Intune で VPN プロファイルを作成して VPN サーバーに接続する

  • [アーティクル]

仮想プライベート ネットワーク (VPN) を使用すると、組織のユーザーが組織のネットワークにリモート アクセスする際にセキュリティで保護することができます。 デバイスでは、VPN 接続プロファイルを使用して VPN サーバーとの接続が開始されます。 Microsoft Intune の VPN プロファイル により、組織内のユーザーとデバイスに VPN 設定が割り当てられます。 これらの設定を使用して、ユーザーが組織のネットワークに簡単かつ安全に接続できるようにします。

この機能は、以下に適用されます:

  • Android デバイス管理者

  • 仕事用プロファイルがある個人所有の Android Enterprise デバイス

  • iOS/iPadOS

  • macOS

  • Windows 10

  • Windows 11

    重要

    Windows 11 デバイスの場合、Windows 11 クライアントと Windows VPNv2 CSP の間に問題があります。 1 つ以上の Intune VPN プロファイルを持つデバイスでは、デバイスがデバイスの VPN プロファイルに対する複数の変更を同時に処理すると、VPN 接続が失われます。 デバイスが Intune に 2 回目にチェックインすると、VPN プロファイルの変更が処理され、接続が復元されます。

    次の変更により、VPN 機能が失われる可能性があります。

    • Windows 11 デバイスによって以前に処理された VPN プロファイルへの変更。 この操作により、元のプロファイルが削除され、更新されたプロファイルが適用されます。
    • 2 つの新しい VPN プロファイルが同時にデバイスに適用されます。
    • アクティブな VPN プロファイルは、新しい VPN プロファイルが割り当てられると同時に削除されます。

    この問題は、次の場合には適用されません。

    • Windows 11 デバイスには既存の VPN プロファイルが割り当てられていないため、1 つの Intune VPN プロファイルを受け取ります。
    • VPN プロファイルが割り当てられ、他のプロファイル変更なしで別の VPN プロファイルが割り当てられている Windows 11 デバイス。
    • Windows 10デバイスは Windows 11 にアップグレードされ、そのデバイスの VPN プロファイルに変更がない場合はアップグレードされます。 Windows 11 へのアップグレード後、デバイスの VPN プロファイルを変更したり、新しい VPN プロファイルを追加したりすると、問題が発生します。

    この問題と警告は、Windows がこの問題を解決する Windows 11 クライアントを更新するまで残ります。

  • Windows 8.1 以降

たとえば、組織のネットワーク上のファイル共有に接続するために必要な設定をすべての iOS/iPadOS デバイスに構成したいとします。 これらの設定を含む VPN プロファイルを作成します。 iOS/iPadOS デバイスを持っているすべてのユーザーにこのプロファイルを割り当てます。 使用できるネットワークの一覧に VPN 接続が表示されるので、ユーザーは最小限の労力で接続できます。

この記事では、使用できる VPN アプリの一覧を示し、VPN プロファイルを作成する方法について説明します。また、VPN プロファイルをセキュリティで保護するためのガイダンスを示します。 VPN プロファイルを作成する前に、VPN アプリを展開する必要があります。 Microsoft Intune を使用したアプリの展開についてのヘルプが必要な場合は、「Microsoft Intune でのアプリ管理の概要」を参照してください。

はじめに

  • デバイス トンネルの VPN プロファイルは、Windows 10/11 Enterprise マルチセッション リモート デスクトップでサポートされています。

  • VPN プロファイルに証明書ベースの認証を使用する場合は、VPN プロファイル、証明書プロファイル、および信頼されたルート プロファイルを同じグループに展開します。 この手順により、各デバイスが証明機関の正当性を確実に認識できるようになります。 詳細については、「Microsoft Intune で証明書を構成する方法」を参照してください。

  • iOS および iPadOS と macOS のユーザー登録では、アプリごとの VPNのみがサポートされます。

  • Intune のカスタム構成ポリシーを使用して、次のプラットフォーム用の VPN プロファイルを作成できます:

    • Android 4 以降
    • Windows 8.1 以降を実行する登録済みのデバイス
    • Windows 10/11 を実行する登録済みデバイス
    • Windows Holographic for Business

VPN 接続の種類

重要

デバイスに割り当てられた VPN プロファイルを使用する前に、プロファイル用の VPN アプリをインストールする必要があります。 Intune を使用してアプリを割り当てるには、「Microsoft Intune にアプリを追加する」を参照してください。

次の接続の種類を使用して、VPN プロファイルを作成できます:

  • 自動

    • Windows 10 または 11

  • Check Point Capsule VPN

    • Android デバイス管理者
    • 仕事用プロファイルがある個人所有の Android Enterprise デバイス
    • Android Enterprise のフル マネージド、企業所有の仕事用プロファイル: アプリ構成ポリシーを使用する
    • iOS/iPadOS
    • macOS
    • Windows 10 または 11
    • Windows 8.1

  • Cisco AnyConnect

    • Android デバイス管理者
    • 仕事用プロファイルがある個人所有の Android Enterprise デバイス
    • Android Enterprise フル マネージドおよび会社所有の仕事用プロファイル
    • iOS/iPadOS
    • macOS
    • Windows 10 または 11

  • Cisco (IPSec)

    • iOS/iPadOS

  • Citrix SSO

    • Android デバイス管理者
    • 仕事用プロファイルを持つ個人所有の Android Enterprise デバイス: アプリ構成ポリシーを使用する
    • Android Enterprise のフル マネージド、専用、企業所有の仕事用プロファイル: アプリ構成ポリシーを使用する
    • iOS/iPadOS
    • Windows 10 または 11

  • カスタム VPN

    • iOS/iPadOS
    • macOS

    カスタム設定を持つプロファイルの作成に関するページを参照して、URI の設定を使ってカスタム VPN プロファイルを作成します。

  • F5 Access

    • Android デバイス管理者
    • 仕事用プロファイルがある個人所有の Android Enterprise デバイス
    • Android Enterprise フル マネージドおよび会社所有の仕事用プロファイル
    • iOS/iPadOS
    • macOS
    • Windows 10 または 11
    • Windows 8.1

  • IKEv2

    • iOS/iPadOS
    • Windows 10 または 11

  • L2TP

    • Windows 10 または 11

  • Microsoft Tunnel

    • 仕事用プロファイルがある個人所有の Android Enterprise デバイス。
    • Android Enterprise フル マネージドおよび会社所有の職場プロファイル。

    重要

    2021 年 6 月 14 日以降、Android ではスタンドアロン トンネル アプリとスタンドアロン クライアントの接続の種類が両方とも非推奨となり、2021 年 10 月 26 日以降サポート対象ではなくなっています。

  • Microsoft Tunnel

    • iOS/iPadOS

  • Microsoft Tunnel (スタンドアロン クライアント) (プレビュー)

    • iOS/iPadOS

    重要

    変更の計画。 2022 年 4 月 29 日に、Microsoft Tunnel の接続の種類が一般公開され、トンネル クライアント アプリとして Microsoft Defender for Endpoint がサポートされています。 この一般提供により、Microsoft Tunnel (スタンドアロン クライアント)(プレビュー) 接続の種類とスタンドアロン トンネル クライアント アプリの使用は非推奨になり、間もなくサポートから削除されます。

    • 2022 年 7 月 29 日に、スタンドアロン トンネル クライアント アプリはダウンロードできなくなります。 一般公開されているバージョンの Microsoft Defender for Endpoint のみがトンネル クライアント アプリとして使用できます。
    • 2022 年 8 月 1 日に、Microsoft Tunnel (スタンドアロン クライアント) (プレビュー) 接続の種類が Microsoft Tunnel への接続を停止します。

    Microsoft Tunnel のサービスの中断を回避するには、非推奨のトンネル クライアント アプリと接続の種類の使用を、現在一般公開されているものに移行することを計画します。

  • NetMotion Mobility

    • 仕事用プロファイルがある個人所有の Android Enterprise デバイス
    • Android Enterprise フル マネージドおよび会社所有の仕事用プロファイル
    • iOS/iPadOS
    • macOS

  • Palo Alto Networks GlobalProtect

    • 仕事用プロファイルを持つ個人所有の Android Enterprise デバイス: アプリ構成ポリシーを使用する
    • Android Enterprise のフル マネージド、企業所有の仕事用プロファイル: アプリ構成ポリシーを使用する
    • iOS/iPadOS
    • Windows 10 または 11

  • PPTP

    • Windows 10 または 11

  • Pulse Secure

    • Android デバイス管理者
    • 仕事用プロファイルがある個人所有の Android Enterprise デバイス
    • Android Enterprise フル マネージドおよび会社所有の仕事用プロファイル
    • iOS/iPadOS
    • Windows 10 または 11
    • Windows 8.1

  • SonicWall Mobile Connect

    • Android デバイス管理者
    • 仕事用プロファイルがある個人所有の Android Enterprise デバイス
    • Android Enterprise フル マネージドおよび会社所有の仕事用プロファイル
    • iOS/iPadOS
    • macOS
    • Windows 10 または 11
    • Windows 8.1

  • Zscaler

    • 仕事用プロファイルを持つ個人所有の Android Enterprise デバイス: アプリ構成ポリシーを使用する
    • Android Enterprise のフル マネージド、企業所有の仕事用プロファイル: アプリ構成ポリシーを使用する
    • iOS/iPadOS

プロファイルを作成する

  1. Microsoft エンドポイント マネージャー管理センター

  2. [デバイス] > [構成プロファイル] > [プロファイルの作成] の順に選択します。

  3. 次のプロパティを入力します。

    • プラットフォーム: デバイスのプラットフォームを選択します。次のようなオプションがあります。
      • Android デバイス管理者
      • [Android Enterprise] > [フル マネージド]、[専用]、[会社所有の仕事用プロファイル]
      • Android Enterprise > 個人所有の仕事用プロファイル
      • iOS/iPadOS
      • macOS
      • Windows 10 以降
      • Windows 8.1 以降
    • Profile: [VPN] を選択します。 または、[テンプレート] > [VPN] を選択します。

  4. [作成] を選択します。

  5. [Basics](基本) で次のプロパティを入力します。

    • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるよう、プロファイルに名前を付けます。 たとえば、「会社全体の VPN プロファイル」は適切なプロファイル名です。
    • Description: プロファイルの説明を入力します。 この設定は省略可能ですが、推奨されます。

  6. [次へ] を選択します。

  7. [構成設定] では、選択したプラットフォームによって構成できる設定が変わります。詳細な設定については、お使いのプラットフォームを選択してください。

  8. [次へ] を選択します。

  9. スコープ タグ (オプション) で、US-NC IT TeamJohnGlenn_ITDepartment など、特定の IT グループにプロファイルをフィルター処理するためのタグを割り当てます。 スコープ タグの詳細については、分散 IT に RBAC とスコープのタグを使用するに関するページを参照してください。

    [次へ] を選択します。

  10. [割り当て] で、プロファイルを受け取るユーザーまたはグループを選択します。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

    [次へ] を選択します。

  11. [確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 ポリシーもプロファイル リストに表示されます。

VPN プロファイルをセキュリティで保護する

VPN プロファイルは、さまざまな製造元から提供される多くの異なる接続の種類およびプロトコルに対応しています。 これらの接続は、通常、次の方法を通じてセキュリティで保護されます。

証明書

VPN プロファイルを作成するときに、Intune で事前に作成した SCEP または PKCS の証明書プロファイルを選択します。 このプロファイルは ID 証明書と呼ばれます。 ユーザーのデバイスの接続を許可するために作成した信頼済み証明書プロファイル (または、"ルート証明書") に対して認証を行うために使用されます。 信頼できる証明書は、VPN 接続を認証するコンピューター (通常は VPN サーバー) に割り当てられます。

VPN プロファイルに証明書ベースの認証を使用する場合は、VPN プロファイル、証明書プロファイル、および信頼されたルート プロファイルを同じグループに展開します。 この割り当てにより、各デバイスが証明機関の正当性を認識するようになります。

Intune で証明書プロファイルを作成および使用する方法の詳細については、「Microsoft Intune で証明書を構成する方法」を参照してください。

注意

[PKCS のインポートされた証明書] のプロファイルを使用して追加された証明書は、VPN 認証ではサポートされません。 [PKCS 証明書] のプロファイルを使用して追加された証明書は、VPN 認証でサポートされます。

ユーザー名とパスワード

ユーザーは、ユーザー名とパスワード、または派生資格情報を指定することにより、VPN サーバーに対して認証を行います。

次の手順