Microsoft Intune を使用して Always On VPN プロファイルを Windows 10 以降のクライアントに展開する

• 適用対象:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

このハウツー記事では、Intune を使用して Always On VPN プロファイルを作成および展開する方法について説明します。

ただし、カスタム VPN profileXML を作成する場合は、「Intune を使用した ProfileXML の適用」のガイダンスに従ってください。

前提条件

Intune では Microsoft Entra ユーザー グループが使用されるため、次の操作を行う必要があります。

• 認証用にユーザーおよびデバイスの証明書を発行できる秘密キー インフラストラクチャ (PKI) があることを確認します。 Intune の証明書の詳細については、「Microsoft Intune で認証に証明書を使用する」を参照してください。

• VPN ユーザーに関連付けられている Microsoft Entra ユーザー グループを作成し、必要に応じて新しいユーザーをグループに割り当てます。

• VPN ユーザーが VPN サーバー接続のアクセス許可を持っていることを確認します。

拡張認証プロトコル (EAP) 構成 XML を作成する

このセクションでは、拡張認証プロトコル (EAP) 構成 XML を作成します。

1. 次の XML 文字列をテキスト エディターにコピーします。

   重要

   次のタグの 'true' にこれ以外の大文字または小文字の組み合わせを使用すると、VPN プロファイルは不完全な構成になります。

   <AlwaysOn><</AlwaysOn>
   <RememberCredentials><</RememberCredentials>

   <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>
   

2. サンプル XML の <ServerNames>NPS.contoso.com</ServerNames> を、認証が行われるドメイン参加済み NPS の FQDN に置き換えます。

3. サンプル内の <TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA> を、両方の場所でオンプレミスのルート証明機関の証明書サムプリントに置き換えます。

   重要

   以下の <TrustedRootCA></TrustedRootCA> セクションでは、サンプル サムプリントを使用しないでください。 TrustedRootCA は、RRAS および NPS サーバーのサーバー認証証明書を発行したオンプレミス ルート証明機関の証明書サムプリントである必要があります。 これは、クラウド ルート証明書や、中間発行元 CA 証明書のサムプリントにすることはできません。

4. 次のセクションで使用するために XML を保存します。

Always On VPN 構成ポリシーを作成する

1. Microsoft エンドポイント マネージャー管理センターにサインインします。

2. [デバイス]>[構成プロファイル] の順に移動します。

3. [+ プロファイルの作成] を選択します。

4. [プラットフォーム] には、 [Windows 10 以降] を選択します。

5. [プロファイルの種類] で、[テンプレート] を選択します。

6. [テンプレート名] で、[VPN] を選択します。

7. [作成] を選択します。

8. [基本] タブを次のように設定します。

   • VPN プロファイルの名前を入力し、説明を入力します (省略可能)。

9. [構成設定] タブを次のように設定します。

   1. [Use this VPN profile with a user/device scope] (この VPN プロファイルをユーザーまたはデバイスのスコープで使用する) で、[ユーザー] を選択します。

   2. [接続の種類:] で [IKEv2] を選択します。

   3. [接続名:] に VPN 接続の名前を入力します (例: Contoso AutoVPN)。

   4. [サーバー:] に、VPN サーバーのアドレスと説明を追加します。 既定のサーバーの場合は、[既定のサーバー] を True に設定します。

   5. [内部 DNS を持つ IP アドレスを登録します] で、[無効] を選択します。

   6. [Always On:] で、[有効] を選択します。

   7. [各ログオン時に資格情報を記憶する] で、セキュリティ ポリシーに適した値を選択します。

   8. [認証方法] で、[EAP] を選択します。

   9. [EAP XML] で、EAP XML の作成に関するページで保存した XML を選択します。

   10. [デバイス トンネル] で、[無効] を選択します。 デバイス トンネルの詳細については、Windows 10での VPN デバイス トンネルの構成に関する記事を参照してください。

   11. IKE セキュリティ アソシエーション パラメーターの場合

       • [分割トンネリング] を [有効] に設定します。
       • [信頼されたネットワーク検出] を構成します。 DNS サフィックスを見つけるには、現在ネットワークに接続されていて、ドメイン プロファイルが適用されているシステム (NetworkCategory:DomainAuthenticated) で Get-NetConnectionProfile > Name を使用できます。

   12. 環境で追加の構成が必要な場合を除き、残りの設定は既定値のままにします。 Intune の EAP プロファイル設定の詳細については、「Intuneを使用して VPN 接続を追加するための Windows 10/11 と Windows Holographic デバイスの設定」を参照します。

   13. [次へ] を選びます。

10. [スコープ タグ] は既定の設定のままにして、[次へ] を選択します。

11. [割り当て] タブを次のように設定します。

    1. [グループの追加] を選択し、VPN ユーザー グループを追加します。

    2. [次へ] を選びます。

12. [適用性ルール] タブは既定の設定のままにして、[次へ] を選択します。

13. [確認と作成] タブですべての設定を確認し、[作成] を選択します。

Always On VPN 構成ポリシーを Intune と同期する

構成ポリシーをテストするには、VPN ユーザーとして Windows 10 以降のクライアント コンピューターにサインインし、Intune と同期します。

1. [スタート] メニューで [設定] を選びます。

2. [設定] で [アカウント] を選択し、[職場または学校へのアクセス] を選択します。

3. Microsoft Entra ID に接続するアカウントを選択し、[情報] を選択します。

4. 下に移動し、[同期] を選択して、Intune ポリシーの評価と取得を強制します。

5. 同期が完了したら、[設定] を閉じます。 同期後、組織の VPN サーバーに接続できるようになります。

次の手順

• Always On VPN の設定方法に関する詳細なチュートリアルについては、「チュートリアル: Always On VPN のインフラストラクチャを設定する」を参照してください。

• Microsoft Configuration Manager を使用して Always On VPN プロファイルを構成する方法については、「Microsoft Configuration Manager を使用して Always On VPN プロファイルを Windows クライアントに展開する」を参照してください。

• 構成サービス プロバイダー (CSP) の Always on VPN 構成オプションの詳細については、VPNv2 構成サービス プロバイダーに関するページを参照してください。

• Microsoft Intuneでの VPN 展開のトラブルシューティングについては、「Microsoft Intuneでの VPN プロファイルの問題のトラブルシューティング」を参照してください。