Intune で VPN プロファイルを作成して VPN サーバーに接続する

重要

2022 年 10 月 22 日、Microsoft IntuneはWindows 8.1を実行しているデバイスのサポートを終了しました。 これらのデバイスのテクニカル アシスタンスと自動更新は利用できません。

現在Windows 8.1を使用している場合は、Windows 10/11 デバイスに移行することをお勧めします。 Microsoft Intuneには、Windows 10/11 クライアント デバイスを管理する組み込みのセキュリティ機能とデバイス機能があります。

Important

Microsoft Intune は、Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを 2024 年 8 月 30 日に終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。 詳細については、「GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。

仮想プライベート ネットワーク (VPN) を使用すると、組織のユーザーが組織のネットワークにリモート アクセスする際にセキュリティで保護することができます。 デバイスでは、VPN 接続プロファイルを使用して VPN サーバーとの接続が開始されます。 Microsoft Intune の VPN プロファイルにより、組織内のユーザーとデバイスに VPN 設定が割り当てられます。 これらの設定を使用して、ユーザーが組織のネットワークに簡単かつ安全に接続できるようにします。

この機能は、以下に適用されます:

• Android デバイス管理者

• 仕事用プロファイルがある個人所有の Android Enterprise デバイス

• iOS/iPadOS

• macOS

• Windows 10

• Windows 11

  重要

  Windows 11 デバイスの場合、Windows 11 クライアントと Windows VPNv2 CSP の間に問題があります。 1 つ以上の Intune VPN プロファイルを持つデバイスでは、デバイスがデバイスの VPN プロファイルに対する複数の変更を同時に処理すると、VPN 接続が失われます。 デバイスが Intune に 2 回目にチェックインすると、VPN プロファイルの変更が処理され、接続が復元されます。

  次の変更により、VPN 機能が失われる可能性があります。

  • Windows 11 デバイスによって以前に処理された VPN プロファイルへの変更。 この操作により、元のプロファイルが削除され、更新されたプロファイルが適用されます。
  • 2 つの新しい VPN プロファイルが同時にデバイスに適用されます。
  • アクティブな VPN プロファイルは、新しい VPN プロファイルが割り当てられると同時に削除されます。

  この問題は、次の場合には適用されません。

  • Windows 11 デバイスには既存の VPN プロファイルが割り当てられていないため、1 つの Intune VPN プロファイルを受け取ります。
  • VPN プロファイルが割り当てられ、他のプロファイル変更なしで別の VPN プロファイルが割り当てられている Windows 11 デバイス。
  • Windows 10デバイスは Windows 11 にアップグレードされ、そのデバイスの VPN プロファイルに変更がない場合はアップグレードされます。 Windows 11 へのアップグレード後、デバイスの VPN プロファイルを変更したり、新しい VPN プロファイルを追加したりすると、問題が発生します。

  この問題と警告は、Windows がこの問題を解決する Windows 11 クライアントを更新するまで残ります。

• Windows 8.1 以降

たとえば、組織のネットワーク上のファイル共有に接続するために必要な設定をすべての iOS/iPadOS デバイスに構成したいとします。 これらの設定を含む VPN プロファイルを作成します。 iOS/iPadOS デバイスを持っているすべてのユーザーにこのプロファイルを割り当てます。 使用できるネットワークの一覧に VPN 接続が表示されるので、ユーザーは最小限の労力で接続できます。

この記事では、使用できる VPN アプリの一覧を示し、VPN プロファイルを作成する方法について説明します。また、VPN プロファイルをセキュリティで保護するためのガイダンスを示します。 VPN プロファイルを作成する前に、VPN アプリを展開する必要があります。 Microsoft Intuneを使用したアプリのデプロイに関するヘルプが必要な場合は、「Microsoft Intuneのアプリ管理とは」を参照してください。

はじめに

• デバイス トンネルの VPN プロファイルは、Windows 10/11 Enterprise マルチセッション リモート デスクトップでサポートされています。

• VPN プロファイルに証明書ベースの認証を使用する場合は、VPN プロファイル、証明書プロファイル、および信頼されたルート プロファイルを同じグループに展開します。 この手順により、各デバイスが証明機関の正当性を確実に認識できるようになります。 詳細については、「Microsoft Intune で証明書を構成する方法」を参照してください。

• iOS および iPadOS と macOS のユーザー登録では、アプリごとの VPNのみがサポートされます。

• Intune のカスタム構成ポリシーを使用して、次のプラットフォーム用の VPN プロファイルを作成できます:

  • Android 4 以降
  • Windows 8.1 以降を実行する登録済みのデバイス
  • Windows 10/11 を実行する登録済みデバイス
  • Windows Holographic for Business

手順 1 - VPN アプリをデプロイする

デバイスに割り当てられた VPN プロファイルを使用するには、VPN アプリをインストールする必要があります。 この VPN アプリは、VPN サーバーに接続します。

使用できる VPN アプリは異なります。 ユーザー デバイスでは、organizationで使用する VPN アプリをデプロイします。 VPN アプリが展開されたら、VPN サーバー名 (または FQDN) や認証方法など、VPN サーバー設定を構成する VPN デバイス構成プロファイルを作成して展開します。

一部のプラットフォームと VPN アプリでは、VPN デバイス構成プロファイルではなく、VPN アプリを事前構成するためのアプリ構成ポリシーが必要です。 このセクションでは、アプリ構成ポリシーを使用する必要があるプラットフォームと VPN アプリも一覧表示します。

Intune を使用してアプリを割り当てるには、「Microsoft Intune にアプリを追加する」を参照してください。

VPN 接続の種類

VPN プロファイルは、次の VPN 接続の種類を使用して作成できます。

• 自動

  • Windows 10 または 11

• Check Point Capsule VPN

  • Android デバイス管理者
  • 仕事用プロファイルがある個人所有の Android Enterprise デバイス
  • Android Enterprise のフル マネージド、企業所有の仕事用プロファイル: アプリ構成ポリシーを使用する
  • iOS/iPadOS
  • macOS
  • Windows 10 または 11
  • Windows 8.1

• Cisco AnyConnect

  • Android デバイス管理者
  • 仕事用プロファイルがある個人所有の Android Enterprise デバイス
  • Android Enterprise フル マネージドおよび会社所有の仕事用プロファイル
  • iOS/iPadOS
  • macOS
  • Windows 10 または 11

• Cisco (IPSec)

  • iOS/iPadOS

• Citrix SSO

  • Android デバイス管理者
  • 仕事用プロファイルを持つ個人所有の Android Enterprise デバイス: アプリ構成ポリシーを使用する
  • Android Enterprise のフル マネージド、専用、企業所有の仕事用プロファイル: アプリ構成ポリシーを使用する
  • iOS/iPadOS
  • Windows 10 または 11

• カスタム VPN

  • iOS/iPadOS
  • macOS

  カスタム設定を持つプロファイルの作成に関するページを参照して、URI の設定を使ってカスタム VPN プロファイルを作成します。

• F5 Access

  • Android デバイス管理者
  • 仕事用プロファイルがある個人所有の Android Enterprise デバイス
  • Android Enterprise フル マネージドおよび会社所有の仕事用プロファイル
  • iOS/iPadOS
  • macOS
  • Windows 10 または 11
  • Windows 8.1

• IKEv2

  • iOS/iPadOS
  • Windows 10 または 11

• L2TP

  • Windows 10 または 11

• Microsoft Tunnel

  • 仕事用プロファイルがある個人所有の Android Enterprise デバイス
  • Android Enterprise フル マネージドおよび会社所有の仕事用プロファイル
  • iOS/iPadOS

• NetMotion Mobility

  • 仕事用プロファイルがある個人所有の Android Enterprise デバイス
  • Android Enterprise フル マネージドおよび会社所有の仕事用プロファイル
  • iOS/iPadOS
  • macOS

• Palo Alto Networks GlobalProtect

  • 仕事用プロファイルを持つ個人所有の Android Enterprise デバイス: アプリ構成ポリシーを使用する
  • Android Enterprise のフル マネージド、企業所有の仕事用プロファイル: アプリ構成ポリシーを使用する
  • iOS/iPadOS
  • Windows 10 または 11

• PPTP

  • Windows 10 または 11

• Pulse Secure

  • Android デバイス管理者
  • 仕事用プロファイルがある個人所有の Android Enterprise デバイス
  • Android Enterprise フル マネージドおよび会社所有の仕事用プロファイル
  • iOS/iPadOS
  • Windows 10 または 11
  • Windows 8.1

• SonicWall Mobile Connect

  • Android デバイス管理者
  • 仕事用プロファイルがある個人所有の Android Enterprise デバイス
  • Android Enterprise フル マネージドおよび会社所有の仕事用プロファイル
  • iOS/iPadOS
  • macOS
  • Windows 10 または 11
  • Windows 8.1

• Zscaler

  • 仕事用プロファイルを持つ個人所有の Android Enterprise デバイス: アプリ構成ポリシーを使用する
  • Android Enterprise のフル マネージド、企業所有の仕事用プロファイル: アプリ構成ポリシーを使用する
  • iOS/iPadOS

手順 2 - プロファイルを作成する

VPN アプリがデバイスに割り当てられた後、この次の手順では、VPN 接続を構成するデバイス構成ポリシーを作成します。 VPN アプリ接続の種類でアプリ構成ポリシーを使用してアプリを構成する場合は、この手順をスキップします。

1. Microsoft Intune 管理センターにサインインします。

2. [デバイス構成の作成] を>選択します>。

3. 次のプロパティを入力します。

   • プラットフォーム: デバイスのプラットフォームを選択します。 次のようなオプションがあります。
     • Android デバイス管理者
     • [Android Enterprise]>[フル マネージド]、[専用]、[会社所有の仕事用プロファイル]
     • Android Enterprise>個人所有の仕事用プロファイル
     • iOS/iPadOS
     • macOS
     • Windows 10 以降
     • Windows 8.1 以降
   • プロファイルの種類: [VPN] を選択します。 または、[テンプレート]>[VPN] を選択します。

4. [作成] を選択します。

5. [Basics]\(基本\) で次のプロパティを入力します。

   • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるよう、プロファイルに名前を付けます。 たとえば、「会社全体の VPN プロファイル」は適切なプロファイル名です。
   • Description: プロファイルの説明を入力します。 この設定は省略可能ですが、推奨されます。

6. [次へ] を選択します。

7. [構成設定] では、選択したプラットフォームによって構成できる設定が変わります。 詳細な設定については、お使いのプラットフォームを選択してください。

   • Android デバイス管理者
   • Android エンタープライズ
   • iOS/iPadOS
   • macOS
   • Windows 10 (Windows Holographic for Business を含む)
   • Windows 8.1

8. [次へ] を選択します。

9. スコープ タグ (オプション) で、US-NC IT Team や JohnGlenn_ITDepartment など、特定の IT グループにプロファイルをフィルター処理するためのタグを割り当てます。 スコープ タグの詳細については、分散 IT に RBAC とスコープのタグを使用するに関するページを参照してください。

   [次へ] を選択します。

10. [ 割り当て] で、プロファイルを受け取るユーザーまたはグループを選択します。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

    [次へ] を選択します。

11. [確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 ポリシーもプロファイル リストに表示されます。

VPN プロファイルをセキュリティで保護する

VPN プロファイルは、さまざまな製造元から提供される多くの異なる接続の種類およびプロトコルに対応しています。 これらの接続は、通常、次の方法を通じてセキュリティで保護されます。

証明書

VPN プロファイルを作成するときに、Intune で事前に作成した SCEP または PKCS の証明書プロファイルを選択します。 このプロファイルは ID 証明書と呼ばれます。 ユーザーのデバイスの接続を許可するために作成した信頼済み証明書プロファイル (または、"ルート証明書") に対して認証を行うために使用されます。 信頼できる証明書は、VPN 接続を認証するコンピューター (通常は VPN サーバー) に割り当てられます。

VPN プロファイルに証明書ベースの認証を使用する場合は、VPN プロファイル、証明書プロファイル、および信頼されたルート プロファイルを同じグループに展開します。 この割り当てにより、各デバイスが証明機関の正当性を認識するようになります。

Intune で証明書プロファイルを作成および使用する方法の詳細については、「Microsoft Intune で証明書を構成する方法」を参照してください。

注:

[PKCS のインポートされた証明書] のプロファイルを使用して追加された証明書は、VPN 認証ではサポートされません。 [PKCS 証明書] のプロファイルを使用して追加された証明書は、VPN 認証でサポートされます。

ユーザー名とパスワード

ユーザーは、ユーザー名とパスワード、または派生資格情報を指定することにより、VPN サーバーに対して認証を行います。

次の手順

• プロファイルを割り当て、その状態を監視します。
• Android デバイス管理者または Android Enterprise デバイスと iOS/iPadOS デバイス上でアプリごとの VPN を作成し、使用することもできます。