手順 6.Step 6. Windows 10 クライアント Always On VPN 接続を構成するConfigure Windows 10 client Always On VPN connections

適用対象: Windows Server (半期チャネル)、Windows Server 2016、Windows Server 2012 R2、Windows 10Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10

この手順では、ProfileXML オプションとスキーマについて説明し、VPN 接続を使用してそのインフラストラクチャと通信するように Windows 10 クライアントコンピューターを構成します。In this step, you'll learn about the ProfileXML options and schema, and configure the Windows 10 client computers to communicate with that infrastructure with a VPN connection.

Always On VPN クライアントは、PowerShell、SCCM、または Intune を使用して構成できます。You can configure the Always On VPN client through PowerShell, SCCM, or Intune. 3つすべてに、適切な VPN 設定を構成するための XML VPN プロファイルが必要です。All three require an XML VPN profile to configure the appropriate VPN settings. SCCM または Intune を使用せずに組織の PowerShell の登録を自動化できます。Automating PowerShell enrollment for organizations without SCCM or Intune is possible.

注意

グループポリシーには、Windows 10 リモートアクセス Always On VPN クライアントを構成するための管理用テンプレートは含まれていません。Group Policy does not include administrative templates to configure the Windows 10 Remote Access Always On VPN client. ただし、ログオンスクリプトを使用することもできます。However, you can use logon scripts.

ProfileXML の概要ProfileXML overview

ProfileXML は、VPNv2 CSP 内の URI ノードです。ProfileXML is a URI node within the VPNv2 CSP. 各 VPNv2 CSP ノードを個別に構成する (トリガー、ルートリスト、認証プロトコルなど) のではなく、このノードを使用して、すべての設定を単一の XML ブロックとして1つの CSP ノードに配信することで、Windows 10 VPN クライアントを構成します。Rather than configuring each VPNv2 CSP node individually—such as triggers, route lists, and authentication protocols—use this node to configure a Windows 10 VPN client by delivering all the settings as a single XML block to a single CSP node. ProfileXML スキーマは、VPNv2 CSP ノードのスキーマとほぼ同じですが、一部の用語は若干異なります。The ProfileXML schema matches the schema of the VPNv2 CSP nodes almost identically, but some terms are slightly different.

ProfileXML は、この展開で説明されているすべての配信方法 (Windows PowerShell、System Center Configuration Manager、Intune など) で使用します。You use ProfileXML in all the delivery methods this deployment describes, including Windows PowerShell, System Center Configuration Manager, and Intune. このデプロイで ProfileXML VPNv2 CSP ノードを構成するには、次の2つの方法があります。There are two ways to configure the ProfileXML VPNv2 CSP node in this deployment:

  • OMA-URIOMA-DM. 1つの方法として、前のセクション「 VPNV2 CSP nodes」で説明したように、oma-uri を使用して MDM プロバイダーを使用する方法があります。One way is to use an MDM provider using OMA-DM, as discussed earlier in the section VPNv2 CSP nodes. この方法を使用すると、Intune を使用するときに、VPN プロファイル構成 XML マークアップを ProfileXML CSP ノードに簡単に挿入できます。Using this method, you can easily insert the VPN profile configuration XML markup into the ProfileXML CSP node when using Intune.

  • Windows Management Instrumentation (WMI) から CSP へのブリッジWindows Management Instrumentation (WMI)-to-CSP bridge. ProfileXML CSP ノードを構成する2番目の方法は、VPNv2 CSP と ProfileXML ノードにアクセスできる WMI から CSP へのブリッジ ( MDM_VPNv2_01と呼ばれる wmi クラス) を使用することです。The second method of configuring the ProfileXML CSP node is to use the WMI-to-CSP bridge—a WMI class called MDM_VPNv2_01—that can access the VPNv2 CSP and the ProfileXML node. その WMI クラスの新しいインスタンスを作成すると、WMI は CSP を使用して Windows PowerShell と System Center Configuration Manager を使用するときに VPN プロファイルを作成します。When you create a new instance of that WMI class, WMI uses the CSP to create the VPN profile when using Windows PowerShell and System Center Configuration Manager.

これらの構成方法が異なる場合でも、どちらも適切な形式の XML VPN プロファイルを必要とします。Even though these configuration methods differ, both require a properly formatted XML VPN profile. ProfileXML VPNv2 CSP 設定を使用するには、ProfileXML スキーマを使用して XML を構築し、単純なデプロイシナリオに必要なタグを構成します。To use the ProfileXML VPNv2 CSP setting, you construct XML by using the ProfileXML schema to configure the tags necessary for the simple deployment scenario. 詳細については、「 PROFILEXML XSD」を参照してください。For more information, see ProfileXML XSD.

次に、必要な設定と、それぞれに対応する ProfileXML タグについて説明します。Below you find each of the required settings and its corresponding ProfileXML tag. ProfileXML スキーマ内の特定のタグで各設定を構成します。これらの設定はすべて、ネイティブプロファイルの下には存在しません。You configure each setting in a specific tag within the ProfileXML schema, and not all of them are found under the native profile. 追加のタグ配置については、「ProfileXML スキーマ」を参照してください。For additional tag placement, see the ProfileXML schema.

重要

他の大文字または小文字で、次のタグには、'true' には、VPN プロファイルの部分構成が得られます。Any other combination of upper or lower case for 'true' in the following tags results in a partial configuration of the VPN profile:

<AlwaysOn>true</AlwaysOn><AlwaysOn>true</AlwaysOn>
<RememberCredentials>true</RememberCredentials ><RememberCredentials>true</RememberCredentials>

接続の種類: ネイティブ IKEv2Connection type: Native IKEv2

ProfileXML 要素:ProfileXML element:

<NativeProtocolType>IKEv2</NativeProtocolType>

ルーティング: 分割トンネリングRouting: Split tunneling

ProfileXML 要素:ProfileXML element:

<RoutingPolicyType>SplitTunnel</RoutingPolicyType>

名前解決: ドメイン名情報の一覧と DNS サフィックスName resolution: Domain Name Information List and DNS suffix

ProfileXML 要素:ProfileXML elements:

<DomainNameInformation>
<DomainName>.corp.contoso.com</DomainName>
<DnsServers>10.10.1.10,10.10.1.50</DnsServers>
</DomainNameInformation>

<DnsSuffix>corp.contoso.com</DnsSuffix>

トリガー: Always On と信頼されたネットワーク検出Triggering: Always On and Trusted Network Detection

ProfileXML 要素:ProfileXML elements:

<AlwaysOn>true</AlwaysOn>
<TrustedNetworkDetection>corp.contoso.com</TrustedNetworkDetection>

認証: TPM で保護されたユーザー証明書を使用した PEAP-TLSAuthentication: PEAP-TLS with TPM-protected user certificates

ProfileXML 要素:ProfileXML elements:

<Authentication>
<UserMethod>Eap</UserMethod>
<Eap>
<Configuration>...</Configuration>
</Eap>
</Authentication>

単純なタグを使用すると、一部の VPN 認証メカニズムを構成できます。You can use simple tags to configure some VPN authentication mechanisms. しかし、EAP と PEAP はさらに関係しています。However, EAP and PEAP are more involved. XML マークアップを作成する最も簡単な方法は、EAP 設定を使用して VPN クライアントを構成し、その構成を XML にエクスポートすることです。The easiest way to create the XML markup is to configure a VPN client with its EAP settings, and then export that configuration to XML.

EAP 設定の詳細については、「 eap の構成」を参照してください。For more information about EAP settings, see EAP configuration.

テンプレート接続プロファイルを手動で作成するManually create a template connection profile

この手順では、保護された拡張認証プロトコル (PEAP) を使用して、クライアントとサーバー間の通信をセキュリティで保護します。In this step, you use Protected Extensible Authentication Protocol (PEAP) to secure communication between the client and the server. 単純なユーザー名とパスワードとは異なり、この接続を機能させるには、VPN プロファイルに一意の EAPConfiguration セクションが必要です。Unlike a simple user name and password, this connection requires a unique EAPConfiguration section in the VPN profile to work.

XML マークアップを最初から作成する方法を説明する代わりに、Windows の設定を使用して、テンプレート VPN プロファイルを作成します。Instead of describing how to create the XML markup from scratch, you use Settings in Windows to create a template VPN profile. テンプレート VPN プロファイルを作成した後、Windows PowerShell を使用して、そのテンプレートの EAPConfiguration 部分を使用して、後でデプロイする最終的な ProfileXML を作成します。After creating the template VPN profile, you use Windows PowerShell to consume the EAPConfiguration portion from that template to create the final ProfileXML that you deploy later in the deployment.

NPS 証明書の設定を記録するRecord NPS certificate settings

テンプレートを作成する前に、サーバーの証明書から NPS サーバーのホスト名または完全修飾ドメイン名 (FQDN) を確認し、証明書を発行した CA の名前を書き留めます。Before creating the template, take note the hostname or fully qualified domain name (FQDN) of the NPS server from the server's certificate and the name of the CA that issued the certificate.

作業Procedure:

  1. NPS サーバーで、[ネットワークポリシーサーバー] を開きます。On your NPS server, open Network Policy Server.

  2. NPS コンソールの ポリシー で、ネットワークポリシー をクリックします。In the NPS console, under Policies, click Network Policies.

  3. [仮想プライベートネットワーク (VPN) 接続] を右クリックし、 [プロパティ] をクリックします。Right-click Virtual Private Network (VPN) Connections, and click Properties.

  4. [制約] タブをクリックし、 [認証方法] をクリックします。Click the Constraints tab, and click Authentication Methods.

  5. EAP の種類 で、 Microsoft: 保護された eap (PEAP) をクリックし、編集 をクリックします。In EAP Types, click Microsoft: Protected EAP (PEAP), and click Edit.

  6. および発行者に発行された証明書の値を記録します。Record the values for Certificate issued to and Issuer.

    これらの値は、今後の VPN テンプレート構成で使用します。You use these values in the upcoming VPN template configuration. たとえば、サーバーの FQDN が nps01.corp.contoso.com で、ホスト名が NPS01.XML である場合、証明書名はサーバーの FQDN または DNS 名 (たとえば、nps01.corp.contoso.com) に基づいています。For example, if the server's FQDN is nps01.corp.contoso.com and the hostname is NPS01, the certificate name is based upon the FQDN or DNS name of the server—for example, nps01.corp.contoso.com.

  7. [保護された EAP のプロパティの編集] ダイアログボックスをキャンセルします。Cancel the Edit Protected EAP Properties dialog box.

  8. [仮想プライベートネットワーク (VPN) 接続のプロパティ] ダイアログボックスをキャンセルします。Cancel the Virtual Private Network (VPN) Connections Properties dialog box.

  9. ネットワークポリシーサーバーを閉じます。Close Network Policy Server.

注意

複数の NPS サーバーがある場合は、各サーバーでこれらの手順を実行して、VPN プロファイルがそれぞれを使用する必要があることを確認できるようにします。If you have multiple NPS servers, complete these steps on each one so that the VPN profile can verify each of them should they be used.

ドメインに参加しているクライアントコンピューターでテンプレート VPN プロファイルを構成するConfigure the template VPN profile on a domain-joined client computer

これで必要な情報が得られたので、ドメインに参加しているクライアントコンピューターでテンプレート VPN プロファイルを構成します。Now that you have the necessary information configure the template VPN profile on a domain-joined client computer. プロセスのこの部分に使用するユーザーアカウントの種類 (つまり、標準ユーザーまたは管理者) は関係ありません。The type of user account you use (that is, standard user or administrator) for this part of the process does not matter.

ただし、証明書の自動登録を構成してからコンピューターを再起動していない場合は、テンプレートの VPN 接続を構成してから、使用可能な証明書が登録されていることを確認してください。However, if you haven't restarted the computer since configuring certificate autoenrollment, do so before configuring the template VPN connection to ensure you have a usable certificate enrolled on it.

注意

NRPT ルール、Always On、信頼されたネットワーク検出など、VPN の詳細プロパティを手動で追加することはできません。次の手順では、vpn サーバーの構成を確認するためのテスト VPN 接続を作成し、サーバーへの VPN 接続を確立します。There is no way to manually add any advanced properties of VPN, such as NRPT rules, Always On, Trusted network detection, etc. In the next step, you create a test VPN connection to verify the configuration of the VPN server and that you can establish a VPN connection to the server.

単一のテスト VPN 接続を手動で作成するManually create a single test VPN connection

  1. ドメインに参加しているクライアントコンピューターに、 VPN ユーザーグループのメンバーとしてサインインします。Sign in to a domain-joined client computer as a member of the VPN Users group.

  2. [スタート] メニューで「 VPN」と入力し、enter キーを押します。On the Start menu, type VPN, and press Enter.

  3. 詳細ウィンドウで、 [VPN 接続の追加] をクリックします。In the details pane, click Add a VPN connection.

  4. VPN プロバイダー の一覧で、 Windows (ビルトイン) をクリックします。In the VPN Provider list, click Windows (built-in).

  5. [接続名] に「 Template」と入力します。In Connection Name, type Template.

  6. [サーバー名またはアドレス] に、VPN サーバーの外部FQDN (たとえば、 vpn.contoso.com) を入力します。In Server name or address, type the external FQDN of your VPN server (for example, vpn.contoso.com).

  7. [保存] をクリックします。Click Save.

  8. 関連設定 の アダプターオプションの変更 をクリックします。Under Related Settings, click Change adapter options.

  9. [テンプレート] を右クリックし、 [プロパティ] をクリックします。Right-click Template, and click Properties.

  10. [セキュリティ] タブの [VPN の種類] で、 [IKEv2] をクリックします。On the Security tab, in Type of VPN, click IKEv2.

  11. [データの暗号化] で、[最強の暗号化] をクリックします。In Data encryption, click Maximum strength encryption.

  12. [拡張認証プロトコル (EAP) を使用する] をクリックします。次に、 [拡張認証プロトコル (EAP) を使用する] で、 [Microsoft: 保護された eap (PEAP) (暗号化が有効)] をクリックします。Click Use Extensible Authentication Protocol (EAP); then, in Use Extensible Authentication Protocol (EAP), click Microsoft: Protected EAP (PEAP) (encryption enabled).

  13. プロパティ をクリックして 保護された EAP のプロパティ ダイアログボックスを開き、次の手順を実行します。Click Properties to open the Protected EAP Properties dialog box, and complete the following steps:

    a.a. [次のサーバーに接続する] ボックスに、このセクションの前の「nps サーバーの認証設定で取得した nps サーバーの名前を入力します (たとえば、nps01.xml)。In the Connect to these servers box, type the name of the NPS server that you retrieved from the NPS server authentication settings earlier in this section (for example, NPS01).

    注意

    入力するサーバー名は、証明書の名前と一致している必要があります。The server name you type must match the name in the certificate. この名前は、このセクションで既に復旧しています。You recovered this name earlier in this section. 名前が一致しない場合、接続は失敗し、"RAS/VPN サーバーで構成されたポリシーにより接続が禁止されました。" という内容が示されます。If the name does not match, the connection will fail, stating that “The connection was prevented because of a policy configured on your RAS/VPN server.”

    b.b. [信頼されたルート証明機関] で、NPS サーバーの証明書を発行したルート CA (たとえば、contoso-CA) を選択します。Under Trusted Root Certification Authorities, select the root CA that issued the NPS server's certificate (for example, contoso-CA).

    c.c. 接続前の通知 で、新しいサーバーまたは信頼された ca を承認するためにユーザーに確認しない をクリックします。In Notifications before connecting, click Don't ask user to authorize new servers or trusted CAs.

    d.d. 認証方法の選択 で、スマートカードまたはその他の証明書 をクリックし、構成 をクリックします。In Select Authentication Method, click Smart Card or other certificate, and click Configure. [スマートカードまたはその他の証明書のプロパティ] ダイアログボックスが開きます。The Smart Card or other Certificate Properties dialog opens.

    e.e. [このコンピューターの証明書を使用する] をクリックします。Click Use a certificate on this computer.

    f.f. [次のサーバーに接続する] ボックスに、前の手順で NPS サーバーの認証設定から取得した NPS サーバーの名前を入力します。In the Connect to these servers box, enter the name of the NPS server you retrieved from the NPS server authentication settings in the previous steps.

    g.g. [信頼されたルート証明機関] で、NPS サーバーの証明書を発行したルート CA を選択します。Under Trusted Root Certification Authorities, select the root CA that issued the NPS server's certificate.

    h.h. [新しいサーバーまたは信頼された証明機関を承認するようにユーザーに要求しない] チェックボックスをオンにします。Select the Don't prompt user to authorize new servers or trusted certification authorities check box.

    i.i. [OK] をクリックして、[スマートカードまたはその他の証明書のプロパティ] ダイアログボックスを閉じます。Click OK to close the Smart Card or other Certificate Properties dialog box.

    j.j. [OK] をクリックして、[保護された EAP のプロパティ] ダイアログボックスを閉じます。Click OK to close the Protected EAP Properties dialog box.

  14. [ OK] をクリックして [テンプレートのプロパティ] ダイアログボックスを閉じます。Click OK to close the Template Properties dialog box.

  15. [ネットワーク接続] ウィンドウを閉じます。Close the Network Connections window.

  16. 設定 で、テンプレート をクリックし、接続 をクリックして VPN をテストします。In Settings, test the VPN by clicking Template, and clicking Connect.

重要

VPN サーバーへのテンプレート VPN 接続が正常に行われていることを確認します。Make sure that the template VPN connection to your VPN server is successful. これにより、次の例で使用する前に、EAP 設定が正しいことが確認されます。Doing so ensures that the EAP settings are correct before you use them in the next example. 続行する前に、少なくとも1回接続する必要があります。そうしないと、VPN に接続するために必要なすべての情報がプロファイルに含まれません。You must connect at least once before continuing; otherwise, the profile will not contain all the information necessary to connect to the VPN.

ProfileXML 構成ファイルを作成するCreate the ProfileXML configuration files

このセクションを完了する前に、「テンプレート接続プロファイルを手動で作成する」で説明しているテンプレート VPN 接続を作成し、テストしたことを確認してください。Before completing this section, make sure you have created and tested the template VPN connection that the section Manually create a template connection profile describes. Vpn 接続のテストは、VPN への接続に必要なすべての情報がプロファイルに含まれていることを確認するために必要です。Testing the VPN connection is necessary to ensure that the profile contains all the information required to connect to the VPN.

リスト1の Windows PowerShell スクリプトでは、デスクトップ上に2つのファイルが作成されます。どちらにも、前に作成したテンプレート接続プロファイルに基づくEapconfigurationタグが含まれています。The Windows PowerShell script in Listing 1 creates two files on the desktop, both of which contain EAPConfiguration tags based on the template connection profile you created previously:

  • VPN_Profile .xml。VPN_Profile.xml. このファイルには、VPNv2 CSP で ProfileXML ノードを構成するために必要な XML マークアップが含まれています。This file contains the XML markup required to configure the ProfileXML node in the VPNv2 CSP. Intune などの OMA-URI と互換性のある MDM サービスでこのファイルを使用します。Use this file with OMA-DM–compatible MDM services, such as Intune.

  • VPN_Profile。VPN_Profile.ps1. このファイルは、クライアントコンピューターで実行できる Windows PowerShell スクリプトで、VPNv2 CSP の ProfileXML ノードを構成します。This file is a Windows PowerShell script that you can run on client computers to configure the ProfileXML node in the VPNv2 CSP. System Center Configuration Manager を使用してこのスクリプトを展開することで、CSP を構成することもできます。You can also configure the CSP by deploying this script through System Center Configuration Manager. このスクリプトは、Hyper-v の拡張セッションなど、リモートデスクトップセッションでは実行できません。You cannot run this script in a Remote Desktop session, including a Hyper-V enhanced session.

重要

次のコマンドの例では、Windows 10 ビルド1607以降が必要です。The example commands below require Windows 10 Build 1607 or later.

VPN_Profile .xml と VPN_Proflie を作成します。Create VPN_Profile.xml and VPN_Proflie.ps1

  1. 「」セクションで説明されているように、同じユーザーアカウントで、テンプレート VPNプロファイルが含まれているドメインに参加しているクライアントコンピューターにサインインします。Sign in to the domain-joined client computer containing the template VPN profile with the same user account that the section Manually create a template connection profile described.

  2. リスト1を Windows PowerShell integrated scripting environment (ISE) に貼り付け、コメントに記載されているパラメーターをカスタマイズします。Paste Listing 1 into Windows PowerShell integrated scripting environment (ISE), and customize the parameters described in the comments. これらは、$Template、$ProfileName、$Servers、$DnsSuffix、$DomainName、$TrustedNetwork、および $DNSServers です。These are $Template, $ProfileName, $Servers, $DnsSuffix, $DomainName, $TrustedNetwork, and $DNSServers. 各設定の詳細については、コメントに記載されています。A full description of each setting is in the comments.

  3. スクリプトを実行して、デスクトップにVPN_Profile .xmlVPN_Profileを生成します。Run the script to generate VPN_Profile.xml and VPN_Profile.ps1 on the desktop.

リスト 1.Listing 1. MakeProfile. ps1 についてUnderstanding MakeProfile.ps1

このセクションでは、VPN プロファイルの作成方法を理解するために使用できるコード例について説明します。具体的には、VPNv2 CSP で ProfileXML を構成するために使用します。This section explains the example code that you can use to gain an understanding of how to create a VPN Profile, specifically for configuring ProfileXML in the VPNv2 CSP.

このコード例からスクリプトをアセンブルしてスクリプトを実行すると、スクリプトによって2つのファイル (VPN_Profile .xml と VPN_Profile が生成されます。After you assemble a script from this example code and run the script, the script generates two files: VPN_Profile.xml and VPN_Profile.ps1. VPN_Profile を使用して、OMA-URI 準拠の MDM サービス (Microsoft Intune など) で ProfileXML を構成します。Use VPN_Profile.xml to configure ProfileXML in OMA-DM compliant MDM services, such as Microsoft Intune.

Windows PowerShell または System Center Configuration Manager でVPN_Profile 、windows 10 デスクトップで ProfileXML を構成するには、このスクリプトを使用します。Use the VPN_Profile.ps1 script in Windows PowerShell or System Center Configuration Manager to configure ProfileXML on the Windows 10 desktop.

注意

サンプルスクリプト全体を表示するには、「 Makeprofile. Ps1 Full script」セクションを参照してください。To view the full example script, see the section MakeProfile.ps1 Full Script.

パラメーターParameters

次のパラメーターを構成します。Configure the following parameters:

$Template$Template. EAP 構成の取得元となるテンプレートの名前。The name of the template from which to retrieve the EAP configuration.

$ProfileName$ProfileName. プロファイルの一意の英数字識別子。Unique alphanumeric identifier for the profile. プロファイル名にスラッシュ (/) を含めることはできません。The profile name must not include a forward slash (/). プロファイル名にスペースや英数字以外の文字が含まれている場合は、URL エンコード標準に従って適切にエスケープする必要があります。If the profile name has a space or other non-alphanumeric character, it must be properly escaped according to the URL encoding standard.

$Servers$Servers. VPN ゲートウェイのパブリックまたはルーティング可能な IP アドレスまたは DNS 名。Public or routable IP address or DNS name for the VPN gateway. ゲートウェイの外部 IP、またはサーバーファームの仮想 IP を指すことができます。It can point to the external IP of a gateway or a virtual IP for a server farm. 例、208.147.66.130 または vpn.contoso.com。Examples, 208.147.66.130 or vpn.contoso.com.

$DnsSuffix$DnsSuffix. 1つ以上のコンマで区切られた DNS サフィックスを指定します。Specifies one or more commas separated DNS suffixes. 一覧の最初のは、VPN インターフェイスのプライマリ接続固有の DNS サフィックスとしても使用されます。The first in the list is also used as the primary connection-specific DNS suffix for the VPN Interface. リスト全体が SuffixSearchList にも追加されます。The entire list will also be added into the SuffixSearchList.

$DomainName$DomainName. ポリシーが適用される名前空間を示すために使用されます。Used to indicate the namespace to which the policy applies. 名前クエリが発行されると、DNS クライアントは、クエリ内の名前を DomainNameInformationList の下のすべての名前空間と比較して一致を検索します。When a Name query is issued, the DNS client compares the name in the query to all of the namespaces under DomainNameInformationList to find a match. このパラメーターには、次のいずれかの型を指定できます。This parameter can be one of the following types:

  • FQDN-完全修飾ドメイン名FQDN - Fully qualified domain name
  • サフィックス-DNS 解決のための shortname クエリに追加されるドメインサフィックス。Suffix - A domain suffix that will be appended to the shortname query for DNS resolution. サフィックスを指定するには、ピリオド (.) を DNS サフィックスに付加します。To specify a suffix, prepend a period (.) to the DNS suffix.

$DNSServers$DNSServers. 名前空間に使用する、コンマ区切りの DNS サーバー IP アドレスの一覧。List of comma-separated DNS Server IP addresses to use for the namespace.

$TrustedNetwork$TrustedNetwork. 信頼されたネットワークを識別するためのコンマ区切りの文字列。Comma-separated string to identify the trusted network. ユーザーが会社のワイヤレスネットワーク上にいる場合、保護されたリソースにデバイスが直接アクセスできる場合、VPN は自動的には接続しません。VPN does not connect automatically when the user is on their corporate wireless network where protected resources are directly accessible to the device.

次のコマンドで使用されるパラメーターの値の例を次に示します。The following are example values for parameters used in the commands below. 環境に合わせてこれらの値を変更してください。Ensure that you change these values for your environment.

$TemplateName = 'Template'
$ProfileName = 'Contoso AlwaysOn VPN'
$Servers = 'vpn.contoso.com'
$DnsSuffix = 'corp.contoso.com'
$DomainName = '.corp.contoso.com'
$DNSServers = '10.10.0.2,10.10.0.3'
$TrustedNetwork = 'corp.contoso.com'

プロファイル XML の準備と作成Prepare and create the profile XML

次のコマンド例では、テンプレートプロファイルから EAP 設定を取得します。The following example commands get EAP settings from the template profile:

$Connection = Get-VpnConnection -Name $TemplateName
if(!$Connection)
{
$Message = "Unable to get $TemplateName connection profile: $_"
Write-Host "$Message"
exit
}
$EAPSettings= $Connection.EapConfigXmlStream.InnerXml

プロファイル XML を作成するCreate the profile XML

重要

他の大文字または小文字で、次のタグには、'true' には、VPN プロファイルの部分構成が得られます。Any other combination of upper or lower case for 'true' in the following tags results in a partial configuration of the VPN profile:

<AlwaysOn>true</AlwaysOn><AlwaysOn>true</AlwaysOn>
<RememberCredentials>true</RememberCredentials ><RememberCredentials>true</RememberCredentials>

$ProfileXML = @("
<VPNProfile>
  <DnsSuffix>$DnsSuffix</DnsSuffix>
  <NativeProfile>
<Servers>$Servers</Servers>
<NativeProtocolType>IKEv2</NativeProtocolType>
<Authentication>
  <UserMethod>Eap</UserMethod>
  <Eap>
    <Configuration>
     $EAPSettings
    </Configuration>
  </Eap>
</Authentication>
<RoutingPolicyType>SplitTunnel</RoutingPolicyType>
  </NativeProfile>
  <AlwaysOn>true</AlwaysOn>
  <RememberCredentials>true</RememberCredentials>
  <TrustedNetworkDetection>$TrustedNetwork</TrustedNetworkDetection>
  <DomainNameInformation>
<DomainName>$DomainName</DomainName>
<DnsServers>$DNSServers</DnsServers>
</DomainNameInformation>
</VPNProfile>
")

Intune の出力 VPN_Profile .xmlOutput VPN_Profile.xml for Intune

次のコマンド例を使用すると、プロファイル XML ファイルを保存できます。You can use the following example command to save the profile XML file:

$ProfileXML | Out-File -FilePath ($env:USERPROFILE + '\desktop\VPN_Profile.xml')

デスクトップおよび System Center Configuration Manager 用の VPN_Profile を出力します。Output VPN_Profile.ps1 for the desktop and System Center Configuration Manager

次のコード例では、VPNv2 CSP の ProfileXML ノードを使用して、AlwaysOn IKEv2 VPN 接続を構成します。The following example code configures an AlwaysOn IKEv2 VPN Connection by using the ProfileXML node in the VPNv2 CSP.

このスクリプトは、Windows 10 デスクトップまたは System Center Configuration Manager で使用できます。You can use this script on the Windows 10 desktop or in System Center Configuration Manager.

キー VPN プロファイルパラメーターの定義Define key VPN profile parameters

$Script = '$ProfileName = ''' + $ProfileName + ''''
$ProfileNameEscaped = $ProfileName -replace ' ', '%20'

プロファイル内の特殊文字をエスケープするEscape special characters in the profile

$ProfileXML = $ProfileXML -replace '<', '&lt;'
$ProfileXML = $ProfileXML -replace '>', '&gt;'
$ProfileXML = $ProfileXML -replace '"', '&quot;'

WMI から CSP へのブリッジプロパティを定義するDefine WMI-to-CSP Bridge properties

$nodeCSPURI = "./Vendor/MSFT/VPNv2"
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_VPNv2_01"

VPN プロファイルのユーザー SID を決定する:Determine user SID for VPN profile:

try
{
$username = Gwmi -Class Win32_ComputerSystem | select username
$objuser = New-Object System.Security.Principal.NTAccount($username.username)
$sid = $objuser.Translate([System.Security.Principal.SecurityIdentifier])
$SidValue = $sid.Value
$Message = "User SID is $SidValue."
Write-Host "$Message"
}
catch [Exception]
{
$Message = "Unable to get user SID. User may be logged on over Remote Desktop: $_"
Write-Host "$Message"
exit
}

WMI セッションを定義します。Define WMI session:

$session = New-CimSession
$options = New-Object Microsoft.Management.Infrastructure.Options.CimOperationOptions
$options.SetCustomOption("PolicyPlatformContext_PrincipalContext_Type", "PolicyPlatform_UserContext", $false)
$options.SetCustomOption("PolicyPlatformContext_PrincipalContext_Id", "$SidValue", $false)

以前の VPN プロファイルを検出して削除する:Detect and delete previous VPN profile:

try
{
  $deleteInstances = $session.EnumerateInstances($namespaceName, $className, $options)
  foreach ($deleteInstance in $deleteInstances)
  {
    $InstanceId = $deleteInstance.InstanceID
    if ("$InstanceId" -eq "$ProfileNameEscaped")
    {
        $session.DeleteInstance($namespaceName, $deleteInstance, $options)
        $Message = "Removed $ProfileName profile $InstanceId"
        Write-Host "$Message"
    } else {
        $Message = "Ignoring existing VPN profile $InstanceId"
        Write-Host "$Message"
    }
  }
}
catch [Exception]
{
  $Message = "Unable to remove existing outdated instance(s) of $ProfileName profile: $_"
  Write-Host "$Message"
  exit
}

VPN プロファイルを作成します。Create the VPN profile:

try
{
  $newInstance = New-Object Microsoft.Management.Infrastructure.CimInstance $className, $namespaceName
  $property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ParentID", "$nodeCSPURI", "String", "Key")
  $newInstance.CimInstanceProperties.Add($property)
  $property = [Microsoft.Management.Infrastructure.CimProperty]::Create("InstanceID", "$ProfileNameEscaped", "String", "Key")
  $newInstance.CimInstanceProperties.Add($property)
  $property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ProfileXML", "$ProfileXML", "String", "Property")
  $newInstance.CimInstanceProperties.Add($property)
  $session.CreateInstance($namespaceName, $newInstance, $options)
  $Message = "Created $ProfileName profile."


  Write-Host "$Message"
}
catch [Exception]
{
$Message = "Unable to create $ProfileName profile: $_"
Write-Host "$Message"
exit
}

$Message = "Script Complete"
Write-Host "$Message"

プロファイル XML ファイルの保存Save the profile XML file

$Script | Out-File -FilePath ($env:USERPROFILE + '\desktop\VPN_Profile.ps1')

$Message = "Successfully created VPN_Profile.xml and VPN_Profile.ps1 on the desktop."
Write-Host "$Message"

MakeProfile. ps1 フルスクリプトMakeProfile.ps1 Full Script

ほとんどの例では、ProfileXML を MDM_VPNv2_01 WMI クラスの新しいインスタンスに挿入するために、Windows PowerShell コマンドレットの設定を使用しています。Most examples use the Set-WmiInstance Windows PowerShell cmdlet to insert ProfileXML into a new instance of the MDM_VPNv2_01 WMI class.

ただし、エンドユーザーのコンテキストでパッケージを実行することはできないため、System Center Configuration Manager では機能しません。However, this does not work in System Center Configuration Manager because you cannot run the package in the end users' context. そのため、このスクリプトでは、Common Information Model を使用してユーザーのコンテキストで WMI セッションを作成し、そのセッションで MDM_VPNv2_01 WMI クラスの新しいインスタンスを作成します。Therefore, this script uses the Common Information Model to create a WMI session in the user's context, and then it creates a new instance of the MDM_VPNv2_01 WMI class in that session. この WMI クラスは、WMI から CSP へのブリッジを使用して、VPNv2 CSP を構成します。This WMI class uses the WMI-to-CSP bridge to configure the VPNv2 CSP. したがって、クラスインスタンスを追加することで、CSP を構成します。Therefore, by adding the class instance, you configure the CSP.

重要

WMI から CSP へのブリッジには、設計上、ローカルの管理者権限が必要です。WMI-to-CSP bridge requires local admin rights, by design. ユーザーごとの VPN プロファイルを展開するには、SCCM または MDM を使用する必要があります。To deploy per user VPN profiles you should be using SCCM or MDM.

注意

スクリプト VPN_Profile は、現在のユーザーの SID を使用して、ユーザーのコンテキストを識別します。The script VPN_Profile.ps1 uses the current user's SID to identify the user's context. リモートデスクトップセッションで使用できる SID がないため、スクリプトはリモートデスクトップセッションでは機能しません。Because no SID is available in a Remote Desktop session, the script does not work in a Remote Desktop session. 同様に、Hyper-v の拡張セッションでは機能しません。Likewise, it does not work in a Hyper-V enhanced session. 仮想マシンでリモートアクセス Always On VPN をテストしている場合は、このスクリプトを実行する前に、クライアント Vm で拡張セッションを無効にしてください。If you're testing a Remote Access Always On VPN in virtual machines, disable enhanced session on your client VMs before running this script.

次のサンプルスクリプトには、前のセクションのすべてのコード例が含まれています。The following example script includes all of the code examples from previous sections. 例の値を実際の環境に適した値に変更してください。Ensure that you change example values to values that are appropriate for your environment.

 $TemplateName = 'Template'
 $ProfileName = 'Contoso AlwaysOn VPN'
 $Servers = 'vpn.contoso.com'
 $DnsSuffix = 'corp.contoso.com'
 $DomainName = '.corp.contoso.com'
 $DNSServers = '10.10.0.2,10.10.0.3'
 $TrustedNetwork = 'corp.contoso.com'

 
 $Connection = Get-VpnConnection -Name $TemplateName
 if(!$Connection)
 {
 $Message = "Unable to get $TemplateName connection profile: $_"
 Write-Host "$Message"
 exit
 }
 $EAPSettings= $Connection.EapConfigXmlStream.InnerXml
 
 $ProfileXML = @("
 <VPNProfile>
   <DnsSuffix>$DnsSuffix</DnsSuffix>
   <NativeProfile>
 <Servers>$Servers</Servers>
 <NativeProtocolType>IKEv2</NativeProtocolType>
 <Authentication>
   <UserMethod>Eap</UserMethod>
   <Eap>
    <Configuration>
     $EAPSettings
    </Configuration>
   </Eap>
 </Authentication>
 <RoutingPolicyType>SplitTunnel</RoutingPolicyType>
   </NativeProfile>
 <AlwaysOn>true</AlwaysOn>
 <RememberCredentials>true</RememberCredentials>
 <TrustedNetworkDetection>$TrustedNetwork</TrustedNetworkDetection>
   <DomainNameInformation>
 <DomainName>$DomainName</DomainName>
 <DnsServers>$DNSServers</DnsServers>
 </DomainNameInformation>
 </VPNProfile>
 ")
 
 $ProfileXML | Out-File -FilePath ($env:USERPROFILE + '\desktop\VPN_Profile.xml')
 
  $Script = @("
   `$ProfileName = '$ProfileName'
   `$ProfileNameEscaped = `$ProfileName -replace ' ', '%20'

   `$ProfileXML = '$ProfileXML'

   `$ProfileXML = `$ProfileXML -replace '<', '&lt;'
   `$ProfileXML = `$ProfileXML -replace '>', '&gt;'
   `$ProfileXML = `$ProfileXML -replace '`"', '&quot;'

   `$nodeCSPURI = `"./Vendor/MSFT/VPNv2`"
   `$namespaceName = `"root\cimv2\mdm\dmmap`"
   `$className = `"MDM_VPNv2_01`"

   try
   {
   `$username = Gwmi -Class Win32_ComputerSystem | select username
   `$objuser = New-Object System.Security.Principal.NTAccount(`$username.username)
   `$sid = `$objuser.Translate([System.Security.Principal.SecurityIdentifier])
   `$SidValue = `$sid.Value
   `$Message = `"User SID is `$SidValue.`"
   Write-Host `"`$Message`"
   }
   catch [Exception]
   {
   `$Message = `"Unable to get user SID. User may be logged on over Remote Desktop: `$_`"
   Write-Host `"`$Message`"
   exit
   }

   `$session = New-CimSession
   `$options = New-Object Microsoft.Management.Infrastructure.Options.CimOperationOptions
   `$options.SetCustomOption(`"PolicyPlatformContext_PrincipalContext_Type`", `"PolicyPlatform_UserContext`", `$false)
   `$options.SetCustomOption(`"PolicyPlatformContext_PrincipalContext_Id`", `"`$SidValue`", `$false)

   try
   {
 `$deleteInstances = `$session.EnumerateInstances(`$namespaceName, `$className, `$options)
 foreach (`$deleteInstance in `$deleteInstances)
 {
     `$InstanceId = `$deleteInstance.InstanceID
     if (`"`$InstanceId`" -eq `"`$ProfileNameEscaped`")
     {
         `$session.DeleteInstance(`$namespaceName, `$deleteInstance, `$options)
         `$Message = `"Removed `$ProfileName profile `$InstanceId`"
         Write-Host `"`$Message`"
     } else {
         `$Message = `"Ignoring existing VPN profile `$InstanceId`"
         Write-Host `"`$Message`"
     }
 }
   }
   catch [Exception]
   {
 `$Message = `"Unable to remove existing outdated instance(s) of `$ProfileName profile: `$_`"
 Write-Host `"`$Message`"
 exit
   }

   try
   {
 `$newInstance = New-Object Microsoft.Management.Infrastructure.CimInstance `$className, `$namespaceName
 `$property = [Microsoft.Management.Infrastructure.CimProperty]::Create(`"ParentID`", `"`$nodeCSPURI`", `"String`", `"Key`")
 `$newInstance.CimInstanceProperties.Add(`$property)
 `$property = [Microsoft.Management.Infrastructure.CimProperty]::Create(`"InstanceID`", `"`$ProfileNameEscaped`", `"String`",      `"Key`")
 `$newInstance.CimInstanceProperties.Add(`$property)
 `$property = [Microsoft.Management.Infrastructure.CimProperty]::Create(`"ProfileXML`", `"`$ProfileXML`", `"String`", `"Property`")
 `$newInstance.CimInstanceProperties.Add(`$property)
 `$session.CreateInstance(`$namespaceName, `$newInstance, `$options)
 `$Message = `"Created `$ProfileName profile.`"

 Write-Host `"`$Message`"
   }
   catch [Exception]
   {
 `$Message = `"Unable to create `$ProfileName profile: `$_`"
 Write-Host `"`$Message`"
 exit
   }

   `$Message = `"Script Complete`"
   Write-Host `"`$Message`"
   ")

   $Script | Out-File -FilePath ($env:USERPROFILE + '\desktop\VPN_Profile.ps1')
 
 $Message = "Successfully created VPN_Profile.xml and VPN_Profile.ps1 on the desktop."
 Write-Host "$Message"

Windows PowerShell を使用して VPN クライアントを構成するConfigure the VPN client by using Windows PowerShell

Windows 10 クライアントコンピューターで VPNv2 CSP を構成するには、「プロファイル XML を作成する」セクションで作成した VPN_Profile windows PowerShell スクリプトを実行します。To configure the VPNv2 CSP on a Windows 10 client computer, run the VPN_Profile.ps1 Windows PowerShell script that you created in the Create the profile XML section. 管理者として Windows PowerShell を開きます。そうしないと、"_アクセスが拒否_されました" というエラーが表示されます。Open Windows PowerShell as an Administrator; otherwise, you'll receive an error saying, Access denied.

VPN_Profile を実行して VPN プロファイルを構成したら、Windows PowerShell ISE で次のコマンドを実行して、いつでも正常終了したことを確認できます。After running VPN_Profile.ps1 to configure the VPN profile, you can verify at any time that it was successful by running the following command in the Windows PowerShell ISE:

Get-WmiObject -Namespace root\cimv2\mdm\dmmap -Class MDM_VPNv2_01

Get-wmiobject コマンドレットからの成功した結果Successful results from the Get-WmiObject cmdlet

__GENUS : 2
__CLASS : MDM_VPNv2_01
__SUPERCLASS:
__DYNASTY   : MDM_VPNv2_01
__RELPATH   : MDM_VPNv2_01.InstanceID="Contoso%20AlwaysOn%20VPN",ParentID
  ="./Vendor/MSFT/VPNv2"
__PROPERTY_COUNT: 10
__DERIVATION: {}
__SERVER: WIN01
__NAMESPACE : root\cimv2\mdm\dmmap
__PATH  : \\WIN01\root\cimv2\mdm\dmmap:MDM_VPNv2_01.InstanceID="Conto
  so%20AlwaysOn%20VPN",ParentID="./Vendor/MSFT/VPNv2"
AlwaysOn: True
ByPassForLocal  :
DnsSuffix   : corp.contoso.com
EdpModeId   :
InstanceID  : Contoso%20AlwaysOn%20VPN
LockDown:
ParentID: ./Vendor/MSFT/VPNv2
ProfileXML  : <VPNProfile><RememberCredentials>true</RememberCredentials>
  <AlwaysOn>true</AlwaysOn><DnsSuffix>corp.contoso.com</DnsSu
  ffix><TrustedNetworkDetection>corp.contoso.com</TrustedNetw
  orkDetection><NativeProfile><Servers>vpn.contoso.com;vpn.co
  ntoso.com</Servers><RoutingPolicyType>SplitTunnel</RoutingP
  olicyType><NativeProtocolType>Ikev2</NativeProtocolType><Au
  thentication><UserMethod>Eap</UserMethod><MachineMethod>Eap
  </MachineMethod><Eap><Configuration><EapHostConfig xmlns="h
  ttp://www.microsoft.com/provisioning/EapHostConfig"><EapMet
  hod><Type xmlns="https://www.microsoft.com/provisioning/EapC
  ommon">25</Type><VendorId xmlns="https://www.microsoft.com/p
  rovisioning/EapCommon">0</VendorId><VendorType xmlns="http:
  //www.microsoft.com/provisioning/EapCommon">0</VendorType><
  AuthorId xmlns="https://www.microsoft.com/provisioning/EapCo
  mmon">0</AuthorId></EapMethod><Config xmlns="https://www.mic
  rosoft.com/provisioning/EapHostConfig"><Eap xmlns="https://w
  ww.microsoft.com/provisioning/BaseEapConnectionPropertiesV1
  "><Type>25</Type><EapType xmlns="https://www.microsoft.com/p
  rovisioning/MsPeapConnectionPropertiesV1"><ServerValidation
  ><DisableUserPromptForServerValidation>true</DisableUserPro
  mptForServerValidation><ServerNames>NPS</ServerNames><Trust
  edRootCA>3f 07 88 e8 ac 00 32 e4 06 3f 30 f8 db 74 25 e1
  2e 5b 84 d1 </TrustedRootCA></ServerValidation><FastReconne
  ct>true</FastReconnect><InnerEapOptional>false</InnerEapOpt
  ional><Eap xmlns="https://www.microsoft.com/provisioning/Bas
  eEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="
  https://www.microsoft.com/provisioning/EapTlsConnectionPrope
  rtiesV1"><CredentialsSource><CertificateStore><SimpleCertSe
  lection>true</SimpleCertSelection></CertificateStore></Cred
  entialsSource><ServerValidation><DisableUserPromptForServer
  Validation>true</DisableUserPromptForServerValidation><Serv
  erNames>NPS</ServerNames><TrustedRootCA>3f 07 88 e8 ac 00
  32 e4 06 3f 30 f8 db 74 25 e1 2e 5b 84 d1 </TrustedRootCA><
  /ServerValidation><DifferentUsername>false</DifferentUserna
  me><PerformServerValidation xmlns="https://www.microsoft.com
  /provisioning/EapTlsConnectionPropertiesV2">true</PerformSe
  rverValidation><AcceptServerName xmlns="https://www.microsof
  t.com/provisioning/EapTlsConnectionPropertiesV2">true</Acce
  ptServerName></EapType></Eap><EnableQuarantineChecks>false<
  /EnableQuarantineChecks><RequireCryptoBinding>false</Requir
  eCryptoBinding><PeapExtensions><PerformServerValidation xml
  ns="https://www.microsoft.com/provisioning/MsPeapConnectionP
  ropertiesV2">true</PerformServerValidation><AcceptServerNam
  e xmlns="https://www.microsoft.com/provisioning/MsPeapConnec
  tionPropertiesV2">true</AcceptServerName></PeapExtensions><
  /EapType></Eap></Config></EapHostConfig></Configuration></E
  ap></Authentication></NativeProfile><DomainNameInformation>
  <DomainName>corp.contoso.com</DomainName><DnsServers>10.10.
      0.2,10.10.0.3</DnsServers><AutoTrigger>true</AutoTrigger></
  DomainNameInformation></VPNProfile>
RememberCredentials : True
TrustedNetworkDetection : corp.contoso.com
PSComputerName  : WIN01

ProfileXML の構成は、構造、スペル、構成、および場合によっては大文字小文字にする必要があります。The ProfileXML configuration must be correct in structure, spelling, configuration, and sometimes letter case. 1つの構造体に別のものが表示されている場合は、ProfileXML マークアップにエラーが含まれている可能性があります。If you see something different in structure to Listing 1, the ProfileXML markup likely contains an error.

マークアップのトラブルシューティングが必要な場合は、Windows PowerShell ISE でのトラブルシューティングよりも簡単に XML エディターに配置できます。If you need to troubleshoot the markup, it is easier to put it in an XML editor than to troubleshoot it in the Windows PowerShell ISE. どちらの場合も、最も単純なバージョンのプロファイルから開始し、問題が再び発生するまでコンポーネントを1つずつ追加し直します。In either case, start with the simplest version of the profile, and add components back one at a time until the issue occurs again.

System Center Configuration Manager を使用して VPN クライアントを構成するConfigure the VPN client by using System Center Configuration Manager

System Center Configuration Manager では、Windows PowerShell の場合と同様に、ProfileXML CSP ノードを使用して VPN プロファイルを展開できます。In System Center Configuration Manager, you can deploy VPN profiles by using the ProfileXML CSP node, just like you did in Windows PowerShell. ここでは、「 ProfileXML 構成ファイルの作成」セクションで作成した VPN_Profile の Windows PowerShell スクリプトを使用します。Here, you use the VPN_Profile.ps1 Windows PowerShell script that you created in the section Create the ProfileXML configuration files.

System Center Configuration Manager を使用して Windows 10 クライアントコンピューターにリモートアクセス Always On VPN プロファイルを展開するには、まず、プロファイルを展開するコンピューターまたはユーザーのグループを作成する必要があります。To use System Center Configuration Manager to deploy a Remote Access Always On VPN profile to Windows 10 client computers, you must start by creating a group of machines or users to whom you deploy the profile. このシナリオでは、構成スクリプトを展開するユーザーグループを作成します。In this scenario, create a user group to deploy the configuration script.

ユーザーグループを作成するCreate a user group

  1. Configuration Manager コンソールで、[資産とコンプライアンス] [ユーザーコレクション]\開きます。In the Configuration Manager console, open Assets and Compliance\User Collections.

  2. [ホーム] リボンの [作成] グループで、 [ユーザーコレクションの作成] をクリックします。On the Home ribbon, in the Create group, click Create User Collection.

  3. [全般] ページで、次の手順を実行します。On the General page, complete the following steps:

    a.a. [名前] に「 VPN Users」と入力します。In Name, type VPN Users.

    b.b. [参照][すべてのユーザー] の順にクリックし、 [OK] をクリックします。Click Browse, click All Users and click OK.

    c.c. [次へ] をクリックします。Click Next.

  4. [メンバーシップの規則] ページで、次の手順を実行します。On the Membership Rules page, complete the following steps:

    a.a. [メンバーシップの規則] で、 [規則の追加] をクリックし、 [ダイレクト規則] をクリックします。In Membership rules, click Add Rule, and click Direct Rule. この例では、ユーザーコレクションに個々のユーザーを追加しています。In this example, you're adding individual users to the user collection. ただし、大規模な展開を行うために、クエリ規則を使用してこのコレクションにユーザーを動的に追加することもできます。However, you might use a query rule to add users to this collection dynamically for a larger-scale deployment.

    b.b. ウェルカム ページで、 [次へ] をクリックします。On the Welcome page, click Next.

    c.c. リソースの検索 ページの に、追加するユーザーの名前を入力します。On the Search for Resources page, in Value, type the name of the user you want to add. リソース名には、ユーザーのドメインが含まれます。The resource name includes the user's domain. 部分一致に基づいて結果を含めるには、検索条件のいずれかの端に % 文字を挿入します。To include results based on a partial match, insert the % character at either end of your search criterion. たとえば、"lori" という文字列を含むすべてのユーザーを検索するには、「 % lori% 」と入力します。For example, to find all users containing the string “lori,” type %lori%. [次へ] をクリックします。Click Next.

    d.d. リソースの選択 ページで、グループに追加するユーザーを選択し、次へ をクリックします。On the Select Resources page, select the users you want to add to the group, and click Next.

    e.e. 概要 ページで、次へ をクリックします。On the Summary page, click Next.

    f.f. 完了 ページで 閉じる をクリックします。On the Completion page, click Close.

  5. ユーザーコレクションの作成ウィザードの メンバーシップの規則 ページに戻り、次へ をクリックします。Back on the Membership Rules page of the Create User Collection Wizard, click Next.

  6. 概要 ページで、次へ をクリックします。On the Summary page, click Next.

  7. 完了 ページで 閉じる をクリックします。On the Completion page, click Close.

VPN プロファイルを受信するユーザーグループを作成したら、「 ProfileXML 構成ファイルの作成」セクションで作成した Windows PowerShell 構成スクリプトを展開するためのパッケージとプログラムを作成できます。After you create the user group to receive the VPN profile, you can create a package and program to deploy the Windows PowerShell configuration script that you created in the section Create the ProfileXML configuration files.

ProfileXML 構成スクリプトを含むパッケージを作成するCreate a package containing the ProfileXML configuration script

  1. サイトサーバーのコンピューターアカウントがアクセスできるネットワーク共有上でスクリプト VPN_Profile をホストします。Host the script VPN_Profile.ps1 on a network share that the site server computer account can access.

  2. Configuration Manager コンソールで、ソフトウェアライブラリ を開き、アプリケーション管理\パッケージ\ ます。In the Configuration Manager console, open Software Library\Application Management\Packages.

  3. [ホーム] リボンの [作成] グループで [パッケージの作成] をクリックして、パッケージとプログラムの作成ウィザードを起動します。On the Home ribbon, in the Create group, click Create Package to start the Create Package and Program Wizard.

  4. [パッケージ] ページで、次の手順を実行します。On the Package page, complete the following steps:

    a.a. [名前] に「 WINDOWS 10 Always On VPN プロファイル」と入力します。In Name, type Windows 10 Always On VPN Profile.

    b.b. [このパッケージにソースファイルを含める] チェックボックスをオンにし、 [参照] をクリックします。Select the This package contains source files check box, and click Browse.

    c.c. ソースフォルダーの設定 ダイアログボックスで、参照 をクリックし、VPN_Profile を含むファイル共有を選択して、 OKをクリックします。In the Set Source Folder dialog box, click Browse, select the file share containing VPN_Profile.ps1, and click OK. ローカルパスではなく、ネットワークパスを選択していることを確認してください。Make sure you select a network path, not a local path. つまり、パスは、 c:\vpnscriptではなく、 \の\、vpnscriptのようなものである必要があります。In other words, the path should be something like \fileserver\vpnscript, not c:\vpnscript.

  5. [次へ] をクリックします。Click Next.

  6. プログラムの種類 ページで、次へ をクリックします。On the Program Type page, click Next.

  7. [標準プログラム] ページで、次の手順を実行します。On the Standard Program page, complete the following steps:

    a.a. [名前] に「 VPN Profile Script」と入力します。In Name, type VPN Profile Script.

    b.b. コマンドラインで、「 set-executionpolicy-File "VPN_Profile. ps1" 」と入力します。In Command line, type PowerShell.exe -ExecutionPolicy Bypass -File "VPN_Profile.ps1".

    c.c. 実行モードで、[管理者権限で実行する] をクリックします。In Run mode, click Run with administrative rights.

    d.d. [次へ] をクリックします。Click Next.

  8. [要件] ページで、次の手順を実行します。On the Requirements page, complete the following steps:

    a.a. [このプログラムは指定されたプラットフォームでのみ実行可能] を選択します。Select This program can run only on specified platforms.

    b.b. [すべての windows 10 (32 ビット)] チェックボックスと すべての [windows 10 (64 ビット)] チェックボックスをオンにします。Select the All Windows 10 (32-bit) and All Windows 10 (64-bit) check boxes.

    c.c. [推定ディスク容量] に「 1」と入力します。In Estimated disk space, type 1.

    d.d. [許容最長実行時間 (分)] に、「 15」と入力します。In Maximum allowed run time (minutes), type 15.

    e.e. [次へ] をクリックします。Click Next.

  9. 概要 ページで、次へ をクリックします。On the Summary page, click Next.

  10. 完了 ページで 閉じる をクリックします。On the Completion page, click Close.

パッケージとプログラムを作成したら、それをVPN ユーザーグループに展開する必要があります。With the package and program created, you need to deploy it to the VPN Users group.

ProfileXML 構成スクリプトをデプロイするDeploy the ProfileXML configuration script

  1. Configuration Manager コンソールで、ソフトウェアライブラリ を開き、アプリケーション管理\パッケージ\ます。In the Configuration Manager console, open Software Library\Application Management\Packages.

  2. [パッケージ] で、 [WINDOWS 10 Always On VPN プロファイル] をクリックします。In Packages, click Windows 10 Always On VPN Profile.

  3. [プログラム] タブで、詳細ウィンドウの下部にある [VPN プロファイルスクリプト] を右クリックし、 [プロパティ] をクリックして、次の手順を実行します。On the Programs tab, at the bottom of the details pane, right-click VPN Profile Script, click Properties, and complete the following steps:

    a.a. [詳細設定] タブの [このプログラムがコンピューターに割り当てられたとき] で、ログオンしているすべてのユーザーに対して [1 回] をクリックします。On the Advanced tab, in When this program is assigned to a computer, click Once for every user who logs on.

    b.b. [OK] をクリックします。Click OK.

  4. [VPN プロファイルスクリプト] を右クリックし、 [展開] をクリックして、ソフトウェアの展開ウィザードを起動します。Right-click VPN Profile Script and click Deploy to start the Deploy Software Wizard.

  5. [全般] ページで、次の手順を実行します。On the General page, complete the following steps:

    a.a. [コレクション] の横にある [参照] をクリックします。Beside Collection, click Browse.

    b.b. [コレクションの種類] の一覧 (左上) で、 [ユーザーコレクション] をクリックします。In the Collection Types list (top left), click User Collections.

    c.c. [VPN ユーザー] をクリックし、 [OK] をクリックします。Click VPN Users, and click OK.

    d.d. [次へ] をクリックします。Click Next.

  6. [コンテンツ] ページで、次の手順を実行します。On the Content page, complete the following steps:

    a.a. [追加] をクリックし、 [配布ポイント] をクリックします。Click Add, and click Distribution Point.

    b.b. [利用可能な配布ポイント] で、ProfileXML 構成スクリプトを配布する配布ポイントを選択し、[ OK] をクリックします。In Available distribution points, select the distribution points to which you want to distribute the ProfileXML configuration script, and click OK.

    c.c. [次へ] をクリックします。Click Next.

  7. 展開設定 ページで、次へ をクリックします。On the Deployment settings page, click Next.

  8. [スケジュール] ページで、次の手順を実行します。On the Scheduling page, complete the following steps:

    a.a. 新規 をクリックして、割り当てスケジュール ダイアログボックスを開きます。Click New to open the Assignment Schedule dialog box.

    b.b. [このイベントの直後に割り当てる] をクリックし、[ OK] をクリックします。Click Assign immediately after this event, and click OK.

    c.c. [次へ] をクリックします。Click Next.

  9. [ユーザーエクスペリエンス] ページで、次の手順を実行します。On the User Experience page, complete the following steps:

    1. [ソフトウェアのインストール] チェックボックスをオンにします。Select the Software Installation check box.

    2. [概要] をクリックします。Click Summary.

  10. 概要 ページで、次へ をクリックします。On the Summary page, click Next.

  11. 完了 ページで 閉じる をクリックします。On the Completion page, click Close.

ProfileXML 構成スクリプトが展開されたら、ユーザーコレクションを作成したときに選択したユーザーアカウントを使用して Windows 10 クライアントコンピューターにサインインします。With the ProfileXML configuration script deployed, sign in to a Windows 10 client computer with the user account you selected when you built the user collection. VPN クライアントの構成を確認します。Verify the configuration of the VPN client.

注意

スクリプト VPN_Profile は、リモートデスクトップセッションでは機能しません。The script VPN_Profile.ps1 does not work in a Remote Desktop session. 同様に、Hyper-v の拡張セッションでは機能しません。Likewise, it does not work in a Hyper-V enhanced session. 仮想マシンでリモートアクセス Always On VPN をテストしている場合は、続行する前に、クライアント Vm で拡張セッションを無効にしてください。If you're testing a Remote Access Always On VPN in virtual machines, disable enhanced session on your client VMs before continuing.

VPN クライアントの構成を確認するVerify the configuration of the VPN client

  1. コントロールパネルの [システム\セキュリティ] で、 [Configuration Manager] をクリックします。In Control Panel, under System\Security, click Configuration Manager.

  2. Configuration Manager のプロパティ ダイアログボックスの 操作 タブで、次の手順を実行します。In the Configuration Manager Properties dialog, on the Actions tab, complete the following steps:

    a.a. [コンピューターポリシーの取得 & 評価サイクル] をクリックし、 [今すぐ実行] をクリックして、 [OK] をクリックします。Click Machine Policy Retrieval & Evaluation Cycle, click Run Now, and click OK.

    b.b. [ユーザーポリシーの取得 & 評価サイクル] をクリックし、 [今すぐ実行] をクリックして、 [OK] をクリックします。Click User Policy Retrieval & Evaluation Cycle, click Run Now, and click OK.

    c.c. [OK] をクリックします。Click OK.

  3. コントロールパネルを閉じます。Close the Control Panel.

新しい VPN プロファイルがすぐに表示されます。You should see the new VPN profile shortly.

Intune を使用して VPN クライアントを構成するConfigure the VPN client by using Intune

Intune を使用して Windows 10 リモートアクセス Always On VPN プロファイルを展開するには、「 ProfileXML 構成ファイルを作成する」セクションで作成した vpn プロファイルを使用して ProfileXML CSP ノードを構成するか、次に示す基本の EAP XML サンプルを使用します。To use Intune to deploy Windows 10 Remote Access Always On VPN profiles, you can configure the ProfileXML CSP node by using the VPN profile you created in the section Create the ProfileXML configuration files, or you can use the base EAP XML sample provided below.

注意

Intune で Azure AD グループが使用されるようになりました。Intune now uses Azure AD groups. VPN ユーザーグループをオンプレミスから Azure AD に Azure AD Connect 同期していて、ユーザーが VPN Users グループに割り当てられている場合は、先に進むことができます。If Azure AD Connect synced the VPN Users group from on-premises to Azure AD, and users are assigned to the VPN Users group, you are ready to proceed.

グループに追加されたすべてのユーザーの Windows 10 クライアントコンピューターを構成するには、VPN デバイス構成ポリシーを作成します。Create the VPN device configuration policy to configure the Windows 10 client computers for all users added to the group. Intune テンプレートでは VPN パラメーターが提供されるため、<EapHostConfig > </eaphostconfig > の VPN_ProfileXML ファイルの部分のみをコピーします。Since the Intune template provides VPN parameters, only copy the <EapHostConfig> </EapHostConfig> portion of the VPN_ProfileXML file.

Always On VPN 構成ポリシーを作成するCreate the Always On VPN configuration policy

  1. サインイン、 Azure ポータルします。Sign into the Azure portal.

  2. [ Intune > デバイス構成 > プロファイル] にアクセスします。Go to Intune > Device Configuration > Profiles.

  3. [プロファイルの作成] をクリックして、プロファイルの作成ウィザードを開始します。Click Create Profile to start the Create profile Wizard.

  4. VPN プロファイルの名前と、必要に応じて説明を入力します。Enter a Name for the VPN profile and (optionally) a description.

  5. [プラットフォーム] で、 [Windows 10] 以降 を選択し、プロファイルの種類 ドロップダウンから [VPN] を選択します。Under Platform, select Windows 10 or later, and choose VPN from the Profile type drop-down.

    ヒント

    カスタム VPN profileXML を作成する場合は、手順について「 Intune を使用して profileXML を適用する」を参照してください。If you are creating a custom VPN profileXML, see Apply ProfileXML using Intune for the instructions.

  6. [ベース VPN] タブで、次の設定を確認または設定します。Under the Base VPN tab, verify or set the following settings:

    • 接続名: クライアントコンピューターに表示される VPN 接続の名前を、 [設定][vpn] タブ ( _Contoso autovpn_など) に入力します。Connection name: Enter the name of the VPN connection as it appears on the client computer in the VPN tab under Settings, for example, Contoso AutoVPN.

    • サーバー: [追加] をクリックして、1つまたは複数の VPN サーバーを追加します。Servers: Add one or more VPN servers by clicking Add.

    • 説明ip アドレスまたは fqdn: VPN サーバーの説明と IP アドレスまたは fqdn を入力します。Description and IP Address or FQDN: Enter the description and IP Address or FQDN of the VPN server. これらの値は、VPN サーバーの認証証明書のサブジェクト名と一致する必要があります。These values must align with the Subject Name in the VPN server's authentication certificate.

    • 既定のサーバー: これが既定の VPN サーバーである場合は、をTrueに設定します。Default server: If this is the default VPN server, set to True. これにより、デバイスが接続を確立するために使用する既定のサーバーとしてこのサーバーが有効になります。Doing this enables this server as the default server that devices use to establish the connection.

    • 接続の種類: IKEv2に設定します。Connection type: Set to IKEv2.

    • Always On: サインイン時に自動的に VPN に接続し、ユーザーが手動で切断するまで接続を維持するには、 [有効] に設定します。Always On: Set to Enable to connect to the VPN automatically at the sign-in and stay connected until the user manually disconnects.

    • ログオンするたびに資格情報を記憶する: 資格情報をキャッシュするためのブール値 (true または false)。Remember credentials at each logon: Boolean value (true or false) for caching credentials. True に設定すると、可能な場合は常に資格情報がキャッシュされます。If set to true, credentials are cached whenever possible.

  7. 次の XML 文字列をテキストエディターにコピーします。Copy the following XML string to a text editor:

    重要

    他の大文字または小文字で、次のタグには、'true' には、VPN プロファイルの部分構成が得られます。Any other combination of upper or lower case for 'true' in the following tags results in a partial configuration of the VPN profile:

    <AlwaysOn>true</AlwaysOn><AlwaysOn>true</AlwaysOn>
    <RememberCredentials>true</RememberCredentials ><RememberCredentials>true</RememberCredentials>

    <EapHostConfig xmlns="https://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="https://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="https://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="https://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>
    
  8. このサンプルでは、 <trustedrootca > 5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c 68 c2 be 4b </trustedrootca > を、オンプレミスのルート証明機関の証明書の拇印を使用して、両方の場所に置きます。Replace the <TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA> in the sample with the certificate thumbprint of your on-premises root certificate authority in both places.

    重要

    下の > ><、<TrustedRootCA のサンプルサムプリントを使用しないでください。Do not use the sample thumbprint in the <TrustedRootCA></TrustedRootCA> section below. TrustedRootCA は、RRAS および NPS サーバーのサーバー認証証明書を発行したオンプレミスのルート証明機関の証明書の拇印である必要があります。The TrustedRootCA must be the certificate thumbprint of the on-premises root certificate authority that issued the server-authentication certificate for RRAS and NPS servers. これは、クラウドのルート証明書ではなく、中間の発行元の CA 証明書の拇印でもありませんThis must not be the cloud root certificate, nor the intermediate issuing CA certificate thumbprint.

  9. サンプル XML 内の <servernames ><> の名前を、ドメインに参加している NPS の FQDN に置き換えて、認証が行われるようにします。Replace the <ServerNames>NPS.contoso.com</ServerNames> in the sample XML with the FQDN of the domain-joined NPS where authentication takes place.

  10. 変更後の XML 文字列をコピーし、Base VPN タブの EAP XML ボックスに貼り付けて、OK をクリックします。Copy the revised XML string and paste into the EAP Xml box under the Base VPN tab and click OK. EAP を使用した Always On VPN デバイス構成ポリシーは、Intune で作成されます。An Always On VPN Device Configuration policy using EAP is created in Intune.

Always On VPN 構成ポリシーを Intune と同期するSync the Always On VPN configuration policy with Intune

構成ポリシーをテストするには、 ALWAYS ON VPN ユーザーグループに追加したユーザーとして Windows 10 クライアントコンピューターにサインインし、Intune と同期します。To test the configuration policy, sign in to a Windows 10 client computer as the user you added to the Always On VPN Users group, and then sync with Intune.

  1. スタート メニューの 設定 をクリックします。On the Start menu, click Settings.

  2. 設定 で、アカウント をクリックし、職場または学校にアクセスする をクリックします。In Settings, click Accounts, and click Access work or school.

  3. MDM プロファイルをクリックし、 [情報] をクリックします。Click the MDM profile, and click Info.

  4. [同期] をクリックして、Intune ポリシーの評価と取得を強制的に実行します。Click Sync to force an Intune policy evaluation and retrieval.

  5. 設定を閉じます。Close Settings. 同期が完了すると、コンピューターで使用可能な VPN プロファイルが表示されます。After synchronization, you see the VPN profile available on the computer.

次のステップNext steps

VPN Always On のデプロイが完了しました。You are done deploying Always On VPN. 構成できるその他の機能については、次の表を参照してください。For other features you can configure, see the table below:

目的の処理If you want to... 参照先Then see...
VPN の条件付きアクセスを構成するConfigure Conditional Access for VPN 手順 7.OptionalAzure AD を使用した VPN 接続の条件付きアクセスの構成: この手順では、 Azure Active Directory (Azure AD) 条件付きアクセスを使用して、承認された vpn ユーザーがリソースにアクセスする方法を微調整できます。Step 7. (Optional) Configure conditional access for VPN connectivity using Azure AD: In this step, you can fine-tune how authorized VPN users access your resources using Azure Active Directory (Azure AD) conditional access. 仮想プライベートネットワーク (VPN) 接続の条件付きアクセスを使用する Azure AD と、VPN 接続を保護することができます。With Azure AD conditional access for virtual private network (VPN) connectivity, you can help protect the VPN connections. 条件付きアクセスはポリシー ベースの評価エンジンであり、これを利用することで、Azure Active Directory (Azure AD) に接続されるアプリケーションのアクセス規則を作成できます。Conditional Access is a policy-based evaluation engine that lets you create access rules for any Azure Active Directory (Azure AD) connected application.
高度な VPN 機能についての詳細情報Learn more about the advanced VPN features 高度な Vpn 機能: このページでは、Vpn トラフィックフィルターを有効にする方法、アプリトリガーを使用して自動 VPN 接続を構成する方法、Azure AD によって発行された証明書を使用するクライアントからの vpn 接続のみを許可するように NPS を構成する方法に関するガイダンスを提供します。Advanced VPN Features: This page provides guidance on how to enable VPN Traffic Filters, how to configure Automatic VPN connections using App-Triggers, and how to configure NPS to only allow VPN Connections from clients using certificates issued by Azure AD.