Configuration Managerで VPN プロファイルを作成する方法
Configuration Manager (現在のブランチ) に適用
重要
バージョン 2203 以降、この会社のリソース アクセス機能はサポートされなくなりました。 詳細については、「 リソース アクセスの非推奨に関してよく寄せられる質問」を参照してください。
Configuration Managerでは、複数の VPN 接続の種類がサポートされています。 さまざまなデバイス プラットフォームで使用できる接続の種類の詳細については、「 VPN プロファイル」を参照してください。
サードパーティの VPN 接続の場合は、VPN プロファイルをデプロイする前に VPN アプリを配布します。 アプリをデプロイしない場合、ユーザーが VPN に接続しようとすると、その操作を求めるメッセージが表示されます。 詳細については、「アプリケーションの デプロイ」を参照してください。
VPN プロファイルの作成
Configuration Manager コンソールで、[資産とコンプライアンス] ワークスペースに移動し、[コンプライアンス設定] を展開し、[会社のリソース アクセス] を展開して、[VPN プロファイル] ノードを選択します。
リボンの [ ホーム ] タブの [ 作成 ] グループで、[ VPN プロファイルの作成] を選択します。
VPN プロファイルの作成ウィザードの [ 全般 ] ページで、次の情報を指定します。
[名前]: コンソールで VPN プロファイルを識別する一意の名前を入力します。
注:
VPN プロファイル名には、次の文字を使用しないでください。
\/:*?<>|;
Windows VPN プロファイルでは、これらの特殊文字はサポートされていません。説明: 必要に応じて、VPN プロファイルに関する詳細情報を提供する説明を入力します。
VPN プロファイルの種類: 適切なプラットフォームを選択します。
Windows 8.1 プラットフォームを選択した場合は、ファイルからインポートすることもできます。 このアクションは、XML ファイルから VPN プロファイル情報をインポートします。 このオプションを選択すると、ウィザードの残りの部分は、 サポートされているプラットフォーム と VPN プロファイルのインポートのページに簡略化されます。
[ サポートされているプラットフォーム ] ページで、この VPN プロファイルでサポートされている OS バージョンを選択します。
[ 接続 ] ページで、次の情報を指定します。
接続の種類: VPN 接続の種類を選択します。 サポートされている種類の詳細については、「 VPN プロファイル」を参照してください。
サーバーの一覧: VPN 接続に使用する新しいサーバーを追加します。 接続の種類に応じて、1 つ以上の VPN サーバーを追加し、既定のサーバーを指定できます。
会社のネットワークに接続されている場合に VPN をバイパスする: クライアントが内部ネットワーク上にある場合に VPN を使用しないように構成します。 必要に応じて、接続固有の DNS 名を指定します。
ウィザードの [ 認証方法 ] ページで、接続の種類でサポートされている方法を選択します。 このページの設定と使用可能なオプションは、選択した接続の種類によって異なります。 詳細については、「 認証方法リファレンス」を参照してください。
[ プロキシ設定] ページで、VPN でプロキシ サーバーを使用している場合は、環境に応じていずれかのオプションを選択します。 次に、プロキシの構成情報を指定します。
[アプリケーション] ページは、Windows 10 プロファイルにのみ適用されます。 この VPN に自動的に接続するデスクトップ アプリとユニバーサル アプリを追加します。 アプリの種類によって、アプリ識別子が決まります。
デスクトップ アプリの場合は、アプリのファイル パスを指定します。
ユニバーサル アプリの場合は、パッケージ ファミリ名 (PFN) を指定します。 アプリの PFN を検索する方法については、「アプリ ごとの VPN のパッケージ ファミリ名を検索する」を参照してください。
この VPN を使用できるのは、一覧表示されているアプリのみになるようにオプションを構成することもできます。
重要
アプリごとの VPN を構成するためにコンパイルした関連付けられているアプリのすべての一覧をセキュリティで保護します。 承認されていないユーザーがリストを変更し、アプリごとの VPN アプリの一覧にインポートした場合、アクセス権を持たないアプリへの VPN アクセスを承認する可能性があります。
[境界] ページは、VPN 境界を構成するためにWindows 10 プロファイルにのみ適用されます。 次のオプションを追加できます。
ネットワーク トラフィック ルール: VPN 接続を有効にするために、プロトコル、ローカル ポート、リモート ポート、アドレス範囲を設定します。
注:
ネットワーク トラフィック規則を作成しない場合、すべてのプロトコル、ポート、およびアドレス範囲が有効になります。 ルールを作成すると、そのルールまたは追加のルールで指定したプロトコル、ポート、アドレス範囲のみが VPN 接続で使用されます。
DNS 名とサーバー: デバイスが接続を確立した後に VPN 接続によって使用される DNS サーバー。
ルート: VPN 接続を使用するネットワーク ルート。 60 を超えるルートを作成すると、ポリシーが失敗する可能性があります。
ウィザードを終了します。
新しい VPN プロファイルは、[資産とコンプライアンス] ワークスペースの [VPN プロファイル] ノードに表示されます。
認証方法リファレンス
使用可能な VPN 認証方法は、接続の種類によって異なります。
証明書
クライアント証明書がネットワーク ポリシー サーバーなどの RADIUS サーバーに対して認証される場合は、証明書のサブジェクトの別名をユーザー プリンシパル名に設定します。
サポートされている接続の種類:
- Pulse Secure
- F5 Edge クライアント
- Dell SonicWALL Mobile Connect
- Check Point Mobile VPN
ユーザー名とパスワード
サポートされている接続の種類:
- Pulse Secure
- F5 Edge クライアント
- Dell SonicWALL Mobile Connect
- Check Point Mobile VPN
EAP-TTLS のMicrosoft
サポートされている接続の種類:
- Microsoft SSL (SSTP)
- 自動Microsoft
- PPTP
- IKEv2
- L2TP
保護された EAP (PEAP) のMicrosoft
サポートされている接続の種類:
- Microsoft SSL (SSTP)
- 自動Microsoft
- IKEv2
- PPTP
- L2TP
セキュリティで保護されたパスワードのMicrosoft (EAP-MSCHAP v2)
サポートされている接続の種類:
- Microsoft SSL (SSTP)
- 自動Microsoft
- IKEv2
- PPTP
- L2TP
スマート カードまたはその他の証明書
サポートされている接続の種類:
- Microsoft SSL (SSTP)
- 自動Microsoft
- IKEv2
- PPTP
- L2TP
MSCHAP v2
サポートされている接続の種類:
- Microsoft SSL (SSTP)
- 自動Microsoft
- IKEv2
- PPTP
- L2TP
マシン証明書を使用する
サポートされている接続の種類:
- IKEv2
その他の認証オプション
Windows クライアント バージョンでサポートされている場合は、[認証方法の 構成] オプションを使用できます。 このオプションでは、認証方法を構成するための [Windows プロパティ] ウィンドウが開きます。
選択したオプションによっては、次のような詳細情報の指定が求められる場合があります。
ログオン時のユーザー資格情報を記憶する: ユーザーの資格情報は、ユーザーが接続するたびに入力する必要がないように記憶されます。
クライアント認証用のクライアント証明書を選択する: VPN 接続を認証するために、以前に作成したクライアント SCEP 証明書プロファイルを選択します。 詳細については、「 PFX 証明書プロファイルの作成」を参照してください。
次の手順
サードパーティの VPN 接続の場合は、VPN プロファイルをデプロイする前に VPN アプリを配布します。 アプリをデプロイしない場合、ユーザーが VPN に接続しようとすると、その操作を求めるメッセージが表示されます。 詳細については、「アプリケーションの デプロイ」を参照してください。
VPN プロファイルをデプロイします。 詳細については、「 プロファイルをデプロイする方法」を参照してください。