Microsoft Intune を使用して Windows 10 以降のクライアントに Always On VPN プロファイルを展開する

このハウツー記事では、Intune を使用して Always On VPN プロファイルを作成して展開する方法について説明します。

ただし、カスタム VPN profileXML を作成する場合は、「 Intune を使用して ProfileXML を適用する」のガイダンスに従ってください。

[前提条件]

Intune では Microsoft Entra ユーザー グループが使用されるため、次の操作を行う必要があります。

• 認証用にユーザー証明書とデバイス証明書を発行できる秘密キー 基盤 (PKI) があることを確認します。 Intune の証明書の詳細については、「 Microsoft Intune での認証に証明書を使用する」を参照してください。

• VPN ユーザーに関連付けられている Microsoft Entra ユーザー グループを作成し、必要に応じて新しいユーザーをグループに割り当てます。

• VPN ユーザーが VPN サーバー接続のアクセス許可を持っていることを確認します。

拡張認証プロトコル (EAP) 構成 XML を作成する

このセクションでは、拡張認証プロトコル (EAP) 構成 XML を作成します。

1. 次の XML 文字列をテキスト エディターにコピーします。

   重要

   次のタグ内の 'true' の大文字または小文字のその他の組み合わせでは、VPN プロファイルの部分的な構成が行われます。

   <AlwaysOn>true</AlwaysOn>
   <RememberCredentials>true</RememberCredentials>

   <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>
   

2. サンプル XML の <ServerNames>NPS.contoso.com</ServerNames> を、認証が行われるドメイン参加済み NPS の FQDN に置き換えます。

3. サンプル内の <TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA> を、両方の場所でのオンプレミスのルート証明機関の証明書サムプリントに置き換えます。

   重要

   後述の「 <TrustedRootCA></TrustedRootCA> 」セクションでは、サンプルの拇印を使用しないでください。 TrustedRootCA は、RRAS および NPS サーバーのサーバー認証証明書を発行したオンプレミスルート証明機関の証明書拇印である必要があります。 これは、クラウド ルート証明書でも、中間発行元 CA 証明書の拇印でもない必要があります。

4. 次のセクションで使用するために XML を保存します。

Always On VPN 構成ポリシーを作成する

1. Microsoft Endpoint Manager 管理センターにサインインします。

2. デバイス>構成プロファイルに移動します。

3. [+ プロファイルの作成] を選択します。

4. プラットフォームの場合は、Windows 10 以降を選択します。

5. [プロファイルの種類] で、[テンプレート] を選択します。

6. [ テンプレート名] で 、[ VPN] を選択します。

7. を選択してを作成します。

8. [ 基本 ] タブの場合:

   • VPN プロファイルの 名前 と (必要に応じて) 説明を入力します。

9. [ 構成設定 ] タブの場合:

   1. [ ユーザー/デバイス スコープでこの VPN プロファイルを使用する] で、[ユーザー] を選択 します。

   2. [接続の種類]:[IKEv2] を選択します。

   3. [接続名] に、VPN 接続の名前を入力します。たとえば、Contoso AutoVPN です。

   4. サーバーの場合:VPN サーバーのアドレスと説明を追加します。 既定のサーバーの場合は、 既定のサーバー を True に設定します。

   5. [ 内部 DNS に IP アドレスを登録する] で、[ 無効] を選択します。

   6. Always On:有効を選択します。

   7. [ ログオンごとに資格情報を記憶する] で、セキュリティ ポリシーに適した値を選択します。

   8. [認証方法] で [EAP] を選択します。

   9. EAP XML の場合は、「EAP XML の作成」で保存した XML を選択します。

   10. [デバイス トンネル] で、[無効] を選択します。 デバイス トンネルの詳細については、「 Windows 10 での VPN デバイス トンネルの構成」を参照してください。

   11. IKE セキュリティ アソシエーション パラメーターの場合

       • [分割トンネリング] を [有効] に設定します。
       • 信頼されたネットワーク検出を構成します。 DNS サフィックスを見つけるには、現在ネットワークに接続されており、ドメイン プロファイルが適用されているシステムで Get-NetConnectionProfile > Name を使用できます (NetworkCategory:DomainAuthenticated)。

   12. 環境で追加の構成が必要な場合を除き、残りの設定は既定値のままにします。 Intune の EAP プロファイル設定の詳細については、Intune を 使用して VPN 接続を追加する Windows 10/11 と Windows Holographic デバイスの設定に関するページを参照してください。

   13. [次へ] を選択します。

10. [ スコープ タグ ] タブでは、既定の設定のままにして、[ 次へ] を選択します。

11. [ 割り当て ] タブの場合:

    1. [ グループの追加] を選択し、VPN ユーザー グループを追加します。

    2. [次へ] を選択します。

12. [ 適用ルール ] タブでは、既定の設定のままにして、[ 次へ] を選択します。

13. [ 確認と作成 ] タブで、すべての設定を確認し、[ 作成] を選択します。

Always On VPN 構成ポリシーを Intune と同期する

構成ポリシーをテストするには、VPN ユーザーとして Windows 10 以降のクライアント コンピューターにサインインし、Intune と同期します。

1. [スタート] メニューで [設定] を選びます。

2. [設定] で [ アカウント] を選択し、[ 職場または学校にアクセス] を選択します。

3. Microsoft Entra ID に接続するアカウントを選択し、[情報] を選択 します。

4. 下に移動し、[ 同期 ] を選択して、Intune ポリシーの評価と取得を強制します。

5. 同期が完了したら 、[設定] を閉じます。 同期後、組織の VPN サーバーに接続できるようになります。

次のステップ

• Always On VPN を設定する方法の詳細なチュートリアルについては、「 チュートリアル: Always On VPN のインフラストラクチャを設定する」を参照してください。

• Microsoft Configuration Manager で Always On VPN プロファイルを構成する方法については、「Microsoft Configuration Manager を使用して Always On VPN プロファイルを Windows クライアントに展開する」を参照してください。

• 構成サービス プロバイダー (CSP) の Always on VPN 構成オプションの詳細については、VPNv2 構成サービス プロバイダーに関するページを参照してください。

• Microsoft Intune での VPN 展開のトラブルシューティングを行うには、「 Microsoft Intune での VPN プロファイルの問題のトラブルシューティング」を参照してください。