Azure VPN Client(WindowsからのP2S用)をご存じ?

一年に一度の更新になりつつある今日この頃です。
昨年から今年にかけてはプライベートがてんやわんやでなかなかブログに向かうことができなかった。ただの言い訳です。
やはり習慣として続けなければ意味がないよね。

WordPressにログインしていない間に、いまこの記事を書いているエディターすら変わってしまった。このブログをホストしているGMOのサービスも新規入会が止まっていた。
久しぶりにログインすると同時にこのブログの行き先を心配しなくてはならない、そんな状況です。世知辛い世の中です。

さて、みんな大好き閉域網ですが、Azureにはお手軽インターネットVPNゲートウェイのVirtual Network Gatewayというサービスがあります。
インターネットVPNを手軽に構成するためのリソースで、IPSec/IKEv2によるSite-to-Site接続、IKEv2/SSTPでPCからダイレクトに接続できるPoint-to-Siteの二種類が主な接続形態です。
※実は同じ名前のリソースでExpress Routeの受け口になるものもあるのですが、名前が同じだけで、デプロイされるリソースの中身は違うものです。デプロイ時にどちらを使うか選択します。

今回はPoint-to-Site(以下P2S)接続でAzure AD認証についてのお話です。
かつて、このP2S接続のクライアントはWindowsのみが対象で、証明書での認証、Radiusの利用ができるだけでした。Windows版のクライアントをP2SVPN構成後にAzureポータルからダウンロードします。それ以外ではつながりません。

それが今や、Windows/Macでも接続が可能になり、OpenVPNにも対応し、さらに、Azure ADで認証を行えるようになりました。これは便利。
また、Windows用にはAzure VPN Clientというアプリが公開されました。OpenVPN+Azure AD認証ではこれを利用します。
[Azure VPN Clientのダウンロード]

とりあえず、公式ドキュメントにそってAzureAD認証を構成していきましょう。
Step.1 P2S OpenVPN プロトコル接続用の Azure Active Directory テナントを作成する

[Point.1]
テナントは皆さんお持ちだと思うのであえて作る必要はありません。
“2.Azure AD テナント ユーザーを作成する”の項で、全体管理者(グローバル管理者)とVPN接続用の一般ユーザーを作成しますが、MSアカウントではなく、ドメインのユーザーとしてどちらも作成する必要があります。
私はサブスクリプションを購入した当初から、管理者として使っているアカウント(MSアカウント)で作業していましたが、この次のアクションが突破できず、数日を無駄にしました。
企業ユーザーではこのようなMSAを使用することはあまりないと思いますが、個人で従量課金から始めた場合は、たいていMSAが管理者アカウントではないでしょうか。

Step.2 VPN ゲートウェイでの Azure AD 認証を有効にする
ここです。これはかならずそのドメインのユーザーでグローバル管理者ロールでなくては完了できません。

[Point.2]
項番9はPowerShellを使用していますが、ポータルで操作できます。
なお、PowerShellをちょちょっと使う場合、CloudShellでの操作がお勧めです。

参考)入力値について
アドレスプール
例えば”10.0.0.0/25″などのクライアントに割り当てられるアドレスプールを記載します。

テナント

一見テナントIDだけでよさそうですが、
https://login.microsoftonline.com/{tenant_Id}
実はURLです。

対象ユーザー
41b23e61-6c1e-4545-b367-cd054e0ed4b4
この前の段階でAzureADにエンタープライズアプリとして登録した、Azure VPN ClientのClient_IDです。もし、ほかのClientでAzureADログインを実現できる場合は、ここのIDが変わることになるでしょう。
(私は今のところAzure VPN Client以外を知りませんが、将来は選択肢が増えるのかもしれません)

発行者
どのテナントがユーザーを処理するのか、というところでしょうか。テナントIDをissuerURIで入力します。
https://sts.windows.net/{tenant_id}/
末尾の”/”を忘れないように。

項番10から再開します。

Step.3 P2S OpenVPN プロトコル接続用に VPN クライアントを構成する:Azure AD 認証
ドキュメントに沿ってクライアントをダウンロードし、構成ファイルをインポートします。
これで完成です。

あとはぽちぽちとクライアントにProfileをインポートして、接続してやるだけで、OpenVPN+AzureAD認証での接続ができます。
お疲れ様でした。

次回以降、P2S接続でどういう使い方ができるかを掘り下げていきます。