Intune で VPN プロファイルを作成して VPN サーバーに接続する
重要
2022 年 10 月 22 日、Microsoft Intune は Windows 8.1 を実行しているデバイスのサポートを終了しました。 これらのデバイスでは技術サポートや自動更新は利用できません。
現在 Windows 8.1 を使用している場合は、Windows 10/11 デバイスに移動します。 Microsoft Intune には、Windows 10/11 クライアント デバイスを管理するセキュリティ機能とデバイス機能が組み込まれています。
重要
Microsoft Intune は、2024 年 12 月 31 日に Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。 詳細については、「 GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。
仮想プライベート ネットワーク (VPN) を使用すると、組織のユーザーが組織のネットワークにリモート アクセスする際にセキュリティで保護することができます。 デバイスでは、VPN 接続プロファイルを使用して VPN サーバーとの接続が開始されます。 Microsoft Intune の VPN プロファイルにより、組織内のユーザーとデバイスに VPN 設定が割り当てられます。 これらの設定を使用して、ユーザーが組織のネットワークに簡単かつ安全に接続できるようにします。
この機能は、以下に適用されます:
- Android デバイス管理者
- 仕事用プロファイルがある個人所有の Android Enterprise デバイス
- iOS/iPadOS
- macOS
- Windows 10
- Windows 11
- Windows 8.1 以降
たとえば、組織のネットワーク上のファイル共有に接続するために必要な設定をすべての iOS/iPadOS デバイスに構成したいとします。 これらの設定を含む VPN プロファイルを作成します。 iOS/iPadOS デバイスを持っているすべてのユーザーにこのプロファイルを割り当てます。 使用できるネットワークの一覧に VPN 接続が表示されるので、ユーザーは最小限の労力で接続できます。
この記事では、使用できる VPN アプリの一覧を示し、VPN プロファイルを作成する方法について説明します。また、VPN プロファイルをセキュリティで保護するためのガイダンスを示します。 VPN プロファイルを作成する前に、VPN アプリを展開する必要があります。 Microsoft Intune を使用したアプリの展開に関するヘルプが必要な場合は、「Microsoft Intune でのアプリ管理とは」を参照してください。
はじめに
デバイス トンネルの VPN プロファイルは、Windows 10/11 Enterprise マルチセッション リモート デスクトップでサポートされています。
VPN プロファイルに証明書ベースの認証を使用する場合は、VPN プロファイル、証明書プロファイル、および信頼されたルート プロファイルを同じグループに展開します。 この手順により、各デバイスが証明機関の正当性を確実に認識できるようになります。 詳細については、「 Microsoft Intune で証明書を構成する方法」を参照してください。
iOS および iPadOS と macOS のユーザー登録では、アプリごとの VPNのみがサポートされます。
Intune のカスタム構成ポリシーを使用して、次のプラットフォーム用の VPN プロファイルを作成できます:
- Android 4 以降
- Windows 8.1 以降を実行する登録済みのデバイス
- Windows 10/11 を実行する登録済みデバイス
- Windows Holographic for Business
Windows 11 デバイスの場合、 Windows 11 クライアントと Windows VPNv2 CSP の間に問題があります。
1 つ以上の Intune VPN プロファイルを持つデバイスでは、デバイスがデバイスの VPN プロファイルに対する複数の変更を同時に処理すると、VPN 接続が失われます。 デバイスが Intune に 2 回目にチェックインすると、VPN プロファイルの変更が処理され、接続が復元されます。
次の変更により、VPN 機能が失われる可能性があります。
- Windows 11 デバイスによって以前に処理された既存の VPN プロファイルを変更または更新します。 この操作により、元のプロファイルが削除され、更新されたプロファイルが適用されます。
- 2 つの新しい VPN プロファイルが同時にデバイスに適用されます。
- アクティブな VPN プロファイルは、新しい VPN プロファイルが割り当てられると同時に削除されます。
この問題は適用されません。VPN 接続は次のシナリオに残ります。
Windows 11 デバイスには既存の VPN プロファイルが割り当てられず、デバイスは 1 つの Intune VPN プロファイルを受け取ります。
Windows 11 デバイスには、既存の VPN プロファイルが割り当てられ、他のプロファイルが変更されていない別の VPN プロファイルが割り当てられます。
Windows 10 デバイスが Windows 11 にアップグレードされ、そのデバイスの VPN プロファイルに変更はありません。 Windows 11 へのアップグレード後、デバイスの VPN プロファイルを変更したり、新しい VPN プロファイルを追加したりすると、問題が発生します。
Windows 11 では、次のことが必要です。
IKE セキュリティ アソシエーション パラメーターと子セキュリティ アソシエーション パラメーターの設定はすべて構成されています
または
IKE セキュリティ アソシエーション パラメーターと子セキュリティ アソシエーション パラメーターの設定は構成されていません
IKE セキュリティ アソシエーション パラメーターまたは子セキュリティ アソシエーション パラメーターの設定のいずれかを構成するだけで、VPN 機能が失われます。
手順 1 - VPN アプリをデプロイする
デバイスに割り当てられた VPN プロファイルを使用するには、VPN アプリをインストールする必要があります。 この VPN アプリは、VPN サーバーに接続します。
使用できる VPN アプリは異なります。 ユーザー デバイスでは、組織が使用する VPN アプリをデプロイします。 VPN アプリが展開されたら、VPN サーバー名 (または FQDN) や認証方法など、VPN サーバー設定を構成する VPN デバイス構成プロファイルを作成して展開します。
一部のプラットフォームと VPN アプリでは、VPN デバイス構成プロファイルではなく、VPN アプリを事前構成するためのアプリ構成ポリシーが必要です。 このセクションでは、アプリ構成ポリシーを使用する必要があるプラットフォームと VPN アプリも一覧表示します。
Intune を使用してアプリを割り当てるには、[ Microsoft Intune にアプリを追加する] に移動します。
VPN 接続の種類
VPN プロファイルは、次の VPN 接続の種類を使用して作成できます。
自動
- Windows 10 または 11
Check Point Capsule VPN
- Android デバイス管理者
- 仕事用プロファイルがある個人所有の Android Enterprise デバイス
- Android Enterprise のフル マネージド、企業所有の仕事用プロファイル: アプリ構成ポリシーを使用する
- iOS/iPadOS
- macOS
- Windows 10 または 11
- Windows 8.1
Cisco AnyConnect
- Android デバイス管理者
- 仕事用プロファイルがある個人所有の Android Enterprise デバイス
- Android Enterprise フル マネージドおよび会社所有の仕事用プロファイル
- iOS/iPadOS
- macOS
- Windows 10 または 11
Cisco (IPSec)
- iOS/iPadOS
Citrix SSO
カスタム VPN
- iOS/iPadOS
- macOS
カスタム設定を持つプロファイルの作成に関するページを参照して、URI の設定を使ってカスタム VPN プロファイルを作成します。
F5 Access
- Android デバイス管理者
- 仕事用プロファイルがある個人所有の Android Enterprise デバイス
- Android Enterprise フル マネージドおよび会社所有の仕事用プロファイル
- iOS/iPadOS
- macOS
- Windows 10 または 11
- Windows 8.1
IKEv2
- iOS/iPadOS
- Windows 10 または 11
L2TP
- Windows 10 または 11
Microsoft Tunnel
- 仕事用プロファイルがある個人所有の Android Enterprise デバイス
- Android Enterprise フル マネージドおよび会社所有の仕事用プロファイル
- iOS/iPadOS
NetMotion Mobility
- 仕事用プロファイルがある個人所有の Android Enterprise デバイス
- Android Enterprise フル マネージドおよび会社所有の仕事用プロファイル
- iOS/iPadOS
- macOS
Palo Alto Networks GlobalProtect
PPTP
- Windows 10 または 11
Pulse Secure
- Android デバイス管理者
- 仕事用プロファイルがある個人所有の Android Enterprise デバイス
- Android Enterprise フル マネージドおよび会社所有の仕事用プロファイル
- iOS/iPadOS
- Windows 10 または 11
- Windows 8.1
SonicWall Mobile Connect
- Android デバイス管理者
- 仕事用プロファイルがある個人所有の Android Enterprise デバイス
- Android Enterprise フル マネージドおよび会社所有の仕事用プロファイル
- iOS/iPadOS
- macOS
- Windows 10 または 11
- Windows 8.1
Zscaler
手順 2 - プロファイルを作成する
VPN アプリがデバイスに割り当てられた後、この次の手順では、VPN 接続を構成するデバイス構成ポリシーを作成します。 VPN アプリ接続の種類でアプリ構成ポリシーを使用してアプリを構成する場合は、この手順をスキップします。
Microsoft Intune 管理センターにサインインします。
[デバイス]>[デバイスの管理]>[構成]>[作成]>[新しいポリシー] の順に選択します。
次のプロパティを入力します。
-
プラットフォーム: デバイスのプラットフォームを選択します。 次のようなオプションがあります。
- Android デバイス管理者
- [Android Enterprise]>[フル マネージド]、[専用]、[会社所有の仕事用プロファイル]
- Android Enterprise>個人所有の仕事用プロファイル
- iOS/iPadOS
- macOS
- Windows 10 以降
- Windows 8.1 以降
- プロファイルの種類: [VPN] を選択します。 または、[テンプレート]>[VPN] を選択します。
-
プラットフォーム: デバイスのプラットフォームを選択します。 次のようなオプションがあります。
[作成] を選択します。
[Basics]\(基本\) で次のプロパティを入力します。
- 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるよう、プロファイルに名前を付けます。 たとえば、「会社全体の VPN プロファイル」は適切なプロファイル名です。
- Description: プロファイルの説明を入力します。 この設定は省略可能ですが、推奨されます。
[次へ] を選択します。
[構成設定] では、選択したプラットフォームによって構成できる設定が変わります。 詳細な設定については、お使いのプラットフォームを選択してください。
[次へ] を選択します。
スコープ タグ (オプション) で、
US-NC IT Team
やJohnGlenn_ITDepartment
など、特定の IT グループにプロファイルをフィルター処理するためのタグを割り当てます。 スコープ タグの詳細については、「 分散 IT に RBAC とスコープ タグを使用する」を参照してください。[次へ] を選択します。
[ 割り当て] で、プロファイルを受け取るユーザーまたはグループを選択します。 プロファイルの割り当ての詳細については、「 ユーザー プロファイルとデバイス プロファイルの割り当て」を参照してください。
[次へ] を選択します。
[確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 ポリシーもプロファイル リストに表示されます。
VPN プロファイルをセキュリティで保護する
VPN プロファイルは、さまざまな製造元から提供される多くの異なる接続の種類およびプロトコルに対応しています。 これらの接続は、通常、次の方法を通じてセキュリティで保護されます。
証明書
VPN プロファイルを作成するときに、Intune で事前に作成した SCEP または PKCS の証明書プロファイルを選択します。 このプロファイルは ID 証明書と呼ばれます。 ユーザーのデバイスの接続を許可するために作成した信頼済み証明書プロファイル (または、"ルート証明書") に対して認証を行うために使用されます。 信頼できる証明書は、VPN 接続を認証するコンピューター (通常は VPN サーバー) に割り当てられます。
VPN プロファイルに証明書ベースの認証を使用する場合は、VPN プロファイル、証明書プロファイル、および信頼されたルート プロファイルを同じグループに展開します。 この割り当てにより、各デバイスが証明機関の正当性を認識するようになります。
Intune で証明書プロファイルを作成して使用する方法の詳細については、「 Microsoft Intune で証明書を構成する方法」を参照してください。
注:
[PKCS のインポートされた証明書] のプロファイルを使用して追加された証明書は、VPN 認証ではサポートされません。 [PKCS 証明書] のプロファイルを使用して追加された証明書は、VPN 認証でサポートされます。
ユーザー名とパスワード
ユーザーは、ユーザー名とパスワード、または派生資格情報を指定することにより、VPN サーバーに対して認証を行います。
次の手順
- プロファイルを割り当て、その状態を監視します。
- Android デバイス管理者または Android Enterprise デバイスと iOS/iPadOS デバイス上でアプリごとの VPN を作成し、使用することもできます。