VPN 自動トリガー プロファイル オプション

適用対象

  • Windows 10
  • Windows 11

Windows 10 Windows 11 では、VPN の自動トリガーに多数の機能が追加され、必要なリソースにアクセスするために VPN が必要なときにユーザーが手動で接続する必要はありません。 自動トリガーの規則には、次の 3 つの種類があります。

  • アプリ トリガー
  • 名前ベースのトリガー
  • 常にオン

注意

AppData のフォルダー リダイレクトが有効になっている場合、自動トリガーされた VPN 接続は機能しません。 AppData のフォルダー リダイレクトを無効にするか、自動トリガーされた VPN プロファイルをシステム コンテキストに展開する必要があります。これは、rasphone.pbk ファイルが保存されている場所へのパスを変更します。

アプリ トリガー

Windows 10または Windows 11 の VPN プロファイルは、指定した一連のアプリケーションの起動時に自動的に接続するように構成できます。 VPN 接続をトリガーするように、デスクトップ アプリやユニバーサル Windows プラットフォーム (UWP) アプリを構成できます。 また、アプリごとの VPN を構成し、各アプリに対してトラフィック規則を指定することもできます。 詳しくは、「トラフィック フィルター」をご覧ください。

デスクトップ アプリのアプリ ID は、ファイル パスです。 UWP アプリのアプリ ID は、パッケージ ファミリ名です。

アプリごとの VPN 構成用にパッケージ ファミリー名 (PFN) を検索する

名前ベースのトリガー

特定のドメイン名によって VPN 接続がトリガーされるように、ドメイン名ベースの規則を構成することができます。

名前ベースの自動トリガーは、「VPNv2 Configuration Service Provider (CSP)」(VPNv2 構成サービス プロバイダー (CSP)) に示されている VPNv2/ProfileName/DomainNameInformationList/dniRowId/AutoTrigger 設定を使用して構成できます。

名前ベースのトリガーには次の 4 種類があります。

  • 短い名前: たとえば、HRweb がトリガーとして構成されており、スタックが HRweb に対する DNS 解決要求を判別した場合に、VPN がトリガーされます。
  • 完全修飾ドメイン名 (FQDN): たとえば、HRweb.corp.contoso.com がトリガーとして構成されており、スタックが HRweb.corp.contoso.com に対する DNS 解決要求を判別した場合に、VPN がトリガーされます。
  • サフィックス: たとえば、.corp.contoso.com がトリガーとして構成されており、スタックがサフィックスの一致 (HRweb.corp.contoso.com など) に基づいて DNS 解決要求を判別した場合に、VPN がトリガーされます。 短い名前の名前解決では、VPN がトリガーされると、DNS サーバーを照会して、ShortName.corp.contoso.com が特定されます。
  • すべて: これを使用した場合、すべての DNS 解決で VPN がトリガーされます。

常にオン

Always On は、アクティブな VPN プロファイルWindows 10および Windows 11 の機能で、次のトリガーで自動的に接続できます。

  • ユーザー サインイン
  • ネットワークの変更
  • デバイスの画面がオン

トリガーが発生すると、VPN は接続を試行します。 エラーが発生した場合や、ユーザー入力が必要となる場合、追加の操作に関するトースト通知がユーザーに対して表示されます。

デバイスに "常にオン" のトリガーが指定されている複数のプロファイルがある場合、ユーザーは [設定] > [ネットワークとインターネット] > [VPN] > [VPN プロファイル][この VPN 接続を自動的に使用する] チェック ボックスをオンにすることでアクティブなプロファイルを指定できます。 既定では、MDM で構成された最初のプロファイルが [アクティブ] とマークされます。 複数のユーザーを持つデバイスには同じ制限があります。プロファイルは 1 つのみなので、Always On トリガーを使用できるのは 1 人のユーザーのみです。

ユーザーの Always On 基本設定を保持する

Windows AlwaysOn 基本設定を保持する機能があります。 ユーザーが手動で [Connect 自動] チェック ボックスをオフにした場合、Windows はプロファイル名を値 AutoTriggerDisabledProfilesListに追加することで、このプロファイル名のユーザー設定を記憶します。

管理ツールで同じプロファイル名を削除または追加し戻し 、AlwaysOntrueに設定した場合、Windows は、ユーザー設定を保持するために、プロファイル名が次のレジストリ値に存在する場合、ボックスをチェックしません。

キー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Config
値: AutoTriggerDisabledProfilesList
タイプ: REG_MULTI_SZ

信頼されたネットワークの検出

この機能では、信頼された企業ネットワークをユーザーが使用している場合にトリガーされない VPN が構成されます。 この設定の値には、DNS サフィックスの一覧が指定されます。 VPN スタックは物理的なインターフェイスの DNS サフィックスを調べ、そのサフィックスが、構成されている一覧のいずれかのサフィックスと一致した場合、ネットワークがプライベートであるか、MDM によってプロビジョニングされているときには、VPN がトリガーされません。

信頼されたネットワークの検出は、「VPNv2 CSP」に示されている VPNv2/ProfileName/TrustedNetworkDetection 設定を使用して構成できます。

アプリ トリガー VPN の構成

XML 構成については、「VPN プロファイル オプション」と「VPNv2 CSP」をご覧ください。

次の図は、Microsoft Intune を使用した VPN プロファイル構成ポリシーでのアプリと VPN 接続の関連付けを示しています。

VPN 接続用のアプリを追加します。

関連付けるアプリを追加した後、[この VPN 接続 (アプリごとの VPN) を使用できるのは次のアプリのみです] チェック ボックスをオンにした場合、そのアプリは [会社の境界] で使用できるようになります。ここでは、アプリの規則を構成できます。 詳しくは、「トラフィック フィルター」をご覧ください。

アプリのルールを構成します。

関連トピック