L2TP/IPsec VPN から Always On VPN へ:移行のメリットとアーキテクチャ概要
テレワークの普及に伴い、長年企業のリモートアクセスを支えてきた L2TP/IPsec VPN。しかし
「接続の手間」「サインイン前の通信不可」「ネットワーク切り替え時の瞬断」といった運用課題から、
マイクロソフトが推奨する次世代ソリューション「Always On VPN」への移行を進める企業が増えています。
この記事では、L2TP/IPsec が抱える限界と、Always On VPN へ移行するメリット、および
そのアーキテクチャの概要を解説します。
1. L2TP/IPsec VPN が抱える現代の課題
L2TP/IPsec は多くの OS に標準搭載されており導入が容易な反面、現代のワークスタイルでは
以下のデメリットが目立つようになりました。
-
手動接続のストレス: ユーザーが Windows のネットワークメニューから毎回手動で
「接続」ボタンを押す必要があり、利便性に欠けます。 -
サインイン前の管理が不可能: ユーザーが Windows にログインした後にしか接続を
確立できないため、ログイン前の端末に対して Active Directory からのグループポリシー(GPO)
適用や、資産管理ソフトによるパッチ強制配信が困難です。 -
ネットワーク切り替えに弱い: Wi-Fi から有線 LAN、スマートフォンのテザリングへ
切り替わった際にセッションが切断され、再接続の手間が発生します。
2. Always On VPN とは?
Always On VPN は、Windows 10 バージョン 1607 以降(Pro・Enterprise・Education エディション)
および Windows 11 に組み込まれているリモートアクセス機能です。
⚠️ Home エディションは非対応です。 また、後述する Device Tunnel は
Enterprise・Education エディション専用の機能です。
最大の特徴は、その名のとおり「常時接続」である点です。ユーザーが意識することなく、
端末がインターネットに接続した時点で自動的に社内ネットワークへのセッションが確立されます。
主要な 2 つの接続プロファイル
Always On VPN は、目的の異なる 2 つのトンネルを組み合わせて構成できます。
1. デバイスのトンネル(Device Tunnel)
対応エディション:Windows 10/11 Enterprise・Education のみ
- ユーザーが Windows にサインインする前に、端末(コンピューターアカウント)の
証明書を使って自動接続します。 -
メリット: ログイン前でも GPO の適用、パスワード変更の同期、
初期セットアップ(キッティング)をリモートで実行できます。
2. ユーザーのトンネル(User Tunnel)
- ユーザーがサインインした後、ユーザー証明書(EAP-TLS) を用いて接続します。
-
メリット: ファイルサーバーや業務システムなどの社内リソースへのアクセスを、
個人の権限に基づいて制御できます。
3. L2TP/IPsec と Always On VPN の比較
| 比較項目 | L2TP/IPsec VPN | Always On VPN |
|---|---|---|
| 接続アクション | 手動(ユーザー操作) | 自動(常時接続) |
| サインイン前接続 | 不可 | 可能(Device Tunnel) |
| 主要プロトコル | L2TP/IPsec | IKEv2(推奨)/ SSTP(フォールバック) |
| 認証方式 | 事前共有鍵(PSK)+ ID/PW | クライアント証明書(EAP-TLS) |
| 設定の配布 | 手動、または接続マネージャー | Intune(MDM)・GPO スクリプト・PowerShell |
IKEv2 を採用する理由
Always On VPN では主要プロトコルに IKEv2 を採用します。IKEv2 には
MOBIKE(Mobility and Multihoming Protocol) という機能が含まれており、
Wi-Fi からモバイル回線へ切り替わった際にも、VPN セッションを維持したまま
通信を継続できます。SSTP はポート 443(HTTPS)を使用するため、
IKEv2 が使えない制限的なネットワーク環境でのフォールバックとして利用されます。
4. 移行に必要なインフラ要件
Always On VPN への移行は、単にサーバー設定を変えるだけでなく、
認証インフラの整備とセットで設計する必要があります。
① 公開鍵暗号基盤(PKI)の構築
Always On VPN はセキュリティ強化のために、ユーザーおよびデバイスへの
クライアント証明書の配布を必須 としています。Active Directory 証明書サービス(AD CS)
などを利用して、証明書の自動更新・配布環境を整えます。
② ネットワークポリシーサーバー(NPS)の配置
NPS(Network Policy Server) は、Microsoft が提供する RADIUS サーバー実装です。
VPN ゲートウェイ(RRAS など)と Active Directory の間に配置し、
クライアント証明書の検証やアクセスポリシーの適用を担います。
③ クライアントへの設定配布(ProfileXML)
設定は Windows の GUI からは行わず、XML ファイル(ProfileXML)を作成し、
Intune(MDM)またはグループポリシー(GPO スクリプト)で端末へ一括配布します。
# ProfileXML を定義し、WMI 経由でシステムへ登録する例
$ProfileName = "CorpAlwaysOnVPN"
$ProfileXML = @"
<VPNProfile>
<NetworkName>$ProfileName</NetworkName>
<NativeProfile>
<Servers>vpn.corp.example.com</Servers>
<NativeProtocolType>IKEv2</NativeProtocolType>
<Authentication>
<MachineMethod>Certificate</MachineMethod>
</Authentication>
</NativeProfile>
<DomainNameInformation>
<DomainName>.corp.local</DomainName>
<DnsServers>10.0.0.1</DnsServers>
</DomainNameInformation>
<AlwaysOn>true</AlwaysOn>
<DeviceTunnel>false</DeviceTunnel>
</VPNProfile>
"@
# WMI クラス(MDM_VPNv2_01)を使ってプロファイルを登録
$nodeCSPURI = "./Vendor/MSFT/VPNv2"
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_VPNv2_01"
$session = New-CimSession
$options = New-Object Microsoft.Management.Infrastructure.Options.CimOperationOptions
$params = $session.CreateInstance(
$namespaceName,
[Microsoft.Management.Infrastructure.CimInstance]::new($className),
$options
)
# ProfileXML をエスケープして設定
$ProfileXML_Escaped = [System.Net.WebUtility]::HtmlEncode($ProfileXML)
$newInstance = New-Object Microsoft.Management.Infrastructure.CimInstance $className, $namespaceName
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create(
"ParentID", "$nodeCSPURI", "String", "Key")
$newInstance.CimInstanceProperties.Add($property)
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create(
"InstanceID", $ProfileName, "String", "Key")
$newInstance.CimInstanceProperties.Add($property)
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create(
"ProfileXML", $ProfileXML_Escaped, "String", "Property")
$newInstance.CimInstanceProperties.Add($property)
$session.CreateInstance($namespaceName, $newInstance)
Write-Host "VPN プロファイル '$ProfileName' を登録しました。"
📝 上記は User Tunnel の登録例です。Device Tunnel の場合は
<DeviceTunnel>true</DeviceTunnel>に変更し、
SYSTEM アカウントのコンテキストで実行する必要があります。
まとめ:移行がもたらすメリット
L2TP/IPsec から Always On VPN への移行は、ユーザーにとっては
「VPN を意識させないシームレスな体験」を、システム管理者にとっては
「社外にある端末も社内と同様に統制・管理できるセキュリティ」をもたらします。
| 対象 | 得られるメリット |
|---|---|
| エンドユーザー | 接続操作が不要、ネットワーク切り替え時も通信継続 |
| システム管理者 | GPO・Intune による統合管理、ログイン前のデバイス制御 |
| セキュリティ担当 | 証明書認証による強固な認証、PSK 漏洩リスクの排除 |
PKI(証明書インフラ)の準備というハードルはありますが、
ハイブリッドワーク環境を安全に維持するための投資として、
大きなリターンが期待できるアーキテクチャです。