Always On VPN の展開Deploy Always On VPN

適用対象: Windows Server (半期チャネル)、Windows Server 2016、Windows Server 2012 R2、Windows 10Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10

このセクションでは、リモートドメインに参加している Windows 10 クライアントコンピューターに対して Always On VPN 接続を展開するためのワークフローについて説明します。In this section, you learn about the workflow for deploying Always On VPN connections for remote domain-joined Windows 10 client computers. VPN ユーザーがリソースにアクセスする方法を微調整するために 条件付きアクセスを構成 する場合は、「 Azure AD を使用した Vpn 接続の条件付きアクセス」を参照してください。If you want to configure conditional access to fine-tune how VPN users access your resources, see Conditional access for VPN connectivity using Azure AD. Azure AD を使用した VPN 接続の条件付きアクセスの詳細については、 Azure Active Directory での条件付きアクセスに関するページを参照してください。To learn more about conditional access for VPN connectivity using Azure AD, see Conditional access in Azure Active Directory.

次の図は Always On VPN をデプロイする場合のさまざまなシナリオのワークフロープロセスを示しています。The following diagram illustrates the workflow process for the different scenarios when deploying Always On VPN:

Always On VPN 展開ワークフローのフローチャートFlow chart of the Always On VPN deployment workflow

重要

この展開では、Active Directory Domain Services、Active Directory 証明書サービス、およびネットワークポリシーサーバーを実行しているコンピューターなどのインフラストラクチャサーバーが Windows Server 2016 を実行している必要はありません。For this deployment, it is not a requirement that your infrastructure servers, such as computers running Active Directory Domain Services, Active Directory Certificate Services, and Network Policy Server, are running Windows Server 2016. Windows server 2012 R2 など、以前のバージョンの Windows Server を、インフラストラクチャサーバーおよびリモートアクセスを実行しているサーバーに使用できます。You can use earlier versions of Windows Server, such as Windows Server 2012 R2, for the infrastructure servers and for the server that is running Remote Access.

手順 1.Always On VPN 展開を計画するStep 1. Plan the Always On VPN Deployment

この手順では、Always On VPN 展開の計画と準備を開始します。In this step, you start to plan and prepare your Always On VPN deployment. を VPN サーバーとして使用する予定のコンピューターにリモートアクセスサーバーの役割をインストールする前に、Before you install the Remote Access server role on the computer you're planning on using as a VPN server. 適切な計画の後で、Always On VPN を展開し、必要に応じて Azure AD を使用して VPN 接続の条件付きアクセスを構成します。After proper planning, you can deploy Always On VPN, and optionally configure conditional access for VPN connectivity using Azure AD.

手順 2.Always On VPN サーバー インフラストラクチャを構成するStep 2. Configure the Always On VPN Server Infrastructure

この手順では、VPN をサポートするために必要なサーバー側コンポーネントをインストールして構成します。In this step, you install and configure the server-side components necessary to support the VPN. サーバー側のコンポーネントには、ユーザー、VPN サーバー、および NPS サーバーによって使用される証明書を配布するように PKI を構成することが含まれます。The server-side components include configuring PKI to distribute the certificates used by users, the VPN server, and the NPS server. また、IKEv2 接続をサポートするように RRAS を構成し、VPN 接続の承認を実行するために NPS サーバーを構成します。You also configure RRAS to support IKEv2 connections and the NPS server to perform authorization for the VPN connections.

サーバーインフラストラクチャを構成するには、次のタスクを実行する必要があります。To configure the server infrastructure, you must perform the following tasks:

  • Active Directory Domain Services で構成されたサーバーの場合: コンピューターとユーザーの両方についてグループポリシーで証明書の自動登録を有効にし、VPN ユーザーグループ、VPN サーバーグループ、および NPS サーバーグループを作成して、各グループにメンバーを追加します。On a server configured with Active Directory Domain Services: Enable certificate autoenrollment in Group Policy for both computers and users, create the VPN Users Group, the VPN Servers Group, and the NPS Servers Group, and add members to each group.
  • Active Directory 証明書サーバーの CA: ユーザー認証、VPN サーバー認証、および NPS サーバー認証証明書テンプレートを作成します。On an Active Directory Certificate Server CA: Create the User Authentication, VPN Server Authentication, and NPS Server Authentication certificate templates.
  • ドメインに参加している Windows 10 クライアントの場合: ユーザー証明書を登録および検証します。On domain-joined Windows 10 clients: Enroll and validate user certificates.

手順 3.Always On VPN 用にリモート アクセス サーバーを構成するStep 3. Configure the Remote Access Server for Always On VPN

この手順では、IKEv2 VPN 接続を許可するようにリモートアクセス VPN を構成し、他の VPN プロトコルからの接続を拒否して、承認された VPN クライアントに接続するために IP アドレスを発行するための静的 IP アドレスプールを割り当てます。In this step, you configure Remote Access VPN to allow IKEv2 VPN connections, deny connections from other VPN protocols, and assign a static IP address pool for the issuance of IP addresses to connecting authorized VPN clients.

RAS を構成するには、次のタスクを実行する必要があります。To configure RAS, you must perform the following tasks:

  • VPN サーバー証明書の登録と検証Enroll and validate the VPN server certificate
  • リモートアクセス VPN のインストールと構成Install and configure Remote Access VPN

手順 4.NPS サーバーをインストールして構成するStep 4. Install and Configure the NPS Server

この手順では、Windows PowerShell またはサーバーマネージャーの役割と機能の追加ウィザードを使用して、ネットワークポリシーサーバー (NPS) をインストールします。In this step, you install Network Policy Server (NPS) by using either Windows PowerShell or the Server Manager Add Roles and Features Wizard. また、NPS が VPN サーバーから受信する接続要求のすべての認証、承認、およびアカウンティングの各作業を処理するように構成します。You also configure NPS to handle all authentication, authorization, and accounting duties for connection request that it receives from the VPN server.

NPS を構成するには、次のタスクを実行する必要があります。To configure NPS, you must perform the following tasks:

  • Active Directory に NPS サーバーを登録するRegister the NPS Server in Active Directory
  • NPS サーバーの RADIUS アカウンティングを構成するConfigure RADIUS Accounting for your NPS Server
  • NPS で VPN サーバーを RADIUS クライアントとして追加するAdd the VPN Server as a RADIUS Client in NPS
  • NPS でネットワークポリシーを構成するConfigure Network Policy in NPS
  • NPS サーバー証明書を自動登録するAutoenroll the NPS Server certificate

手順 5.Always On VPN の DNS とファイアウォールの設定を構成するStep 5. Configure DNS and Firewall Settings for Always On VPN

この手順では、DNS とファイアウォールの設定を構成します。In this step, you configure DNS and Firewall settings. リモート VPN クライアントは、接続するときに、内部のクライアントが使用しているのと同じ DNS サーバーを使用します。これにより、内部ワークステーションの他の部分と同じ方法で名前を解決できます。When remote VPN clients connect, they use the same DNS servers that your internal clients use, which allows them to resolve names in the same manner as the rest of your internal workstations.

手順 6.Windows 10 クライアントの Always On VPN 接続を構成するStep 6. Configure Windows 10 Client Always On VPN Connections

この手順では、VPN 接続を使用して、そのインフラストラクチャと通信するように Windows 10 クライアントコンピューターを構成します。In this step, you configure the Windows 10 client computers to communicate with that infrastructure with a VPN connection. Windows PowerShell、Microsoft Endpoint Configuration Manager、Intune などの Windows 10 VPN クライアントを構成するには、いくつかのテクノロジを使用できます。You can use several technologies to configure Windows 10 VPN clients, including Windows PowerShell, Microsoft Endpoint Configuration Manager, and Intune. 3つすべてに、適切な VPN 設定を構成するための XML VPN プロファイルが必要です。All three require an XML VPN profile to configure the appropriate VPN settings.

手順 7.OptionalVPN 接続の条件付きアクセスの構成Step 7. (Optional) Configure conditional access for VPN connectivity

この省略可能な手順では、承認された VPN ユーザーがリソースにアクセスする方法を微調整できます。In this optional step, you can fine-tune how authorized VPN users access your resources. VPN 接続に Azure AD 条件付きアクセスを使用すると、VPN 接続を保護することができます。With Azure AD conditional access for VPN connectivity, you can help protect the VPN connections. 条件付きアクセスは、ポリシーベースの評価エンジンであり、Azure AD 接続されたアプリケーションに対するアクセス規則を作成できます。Conditional Access is a policy-based evaluation engine that lets you create access rules for any Azure AD connected application. 詳細については、「 Azure Active Directory (Azure AD) 条件付きアクセス」を参照してください。For more information, see Azure Active Directory (Azure AD) conditional access.

次のステップNext step

手順 1.Vpn 展開の Always On を計画する: vpn サーバーとして使用する予定のコンピューターにリモートアクセスサーバーの役割をインストールする前に、次のようにします。Step 1. Plan the Always On VPN deployment: Before you install the Remote Access server role on the computer you're planning on using as a VPN server. 適切な計画の後で、Always On VPN を展開し、必要に応じて Azure AD を使用して VPN 接続の条件付きアクセスを構成します。After proper planning, you can deploy Always On VPN, and optionally configure conditional access for VPN connectivity using Azure AD.