Windows 10/11 と holographic デバイスの設定をWindowsして、Intuneを使用して VPN 接続を追加する

注意

Intuneは、この記事に記載されている設定よりも多くの設定をサポートしている場合があります。 すべての設定が文書化されているわけではありません。また、文書化されません。 構成できる設定を表示するには、デバイス構成プロファイルを作成し、[ 設定カタログ] を選択します。 詳細については、「設定カタログ」を参照してください。

Microsoft Intuneを使用して、デバイスの VPN 接続を追加および構成できます。 この記事では、仮想プライベート ネットワーク (VPN) を作成するときに構成できる設定と機能の一部について説明します。 これらの VPN 設定は、デバイス構成プロファイルで使用され、デバイスにプッシュまたは展開されます。

モバイル デバイス管理 (MDM) ソリューションの一部として、これらの設定を使用して、特定の VPN ベンダーの使用、常時オンの有効化、DNS の使用、プロキシの追加などの機能を許可または無効にします。

これらの設定は、実行中のデバイスに適用されます。

• Windows 10 または 11
• Windows Holographic for Business

開始する前に

• VPN アプリをデプロイし、Windows クライアント VPN デバイス構成プロファイルを作成します。 使用可能な設定は、選択した VPN クライアント アプリによって異なります。 一部の設定は、特定の VPN クライアントでのみ使用できます。

• Outlookなどの一部のMicrosoft 365 サービスでは、サード パーティまたはパートナーの VPN を使用すると、パフォーマンスが低下することがあります。 サード パーティまたはパートナーの VPN を使用していて、待機時間やパフォーマンスの問題が発生した場合は、VPN を削除します。

  VPN を削除すると動作が解決する場合は、次の操作を実行できます。

  • 可能な解決策については、サード パーティまたはパートナーの VPN と連携します。 Microsoft は、サード パーティまたはパートナーの VPN に対してテクニカル サポートを提供していません。
  • Outlook トラフィックで VPN を使用しないでください。
  • VPN を使用する必要がある場合は、Microsoft Tunnelなどの分割トンネル VPN を使用します。 また、Outlook トラフィックが VPN をバイパスできるようにします。

  詳細については、次の情報を参照してください。

  • 概要: Microsoft 365の VPN 分割トンネリング
  • Microsoft 365でサード パーティのネットワーク デバイスまたはソリューションを使用する
  • 今日の一意のリモート作業シナリオのブログで、セキュリティプロフェッショナルと IT が最新のセキュリティ制御を実現するための別の方法
  • Microsoft 365 ネットワーク接続の原則

• これらの設定では 、VPNv2 CSP が使用されます。

ユーザー スコープまたはデバイス スコープ

• この VPN プロファイルをユーザー/デバイス スコープと共に使用 する: プロファイルをユーザー スコープまたはデバイス スコープに適用します。

  • ユーザー スコープ: VPN プロファイルは、デバイス上のユーザーのアカウント内にインストールされます (例: user@contoso.com. 別のユーザーがデバイスにサインインした場合、VPN プロファイルは使用できません。
  • デバイス スコープ: VPN プロファイルはデバイス コンテキストにインストールされ、デバイス上のすべてのユーザーに適用されます。 Windows Holographic デバイスでは、デバイス スコープのみがサポートされます。

既存の VPN プロファイルは、既存のスコープに適用されます。 既定では、デバイス トンネルが有効になっているプロファイルを 除き 、新しい VPN プロファイルがユーザー スコープにインストールされます。 デバイス トンネルが有効になっている VPN プロファイルでは、デバイス スコープが使用されます。

接続の種類

• 接続の種類: 次のベンダーの一覧から VPN 接続の種類を選択します。

  • Check Point Capsule VPN
  • Cisco AnyConnect
  • Citrix
  • F5 Access
  • Palo Alto Networks GlobalProtect
  • Pulse Secure
  • SonicWall Mobile Connect
  • Automatic (ネイティブ型)
  • IKEv2 (ネイティブ型)
  • L2TP (ネイティブ型)
  • PPTP (ネイティブ型)

基本 VPN

選択した接続の種類に応じて、次の設定が表示されます。 すべての接続の種類ですべての設定を使用できるわけではありません。

• 接続名: この接続の名前を入力します。 エンド ユーザーは、デバイスを参照して使用可能な VPN 接続の一覧を参照すると、この名前を表示します。 たとえば、「Contoso VPN」と入力します。

• サーバー: デバイスが接続する 1 つ以上の VPN サーバーを追加します。 サーバーを追加するときに、次の情報を入力します。

  • インポート: 説明、IP アドレス、FQDN、既定のサーバーという形式のサーバーの一覧を含むコンマ区切りファイルを参照します。 [ OK] を 選択して、これらのサーバーを [サーバー ] ボックスの一覧にインポートします。
  • エクスポート: サーバーの既存のリストをコンマ区切り値 (csv) ファイルにエクスポートします。
  • 説明: Contoso VPN サーバーなど、サーバーのわかりやすい名前を入力します。
  • VPN サーバー アドレス: デバイスが接続する VPN サーバーの IP アドレスまたは完全修飾ドメイン名 (FQDN) ( 192.168.1.1 や vpn.contoso.com など) を入力します。
  • 既定のサーバー: True を 指定すると、デバイスが接続を確立するために使用する既定のサーバーとしてこのサーバーが有効になります。 既定として設定するサーバーは 1 つだけです。 False (既定値) では、この VPN サーバーは既定のサーバーとして使用されません。

• 内部 DNS で IP アドレスを登録 する: [ 有効] を 選択して、VPN インターフェイスに割り当てられた IP アドレスを内部 DNS に動的に登録するように VPN プロファイルを構成します。 IP アドレスを動的に登録しない場合は 、[無効] を 選択します。

• Always On: 次のイベントが発生したときに、VPN 接続に自動的に接続を 有効にします。

  • ユーザーは自分のデバイスにサインインします。
  • デバイス上のネットワークが変更されます。
  • デバイスの画面は、オフになった後に再びオンになります。

  IKEv2 などのデバイス トンネル接続を使用するには、この設定 を有効にします 。

  無効にすると 、VPN 接続が自動的に有効になりません。 ユーザーは手動で VPN を有効にする必要がある場合があります。

• 認証方法: ユーザーが VPN サーバーに対して認証する方法を選択します。 次のようなオプションがあります:

  • 証明書: 既存のユーザー クライアント証明書プロファイルを選択して、ユーザーを認証します。 このオプションでは、ゼロタッチ エクスペリエンス、オンデマンド VPN、アプリごとの VPN などの強化された機能が提供されます。

    Intuneで証明書プロファイルを作成するには、「認証に証明書を使用する」を参照してください。

  • ユーザー名とパスワード: ユーザーが認証を行うためにドメインのユーザー名とパスワードを入力するように求める (例user@contoso.com``contoso\user: .

  • 派生資格情報: ユーザーのスマート カードから派生した証明書を使用します。 派生資格情報発行者が構成されていない場合は、Intuneに追加を求めるメッセージが表示されます。 詳細については、「Intuneで派生資格情報を使用する」を参照してください。

  • EAP (IKEv2 のみ): 既存の拡張認証プロトコル (EAP) クライアント証明書プロファイルを選択して認証します。 EAP XML 設定に認証パラメーターを入力します。

    EAP 認証の詳細については、 ネットワーク アクセスと EAP 構成に関する拡張認証プロトコル (EAP) に関するページを 参照 してください。

  • マシン証明書 (IKEv2 のみ): デバイスを認証する既存のデバイス クライアント証明書プロファイルを選択します。

    デバイス トンネル接続を使用する場合は、[コンピューター証明書] を選択する必要があります。

    Intuneで証明書プロファイルを作成するには、「認証に証明書を使用する」を参照してください。

• 各ログオン時に資格情報を記憶する: 認証資格情報をキャッシュして 有効にします 。 [未構成] に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は認証資格情報をキャッシュしない場合があります。

• カスタム XML: VPN 接続を構成するカスタム XML コマンドを入力します。

• EAP XML: VPN 接続を構成する EAP XML コマンドを入力します。

  カスタム EAP XML の作成を含む詳細については、「 EAP 構成」を参照してください。

• デバイス トンネル (IKEv2 のみ): 有効にすると 、ユーザーが操作したりサインインしたりすることなく、デバイスを VPN に自動的に接続できます。 この設定は、Azure Active Directory (AD) に参加しているデバイスに適用されます。

  この機能を使用するには、次の設定を構成する必要があります。

  • 接続の種類: IKEv2 に設定します。
  • Always On: [有効] に設定します。
  • 認証方法: [コンピューター証明書] に設定します。

  デバイス Tunnel が有効になっているデバイスごとに 1 つのプロファイルのみを割り当てます。

IKE セキュリティ アソシエーション パラメーター (IKEv2 のみ)

これらの暗号化設定は、IKEv2 接続の IKE セキュリティ アソシエーション ネゴシエーション (別名またはphase 1とも呼ばれますmain mode) で使用されます。 これらの設定は、VPN サーバーの設定と一致している必要があります。 設定が一致しない場合、VPN プロファイルは接続されません。

• 暗号化アルゴリズム: VPN サーバーで使用される暗号化アルゴリズムを選択します。 たとえば、VPN サーバーで AES 128 ビットを使用している場合は、一覧から AES-128 を選択します。

  [未構成] に設定すると、Intune では、この設定は変更または更新されません。

• 整合性チェック アルゴリズム: VPN サーバーで使用される整合性アルゴリズムを選択します。 たとえば、VPN サーバーが SHA1-96 を使用している場合は、一覧から SHA1-96 を選択します。

  [未構成] に設定すると、Intune では、この設定は変更または更新されません。

• Diffie-Hellman グループ: VPN サーバーで使用されるDiffie-Hellman計算グループを選択します。 たとえば、VPN サーバーで Group2 (1024 ビット) が使用されている場合は、一覧から 2 を選択します。

  [未構成] に設定すると、Intune では、この設定は変更または更新されません。

子セキュリティ アソシエーション パラメーター (IKEv2 のみ)

これらの暗号化設定は、IKEv2 接続の子セキュリティ アソシエーション ネゴシエーション (別名またはphase 2とも呼ばれますquick mode) で使用されます。 これらの設定は、VPN サーバーの設定と一致している必要があります。 設定が一致しない場合、VPN プロファイルは接続されません。

• 暗号変換アルゴリズム: VPN サーバーで使用されるアルゴリズムを選択します。 たとえば、VPN サーバーで AES-CBC 128 ビットを使用している場合は、一覧から CBC-AES-128 を選択します。

  [未構成] に設定すると、Intune では、この設定は変更または更新されません。

• 認証変換アルゴリズム: VPN サーバーで使用されるアルゴリズムを選択します。 たとえば、VPN サーバーで AES-GCM 128 ビットを使用している場合は、一覧から GCM-AES-128 を選択します。

  [未構成] に設定すると、Intune では、この設定は変更または更新されません。

• 完全前方秘密 (PFS) グループ: VPN サーバー上の完全な前方秘密 (PFS) に使用されるDiffie-Hellman計算グループを選択します。 たとえば、VPN サーバーで Group2 (1024 ビット) が使用されている場合は、一覧から 2 を選択します。

  [未構成] に設定すると、Intune では、この設定は変更または更新されません。

Pulse Secure の例

<pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>

F5 Edge Client例

<f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>

SonicWALL Mobile Connect例

ログイン グループまたはドメイン: このプロパティを VPN プロファイルで設定することはできません。 代わりに、Mobile Connectは、ユーザー名とドメインが形式で入力されたときに、この値をusername@domain``DOMAIN\username解析します。

例:

<MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>

CheckPoint Mobile VPN の例

<CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />

ヒント

カスタム XML コマンドの作成の詳細については、製造元の VPN ドキュメントを参照してください。

アプリとトラフィックルール

• WIP またはアプリをこの VPN に関連付ける: 一部のアプリで VPN 接続のみを使用する場合は、この設定を有効にします。 次のようなオプションがあります。

  • 未構成 (既定): Intune では、この設定は変更または更新されません。
  • WIP をこの接続に関連付けます:Windows Identity Protection ドメイン内のすべてのアプリは、VPN 接続を自動的に使用します。
    • この接続の WIP ドメイン: Windows Identity Protection (WIP) ドメインを入力します。 たとえば、「contoso.com」と入力します。
  • この接続にアプリを関連付ける: 入力したアプリは、VPN 接続を自動的に使用します。

    • これらのアプリへの VPN 接続を制限する: 無効 ( 既定) を使用すると、すべてのアプリで VPN 接続を使用できます。 有効にすると 、入力したアプリ (アプリごとの VPN) への VPN 接続が制限されます。 追加するアプリのトラフィック ルールは、 この VPN 接続設定のネットワーク トラフィック規則 に自動的に追加されます。

      [有効] を選択すると、アプリ識別子の一覧が読み取り専用になります。 この設定を有効にする前に、関連付けられているアプリを追加します。

    • 関連するアプリ: [ インポート] を選択して、 .csv アプリの一覧を含むファイルをインポートします。 次 .csv のファイルのようになります。

      %windir%\system32\notepad.exe,desktop
      Microsoft.Office.OneNote_8wekyb3d8bbwe,universal
      

      アプリの種類によって、アプリ識別子が決まります。 ユニバーサル アプリの場合は、パッケージ ファミリ名 (例: Microsoft.Office.OneNote_8wekyb3d8bbwe. デスクトップ アプリの場合は、アプリのファイル パス (例: %windir%\system32\notepad.exe.

      パッケージ ファミリ名を取得するには、Windows PowerShell コマンドレットをGet-AppxPackage使用します。 たとえば、OneNote パッケージ ファミリ名を取得するには、Windows PowerShell開き、次のように入力Get-AppxPackage *OneNoteします。 詳細については、「Windows クライアント コンピューターにインストールされているアプリの PFN を検索する」と「Get-AppxPackage コマンドレット」を参照してください。

  重要

  アプリごとの VPN 用に作成されたすべてのアプリ リストをセキュリティで保護することをお勧めします。 承認されていないユーザーがこのリストを変更し、アプリごとの VPN アプリの一覧にインポートした場合、アクセス権を持たないアプリへの VPN アクセスを承認する可能性があります。 アプリ リストをセキュリティで保護する方法の 1 つは、アクセス制御リスト (ACL) を使用することです。

• この VPN 接続のネットワーク トラフィック規則: プロトコルを選択し、VPN 接続に対してローカル &リモート ポートとアドレス範囲を有効にします。 ネットワーク トラフィック規則を作成しない場合は、すべてのプロトコル、ポート、およびアドレス範囲が有効になります。 ルールを作成した後、VPN 接続では、その規則に入力したプロトコル、ポート、およびアドレス範囲のみが使用されます。

条件付きアクセス

• この VPN 接続の条件付きアクセス: クライアントからのデバイス コンプライアンス フローを有効にします。 有効にすると、VPN クライアントはAzure Active Directory (AD) と通信して、認証に使用する証明書を取得します。 証明書認証を使用するように VPN を設定する必要があり、VPN サーバーは Azure AD によって返されたサーバーを信頼する必要があります。

• 代替証明書を使用したシングル サインオン (SSO): デバイスコンプライアンスの場合は、Kerberos 認証用の VPN 認証証明書とは異なる証明書を使用します。 次の設定で証明書を入力します。

  • 名前: 拡張キー使用法 (EKU) の名前
  • オブジェクト識別子: EKU のオブジェクト識別子
  • 発行者ハッシュ: SSO 証明書の拇印

DNS 設定

• DNS サフィックス検索リスト: DNS サフィックス に DNS サフィックスを入力し、 追加 します。 多くのサフィックスを追加できます。

  DNS サフィックスを使用する場合は、完全修飾ドメイン名 (FQDN) ではなく、その短い名前を使用してネットワーク リソースを検索できます。 短い名前を使用して検索する場合、サフィックスは DNS サーバーによって自動的に決定されます。 たとえば、 utah.contoso.com DNS サフィックスの一覧に含まれているとします。 ping を実行します DEV-comp。 このシナリオでは、 DEV-comp.utah.contoso.com.

  DNS サフィックスは一覧表示された順序で解決され、順序を変更できます。 たとえば、 colorado.contoso.com utah.contoso.com DNS サフィックスの一覧に含まれており、両方とも DEV-comp、 . リストの先頭にあるため colorado.contoso.com 、次のように DEV-comp.colorado.contoso.com解決されます。

  順序を変更するには、DNS サフィックスの左側にあるドットを選択し、サフィックスを上部にドラッグします。

  

• 名前解決ポリシー テーブル (NRPT) ルール: 名前解決ポリシー テーブル (NRPT) 規則は、VPN に接続したときに DNS が名前を解決する方法を定義します。 VPN 接続が確立されたら、VPN 接続で使用する DNS サーバーを選択します。

  ドメイン、DNS サーバー、プロキシ、その他の詳細を含むルールを追加できます。 これらの規則は、入力したドメインを解決します。 VPN 接続では、ユーザーが入力したドメインに接続するときに、これらのルールが使用されます。

  [ 追加] を選択して新しいルールを追加します。 サーバーごとに、次のように入力します。

  • ドメイン: 完全修飾ドメイン名 (FQDN) または DNS サフィックスを入力してルールを適用します。 DNS サフィックスの先頭にピリオド (.) を入力することもできます。 たとえば、「contoso.com」または「.allcontososubdomains.com」と入力します。
  • DNS サーバー: ドメインを解決する IP アドレスまたは DNS サーバーを入力します。 たとえば、「10.0.0.3」または「vpn.contoso.com」と入力します。
  • プロキシ: ドメインを解決する Web プロキシ サーバーを入力します。 たとえば、「http://proxy.com」と入力します。
  • 自動接続: 有効にすると、デバイスが入力したドメインに接続すると、デバイスは VPN に自動的に接続します 。たとえば contoso.com、 . 未構成 (既定値) の場合、デバイスは VPN に自動的に接続されません
  • 永続的: [有効] に設定すると、VPN が切断された後でも、ルールがデバイスから手動で削除されるまで、ルールは名前解決ポリシー テーブル (NRPT) に残ります。 [未構成] (既定) に設定すると、VPN プロファイル内の NRPT ルールは、VPN が切断されたときにデバイスから削除されます。

プロキシ

• 自動構成スクリプト: ファイルを使用してプロキシ サーバーを構成します。 構成ファイルを含むプロキシ サーバーの URL を入力します。 たとえば、「http://proxy.contoso.com/pac」と入力します。
• アドレス: プロキシ サーバーの IP アドレスまたは完全修飾ホスト名を入力します。 たとえば、「10.0.0.3」または「vpn.contoso.com」と入力します。
• ポート番号: プロキシ サーバーで使用されるポート番号を入力します。 たとえば、「8080」と入力します。
• ローカル アドレスのプロキシをバイパスする: VPN サーバーに接続用のプロキシ サーバーが必要な場合に、この設定が適用されます。 ローカル アドレスにプロキシ サーバーを使用しない場合は、[ 有効] を選択します。

分割トンネリング

• 分割トンネリング: デバイスがトラフィックに応じて使用する接続を決定できるように 、有効 または 無効にします 。 たとえば、ホテルのユーザーは、VPN 接続を使用して仕事用ファイルにアクセスしますが、通常の Web 閲覧にはホテルの標準ネットワークを使用します。
• この VPN 接続の分割トンネリング ルート: サードパーティ VPN プロバイダーのオプション ルートを追加します。 接続先のプレフィックスと、各接続のプレフィックス サイズを入力します。

信頼されたネットワーク検出

信頼されたネットワーク DNS サフィックス: ユーザーが既に信頼されたネットワークに接続されている場合は、デバイスが自動的に他の VPN 接続に接続できないようにすることができます。

DNS サフィックス に、信頼する DNS サフィックス (contoso.com など) を入力し、[追加] を選択します。 必要な数のサフィックスを追加できます。

ユーザーが一覧の DNS サフィックスに接続されている場合、ユーザーは別の VPN 接続に自動的に接続しません。 ユーザーは、入力した DNS サフィックスの信頼済みリストを引き続き使用します。 自動トリガーが設定されていても、信頼されたネットワークは引き続き使用されます。

たとえば、ユーザーが信頼された DNS サフィックスに既に接続されている場合、次の自動トリガーは無視されます。 具体的には、リスト内の DNS サフィックスによって、次のような他のすべての接続オートトリガーが取り消されます。

• 常にオン
• アプリベースのトリガー
• DNS オートトリガー

次の手順

プロファイルは作成されますが、まだ何もしていない可能性があります。 必ずプロファイルを割り当て、その状態を監視してください。

Android、iOS/iPadOS、macOS デバイスで VPN 設定を構成します。