Technology can play important role in reducing COVID-19 impact of people and business realities, help staff stay productive when it is not physically be at his workplace.This information is not supported by Microsoft Always On VPN: スマートな作業シナリオに適した企業ネットワークへの透過的アクセス。 この非常時に、企業は、コラボレーション、生産性、およびセキュリティを犠牲にすることなく、従業員がリモートで作業できるようにするために、効果的なソリューションを迅速に採用することを余儀なくされています。 この分野で採用できるソリューションはさまざまで、それぞれに特徴や特殊性があり、異なるニーズに対応することができます。 この記事では、Microsoft Always On VPNという技術の主な特徴を紹介し、そのメリットとソリューションの主な使用例について評価します。
Always On VPNの主な特徴
Windowsサーバー2016以降、MicrosoftはAlways On VPNというエンドポイント向けの新しいリモートアクセス技術を導入し、企業ネットワークへの透過的アクセスを実現し、特にスマートワークシナリに最適な技術となっています。 これは、DirectAccessという技術を進化させたもので、効果的ではあるものの、いくつかの制限があり、導入が困難でした。
その名のとおり、VPNは「常にアクティブ」です。実際、多要素認証メカニズムが有効になっていなければ、認証済みクライアントがインターネット接続するたびに、すべてユーザーの入力や操作を必要とせずに安全な企業ネットワーク接続が自動確立されます。 リモートユーザーは、職場にいるのと同じように、ビジネスデータやアプリケーションにアクセスできます。
Always On VPN 接続には、以下の種類のトンネルがあります。
- Device Tunnel:ユーザーがデバイスにログオンする前にデバイスがVPNサーバーに接続する。
- User Tunnel: ユーザーがデバイスにログオンした後にのみ有効になります。
Using Always On VPNでは、ユーザー接続、デバイス接続、またはその両方を組み合わせて使用することが可能です。 デバイストンネルとユーザートンネルの両方は独立して動作し、異なる認証方法を使用することができます。 したがって、デバイストンネルを経由してリモートで管理するためにデバイス認証を有効にし、ユーザートンネルを経由して内部リソースに接続するためにユーザー認証を有効にすることが可能であると思われます。 ユーザー トンネルは SSTP と IKEv2 をサポートし、デバイス トンネルは IKEv2 のみをサポートします。
対応シナリオ
技術 Always On VPN は Windows 10 システムのみのソリューションです。 ただし、DirectAccess とは異なり、クライアント デバイスは Enterprise エディションを実行する必要はなく、Windows 10 のすべてのバージョンでこの技術をサポートし、定義されたユーザー トンネルのトンネル タイプを採用します。 このシナリオでは、デバイスはActive Directoryドメインのメンバーであることができますが、これは厳密には必要ではありません。 Always On VPN クライアントは、非ドメイン結合型(ワークグループ)であるため、ユーザーによって所有されることも可能です。 特定の高度な機能を利用するためには、クライアントが Azure Active Directory に参加する必要がある場合があります。 使用する場合のみ デバイストンネル システムはドメインに参加する必要があり、Windows 10 Enterprise または Education を搭載している必要があります。 このシナリオでは、推奨バージョンは 1809 以降です。
インフラストラクチャ要件
常時接続VPNアーキテクチャを実装するには、以下のインフラストラクチャ コンポーネントが必要で、その多くは通常、ビジネスの現実においてすでにアクティブになっているものです。
- ドメインコントローラ
- DNSサーバ
- ネットワークポリシーサーバ(NPS)
- 認証局サーバ(CA)
- ルーティングおよびリモートアクセスサーバ(RA)
- ネットワークポリシーサーバ(NPS)
- ドメインコントローラ(DNSS)
- Ready Server(DNSサーバ)
図 1 – VPN Always On 技術の概要
この文脈では、Always On VPN がインフラストラクチャであることを示すことが適切であるといえます。Windowsのルーティングとリモートアクセスの役割(RRAS)を使用するか、サードパーティのVPNデバイスを採用することで、独立してアクティブ化することができます。
Always On VPN in Azure environment?
一般に、エンドポイントへの VPN 接続は、アクセスする必要のあるリソースにできるだけ近い場所で確立することが推奨されます。 ハイブリッドな現実の場合、アーキテクチャの Always On VPN を配置するためのいくつかのオプションがあります。 Azure 環境の仮想マシン上にリモート アクセス ロールを展開することはサポートされていませんが、Windows 10 Always On で Azure VPN Gateway を使用すると、デバイス トンネルとユーザー トンネルの両方のタイプのトンネルを確立することができます。 この点で、Azure VPN Gateway を展開するために、タイプと SKU の正しい評価を行うことが適切であることに留意してください。
展開のタイプ
Always On VPN には、2 つの展開シナリオがあります。
Always On VPNの展開では、ドメインに参加しているクライアントWindows 10に対して、VPNユーザーが会社のリソースにアクセスする方法を調整するための条件付きアクセスを設定することがオプションで可能です。
Figure 2 – Always On VPN の導入のためのワークフロー Windows 10 クライアント ドメイン結合
Client Always On VPN は、プラットフォーム Azure Contitional Access と統合して多要素認証 (MFA) やデバイス準拠、これら 2 つの組み合わせの強制が可能である。 Contitional Accessの基準を満たす場合、Azure Active Directory(Azure AD)は、VPNゲートウェイへの認証に使用できる短命のIPsec認証証明書を発行する。 デバイスのコンプライアンスでは、Microsoft Endpoint Manager のコンプライアンス ポリシー (Configuration Manager / Intune) が使用され、接続のコンプライアンス チェックの一環として、デバイスの整合性証明のステータスが含まれることがあります。
クライアント上でのソリューションのプロビジョニング
Always On VPN は、Microsoft Endpoint Manager などのモバイル デバイス管理プラットフォームを使用して展開および管理するように設計されていますが、サード パーティのモバイル デバイス管理ソリューション (MDM) を使用することもできます。 Always On VPNでは、Active Directoryのグループポリシーによる設定と管理はサポートされていませんが、MDMソリューションがない場合は、PowerShellを使用して設定を手動で展開することが可能です。
他のMicrosoftソリューションとの統合
前項で指定したケース以外にも、Technology Always On VPNは以下のMicrosoftテクノロジーと統合することができます:
- Azure Multifactor Authentication (MFA): RADIUSサービス(リモート認証ダイヤルインユーザーサービス)とAzure MFA用拡張NPS (Network Policy Server) と組み合わせた場合、VPN認証によりマルチファクタ認証メカニズムに対応することができます。
- Windows Information Protection (WIP): この統合により、VPNトンネルを通過するトラフィックを許可するかどうかを決定するためのネットワーク基準の適用が可能になります。
- Windows Hello for Business: Windows 10では、この技術がパスワードに取って代わり、2つの強力な要素を持つ認証メカニズムを提供します。 この認証は、デバイスに関連するユーザー資格情報の一種で、PIN (Personal Identification Number) 生体認証または個人認証を使用します。
結論
エンドポイントが技術を通じて企業ネットワークにアクセスできるようにインフラを準備する Always On VPN はソフトウェア ライセンスの追加費用を必要とせず、努力とリソース両方の面で必要な投資は最小限となります。 この接続方法のおかげで、移動中でも最高のユーザーエクスペリエンスを確保し、高いセキュリティレベルを維持しながら企業ネットワークへの透過的かつ自動的なアクセスを実現することができるのです。 上記のような理由から、Always On VPNはすべての使用シナリオに適しているわけではありませんが、企業のリソースへのリモートアクセスが必要なシステムWindows 10の存在下では、確かに検討すべきものです。
