Add VPN settings on iOS and iPadOS devices in Microsoft Intune (Microsoft Intune で iOS デバイスおよび iPadOS デバイスに VPN 設定を追加する)
Microsoft Intune には、iOS/iPadOS デバイスに展開できる多くの VPN 設定が含まれています。 これらの設定は、組織のネットワークへの VPN 接続を作成および構成するために使用されます。 この記事では、これらの設定について説明します。 一部の設定は、Citrix、Zscaler などの一部の VPN クライアントでのみ使用できます。
この機能は、以下に適用されます。
- iOS/iPadOS
開始する前に
iOS/iPadOS VPN デバイス構成プロファイルを作成します。
-
Outlook などの一部の Microsoft 365 サービスは、サード パーティまたはパートナー VPN を使用してうまく動作しない場合があります。 サード パーティまたはパートナー VPN を使用していて、待機時間やパフォーマンスの問題が発生した場合は、VPN を削除します。
VPN を削除すると動作が解決される場合は、次のことができます。
- 考えられる解決策については、サード パーティまたはパートナー VPN と連携してください。 Microsoft は、サード パーティまたはパートナー VPN のテクニカル サポートを提供していません。
- Outlook トラフィックで VPN を使用しないでください。
- VPN を使用する必要がある場合は、スプリット トンネル VPN を使用します。 また、Outlook トラフィックが VPN をバイパスできるようにします。
詳細については、次を参照してください:
最新の認証と条件付きアクセスを使用してオンプレミスリソースにアクセスするためにこれらのデバイスが必要な場合は、分割トンネリングをサポートする Microsoft Tunnel を使用できます。
注:
これらの設定は、ユーザー登録を除くすべての登録の種類で使用できます。 ユーザー登録は アプリごとの VPN に制限されます。 登録の種類の詳細については、「 iOS/iPadOS の登録」を参照してください。
使用可能な設定は、選択した VPN クライアントによって異なります。 一部の設定は、特定の VPN クライアントでのみ使用できます。
これらの設定では、 Apple VPN ペイロード が使用されます (Apple の Web サイトが開きます)。
接続の種類
次のベンダーの一覧から VPN 接続の種類を選択します。
Check Point Capsule VPN
Cisco Legacy AnyConnect
Cisco レガシ AnyConnect アプリ バージョン 4.0.5x 以前に適用されます。
Cisco AnyConnect
Cisco AnyConnect アプリ バージョン 4.0.7x 以降に適用されます。
SonicWall Mobile Connect
F5 Access Legacy
F5 Access アプリ バージョン 2.1 以前に適用されます。
F5 Access
F5 Access アプリ バージョン 3.0 以降に適用されます。
Palo Alto Networks GlobalProtect (レガシ)
Palo Alto Networks GlobalProtect アプリ バージョン 4.1 以前に適用されます。
Palo Alto Networks GlobalProtect
Palo Alto Networks GlobalProtect アプリ バージョン 5.0 以降に適用されます。
Pulse Secure
Cisco (IPSec)
Citrix VPN
Citrix SSO
Zscaler
条件付きアクセスを使用するか、ユーザーが Zscaler サインイン画面をバイパスできるようにするには、Zscaler Private Access (ZPA) を Microsoft Entra アカウントと統合する必要があります。 詳細な手順については、 Zscaler のドキュメントを参照してください。
NetMotion Mobility
IKEv2
IKEv2 設定 (この記事では) では、プロパティについて説明します。
Microsoft Tunnel
Tunnel クライアント機能を含む Microsoft Defender for Endpoint アプリに適用されます。
カスタム VPN
注:
Cisco、Citrix、F5、Palo Alto は、レガシ クライアントが iOS 12 以降では動作しないことを発表しました。 できるだけ早く新しいアプリに移行する必要があります。 詳細については、 Microsoft Intune サポート チームのブログを参照してください。
基本 VPN 設定
接続名: エンド ユーザーは、デバイスを参照して使用可能な VPN 接続の一覧を参照すると、この名前が表示されます。
カスタム ドメイン名 (Zscaler のみ): ユーザーが属しているドメインで Zscaler アプリのサインイン フィールドを事前入力します。 たとえば、ユーザー名が
Joe@contoso.net
されている場合、アプリが開くと、contoso.net
ドメインが静的にフィールドに表示されます。 ドメイン名を入力しない場合は、Microsoft Entra ID の UPN のドメイン部分が使用されます。VPN サーバー アドレス: デバイスが接続する VPN サーバーの IP アドレスまたは完全修飾ドメイン名 (FQDN)。 たとえば、「
192.168.1.1
」または「vpn.contoso.com
」と入力します。組織のクラウド名 (Zscaler のみ): 組織がプロビジョニングされているクラウド名を入力します。 Zscaler へのサインインに使用する URL には、名前があります。
認証方法: VPN サーバーに対するデバイスの認証方法を選択します。
証明書: [ 認証証明書] で、既存の SCEP または PKCS 証明書プロファイルを選択して接続を認証します。 証明書を構成すると、証明書 プロファイルに関するいくつかのガイダンスが提供されます。
ユーザー名とパスワード: エンド ユーザーが VPN サーバーにサインインするには、ユーザー名とパスワードを入力する必要があります。
注:
Cisco IPsec VPN の認証方法としてユーザー名とパスワードを使用する場合は、カスタム Apple Configurator プロファイルを介して SharedSecret を配信する必要があります。
派生資格情報: ユーザーのスマート カードから派生した証明書を使用します。 派生資格情報発行者が構成されていない場合、Intune は資格情報の追加を求めるメッセージを表示します。 詳細については、「 Microsoft Intune で派生資格情報を使用する」を参照してください。
除外 URL (Zscaler のみ): Zscaler VPN に接続すると、リストされている URL は Zscaler クラウドの外部からアクセスできます。 最大 50 個の URL を追加できます。
スプリット トンネリング: 有効 または 無効 にして、トラフィックに応じて、使用する接続をデバイスが決定できるようにします。 たとえば、ホテルのユーザーは VPN 接続を使用して作業ファイルにアクセスしますが、通常の Web 閲覧にはホテルの標準ネットワークを使用します。
VPN 識別子 (カスタム VPN、Zscaler、Citrix): 使用している VPN アプリの識別子であり、VPN プロバイダーによって提供されます。
組織のカスタム VPN 属性 (カスタム VPN、Zscaler、Citrix) のキーと値のペアを入力します。VPN 接続をカスタマイズするキーと値を追加またはインポートします。 これらの値は通常、VPN プロバイダーによって提供されます。
ネットワーク アクセス制御 (NAC) を有効にする (Cisco AnyConnect、Citrix SSO、F5 Access): [同意する] を選択すると、デバイス ID が VPN プロファイルに含まれます。 この ID は、ネットワーク アクセスを許可または禁止するために VPN への認証に使用できます。
ISE で Cisco AnyConnect を使用する場合は、次のことを確認してください。
- CISCO Identity Services エンジン管理者ガイドの「MICROSOFT Intune を MDM サーバーとして構成する」の説明に従って、ISE を NAC 用の Intune とまだ統合していない場合。
- VPN プロファイルで NAC を有効にします。
重要
ネットワーク アクセス制御 (NAC) サービスは非推奨となり、Microsoft の最新の NAC サービス (コンプライアンス取得サービス (CR サービス) に置き換えられます。 Cisco ISE 内の変更をサポートするために、Intune はデバイス ID 形式を変更しました。 そのため、元の NAC サービスを持つ既存のプロファイルは動作を停止します。
CR サービスを使用し、VPN 接続でのダウンタイムを防ぐには、これと同じ VPN デバイス構成プロファイルを再デプロイします。 プロファイルに変更は必要ありません。 再デプロイするだけで済む。 デバイスが Intune サービスと同期し、VPN 構成プロファイルを受信すると、CR サービスの変更がデバイスに自動的に展開されます。 また、VPN 接続は引き続き機能する必要があります。
Gateway で Citrix SSO を使用する場合は、次のことを確認してください。
- Citrix Gateway 12.0.59 以降を使用していることを確認します。
- ユーザーのデバイスに Citrix SSO 1.1.6 以降がインストールされていることを確認します。
- Citrix Gateway と Intune for NAC を統合します。 Microsoft Intune/Enterprise Mobility Suite と NetScaler の統合 (LDAP+OTP シナリオ) Citrix デプロイ ガイドを参照してください。
- VPN プロファイルで NAC を有効にします。
F5 Access を使用する場合は、次のことを確認してください。
- F5 BIG-IP 13.1.1.5 以降を使用していることを確認します。
- BIG-IP と Intune for NAC の統合。 「概要: エンドポイント管理システムを使用したデバイスのポスチャ チェックのための APM の構成」F5 ガイドを参照してください。
- VPN プロファイルで NAC を有効にします。
デバイス ID をサポートする VPN パートナーの場合、Citrix SSO などの VPN クライアントで ID を取得できます。 その後、Intune にクエリを実行して、デバイスが登録されていることを確認し、VPN プロファイルが準拠しているかどうか、または準拠していないかどうかを確認できます。
- この設定を削除するには、プロファイルを再作成し、[ 同意する] を選択しないでください。 次に、プロファイルを再割り当てします。
NetMotion Mobility VPN 属性のキーと値のペアを入力します (NetMotion Mobility のみ): キーと値のペアを入力またはインポートします。 これらの値は、VPN プロバイダーによって提供される場合があります。
Microsoft Tunnel サイト (Microsoft Tunnel のみ): 既存のサイトを選択します。 VPN クライアントは、このサイトのパブリック IP アドレスまたは FQDN に接続します。
詳細については、「 Microsoft Tunnel for Intune」を参照してください。
IKEv2 設定
これらの設定は、[接続の種類>IKEv2] を選択したときに適用されます。
Always-on VPN: 有効にすると 、VPN クライアントが VPN に自動的に接続して再接続するように設定されます。 Always-on VPN 接続は、ユーザーがデバイスをロックしたとき、デバイスが再起動したとき、またはワイヤレス ネットワークが変更されたときに、接続を維持するか、すぐに接続します。 [無効] (既定値) に設定すると、すべての VPN クライアントの常時接続 VPN が無効になります。 有効にした場合は、次の構成も行います。
ネットワーク インターフェイス: すべての IKEv2 設定は、選択したネットワーク インターフェイスにのみ適用されます。 次のようなオプションがあります。
- Wi-Fi と携帯ネットワーク (既定値): IKEv2 設定は、デバイス上の Wi-Fi インターフェイスと携帯ネットワーク インターフェイスに適用されます。
- 携帯ネットワーク: IKEv2 設定は、デバイス上の携帯ネットワーク インターフェイスにのみ適用されます。 Wi-Fi インターフェイスを無効または削除したデバイスに展開する場合は、このオプションを選択します。
- Wi-Fi: IKEv2 設定は、デバイス上の Wi-Fi インターフェイスにのみ適用されます。
[ユーザーが VPN 構成を無効にする]: [有効] にすると 、ユーザーは Always-on VPN をオフにすることができます。 [無効] (既定値) にすると、ユーザーが無効にできなくなります。この設定の既定値は、最も安全なオプションです。
ボイスメール: Always-on VPN が有効になっている場合のボイスメール トラフィックの動作を選択します。 次のようなオプションがあります。
- VPN 経由でネットワーク トラフィックを強制 する (既定値): この設定は最も安全なオプションです。
- ネットワーク トラフィックが VPN の外部に渡されるようにする
- ネットワーク トラフィックを削除する
AirPrint: Always-on VPN が有効になっている場合の AirPrint トラフィックの動作を選択します。 次のようなオプションがあります。
- VPN 経由でネットワーク トラフィックを強制 する (既定値): この設定は最も安全なオプションです。
- ネットワーク トラフィックが VPN の外部に渡されるようにする
- ネットワーク トラフィックを削除する
携帯ネットワーク サービス: iOS 13.0 以降では、常時接続 VPN が有効になっている場合の携帯ネットワーク トラフィックの動作を選択します。 次のようなオプションがあります。
- VPN 経由でネットワーク トラフィックを強制 する (既定値): この設定は最も安全なオプションです。
- ネットワーク トラフィックが VPN の外部に渡されるようにする
- ネットワーク トラフィックを削除する
非ネイティブのキャプティブ ネットワーク アプリからのトラフィックが VPN の外部を通過することを許可する: キャプティブ ネットワークとは、通常レストランやホテルで見られる Wi-Fi ホットスポットを指します。 次のようなオプションがあります。
いいえ: VPN トンネルを介してすべてのキャプティブ ネットワーク (CN) アプリ トラフィックを強制します。
はい。すべてのアプリ: すべての CN アプリ トラフィックが VPN をバイパスできるようにします。
はい。特定のアプリ: トラフィックが VPN をバイパスできる CN アプリの一覧を 追加 します。 CN アプリのバンドル識別子を入力します。 たとえば、「
com.contoso.app.id.package
」と入力します。Intune に追加されたアプリのバンドル ID を取得するには、 Intune 管理センターを使用します。
キャプティブ Websheet アプリから VPN の外部に渡すトラフィック: キャプティブ WebSheet は、キャプティブ サインオンを処理する組み込みの Web ブラウザーです。 [有効] を 選択すると、ブラウザー アプリのトラフィックが VPN をバイパスできます。 [無効] (既定値) では、WebSheet トラフィックで Always-on VPN が強制的に使用されます。 既定値は、最も安全なオプションです。
ネットワーク アドレス変換 (NAT) キープアライブ間隔 (秒): VPN への接続を維持するために、デバイスはネットワーク パケットを送信してアクティブなままにします。 20 から 1440 まで、これらのパケットが送信される頻度の値を秒単位で入力します。 たとえば、60 秒ごとにネットワーク パケットを VPN に送信する
60
の値を入力します。 既定では、この値は110
秒に設定されます。デバイスがスリープ状態のときに NAT キープアライブをハードウェアにオフロードする: デバイスがスリープ状態の場合、 有効 (既定値) には NAT がキープアライブ パケットを継続的に送信するため、デバイスは VPN に接続したままです。 無効にすると 、この機能がオフになります。
リモート識別子: IKEv2 サーバーのネットワーク IP アドレス、FQDN、UserFQDN、または ASN1DN を入力します。 たとえば、「
10.0.0.3
」または「vpn.contoso.com
」と入力します。 通常、 接続名 と同じ値を入力します (この記事では)。 ただし、IKEv2 サーバー設定によって異なります。ローカル識別子: デバイス上の IKEv2 VPN クライアントのデバイス FQDN またはサブジェクト共通名を入力します。 または、この値を空のままにすることもできます (既定値)。 通常、ローカル識別子はユーザーまたはデバイス証明書の ID と一致する必要があります。 IKEv2 サーバーでは、クライアントの ID を検証できるように、一致する値が必要になる場合があります。
クライアント認証の種類: VPN クライアントが VPN に対して認証する方法を選択します。 次のようなオプションがあります。
- ユーザー認証 (既定値): ユーザー資格情報は VPN に対して認証されます。
- マシン認証: デバイス資格情報は VPN に対して認証されます。
認証方法: サーバーに送信するクライアント資格情報の種類を選択します。 次のようなオプションがあります。
証明書: 既存の証明書プロファイルを使用して VPN に対する認証を行います。 この証明書プロファイルがユーザーまたはデバイスに既に割り当てられていることを確認します。 それ以外の場合、VPN 接続は失敗します。
-
証明書の種類: 証明書で使用される暗号化の種類を選択します。 この種類の証明書を受け入れるように VPN サーバーが構成されていることを確認します。 次のようなオプションがあります。
- RSA (既定値)
- ECDSA256
- ECDSA384
- ECDSA521
-
証明書の種類: 証明書で使用される暗号化の種類を選択します。 この種類の証明書を受け入れるように VPN サーバーが構成されていることを確認します。 次のようなオプションがあります。
共有シークレット (マシン認証のみ): VPN サーバーに送信する共有シークレットを入力できます。
- 共有シークレット: 共有シークレット (事前共有キー (PSK) とも呼ばれます) を入力します。 値が VPN サーバーで構成されている共有シークレットと一致していることを確認します。
サーバー証明書発行者の共通名: VPN サーバーが VPN クライアントに対して認証できるようにします。 デバイス上の VPN クライアントに送信される VPN サーバー証明書の証明書発行者共通名 (CN) を入力します。 CN 値が VPN サーバーの構成と一致していることを確認します。 それ以外の場合、VPN 接続は失敗します。
サーバー証明書の共通名: 証明書自体の CN を入力します。 空白のままにすると、リモート識別子の値が使用されます。
[デッド ピア検出率]: VPN クライアントが VPN トンネルがアクティブかどうかを確認する頻度を選択します。 次のようなオプションがあります。
- 未構成: iOS/iPadOS システムの既定値を使用します。これは、[ 中] を選択した場合と同じ場合があります。
- なし: デッド ピア検出を無効にします。
- 低: 30 分ごとにキープアライブ メッセージを送信します。
- 中 (既定値): 10 分ごとにキープアライブ メッセージを送信します。
- 高: 60 秒ごとにキープアライブ メッセージを送信します。
TLS バージョンの範囲の最小値: 使用する TLS の最小バージョンを入力します。 「
1.0
、1.1
、または1.2
」と入力します。 空白のままにすると、既定値の1.0
が使用されます。 ユーザー認証と証明書を使用する場合は、この設定を構成する必要があります。TLS バージョンの範囲の最大値: 使用する TLS の最大バージョンを入力します。 「
1.0
、1.1
、または1.2
」と入力します。 空白のままにすると、既定値の1.2
が使用されます。 ユーザー認証と証明書を使用する場合は、この設定を構成する必要があります。完全前方秘密: [有効にする] を 選択して、完全な前方秘密 (PFS) を有効にします。 PFS は、セッション キーが侵害された場合の影響を軽減する IP セキュリティ機能です。 無効 (既定値) は PFS を使用しません。
証明書失効チェック: [ 有効にする] を 選択して、VPN 接続の成功を許可する前に証明書が失効していないことを確認します。 このチェックはベスト エフォートです。 証明書が失効しているかどうかを判断する前に VPN サーバーがタイムアウトした場合、アクセス権が付与されます。 無効 ( 既定値) では、失効した証明書は確認されません。
IPv4/IPv6 内部サブネット属性を使用する: 一部の IKEv2 サーバーでは、
INTERNAL_IP4_SUBNET
またはINTERNAL_IP6_SUBNET
属性を使用します。 有効にすると 、VPN 接続でこれらの属性が強制的に使用されます。 無効 ( 既定値) では、VPN 接続でこれらのサブネット属性が強制的に使用されることはありません。モビリティとマルチホーム (MOBIKE): MOBIKE を使用すると、VPN クライアントは VPN サーバーとのセキュリティ関連付けを再作成することなく、IP アドレスを変更できます。 [有効] (既定値) は MOBIKE をオンにします。これにより、ネットワーク間を移動するときに VPN 接続を向上させることができます。 無効 にすると、MOBIKE がオフになります。
リダイレクト: 有効 (既定値) は、リダイレクト要求が VPN サーバーから受信された場合に IKEv2 接続をリダイレクトします。 [無効] にすると 、VPN サーバーからリダイレクト要求を受信した場合に IKEv2 接続がリダイレクトされなくなります。
最大伝送単位: 最大伝送単位 (MTU) を 1 から 65536 までのバイト単位で入力します。 [ 未構成] または [空白] に設定されている場合、Intune はこの設定を変更または更新しません。 既定では、Apple はこの値を 1280 に設定できます。
この設定は、以下の場合に適用されます。
- iOS/iPadOS 14 以降
セキュリティ 関連付けパラメーター: VPN サーバーとのセキュリティ 関連付けを作成するときに使用するパラメーターを入力します。
暗号化アルゴリズム: 目的のアルゴリズムを選択します。
- DES
- 3DES
- AES-128
- AES-256 (既定値)
- AES-128-GCM
- AES-256-GCM
注:
暗号化アルゴリズムを
AES-128-GCM
またはAES-256-GCM
に設定した場合、AES-256
の既定値が使用されます。 これは既知の問題であり、今後のリリースで修正される予定です。 ETA はありません。整合性アルゴリズム: 必要なアルゴリズムを選択します。
- SHA1-96
- SHA1-160
- SHA2-256 (既定値)
- SHA2-384
- SHA2-512
Diffie-Hellman グループ: 目的のグループを選択します。 既定値はグループ
2
です。有効期間 (分): キーが回転するまでセキュリティアソシエーションがアクティブな状態を維持する期間を入力します。
10
と1440
の間の値全体を入力します (1440 分は 24 時間)。 既定値は1440
です。
子セキュリティ 関連付けパラメーター: iOS/iPadOS を使用すると、IKE 接続と子接続に個別のパラメーターを構成できます。 VPN サーバーとの 子 セキュリティ アソシエーションを作成するときに使用するパラメーターを入力します。
暗号化アルゴリズム: 目的のアルゴリズムを選択します。
- DES
- 3DES
- AES-128
- AES-256 (既定値)
- AES-128-GCM
- AES-256-GCM
注:
暗号化アルゴリズムを
AES-128-GCM
またはAES-256-GCM
に設定した場合、AES-256
の既定値が使用されます。 これは既知の問題であり、今後のリリースで修正される予定です。 ETA はありません。
整合性アルゴリズム: 必要なアルゴリズムを選択します。
- SHA1-96
- SHA1-160
- SHA2-256 (既定値)
- SHA2-384
- SHA2-512
また、次の構成も行います。
-
Diffie-Hellman グループ: 目的のグループを選択します。 既定値はグループ
2
です。 -
有効期間 (分): キーが回転するまでセキュリティアソシエーションがアクティブな状態を維持する期間を入力します。
10
と1440
の間の値全体を入力します (1440 分は 24 時間)。 既定値は1440
です。
自動 VPN
自動 VPN の種類: 構成する VPN の種類 (オンデマンド VPN またはアプリごとの VPN) を選択します。 必ず 1 つのオプションのみを使用してください。 両方を同時に使用すると、接続の問題が発生します。
未構成 (既定): Intune では、この設定は変更または更新されません。
オンデマンド VPN: オンデマンド VPN では、規則を使用して VPN 接続を自動的に接続または切断します。 デバイスが VPN に接続しようとすると、一致するドメイン名など、作成したパラメーターとルールで一致が検索されます。 一致するものがある場合は、選択したアクションが実行されます。
たとえば、VPN 接続は、デバイスが会社のネットワークに接続されていない場合にのみ使用 Wi-Fi 条件を作成できます。 または、入力した DNS 検索ドメインにデバイスがアクセスできない場合、VPN 接続は開始されません。
オンデマンド ルール>追加: [ 追加] を選択してルールを追加します。 既存の VPN 接続がない場合は、これらの設定を使用してオンデマンドルールを作成します。 ルールと一致する場合は、選択したアクションがデバイスによって実行されます。
次の操作を実行します。デバイスの値とオンデマンド ルールの間に一致するものがある場合は、デバイスで実行するアクションを選択します。 次のようなオプションがあります。
VPN を確立する: デバイスの値とオンデマンドルールの間に一致がある場合、デバイスは VPN に接続します。
VPN の切断: デバイスの値とオンデマンドルールの間に一致する場合、VPN 接続は切断されます。
各接続試行を評価する: デバイスの値とオンデマンド ルールが一致する場合は、[ 接続するかどうかを選択する] 設定を使用して 、VPN 接続試行 ごとに 何が起こるかを決定します。
必要に応じて接続する: デバイスが内部ネットワーク上にある場合、または内部ネットワークへの VPN 接続が既に確立されている場合、オンデマンド VPN は接続されません。 これらの設定は使用されません。
既存の VPN 接続がない場合は、VPN 接続試行 ごとに 、ユーザーが DNS ドメイン名を使用して接続するかどうかを決定します。 この規則は、[ユーザーがこれらのドメインに アクセスしようとするとき ] ボックスの一覧のドメインにのみ適用されます。 その他のドメインはすべて無視されます。
ユーザーがこれらのドメインにアクセスしようとするとき:
contoso.com
など、1 つ以上の DNS ドメインを入力します。 ユーザーがこの一覧のドメインに接続しようとすると、デバイスは DNS を使用して入力したドメインを解決します。 ドメインが解決されない場合(つまり、内部リソースにアクセスできない場合)、VPN オンデマンドに接続します。 ドメインが解決した場合(つまり、既に内部リソースにアクセスできる)、VPN に接続されません。注:
[ユーザーがこれらのドメインにアクセスしようとするとき] 設定が空の場合、デバイスはネットワーク接続サービス (Wi-Fi/イーサネット) で構成された DNS サーバーを使用してドメインを解決します。 これらの DNS サーバーはパブリック サーバーであるという考え方です。
[ユーザーがこれらのドメイン にアクセスしようとするとき ] ボックスの一覧のドメインは内部リソースです。 内部リソースはパブリック DNS サーバー上に存在せず、解決できません。 そのため、デバイスは VPN に接続します。 これで、VPN 接続の DNS サーバーを使用してドメインが解決され、内部リソースが使用可能になります。
デバイスが内部ネットワーク上にある場合、ドメインは解決され、内部ドメインが既に使用可能であるため VPN 接続は作成されません。 内部ネットワーク上のデバイスで VPN リソースを無駄にしたくない。
[ ユーザーがこれらのドメインにアクセスしようとすると き] 設定が設定されている場合、この一覧の DNS サーバーを使用して、一覧内のドメインを解決します。
このアイデアは、最初の箇条書きの反対です (ユーザーがこれらのドメインにアクセスしようとすると 設定が空になります)。 たとえば、[ ユーザーがこれらのドメインにアクセスしようとすると き] リストには内部 DNS サーバーがあります。 外部ネットワーク上のデバイスは、内部 DNS サーバーにルーティングできません。 名前解決がタイムアウトし、デバイスは VPN オンデマンドに接続します。 内部リソースを使用できるようになりました。
この情報は、[ユーザーがこれらのドメインに アクセスしようとするとき ] の一覧のドメインにのみ適用されることに注意してください。 その他のすべてのドメインは、パブリック DNS サーバーで解決されます。 デバイスが内部ネットワークに接続されている場合、一覧の DNS サーバーにアクセスでき、VPN に接続する必要はありません。
これらのドメインを解決するには、次の DNS サーバーを使用します (省略可能)。
10.0.0.22
など、1 つ以上の DNS サーバー IP アドレスを入力します。 入力した DNS サーバーは、[ユーザーがこれらのドメインに アクセスしようとするとき ] 設定のドメインを解決するために使用されます。この URL に到達できない場合は、VPN を強制的に接続します。省略可能です。 ルールがテストとして使用する HTTP または HTTPS プローブ URL を入力します。 たとえば、「
https://probe.Contoso.com
」と入力します。 この URL は、[ユーザーがこれらのドメインにアクセスしようとするとき] 設定で ユーザーがドメインにアクセスしようとするたびにプローブされます 。 ユーザーに URL 文字列プローブ サイトが表示されません。URL に到達できないか、200 HTTP 状態コードが返されないためにプローブが失敗した場合、デバイスは VPN に接続します。
URL には内部ネットワークでのみアクセスできるという考え方です。 URL にアクセスできる場合は、VPN 接続は必要ありません。 URL にアクセスできない場合、デバイスは外部ネットワーク上にあり、VPN オンデマンドに接続します。 VPN 接続が確立されると、内部リソースが使用可能になります。
接続しない: VPN 接続試行ごとに、入力したドメインにユーザーがアクセスしようとすると、デバイスは VPN に接続しません。
-
ユーザーがこれらのドメインにアクセスしようとするとき:
contoso.com
など、1 つ以上の DNS ドメインを入力します。 ユーザーがこの一覧のドメインに接続しようとすると、VPN 接続は作成されません。 この一覧にないドメインに接続しようとすると、デバイスは VPN に接続します。
-
ユーザーがこれらのドメインにアクセスしようとするとき:
無視: デバイスの値とオンデマンドルールの間に一致がある場合、VPN 接続は無視されます。
制限する: [ 次の設定を実行する ] で、[ VPN の確立]、[ VPN の切断]、または [無視] を選択した場合は、ルールが満たす必要がある条件を選択します。 次のようなオプションがあります。
-
特定の SSID: ルールが適用される 1 つ以上のワイヤレス ネットワーク名を入力します。 このネットワーク名は、サービス セット識別子 (SSID) です。 たとえば、「
Contoso VPN
」と入力します。 -
特定の検索ドメイン: ルールが適用される 1 つ以上の DNS ドメインを入力します。 たとえば、「
contoso.com
」と入力します。 - [すべてのドメイン]: 組織内のすべてのドメインにルールを適用するには、このオプションを選択します。
-
特定の SSID: ルールが適用される 1 つ以上のワイヤレス ネットワーク名を入力します。 このネットワーク名は、サービス セット識別子 (SSID) です。 たとえば、「
ただし、この URL プローブが成功した場合にのみ:省略可能です。 ルールがテストとして使用する URL を入力します。 たとえば、「
https://probe.Contoso.com
」と入力します。 デバイスがリダイレクトなしでこの URL にアクセスすると、VPN 接続が開始されます。 また、デバイスはターゲット URL に接続します。 ユーザーに URL 文字列プローブ サイトが表示されません。たとえば、この URL は、デバイスが VPN 経由でターゲット URL に接続する前に、サイトに接続する VPN の機能をテストします。
自動 VPN を無効にすることをユーザーにブロックする: オプション:
- [未構成]: Intune では、この設定は変更または更新されません。
- はい: ユーザーが自動 VPN をオフにできないようにします。 自動 VPN の有効化と実行をユーザーに強制します。
- いいえ: ユーザーが自動 VPN をオフにすることができます。
この設定は、以下の場合に適用されます。
- iOS 14 以降
- iPadOS 14 以降
アプリごとの VPN: この VPN 接続を特定のアプリに関連付けることにより、アプリごとの VPN を有効にします。 アプリが実行されると、VPN 接続が開始されます。 アプリ ソフトウェアまたはプログラムを割り当てるときに、VPN プロファイルをアプリに関連付けることができます。 詳細については、「 アプリを割り当てて監視する方法」を参照してください。
アプリごとの VPN は、IKEv2 接続ではサポートされていません。 詳細については、「 iOS/iPadOS デバイス用にアプリごとの VPN を設定する」を参照してください。
プロバイダーの種類: Pulse Secure とカスタム VPN でのみ使用できます。
Pulse Secure またはカスタム VPN でアプリごとの VPN プロファイルを使用する場合は、アプリ層トンネリング (アプリ プロキシ) またはパケット レベルトンネリング (パケット トンネル) を選択します。
- app-proxy: アプリレイヤートンネリングの場合は、このオプションを選択します。
- packet-tunnel: パケット層トンネリングにこのオプションを選択します。
使用するオプションがわからない場合は、VPN プロバイダーのドキュメントを確認してください。
この VPN をトリガーする Safari URL: 1 つ以上の Web サイト URL を追加します。 これらの URL がデバイス上の Safari ブラウザーを使用してアクセスされると、VPN 接続が自動的に確立されます。 たとえば、「
contoso.com
」と入力します。[関連付けられているドメイン]: この VPN 接続で使用する VPN プロファイルに、関連付けられているドメインを入力します。
詳細については、「 関連するドメイン」を参照してください。
除外されたドメイン: アプリごとの VPN が接続されているときに VPN 接続をバイパスできるドメインを入力します。 たとえば、「
contoso.com
」と入力します。contoso.com
ドメインへのトラフィックは、VPN が接続されている場合でもパブリック インターネットを使用します。自動 VPN を無効にすることをユーザーにブロックする: オプション:
- [未構成]: Intune では、この設定は変更または更新されません。
- はい: ユーザーが VPN プロファイル設定内の [オンデマンド接続] トグルをオフにできないようにします。 ユーザーは、アプリごとの VPN またはオンデマンドルールを有効にして実行し続ける必要があります。
- いいえ: ユーザーが [オンデマンド接続] トグルをオフにできます。これにより、アプリごとの VPN とオンデマンドの規則が無効になります。
この設定は、以下の場合に適用されます。
- iOS 14 以降
- iPadOS 14 以降
アプリごとの VPN
これらの設定は、次の VPN 接続の種類に適用されます。
- Microsoft Tunnel
設定:
アプリごとの VPN: 有効にすると 、特定のアプリがこの VPN 接続に関連付けられます。 アプリが実行されると、トラフィックは VPN 接続を介して自動的にルーティングされます。 ソフトウェアを割り当てるときに、VPN プロファイルをアプリに関連付けることができます。 詳細については、「 アプリを割り当てて監視する方法」を参照してください。
詳細については、「 Microsoft Tunnel for Intune」を参照してください。
この VPN をトリガーする Safari URL: 1 つ以上の Web サイト URL を追加します。 これらの URL がデバイス上の Safari ブラウザーを使用してアクセスされると、VPN 接続が自動的に確立されます。 たとえば、「
contoso.com
」と入力します。[関連付けられているドメイン]: この VPN 接続で使用する VPN プロファイルに、関連付けられているドメインを入力します。
詳細については、「 関連するドメイン」を参照してください。
除外されたドメイン: アプリごとの VPN が接続されているときに VPN 接続をバイパスできるドメインを入力します。 たとえば、「
contoso.com
」と入力します。contoso.com
ドメインへのトラフィックは、VPN が接続されている場合でもパブリック インターネットを使用します。
プロキシ
プロキシを使用する場合は、次の設定を構成します。
-
自動構成スクリプト: ファイルを使用してプロキシ サーバーを構成します。 構成ファイルを含むプロキシ サーバー URL を入力します。 たとえば、「
http://proxy.contoso.com/pac
」と入力します。 -
アドレス: プロキシ サーバーの IP アドレスまたは完全修飾ホスト名を入力します。 たとえば、「
10.0.0.3
」または「vpn.contoso.com
」と入力します。 -
ポート番号: プロキシ サーバーに関連付けられているポート番号を入力します。 たとえば、「
8080
」と入力します。
次の手順
プロファイルは作成されますが、まだ何も行っていない可能性があります。 必ずプロファイルを割り当て、その状態を監視してください。
Android、Android Enterprise、macOS、および Windows デバイスで VPN 設定を構成します。