DirectAccessはもう古い!? Windows 10／11の安全なリモートアクセスは“Always on VPN”推奨：検証！ Microsoft＆Windowsセキュリティ（3）

「DirectAccess」は、Windows 7およびWindows Server 2008 R2から利用できる企業ネットワークへの安全なリモートアクセス手段の一つです。しかし、現在のWindows 10とWindows 11では、DirectAccessは非推奨になりました。その代替として、「Always on VPN」が推奨されています。その導入手順を検証してみました。

[山市良，テクニカルライター]

検証！　Microsoft＆Windowsセキュリティ

Windows 10／11のリモートアクセスは「DirectAccess非推奨」「Always on VPN推奨」に

　「DirectAccess」は、デバイスのネットワーク状態に応じてIPv4／IPv6移行テクノロジー（IPv6ネイティブ、6to4、Teredoなど）を利用して、IPsec（Security Architecture for Internet Protocol）またはHTTPSトンネルを自動接続し、企業ネットワーク内の企業リソースへの安全なアクセスと、企業ネットワーク側からのクライアントデバイスのリモート管理を可能にするテクノロジーです。DirectAccessは、「Windows Server 2008 R2」と「Windows 7 Enterprise／Ultimate」で初めて導入されました。

　しかし、以下の公式ドキュメントに記載されているように、DirectAccessが大きく依存するIPv4／v6移行テクノロジーの多くは「Windows 10」で段階的に“既定で無効”にされており、利用は推奨されなくなっています。

• Windowsクライアントの非推奨の機能（Microsoft Learn）
• Windows Server 2019以降で削除された機能または開発されなくなった機能（Microsoft Learn）

　また、以下の公式ドキュメントでは、“Windows 10以降の場合は、Always On VPNを使って接続することをお勧めします。DirectAccessは、Windows 10より前のクライアントにのみ使う必要があります。”と書いてあります。Windows 10／11は現状、DirectAccessクライアントとして機能するようですが、将来的には削除される可能性があるため、もし導入済みであるとしたら、「Always On VPN」や他のソリューションに移行を進める必要があります。

• リモートアクセスの概要（Microsoft Learn）

Always on VPNには、DirectAccessのような簡単セットアップウィザードの提供なし

　DirectAccessは複雑な機能ですが、ネットワークトポロジーの選択から始まるセットアップウィザードを使用して、比較的簡単に導入できます。「Windows Server 2012」以降は、証明書ベースの認証に使用するエンタープライズPKI（公開キー基盤）の導入や、2つの連続したパブリックなIPv4アドレス要件がなくなり、NAT（ネットワークアドレス変換）デバイスの背後への設置も可能になったため、小規模な環境でも簡単にセットアップできました。