Intune で VPN を構成するための Android Enterprise デバイス設定

この記事では、Android Enterprise デバイスで制御できるさまざまな VPN 接続設定について説明します。 モバイル デバイス管理 (MDM) ソリューションの一部として、これらの設定を使用して VPN 接続を作成し、VPN の認証方法を選択し、VPN サーバーの種類を選択します。

この機能は、以下に適用されます。

• 仕事用プロファイルがある個人所有の Android Enterprise デバイス (BYOD)
• 会社所有 Android Enterprise 仕事用プロファイル (COPE)
• 会社所有 Android Enterprise フル マネージド (COBO)
• 会社所有 Android Enterprise 専用デバイス (COSU)

Intune 管理者は、Android Enterprise デバイスに VPN 設定を作成して割り当てることができます。 Intune の VPN プロファイルの詳細については、「 VPN プロファイル」を参照してください。

注:

Always-on VPN を構成するには、VPN プロファイルを作成し、Always-on VPN 設定を構成した デバイス制限 プロファイルも作成する必要があります。

はじめに

• Android Enterprise VPN デバイス構成プロファイルを作成します。

  • フル マネージド、専用、および企業所有の仕事用プロファイル
  • 個人所有の仕事用プロファイル

• Outlook などの一部の Microsoft 365 サービスは、サード パーティまたはパートナー VPN を使用してうまく動作しない場合があります。 サード パーティまたはパートナー VPN を使用していて、待機時間やパフォーマンスの問題が発生した場合は、VPN を削除します。

  VPN を削除すると動作が解決される場合は、次のことができます。

  • 考えられる解決策については、サード パーティまたはパートナー VPN と連携してください。 Microsoft は、サード パーティまたはパートナー VPN のテクニカル サポートを提供していません。
  • Outlook トラフィックで VPN を使用しないでください。
  • VPN を使用する必要がある場合は、スプリット トンネル VPN を使用します。 また、Outlook トラフィックが VPN をバイパスできるようにします。

  詳細については、以下をご覧ください。

  • 概要: Microsoft 365 の VPN 分割トンネリング
  • Microsoft 365 でのサード パーティのネットワーク デバイスまたはソリューションの使用
  • セキュリティの専門家と IT が、今日の独自のリモート作業シナリオで最新のセキュリティ制御を実現するための別の方法ブログ
  • Microsoft 365 ネットワーク接続の原則

• 最新の認証と条件付きアクセスを使用してオンプレミスリソースにアクセスするためにこれらのデバイスが必要な場合は、分割トンネリングをサポートする Microsoft Tunnel を使用できます。

フル マネージド、専用、Corporate-Owned 作業プロファイル

• 接続の種類: VPN 接続の種類を選択します。 次のようなオプションがあります。

  • Cisco AnyConnect
  • SonicWall Mobile Connect
  • F5 Access
  • Pulse Secure
  • Microsoft Tunnel (Android Enterprise 専用デバイスではサポートされていません)。

使用可能な設定は、選択した VPN クライアントによって異なります。 一部の設定は、特定の VPN クライアントでのみ使用できます。

ベース VPN (フル マネージド、専用、企業所有の仕事用プロファイル)

• [接続名]: この接続の名前を入力します。 エンド ユーザーは、デバイスで使用可能な VPN 接続を参照すると、この名前が表示されます。 たとえば、「Contoso VPN」と入力します。

• VPN サーバー アドレスまたは FQDN: デバイスが接続する VPN サーバーの IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力します。 たとえば、「192.168.1.1」または「vpn.contoso.com」と入力します。

• 認証方法: VPN サーバーに対するデバイスの認証方法を選択します。 次のようなオプションがあります。

  • 証明書: 既存の SCEP または PKCS 証明書プロファイルを選択して接続を認証します。 証明書の構成 には、証明書プロファイルを作成する手順の一覧が表示されます。

  • ユーザー名とパスワード: エンド ユーザーが VPN サーバーにサインインすると、ユーザー名とパスワードの入力を求められます。

  • 派生資格情報: ユーザーのスマート カードから派生した証明書を使用します。 派生資格情報発行者が構成されていない場合、Intune は資格情報の追加を求めるメッセージを表示します。

    詳細については、「 Intune で派生資格情報を使用する」を参照してください。

• NetMotion Mobility VPN 属性のキーと値のペアを入力します。VPN 接続をカスタマイズする キー と 値 を追加またはインポートします。 通常、これらの値は VPN プロバイダーによって提供されます。

• Microsoft Tunnel サイト (Microsoft Tunnel のみ): 既存のサイトを選択します。 VPN クライアントは、このサイトのパブリック IP アドレスまたは FQDN に接続します。

  詳細については、「 Microsoft Tunnel for Intune」を参照してください。

アプリごとの VPN (フル マネージド、専用、企業所有の仕事用プロファイル)

• 追加: 一覧からマネージド アプリを選択します。 ユーザーが追加したアプリを起動すると、トラフィックは VPN 接続を介して自動的にルーティングされます。

詳細については、「 Android Enterprise デバイスで VPN とアプリごとの VPN ポリシーを使用する」を参照してください。

Always-on VPN (フル マネージド、専用、および企業所有の仕事用プロファイル)

• Always-on VPN: 有効にすると 、常に有効な VPN がオンになるため、VPN クライアントは可能な場合に VPN に自動的に接続して再接続します。 [未構成] に設定すると、Intune では、この設定は変更または更新されません。 既定では、すべての VPN クライアントで always-on VPN が無効になっている可能性があります。

  デバイス上の常時接続 VPN 用に構成できる VPN クライアントは 1 つだけです。 1 つのデバイスに 1 つ以上の always-on VPN ポリシーがデプロイされていないことを確認してください。

プロキシ (フル マネージド、専用、および企業所有の仕事用プロファイル)

• 自動構成スクリプト: ファイルを使用してプロキシ サーバーを構成します。 構成ファイルを含むプロキシ サーバー URL を入力します。 たとえば、「http://proxy.contoso.com/pac」と入力します。
• アドレス: プロキシ サーバーの IP アドレスまたは完全修飾ホスト名を入力します。 たとえば、「10.0.0.3」または「vpn.contoso.com」と入力します。
• ポート番号: プロキシ サーバーに関連付けられているポート番号を入力します。 たとえば、「8080」と入力します。

個人所有の仕事用プロファイル

• 接続の種類: VPN 接続の種類を選択します。 次のようなオプションがあります。

  • Check Point Capsule VPN

  • Cisco AnyConnect

    注:

    個人所有の仕事用プロファイルに Cisco AnyConnect を使用すると、エンド ユーザーが VPN 接続を完了するための追加の手順が必要になる場合があります。 詳細については、「 VPN プロファイル - 成功した VPN プロファイルの外観」を参照してください。

  • SonicWall Mobile Connect

  • F5 Access

  • Pulse Secure

  • NetMotion Mobility

  • Microsoft Tunnel

使用可能な設定は、選択した VPN クライアントによって異なります。 一部の設定は、特定の VPN クライアントでのみ使用できます。

ベース VPN (個人所有の仕事用プロファイル)

• [接続名]: この接続の名前を入力します。 エンド ユーザーは、デバイスで使用可能な VPN 接続を参照すると、この名前が表示されます。 たとえば、「Contoso VPN」と入力します。

• VPN サーバー アドレス: デバイスが接続する VPN サーバーの IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力します。 たとえば、「192.168.1.1」または「vpn.contoso.com」と入力します。

• 認証方法: VPN サーバーに対するデバイスの認証方法を選択します。 次のようなオプションがあります。

  • 証明書: 既存の SCEP または PKCS 証明書プロファイルを選択して接続を認証します。 証明書の構成 には、証明書プロファイルを作成する手順の一覧が表示されます。

  • ユーザー名とパスワード: エンド ユーザーが VPN サーバーにサインインすると、ユーザー名とパスワードの入力を求められます。

  • 派生資格情報: ユーザーのスマート カードから派生した証明書を使用します。 派生資格情報発行者が構成されていない場合、Intune は資格情報の追加を求めるメッセージを表示します。

    詳細については、「 Intune で派生資格情報を使用する」を参照してください。

• フィンガープリント (カプセル VPN のみCheck Point): VPN ベンダーによって指定された指紋文字列 (などContoso Fingerprint Code) を入力します。 このフィンガープリントは、VPN サーバーが信頼できることを確認します。

  認証時に指紋がクライアントに送信されるため、クライアントは同じフィンガープリントを持つサーバーを信頼することを認識します。 デバイスに指紋がない場合は、指紋の表示中に VPN サーバーを信頼するようにユーザーに求めます。 ユーザーは指紋を手動で検証し、接続を信頼することを選択します。

• NetMotion Mobility VPN 属性のキーと値のペアを入力します。VPN 接続をカスタマイズする キー と 値 を追加またはインポートします。 通常、これらの値は VPN プロバイダーによって提供されます。

• Microsoft Tunnel サイト (Microsoft Tunnel のみ): 既存のサイトを選択します。 VPN クライアントは、このサイトのパブリック IP アドレスまたは FQDN に接続します。

  詳細については、「 Microsoft Tunnel for Intune」を参照してください。

アプリごとの VPN (個人所有の仕事用プロファイル)

• 追加: 一覧からマネージド アプリを選択します。 ユーザーが追加したアプリを起動すると、トラフィックは VPN 接続を介して自動的にルーティングされます。

詳細については、「 Android Enterprise デバイスで VPN とアプリごとの VPN ポリシーを使用する」を参照してください。

Always-on VPN (個人所有の仕事用プロファイル)

• Always-on VPN: 有効にすると 、常に有効な VPN がオンになるため、VPN クライアントは可能な場合に VPN に自動的に接続して再接続します。 [未構成] に設定すると、Intune では、この設定は変更または更新されません。 既定では、すべての VPN クライアントで always-on VPN が無効になっている可能性があります。

  デバイス上の常時接続 VPN 用に構成できる VPN クライアントは 1 つだけです。 1 つのデバイスに 1 つ以上の always-on VPN ポリシーがデプロイされていないことを確認してください。

プロキシ (個人所有の仕事用プロファイル)

• 自動構成スクリプト: ファイルを使用してプロキシ サーバーを構成します。 構成ファイルを含むプロキシ サーバー URL を入力します。 たとえば、「http://proxy.contoso.com/pac」と入力します。
• アドレス: プロキシ サーバーの IP アドレスまたは完全修飾ホスト名を入力します。 たとえば、「10.0.0.3」または「vpn.contoso.com」と入力します。
• ポート番号: プロキシ サーバーに関連付けられているポート番号を入力します。 たとえば、「8080」と入力します。

次の手順

プロファイルを割り当て、その状態を監視します。

Android デバイス管理者、iOS/iPadOS、macOS、Windows 10以降の VPN プロファイルを作成することもできます。

Microsoft Intuneでの VPN プロファイルの問題のトラブルシューティング