VPN、Windows 365、Azure Virtual Desktop……リモートアクセス環境はどれを選べばよい？――Microsoftのリモートアクセステクノロジーまとめ：企業ユーザーに贈るWindows 10への乗り換え案内（107）

コロナ禍の中、企業はテレワーク（リモートワーク）の導入と継続を求められ、それが長期化しています。既にテレワーク環境を整備した企業でも、セキュリティの強化や運用コストの面から定期的に見直すべきです。今回は、Windows／Windows Serverの標準機能、Microsoft Azureのサービスとして利用可能なリモートアクセス環境を簡単にまとめました。

[山市良，テクニカルライター]

企業ユーザーに贈るWindows 10への乗り換え案内

VPN／DirectAccess

　「Windows 8.1」および「Windows 10」（「Windows 7」以前については省略、以下同）は、「VPN（仮想プライベートネットワーク）」と「DirectAccess」のクライアント機能を標準搭載しています。

　VPNは、汎用（はんよう）的セキュリティリスクのあるインターネット上に保護されたトンネルを構築し、ポイントツーサイトあるいはサイトツーサイト接続で安全な相互通信を実現します。WindowsのVPNクライアントは暗号化プロトコルとして「PPTP」「L2TP/IPSec」「SSTP」「IKEv2」に対応しており、さまざまなVPNゲートウェイに対して接続可能です（画面1）。

画面1　Windows 10のVPN接続設定

　Windows Serverは、「リモートアクセス」の役割がVPNサーバ機能を提供できます。「Windows Server 2008 R2」までは「ルーティングとリモートアクセス（RRAS）」の役割が提供したため、RRASの呼び名の方が聞き慣れているかもしれません。

　VPN経由の通信は安全ですが、それは“エンドポイントのセキュリティが保証されている”場合に限られます。管理されていないデバイス（個人の家庭にあるPCなど）から企業ネットワークへのVPN接続を許可すると、管理されていないデバイスが原因でセキュリティ侵害や情報漏えいにつながるリスクがあります。最低限、管理されたデバイスにVPN接続設定を行い、社員に配布するなどの対策が必要です。

　DirectAccessは、Active DirectoryのドメインメンバーであるWindows 8.1／10 EnterpriseおよびWindows 10 Educationで利用可能な、IPv4/IPv6移行テクノロジーを利用したリモートアクセス機能です。

　DirectAccessは、PC起動時に現在のネットワーク接続の状態に応じて自動接続が開始され、ユーザーは社内設置のクライアントと同じように、社内リソースにシームレスにアクセスできます（画面2）。また、管理者はDirectAccessで接続されたクライアントをリモート管理できるように構成することもできます。

画面2　DirectAccessクライアントはネットワークの状態に応じて自動接続を開始。ユーザーによる操作は不要

　DirectAccessは、「Windows Server 2012」以降の「リモートアクセス」の役割でサポートされます（画面3）。DirectAccessクライアントとして構成済みの管理されたデバイスを、テレワークを行う社員に配布するとよいでしょう。ただし、ネットワーク環境によってはDirectAccessの接続が確立できない場合もあります。その場合に備えて、代替手段としてのVPN接続設定も含めておくとよいでしょう。

画面3　Windows Server 2016による「DirectAccessとVPN」のセットアップ

• ［参考］DirectAccess（Microsoft Docs）

VPN自動トリガー（Auto-Triggered VPN）