0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

第19回 L2TP/IPsec VPN から Always On VPN へ:移行のメリットとアーキテクチャ概要

0
Posted at

L2TP/IPsec VPN から Always On VPN へ:移行のメリットとアーキテクチャ概要

テレワークの普及に伴い、長年企業のリモートアクセスを支えてきた L2TP/IPsec VPN。しかし
「接続の手間」「サインイン前の通信不可」「ネットワーク切り替え時の瞬断」といった運用課題から、
マイクロソフトが推奨する次世代ソリューション「Always On VPN」への移行を進める企業が増えています。

この記事では、L2TP/IPsec が抱える限界と、Always On VPN へ移行するメリット、および
そのアーキテクチャの概要を解説します。


1. L2TP/IPsec VPN が抱える現代の課題

L2TP/IPsec は多くの OS に標準搭載されており導入が容易な反面、現代のワークスタイルでは
以下のデメリットが目立つようになりました。

  • 手動接続のストレス: ユーザーが Windows のネットワークメニューから毎回手動で
    「接続」ボタンを押す必要があり、利便性に欠けます。
  • サインイン前の管理が不可能: ユーザーが Windows にログインした後にしか接続を
    確立できないため、ログイン前の端末に対して Active Directory からのグループポリシー(GPO)
    適用や、資産管理ソフトによるパッチ強制配信が困難です。
  • ネットワーク切り替えに弱い: Wi-Fi から有線 LAN、スマートフォンのテザリングへ
    切り替わった際にセッションが切断され、再接続の手間が発生します。

2. Always On VPN とは?

Always On VPN は、Windows 10 バージョン 1607 以降(Pro・Enterprise・Education エディション)
および Windows 11
に組み込まれているリモートアクセス機能です。

⚠️ Home エディションは非対応です。 また、後述する Device Tunnel は
Enterprise・Education エディション専用の機能です。

最大の特徴は、その名のとおり「常時接続」である点です。ユーザーが意識することなく、
端末がインターネットに接続した時点で自動的に社内ネットワークへのセッションが確立されます。

主要な 2 つの接続プロファイル

Always On VPN は、目的の異なる 2 つのトンネルを組み合わせて構成できます。

1. デバイスのトンネル(Device Tunnel)

対応エディション:Windows 10/11 Enterprise・Education のみ

  • ユーザーが Windows にサインインする前に、端末(コンピューターアカウント)の
    証明書を使って自動接続します。
  • メリット: ログイン前でも GPO の適用、パスワード変更の同期、
    初期セットアップ(キッティング)をリモートで実行できます。

2. ユーザーのトンネル(User Tunnel)

  • ユーザーがサインインした後、ユーザー証明書(EAP-TLS) を用いて接続します。
  • メリット: ファイルサーバーや業務システムなどの社内リソースへのアクセスを、
    個人の権限に基づいて制御できます。

3. L2TP/IPsec と Always On VPN の比較

比較項目 L2TP/IPsec VPN Always On VPN
接続アクション 手動(ユーザー操作) 自動(常時接続)
サインイン前接続 不可 可能(Device Tunnel)
主要プロトコル L2TP/IPsec IKEv2(推奨)/ SSTP(フォールバック)
認証方式 事前共有鍵(PSK)+ ID/PW クライアント証明書(EAP-TLS)
設定の配布 手動、または接続マネージャー Intune(MDM)・GPO スクリプト・PowerShell

IKEv2 を採用する理由

Always On VPN では主要プロトコルに IKEv2 を採用します。IKEv2 には
MOBIKE(Mobility and Multihoming Protocol) という機能が含まれており、
Wi-Fi からモバイル回線へ切り替わった際にも、VPN セッションを維持したまま
通信を継続できます。SSTP はポート 443(HTTPS)を使用するため、
IKEv2 が使えない制限的なネットワーク環境でのフォールバックとして利用されます。


4. 移行に必要なインフラ要件

Always On VPN への移行は、単にサーバー設定を変えるだけでなく、
認証インフラの整備とセットで設計する必要があります。

① 公開鍵暗号基盤(PKI)の構築

Always On VPN はセキュリティ強化のために、ユーザーおよびデバイスへの
クライアント証明書の配布を必須
としています。Active Directory 証明書サービス(AD CS)
などを利用して、証明書の自動更新・配布環境を整えます。

② ネットワークポリシーサーバー(NPS)の配置

NPS(Network Policy Server) は、Microsoft が提供する RADIUS サーバー実装です。
VPN ゲートウェイ(RRAS など)と Active Directory の間に配置し、
クライアント証明書の検証やアクセスポリシーの適用を担います。

③ クライアントへの設定配布(ProfileXML)

設定は Windows の GUI からは行わず、XML ファイル(ProfileXML)を作成し、
Intune(MDM)またはグループポリシー(GPO スクリプト)で端末へ一括配布します。

# ProfileXML を定義し、WMI 経由でシステムへ登録する例
$ProfileName = "CorpAlwaysOnVPN"

$ProfileXML = @"
<VPNProfile>
  <NetworkName>$ProfileName</NetworkName>
  <NativeProfile>
    <Servers>vpn.corp.example.com</Servers>
    <NativeProtocolType>IKEv2</NativeProtocolType>
    <Authentication>
      <MachineMethod>Certificate</MachineMethod>
    </Authentication>
  </NativeProfile>
  <DomainNameInformation>
    <DomainName>.corp.local</DomainName>
    <DnsServers>10.0.0.1</DnsServers>
  </DomainNameInformation>
  <AlwaysOn>true</AlwaysOn>
  <DeviceTunnel>false</DeviceTunnel>
</VPNProfile>
"@

# WMI クラス(MDM_VPNv2_01)を使ってプロファイルを登録
$nodeCSPURI = "./Vendor/MSFT/VPNv2"
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_VPNv2_01"

$session = New-CimSession
$options = New-Object Microsoft.Management.Infrastructure.Options.CimOperationOptions
$params = $session.CreateInstance(
    $namespaceName,
    [Microsoft.Management.Infrastructure.CimInstance]::new($className),
    $options
)

# ProfileXML をエスケープして設定
$ProfileXML_Escaped = [System.Net.WebUtility]::HtmlEncode($ProfileXML)
$newInstance = New-Object Microsoft.Management.Infrastructure.CimInstance $className, $namespaceName
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create(
    "ParentID", "$nodeCSPURI", "String", "Key")
$newInstance.CimInstanceProperties.Add($property)
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create(
    "InstanceID", $ProfileName, "String", "Key")
$newInstance.CimInstanceProperties.Add($property)
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create(
    "ProfileXML", $ProfileXML_Escaped, "String", "Property")
$newInstance.CimInstanceProperties.Add($property)
$session.CreateInstance($namespaceName, $newInstance)

Write-Host "VPN プロファイル '$ProfileName' を登録しました。"

📝 上記は User Tunnel の登録例です。Device Tunnel の場合は
<DeviceTunnel>true</DeviceTunnel> に変更し、
SYSTEM アカウントのコンテキストで実行する必要があります。


まとめ:移行がもたらすメリット

L2TP/IPsec から Always On VPN への移行は、ユーザーにとっては
「VPN を意識させないシームレスな体験」を、システム管理者にとっては
「社外にある端末も社内と同様に統制・管理できるセキュリティ」をもたらします。

対象 得られるメリット
エンドユーザー 接続操作が不要、ネットワーク切り替え時も通信継続
システム管理者 GPO・Intune による統合管理、ログイン前のデバイス制御
セキュリティ担当 証明書認証による強固な認証、PSK 漏洩リスクの排除

PKI(証明書インフラ)の準備というハードルはありますが、
ハイブリッドワーク環境を安全に維持するための投資として、
大きなリターンが期待できるアーキテクチャです。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?