VPN 自動トリガー プロファイル オプション

  • [アーティクル]
  • 適用対象:
    Windows 11, ✅ Windows 10

Windows では、さまざまな機能を使用して VPN を自動トリガーできるため、必要なリソースにアクセスするために VPN が必要な場合にユーザーが手動で接続することを回避できます。 自動トリガーの規則には、次の 3 つの種類があります。

  • アプリケーション トリガー
  • 名前ベースのトリガー
  • 常にオン

AppDataフォルダー リダイレクトが有効になっている場合、自動トリガー VPN 接続は機能しません。 AppData のフォルダー リダイレクトを無効にするか、自動トリガーされた VPN プロファイルを SYSTEM コンテキストに展開する必要があります。これにより、 rasphone.pbk ファイルが格納されている場所へのパスが変更されます。

アプリケーション トリガー

VPN プロファイルは、特定のアプリケーションの実行時に自動的に接続するように構成できます。

  • VPN 接続をトリガーするようにデスクトップまたはユニバーサル Windows プラットフォーム (UWP) アプリを構成できます
  • アプリごとの VPN を構成し、各アプリのトラフィック 規則を指定できます

デスクトップ アプリのアプリ ID は、ファイル パスです。 UWP アプリのアプリ ID は、パッケージ ファミリ名です。

アプリごとの VPN 構成用にパッケージ ファミリー名 (PFN) を検索する

詳細については、「 トラフィック フィルター」を参照してください。

名前ベースのトリガー

特定のドメイン名によって VPN 接続がトリガーされるように、ドメイン名ベースの規則を構成することができます。
名前ベースの自動トリガーは、VPNv2 構成サービス プロバイダー (CSP)VPNv2/<ProfileName>/DomainNameInformationList/dniRowId/AutoTrigger設定を使用して構成できます。

名前ベースのトリガーには次の 4 種類があります。

  • 短い名前: たとえば、 HRweb がトリガーとして構成されていて、スタックに HRweb の DNS 解決要求が表示された場合、VPN トリガーは
  • 完全修飾ドメイン名 (FQDN): たとえば、 HRweb.corp.contoso.com がトリガーとして構成されていて、スタックに HRweb.corp.contoso.com の DNS 解決要求 表示された場合、VPN トリガー
  • サフィックス: たとえば、 .corp.contoso.com がトリガーとして構成されていて、スタックに一致するサフィックス ( HRweb.corp.contoso.com など) を持つ DNS 解決要求が表示された場合、VPN トリガーがトリガーされます。 短い名前解決では、VPN トリガーと DNS サーバーが<ShortName>.corp.contoso.com に対してクエリされます。
  • すべて: 使用すると、すべての DNS 解決によって VPN がトリガーされます

常にオン

Always On は、アクティブな VPN プロファイルが次のトリガーで自動的に接続できるようにする Windows 機能です。

  • ユーザー サインイン
  • ネットワークの変更
  • デバイスの画面がオン

トリガーが発生すると、VPN は接続を試行します。 エラーが発生した場合、またはユーザー入力が必要な場合は、より多くの操作のためにトースト通知が表示されます。

デバイスに Always On トリガーを持つ複数のプロファイルがある場合、ユーザーは[設定] > [ネットワーク] & [インターネット > VPN ><VPN プロファイル] でアクティブなプロファイルを指定できます>[アプリがこの VPN 接続を自動的に使用できるようにする] チェック ボックスをオンにします。 既定では、MDM で構成された最初のプロファイルが [アクティブ] とマークされます。 複数のユーザーが同じ制限を持つデバイス: Always On トリガーを使用できるのは 1 つのプロファイルのみであり、1 人のユーザーのみです。

ユーザーの [Always On] 基本設定を保持する

もう 1 つの Windows 機能は、ユーザーの Always On 基本設定を保持することです。 ユーザーが手動で [ 自動的に接続 ] チェック ボックスをオフにすると、レジストリ値 AutoTriggerDisabledProfilesList にプロファイル名を追加することで、プロファイル名のユーザー設定が記憶されます。

管理ツールが同じプロファイル名を削除または追加し、 AlwaysOntrue に設定した場合、ユーザー設定を維持するために、プロファイル名が次のレジストリ値に存在する場合、Windows はチェック ボックスをオンにしません。

鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Config
価値:AutoTriggerDisabledProfilesList
種類:REG_MULTI_SZ

信頼されたネットワークの検出

信頼されたネットワーク検出機能は、デバイスが信頼されたネットワーク上にあるときに接続がトリガーされないように VPN を構成します。 信頼されたネットワーク検出を構成するには、DNS サフィックスの一覧を指定する必要があります。 VPN スタックは、物理インターフェイス接続プロファイルのネットワーク名を検証します。一覧で構成されているサフィックスのいずれかに一致し、ネットワークが MDM によってプライベートまたはプロビジョニングされている場合、VPN はトリガーされません。

信頼されたネットワーク検出は、VPNv2 CSPVPNv2/<ProfileName>/TrustedNetworkDetection設定を使用して構成できます。

アプリ トリガー VPN の構成

XML 構成については、「VPN プロファイル オプション」と「VPNv2 CSP」をご覧ください。

次の図は、Microsoft Intune を使用して VPN プロファイル構成ポリシーでアプリを VPN 接続に関連付ける方法を示しています。

Intune での VPN プロファイルの作成: アプリケーションの関連付けオプション。