手順 7.2.Step 7.2. Azure AD を使用した VPN 認証用の条件付きアクセスルート証明書の作成Create conditional access root certificates for VPN authentication with Azure AD

適用対象: Windows Server (半期チャネル)、Windows Server 2016、Windows Server 2012 R2、Windows 10Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10

この手順では、Azure AD で VPN 認証用の条件付きアクセスルート証明書を構成します。これにより、テナントに VPN サーバーというクラウドアプリが自動的に作成されます。In this step, you configure conditional access root certificates for VPN authentication with Azure AD, which automatically creates a Cloud app called VPN Server in the tenant. VPN 接続の条件付きアクセスを構成するには、次のことを行う必要があります。To configure conditional access for VPN connectivity, you need to:

  1. Azure portal に VPN 証明書を作成します。Create a VPN certificate in the Azure portal.
  2. VPN 証明書をダウンロードします。Download the VPN certificate.
  3. VPN サーバーと NPS サーバーに証明書を展開します。Deploy the certificate to your VPN and NPS servers.

重要

Azure portal に VPN 証明書が作成されると、Azure AD は短時間の証明書を VPN クライアントに発行するためにすぐに使用を開始します。Once a VPN certificate is created in the Azure portal, Azure AD will start using it immediately to issue short lived certificates to the VPN client. Vpn クライアントの資格情報の検証に関する問題を回避するために、vpn 証明書を VPN サーバーに直ちに展開することが重要です。It is critical that the VPN certificate be deployed immediately to the VPN server to avoid any issues with credential validation of the VPN client.

ユーザーが VPN 接続を試行すると、VPN クライアントは Windows 10 クライアントで Web アカウントマネージャー (WAM) を呼び出します。When a user attempts a VPN connection, the VPN client makes a call into the Web Account Manager (WAM) on the Windows 10 client. WAM は、VPN サーバークラウドアプリの呼び出しを行います。WAM makes a call to the VPN Server cloud app. 条件付きアクセスポリシーの条件と制御が満たされると、Azure AD は、有効期間が短い (1 時間) 証明書の形式のトークンを WAM に発行します。When the Conditions and Controls in the Conditional Access policy are satisfied, Azure AD issues a token in the form of a short-lived (1-hour) certificate to the WAM. WAM は、ユーザーの証明書ストアに証明書を配置し、VPN クライアントに制御を渡します。The WAM places the certificate in the user's certificate store and passes off control to the VPN client. 

VPN クライアントは、資格情報の検証のために Azure AD によって証明書の問題を VPN に送信します。The VPN client then sends the certificate issues by Azure AD to the VPN for credential validation. 

注意

Azure AD は、最後に作成された証明書を、発行者として VPN 接続ブレードに使用します。Azure AD uses the most recently created certificate in the VPN connectivity blade as the Issuer.

作業Procedure:

  1. 全体管理者としてAzure portalにサインインします。Sign in to your Azure portal as a global administrator.
  2. 左側のメニューで、 [Azure Active Directory] をクリックします。On the left menu, click Azure Active Directory.
  3. [Azure Active Directory] ページの [管理] セクションで、 [条件付きアクセス] をクリックします。On the Azure Active Directory page, in the Manage section, click Conditional access.
  4. [条件付きアクセス] ページの [管理] セクションで、 [VPN 接続 (プレビュー)] をクリックします。On the Conditional access page, in the Manage section, click VPN connectivity (preview).
  5. [VPN 接続] ページで、 [新しい証明書] をクリックします。On the VPN connectivity page, click New certificate.
  6. [新規] ページで、次の手順を実行します。 a.On the New page, perform the following steps: a. [期間の選択] で、1、2、または3年を選択します。For Select duration, select either 1, 2 or 3 years. b.b. [作成] を選択します。Select Create.

次のステップNext steps

手順 7.3.条件付きアクセスポリシーを構成する: この手順では、VPN 接続の条件付きアクセスポリシーを構成します。Step 7.3. Configure the Conditional Access policy: In this step, you configure the conditional access policy for VPN connectivity.