DirectAccessとAlways On VPNの違いとは?
On 12月 17, 2021 by admin
DirectAccess は長年存在していますが、Microsoft が現在 Always On VPN の方向に向かっているため、よく “DirectAccess と Always On VPN の違いは何か?” と聞かれます。 基本的には、どちらもシームレスで透過的な、常時接続のリモートアクセスを提供します。 しかし、Always On VPN は、セキュリティ、認証と管理、パフォーマンス、およびサポート性の面で DirectAccess よりも多くの利点を持っています。 これは、粒度の細かいアクセスを制御するネイティブな機能を欠いています。 DirectAccess サーバーと LAN の間にファイアウォールを配置することで、内部リソースへのアクセスを制限することは可能ですが、そのポリシーは接続しているすべてのクライアントに適用されます。
Windows 10 Always On VPN には、粒度の細かいトラフィック フィルタリングのサポートがあります。 DirectAccess では、接続時にすべての内部リソースにアクセスできますが、Always On VPN では、管理者がさまざまな方法でクライアントの内部リソースへのアクセスを制限することができます。 さらに、トラフィックフィルタポリシーは、ユーザごとまたはグループごとに適用することができます。 たとえば、経理部門のユーザには、所属する部門のサーバへのアクセスのみを許可することができます。
認証と管理
DirectAccess は、スマート カードとワンタイムパスワード (OTP) ソリューションによる強力なユーザー認証のサポートを備えています。 ただし、Windows Server 2016およびWindows 10でその機能が削除されたため、デバイスの構成や健康状態に基づいてアクセスを許可するプロビジョンはありません。 また、DirectAccessでは、すべての構成設定がActive Directoryグループポリシーを使用して管理されるため、クライアントとサーバーがドメインに参加している必要があります。
Windows 10 Always On VPNでは、最新の認証と管理のサポートが含まれており、全体的なセキュリティが向上しています。 Always On VPN クライアントは、Azure Active Directory に参加することができ、条件付きアクセスも有効にすることができます。 Azure MFA と Windows Hello for Business を使用したモダンな認証もサポートされています。 DirectAccess は IPv6 で IPsec を使用します。IPv6 は TLS でカプセル化され、パブリック IPv4 インターネット上でルーティングされる必要があります。 IPv6トラフィックは、その後、DirectAccessサーバーでIPv4に変換されます。 DirectAccessのパフォーマンスは、クライアントが信頼性の高い高品質のインターネット接続を使用している場合、多くの場合、許容されます。 しかし、接続品質がまあまあ悪い場合、カプセル化と変換の複数のレイヤーを持つ DirectAccess の高いプロトコルオーバーヘッドにより、しばしばパフォーマンスが低下します。
Windows 10 Always On VPN 導入に選択されたプロトコルは IKEv2 です。 これは、TLS ベースのプロトコルと比較して、最高のセキュリティとパフォーマンスを提供します。 また、Always On VPNは、DirectAccessのようにIPv6のみに依存するわけではありません。 このため、カプセル化のレイヤー数が減り、複雑な IPv6 の移行および変換テクノロジが不要になり、DirectAccess よりもさらにパフォーマンスが向上します。
サポート性
DirectAccess は Microsoft 独自のソリューションで、Windows Server と Active Directory を使用して展開する必要があります。 また、クライアントがネットワークの内側か外側かを判断するために、ネットワーク ロケーション サーバー (NLS) が必要です。 NLS の可用性は非常に重要であり、内部クライアントから常に到達可能であることを保証することは、特に非常に大規模な組織では課題となります。
Windows 10 Always On VPN をサポートするインフラは DirectAccess よりはるかに複雑ではありません。 NLS の要件がないため、プロビジョニング、管理、および監視するサーバーの数が少なくて済みます。 さらに、Always On VPN はインフラストラクチャに完全に依存していないため、Cisco、Checkpoint、SonicWALL、Palo Alto などのサードパーティの VPN サーバーを使用して展開することが可能です。
Summary
Windows 10 Always On VPN は将来の方法です。 DirectAccess よりも全体的なセキュリティが高く、パフォーマンスも良く、管理とサポートが簡単です。
VPN や DirectAccess、Windows 10 Always On VPN の重要な側面について簡単にまとめてみました。
| DirectAccess | Always On VPN | ||||||
| Seamless and Transparent | No | Yes | Yes | ||||
| Automatic Connection Options | None | Always on | Always on, アプリの起動 | ||||
| プロトコルサポート | IPv4およびIPv6 | IPv6のみ | IPv4 およびIPv6 | ||||
| トラフィックフィルタリング | いいえ | はい | |||||
| Azure AD Integration | No | Yes | |||||
| Modern Management | Yes | No (group policy only) | Yes (MDM) | ||||
| Clients must be domain-> | Common Management | Modern Management | No | Yes | Modern Management | Yes | Yes (group policy only) |
| Modern Management | いいえ | はい | いいえ | ||||
| マイクロソフトのインフラが必要です | いいえ | はい | いいえ | ||||
| Windows 7 | Yes | Yes | Windows 10のみ |
Always On VPN Hands- (ハンズオンVPN)トレーニング
Windows 10 Always On VPNについてもっと知りたい方は、こちらをご覧ください。 私のハンズオントレーニングクラスへの登録をご検討ください。 詳細はこちら
。
コメントを残す