DirectAccess から Always On VPN への移行の計画
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows 10
« 前へ: DirectAccess から Always On VPN への移行の概要
» 次へ: Always On VPN への移行と DirectAccess の使用停止
DirectAccess から Always On VPN に移行するには、移行フェーズを決定するための適切な計画が必要です。これは、組織全体に影響を与えないうちに問題を特定するのに役立ちます。 移行の主な目的は、ユーザーがプロセス全体を通じてオフィスへのリモート接続を維持できるようにすることです。 不適切な順序でタスクを実行すると、競合状態が発生し、リモート ユーザーが会社のリソースにアクセスできなくなります。 そのため、DirectAccess から Always On VPN への計画されたサイド バイ サイド移行を実行することをお勧めします。 詳細については、Always On VPN の移行の展開に関するセクションを参照してください。
このセクションでは、移行のためにユーザーを分離する利点、標準構成に関する考慮事項、および Always On VPN 機能の強化について説明します。 移行計画フェーズは以下のとおりです。
移行リングを作成します。 他のほとんどのシステム移行と同様に、組織全体に影響を与えないうちに問題を特定できるように、段階的なクライアント移行を目標にします。 Always On VPN 移行の最初の部分は変わりはありません。
Always On VPN と DirectAccess の機能の比較を確認します。 DirectAccess と同様に、Always On VPN には、セキュリティ、接続性、認証などの多くのオプションがあります。
Always On VPN の機能強化を確認します。 構成を改善するために Always On VPN によって提供される新機能または強化された機能を見つけます。
Always On VPN のテクノロジを確認します。 この展開では、Windows Server 2016 を実行している新しいリモート アクセス サーバーをインストールするとともに、展開のために既存のインフラストラクチャの一部を変更する必要があります。
移行リングの作成
移行リングは、Always On VPN クライアント移行作業を複数のフェーズに分割するために使用されます。 最後のフェーズに達するまでには、プロセスが十分にテストされ、一貫性のある状態になります。
このセクションでは、ユーザーを複数の移行フェーズに分離してから、それらのフェーズを管理する 1 つの方法について説明します。 選択したユーザー フェーズ分離方法に関係なく、1 つの VPN ユーザー グループを維持して、移行が完了したときの管理を容易にします。
注意
"フェーズ" という語は、これが長いプロセスであることを示すものではありません。 各フェーズに数日かかるか、数か月かかるかにかかわらず、サイド バイ サイド移行を利用し、段階的なアプローチを使用することをお勧めします。
移行作業を複数のフェーズに分割する利点
一括停止の保護。 移行を複数のフェーズに分割すると、移行によって生成される問題の影響を受けるユーザー数が大幅に減ります。
フィードバックによるプロセスまたはコミュニケーションの向上。 移行が行われたことにユーザーが気付きさえしないのが理想的です。 しかし、操作性が最適でなかった場合、これらの使用からのフィードバックにより、計画を改善し、将来の問題を回避する機会が得られます。
移行リングを作成するためのヒント
リモート ユーザーを識別します。 まず、ユーザーを 2 つのバケットに分離します。つまり、オフィスに頻繁にアクセスするユーザーと、そうでないユーザーです。 移行プロセスは両方のグループで同じですが、より頻繁に接続するユーザーよりも、リモート クライアントが更新を受信するのにかかる時間が長くなる可能性があります。 各移行フェーズには、各バケットのメンバーが含まれているのが最適です。
ユーザーに優先順位を付けます。 リーダーやその他の影響力の大きいユーザーは、通常、最後に移行されるユーザーに含まれます。 ただし、ユーザーに優先順位を付ける際には、クライアント コンピューターの移行が失敗した場合にビジネスの生産性に与える影響を考慮してください。 たとえば、1 から 3 の評価があったとします。1 は従業員が作業できないことを意味し、3 は即時の作業中断がないことを意味します。この場合、社内の基幹業務 (LOB) アプリのみをリモートで使用しているビジネス アナリストは 1 になります。一方、クラウド アプリを使用する営業担当者は 3 になります。
各部門または事業単位を複数のフェーズで移行します。 部門全体を同時に移行しないことを強くお勧めします。 問題が発生した場合、部門全体のリモート作業が妨げられないようにする必要があります。 代わりに、少なくとも 2 つのフェーズで各部門または事業単位を移行します。
ユーザー カウントを徐々に増やします。 ほとんどの一般的な移行シナリオでは、IT 組織のメンバーから始めて、ビジネス ユーザーに移り、その後、リーダーやその他の影響力の大きいユーザーが続きます。 通常、各移行フェーズに関与するユーザー数は徐々に増えます。 たとえば、最初のフェーズでは 10 人のユーザーが含まれ、最終的なグループには 5,000 人のユーザーが含まれる場合があります。 展開を簡略化するには、1 つの VPN ユーザー セキュリティ グループを作成し、フェーズが到達したときにユーザーを追加します。 このようにして、今後メンバーを追加できる単一の VPN ユーザー グループが作成されます。
標準構成に関する考慮事項
Always On VPN には多くの標準構成オプションがあります。 ただし、VPN 構成を作成するときは、次の情報を含める必要があります。
接続の種類。 仮想プライベート ネットワーク (VPN) は、プライベート ネットワーク、またはインターネットなどのパブリック ネットワーク上で確立されるポイント ツー ポイント接続です。 VPN クライアントは、トンネリング プロトコルと呼ばれる特殊な TCP/IP または UDP ベースのプロトコルを使用して、VPN サーバーに接続します。 また、接続の種類によって、使用する認証の種類も決まります。 使用可能なトンネリング プロトコルの詳細については、「VPN 接続の種類」を参照してください。
ルーティング。 このコンテキストでは、ルーティング規則によって、ユーザーが VPN に接続している間に他のネットワーク ルートを使用できるかどうかが決まります。
Triggering.Triggeringは、VPN 接続を開始する方法とタイミングを決定します (たとえば、アプリが開いたとき、デバイスがオンになったとき、ユーザーが手動で)。 トリガー オプションについては、「VPN 自動トリガー プロファイル オプション」を参照してください。
デバイスまたはユーザーの認証。 Always On VPN では、デバイス トンネルと呼ばれる機能を使用してデバイス証明書とデバイスによって開始される接続を使用します。 デバイス トンネルは自動的に開始することができ、DirectAccess インフラストラクチャ トンネル接続に似て永続的なものになります。
ヒント
DirectAccess から Always On VPN に移行する場合は、使用しているものと同等の構成オプションから開始し、そこから展開することを検討してください。
ユーザー証明書を使用すると、Always On VPN クライアントは自動的に接続されますが、デバイス レベル (ユーザーがサインインする前) ではなく、ユーザー レベル (ユーザーがサインインした後) で行われます。 ユーザーにとって操作性は引き続きシームレスですが、Windows Hello for Business のようなさらに高度な認証メカニズムをサポートします。
次のステップ
| 目的 | 参照先 |
|---|---|
| Always On VPN への移行を開始する | Always On VPN への移行と DirectAccess の使用停止。 DirectAccess から Always On VPN への移行には、クライアントを移行するための特定のプロセスが必要です。これは、移行手順の順序を乱すことによって発生する競合状態を最小限に抑えるのに役立ちます。 |
| Always On VPN と DirectAccess の両方の機能を確認する | Always On VPN と DirectAccess の機能の比較。 以前のバージョンの Windows VPN アーキテクチャでは、プラットフォームの制限のために、(ユーザーのサインインの前に開始される自動接続のような) DirectAccess を置き換えるために必要とされる重要な機能を提供することは困難でした。 ただし、Always On VPN ではこれらのほとんどの制限を軽減し、DirectAccess の機能を越えて VPN 機能を拡張しました。 |