Appleデバイス導入でのVPNの概要
iOS、iPadOS、macOS、tvOS、watchOS、およびvisionOSは、業界標準の仮想プライベートネットワーク(VPN)プロトコルを使用して、企業プライベートネットワークに安全にアクセスできます。
サポートされるプロトコル
iOS、iPadOS、macOS、tvOS、watchOS、およびvisionOSは、以下のプロトコルと認証方法に対応しています:
IKEv2: IPv4とIPv6の両方および以下の方式と機能に対応しています:
認証方式: 共有シークレット、証明書、EAP-TLS、およびEAP-MSCHAPv2
Suite B暗号方式: ECDSA証明書、GCMおよびDiffie-HellmanグループのECPグループによるESP暗号化
その他の機能: MOBIKE、IKEフラグメンテーション、サーバリダイレクト、スプリットトンネル
iOS、iPadOS、macOS、およびvisionOSは、以下のプロトコルと認証方法にも対応しています:
L2TP over IPsec: MS-CHAP v2パスワード、2ファクタトークン、証明書によるユーザ認証、および共有シークレットまたは証明書によるコンピュータ認証
macOSでは、L2TP over IPsecを使った共有シークレットまたは証明書によるKerberosコンピュータ認証も使用できます。
IPsec: パスワード、2ファクタトークンによるユーザ認証、および共有シークレットと証明書によるコンピュータ認証
組織がこれらのプロトコルに対応していれば、特別なネットワーク構成や他社製アプリを用意しなくても、Appleデバイスから仮想プライベートネットワークに接続できます。
IPv6、プロキシサーバ、スプリットトンネリングなどのテクノロジーに対応しています。スプリットトンネリングは、組織のネットワークに接続する際に柔軟なVPNエクスペリエンスを提供します。
さらに、Network Extensionフレームワークは、他社のデベロッパがiOS、iPadOS、macOS、tvOS、およびvisionOS用のカスタムVPNソリューションを作成することを許可します。一部のVPNプロバイダは、自社のソリューションでAppleデバイスを使用する際の構成に対応したアプリを提供しています。特定のソリューションに合わせてデバイスを構成するには、プロバイダのコンパニオンアプリをインストールし、必要に応じて設定を含む構成プロファイルを準備します。
VPNオンデマンド
iOS、iPadOS、macOS、およびtvOSでは、VPNオンデマンドを使うと、必要に応じて、Appleデバイスの接続が自動的に確立されます。これには、ユーザ操作が発生しない認証方法が必要です(証明書ベースの認証など)。VPNオンデマンドは、構成プロファイルのVPNペイロード内のOnDemandRulesキーを使って構成されます。規則は、以下の2つのステージで適用されます:
ネットワーク検出ステージ: デバイスのプライマリネットワーク接続が変更されたときに適用されるVPN要件を定義します。
接続評価ステージ: 必要に応じて行われるドメイン名の接続要求のVPN要件を定義します。
規則を使うと以下のようなことを実行できます:
Appleデバイスが内部ネットワークに接続され、VPNが不要になったことを認識する
未知のWi-Fiネットワークが使用され、VPNが必要になったことを認識する
特定のドメイン名のDNS要求に失敗した場合にVPNを開始する
アプリ別VPN
iOS、iPadOS、macOS、watchOS、およびvisionOS 1.1では、アプリごとにVPN接続を確立できます。これによって、VPNを通過するデータをより詳細に制御できます。このようにトラフィックを分離することで、個人データを組織データからアプリレベルで分離することができます。そのため、Per App VPNを使用すると、デバイスの個人使用のプライバシーを保護すると同時に、社内アプリに安全なネットワーク接続を確保できます。
アプリ別VPNでは、モバイルデバイス管理(MDM)ソリューションによって管理される各アプリは安全なトンネル経由でプライベートネットワークを利用します。一方で、管理対象外アプリはプライベートネットワークを使用することができません。管理対象アプリに異なるVPN接続を割り当ててデータ保護を強化することもできます。例えば、売上見積アプリは買掛金アプリとは完全に異なるデータセンターを使用できます。
VPN構成のためにアプリ別VPNを作成したら、アプリ別VPNを使用するアプリにその接続を関連付けて、それらのアプリのネットワークトラフィックを保護する必要があります。これは、アプリ別VPNマッピングペイロードによって(macOSの場合)、またはアプリのインストールコマンド内でVPN構成を指定することによって(iOS、iPadOS、macOS、およびvisionOS 1.1の場合)行います。
iOS、iPadOS、watchOS、およびvisionOS 1.1に内蔵のIKEv2 VPNクライアントと連携するようにアプリ別VPNを構成できます。カスタムVPNソリューションのアプリ別VPN対応については、VPNベンダー各社にお問い合わせください。
注記: iOS、iPadOS、watchOS 10、およびvisionOS 1.1でアプリ別VPNを使用するには、アプリがMDMによって管理されている必要があります。
VPN常時接続
IKEv2用に利用できるVPN常時接続では、組織に戻されるすべてのIPトラフィックがトンネリングされるので、組織はiOSとiPadOSのトラフィックを完全に制御できます。組織では、デバイスを行き来するトラフィックを監視およびフィルタリングしたり、ネットワーク内のデータをセキュリティ保護したり、デバイスからインターネットへのアクセスを制限したりできます。
VPN常時接続のアクティベーションには、デバイスの監視が必要です。デバイスにVPN常時接続プロファイルをインストールすると、ユーザによる操作なしに自動的にVPN常時接続がアクティベートされます。VPN常時接続プロファイルをアンインストールしない限り、VPN常時接続はアクティベートされたままです(再起動後も保持されます)。
デバイスでVPN常時接続がアクティベートされると、VPNトンネルの起動および解除はインターフェイスIP状態によって決まります。インターフェイスがIPネットワークに到達できるようになると、トンネルの確立が試みられます。インターフェイスIP状態がダウンの場合、トンネルは解除されます。
VPN常時接続はインターフェイスごとのトンネルもサポートします。モバイルデータ通信接続対応のデバイスの場合、各アクティブIPインターフェイス用に1つのトンネル(モバイルデータ通信インターフェイスに1つと、Wi-Fiインターフェイスに1つ)が割り当てられます。VPNトンネルが起動している間は、すべてのIPトラフィックがトンネリングされます。トラフィックには、すべてのIPルーティングされたトラフィックとすべてのIPスコーピングされたトラフィック(FaceTimeや「メッセージ」などのファーストパーティ製アプリからのトラフィック)が含まれます。トンネルが起動していない場合、すべてのIPトラフィックはドロップされます。
デバイスからのすべてのトンネルされたトラフィックはVPNサーバに到達します。組織のネットワークまたはインターネット上の送信先にトラフィックを転送する前に、オプションのフィルタリングと監視を適用できます。同様に、デバイス宛てのトラフィックは組織のVPNサーバにルーティングされたあと、デバイスに転送される前にフィルタリングと監視のプロセスを適用される場合があります。
注記: Apple Watchペアリングは、常時接続VPNでは対応されません。
透過型プロキシ
透過型プロキシは、macOS上の特殊なVPNタイプで、さまざまな方法でネットワークトラフィックを監視および変換するために使用できます。一般的な用途は、コンテンツフィルタソリューションと、クラウドサービスにアクセスするブローカーです。さまざまな用途があるため、それらのプロキシがトラフィックを取得して確認および処理する順番を定義することをおすすめします。例えば、トラフィックを暗号化するプロキシを呼び出す前に、ネットワークトラフィックをフィルタリングするプロキシを呼び出すことをおすすめします。これを行うには、VPNペイロードの順番を定義します。