Microsoft Intuneでの VPN プロファイルの問題のトラブルシューティング

元の製品バージョン: Microsoft Intune
元の KB 番号: 4519426

概要

このガイドは、Microsoft Intuneを使用するときに発生する可能性がある VPN プロファイルの問題を理解し、トラブルシューティングするのに役立ちます。

このガイドの例では、プロファイルに簡易証明書登録プロトコル (SCEP) 証明書認証を使用します。 また、この例では、信頼されたルートプロファイルと SCEP プロファイルがデバイスで正しく動作することも前提としています。 この例では、信頼されたルート プロファイルと SCEP プロファイルの名前は次のとおりです。

プロファイルの種類 Android iOS Windows
信頼されたルート プロファイル AndroidRoot iOSRoot WindowsRoot2
SCEP プロファイル AndroidSCEP iOSSCEP WindowsSCEP2

VPN プロファイルの概要

仮想プライベート ネットワーク (VPN) を使用すると、ユーザーはorganizationのネットワークに安全なリモート アクセスを提供します。 デバイスでは、VPN 接続プロファイルを使用して VPN サーバーとの接続が開始されます。 Intuneでは、VPN プロファイルによって、organization内のユーザーとデバイスに VPN 設定が割り当てられます。 その後、ユーザーは組織ネットワークに簡単かつ安全に接続できます。

たとえば、organizationのネットワーク上のファイル共有に接続するために必要な設定ですべての iOS デバイスを構成する場合は、これらの設定を含む VPN プロファイルを作成し、iOS デバイスを持つすべてのユーザーにこのプロファイルを割り当てることができます。 その後、ユーザーは使用可能なネットワークの一覧で VPN 接続を確認し、最小限の労力で接続できます。

VPN プロファイルは、さまざまな VPN 接続の種類を使用して作成できます。

注:

デバイスに割り当てられた VPN プロファイルを使用するには、そのプロファイルに該当する VPN アプリをインストールする必要があります。

VPN プロファイルを作成する方法

VPN プロファイルを作成するには、「 デバイス プロファイルを作成する」の手順に従います。

例については、次のスクリーンショットを参照してください。

注:

この例では、Android と iOS VPN プロファイルの接続の種類は Cisco AnyConnect で、Windows 10の接続の種類は [自動] です。 VPN プロファイルは SCEP プロファイルにリンクされています。

Android 用 VPN プロファイルを作成する方法を示すスクリーンショット。

VPN プロファイルを割り当てる方法

VPN プロファイルを作成したら、選択したグループ にプロファイルを割り当てます

注:

グループタイプのデプロイ (ユーザー グループまたはデバイス グループ) は重要であり、このリソース ポリシー (信頼された証明書、SCEP、VPN) に関連するすべてのポリシーで一貫性が必要です。 これは、デプロイする証明書の種類によって異なります。 ユーザー証明書をデプロイする場合は、すべての展開をユーザー グループに、その逆を行う必要があります。 展開された証明書がデバイスの種類 1 の場合は、デバイス グループを使用します。

例については、次のスクリーンショットを参照してください。

プロファイルを割り当てる方法を示すスクリーンショット。

成功した VPN プロファイルの外観

このシナリオでは、個人所有の仕事用プロファイルとして登録されている Android デバイスを使用します。 信頼されたルートプロファイルと SCEP プロファイルは既にデバイスにインストールされているため、SCEP 証明書のインストールを求めるメッセージは表示されません。

  1. 企業 VPN プロファイルをインストールするための通知を受け取ります。

    VPN プロファイルをインストールする通知を示すスクリーンショット。

    通知が届かない場合は、[ 設定の変更 ] ボタンをタップして、AnyConnect アプリで [外部制御 ] オプションを有効にします。 その後、通知を受け取ります。

    [設定の変更] ボタンを示すスクリーンショット。

    [外部コントロール] オプションを示すスクリーンショット。

    [外部コントロール] オプションが有効になっていることを示すスクリーンショット。

  2. AnyConnect アプリで SCEP 証明書を選択します。

    証明書を選択するページを示すスクリーンショット。

    注:

    デバイス管理者が管理する Android デバイスを使用する場合、証明書プロファイルの変更または削除時に証明書が失効または削除されないため、複数の証明書が存在する可能性があります。 このシナリオでは、最新の証明書を選択します。 通常、一覧に表示される最後の証明書です。

    この状況は、Android Enterprise および Samsung Knox デバイスでは発生しません。 詳細については、「Intuneを使用して Android 仕事用プロファイル デバイスを管理する」および「Microsoft Intuneで SCEP 証明書と PKCS 証明書を削除する」を参照してください。

  3. VPN 接続が正常に作成されました。

    VPN 接続が正常に作成されたことを示すスクリーンショット。

VPN プロファイルのデプロイが成功したポータル サイトログ

Android デバイスでは、 Omadmlog.log ファイルは、VPN プロファイルがデバイスで処理されたときの詳細なアクティビティをログに記録します。 ポータル サイト アプリがインストールされている期間によっては、最大 5 つのOmadmlog.log ファイルが必要な場合があり、最後の同期のタイムスタンプは関連するエントリを見つけるのに役立ちます。

次の例では 、CMTrace を使用してログを読み取り、 を検索します android.vpn.client

CMTrace を使用してログを読み取り、android.vpn.client を検索する例を示すスクリーンショット。

サンプル ログ:

<Date Time>    INFO    com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine    13229    00622    Notifying to provision vpn profile 'AnyConnect'.
<Date Time>    INFO    com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine    13229    00622    VPN Profile "AnyConnect" state changed from RECEIVED to PENDING_USER_INSTALL
<Date Time>    VERB    com.microsoft.omadm.platforms.android.vpn.client.VpnClient    13229    00002    Creating VPN Provision Intent: anyconnect://create/?host=VPN.contoso.com&name=AnyConnect&usecert=true&keychainalias=UserID
<Date Time>    INFO    com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine    13229    00002    Vpn profile 'AnyConnect' provisioned and complete.
<Date Time>    INFO    com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine    13229    00002    VPN Profile "AnyConnect" state changed from PENDING_USER_INSTALL to PROVISIONED

一般的な問題のトラブルシューティング

問題 1: VPN プロファイルがデバイスに展開されていない

  1. VPN プロファイルが正しいグループに割り当てられていることを確認します。

    Intune ポータルで、[デバイス構成>プロファイル] を選択し、プロファイルを選択し、[割り当て] を選択して、選択したグループを確認します。

    Android 用のグループの割り当てられた VPN プロファイルを示すスクリーンショット。

  2. [トラブルシューティング] ウィンドウの [最終チェックイン時刻] をオンにして、デバイスがIntuneと同期できることを確認します。

    Android の [トラブルシューティング] ウィンドウの最後のチェックイン時刻を示すスクリーンショット。

  3. VPN プロファイルが信頼されたルートプロファイルと SCEP プロファイルにリンクされている場合は、両方のプロファイルがデバイスに展開されていることを確認します。 VPN プロファイルには、これらのプロファイルへの依存関係があります。

    信頼されたルートと SCEP プロファイルがデバイスにインストールされていない場合は、ポータル サイト ログ ファイルに次のエントリが表示されます (Omadmlog.log)。

    <Date Time> INFO com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine 14210 00948 Waiting for required certificates for vpn profile 'androidVPN'.

    注:

    信頼されたルート プロファイルと SCEP プロファイルがデバイス上にあり、準拠している場合でも、VPN プロファイルがデバイス上にない可能性があります。 この問題は、CertificateSelectorポータル サイト アプリのプロバイダーが、指定した条件に一致する証明書を見つけられない場合に発生します。 特定の条件は、証明書テンプレートまたは SCEP プロファイルに含めることができます。 一致する証明書が見つからない場合、デバイス上の証明書は除外されます。 そのため、VPN プロファイルには正しい証明書がないため、スキップされます。 このシナリオでは、ポータル サイト ログ ファイルに次のエントリが表示されます (Omadmlog.log)。

    Waiting for required certificates for vpn profile 'androidVPN'.

    次のサンプル ログは、 Any Purpose Extended Key Usage (EKU) 条件が指定されたため、証明書が除外されることを示しています。 ただし、デバイスに割り当てられている証明書には、その EKU がありません。

    <Date Time>    VERB     com.microsoft.omadm.utils.CertUtils      14210    00948    Excluding cert with alias User<ID1> and requestId <requestID1> as it does not have any purpose EKU.
    <Date Time>    VERB     com.microsoft.omadm.utils.CertUtils      14210    00948    Excluding cert with alias User<ID2> and requestId <requestID2> as it does not have any purpose EKU.
    <Date Time>    VERB     com.microsoft.omadm.utils.CertUtils      14210    00948    0 cert(s) matched criteria:
    <Date Time>    VERB     com.microsoft.omadm.utils.CertUtils      14210    00948    2 cert(s) excluded by criteria:
    <Date Time>    INFO     com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine       14210     00948    Waiting for required certificates for vpn profile '<profile name>'.
    

    次の例は、SCEP プロファイルに Any Purpose EKU オプションが指定されていることを示しています。 ただし、証明機関 (CA) の証明書テンプレートでは指定されません。 この問題を解決するには、証明書テンプレートに [任意の目的 ] オプションを追加するか、SCEP プロファイルから [任意の目的] オプションを削除します。

    [任意の目的] オプションを追加する方法を示すスクリーンショット。

    [任意の目的] オプションが表示されていることを示すスクリーンショット。

  4. AnyConnect の [外部コントロール] オプションが有効になっていることを確認します。

    プロファイルを作成する前に、[ 外部コントロール] オプションを有効にする必要があります。 プロファイルがデバイスにプッシュされると、ユーザーは 外部制御 オプションを有効にするように求められます。

    [外部コントロール] オプションをチェックする方法を示すスクリーンショット。

    [外部コントロール] オプションが有効になっていることを示すスクリーンショット。

  5. 完全な証明書チェーン内のすべての必要な証明書がデバイス上にあることを確認します。 それ以外の場合は、ポータル サイト ログ ファイルに次のエントリが表示されます (Omadmlog.log)。

    Waiting for required certificates for vpn profile 'androidVPN'.

    詳細については、「 中間証明機関がない」を参照してください。

問題 2: VPN プロファイルがデバイスに展開されているが、デバイスがネットワークに接続できない

通常、この接続の問題はIntuneの問題ではなく、多くの原因が考えられます。 次の項目は、問題の理解とトラブルシューティングに役立つ場合があります。

  • VPN プロファイルで同じ条件を持つ証明書を使用して、ネットワークに手動で接続できますか?

    可能な場合は、手動接続で使用した証明書のプロパティをチェックし、Intune VPN プロファイルを変更します。

  • Android および iOS デバイスの場合、VPN クライアント アプリケーション ログに、デバイスが VPN プロファイルに接続しようとしたことが示されましたか?

    通常、接続エラーは VPN クライアント アプリケーション ログに記録されます。

  • Windows デバイスの場合、RADIUS サーバー ログに、デバイスが VPN プロファイルに接続しようとしたことが示されましたか?

    通常、接続エラーは Radius サーバー ログに記録されます。

AnyConnect アプリでログを表示する方法

ログを表示するには、Android デバイスと iOS デバイスの次の 2 つの例を参照してください。

例 1: Android デバイスのログを表示する

  1. [メニュー診断] を選択します>。

    Diagnostics 関数を示すスクリーンショット。

  2. 証明書を表示するには、[ 証明書の管理] を選択します。

    証明書管理関数を示すスクリーンショット。

    証明書情報を示すスクリーンショット。

  3. AnyConnect の問題を分析するログを表示するには、[ ログとシステム情報>のデバッグ ] を選択します。

    ログとシステム情報関数を示すスクリーンショット。

    デバッグ情報を示すスクリーンショット。

  4. ログを送信するには、[メニュー] [ログ>レポートを管理者に送信] を選択します>。

    [ログの送信] 関数を示すスクリーンショット。

    [Report to Administrator]\(管理者へのレポート\) 関数を示すスクリーンショット。

  5. デバッグ ログを取得したら、プロファイルの作成と接続情報の debug_logs_unfiltered.txt ファイルをチェックします。

VPN 作成のサンプル ログ:

<Date Time> I/AnyConnect(14530): URIHandlerActivity: Received command: anyconnect://create?host=VPN.Contoso.com&name=AnyConnect&usecert=true&keychainalias=UserID
<Date Time> I/AnyConnect(14530): VpnService: VpnService is being created.

VPN 接続エラーのサンプル ログ:

<Date Time> I/vpnapi  (14530): Message type information sent to the user: Contacting VPN.Contoso.com.
<Date Time> I/vpnapi  (14530): Initiating VPN connection to the secure gateway https://VPN.Contoso.com
<Date Time> I/acvpnagent(14592): Using default preferences. Some settings (e.g. certificate matching) may not function as expected if a local profile is expected to be used. Verify that the selected host is in the server list section of the profile and that the profile is configured on the secure gateway.
<Date Time> I/acvpnagent(14592): Function: processConnectNotification File: MainThread.cpp Line: 14616 Received connect notification (host VPN.Contoso.com, profile N/A)
<Date Time> W/acvpnagent(14592): Function: getHostIPAddrByName File: SocketSupport.cpp Line: 344 Invoked Function: ::getaddrinfo Return Code: 11 (0x0000000B) Description: unknown 
<Date Time> W/acvpnagent(14592): Function: resolveHostName File: HostLocator.cpp Line: 710 Invoked Function: CSocketSupport::getHostIPAddrByName Return Code: -31129588 (0xFE25000C) Description: SOCKETSUPPORT_ERROR_GETADDRINFO 
<Date Time> W/acvpnagent(14592): Function: ResolveHostname File: HostLocator.cpp Line: 804 Invoked Function: CHostLocator::resolveHostName Return Code: -31129588 (0xFE25000C) Description: SOCKETSUPPORT_ERROR_GETADDRINFO failed to resolve host name VPN.Contoso.com to IPv4 address
<Date Time> I/vpnapi  (14530): Message type warning sent to the user: Connection attempt has failed.
<Date Time> E/vpnapi  (14530): Function: processIfcData File: ConnectMgr.cpp Line: 3399 Content type (unknown) received. Response type (DNS resolution failed) from VPN.Contoso.com: DNS resolution failed
<Date Time> I/vpnapi  (14530): Message type warning sent to the user: Unable to contact VPN.Contoso.com.
<Date Time> E/vpnapi  (14530): Function: processIfcData File: ConnectMgr.cpp Line: 3535 Unable to contact VPN.Contoso.com DNS resolution failed
<Date Time> I/vpnapi  (14530): Message type error sent to the user: The VPN connection failed due to unsuccessful domain name resolution.

例 2: iOS デバイスのログを表示する

  1. ユーザー証明書を表示するには、[診断>証明書] を選択します

    インポートされた証明書を示すスクリーンショット。

  2. ログ メッセージを表示するには、[ 診断] を選択し、[ VPN デバッグ ログ ] オプションを有効にしてログ記録を有効にしてから、[ログ] を選択 します

    • サービス デバッグ ログ メッセージを表示するには、[ サービス] を選択します。
    • アプリケーション デバッグ ログ メッセージを表示するには、[アプリ] を選択 します

    [VPN デバッグ ログ] オプションを示すスクリーンショット。

  3. ログを送信するには、[診断] ウィンドウで [ログの共有] を選択し、問題に関する情報を入力して、[送信] を選択します。

    [ログの共有] 関数を示すスクリーンショット。

  4. デバッグ ログを取得したら、プロファイルの作成と接続情報のファイルをチェックします。

    デバッグ ログ ファイルを含むフォルダーを示すスクリーンショット。

VPN プロファイルを示す AnyConnect_App_Debug_Logs.txt ファイルのサンプル ログ:

[<Date Time>] Info: Function: SaveSettings File: AppleVpnConfig.mm Line: 198 SaveSettings {type = mutable dict, count = 3, entries => 0 : {contents = "RemoteAddress"} = {contents = "Contoso.com"} 1 : {contents = "AuthenticationMethod"} = {contents = "Certificate"} 2 : {contents = "LocalCertificate"} = <69646e74 00000000 000002d3> }
[<Date Time>] Info: Function: GetSettings File: AppleVpnConfig.mm Line: 175 GetSettings { AuthenticationMethod = Certificate; LocalCertificate = <69646e74 00000000 000002d3>; RemoteAddress = "Contoso.com"; }
[<Date Time>] Info: Function: -[AppleVpnConfigBatch startBatchSaveToSystem] File: AppleVpnConfigBatch.mm Line: 43 Invoking save to system with 0x28202fd60
[<Date Time>] Info: Function: saveToSystem_block_invoke File: AxtVpnConfig.mm Line: 222 Successfully saved profile for Contoso.com
[<Date Time>] Info: Function: -[AppleVpnConfigBatch startBatchSaveToSystem] File: AppleVpnConfigBatch.mm Line: 36 completed!.

VPN 接続エラーを示す AnyConnect_Messages.txt ファイルのサンプル ログ:

[<Date Time>] [VPN] - Contacting Contoso.com.
[<Date Time>] [VPN] - Connection attempt has failed.
[<Date Time>] [VPN] - Unable to contact CoolBreeze.com.
[<Date Time>] [VPN] - Connection attempt has timed out. Please verify Internet connectivity.

VPN 接続エラーを示す AnyConnect_Plugin_Debug_Logs.txt ファイルのサンプル ログ:

[<Date Time>] Info: Message type information sent to the user: Contacting Contoso.com.
[<Date Time>] Info: Initiating VPN connection to the secure gateway https://Contoso.com
[<Date Time>] Info: Function: NoticeCB File: AnyConnectAuthenticator.cpp Line: 2116 Sending notice Contacting Contoso.com. to App
[<Date Time>] Error: Function: SendRequest File: CTransportCurlStatic.cpp Line: 2046 Invoked Function: curl_easy_perform Return Code: -29949904 (0xFE370030) Description: CTRANSPORT_ERROR_TIMEOUT 28 : Error
[<Date Time>] Error: Function: TranslateStatusCode File: ConnectIfc.cpp Line: 3169 Invoked Function: TranslateStatusCode Return Code: -29949904 (0xFE370030) Description: CTRANSPORT_ERROR_TIMEOUT Connection attempt has timed out. Please verify Internet connectivity.
[<Date Time>] Error: Function: doConnectIfcConnect File: ConnectMgr.cpp Line: 2442 Invoked Function: ConnectIfc::connect Return Code: -29949904 (0xFE370030) Description: CTRANSPORT_ERROR_TIMEOUT 
[<Date Time>] Info: Message type warning sent to the user: Connection attempt has failed.
[<Date Time>] Error: Function: processIfcData File: ConnectMgr.cpp Line: 3407 Content type (unknown) received. Response type (host unreachable) from Contoso.com: 
[<Date Time>] Info: Message type warning sent to the user: Unable to contact Contoso.com.
[<Date Time>] Info: Function: NoticeCB File: AnyConnectAuthenticator.cpp Line: 2116 Sending notice Connection attempt has failed. to App
[<Date Time>] Error: Function: processIfcData File: ConnectMgr.cpp Line: 3543 Unable to contact Contoso.com 
[<Date Time>] Info: Function: NoticeCB File: AnyConnectAuthenticator.cpp Line: 2116 Sending notice Unable to contact Contoso.com. to App
[<Date Time>] Info: Message type error sent to the user: Connection attempt has timed out. Please verify Internet connectivity.

詳細

関連する問題の解決策をまだ探している場合、またはMicrosoft Intuneに関する詳細情報が必要な場合は、Microsoft Intune フォーラムに質問を投稿してください。 多くのサポート エンジニア、MVP、開発チームのメンバーがフォーラムにアクセスします。 そのため、必要な情報を持つユーザーを見つけることができる可能性は十分にあります。

Microsoft Intune製品サポート チームにサポートリクエストを開く場合は、「Microsoft Intuneのサポートを受ける方法」を参照してください。

Intuneの VPN プロファイルの詳細については、次の記事を参照してください。

最新のニュース、情報、技術に関するヒントについては、公式ブログを参照してください。