Microsoft Always On VPN とは – vembu

BY admin
|

リモート アクセスは、中央の生産拠点やネットワークから離れているときに生産性を高めるために、モバイル ワークフォースを強化する重要なコンポーネントの 1 つです。 長年にわたり、仮想プライベート ネットワークまたは VPN 接続は、インターネット経由で暗号化された安全なプライベート トンネルを介してビジネス ネットワークに接続できる、リモート アクセス モバイル従業員の主役でした。 しかし、VPNの導入や維持が難しい場合があります。

数年前、Microsoft は DirectAccess を発表し、リモート アクセスの課題に対するソリューションとして宣伝されました。 これは、正しく実装するのが難しく、その採用に影響を与える制限があることが判明しました。 Windows Server 2016以降では、Windows 10とともに、MicrosoftはAlways On VPNと呼ばれる新しいリモートアクセス技術を導入しています。

この投稿では、以下を紹介します:

  • マイクロソフト Always On VPN とは何ですか?
  • その利点と要件は何か
  • 導入シナリオの種類

MicrosoftのAlways On VPNとは何か

MicrosoftのAlways On VPNは、DirectAccessリモートアクセス技術を刷新し、DirectAccessの限界を克服してより幅広い採用を実現することを目指します。 新しい Always On VPN 技術により、Microsoft は、幅広いクライアントをサポートするリモート アクセスの単一ソリューションを実現しようとしています。 DirectAccess と同様、VPN 接続は「Always On」であり、多要素認証が有効になっていない限り、ユーザーによる入力は必要ありません。 クライアントがインターネットに接続されると同時に、VPN接続が確立されます。 DirectAccess とは異なり、サポートされるクライアントの範囲は、単にドメインに参加しているクライアントだけではありません:

  • Domain-joined
  • Non Domain-joined
  • Azure AD-joined devices
  • BYOD

DirectAccess に対する追加のブロックは、クライアントから見ると Enterprise エディションを必要とするということでした。 しかし、AOVPNによって、MicrosoftはWindows 10 Pro以上のクライアントがこの技術の恩恵を受けられるようにしている。 接続はユーザー型とデバイス型の両方をサポートしますが、この2つを組み合わせることも可能です。 これにより、デバイス管理でデバイスを管理するだけでなく、社内のサイトやサービスに接続するためのユーザー認証も可能になります。

VPN1

A high-level overview of Always On VPN technology Infrastructure Requirements

Always On VPN技術を使用して接続するには、次の手順が必要です。

  • リモートWindows 10クライアントは、VPNゲートウェイのIPアドレスを解決するためにDNS解決を利用します
  • 名前解決により、VPNゲートウェイのパブリックIPアドレスが解決されると、VPNゲートウェイのパブリックIPアドレスは、VPNゲートウェイの名前解決に使用されます。 クライアントはAlways On VPNゲートウェイに接続要求を送信します
  • VPNゲートウェイはRADIUSクライアントとして機能し、接続要求を企業のNPSサーバーに転送して認証要求を処理します
  • Network Policy Serverは必要な認証を実行します。 Microsoft Always On VPN の要件

    Microsoft Always On VPN ソリューションには、さまざまな可動部品や断片が存在します。 要件の多くは、ほとんどの企業顧客環境ですでに見られるものです。 しかし、これらには以下のようなものがあります。

    • ドメインコントローラ
    • DNS サーバー
    • Network Policy Server (NPS)
    • Certificate Authority Server (CA)
    • Routing and Remote Access Server

    マイクロソフトAlways On VPNのセットアップ要件/前提条件についてもう少し掘り下げて考えてみましょう。 DNSや認証局サーバーなど、Active Directory環境に必要なコンポーネントがたくさんあります。

    • 企業は、外部と内部の両方の DNS 構造を構成し、それぞれにゾーンを設定する必要があります。 親とサブドメインの構成は、少なくとも Microsoft のドキュメントでは、おそらく contoso.com と corp.contoso.com
    • 組織は Active Directory Certificate Services (AD CS) を使用して公開鍵基盤を構成する必要があります。 DirectAccessと同様に、Always On VPNテクノロジでは、証明書を使用してテクノロジをシームレスにします。
    • 既存または新規のネットワークポリシーサーバが必要です。 既存のサーバーは、AOVPN
    • Remote Access as RAS Gateway VPN – IKEv2 VPN接続とLANルーティングをサポートする機能が有効
    • Two Firewall configuration – 1つのファイアーウォールはエッジファイアーウォール、もう1つは内部ファイアーウォールになります。 リモートアクセスサーバーのパブリックインターフェースはエッジファイアウォールにアップリンクされ、内部インターフェースは内部ファイアウォールの前に配置されます
    • リモートアクセスサーバーは、適切なネットワーク接続でRASホストとして使用するためにVMまたは物理サーバーとすることができます。 「1476>
    • AOVPN 技術を展開するための管理者権限

    Microsoft Always On VPN の展開シナリオの種類

    Microsoft Always On VPN 技術の展開シナリオは、実際には 2 種類存在します。

    • Always On VPN のみ
    • Always On VPN with VPN connectivity using conditional Azure Active Directory access

    条件付き Azure Active Directory アクセスとは何ですか?

    条件付きAzure Active Directoryアクセスは、リソースへのアクセス方法をアクセス制御の判断に反映させます。 これらの自動化されたアクセス制御の決定により、アクセスの安全性を確保することができます。 条件付きアクセスは、サインインのリスクレベル、リクエストの場所、クライアントアプリケーションなどを考慮します。

    これにより、リソースを保護しながら、エンドユーザーの生産性と進捗が不必要に妨げられないように、必要なバランスを取ることができます。

    VPN2

    Azure Active Directory 条件付きアクセス設計/中心>

    アクセスを許可または拒否するために考慮される要因のいくつかの例は、次のとおりです。

    • サインイン リスク – 機械学習を使用して、Azure はサインイン要求の動作に基づいてサインイン リスクを検出し、保証される場合はユーザーをブロックする可能性もあります
    • ネットワーク位置 – ネットワーク位置に基づいて、あなたが言う人であることを証明するためにより多くの身元証明が必要になる場合があります。 これは、Azure ADの条件付きアクセスで考慮することができます
    • デバイス管理 – 企業が所有し管理するデバイスのみにアクセスを制限したい場合があります。 または、企業リソースへのアクセスを許可するデバイスの種類を制限したい場合
    • Client Application – 企業環境へのアクセスを許可するアプリケーションの種類を制御したり、企業によって管理する必要があるアプリケーションを決定する

    Microsoft Always On VPN Advanced Features

    MicrosoftのAOVPN技術には、以下を含む多くの先進機能が備わっています。

    • 高可用性
    • 高度な認証
    • 高度なトラフィック機能
    • 追加のセキュリティ保護

    高可用性

    AOVPNでの高可用性を確保するには、複数のNPS (Network Policy Server) でロードバランスを取ったり、リモートアクセスでクラスタリング技術を使用したりすることができます。 地理的なサイトの弾力性を提供するために、Windows Server 2016のDNSを備えたグローバルトラフィックマネージャーを使用できます。

    高度な認証

    AOVPNは、生体認証やPINなどの強力な2要素認証でパスワードを置き換えるWindows Hello for Businessをサポートしています。 さらに、Windows VPN と統合できる Azure Multi-Factor Authentication を使用できます。

    高度なトラフィック機能

    トラフィック フィルター、アプリ トリガー VPN、および VPN 条件付きアクセスなどの高度な機能はすべて、Microsoft AOVPN で使用でき、トラフィックをさらにフィルターして安全にすることが可能です。

    追加のセキュリティ保護

    Microsoft の AOVPN は Trusted Platform Module (TPM) Key Attestation と互換性があり、アクセスに対してより高いセキュリティ保証を提供します。 DirectAccess は Microsoft が期待したほどには普及しなかったため、Windows Server 2016 以降に見られる新しい Always On VPN 技術は、それを変えたいと考えています。 エンタープライズライセンス以外のクライアントだけでなく、ドメインに参加していないクライアントもサポートすることで、AOVPNは今日、企業で採用されるより良い立場にあることは確かです。 AOVPNは、誰がリソースにアクセスするのかをより賢く決定できる「条件付きアクセス」技術によって、Azureとも強力に連携している。 一般的に、AOVPNの導入には、PKSやNPSのような導入がより困難な多くの技術が必要なため、かなり複雑な要素が含まれます。

    Follow our Twitter and Facebook feeds for new releases, updates, insightful posts and more.

    Like what you read? 評価する
    0.0
    00