Azure vWAN を使用してリモート ネットワーク接続をシミュレートする

この記事では、リモート仮想ワイド エリア ネットワーク (vWAN) を使用してリモート ネットワーク接続をシミュレートする方法について説明します。 Azure仮想ネットワーク ゲートウェイ (VNG) を使用してリモート ネットワーク接続をシミュレートするには、 Azure VNG を使用したリモート ネットワーク接続のシミュレーションに関するページを参照してください。

前提条件

このプロセスの手順を完了するには、次の前提条件が必要です。

• Azure サブスクリプションと、Azure ポータルでリソースを作成するアクセス許可。
• 仮想ワイド エリア ネットワーク (vWAN) の基本的な理解。
• サイト間 VPN 接続の基本的な理解。
• Global Secure Access Administrator ロールが割り当てられたMicrosoft Entra テナント。
• Azure仮想デスクトップまたはAzure仮想マシンに関する基本的な理解。

このドキュメントでは、画像と手順の値とともに、次のような例の値を使用します。 これらの設定は、独自の要件に従って自由に構成できます。

• サブスクリプション: Visual Studio Enterprise
• リソース グループ名: GlobalSecureAccess_Documentation
• 国/地域: 米国中南部

手順の概要

Azure vWAN を使用してリモート ネットワークを作成するには、Azure ポータルとMicrosoft Entra 管理センターの両方にアクセスする必要があります。 簡単に切り替えるには、AzureとMicrosoft Entraを別々のタブで開いたままにします。 特定のリソースは配置に 30 分以上かかる場合があるため、このプロセスを完了するために少なくとも 2 時間は確保してください。 リマインダー: リソースを実行したままにすると、お金がかかる場合があります。 テストが完了したら、またはプロジェクトの最後に、不要になったリソースを削除します。

1. Azure ポータルで vWAN を設定します
   1. vWAN を作成する
   2. サイト間 VPN ゲートウェイを使用して仮想ハブを作成する 仮想ハブのデプロイには約 30 分かかります。
   3. VPN ゲートウェイ情報を取得する
2. Microsoft Entra 管理センターでリモート ネットワークを作成します。
3. Microsoft ゲートウェイを使用して VPN サイトを作成します
   1. VPN サイトを作成する
   2. サイト間接続の作成サイト間接続の展開には約 30 分かかります。
   3. Microsoft Azure portal
   4. Microsoft Entra 管理センター
4. テスト用のセキュリティ機能を構成する
   1. 仮想ネットワークを作成する
   2. 仮想ネットワーク接続を vWAN に追加する
   3. Azure仮想デスクトップの作成Azure仮想デスクトップのデプロイには約 30 分かかります。要塞にはさらに 30 分かかります。
5. Azure 仮想デスクトップ (AVD) のセキュリティ機能をテストする
   1. テナントの制限をテストする
   2. ソース IP 復元のテスト

Azure ポータルで vWAN を設定する

vWAN の設定には、主に次の 3 つの手順があります。

1. vWAN を作成する
2. サイト間 VPN ゲートウェイを使用して仮想ハブを作成する
3. VPN ゲートウェイ情報を取得する

vWAN を作成する

Azure内のリソースに接続する vWAN を作成します。 vWAN の詳細については、 vWAN の概要を参照してください。

1. Microsoft Azure portalの Search resources バーで、検索ボックスに「vWAN」と入力し、Enter を選択します。
2. 結果から vWAN を 選択します。 [vWAN] ページで、[ + 作成 ] を選択して [ WAN の作成 ] ページを開きます。
3. [ WAN の作成 ] ページの [ 基本 ] タブで、フィールドに入力します。 例の値を変更して、お使いの環境に適用します。
   • サブスクリプション: 使用するサブスクリプションを選択します。
   • リソース グループ: 新規作成するか、既存のものを使用します。
   • リソース グループの場所: ドロップダウンからリソースの場所を選択します。 WAN はグローバル リソースであり、特定のリージョンに存在するものではありません。 ただし、作成した WAN リソースを管理および検索するために、リージョンを選択する必要があります。
   • 名前: vWAN を呼び出す名前を入力します。
   • 型: Basic または Standard。 [標準] を選択します。 [Basic] を選択した場合には、Basic vWAN は、Basic ハブのみを含むことができます。 Basic ハブは、サイト間接続にのみ使用できます。
4. フィールドに入力した後、ページの下部にある [ 確認と作成] を選択します。
5. 検証に合格したら、[ 作成 ] ボタンを選択します。

VPN Gateway を使用して仮想ハブを作成する

次に、サイト間仮想プライベートネットワーク (VPN) ゲートウェイを備えた仮想ハブを作成します。

1. 新しい vWAN 内の [ 接続] で、[ ハブ] を選択します。
2. [ + 新しいハブ] を選択します。
3. [ 仮想ハブの作成 ] ページの [ 基本 ] タブで、環境に応じてフィールドに入力します。
   • リージョン: 仮想ハブをデプロイするリージョンを選択します。
   • 名前: 仮想ハブの名前を入力します。
   • ハブのプライベート アドレス空間: この例では 10.101.0.0/24 を使用します。 ハブを作成するには、アドレス範囲がクラスレス ドメイン間ルーティング (CIDR) 表記で、最小アドレス空間が /24 である必要があります。
   • 仮想ハブ容量: この例では、 2 つのルーティング インフラストラクチャ ユニット、3 Gbps ルーター、2,000 個の VM をサポートします。 詳細については、「 仮想ハブの設定」を参照してください。
   • ハブ ルーティングの基本設定: 既定値のままにします。 詳細については、「 仮想ハブのルーティング設定」を参照してください。
   • [次: サイト間]> を選択します。
4. サイト間 タブで、次のフィールドを入力します。
   • サイト間 (VPN ゲートウェイ) を作成するには、[ はい ] を選択します。
     • AS 番号: AS 番号 フィールドを編集することはできません。
   • ゲートウェイ スケール ユニット: この例では 、1 スケール ユニット ( 500 Mbps x 2 ) を選択します。 この値は、仮想ハブに作成される VPN Gateway の集計スループットと一致する必要があります。
   • ルーティングの基本設定: この例では、Azureとインターネットの間でトラフィックをルーティングする方法としてMicrosoft ネットワーク を選択します。 Microsoft ネットワークまたはインターネット サービス プロバイダー (ISP) を介したルーティング優先設定の詳細については、ルーティング設定に関する記事を参照してください。
5. 残りのタブ オプションは既定値のままにし、[ 確認と作成 ] を選択して検証します。
6. [ 作成] を選択してハブとゲートウェイを作成します。 このプロセスには最大 30 分かかることがあります。
7. 30 分後、 更新 して ハブ ページにハブを表示し、[ リソースに移動 ] を選択してリソースに移動します。

VPN Gateway の情報を入手する

Microsoft Entra 管理センターでリモート ネットワークを作成するには、前の手順で作成した仮想ハブの VPN ゲートウェイ情報を表示して記録する必要があります。

1. 新しい vWAN 内の [ 接続] で、[ ハブ] を選択します。
2. 仮想ハブを選択します。
3. VPN (サイト間) を選択します。
4. [仮想ハブ] ページで、VPN Gateway リンクを選択します。 VPN（サイト間）ページのスクリーンショット。VPNゲートウェイリンクが表示されている。
5. VPN Gateway ページで、JSON ビューを選択します。
6. 次の手順で参照できるように、JSON テキストをファイルにコピーします。 次の手順でMicrosoft Entra 管理センターで使用する自動システム番号 (ASN)、デバイス IP アドレス、およびデバイス border ゲートウェイ プロトコル (BGP) アドレスを書き留めます。

      "bgpSettings": {
           "asn": 65515,
           "peerWeight": 0,
           "bgpPeeringAddresses": [
               {
                   "ipconfigurationId": "Instance0",
                   "defaultBgpIpAddresses": [
                       "10.101.0.12"
                   ],
                   "customBgpIpAddresses": [],
                   "tunnelIpAddresses": [
                       "203.0.113.250",
                       "10.101.0.4"
                   ]
               },
               {
                   "ipconfigurationId": "Instance1",
                   "defaultBgpIpAddresses": [
                       "10.101.0.13"
                   ],
                   "customBgpIpAddresses": [],
                   "tunnelIpAddresses": [
                       "203.0.113.251",
                       "10.101.0.5"
                   ]
               }
           ]
       }
   

Microsoft Entra 管理センターでリモート ネットワークを作成する

この手順では、VPN ゲートウェイのネットワーク情報を使用して、Microsoft Entra 管理センターにリモート ネットワークを作成します。 最初の手順では、リモート ネットワークの名前と場所を指定します。

1. 少なくとも Security Administrator として Microsoft Entra 管理センター にサインインします。
2. グローバル セキュア アクセス>Connect>Remote ネットワークに移動します。
3. [ リモート ネットワークの作成 ] ボタンを選択し、詳細を指定します。
   • 名前: この例では、Azure_vWANを使用します。
   • リージョン: この例では、[ 米国中南部] を選択します。
4. [次へ: 接続] を選択して [接続] タブに進みます。
5. [ 接続 ] タブで、リモート ネットワークのデバイス リンクを追加します。 VPN ゲートウェイの Instance0 用の 1 つのリンクと、VPN ゲートウェイの Instance1 用の別のリンクを作成します。
   1. [ + リンクの追加] を選択します。
   2. JSON ビューの VPN ゲートウェイの Instance0 構成を使用して、[リンクの追加] フォームの [全般] タブのフィールドに入力します。

      • リンク名: 顧客設置機器 (Customer Premises Equipment、CPE) の名前。 この例では、 Instance0 です。

      • デバイスの種類: ドロップダウン リストからデバイス オプションを選択します。 [その他] に設定します。

      • デバイス IP アドレス: デバイスのパブリック IP アドレス。 この例では、 203.0.113.250 を使用します。

      • デバイス BGP アドレス: CPE のボーダー ゲートウェイ プロトコル (BGP) IP アドレスを入力します。 この例では、 10.101.0.4 を使用します。

      • デバイス ASN: CPE の自律システム番号 (ASN) を指定します。 この例では、ASN は 65515 です。

      • 冗長性: [ 冗長性なし] に設定します。

      • ゾーン冗長ローカル BGP アドレス: この省略可能なフィールドは、[ ゾーン冗長] を選択した場合にのみ表示されます。

        • CPE が存在するオンプレミス ネットワークの一部 ではなく 、 ローカル BGP アドレスとは異なる BGP IP アドレスを入力します。

      • 帯域幅容量 (Mbps): トンネル帯域幅を指定します。 この例では、 250 Mbps に設定します。

      • ローカル BGP アドレス: CPE が存在するオンプレミス ネットワークの一部 ではない BGP IP アドレス ( 192.168.10.10 など) を使用します。

        • 使用できない予約値については、 有効な BGP アドレス の一覧を参照してください。

        

   3. [ 次へ ] ボタンを選択して 、[詳細 ] タブを表示します。既定の設定のままにします。
   4. [ 次へ ] ボタンを選択して、[ セキュリティ ] タブを表示します。
   5. 事前共有キー (PSK) を入力します。 使用する秘密鍵は、CPE と同じものにする必要があります。
   6. [保存] ボタンを選択します。

リンクの詳細については、「 リモート ネットワーク デバイス リンクを管理する方法」の記事を参照してください。

1. 上記の手順を繰り返して、VPN ゲートウェイの Instance1 構成を使用して 2 つ目のデバイス リンクを作成します。
   1. [ + リンクの追加] を選択します。
   2. JSON ビューの VPN ゲートウェイの Instance1 構成を使用して、[リンクの追加] フォームの [全般] タブのフィールドに入力します。
      • リンク名: Instance1
      • デバイスの種類: その他
      • デバイスの IP アドレス: 203.0.113.251
      • デバイス BGP アドレス: 10.101.0.5
      • デバイス ASN: 65515
      • 冗長性: 冗長性なし
      • 帯域幅容量 (Mbps): 250 Mbps
      • ローカル BGP アドレス: 192.168.10.11
   3. [ 次へ ] ボタンを選択して 、[詳細 ] タブを表示します。既定の設定のままにします。
   4. [ 次へ ] ボタンを選択して、[ セキュリティ ] タブを表示します。
   5. 事前共有キー (PSK) を入力します。 使用する秘密鍵は、CPE と同じものにする必要があります。
   6. [保存] ボタンを選択します。
2. [ トラフィック プロファイル ] タブに進み、リモート ネットワークにリンクするトラフィック プロファイルを選択します。
3. Microsoft 365トラフィック プロファイルを選択します。
4. [ 確認と作成] を選択します。
5. [ リモート ネットワークの作成] を選択します。

[リモート ネットワーク] ページに移動し、新しいリモート ネットワークの詳細を表示します。 1 つの リージョン と 2 つの リンクが必要です。

1. [ 接続の詳細] で、[ 構成の表示 ] リンクを選択します。
2. 次の手順で参照できるように、ネットワーク構成テキストをファイルにコピーします。 各リンク (Instance0 と Instance1) のエンドポイント、ASN、BGP アドレスをメモしておきます。

      {
     "id": "68d2fab0-0efd-48af-bb17-d793f8ec8bd8",
     "displayName": "Instance0",
     "localConfigurations": [
       {
         "endpoint": "203.0.113.32",
         "asn": 65476,
         "bgpAddress": "192.168.10.10",
         "region": "southCentralUS"
       }
     ],
     "peerConfiguration": {
       "endpoint": "203.0.113.250",
       "asn": 65515,
       "bgpAddress": "10.101.0.4"
     }
   },
   {
     "id": "26500385-b1fe-4a1c-a546-39e2d0faa31f",
     "displayName": "Instance1",
     "localConfigurations": [
       {
         "endpoint": "203.0.113.34",
         "asn": 65476,
         "bgpAddress": "192.168.10.11",
         "region": "southCentralUS"
       }
     ],
     "peerConfiguration": {
       "endpoint": "203.0.113.251",
       "asn": 65515,
       "bgpAddress": "10.101.0.5"
     }
   }
   

Microsoft ゲートウェイを使用して VPN サイトを作成する

この手順では、VPN サイトを作成し、VPN サイトをハブに関連付け、接続を検証します。

VPN サイトを作成する

1. Microsoft Azure portalで、前の手順で作成した仮想ハブにサインインします。
2. 接続>VPN (サイト間) に移動します。
3. [ + 新しい VPN サイトの作成] を選択します。
4. [ VPN サイトの作成 ] ページで、[ 基本 ] タブのフィールドに入力します。
5. Links タブに進みます。各リンクについて、「詳細の表示」の手順に記載されているリモート ネットワーク構成から、Microsoft ゲートウェイ構成を入力します。
   • リンク名: この例では Instance0。 Instance1。
   • リンク速度: この例では、両方のリンクとも速度は250です。
   • リンク プロバイダー名: 両方のリンクに対して [その他 ] に設定します。
   • リンク IP アドレス/FQDN: エンドポイント アドレスを使用します。 この例では、 203.0.113.32。 203.0.113.34。
   • リンク BGP アドレス: BGP アドレス 192.168.10.10 を使用します。 192.168.10.11.
   • ASN のリンク: ASN を使用します。 この例では、両方のリンクに 65476 を使用します。
6. [ 確認と作成] を選択します。
7. [作成]を選択します。

サイト間接続を作成する

この手順では、前の手順で作成した VPN サイトをハブに関連付けます。 次に、既定のハブの関連付けを削除します。

1. 接続>VPN (サイト間) に移動します。
2. X を選択して既定のハブの関連付けを削除します。このハブ フィルターに接続されているため、使用可能な VPN サイトの一覧に VPN サイトが表示されます。
3. 一覧から VPN サイトを選択し、[ VPN サイトの接続] を選択します。
4. [サイトの接続] フォームで、Microsoft Entra 管理センターに使用するものと同じ事前共有キー (PSK) を入力します。
5. [ 接続] を選択します。
6. 約 30 分後、VPN サイトが更新され、 接続プロビジョニングの状態と接続 状態の両方の成功アイコン が表示されます。

Microsoft Azure portalで BGP 接続と学習されたルートを確認する

この手順では、BGP ダッシュボードを使用して、サイト間ゲートウェイが学習している学習済みルートの一覧を確認します。

1. 接続>VPN (サイト間) に移動します。

2. 前の手順で作成した VPN サイトを選択します。

3. [BGP ダッシュボード] を選択します。

   BGP ダッシュボードには、BGP ピア (VPN ゲートウェイと VPN サイト) が一覧表示されます。このサイトの状態は [接続済み] である必要があります。

4. 学習したルートの一覧を表示するには、 サイト間ゲートウェイが学習しているルートを選択します。

Learned Routes の一覧は、サイト間ゲートウェイが、Microsoft 365 トラフィック プロファイルに一覧表示されているMicrosoft 365 ルートを学習していることを示しています。

次の図は、Microsoft 365 プロファイルのトラフィック プロファイルに関するポリシーとルールを示しています。これは、サイト間ゲートウェイから学習されたルートと一致する必要があります。

Microsoft Entra 管理センターで接続を確認する

リモート ネットワーク正常性ログを表示して、Microsoft Entra 管理センターの接続を検証します。

1. Microsoft Entra 管理センターで、Global Secure Access のモニター に進み、リモートネットワークの正常性ログ を確認します。
2. [ フィルターの追加] を選択します。
3. [ソース IP] を選択し、VPN ゲートウェイの Instance0 または Instance1 IP アドレスのソース IP アドレスを入力します。 [ 適用] を選択します。
4. 接続は "リモート ネットワークアライブ" である必要があります。

tunnelConnected または BGPConnected でフィルター処理して検証することもできます。 詳細については、「 リモート ネットワーク正常性ログとは」を参照してください。

テスト用にセキュリティ機能を構成する

この手順では、仮想ネットワークを構成し、仮想ネットワーク接続を vWAN に追加し、Azure Virtual Desktopを作成して、テストの準備をします。

仮想ネットワークの作成

この手順では、Azure ポータルを使用して仮想ネットワークを作成します。

1. Azure ポータルで、仮想ネットワークを検索して選択します。

2. [ 仮想ネットワーク ] ページで、[ + 作成] を選択します。

3. [サブスクリプション]、[リソース グループ]、[仮想ネットワーク名]、[リージョン] などの [基本] タブを完了します。

4. [ 次へ ] を選択して、[ セキュリティ ] タブに進みます。

5. [Azure Bastion セクションで、Enable Bastion を選択します。

   • Azure Bastionホスト名を入力します。 この例では、 Virtual_network_01 bastion を使用します。
   • Azure Bastionパブリック IP アドレスを選択します。 この例では、 既定の (新規) を選択します。

6. [ 次へ ] を選択して、[ IP アドレス] タブ に進みます。1 つ以上の IPv4 または IPv6 アドレス範囲を使用して、仮想ネットワークのアドレス空間を構成します。

   ヒント

   重複するアドレス空間を使用しないでください。 たとえば、前の手順で作成した仮想ハブでアドレス空間 10.0.0.0/16 を使用している場合、この仮想ネットワークをアドレス空間 10.2.0.0/16 で作成します。

7. [ 確認と作成] を選択します。 検証に合格したら、[ 作成] を選択します。

仮想ネットワーク接続を vWAN に追加する

この手順では、仮想ネットワークを vWAN に接続します。

1. 前の手順で作成した vWAN を開き、 接続>仮想ネットワーク接続に移動します。
2. [ + 接続の追加] を選択します。
3. [ 接続の追加] フォームに入力し、前のセクションで作成した仮想ハブと仮想ネットワークの値を選択します。
   • 接続名: VirtualNetwork
   • ハブ: hub1
   • サブスクリプション: Contoso Azure サブスクリプション
   • リソース グループ: GlobalSecureAccess_Documentation
   • 仮想ネットワーク: VirtualNetwork
4. 残りのフィールドは既定値のままにして、[ 作成] を選択します。

Azure Virtual Desktopを作成する

この手順では、仮想デスクトップを作成し、Bastion でホストします。

1. Azure ポータルで、Azure Virtual Desktop を検索して選択>。
2. Azure Virtual Desktop ページで、ホスト プールの作成を選択します。
3. [ 基本 ] タブで次の操作を行います。
   • The ホスト プール名。 この例では、 VirtualDesktops です。
   • Azure Virtual Desktop オブジェクトの Location。 この場合、 米国中南部。
   • 推奨されるアプリ グループの種類: [デスクトップ] を選択します。
   • ホスト プールの種類: [ プール済み] を選択します。
   • 負荷分散アルゴリズム: 幅優先を選択します。
   • 最大セッション制限: 2 を選択します。
4. Next: Virtual Machines を選択します。
5. Next: Virtual Machines タブに次のように入力します。
   • 仮想マシンの追加: はい
   • 目的の リソース グループ。 この例では、 GlobalSecureAccess_Documentation。
   • 名前プレフィックス: avd
   • 仮想マシンの種類: Azure仮想マシンを選択します。
   • 仮想マシンの場所: 米国中南部。
   • 可用性オプション: [ インフラストラクチャの冗長性は必要ありません] を選択します。
   • セキュリティの種類: [信頼された起動仮想マシン] を選択します。
   • セキュア ブートを有効にする: はい
   • vTPM を有効にする: はい
   • Image: この例では、Windows 11 Enterprise マルチセッション + Microsoft 365 アプリ バージョン 22H2 を選択します。
   • 仮想マシンのサイズ: Standard D2s v3、2 vCPU、8 GB メモリを選択します。
   • VM の数: 1
   • 仮想ネットワーク: 前の手順で作成した仮想ネットワーク VirtualNetwork を選択します。
   • 参加するドメイン: Microsoft Entra ID を選択する。
   • 管理者アカウントの資格情報を入力します。
6. その他のオプションは既定値のままにして、[ 確認と作成] を選択します。
7. 検証に合格したら、[ 作成] を選択します。
8. 約 30 分後、ホスト プールが更新され、デプロイが完了したことが示されます。
9. Microsoft Azure Home に移動し、仮想マシン を選択します。
10. 前の手順で作成した仮想マシンを選択します。
11. [接続>Bastion 経由で接続] を選択します。
12. Bastion のデプロイを選択します。 システムでは、Bastion ホストのデプロイに約 30 分かかります。
13. Bastion がデプロイされたら、Azure Virtual Desktopの作成に使用したのと同じ管理者資格情報を入力します。
14. [ 接続] を選択します。 仮想デスクトップが起動します。

Azure Virtual Desktop (AVD) を使用してセキュリティ機能をテストする

この手順では、AVD を使用して仮想ネットワークへのアクセス制限をテストします。

リモート ネットワーク内の仮想マシンに接続するときに非対称ルーティングを回避する

Azure仮想マシン (VM) をグローバル セキュリティで保護されたアクセス リモート ネットワークに接続する場合、リモート デスクトップ プロトコル (RDP) as-is を使用してそのパブリック IP アドレスを使用して VM に接続することはできません。 リモート ネットワークを切断すると、RDP が再び動作します。 非対称ルーティングによってこの動作が発生し、予期されます。

これが発生する理由は次のとおりです。VM にはパブリック IP アドレスがあるため、PC からの受信 RDP トラフィック (SYN パケット) が VM に直接到達します。 ただし、グローバル セキュア アクセスはインターネット アドレス範囲全体をアドバタイズするため、VM のリターン トラフィック (SYN-ACK) は IPsec トンネルを経由してグローバル セキュア アクセスにルーティングされます。 グローバル セキュア アクセスは、対応する SYN がないセッションの SYN-ACK を受信するため、パケットがドロップされ、接続が失敗します。 この条件により、VM のパブリック IP アドレスが受信接続で使用できなくなります。

回避策

リモート ネットワークでの非対称ルーティングの問題を回避するには、次のいずれかの回避策を使用します。

• Azure Bastionを使用する

  Azure Bastion では、RDP などのリモート管理シナリオの非対称ルーティングが不要になります。 Bastion を使用すると、PC は HTTPS 経由で Bastion サービスに接続し、Bastion はプライベート IP アドレスを使用して VM への RDP セッションを開始します。 VM は、仮想ネットワーク内の Bastion に直接応答します。 接続の両方向が仮想ネットワーク内に留まるため、トラフィックはグローバル セキュア アクセス ゲートウェイを通過することはなく、ルーティングは対称のままです。

• ポイント対サイト (P2S) VPN を VNG で使用する

  ポイント対サイト (P2S) 接続用に仮想ネットワーク ゲートウェイ (VNG) を構成する場合、クライアント デバイスは、Azure VPN クライアントを使用して VNG アドレス プールからプライベート IP アドレスを受信します。 VM へのすべてのトラフィックは VNG トンネルを通過し、同じ方法で返され、ルーティングが対称になります。

テナント制限をテストする

テストの前に、仮想ネットワークのテナント制限を有効にします。

1. Microsoft Entra 管理センターで、Global Secure Access>Settings>Session management に移動します。
2. タグ付けを有効にしてネットワークにテナント制限を適用する トグルをオンに設定します。
3. [保存] を選択します。
4. テナント間アクセス ポリシーを変更するには、Entra ID>External Identities>Cross-tenant access settings に移動します。 詳細については、 クロステナント アクセスの概要に関する記事を参照してください。
5. マネージド デバイスに外部アカウントでログインできないように、既定の設定のままにしておきます。

テストは、次のようにします。

1. 前の手順で作成したAzure Virtual Desktop仮想マシンにサインインします。
2. www.office.com に移動し、内部組織 ID でサインインします。 このテストには正常に合格するはずです。
3. 前の手順を繰り返しますが、 外部アカウントを使用します。 アクセスがブロックされているため、このテストは失敗するはずです。
   

ソース IP の復元をテストする

テストする前に、条件付きアクセスを有効にします。

1. Microsoft Entra 管理センターで、Global Secure Access>Settings>Session management に移動します。
2. [ アダプティブ アクセス ] タブを選択します。
3. [条件付きアクセスにグローバル セキュア アクセス信号通知の有効化] トグルをオンに設定します。
4. [保存] を選択します。 詳細については、 ソース IP の復元に関する記事を参照してください。

(オプション 1 を) テストするには: 前のセクションのテナント制限テストを繰り返します。

1. 前の手順で作成したAzure Virtual Desktop仮想マシンにサインインします。
2. www.office.com に移動し、内部組織 ID でサインインします。 このテストには正常に合格するはずです。
3. 前の手順を繰り返しますが、 外部アカウントを使用します。 このテストは失敗します。エラー メッセージのソース IP アドレスは、要求をMicrosoft EntraにプロキシするMicrosoft SSE ではなく、VPN ゲートウェイのパブリック IP アドレスから送信されます。
   

(オプション 2 を) テストするには:

1. Microsoft Entra 管理センターで、Global Secure Access>「監視」>「リモートネットワークの状態ログ」に移動します。
2. [ フィルターの追加] を選択します。
3. [ソース IP] を選択し、VPN ゲートウェイのパブリック IP アドレスを入力します。 [ 適用] を選択します。

システムで、支店の顧客のオンプレミス機器 (CPE) の IP アドレスが復元されます。 VPN Gateway は CPE を表しているため、正常性ログにはプロキシの IP アドレスではなく、VPN Gateway のパブリック IP アドレスが表示されます。

不要なリソースの削除

テストの終了時、またはプロジェクトの終了時に、不要になったリソースを削除することをお勧めします。 リソースを実行したままにすると、お金がかかる場合があります。 リソースを個別に削除するか、リソース グループを削除してリソースのセット全体を削除することができます。

関連するコンテンツ

• リモート ネットワーク接続について
• グローバル セキュリティで保護されたアクセスを使用してリモート ネットワークを作成する方法
• Azure VNG