VPN 自動トリガー プロファイル オプション

  • [アーティクル]
  • 適用対象:
    Windows 11, ✅ Windows 10

Windows では、さまざまな機能を使用して VPN を自動トリガーできるため、必要なリソースにアクセスするために VPN が必要な場合にユーザーが手動で接続することを回避できます。 自動トリガーの規則には、次の 3 つの種類があります。

  • アプリケーション トリガー
  • 名前ベースのトリガー
  • 常にオン

AppDataフォルダー リダイレクトが有効になっている場合、自動トリガー VPN 接続は機能しません。 AppData のフォルダー リダイレクトを無効にするか、自動トリガーされた VPN プロファイルを SYSTEM コンテキストに展開する必要があります。これにより、 rasphone.pbk ファイルが格納されている場所へのパスが変更されます。

アプリケーション トリガー

VPN プロファイルは、特定のアプリケーションの実行時に自動的に接続するように構成できます。

  • VPN 接続をトリガーするようにデスクトップ アプリまたは ユニバーサル Windows プラットフォーム (UWP) アプリを構成できます
  • アプリごとの VPN を構成し、各アプリのトラフィック 規則を指定できます

デスクトップ アプリのアプリ ID は、ファイル パスです。 UWP アプリのアプリ ID は、パッケージ ファミリ名です。

アプリごとの VPN 構成用にパッケージ ファミリー名 (PFN) を検索する

詳細については、「 トラフィック フィルター」を参照してください。

名前ベースのトリガー

特定のドメイン名が VPN 接続をトリガーするようにドメイン名ベースの規則を構成できます。\ 名前ベースの自動トリガーは、VPNv2 構成サービス プロバイダー (CSP) の設定を使用してVPNv2/<ProfileName>/DomainNameInformationList/dniRowId/AutoTrigger構成できます。

名前ベースのトリガーには次の 4 種類があります。

  • 短い名前: たとえば、 HRweb がトリガーとして構成されていて、スタックに HRweb の DNS 解決要求が表示された場合、VPN トリガーは
  • 完全修飾ドメイン名 (FQDN): たとえば、 HRweb.corp.contoso.com がトリガーとして構成されていて、スタックに HRweb.corp.contoso.com の DNS 解決要求 表示された場合、VPN トリガー
  • サフィックス: たとえば、 .corp.contoso.com がトリガーとして構成されていて、スタックに一致するサフィックス ( HRweb.corp.contoso.com など) を持つ DNS 解決要求が表示された場合、VPN トリガーがトリガーされます。 短い名前解決では、VPN トリガーと DNS サーバーが ShortName.corp.contoso.com> に対して<照会されます。
  • すべて: 使用すると、すべての DNS 解決によって VPN がトリガーされます

常にオン

Always Onは、アクティブな VPN プロファイルが次のトリガーで自動的に接続できるようにする Windows 機能です。

  • ユーザー サインイン
  • ネットワークの変更
  • デバイスの画面がオン

トリガーが発生すると、VPN は接続を試行します。 エラーが発生した場合、またはユーザー入力が必要な場合は、より多くの操作のためにトースト通知が表示されます。

デバイスにAlways Onトリガーを持つ複数のプロファイルがある場合、ユーザーは [アプリがこの VPN 接続を自動的に使用できるようにする] チェック ボックスをオンにすることで、[設定>ネットワーク & インターネット > VPN VPN ><プロファイル] でアクティブなプロファイル>を指定できます。 既定では、MDM で構成された最初のプロファイルが [アクティブ] とマークされます。 複数のユーザーが同じ制限を持つデバイス: 1 つのプロファイルのみ、したがって 1 人のユーザーのみがAlways Onトリガーを使用できます。

ユーザーのAlways On設定を保持する

もう 1 つの Windows 機能は、ユーザーのAlways On設定を保持することです。 ユーザーが手動で [ 自動的に接続 ] チェック ボックスをオフにすると、レジストリ値 AutoTriggerDisabledProfilesList にプロファイル名を追加することで、プロファイル名のユーザー設定が記憶されます。

管理ツールが同じプロファイル名を削除または追加し、AlwaysOntrue に設定した場合、ユーザー設定を維持するために、プロファイル名が次のレジストリ値に存在する場合、Windows はボックスをチェックしません。

キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Config
値:AutoTriggerDisabledProfilesList
型:REG_MULTI_SZ

信頼されたネットワークの検出

信頼されたネットワーク検出機能は、デバイスが信頼されたネットワーク上にあるときに接続がトリガーされないように VPN を構成します。 信頼されたネットワーク検出を構成するには、DNS サフィックスの一覧を指定する必要があります。 VPN スタックは、物理インターフェイス接続プロファイルのネットワーク名を検証します。一覧で構成されているサフィックスのいずれかに一致し、ネットワークが MDM によってプライベートまたはプロビジョニングされている場合、VPN はトリガーされません。

信頼されたネットワーク検出は、VPNv2 CSP の設定を使用してVPNv2/<ProfileName>/TrustedNetworkDetection構成できます。

アプリ トリガー VPN の構成

XML 構成については、「VPN プロファイル オプション」と「VPNv2 CSP」をご覧ください。

次の図は、Microsoft Intuneを使用して VPN プロファイル構成ポリシーでアプリを VPN 接続に関連付ける方法を示しています。

Intuneでの VPN プロファイルの作成: アプリケーション関連付けオプション。