Always On VPN について

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows 10+

Always On VPN を使用すると、次のことができます。

• Windows オペレーティング システムとサードパーティのソリューションを統合して、高度なシナリオを作成します。 サポートされている統合の一覧については、「サポートされている統合」を参照してください。

• トラフィックの種類、アプリケーション、認証方法によって接続を制限してネットワーク セキュリティを維持します。 Always On VPN のセキュリティ機能の一覧については、「セキュリティ機能」を参照してください。

• ユーザーとデバイスで認証された接続の自動トリガーを構成します。 詳細については、「 接続機能」を参照してください。

• 詳細なレベルでルーティング ポリシーを作成してネットワークを制御します (個々のアプリケーションの制御も可能)。 詳細については、「ネットワーク機能」を参照してください。

• 業界標準の構成テンプレートで定義されている標準 XML プロファイル (ProfileXML) を使用して VPN 設定を構成します。 Windows PowerShell、Microsoft Endpoint Configuration Manager、Intune、Windows 構成デザイナー、またはサードパーティのモバイル デバイス管理 (MDM) ツールを使用して、VPN 設定を展開および管理できます。

サポートされている統合

Always On VPN は、ドメインに参加しているデバイス、ドメインに参加していない (ワークグループ)、または Microsoft Entra ID に参加しているデバイスをサポートし、エンタープライズ シナリオと BYOD シナリオの両方をサポートします。 Always On VPN はすべての Windows エディションで利用可能であり、プラットフォーム機能は UWP VPN プラグイン サポートによってサード パーティが利用可能です。

Always On VPN では、次のプラットフォームとの統合がサポートされています。

• Windows 情報保護 (WIP)。 WIP との統合により、ネットワーク ポリシーの適用によって、トラフィックが VPN を経由することを許可されているかどうかを判断できます。 ユーザー プロファイルがアクティブで WIP ポリシーが適用されている場合、Always On VPN が自動的にトリガーされて接続します。 また、WIP を使用する場合、WIP ポリシーとアプリケーション リストが自動的に有効になるため、VPN プロファイルで AppTriggerList ルールと TrafficFilterList ルールを個別に指定する必要はありません (より高度な構成が必要な場合を除きます)。

• Windows Hello for Business。Always On VPN では、証明書ベースの認証モードでの Windows Hello for Business がネイティブにサポートされます。 Windows Hello のネイティブ サポートにより、マシンへのサインインと VPN への接続の両方について、シームレスなシングル サインオン エクスペリエンスが提供されます。 VPN 接続にセカンダリ認証 (ユーザー資格情報) は必要ありません。

• Microsoft Azure の条件付きアクセス プラットフォーム。 Always On VPN クライアントは、Azure の条件付きアクセス プラットフォームと統合して、多要素認証 (MFA)、デバイスのコンプライアンス、またはその 2 つの組み合わせを適用できます。 条件付きアクセス ポリシーに準拠している場合、Microsoft Entra ID は有効期間が短い (デフォルトでは 60 分) IP セキュリティ (IPsec) 認証証明書を発行します。 この IPSec 証明書を後で使用して、VPN ゲートウェイに対する認証を行うことができます。 デバイス コンプライアンスは構成マネージャー/Intune コンプライアンス ポリシーを使用します。これには、接続コンプライアンス チェックの一部としてデバイス正常性構成証明の状態を含めることができます。 詳しくは、「VPN と条件付きアクセス」を参照してください。

• Microsoft Entra 多要素認証プラットフォーム。 リモート認証ダイヤルイン ユーザー サービス (RADIUS) サービスおよび Microsoft Entra 多要素認証用のネットワーク ポリシー サーバー (NPS) 拡張機能と組み合わせると、VPN 認証で強力な MFA を使用できます。

• サードパーティ VPN プラグイン。 ユニバーサル Windows プラットフォーム (UWP) を使用すると、サードパーティの VPN プロバイダーは、すべての Windows デバイスに対して 1 つのアプリケーションを作成できます。 UWP は、デバイス間で保証されたコア API レイヤーを提供し、カーネルレベルのドライバーの作成に伴う複雑さと問題を排除します。 現在、Windows UWP VPN プラグインは、Pulse Secure、F5 Access、Check Point Capsule VPN、FortiClient、SonicWall Mobile Connect、および GlobalProtect 用に存在しています。

セキュリティ機能

Always On VPN では、企業リソースが VPN ゲートウェイに到達するまで認証と暗号化を要求するトンネル ポリシーを使用することで、企業リソースへの接続を提供します。 既定では、トンネル セッションは VPN ゲートウェイで終了します。VPN ゲートウェイは IKEv2 ゲートウェイとしても機能し、エンド ツー エッジのセキュリティを提供します。

標準の VPN 認証オプションの詳細については、VPN 認証オプションに関する記事を参照してください。

Always On VPN では、次のセキュリティ機能がサポートされています。

• 業界標準の IKEv2 VPN プロトコルのサポート。 Always On VPN クライアントは、現在最も広く使用されている業界標準のトンネリング プロトコルの 1 つである IKEv2 をサポートしています。 この互換性により、サードパーティの VPN ゲートウェイとの相互運用性が最大化されます。

• サードパーティの IKEv2 VPN ゲートウェイとの相互運用。 Always On VPN クライアントでは、サードパーティの IKEv2 VPN ゲートウェイとの相互運用がサポートされています。 また、Always On VPN プラットフォームの機能と利点を犠牲にすることなく、カスタム トンネリングの種類と組み合わせた UWP VPN プラグインを使用することで、サードパーティの VPN ゲートウェイとの相互運用性を実現できます。

  Note

  IKEv2 を使用した Always On VPN およびデバイス トンネルとの構成と互換性については、ゲートウェイまたはサードパーティのバック エンド アプライアンス ベンダーに問い合わせください。

• IKEv2 から SSTP へのフォールバック。 VPN プロファイル内の自動トンネル/プロトコルの種類を使用して、ファイアウォールまたはプロキシ サーバーの背後にあるクライアントのフォールバックを構成できます。

  Note

  ユーザー トンネルでは SSTP と IKEv2 がサポートされます。デバイス トンネルでは IKEv2 のみがサポートされ、SSTP フォールバックはサポートされません。

• コンピューター証明書認証のサポート。 Always On VPN プラットフォームの一部として使用できる IKEv2 プロトコル タイプでは、VPN 認証のためにマシンまたはコンピューター証明書の使用が特にサポートされます。

  Note

  IKEv2 は、デバイス トンネルでサポートされる唯一のプロトコルであり、SSTP フォールバックのサポート オプションはありません。 F詳細については、Always On VPN デバイス トンネルの構成に関する記事を参照してください。

• トラフィックとアプリのフィルター。 トラフィックとアプリのファイアウォール規則を使用して、VPN インターフェイスへの接続を許可するトラフィックとアプリを決定するクライアント側ポリシーを指定できます。

  次の 2 種類のフィルタリング規則を使用できます。

  • アプリ ベースの規則。 アプリベースのファイアウォール規則は、指定されたアプリケーションの一覧に基づいているため、これらのアプリから発信されたトラフィックだけが VPN インターフェイスを通過できます。

  • トラフィック ベースの規則。 トラフィック ベースのファイアウォール規則は、ポート、アドレス、プロトコルなどのネットワーク要件に基づいています。 これらの規則は、これらの特定の条件に一致するトラフィックが VPN インターフェイスを通過することを許可されている場合にのみ使用します。

  Note

  これらの規則は、デバイスから送信されるトラフィックにのみ適用されます。 トラフィック フィルターを使用すると、企業ネットワークからクライアントへの着信トラフィックがブロックされます。

• VPN の条件付きアクセス。 条件付きアクセスとデバイス コンプライアンスでは、マネージド デバイスが VPN に接続するために、標準を満たすことが求められる場合があります。 VPN 条件付きアクセスを使用すると、クライアント認証証明書に 1.3.6.1.4.1.311.87 の Microsoft Entra 条件付きアクセス OID が含まれるデバイスへの VPN 接続を制限できます。 NPS サーバーで VPN 接続を直接制限する方法については、ネットワーク ポリシー サーバーでの VPN 条件付きアクセスの構成に関する記事を参照してください。 Microsoft Entra 条件付きアクセスを使用して VPN接続を制限する方法については、「Microsoft Entra ID を使用した VPN 接続の条件付きアクセス」を参照してください。

• 特定のユーザーとデバイスへのリモート アクセスを制限する。 RADIUS の使用時に詳細な承認をサポートするように Always On VPN を構成できます。これには、VPN アクセスを制御するためのセキュリティ グループの使用が含まれます。

• ユーザーがサインインする前にアクセス可能な管理サーバーを定義する。 VPN プロファイルでデバイス トンネル機能 (バージョン 1709 で使用可能 – IKEv2 専用) を使用し、それと組み合わせてトラフィック フィルターを使用します。これにより、デバイス トンネルを介して企業ネットワーク上のどの管理システムにアクセスできるようにするか制御します。

  Note

  デバイス トンネル プロファイルでトラフィック フィルターを有効にすると、デバイス トンネルにより (企業ネットワークからクライアントへの) 着信トラフィックが拒否されます。

• アプリごとの VPN。 アプリごとの VPN は、アプリベースのトラフィック フィルターを使用する場合と似ていますが、アプリケーション トリガーをアプリベースのトラフィック フィルターと組み合わせることで、VPN クライアント上のすべてのアプリケーションではなく、特定のアプリケーションに対して VPN 接続を制限できます。 この機能は、アプリの起動時に自動的に開始されます。

• カスタマイズされた IPsec 暗号化アルゴリズム。 Always On VPN は、RSA と楕円曲線暗号化ベースのカスタム暗号化アルゴリズムの両方の使用をサポートして、政府機関または組織の厳格なセキュリティ ポリシーに対応します。

• ネイティブ拡張認証プロトコル (EAP) のサポート。 Always On VPN は EAP をネイティブでサポートしているため、認証ワークフローの一部として、さまざまな種類の Microsoft およびサードパーティの EAP を使用できます。 EAP は、次の認証タイプに基づいてセキュリティで保護された認証を提供します。

  • ユーザー名とパスワード
  • スマート カード (物理カードと仮想カードの両方)
  • ユーザー証明書
  • Windows Hello for Business
  • EAP RADIUS 統合による MFA のサポート

  アプリケーション ベンダーは、サードパーティの UWP VPN プラグイン認証方法を制御しますが、カスタム資格情報の種類や OTP のサポートなど、さまざまなオプションを使用できます。

• PC とモバイル デバイスにおける Windows Hello for Business の 2 要素認証。 Windows 10 では、PC とモバイル デバイスで強力な 2 要素認証を実現することで、パスワードが Windows Hello for Business に置き換えられています。 詳細については、「Windows 10 で Windows Hello for Business を使用してリモート アクセスを実現する」を参照してください

• Azure Multi-Factor Authentication (MFA)。 Microsoft Entra 多要素認証には、Windows VPN 認証メカニズムと統合できるクラウド バージョンとオンプレミス バージョンがあります。 詳細については、「RADIUS 認証と Azure Multi-Factor Authentication Server の統合」を参照してください。

• トラステッド プラットフォーム モジュール (TPM) キーの構成証明。 TPM で構成証明されたキーを持つユーザー証明書は、エクスポート不可、ハンマリング対策、TPM によって提供されるキーの分離に基づいて、セキュリティが強化されています。

Windows 10 での TPM キーの構成証明の詳細については、「TPM キーの構成証明」を参照してください。

接続機能

Always On VPN では、次の接続機能がサポートされています。

• アプリケーションの自動トリガー。 アプリケーションの起動や名前空間の解決要求に基づいた自動トリガーをサポートするように Always On VPN を構成できます。 自動トリガーを構成する方法の詳細については、「VPN 自動トリガー プロファイル オプション」を参照してください。

• 名前ベースの自動トリガー。 Always On VPN を使用すると、特定のドメイン名クエリが VPN 接続をトリガーするようにルールを定義できます。 Windows デバイスでは、ドメインに参加しているマシンとドメインに参加していないマシンの名前ベースのトリガーがサポートされています (以前は、ドメインに参加していないマシンのみがサポートされていました)。

• 信頼できるネットワーク検出。 Always On VPN には、企業境界内の信頼できるネットワークにユーザーが接続されている場合に VPN 接続がトリガーされないようにするために、この機能が含まれています。 この機能を前述のトリガー方法と組み合わせると、シームレスな "必要な場合にのみ接続する" ユーザー エクスペリエンスを提供できます。

• デバイス トンネル。 Always On VPN を使用すると、デバイスまたはマシン専用の VPN プロファイルを作成できます。 ユーザーがデバイスまたはマシンにログオンした後にのみ接続するユーザー トンネルとは異なり、デバイス トンネルでは、ユーザーがサインインする前に VPN が接続を確立できます。 デバイス トンネルとユーザー トンネルはどちらも VPN プロファイルで独立して動作し、同時に接続できます。また、必要に応じて、異なる認証方法や他の VPN 構成設定を使用できます。 外部管理を使用して DNS にクライアント IP アドレスを動的に登録する方法など、デバイス トンネルを構成する方法については、Always On VPN デバイス トンネルの構成に関する記事を参照してください。

  Note

  デバイス トンネルは、Windows 10 Enterprise または Education バージョン 1709 以降を実行しているドメイン参加デバイスでのみ構成できます。 デバイス トンネルのサードパーティによる制御はサポートされていません。

• Connectivity Assistant Always On VPN はネイティブの Network Connectivity Assistant と完全に統合されており、View All Networks インターフェイスから接続状態を提供します。 Windows 10 Creators Update (バージョン 1703) の登場により、ユーザー トンネルの VPN 接続状態と VPN 接続制御が、(Windows 組み込み VPN クライアントの) ネットワーク ポップアップを通じて使用できます。

ネットワーク機能

Always On VPN では、次のネットワーク機能がサポートされています。

• IPv4 および IPv6 のデュアルスタック サポート。 Always On VPN は、デュアルスタック アプローチでの IPv4 と IPv6 の両方の使用をネイティブにサポートします。 一方のプロトコルに対する特定の依存関係がないため、IPv4/IPv6 アプリケーションの互換性を最大限に高め、将来の IPv6 ネットワークのニーズをサポートできます。

• アプリケーション固有のルーティング ポリシー。 インターネットおよびイントラネットのトラフィック分離に関するグローバル VPN 接続ルーティング ポリシーを定義することに加えて、アプリケーションごとにスプリット トンネルまたは強制トンネルの構成の使用を制御するルーティング ポリシーを追加することができます。 このオプションを使用すると、VPN トンネルを介してどのアプリがどのリソースと対話できるかをより細かく制御できます。

• 除外ルート。 Always On VPN は、ルーティング動作を具体的に制御する除外ルートを指定して、物理ネットワーク インターフェイスを通過せずに VPN のみを通過するトラフィックを定義する機能をサポートしています。

  Note

  除外ルートは、クライアントと同じサブネット内のトラフィック (LinkLocal など) に対して機能します。 除外ルートは、スプリット トンネル設定でのみ機能します。

• 複数ドメインとフォレストのサポート。 Always On VPN プラットフォームでは VPN クライアントが機能するためにドメインに参加している必要がないため、Active Directory Domain Services (AD DS) フォレストまたはドメイン トポロジに依存することはありません。 そのため、グループ ポリシーは、クライアントの構成時に使用しないため、VPN プロファイル設定を定義するための依存関係ではありません。 Active Directory 承認統合は必要ですが、EAP 認証および承認プロセスの一部として RADIUS によって実現できます。

• 短い名前、完全修飾ドメイン名 (FQDN)、および DNS サフィックスを使用した企業リソースの名前解決。Always On VPN では、1 つ以上の DNS サフィックスを VPN 接続および IP アドレス割り当て処理の一部としてネイティブに定義できます (短い名前、FQDN、または DNS 名前空間全体の企業リソースの名前解決を含む)。 また、Always On VPN では、名前空間固有の解決粒度を指定するために、名前解決ポリシー テーブルの使用がサポートされます。

  Note

  名前解決ポリシー テーブルを使用する場合、グローバル サフィックスは使用しないでください。これらのサフィックスでは、短い名前を解決できないためです。

高可用性機能

高可用性のための他のオプションを次に示します。

サーバーの回復力と負荷分散。 高可用性が求められる環境や大量の要求をサポートする環境では、ネットワーク ポリシーサーバー (NPS) 間の負荷分散を構成することで、またリモート アクセス サーバーのクラスタリングを有効にすることで、リモート アクセスのパフォーマンスと回復力を向上できます。

地理的サイトの回復力。 IP ベースの位置情報の場合、Windows Server では DNS でグローバル トラフィック マネージャーを使用できます。 より信頼性の高い地理的な負荷分散を行うには、Microsoft Azure Traffic Manager などの広域負荷分散ソリューションを使用できます。

次のステップ

• VPN サーバーとしてリモート アクセスをインストールする

• チュートリアル: Always On VPN を展開する

• VPN のセキュリティ機能: このトピックでは、VPN のロックダウン、VPN との Windows Information Protection (WIP) の統合、トラフィック フィルターに関する VPN のセキュリティ ガイドラインの概要を説明します。

• VPN 自動トリガー プロファイル オプション: このトピックでは、アプリ トリガー、名前ベースのトリガー、Always On などの、VPN 自動トリガー プロファイル オプションの概要について説明します。

• Always On VPN のトラブルシューティング