Always On VPN の概要

Always On VPN を使用すると、次のことができます。

• Windows オペレーティング システムとサードパーティのソリューションを統合して、高度なシナリオを作成します。 サポートされている統合の一覧については、「 サポートされている統合」を参照してください。

• ネットワーク セキュリティを維持し、トラフィックの種類、アプリケーション、認証方法によって接続を制限します。 Always On VPN のセキュリティ機能の一覧については、「 セキュリティ機能」を参照してください。

• ユーザーとデバイスで認証された接続の自動トリガーを構成します。 詳細については、「 接続機能」を参照してください。

• 詳細なレベルでルーティング ポリシーを作成して、ネットワークを制御します。個々のアプリケーションまで。 詳細については、「 ネットワーク機能」を参照してください。

• 業界標準の構成 テンプレートで定義されている標準 XML プロファイル (ProfileXML) を使用して VPN 設定を構成します。 Windows PowerShell、Microsoft Endpoint Configuration Manager、Intune、Windows 構成デザイナー、またはサードパーティのモバイル デバイス管理 (MDM) ツールを使用して、VPN 設定を展開および管理できます。

サポートされている統合

Always On VPN は、ドメインに参加しているデバイス、ドメインに参加していない (ワークグループ)、または Microsoft Entra ID に参加しているデバイスをサポートし、エンタープライズ シナリオと BYOD シナリオの両方をサポートします。 Always On VPN はすべての Windows エディションで利用可能であり、プラットフォーム機能は UWP VPN プラグイン サポートによってサード パーティが利用可能です。

Always On VPN では、次のプラットフォームとの統合がサポートされています。

• Windows 情報保護 (WIP)。 WIP との統合により、ネットワーク ポリシーの適用により、トラフィックが VPN 経由で許可されているかどうかを判断できます。 ユーザー プロファイルがアクティブで WIP ポリシーが適用されている場合、Always On VPN が自動的にトリガーされて接続します。 また、WIP を使用する場合、WIP ポリシーとアプリケーション リストが自動的に有効になるため、VPN プロファイルで AppTriggerList ルールと TrafficFilterList ルールを個別に指定する必要はありません (より高度な構成が必要な場合を除きます)。

• Windows Hello for Business。 Always On VPN は、証明書ベースの認証モードで Windows Hello for Business をネイティブにサポートします。 Windows Hello のネイティブ サポートにより、マシンへのサインインと VPN への接続の両方について、シームレスなシングル サインオン エクスペリエンスが提供されます。 VPN 接続にセカンダリ認証 (ユーザー資格情報) は必要ありません。

• Microsoft Azure 条件付きアクセス プラットフォーム。 Always On VPN クライアントは、Azure 条件付きアクセス プラットフォームと統合して、多要素認証 (MFA)、デバイス コンプライアンス、または 2 つの組み合わせを適用できます。 条件付きアクセス ポリシーに準拠している場合、Microsoft Entra ID は有効期間が短い (デフォルトでは 60 分) IP セキュリティ (IPsec) 認証証明書を発行します。 この IPSec 証明書を後で使用して、VPN ゲートウェイに対する認証を行うことができます。 デバイス コンプライアンスは構成マネージャー/Intune コンプライアンス ポリシーを使用します。これには、接続コンプライアンス チェックの一部としてデバイス正常性構成証明の状態を含めることができます。 詳細については、VPN と条件付きアクセスに関するページを参照してください。

• Microsoft Entra 多要素認証プラットフォーム。 Microsoft Entra 多要素認証用のリモート認証ダイヤルイン ユーザー サービス (RADIUS) サービスとネットワーク ポリシー サーバー (NPS) 拡張機能と組み合わせると、VPN 認証で強力な MFA を使用できます。

• サード パーティ製 VPN プラグイン。 ユニバーサル Windows プラットフォーム (UWP) を使用すると、サードパーティの VPN プロバイダーは、さまざまな Windows デバイス用の単一のアプリケーションを作成できます。 UWP は、デバイス間で保証されたコア API レイヤーを提供し、カーネルレベルのドライバーの作成に伴う複雑さと問題を排除します。 現在、 Pulse Secure、 F5 Access、 Check Point Capsule VPN、 FortiClient、 SonicWall Mobile Connect、 GlobalProtect 用の Windows UWP VPN プラグインが存在します。

セキュリティ機能

Always On VPN では、企業リソースが VPN ゲートウェイに到達するまで認証と暗号化を要求するトンネル ポリシーを使用することで、企業リソースへの接続を提供します。 既定では、トンネル セッションは VPN ゲートウェイで終了します。VPN ゲートウェイは IKEv2 ゲートウェイとしても機能し、エンド ツー エッジのセキュリティを提供します。

標準の VPN 認証オプションの詳細については、「 VPN 認証オプション」を参照してください。

Always On VPN では、次のセキュリティ機能がサポートされています。

• 業界標準の IKEv2 VPN プロトコルのサポート。 Always On VPN クライアントは、現在最も広く使用されている業界標準のトンネリング プロトコルの 1 つである IKEv2 をサポートしています。 この互換性により、サードパーティの VPN ゲートウェイとの相互運用性が最大化されます。

• サードパーティの IKEv2 VPN ゲートウェイとの相互運用。 Always On VPN クライアントでは、サードパーティの IKEv2 VPN ゲートウェイとの相互運用がサポートされています。 また、Always On VPN プラットフォームの機能と利点を犠牲にすることなく、カスタム トンネリングの種類と組み合わせた UWP VPN プラグインを使用することで、サードパーティの VPN ゲートウェイとの相互運用性を実現できます。

  注

  IKEv2 を使用した Always On VPN およびデバイス トンネルとの構成と互換性については、ゲートウェイまたはサードパーティのバック エンド アプライアンス ベンダーに問い合わせください。

• IKEv2 から SSTP へのフォールバック。 VPN プロファイル内の自動トンネル/プロトコルの種類を使用して、ファイアウォールまたはプロキシ サーバーの背後にあるクライアントのフォールバックを構成できます。

  注

  ユーザー トンネルでは SSTP と IKEv2 がサポートされます。デバイス トンネルでは IKEv2 のみがサポートされ、SSTP フォールバックはサポートされません。

• コンピューター証明書認証のサポート。 Always On VPN プラットフォームの一部として使用できる IKEv2 プロトコル タイプでは、VPN 認証のためにマシンまたはコンピューター証明書の使用が特にサポートされます。

  注

  IKEv2 は、デバイス トンネルでサポートされる唯一のプロトコルであり、SSTP フォールバックのサポート オプションはありません。 詳細については、「 Always On VPN デバイス トンネルの構成」を参照してください。

• トラフィックとアプリのフィルター。 トラフィックとアプリのファイアウォール規則を使用して、VPN インターフェイスへの接続を許可するトラフィックとアプリを決定するクライアント側ポリシーを指定できます。

  次の 2 種類のフィルタリング規則を使用できます。

  • アプリ ベースの規則。 アプリベースのファイアウォール規則は、指定されたアプリケーションの一覧に基づいているため、これらのアプリから発信されたトラフィックだけが VPN インターフェイスを通過できます。

  • トラフィック ベースの規則。 トラフィック ベースのファイアウォール規則は、ポート、アドレス、プロトコルなどのネットワーク要件に基づいています。 これらの規則は、これらの特定の条件に一致するトラフィックが VPN インターフェイスを通過することを許可されている場合にのみ使用します。

  注

  これらの規則は、デバイスから送信されるトラフィックにのみ適用されます。 トラフィック フィルターを使用すると、企業ネットワークからクライアントへの着信トラフィックがブロックされます。

• VPN の条件付きアクセス。 条件付きアクセスとデバイス コンプライアンスでは、マネージド デバイスが VPN に接続するために、標準を満たすことが求められる場合があります。 VPN 条件付きアクセスを使用すると、クライアント認証証明書に 1.3.6.1.4.1.311.87 の Microsoft Entra 条件付きアクセス OID が含まれるデバイスへの VPN 接続を制限できます。 NPS サーバーで直接 VPN 接続を制限する方法については、「 ネットワーク ポリシー サーバーでの VPN 条件付きアクセスの構成」を参照してください。 Microsoft Entra 条件付きアクセスを使用して VPN 接続を制限する方法については、Microsoft Entra ID を使用した VPN 接続の条件付きアクセスに関するページを参照してください。

• 特定のユーザーとデバイスへのリモート アクセスを制限する。 RADIUS の使用時に詳細な承認をサポートするように Always On VPN を構成できます。これには、VPN アクセスを制御するためのセキュリティ グループの使用が含まれます。

• ユーザーがサインインする前にアクセス可能な管理サーバーを定義する。 VPN プロファイルでデバイス トンネル機能 (バージョン 1709 で使用可能 – IKEv2 専用) を使用し、それと組み合わせてトラフィック フィルターを使用します。これにより、デバイス トンネルを介して企業ネットワーク上のどの管理システムにアクセスできるようにするか制御します。

  注

  デバイス トンネル プロファイルでトラフィック フィルターを有効にすると、デバイス トンネルにより (企業ネットワークからクライアントへの) 着信トラフィックが拒否されます。

• アプリごとの VPN。 アプリごとの VPN は、アプリベースのトラフィック フィルターを使用する場合と似ていますが、アプリケーション トリガーをアプリベースのトラフィック フィルターと組み合わせることで、VPN クライアント上のすべてのアプリケーションではなく、特定のアプリケーションに対して VPN 接続を制限できます。 この機能は、アプリの起動時に自動的に開始されます。

• カスタマイズされた IPsec 暗号化アルゴリズム。 Always On VPN は、RSA と楕円曲線暗号化ベースのカスタム暗号化アルゴリズムの両方の使用をサポートして、政府機関または組織の厳格なセキュリティ ポリシーに対応します。

• ネイティブ拡張認証プロトコル (EAP) のサポート。 Always On VPN は EAP をネイティブでサポートしているため、認証ワークフローの一部として、さまざまな種類の Microsoft およびサードパーティの EAP を使用できます。 EAP は、次の認証タイプに基づいてセキュリティで保護された認証を提供します。

  • ユーザー名とパスワード
  • スマート カード (物理カードと仮想カードの両方)
  • ユーザー証明書
  • Windows Hello for Business
  • EAP RADIUS 統合による MFA のサポート

  アプリケーション ベンダーは、サードパーティの UWP VPN プラグイン認証方法を制御しますが、カスタム資格情報の種類や OTP のサポートなど、さまざまなオプションを使用できます。

• PC とモバイル デバイスにおける Windows Hello for Business の 2 要素認証。 Windows 10 では、 Windows Hello for Business は、PC とモバイル デバイスで強力な 2 要素認証を提供することでパスワードを置き換えます。 詳細については、「Windows 10 での Windows Hello for Business でのリモート アクセスの有効化」を参照してください。

• Azure Multi-Factor Authentication (MFA)。 Microsoft Entra 多要素認証には、Windows VPN 認証メカニズムと統合できるクラウド バージョンとオンプレミス バージョンがあります。 詳細については、「 RADIUS 認証と Azure Multi-Factor Authentication Server の統合」を参照してください。

• トラステッド プラットフォーム モジュール (TPM) キーの構成証明。 TPM で構成証明されたキーを持つユーザー証明書は、エクスポート不可、ハンマリング対策、TPM によって提供されるキーの分離に基づいて、セキュリティが強化されています。

Windows 10 での TPM キー構成証明の詳細については、「 TPM キー構成証明」を参照してください。

接続機能

Always On VPN では、次の接続機能がサポートされています。

• アプリケーションの自動トリガー。 アプリケーションの起動や名前空間の解決要求に基づいた自動トリガーをサポートするように Always On VPN を構成できます。 自動トリガーを構成する方法の詳細については、「 VPN の自動トリガー プロファイル オプション」を参照してください。

• 名前ベースの自動トリガー。 Always On VPN を使用すると、特定のドメイン名クエリが VPN 接続をトリガーするようにルールを定義できます。 Windows デバイスでは、ドメインに参加しているマシンとドメインに参加していないマシンの名前ベースのトリガーがサポートされています (以前は、ドメインに参加していないマシンのみがサポートされていました)。

• 信頼できるネットワーク検出。 Always On VPN には、企業境界内の信頼できるネットワークにユーザーが接続されている場合に VPN 接続がトリガーされないようにするために、この機能が含まれています。 この機能を前述のトリガー方法と組み合わせると、シームレスな "必要な場合にのみ接続する" ユーザー エクスペリエンスを提供できます。

• デバイス トンネル。 Always On VPN を使用すると、デバイスまたはマシン専用の VPN プロファイルを作成できます。 ユーザーがデバイスまたはマシンにログオンした後にのみ接続する ユーザー トンネルとは異なり、 Device Tunnel では、ユーザーがサインインする前に VPN で接続を確立できます。 デバイス トンネルとユーザー トンネルはどちらも VPN プロファイルで独立して動作し、同時に接続できます。また、必要に応じて、異なる認証方法や他の VPN 構成設定を使用できます。 manage-out を使用して DNS にクライアント IP アドレスを動的に登録する方法など、デバイス トンネルを構成する方法については、「 Always On VPN デバイス トンネルの構成」を参照してください。

  注

  デバイス トンネルは、Windows 10 Enterprise または Education バージョン 1709 以降を実行しているドメイン参加デバイスでのみ構成できます。 デバイス トンネルのサードパーティによる制御はサポートされていません。

• Connectivity Assistant Always On VPN はネイティブネットワーク接続アシスタントと完全に統合され、すべてのネットワークの表示インターフェイスから接続状態を提供します。 Windows 10 Creators Update (バージョン 1703) の登場により、ユーザー トンネルの VPN 接続状態と VPN 接続制御が、(Windows 組み込み VPN クライアントの) ネットワーク ポップアップを通じて使用できます。

ネットワーク機能

Always On VPN では、次のネットワーク機能がサポートされています。

• IPv4 および IPv6 のデュアルスタック サポート。 Always On VPN は、デュアルスタック アプローチでの IPv4 と IPv6 の両方の使用をネイティブにサポートします。 一方のプロトコルに対する特定の依存関係がないため、IPv4/IPv6 アプリケーションの互換性を最大限に高め、将来の IPv6 ネットワークのニーズをサポートできます。

• アプリケーション固有のルーティング ポリシー。 インターネットおよびイントラネットのトラフィック分離に関するグローバル VPN 接続ルーティング ポリシーを定義することに加えて、アプリケーションごとにスプリット トンネルまたは強制トンネルの構成の使用を制御するルーティング ポリシーを追加することができます。 このオプションを使用すると、VPN トンネルを介してどのアプリがどのリソースと対話できるかをより細かく制御できます。

• 除外ルート。 Always On VPN は、ルーティング動作を具体的に制御する除外ルートを指定して、物理ネットワーク インターフェイスを通過せずに VPN のみを通過するトラフィックを定義する機能をサポートしています。

  注

  除外ルートは、クライアントと同じサブネット内のトラフィック (LinkLocal など) に対して機能します。 除外ルートは、スプリット トンネル設定でのみ機能します。

• 複数ドメインとフォレストのサポート。 Always On VPN プラットフォームでは VPN クライアントが機能するためにドメインに参加している必要がないため、Active Directory Domain Services (AD DS) フォレストまたはドメイン トポロジに依存することはありません。 そのため、グループ ポリシーは、クライアントの構成時に使用しないため、VPN プロファイル設定を定義するための依存関係ではありません。 Active Directory 承認統合は必要ですが、EAP 認証および承認プロセスの一部として RADIUS によって実現できます。

• 短縮名、完全修飾ドメイン名 (FQDN)、DNS サフィックスを使用した企業リソースの名前解決。Always On VPN では、短い名前、FQDN、DNS 名前空間全体の企業リソース名解決など、VPN 接続と IP アドレス割り当てプロセスの一部として、1 つ以上の DNS サフィックスをネイティブに定義できます。 また、Always On VPN では、名前空間固有の解決粒度を指定するために、名前解決ポリシー テーブルの使用がサポートされます。

  注

  名前解決ポリシー テーブルを使用する場合、グローバル サフィックスは使用しないでください。これらのサフィックスでは、短い名前を解決できないためです。

高可用性機能

高可用性のための他のオプションを次に示します。

サーバーの回復力と負荷分散。 高可用性が必要な環境や多数の要求をサポートする環境では、 ネットワーク ポリシー サーバー (NPS) 間の負荷分散 を構成し、リモート アクセス サーバー クラスタリングを有効にすることで、リモート アクセスのパフォーマンスと回復性を向上させることができます。

地理的サイトの回復力。 IP ベースの位置情報の場合、Windows Server では DNS でグローバル トラフィック マネージャーを使用できます。 より堅牢な地理的負荷分散のために、 Microsoft Azure Traffic Manager などのグローバル サーバー負荷分散ソリューションを使用できます。

Always On VPN 接続プロセス

このプロセスは、次の手順で構成されます。

1. Windows VPN クライアントでは、パブリック DNS サーバーを使用して、VPN ゲートウェイの IP アドレスに対する名前解決クエリを実行します。

2. VPN クライアントは、DNS によって返された IP アドレスを使用して、VPN ゲートウェイに接続要求を送信します。

3. VPN サーバーは、リモート認証ダイヤルイン ユーザー サービス (RADIUS) クライアントとしても構成されます。VPN RADIUS クライアントは、接続要求の処理のために NPS サーバーに接続要求を送信します。

4. NPS サーバーは、承認と認証の実行などの接続要求を処理し、接続要求を許可するか拒否するかを決定します。

5. NPS サーバーは、Access-Accept または Access-Deny の応答を VPN サーバーに転送します。

6. 接続は、NPS サーバーから VPN サーバーが受信した応答に基づいて開始または終了されます。

次のステップ

• リモート アクセスを VPN サーバーとしてインストールする

• チュートリアル: Always On VPN をデプロイする

• VPN セキュリティ機能: このトピックでは、LockDown VPN、Windows Information Protection (WIP) と VPN の統合、およびトラフィック フィルターに関する VPN セキュリティ ガイドラインの概要について説明します。

• VPN 自動トリガー プロファイル オプション: このトピックでは、アプリ トリガー、名前ベースのトリガー、Always On などの VPN 自動トリガー プロファイル オプションの概要について説明します。

• Always On VPN のトラブルシューティング