【正解: B】の理由

VPN Connection 上の Custom IPsec/IKE Policy は運用中でも適用・変更可能です。Azure ポータル / CLI / PowerShell で Connection に対し新ポリシーを設定すると、次のキー再交渉 (rekey) 時に新ポリシーが反映されます。一時的にトンネルが落ちる可能性はあるが、Reconfiguration はライブ可能です。

【Custom Policy 変更手順】

1. 新ポリシー定義 (az network vpn-connection ipsec-policy add)
2. 既存 Connection に適用
3. 次回 rekey 時に反映 (SA Lifetime 経過時、または手動 Reset)
4. オンプレ側も同じパラメタに合わせる必要

【他選択肢が違う理由】

• A: 運用中も変更可能です。
• C: GatewaySubnet サイズと IKE 暗号は無関係。
• D: Connection は変更可能リソース。

【参考】

Custom IPsec/IKE Policy 変更