VPN セキュリティ機能
Hyper-V ベースのコンテナーと VPN
Windows では、Microsoft Defender Application GuardやWindows サンドボックスなど、さまざまな種類の Hyper-V ベースのコンテナーがサポートされています。 Microsoft 以外の VPN ソリューションを使用する場合、Hyper-V ベースのコンテナーがインターネットにシームレスに接続できない場合があり、接続の問題を解決するために構成の変更が必要になる場合があります。
たとえば、Cisco AnyConnect VPN: Cisco AnyConnect Secure Mobility Client Administrator Guide: VM ベースのサブシステムに関する接続の問題に関する回避策について説明します。
トラフィック フィルター
トラフィック フィルターを使用すると、組織はポリシーに基づいて企業ネットワークに許可されるトラフィックを決定できます。 IT 管理者は、トラフィック フィルターを使用して、インターフェイス固有のファイアウォール規則を VPN インターフェイスに適用できます。
トラフィック フィルター ルールには、次の 2 種類があります。
- アプリベースのルール は、アプリから VPN インターフェイスへのトラフィックのみを許可するようにマークできるアプリケーションの一覧で構成されます
- トラフィック ベースの規則 は、5 タプル ポリシー (ポート、アドレス、プロトコル) で構成され、ルールに一致するトラフィックのみが VPN インターフェイスを通過できるように指定できます
OR によってリンクされるルールのセットを指定できます。 各セット内には、アプリベースのルールとトラフィックベースのルールがあります。
セット内のすべてのプロパティは AND によってリンクされます。 ルールは、アプリごとのレベルまたはデバイスごとのレベルで適用できます。
たとえば、IT 管理者は、次を指定する規則を定義できます。
- HR アプリは VPN を経由し、ポート 4545 にのみアクセスできます
- Finance アプリは VPN 経由で許可され、ポート 5889 で 10.10.0.40 から 10.10.0.201 のリモート IP 範囲にのみアクセスできます。
- デバイス上の他のすべてのアプリは、ポート 80 または 443 にのみアクセスできます
トラフィック フィルターの構成
XML 構成については、「VPN プロファイル オプション」と「VPNv2 CSP」をご覧ください。
次の図は、Microsoft Intuneを使用して VPN プロファイル構成ポリシーでトラフィック ルールを構成するインターフェイスを示しています。
ロックダウン VPN
ロックダウンで構成された VPN プロファイルでデバイスが保護されている場合、許可されるのは、VPN インターフェイスのネットワーク トラフィックのみです。 この API には次の機能があります。
- システムは常に VPN の接続を維持しようとします
- ユーザーが VPN 接続を切断できない
- ユーザーが VPN プロファイルを削除または変更できない
- VPN LockDown プロファイルでは、強制トンネル接続が使用されます
- VPN 接続が使用できない場合、送信ネットワーク トラフィックはブロックされます
- デバイスで許可される VPN LockDown プロファイルは 1 つだけです
注
組み込みの VPN の場合、LockDown VPN はインターネット キー Exchange バージョン 2 (IKEv2) 接続の種類でのみ使用できます。
注意
LockDown VPN をデプロイする場合は、結果として得られる接続で VPN 接続が確立されていないネットワーク トラフィックを送受信できないため、注意してください。