサポートしています。Azure supports Windows, Mac and Linux for P2S VPN.

Azure VPN Gateway を既にデプロイしています。I already have an Azure VPN Gateway deployed. ここで RADIUS または IKEv2 VPN または両方を有効にできますか。Can I enable RADIUS and/or IKEv2 VPN on it?

はい。Powershell または Azure Portal を使用して、既にデプロイされているゲートウェイでこれらの新機能を有効にできます。ただし、ご利用のゲートウェイ SKU が、RADIUS と IKEv2 のいずれかまたは両方をサポートしている必要があります。Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. たとえば VPN Gateway Basic SKU は、RADIUS と IKEv2 のどちらもサポートしていません。For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

ポイント対サイト接続で自社の内部 PKI ルート CA を使用できますか。Can I use my own internal PKI root CA for Point-to-Site connectivity?

はい。Yes. 以前は、自己署名ルート証明書のみを使用できました。Previously, only self-signed root certificates could be used. 現在も 20 ルート証明書までアップロードできます。You can still upload 20 root certificates.

証明書の作成にどのようなツールを使用できますか。What tools can I use to create certificates?

エンタープライズ PKI ソリューション (内部 PKI)、Azure PowerShell、MakeCert、OpenSSL を使用できます。You can use your Enterprise PKI solution (your internal PKI), Azure PowerShell, MakeCert, and OpenSSL.

証明書の設定およびパラメーターに関する指示はありますか。Are there instructions for certificate settings and parameters?

  • 内部 PKI/エンタープライズ PKI ソリューション: 証明書を生成する手順を参照してください。Internal PKI/Enterprise PKI solution: See the steps to Generate certificates.

  • Azure PowerShell: 手順については、Azure PowerShell の記事を参照してください。Azure PowerShell: See the Azure PowerShell article for steps.

  • MakeCert: 手順については、MakeCert の記事を参照してください。MakeCert: See the MakeCert article for steps.

  • OpenSSL:OpenSSL:

    • 証明書をエクスポートするときは、ルート証明書を Base64 に変換してください。When exporting certificates, be sure to convert the root certificate to Base64.

    • クライアント証明書の場合:For the client certificate:

      • 秘密キーを作成する際は、長さを 4096 として指定します。When creating the private key, specify the length as 4096.
      • 証明書を作成する際は、 -extensions パラメーターに usr_cert を指定します。When creating the certificate, for the -extensions parameter, specify usr_cert.

RADIUS 認証に関する FAQFAQ for RADIUS authentication

ポイント対サイト構成で保持できる VPN クライアント エンドポイントの最大数を教えてください。How many VPN client endpoints can I have in my Point-to-Site configuration?

それは、ゲートウェイ SKU によって異なります。It depends on the gateway SKU. サポートされる接続の数の詳細については、「ゲートウェイの SKU」を参照してください。For more information on the number of connections supported, see Gateway SKUs.

ポイント対サイト接続で使用できるクライアント オペレーティング システムを教えてください。What client operating systems can I use with Point-to-Site?

次のクライアント オペレーティング システムがサポートされています。The following client operating systems are supported:

  • Windows 7 (32 ビットと 64 ビット)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (64 ビットのみ)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32 ビットと 64 ビット)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (64 ビットのみ)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (64 ビットのみ)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (64 ビットのみ)Windows Server 2016 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X バージョン 10.11 以降Mac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

注意

2018 年 7 月 1 日以降、Azure VPN Gateway では TLS 1.0 および 1.1 のサポートが終了します。Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. VPN Gateway では、TLS 1.2 のみがサポートされるようになります。VPN Gateway will support only TLS 1.2. サポートを維持するには、TLS1.2 のサポートを有効にする更新プログラムに関するページを参照してください。To maintain support, see the updates to enable support for TLS1.2.

さらに、次の TLS 用レガシ アルゴリズムも 2018 年 7 月 1 日に廃止される予定です。Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (データ暗号化アルゴリズム)DES (Data Encryption Algorithm)
  • 3DES (トリプル データ暗号化アルゴリズム)3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)MD5 (Message Digest 5)

Windows 7 および Windows 8.1 で TLS 1.2 のサポートを有効にするにはどうすればよいですか。How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. 右クリックし、昇格した特権でコマンド プロンプトを開きコマンド プロンプト選択管理者として実行します。Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. コマンド プロンプトで次のコマンドを実行します。Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. 次の更新プログラムをインストールします。Install the following updates:

  4. コンピューターを再起動します。Reboot the computer.

  5. VPN に接続します。Connect to the VPN.

注意

以前のバージョンの Windows 10 (10240) を実行している場合は、上記のレジストリ キーを設定する必要があります。You will have to set the above registry key if you are running an older version of Windows 10 (10240).

プロキシやファイアウォールを経由してポイント対サイト接続の機能を使用できますか。Can I traverse proxies and firewalls using Point-to-Site capability?

Azure では、次の 3 種類のポイント対サイト VPN オプションをサポートしています。Azure supports three types of Point-to-site VPN options:

  • Secure Socket Tunneling Protocol (SSTP)。Secure Socket Tunneling Protocol (SSTP). SSTP は、ほとんどのファイアウォールが 443 SSL で使用される送信 TCP ポートを開いているためにファイアウォールを通過できる、Microsoft 独自の SSL ベースのソリューションです。SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN。OpenVPN. OpenVPN は、ほとんどのファイアウォールが 443 SSL で使用される送信 TCP ポートを開いているためにファイアウォールを通過できる、SSL ベースのソリューションです。OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • IKEv2 VPN。IKEv2 VPN. IKEv2 VPN は標準ベースの IPsec VPN ソリューションであり、送信 UDP ポート 500 と 4500 のほか、IP プロトコル番号IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50 を使用しています。50. ファイアウォールでここに挙げたポートが必ずしも開いているとは限りません。このため、IKEv2 VPN ではプロキシとファイアウォールを通過できないことがあります。Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

ポイント対サイト接続用に構成されたクライアント コンピューターを再起動した場合、VPN は自動的に再接続されますか。If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

既定では、クライアント コンピューターの再起動時には VPN の自動再接続は行われません。By default, the client computer will not reestablish the VPN connection automatically.

ポイント対サイトの自動再接続と VPN クライアントの DDNS はサポートされていますか。Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

ポイント対サイト VPN では、自動再接続と DDNS は現時点ではサポートされていません。Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

サイト間接続およびポイント対サイト接続の構成は、同一仮想ネットワークに共存させることはできますか。Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

はい。Yes. Resource Manager デプロイ モデルの場合には、ゲートウェイにルートベースの VPN が必要になります。For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. クラシック デプロイ モデルの場合は、動的ゲートウェイが必要です。For the classic deployment model, you need a dynamic gateway. 静的ルーティング VPN ゲートウェイと、ポリシーベースの VPN ゲートウェイでは、ポイント対サイト接続はサポートされません。We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

ポイント対サイト接続のクライアントを同時に複数の仮想ネットワークに接続するように構成することはできますか。Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

いいえ。No. ポイント対サイト接続のクライアントは、仮想ネットワーク ゲートウェイが存在する VNet にあるリソースに接続できるにとどまります。A Point-to-Site client can only connect to resources in the VNet in which the virtual network gateway resides.

サイト間接続またはポイント対サイト接続ではどの程度のスループットが得られますか。How much throughput can I expect through Site-to-Site or Point-to-Site connections?

VPN トンネルのスループットを正確に一定レベルに維持することは困難です。It's difficult to maintain the exact throughput of the VPN tunnels. IPsec と SSTP は、VPN プロトコルの中でも暗号化処理の負荷が高いものです。IPsec and SSTP are crypto-heavy VPN protocols. また、スループットはオンプレミスとインターネットの間の待機時間や帯域幅によっても制限されます。Throughput is also limited by the latency and bandwidth between your premises and the Internet. IKEv2 ポイント対サイト VPN 接続のみを使用する VPN ゲートウェイでは、期待できるスループットの総量がゲートウェイの SKU に応じて変わります。For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. スループットの詳細については、「ゲートウェイの SKU」を参照してください。For more information on throughput, see Gateway SKUs.

SSTP や IKEv2 をサポートしているポイント対サイト接続では、ソフトウェア VPN クライアントを使用できますか。Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

いいえ。No. SSTP については Windows のネイティブ VPN クライアント、IKEv2 については Mac のネイティブ VPN クライアントのみ使用できます。You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. ただし、すべてのプラットフォーム上で OpenVPN クライアントを使用して、OpenVPN プロトコル経由で接続できます。However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. サポートされているクライアント オペレーティング システムの一覧を参照してください。Refer to the list of supported client operating systems.

Azure は、Windows で IKEv2 VPN をサポートしていますか。Does Azure support IKEv2 VPN with Windows?

IKEv2 は、Windows 10 および Windows Server 2016 でサポートされています。IKEv2 is supported on Windows 10 and Server 2016. ただし、IKEv2 を使用するには、更新プログラムをインストールして、ローカルでレジストリ キーの値を設定する必要があります。However, in order to use IKEv2, you must install updates and set a registry key value locally. Windows 10 以前の OS バージョンはサポートされておらず、それらのバージョンで使用できるのは SSTP または OpenVPN® プロトコルのみです。OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Windows 10 または Windows Server 2016 を IKEv2 用に準備するには:To prepare Windows 10 or Server 2016 for IKEv2:

  1. 更新プログラムをインストールします。Install the update.

    OS バージョンOS version DateDate 数/リンクNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 バージョン 1607Windows 10 Version 1607
    2018 年 1 月 17 日January 17, 2018 KB4057142KB4057142
    Windows 10 バージョン 1703Windows 10 Version 1703 2018 年 1 月 17 日January 17, 2018 KB4057144KB4057144
    Windows 10 バージョン 1709Windows 10 Version 1709 2018 年 3 月 22 日March 22, 2018 KB4089848KB4089848
  2. レジストリ キーの値を設定します。Set the registry key value. レジストリの "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD キーを作成するか、または 1 に設定します。Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

P2S VPN 接続に対して SSTP と IKEv2 の両方を構成した場合、何が起こりますか。What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Windows デバイスと Mac デバイスが混在する環境で SSTP と IKEv2 の両方を構成すると、Windows VPN クライアントは必ず最初に IKEv2 トンネルを試行します。ただし、IKEv2 接続が成功しなかった場合 SSTP にフォールバックします。When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX は IKEv2 経由のみで接続します。MacOSX will only connect via IKEv2.

Windows と Mac 以外に、Azure が P2S VPN 向けにサポートしている他のプラットフォームはありますか。Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Azure では、P2S VPN 向けに Windows、Mac、および Linux をサポートしています。Azure supports Windows, Mac and Linux for P2S VPN.

Azure VPN Gateway を既にデプロイしています。I already have an Azure VPN Gateway deployed. ここで RADIUS または IKEv2 VPN または両方を有効にできますか。Can I enable RADIUS and/or IKEv2 VPN on it?

はい。Powershell または Azure Portal を使用して、既にデプロイされているゲートウェイでこれらの新機能を有効にできます。ただし、ご利用のゲートウェイ SKU が、RADIUS と IKEv2 のいずれかまたは両方をサポートしている必要があります。Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. たとえば VPN Gateway Basic SKU は、RADIUS と IKEv2 のどちらもサポートしていません。For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

RADIUS 認証はすべての Azure VPN Gateway SKU でサポートされていますか。Is RADIUS authentication supported on all Azure VPN Gateway SKUs?

RADIUS 認証は VpnGw1、VpnGw2、VpnGw3 の 3 つの SKU でサポートされています。RADIUS authentication is supported for VpnGw1, VpnGw2, and VpnGw3 SKUs. 従来の SKU を使用している場合は、Standard と High Performance の SKU に限り RADIUS 認証をサポートしています。If you are using legacy SKUs, RADIUS authentication is supported on Standard and High Performance SKUs. Basic Gateway SKU ではサポートされていません。It is not supported on the Basic Gateway SKU. 

クラシック デプロイ モデルでは RADIUS 認証がサポートされていますか。Is RADIUS authentication supported for the classic deployment model?

いいえ。No. クラシック デプロイ モデルでは、RADIUS 認証がサポートされていません。RADIUS authentication is not supported for the classic deployment model.

サードパーティ製の RADIUS サーバーはサポートされていますか。Are 3rd-party RADIUS servers supported?

はい。サードパーティ製の RADIUS サーバーはサポートされています。Yes, 3rd-party RADIUS servers are supported.

Azure ゲートウェイがオンプレミスの RADIUS サーバーに到達するための接続の要件は何ですか。What are the connectivity requirements to ensure that the Azure gateway is able to reach an on-premises RADIUS server?

オンプレミスのサイトに対する VPN サイト対サイト接続が必要です (適切なルートが構成されている必要があります)。A VPN Site-to-Site connection to the on-premises site, with the proper routes configured, is required.  

ExpressRoute 接続を使って (Azure VPN ゲートウェイから) オンプレミスの RADIUS サーバーに対するトラフィックをルーティングすることはできますか。Can traffic to an on-premises RADIUS server (from the Azure VPN gateway) be routed over an ExpressRoute connection?

いいえ。No. そのようなトラフィックは、サイト対サイト接続でのみルーティングできます。It can only be routed over a Site-to-Site connection.

RADIUS 認証でサポートされる SSTP 接続の数に変更はありますか。Is there a change in the number of SSTP connections supported with RADIUS authentication? サポートされる SSTP 接続と IKEv2 接続の最大数はそれぞれどのくらいですか。What is the maximum number of SSTP and IKEv2 connections supported?

RADIUS 認証を使用するゲートウェイでサポートされる SSTP 接続の最大数には変更ありません。There is no change in the maximum number of SSTP connections supported on a gateway with RADIUS authentication. SSTP に対しては 128 のままですが、IKEv2 のゲートウェイ SKU によって異なります。It remains 128 for SSTP, but depends on the gateway SKU for IKEv2. サポートされる接続の数の詳細については、「ゲートウェイの SKU」を参照してください。 For more information on the number of connections supported, see Gateway SKUs.

RADIUS サーバーを使った証明書認証と Azure ネイティブ証明書認証を使った証明書認証 (信頼された証明書を Azure にアップロードする) の違いは何ですか。What is the difference between doing certificate authentication using a RADIUS server vs. using Azure native certificate authentication (by uploading a trusted certificate to Azure).

RADIUS による証明書認証では、認証要求が実際に証明書の検証処理を担当する RADIUS サーバーに転送されます。In RADIUS certificate authentication, the authentication request is forwarded to a RADIUS server that handles the actual certificate validation. このオプションは、RADIUS を使用する証明書認証インフラストラクチャが既にあり、それを統合したい場合に有用です。This option is useful if you want to integrate with a certificate authentication infrastructure that you already have through RADIUS.

証明書認証に Azure を使用する場合には、Azure VPN ゲートウェイが証明書の検証を担当します。When using Azure for certificate authentication, the Azure VPN gateway performs the validation of the certificate. ユーザーの側では、ゲートウェイに証明書の公開キーをアップロードする必要があります。You need to upload your certificate public key to the gateway. このほか、接続を許可してはならない失効した証明書の一覧を指定することもできます。You can also specify list of revoked certificates that shouldn’t be allowed to connect.

RADIUS 認証は、IKEv2 と SSTP VPN の両方で機能しますか。Does RADIUS authentication work with both IKEv2, and SSTP VPN?

はい、RADIUS 認証は、IKEv2 と SSTP VPN の両方でサポートされています。Yes, RADIUS authentication is supported for both IKEv2, and SSTP VPN. 

次の手順Next Steps

"OpenVPN" は OpenVPN Inc. の商標です。"OpenVPN" is a trademark of OpenVPN Inc.