質問者
Azure VPN Gatewayを使用します。接続クライアントのGlobal IPを見て接続する拠点をフィルタリングすることは可能でしょうか?

質問
すべての返信
-
Point to Site VPN を終端する VPN Gateway には、送信元 IP アドレスを条件として VPN 接続を許可・拒否する機能がありません。
要件を実現できそうな実装が Azure AD 認証+条件付きアクセス です。Azure AD の条件付きアクセスを使えば、送信元グローバル IP アドレスを利用して認証を許可・拒否できます。
まずは、Point to Site VPN の認証に Azure AD を利用します。そして、VPN 接続を許可したい IPアドレスを名前付きの場所に登録します。この名前付きの場所を利用して「Point to Site VPN の認証は名前付き場所を除いてすべてブロック」という条件付きアクセスを設定すれば、許可されたグローバル IP アドレスのみが VPN 接続できるようになるはずです。
ただし検証していませんので、お客様にご提案される場合は事前にご検証ください。
参考 URL
- https://docs.microsoft.com/ja-jp/azure/vpn-gateway/openvpn-azure-ad-mfa
- https://azuread.net/2019/02/07/%E6%9D%A1%E4%BB%B6%E4%BB%98%E3%81%8D%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%AE%E8%A8%AD%E5%AE%9A/
その5:特定の場所からアクセスするユーザーにのみアクセス許可を与える
-
Azure Firewall を組み合わせることで、よりセキュアな構成にすることができるかと思います。