山市良の「企業ユーザーはここに注目しよう!Windows 8.1の新機能」 第5回
Enterpriseエディション限定だがユーザーも管理者も便利に使える
企業内リソースへの自動リモート接続機能「DirectAccess」
2013年10月03日 08時00分更新
“常時接続”のDirectAccessはPCのリモート管理に活用できる
従来のVPN接続では、クライアントPCはVPNトンネルを介してリモートのIPサブネット(社内ネットワーク)に接続していた。この場合、接続後のPCは、IPサブネット上にあるほかのサーバーやクライアントPCと同じように双方向で通信が可能だ。これに対してDirectAccessは、クライアントと接続先の社内リソースが個々にIPv6のピア・ツー・ピア通信を行うイメージである。社外からDirectAccessで接続するクライアントPCでは、「名前解決ポリシーテーブル(NRPT)」と呼ばれる規則に基づいて、インターネット上のリソース(公開Webサーバなど)と社内リソースへのアクセスを、DNSサフィックスごとに適切にルーティングする。
DirectAccessを利用して、企業ネットワーク側からDirectAccessクライアントへの管理用アクセスを許可することもできる。先述したとおり、DirectAccessはクライアントがインターネット接続されていればユーザーのログオン状態に関係なく自動接続されるため、VPNよりもリモート管理に適していると言える。DirectAccessサーバーを、クライアントPCのリモート管理のためだけにセットアップするオプションも用意されている。
ただし、DirectAccessを介したリモート管理を行う場合は、クライアント側のWindowsファイアウォール(あるいは他社製のパーソナルファイアウォールソフト)を適切に構成しないと、セキュリティが低下してしまうおそれがあるので注意が必要だ。DirectAccessクライアントが社外から企業ネットワークに接続する際、インターネット接続には「パブリック」プロファイルが適用される(NAT経由でインターネット接続している場合はプライベートプロファイルかもしれないが)。パブリックプロファイルは、標準では企業ネットワーク側からの接続をブロックするので、リモート管理に使用するポートやアプリケーションを、Windowsファイアウォールで許可しておかなければならない。
DirectAccess経由のリモート接続を許可するには、ファイアウォールの受信の規則で「エッジトラバーサルを許可」するよう設定することが必要だ。また、DirectAccess経由ではないインターネット側からの接続をブロックするために、接続元を管理サーバーのIPv6アドレスだけに限定することも重要である。なお、DirectAccessクライアントでWindowsファイアウォールを利用している場合は、DirectAccessクライアント用のグループポリシーオブジェクト(または他のグループポリシーオブジェクト)を使用してファイアウォールの設定を展開することができる。
ユーザーにとっても管理者にとっても大きなメリットのある機能
DirectAccessは、設定から接続までユーザーの手をわずらわせることがなく、社外にあるPCを常に追跡できるため、ユーザーにとっても管理者にとっても導入のメリットは計り知れない。しかし、この機能を利用できるのは「Windowsソフトウェアアシュアランス(Windows SA)」契約を通じて提供される、Enterpriseエディションだけである。
* * * * *
Windows 8/8.1で、Enterpriseエディションだけに提供されている企業向け機能には次のようなものがある。次回はこの中から「Windows To Go」機能について説明する。
- DirectAccess … 今回説明したリモートアクセス機能
- BranchCache … ブランチオフィスのネットワークを高速化するキャッシュ機能
- AppLocker … グループポリシーを使用して特定のWindowsストア(WinRT)アプリやデスクトップアプリの使用を許可/禁止するセキュリティ機能
- VDI対応機能 … Virtual Desktop Access(VDA)ライセンス、仮想デスクトップにおける、RemoteFX 3Dビデオアダプター/RemoteFX USBリダイレクトのサポート(仮想マシン向けのデバイスドライバー)
- WinRTアプリのサイドローディング展開 … WinRTアプリをWindowsストアを経由せずに社内展開する機能
- Windows To Go … USBデバイス内のインストールイメージを使用してWindows 8/8.1を起動するローミング機能
筆者紹介:山市良(山内和朗)
Windows Server系の書籍、記事、技術文書を得意とするITテクニカルライター。2008年からMicrosoft MVP for Virtual Machineを受賞(Oct 2008 - Sep 2013)。主な著書に「Windows Server 2012テクノロジ入門」(日経BP社、2012年)、「Windows Server仮想化テクノロジ入門」(日経BP社、2011年)、「Windows Server 2008 R2テクノロジ入門」(日経BP社、2009年)。ブログ http://yamanxworld.blogspot.jp/
この連載の記事
-
最終回
ソフトウェア・仮想化
Windows 8.1を持ち歩く「Windows To Go」の活用と注意点 -
第4回
ソフトウェア・仮想化
面倒な操作をなくす!Windows 8.1「自動VPN接続」を使う -
第3回
ソフトウェア・仮想化
Windows 8.1の新しいファイル同期機能「作業フォルダー」 -
第2回
ソフトウェア・仮想化
Win 8.1のBYOD機能「社内参加(Workplace Join)」を使う -
第1回
ソフトウェア・仮想化
Windows 8.1で「クライアントHyper-V」はこう改善された -
ソフトウェア・仮想化
山市良の「企業ユーザーはここに注目しよう!Windows 8.1の新機能」 - この連載の一覧へ