Azure VNG を使用してリモート ネットワーク接続をシミュレートする

概要

組織は、個々のデバイスだけでなく、Microsoft Entra Internet Accessの機能をネットワーク全体に拡張したい場合があります。 これらのデバイス にグローバル セキュリティで保護されたアクセス クライアントをインストール できます。 この記事では、これらの機能をクラウドでホストされているAzure仮想ネットワークに拡張する方法について説明します。 顧客のオンプレミス ネットワーク機器にも同様の原則を適用できます。

前提条件

このプロセスの手順を完了するには、次の前提条件が必要です。

仮想ネットワークのコンポーネント

Azureでこの機能を構築すると、組織はより広範な実装でMicrosoft Entra Internet Accessがどのように機能するかを理解しやすくなります。 Azureで作成するリソースは、次の方法でオンプレミスの概念に対応します。

顧客のネットワークをシミュレートするMicrosoft Entra Internet Accessに接続されているAzure内の仮想ネットワークを示すダイアグラム。

Azure リソース 従来のオンプレミスのコンポーネント
仮想ネットワーク オンプレミスの IP アドレス空間
仮想ネットワーク ゲートウェイ オンプレミスのルーター (顧客のオンプレミス機器 (CPE) と呼ばれることもあります)
ローカル ネットワーク ゲートウェイ ルーター (Azure 仮想ネットワーク ゲートウェイ) が IPsec トンネルを作成する Microsoft ゲートウェイ。
接続 仮想ネットワーク ゲートウェイとローカル ネットワーク ゲートウェイの間に作成される IPsec VPN トンネル
仮想マシン オンプレミス ネットワーク上のクライアント デバイス

この記事では、次の既定値を使用します。 これらの設定は、独自の要件に合わせて変更できます。

  • Subscription: Visual Studio Enterprise
  • リソース グループ名: Network_Simulation
  • リージョン: 米国東部

高レベルの手順

Azure ポータルとMicrosoft Entra 管理センターで、Azure仮想ネットワークを使用してリモート ネットワーク接続をシミュレートする手順を完了します。 複数のタブを開いておくと、簡単にタブを切り替えることができるので便利です。

仮想リソースを作成する前に、以降のセクションで使用するリソース グループと仮想ネットワークが必要です。 テスト リソース グループと仮想ネットワークが既に構成されている場合は、手順 3 から開始できます。

  1. リソース グループの作成 (Azure ポータル)
  2. 仮想ネットワークの作成 (Azure ポータル)
  3. 仮想ネットワーク ゲートウェイの作成 (Azure ポータル)
  4. デバイス リンクを使用してリモート ネットワークを作成する (Microsoft Entra 管理センター)
  5. ローカル ネットワーク ゲートウェイの作成 (Azure ポータル)
  6. サイト間 (S2S) VPN 接続の作成 (Azure ポータル)
  7. 接続を検証する (両方)

リソース グループの作成

必要なすべてのリソースを含むリソース グループを作成します。

  1. リソースを作成するアクセス許可を持つ Azure portal にサインインします。
  2. [Resource groups] (リソース グループ) に移動します。
  3. [作成] を選択します
  4. サブスクリプションリージョンを選択し、リソース グループの名前を入力します。
  5. [Review + create](レビュー + 作成) を選択します。
  6. 詳細を確認し、[ 作成] を選択します。

リソース グループの作成フィールドを示すスクリーンショット。

仮想ネットワークの作成

新しいリソース グループ内に仮想ネットワークを作成します。

  1. Azure ポータルで、Virtual Networks に移動します。
  2. [作成] を選択します
  3. [Resource group] (リソース グループ) で、先ほど作成したリソース グループを選択します。
  4. ネットワークの 仮想ネットワーク名を入力します。
  5. 他のフィールドは既定値のままにします。
  6. [Review + create](レビュー + 作成) を選択します。
  7. [作成] を選択します

仮想ネットワークの作成フィールドを示すスクリーンショット。

仮想ネットワーク ゲートウェイの作成

新しいリソース グループ内に仮想ネットワーク ゲートウェイを作成します。

  1. Azure ポータルから、Virtual ネットワーク ゲートウェイ に移動します。

  2. [作成] を選択します

  3. 仮想ネットワーク ゲートウェイの 名前 を入力し、適切なリージョンを選択します。

  4. 仮想ネットワークを選択します。

    仮想ネットワーク ゲートウェイの構成設定を示すAzure ポータルのスクリーンショット。

  5. パブリック IP アドレスを作成し、わかりやすい名前を入力します。

    • 省略可能: セカンダリ IPsec トンネルが必要な場合は、[ SECOND PUBLIC IP ADDRESS]\(2 番目のパブリック IP アドレス \) セクションで別のパブリック IP アドレスを作成し、名前を入力します。 2 個目の IPsec トンネルを作成する場合、「リモート ネットワークを作成する」の手順で 2 つのデバイス リンクを作成する必要があります。
    • 2 つ目のパブリック IP アドレスが不要な場合は、[アクティブ/アクティブ モードの有効化][無効] に設定します。
    • この記事のサンプルでは、1 つの IPsec トンネルを使用します。

  6. [可用性ゾーン] を選びます。

  7. [Configure BGP] (BGP の構成)[Enabled] (有効) に設定します。

  8. [自律システム番号 (ASN)] を適切な値に設定します。 使用できない予約値については、 有効な ASN 値 の一覧を参照してください。

    仮想ネットワーク ゲートウェイを作成するための IP アドレス フィールドのスクリーンショット。

  9. その他の設定はすべて既定値のままにするか、空白のままにします。

  10. [Review + create](レビュー + 作成) を選択します。 設定を確認します。

  11. [作成] を選択します

仮想ネットワーク ゲートウェイのデプロイと作成には数分かかる場合があります。 作成中に次のセクションを開始できますが、次の手順を完了するには仮想ネットワーク ゲートウェイのパブリック IP アドレスが必要です。

これらの IP アドレスを表示するには、デプロイ後に仮想ネットワーク ゲートウェイの構成ページを参照します。

仮想ネットワーク ゲートウェイのパブリック IP アドレスを検索する方法を示すスクリーンショット。

リモート ネットワークを作成する

Microsoft Entra 管理センターでリモート ネットワークを作成します。 2 つのタブ セットに情報を入力します。

プロセスで使用される 2 つのタブ セットのスクリーンショット。

次の手順では、Global Secure Access を使用してリモート ネットワークを作成するために必要な基本情報を提供します。 このプロセスについては、2 つの個別の記事で詳しく説明します。 混乱を避けるために、次の記事を確認してください。

ゾーン冗長性

グローバル セキュア アクセス用のリモート ネットワークを作成する前に、冗長性に関する 2 つのオプションを確認してください。 冗長性の有無にかかわらず、リモート ネットワークを作成できます。 次の 2 つの方法で冗長性を追加します。

  • Microsoft Entra 管理センターでデバイス リンクを作成するときにゾーン冗長を選択します。
    • このシナリオでは、リモート ネットワークの作成時に選択したのと同じデータセンター リージョン 内の別の可用性ゾーンに別のゲートウェイを作成します。
    • このシナリオでは、仮想ネットワーク ゲートウェイに必要なパブリック IP アドレスは 1 つだけです。
    • ルーターの同じパブリック IP アドレスから、異なる可用性ゾーン内の異なるMicrosoft ゲートウェイに 2 つの IPSec トンネルが作成されます。
  • Azure ポータルでセカンダリ パブリック IP アドレスを作成し、Microsoft Entra 管理センターに異なるパブリック IP アドレスを持つ 2 つのデバイス リンクを作成します。
    • Microsoft Entra 管理センターでリモート ネットワークにデバイス リンクを追加する際に、冗長性なしを選択できます。
    • このシナリオでは、仮想ネットワーク ゲートウェイにプライマリとセカンダリのパブリック IP アドレスが必要です。

この記事では、ゾーン冗長パスを選択します。

ヒント

ローカル BGP アドレスは、仮想ネットワーク ゲートウェイに関連付けられている仮想ネットワークのアドレス空間外部のプライベート IP アドレスにする必要があります。 たとえば、仮想ネットワークのアドレス空間が 10.1.0.0/16 の場合は、ローカル BGP アドレスとして 10.2.0.0 を使用できます。

使用できない予約値については、 有効な BGP アドレス の一覧を参照してください。

  1. Microsoft Entra 管理センターグローバル セキュリティで保護されたアクセス管理者としてサインインします。
  2. [グローバル セキュア アクセス]>[接続]>[リモート ネットワーク] の順に移動します。
  3. [ リモート ネットワークの作成 ] を選択し、[ 基本 ] タブで次の詳細を指定します。
    • 名前
    • リージョン

リモート ネットワークを作成するための [基本] タブのスクリーンショット。

  1. [接続性] タブで、[リンクを追加] を選びます。

  2. [リンクを追加] の [全般] タブで、次の詳細情報を入力します。

    • リンク名: ご使用のオンプレミス機器 (CPE) の名前。
    • デバイスの種類: ドロップダウン リストからデバイス オプションを選択します。
    • デバイス IP アドレス: CPE (顧客のオンプレミス機器) デバイスのパブリック IP アドレス。
    • デバイスの BGP アドレス: CPE の BGP IP アドレスを入力します。
      • このアドレスを CPE の ローカル BGP IP アドレスとして入力します。
    • デバイスの ASN: CPE の自律システム番号 (ASN) を指定します。
      • 2 つのネットワーク ゲートウェイを BGP 対応接続で結ぶには、それらのゲートウェイが異なる ASN を持っている必要があります。
      • 詳細については、記事「リモート ネットワーク構成」の「有効な ASN」 セクションを参照してください。
    • 冗長性: IPSec トンネルの [冗長性なし] または [ゾーン冗長] を選択します。
    • ゾーン冗長ローカル BGP アドレス: この省略可能なフィールドは、[ ゾーン冗長] を選択した場合にのみ表示されます。
      • CPE が存在するオンプレミス ネットワークに含まれないデバイス BGP アドレスとは異なる BGP IP アドレスを入力します。
    • 帯域幅容量 (Mbps): トンネル帯域幅を指定します。 使用できるオプションは、250、500、750、1,000 Mbps です。
    • ローカル BGP アドレス: CPE が存在するオンプレミス ネットワークに含まれない BGP IP アドレスを入力します。
      • たとえば、オンプレミス ネットワークが 10.1.0.0/16 の場合、ローカル BGP アドレスとして 10.2.0.4 を使用できます。
      • このアドレスを CPE の ピア BGP IP アドレスとして入力します。
      • 予約済みで使用できない値については、有効な BGP アドレス一覧を参照してください。

    各フィールドに例が含まれている [リンクを追加] - [全般] タブのスクリーンショット。

  3. [ リンクの追加 - 詳細 ] タブで、以前に別の選択を行った場合を除き、既定値をそのまま使用し、[ 次へ] を選択します。

  4. [ リンクの追加 - セキュリティ ] タブで、事前共有キー (PSK) を入力し、[ 保存] を選択します。 メインの [Create a remote network] (リモート ネットワークの作成) の一連のタブに戻ります。

  5. [Traffic profiles] (トラフィック プロファイル) タブで、適切なトラフィック転送プロファイルを選択します。

  6. [確認および作成]を選択します。

  7. すべてが正しければ、[ リモート ネットワークの作成] を選択します。

接続構成を表示する

リモート ネットワークを作成してデバイス リンクを追加すると、Microsoft Entra 管理センターで構成の詳細を表示できます。 次の手順を完了するには、この構成のいくつかの詳細が必要です。

  1. [グローバル セキュア アクセス]>[接続]>[リモート ネットワーク] の順に移動します。

  2. 表の右側の最後の列で、作成したリモート ネットワークの [構成の表示] を選択します。 構成は JSON BLOB として表示されます。

  3. 開いたウィンドウから、Microsoftのパブリック IP アドレス endpointasn、および bgpAddress を見つけて保存します。

    • これらの詳細を使用して、次の手順で接続を設定します。
    • これらの詳細の表示については、顧客のオンプレミス機器の構成に関する記事を参照してください。

    ビュー構成パネルを示すスクリーンショット。

次の図は、このような構成詳細のうち、主な詳細をシミュレートされたリモート ネットワーク内の関連するロールに結び付けたものです。 画像の後に図の説明を記載します。

リモート ネットワーク構成と、詳細がどこでネットワークに関連付けられるかを示す図。

図の中央には、仮想ネットワークに接続された仮想マシンを含むリソース グループがあります。 次に、仮想ネットワーク ゲートウェイは、サイト間の冗長 VPN 接続を介してローカル ネットワーク ゲートウェイに接続します。

接続の詳細のスクリーンショットでは、2 つのセクションが強調表示されています。 localConfigurations の下で強調表示されている 1 つ目のセクションには、ローカル ネットワーク ゲートウェイである Global Secure Access ゲートウェイの詳細があります。

ローカル ネットワーク ゲートウェイ 1

  • パブリック IP アドレス/エンドポイント: 120.x.x.76
  • ASN:65476
  • BGP IP アドレス/bgpAddress: 192.168.1.1

ローカル ネットワーク ゲートウェイ 2

  • パブリック IP アドレス/エンドポイント: 4.x.x.193
  • ASN:65476
  • BGP IP アドレス/bgpAddress: 192.168.1.2

peerConfiguration の下で強調表示されている 2 つ目のセクションには、ローカル ルーター機器である仮想ネットワーク ゲートウェイの詳細があります。

Virtual Network ゲートウェイ

  • パブリック IP アドレス/エンドポイント: 20.x.x.1
  • ASN:65533
  • BGP IPアドレス/bgpAddress:10.1.1.1

もう一つの吹き出しはリソース グループ内に作成した仮想ネットワークを表しています。 この仮想ネットワークのアドレス空間は 10.2.0.0/16 です。 ローカル BGP アドレスとピア BGP アドレスを同じアドレス空間にすることはできません。

ローカル ネットワーク ゲートウェイの作成

Azure ポータルでローカル ネットワーク ゲートウェイを作成します。 この手順を完了するには、Microsoft ゲートウェイ エンドポイント、ASN、BGP アドレスなど、リモート ネットワーク構成のいくつかの詳細が必要です。

Microsoft Entra 管理センターでデバイス リンクを作成するときに 冗長性なし を選択した場合は、ローカル ネットワーク ゲートウェイを 1 つ作成します。

[ゾーン冗長] を選択した場合は、2 つのローカル ネットワーク ゲートウェイを作成します。 デバイス リンクのendpointには、asnbgpAddresslocalConfigurationsの 2 つのセットがあります。 View Configuration Microsoft Entra 管理センターのリモート ネットワークの詳細がこの情報を提供します。

  1. Azure ポータルから、ローカル ネットワーク ゲートウェイ に移動します。

  2. [作成] を選択します

  3. リソース グループ (たとえば、Network_Simulation) を選択します。

  4. 適切なリージョンを選択します。

  5. ローカル ネットワーク ゲートウェイの [名前] を入力します。

  6. Endpoint で、IP アドレスを選択し、Microsoft Entra 管理センターから endpoint IP アドレスを指定します。

  7. [次: 詳細] を選択します。

  8. [BGP を構成する][はい] に設定します。

  9. [構成の表示] の詳細の localConfigurations セクションから [自律システム番号 (ASN)] を入力します。

  10. [構成の表示] の詳細の localConfigurations セクションから [BGP ピア IP アドレス] を入力します。

    ローカル ネットワーク ゲートウェイ プロセスの ASN フィールドと BGP フィールドのスクリーンショット。

  11. [確認と作成] を選択し、設定を確認します。

  12. [作成] を選択します

デバイス リンク (ゲートウェイ エンドポイントの 2 つのセットを提供する) を作成するときにゾーン冗長を構成した場合は、次 Microsoftの手順を繰り返して、エンドポイント、ASN、BGP アドレス値の 2 番目のセットを使用して 2 つ目のローカル ネットワーク ゲートウェイを作成します。

[構成] に移動して、ローカル ネットワーク ゲートウェイの詳細を確認します。

ローカル ネットワーク ゲートウェイの構成設定を示すAzure ポータルのスクリーンショット。

サイト間 (S2S) VPN 接続を作成する

Azure ポータルでサイト間 VPN 接続を作成します。 ゾーン冗長を構成した場合は、プライマリ ゲートウェイ用とセカンダリ用の 2 つの接続を作成します。 特に明記されていない限り、すべての設定を既定値のままにします。

  1. Azure ポータルで、Connections に移動します。
  2. [作成] を選択します
  3. リソース グループ (たとえば、Network_Simulation) を選択します。
  4. [接続の種類] で、[サイト間 (IPsec)] を選択します。
  5. 接続の 名前 を入力し、適切なリージョンを選択 します
  6. [次へ: 設定] を選択します。
  7. 仮想ネットワーク ゲートウェイローカル ネットワーク ゲートウェイを選択します。
  8. Microsoft Entra 管理センター リモート ネットワーク構成でデバイス リンク用に構成したのと同じ Shared キー (PSK) を入力します。
  9. [BGP を有効にする] チェック ボックスをオンにします。
  10. [Review + create](レビュー + 作成) を選択します。 設定を確認します。
  11. [作成] を選択します

これらの手順を繰り返し、2 つ目のローカル ネットワーク ゲートウェイを使用して別の接続を作成します。

サイト間接続の構成設定を示すAzure ポータルのスクリーンショット。

接続を検証する

接続を確認するには、トラフィック フローをシミュレートする必要があります。 1 つの方法は、トラフィックを開始する仮想マシン (VM) を作成することです。

仮想マシンでトラフィックをシミュレートする

トラフィックをシミュレートし、接続を確認するには、仮想ネットワークに VM を作成し、Microsoft サービスへのトラフィックを開始します。 特に明記されていない限り、すべての設定で既定値をそのまま使用します。

  1. Azure ポータルから、Virtual マシン に移動します。
  2. Create>Azure 仮想マシンを選択します。
  3. リソース グループ (たとえば、Network_Simulation) を選択します。
  4. [仮想マシン名] を入力します。
  5. 使用するイメージを選択します。 この例では、Windows 11 Pro バージョン 22H2 - x64 Gen2 を選択します。
  6. このテストでは、Run with Azure Spot discount を選択します。
  7. VM の [ユーザー名][パスワード] を入力します
  8. ページの下部に、マルチテナント ホスティング権限を持つ資格のあるWindows 10または 11 ライセンスがあることを確認します。
  9. [ネットワーク] タブに移動します。
  10. 仮想ネットワークを選択します。
  11. [管理] タブに移動します。
  12. Microsoft Entra ID でログインのチェックボックスをオンにします。
  13. [Review + create](レビュー + 作成) を選択します。 設定を確認します。
  14. [作成] を選択します

ネットワーク セキュリティ グループへのリモート アクセスを特定のネットワークまたは IP のみにロックすることができます。

リモート ネットワーク内の仮想マシンに接続するときに非対称ルーティングを回避する

Azure仮想マシン (VM) をグローバル セキュリティで保護されたアクセス リモート ネットワークに接続する場合、リモート デスクトップ プロトコル (RDP) as-is を使用してそのパブリック IP アドレスを使用して VM に接続することはできません。 リモート ネットワークを切断すると、RDP が再び動作します。 非対称ルーティングによってこの動作が発生し、予期されます。

これが発生する理由は次のとおりです。VM にはパブリック IP アドレスがあるため、PC からの受信 RDP トラフィック (SYN パケット) が VM に直接到達します。 ただし、グローバル セキュア アクセスはインターネット アドレス範囲全体をアドバタイズするため、VM のリターン トラフィック (SYN-ACK) は IPsec トンネルを経由してグローバル セキュア アクセスにルーティングされます。 グローバル セキュア アクセスは、対応する SYN がないセッションの SYN-ACK を受信するため、パケットがドロップされ、接続が失敗します。 この条件により、VM のパブリック IP アドレスが受信接続で使用できなくなります。

回避策

リモート ネットワークでの非対称ルーティングの問題を回避するには、次のいずれかの回避策を使用します。

  • Azure Bastionを使用する

    Azure Bastion では、RDP などのリモート管理シナリオの非対称ルーティングが不要になります。 Bastion を使用すると、PC は HTTPS 経由で Bastion サービスに接続し、Bastion はプライベート IP アドレスを使用して VM への RDP セッションを開始します。 VM は、仮想ネットワーク内の Bastion に直接応答します。 接続の両方向が仮想ネットワーク内に留まるため、トラフィックはグローバル セキュア アクセス ゲートウェイを通過することはなく、ルーティングは対称のままです。

  • ポイント対サイト (P2S) VPN を VNG で使用する

    ポイント対サイト (P2S) 接続用に仮想ネットワーク ゲートウェイ (VNG) を構成する場合、クライアント デバイスは、Azure VPN クライアントを使用して VNG アドレス プールからプライベート IP アドレスを受信します。 VM へのすべてのトラフィックは VNG トンネルを通過し、同じ方法で返され、ルーティングが対称になります。

接続状態を確認する

リモート ネットワークと接続を作成した後、接続が確立されるまでに数分かかる場合があります。 Azure ポータルから、VPN トンネルが接続されていること、および BGP ピアリングが成功したことを検証できます。

  1. Azure ポータルで、作成した 仮想ネットワーク ゲートウェイに移動し、Connections を選択します。
  2. 構成が適用されて成功すると、各接続の状態が [接続済み] と表示されます。
  3. [監視] セクションの [BGP ピア] に移動し、BGP ピアリングが成功したことを確認します。 Microsoftが提供するピアアドレスを探します。 構成が適用されて成功すると、[ 状態][接続済み] と表示されます。

仮想ネットワーク ゲートウェイの接続状態を見つける方法を示すスクリーンショット。

作成した仮想マシンを使用して、トラフィックがMicrosoft サービスに流れているかどうかを検証できます。 SharePointまたはExchange Online内のリソースを参照すると、仮想ネットワーク ゲートウェイ上のトラフィックが発生します。 このトラフィックを確認するには、 仮想ネットワーク ゲートウェイのメトリック を参照するか、 VPN ゲートウェイのパケット キャプチャを構成します

ヒント

Microsoft Entra Internet Accessのテストにこの記事を使用している場合は、完了したら新しいリソース グループを削除して、関連するすべてのAzure リソースをクリーンアップします。

次のステップ

  • Last updated on