Gateway

Windows ログオン前に常時接続の VPN (正式には常時接続サービス)

Windows ログオン前の AlwaysOn VPN (正式には Always On サービス) 機能を使用すると、ユーザーが Windows システムにログインする前であっても、マシンレベルの VPN トンネルを確立できます。トンネルは、マシンがシャットダウンするまでアクティブなままです。ユーザーがログオンすると、マシンレベルの VPN トンネルがユーザーレベル VPN トンネルに引き継がれます。ユーザーがログオフすると、ユーザーレベルのトンネルが破棄され、マシンレベルのトンネルが確立されます。Windows ログオン前の常時オン VPN は、高度な認証ポリシーのみを使用して構成できます。詳細については、「 Windows ログオン前に常時接続 VPN を構成する」を参照してください。

Windows ログオン前に常にオン VPN 機能

  • 管理者は、リモートで初めて作業するユーザーにワンタイムパスワードを提供できます。このワンタイムパスワードを使用して、ドメインコントローラに接続してパスワードを変更できます。
  • 管理者は、ユーザーがログインする前であっても、デバイスに対する AD ポリシーをリモートで管理/適用できます。
  • 管理者は、ユーザーがログオンした後のユーザーグループに基づいて、ユーザーにきめ細かなレベルの制御を提供できます。たとえば、ユーザーレベルのトンネルを使用して、特定のユーザーグループに対するリソースへのアクセスを制限または提供できます。
  • ユーザートンネルは、ユーザーの要件に従って MFA 用に設定できます。
  • 複数のユーザーが同じマシンを使用できます。選択的リソースへのアクセスは、ユーザープロファイルに基づいて提供されます。たとえば、複数のユーザーがキオスク内のマシンを面倒なく使用できます。
  • リモートで作業しているユーザーは、ドメインコントローラに接続してパスワードを変更します。
  • Windows マシンは、社内 Active Directory (AD) を使用してユーザーのログイン資格情報を確認でき、マシン上の Windows 資格情報はキャッシュされません。また、新しい企業の AD ユーザーは、マシンにシームレスにログオンできます。
  • Windows マシンは、ユーザーがログインする前でも企業イントラネットの一部となり、IT 管理者はデバッグ目的で企業ネットワークからクライアントマシンにアクセスできます。
  • Windows マシンの VPN トンネルは、別のユーザーがマシンにログインまたはログアウトしても、接続されたままになります。

Windows ログオン前に常時接続の VPN について理解する

Windows ログオン前の常時接続 VPN 機能のイベントのフローを次に示します。

ユーザーのパーソナルフローで常時オン

  • ユーザーがラップトップの電源を入れます。デバイス証明書をIDとして使用して、NetScaler Gateway に向けてマシンレベルのトンネルが確立されます。
  • ユーザは AD クレデンシャルを使用してラップトップにログインします。
  • ログイン後、ユーザーは MFA でチャレンジされます。
  • 認証が成功すると、マシンレベルのトンネルはユーザレベルのトンネルに置き換えられます。
  • ユーザがログアウトすると、ユーザレベルのトンネルはマシンレベルのトンネルに置き換えられます。

注意事項:

  • NetScaler Gateway および VPN プラグインのバージョンは 13.0.41.20 以降である必要があります。
  • クライアントマシンにインターネット接続がない場合、 Windows ログオンの前に Always On VPN は 、VPN トンネルを確立する前にインターネット接続が使用可能になるのを待機します。
  • クライアントマシンがキャプティブポータルネットワークに接続されている場合、 Windows ログオンの前に Always On VPN はキャプティブポータルへのユーザの認証を待機します。ユーザーがログインしてインターネットアクセスを有効にすると、 Windows ログオンが VPN トンネルを確立する前に Always On VPN が実行されます。
  • Windowsログオン前にVPNを常時接続する機能では、NetScaler ADC キャプティブポータルがサポートされています。
  • Windows でログオン資格情報のキャッシュオプションが有効になっていない場合は、次のシナリオでユーザーはログオンできません。
    • マシンにインターネット接続がありません
    • マシンがキャプティブポータルネットワークに接続されている
  • 管理者は、エンドユーザーにログオンページを表示する前に、デバイス証明書の失効ステータスを確認する必要があります。

Windows ログオン構成の前に常時接続の VPN の後の Windows 認証情報マネージャ画面

Windows ログオン前に常時オン VPN 機能を構成すると、 Windows 資格情報マネージャーの画面が次のように変更されます

Windows 認証情報マネージャ画面

ログオン画面で [ サインインオプション ] をクリックすると、次の情報が表示されます。

  • NetScaler Gateway アイコンは、マシンがNetScaler Gateway に接続されているかどうかを示します。
  • ユーザ構成モードに応じて、次のいずれかのステートメントがログオン画面に表示されます。
    • NetScaler Gateway はサービスモードで接続されています
    • NetScaler Gateway はユーザーモードで接続されています
Windows ログオン前に常時接続の VPN (正式には常時接続サービス)