みなさん、複数のエンドポイントのために実際に本番環境で常時接続VPNまたはポイントツーサイトVPNを展開したことがあるか気になっています。
すべてのインフラがAzureにある場合、人々のデバイスをAzureネットワークに直接接続するのは理にかなっていると思います。理論上は良さそうですが、実際に本番環境でこれを行った人はいますか、それともサイト間VPNに頼っていますか?
管理、実装から得た教訓などについても知りたいです。
どちらもやってみてはどうですか!? 
私たちはオンプレミスのデータセンターとキャンパスをAzureのサイト間VPNゲートウェイで接続しています。これにより透過的なルーティングが可能で、非常に良い結果になっています!
また、Azure(Windows)Virtual Desktopも使用しており、キャンパスからアクセスできるほか、Azure Active DirectoryドメインサービスなどのAzureサービスとも接続できます。
Azure VPNゲートウェイの製品はアクティブ/スタンバイモードで動作し、オンプレミスのファイアウォールも同様です。これまで非常に信頼性が高く(祈願して)、Azureは単なる既存ネットワークの拡張のように感じさせてくれます—これは意図した結果です。
私たちはまた、Fortiのアプライアンスを使用したSSL VPNも運用しています。Azure VPNゲートウェイのP2S機能は(以前は)識別に基づくシステムアクセスに十分な粒度を提供していませんでした。
はい!VWan + P2SゲートウェイをAAD証明書と条件付きアクセス+MEMを使ってデバイス設定を行っています。
最良は、1時間ほどで設定を完了でき、必要に応じてクライアント数をスケールアップできる点です。
Azureではありませんが、AWSではLinuxインスタンスを使ったIPsecルーターを3つの異なるリージョンに設置し、5つの物理オフィスを一つの大きなVPNで接続しました。とても簡単で、Azureでも同様に成功し役立つと思います。
内部CAから発行された証明書を使って、デバイストンネルを備えた常時VPNを実装しました。これにより、起動時にグループポリシーが適用されます。
今クライアントのためにこれを実装していますが、既にS2Sのために持っている仮想ネットワークゲートウェイを使う代わりに複数のVMを必要とするWindowsのソリューションをわざわざ選ぶ理由がわかりません。
はい。OpenVPNとFortiGate VPNファイアウォールの両方を導入しています。FortiGateは少し高価ですが、多くの機能を提供します。Marketplaceで「アプライアンス」として提供されており、即配備可能です。
別のFortigateを2台使用しています。1台はユーザVPNアクセス用、もう1台はS2S用です。新しいハブのためにFGを使うことと、新しいSKU2 Azureファイアウォールを検討しています。
AADログインを用いたP2Sゲートウェイの実装を終えたところです。ビジネスの2/3はリモート勤務で、時々VPNが必要なだけですが、これが最適なソリューションでした。彼らはFortiGate VPNを本社から排除でき、コーポレート間にS2S VPNを作成する必要もありませんでした。
はい - 残念ながらほとんどのデバイスはWindows 10 Business/Proで、Enterpriseではありません。デバイス証明書のためです。
感染したPCを防ぐNAPポリシーは使用していますか?
常時接続ゲートウェイとRadiusサーバーはAzureに直行させるために必要だと思いますか?
いいですね!AAD認証VPNクライアントはローカル管理者権限が必要ですか?
これらのデバイスはドメインポリシー、Intune、そしてDefender 365により完全に管理されており、状態が問題になることはありません。NAPは他の状態のBYODデバイスのために設計されました。最近ではMDMがNAPの代わりとなり、完全に信頼できるデバイスのみがVPNを使用し、それ以外は何らかのアプリケーションゲートウェイ経由にすべきです。VPNを廃止したい気持ちもありますが、古い方法は根強く残ります。個人デバイスを使用する人はMFA付きのRDゲートウェイ経由で接続しています。
いいえ。ただし、VPNクライアントはWindowsストアを通じてインストールされ、初期設定のためにXMLファイルをインポートする必要があります。