リモートデスクトップのWindows 10 Proを使用した接続・設定について。ルーター設定やセキュリティ設定など。

チャレンジ&ナレッジ最終更新日: 20200415

リモートデスクトップの接続・設定

  • このエントリーをはてなブックマークに追加

Windows 10 Proエディションが搭載されているPCは、外部から接続して操作を受けることができる「リモートデスクトップ」機能が備わっています。これを利用すれば別のPCからはもちろんタブレットやスマートフォンのモバイルデバイスからでも自宅のPCにアクセスして遠隔操作することができます。ここでは外部から接続を受けるPCの設定、ダイナミックDNS(DDNS)サービスやルーターの設定、VPN通信を活用したセキュリティの設定なども含め、実用に問題のない安全性の高いリモートデスクトップの設定方法を解説していきます。

リモートデスクトップのメリット

自宅ではハイスペックなPCを使用していても、携帯性やコストといった理由からから別途使用している持ち運び用PCは十分なスペックのものを準備できない。iPhoneやAndroidなどのモバイルデバイスからでもPCに接続したい。持ち出しにくい自宅のPC内のデータを自宅外からでも見られるようにしたい――。複数のデバイスを使っている方は、一度はこんな経験はないでしょうか?

リモートデスクトップを利用すれば、こうした問題の多くが解決できます。いちいち持ち運び用のデバイスにデータをコピーする必要もアプリケーションをインストールする費用もありません。多くのメリットがあるリモートデスクトップの方法を本稿で解説しますが、実際の構築方法に入る前に、今回作る仕組みを図で示すと以下のようになります。

今回の接続の仕組み

このシステムのメリット:

●PCをリモートデスクトップ(RDP)で操作すれば、PCを含めて自宅の環境を丸ごと利用できる。

●モバイルデバイスにアプリやデータを入れる必要がないので安全。

●通信を仮想プライベートネットワーク(VPN)で暗号化するので、盗聴されてもデータは盗まれない。

リモートデスクトップに必要なシステム要件

自宅外から自宅のPCを安全に操作するにあたり、キーポイントとなる機材とサービスが4つあります。それぞれに必要な機能やサービス内容を表1にまとめたので、システム構築に取りかかる前に、要件を満たしているか確認してみましょう。

キーポイント 必要な機能やサービス内容 備考
1.自宅のPC Windows 10 Pro搭載PC
VPNサーバー機能
リモートデスクトップ接続機能
Windows 10 Homeには、リモートデスクトップ接続機能がないので不可
2.ルーター 一般的な家庭用ルーター
ポートフォワーディング機能
DDNSクライアント機能
DHCPサーバー機能
ルーター自身がVPNサーバーになる機能を持っていれば、PC側の設定のほとんどが不要になるので、もっとも簡単にシステムを構築できる
3.ダイナミックDNS(DDNS)サービス 企業提供、個人提供、ルータメーカーが自社製品用に提供のもの
有料 or 無料
ルーターが対応していなくても、PCに更新アプリをインストールするタイプのサービスもある
4.モバイルデバイス 使いやすいデバイス
広い画面
持ち運びやすい
VPNクライアント機能
自宅PCより画面が狭いと使いにくくなる

ポイント1:自宅のPC

接続を受ける側のPCです。機能的にもセキュリティ的にも、OSは現行のWindows 10 Proがよいでしょう。Windows 10 Homeは、VPNサーバー機能はありますが、リモートデスクトップ接続のサーバー機能がないので、このシステムでは使えません。

ポイント2:ルーター

ルーターに必要な機能は、インターネットからの通信をLAN内の特定のIPアドレスに転送する「ポートフォワーディング」機能、ダイナミックDNSサービスに自分自身を登録する「DDNSクライアント」機能、そしてLAN内のデバイスにIPアドレスを自動設定する「DHCPサーバー」機能の3つです。

特にポイントとなるのがDDNSクライアント機能です。そもそもインターネット経由で自宅のPCと通信するには、自宅のルーターのインターネット側IPアドレスを知っている必要があります。このIPアドレスはインターネットサービスプロバイダーが割り当てるのですが、ISPによっては予告なしにコロコロと変わるケースがあるので、IPアドレスを覚えても無駄になることがあります。

そこで、ルーターのIPアドレスに名前(ホスト名)を付けてダイナミックDNS(DDNS)サービスに登録することで、覚えやすい名前(ホスト名+ドメイン名)で接続できるようにします。IPアドレスが変わっても登録名は変わらないので、この名前さえ覚えておけばどこからでも接続できるという仕組みです。これについては後ほど説明します。

もしルーター自身がVPNサーバーになる機能(VPN接続を受ける機能)を持っていれば、PC側の設定のほとんどが不要になるので、とても簡単にVPNシステムを構築できます。VPN接続にはいくつか方式があり、今回使用するTP-Linkのルーター「Archer C1200」では「OpenVPN」と「PPTP(Point-to-Point Tunneling Protocol)」が選べますが、今回はどちらでもなく、セキュリティの高いL2TP(Layer 2 Tunneling Protocol)とIPsec(IP Security)を組み合わせてVPNを構築します。

ポイント3:ダイナミックDNS(DDNS)サービス

ルーターにDDNSクライアント機能が内蔵されていれば、対応しているDDNSサービスを選んで契約するだけで、すぐにDDNSを利用できます。ルーターが古くて現行のDDNSサービスを利用できない場合は、PCに更新ツールをインストールするタイプのDDNSを利用するとよいでしょう。

ポイント4:モバイルデバイス

Windows PCはもちろん、iOSやAndroidを搭載したスマートフォンやタブレットでもVPNクライアント機能(=VPN通信を使って「接続する側」になれる機能)を搭載しているので、基本的には好きなモバイルデバイスで行うことができます。

自宅PCの画面解像度と同等以上の解像度を持っていて、軽くて薄くて持ち運びやすいモバイルデバイスがベストです。今回は、検証した自宅PCの画面解像度をHD(1920×1080)相当と想定して、モバイルデバイスにはアップルのiPad Pro(解像度は2048×1536)を使うことにします。

iPad ProのOSであるiOSのバージョン10以降では、VPNのプロトコルとしてL2TPが標準になっています。Windows PCやAndroidではPPTPとL2TPの両方が使えますが、PPTPはセキュリティ的に脆弱です。構築手順が少し増えても、L2TPとIPsecを組み合わせて、よりセキュリティの高いVPN環境を構築したいと思います。

VPNサーバーとリモートデスクトップ接続のセットアップ

まずWindows 10 PCをVPN接続とリモートデスクトップ接続を受けるためのセットアップ行いましょう。L2TP/IPsecを利用可能にするため、設定手順は以下の6ステップになります。PPTPのみの対応でよければ、ステップ3とステップ6だけ実行すればよいですが、盗聴のリスクが増す点にはご注意ください。

ステップ1:PCのIPアドレスを固定する

今回のシステムでは、IPアドレスが変化するポイントが2つあります。その両方をクリアしないと、インターネット経由でPCと通信することはできません。

1つめはルーターのインターネット側IPアドレスです。ISPによっては固定IPアドレスサービスを提供していることもありますが、今回はDDNSサービスを使ってIPアドレスの変化を対処します。こちらは後ほど説明します。

2つめはPCのIPアドレスで、こちらは固定のIPアドレスを割り振ることで、ユーザー側でコントロールできます(※デフォルトでは、ユーザーが割り振るのでなく自動的にPCにIPアドレスなどの設定が割り振られる仕組みになっています。詳しくは「DHCP」で調べてみてください)。

ということで、以下の手順を実行し、PCに固定のIPアドレスを設定してみてください。ここで指定したIPアドレスは、後々出てくるルーターのポートフォワーディング設定でも使用します。

1.「コントロールパネル」-「ネットワークとインターネット」をクリックして、「ネットワークと共有センター」を開きます。

2.左上の「アダプターの設定の変更」をクリックして、ネットワーク接続の一覧を表示します。

3.LAN接続用のネットワーク接続を右クリックして「状態」を実行し、「イーサネットの状態」を開きます。

4.「詳細」をクリックして「ネットワーク接続の詳細」を開き、次の4項目をメモしておきます(以下の画面参照)。

  • ① IPv4アドレス
  • ② IPv4サブネットマスク
  • ③ IPv4デフォルトゲートウェイ
  • ④ IPv4 DNSサーバー

「ネットワーク接続の詳細」でPCにDHCPで割り当てられているIPアドレスなどを確認「ネットワーク接続の詳細」でPCにDHCPで割り当てられているIPアドレスなどを確認

5.「ネットワーク接続の詳細」と「イーサネットの状態」を閉じて、ネットワーク接続の一覧に戻ります。

6.LAN接続用のネットワーク接続を右クリックして「プロパティ」を実行し、「イーサネットのプロパティ」を開きます。

7.「インターネットプロトコルバージョン4 (TCP/IPv4)」を選択して、「プロパティ」ボタンをクリックします。

8.「次のIPアドレスを使う」オプションを選択して、手順4でメモした値を入力します(以下の画面参照)。

メモしておいたIPアドレス、サブネットマスク、デフォルトゲートウェイ、DNSサーバーのIPアドレスを入力するメモしておいたIPアドレス、サブネットマスク、デフォルトゲートウェイ、DNSサーバーのIPアドレスを入力する

DHCPサーバーが割り当てたIPアドレスを使い回すのは、簡易的な設定です。できればDHCPサーバーの自動配布範囲外の値をセットする方がよいです。

9.設定を保存するために、すべてのダイアログで「OK」ボタンをクリックして閉じます。

ステップ2:安全な通信への下準備(L2TP/IPsec用の証明書をインストール)

前述の通り、今回ではより安全な接続のため、VPNの接続方式にL2TP/IPsecを使用しますが、それを使えるようにするには、VPNサーバーを設定する前に以下の手順を実行して、証明書をインストールする必要があります。

企業向けのセキュリティなどであれば、VPNサーバーの証明書は、信頼できる外部の証明機関に有償で発行してもらって、PCとモバイルデバイスの両方にインストールするのが正しいのですが、今回は簡易的(でもセキュリティは確保する)にL2TP/IPsecを使うため、Windows 10に導入済みの証明書を使い回すことにします。これなら証明書を購入する必要がありません。

1.[Windows]キー+[R]キーを押して、「ファイル名を指定して実行」を開き、「mmc」と入力して「OK」ボタンをクリックします。

2.マイクロソフト管理コンソール(MMC)が起動したら、「ファイル」-「スナップインの追加と削除」を実行します。

3.「利用できるスナップイン」から「証明書」を選択して、「追加」ボタンをクリックします。

4.「証明書スナップイン」画面で、「コンピューターアカウント」オプションを選択して、「次へ」ボタンをクリックします。

5.「コンピューターの選択」画面で、「ローカルコンピューター」オプションを選択して、「完了」ボタンをクリックします。

6.「スナップインの追加と削除」を、「OK」ボタンをクリックして終了します。

7.左ペインの「信頼されたルート証明機関」-「証明書」を展開して、中ペインで「Microsoft Root Authority」を右クリックし、「コピー」を実行する(以下の画面参照)。コピーする証明書は、「目的」列が「<すべて>」であれば、他の証明書でも構いません。

「目的」列が「<すべて>」と表示されている証明書を1つ選んでコピーする「目的」列が「<すべて>」と表示されている証明書を1つ選んでコピーする

8.左ペインの「個人」-「証明書」を展開して、中ペインを右クリックし、「貼り付け」を実行します(以下の画面参照)。

「個人」-「証明書」に、コピーした証明書を貼り付ける「個人」-「証明書」に、コピーした証明書を貼り付ける

9.MMCを終了します(保存する必要はありません)。

10.コピーした証明書を反映させるために、PCを再起動します。

ステップ3: PCが接続を受けられるようにする(VPN接続用の着信接続の作成)

PCがVPNサーバーとして通信を受け取れるようにするため、「着信接続」という仮想ネットワークインターフェースを作成します。仮想ネットワークインターフェースとは、LANケーブルを差し込んだ物理ネットワークインターフェースとは別に、Windowsがソフトウェア的に作り出したネットワークアダプタです。

1.「コントロールパネル」-「ネットワークとインターネット」をクリックして、「ネットワークと共有センター」を開きます。

2.左上の「アダプターの設定の変更」をクリックして、ネットワーク接続の一覧を表示します。

3.「Alt」キーを押してメニューを表示し、「ファイル」-「新しい着信接続」を実行して、着信接続の作成ウィザードを開始します。メニューは既定で表示されないので、「Alt」キーを押して表示する必要があります

4.「このコンピューターには誰が接続する可能性がありますか?」画面では、VPN接続を許可するユーザーを選択します(以下の画面参照)。

接続を許可するユーザーを選択または追加する接続を許可するユーザーを選択または追加する

ここで選択したユーザーは、VPN接続の際の認証に使うもので、デスクトップを利用するためのユーザーと同じである必要はありません。なるべく強力なパスワードを設定した、管理者権限のないユーザーを指定するか、新規作成するとよいです。

5.「どの方法で接続しますか?」画面では、「インターネット経由」をチェックして「次へ」ボタンをクリックします。

6.「ネットワークソフトウェアを使うと、他の種類のコンピューターがこのコンピューターに接続できるようになります」画面では、「アクセスを許可」ボタンをクリックします。

7.「指定したユーザーがこのコンピューターに接続できるようになりました」画面が表示されたら、「閉じる」ボタンをクリックします。

8.ネットワーク接続の一覧に、「着信接続」が増えていることを確認します(以下の画面参照)。
※表示されていない場合はウィンドウ内で右クリック>「最新の情報に更新」をクリックしてみてください
なお、着信接続に通信が届いているときは下図のように「○クライアントが接続しています(○は接続クライアントの数)」と表示されるとともに、接続を許可したユーザーの仮想ネットワークインターフェースも自動的に増えます。

ネットワーク接続の一覧に追加された「着信接続」ネットワーク接続の一覧に追加された「着信接続」

ステップ4:Windows Defenderファイアウォールに新しい規則を作る

PCとモバイルデバイスの間で、IPsecで暗号化した通信を通過させるために、Windows Defenderファイアウォールに「接続セキュリティの規則」を登録します。「接続セキュリティの規則」は、「受信の規則」や「送信の規則」と異なり、IPsec用に認証方法を設定することができます。今回は「事前共有キー」を使ってIPsecを利用できるように、新しい規則を設定します。

1.「コントロールパネル」-「システムとセキュリティ」-「Windows Defenderファイアウォール」を開きます。

2.左の「詳細設定」をクリックして、「セキュリティが強化されたWindows Defenderファイアウォール」画面を開きます。

3.左ペインで「接続セキュリティの規則」を右クリックして、「新しい規則」を実行します。

4.「規則の種類」画面で、「カスタム」オプションを選択して「次へ」ボタンをクリックします。

5.「エンドポイント」画面で、そのまま「次へ」ボタンをクリックします。

6.「要件」画面で、「受信接続と送信接続の認証を要求する」オプションを選択して、「次へ」ボタンをクリックします(以下の画面参照)。

通信を最大限保護するため、送受信ともに認証を必須とする通信を最大限保護するため、送受信ともに認証を必須とする

7.「認証方法」画面で、「詳細設定」オプションを選択して「カスタマイズ」ボタンをクリックします(以下の画面参照)。

「詳細設定」-「カスタマイズ」から、IPsec接続用の認証オプションを詳しく設定できる「詳細設定」-「カスタマイズ」から、IPsec接続用の認証オプションを詳しく設定できる

8.「詳細な認証方法」画面で、「1番目の認証方法」の下の「追加」ボタンをクリックします。

9.「事前共有キー (推奨されません)」オプションを選択して、なるべく推測されにくいキーを入力し、「OK」ボタンをクリックします。
※モバイルデバイス側でもここで入力するキーを使うことで、IPsecによる暗号化通信が可能になります

10.「詳細な認証方法のカスタマイズ」画面で、「OK」ボタンをクリックします。

詳細な認証方法のカスタマイズ詳細な認証方法のカスタマイズ

11.「認証方法」画面で、「次へ」ボタンをクリックします。

12.「プロトコルおよびポート」画面で、「プロトコルの種類」に「L2TP」を選択して、「次へ」ボタンをクリックします。

13.「プロファイル」画面で、「ドメイン」「プライベート」「パブリック」の3つをチェックして、「次へ」ボタンをクリックします。

14.「名前」画面で、名前と説明を入力して「完了」ボタンをクリックします。

15.「セキュリティが強化されたWindows Defenderファイアウォール」画面で、「接続セキュリティの規則」に、手順14で設定した名前の規則が登録されていることと、「有効」列が「はい」と表示されていることを確認します(以下の画面参照)。
※普段は規則を無効化して、接続できないようにしておくとセキュリティが高まります。

作成した「接続セキュリティの規則」作成した「接続セキュリティの規則」

ステップ5:サービスの起動設定を変える

コントロールパネルの「管理ツール」内にある「サービス」をダブルクリックした後、次の手順を実行して、「IKE and AuthIP IPsec Keying Modules」サービスの起動設定を変更します。基本的には、ステップ4が完了したところでサービスの起動設定が「自動」に変更されるのですが、まれに「手動」のままになっていてVPN接続ができないことがあるので、念のために起動設定を確認しておきましょう。

1.「IKE and AuthIP IPsec Keying Modules」サービスを右クリックして、「プロパティ」を実行します。

2.「スタートアップの種類」を「自動」に変更して、「OK」ボタンをクリックします。よく似ていますが「自動(遅延開始)」ではないので注意してください(以下の画面参照)。

サービスの「スタートアップの種類」を変更サービスの「スタートアップの種類」を変更

3.右ペインに表示されるサービスの一覧で、「IKE and AuthIP IPsec Keying Modules」サービスの「スタートアップの種類」が「自動 (トリガー開始)」になっていることを確認します。

サービス一覧画面での表示サービス一覧画面での表示

ステップ6:リモートデスクトップ接続を許可する

最後に、PCが外部のデバイスからリモート接続を受けられるようにしましょう。手順は以下になります。

1.「コントロールパネル」-「システムとセキュリティ」-「システム」の「リモートアクセスの許可」をクリックします。

2.「システムのプロパティ」ダイアログの「リモート」タブで、「このコンピューターへのリモート接続を許可する」オプションを選択し、「ネットワークレベル認証でリモートデスクトップを実行しているコンピューターからのみ接続を許可する (推奨)」をチェックします(以下の画面参照)。
※普段は「このコンピューターへのリモート接続を許可しない」オプションを選択して、接続不可にしておくとセキュリティが高まります

他のデバイスからのRDP接続を許可する他のデバイスからのRDP接続を許可する

3.もしリモートデスクトップ接続を許可したいユーザーが、PCの管理者権限を持っていない場合は、「ユーザーの選択」ボタンをクリックして、そのユーザーを追加します。

4.「OK」をクリックして「システムのプロパティ」ダイアログを閉じます。

これでリモート接続を受け付けるためのPCの設定やセキュリティの設定は完了です。次項からいよいよインターネット経由でPCを使えるよう、ルータ―側の設定とモバイルデバイス側の設定を行っていきましょう。

自宅PCに接続するうえで乗り越える2つのハードル

インターネット経由で自宅のPCに接続するためには、次の2つのハードルをクリアする必要があります。

  • ●ルーターの発見…インターネット側から自宅のルーターを見つけることができる
  • ●通信の橋渡し…ルーターを越えて自宅LAN内のPCと通信できる

最初のハードルは「ルーターの発見」です。インターネット経由で自宅のネットワークにたどりつくには、自宅ルーターのインターネット側IPアドレスを知る必要があります。ところが、最初に触れたように、ルーターのIPアドレスはインターネットサービスプロバイダーが動的に割り当てることが多く、ときどきIPアドレスが変わってしまうので、いつでも同じIPアドレスで接続できるわけではありません。つまり外出前にIPアドレスを調べておいてもムダになることがあるのです。

そこで、IPアドレスが変わっても常に同じ名前(ホスト名)でアクセスできるようにします。これを実現できるサービスが「ダイナミックDNS(DDNS)サービス」です。このサービスの仕組みはここでは詳しく説明しませんが、ホスト名に対応するルーターのIPアドレスが変わってもそのたびに、新しいIPアドレスを自動的に一定のホスト名につないでくれるサービスだと考えておいてください。

2つめのハードルは「通信の橋渡し」です。家庭用のルーターは簡易的なファイアウォールの機能を持っていて、インターネット側からLAN内への通信を遮断してLANを保護してくれます。

もう少し正確にいうと、インターネット上の機器から始めた通信はすべて遮断するが、LAN内の機器から始めた通信に対しての、インターネット上の機器からの返答は通過させるということです。このおかげで、普段、悪意のあるコンピュータが勝手に私たちのPCと通信を始めてしまうということを防いでいるのです。

しかし、出先からインターネット経由で自宅PCに接続するということは、インターネット上の機器から始めたLAN内への通信を一部許可してあげる必要があるということです。これを実現するために、一般的なルーターは「ポートフォワーディング」という機能を持っていて、インターネット上の機器から始めた通信を、LAN内の指定したIPアドレスとポート番号に転送(フォワード)することができるのです。

ルーターとDDNSサービスを設定する

TP-Link DDNSを登録する

今回はTP-LinkのWi-Fiルーター「Archer C1200」を使用していますが、そのTP-Linkが無償で提供している「TP-LINK DDNS」というDDNSサービスを使用して設定したいと思います。

1.ルーターの管理Web(Archer C1200の場合「http://tplinkwifi.net」または「http://192.168.0.1」)にアクセスして、「詳細設定」-「ネットワーク」-「動的DNS」を開きます。

2.サービスプロバイダーでTP-Linkが選択されていることを確認し、画面中央右側の登録ボタンをクリックすると、上図のようなドメイン名の入力項目が表示されます。
ドメイン名は ○○○○○.tplinkdns.com となりますので、ご自身で取得したいドメイン名をテキストボックスの中に入力し、保存ボタンを押してください。

3.登録が成功すると、上図のように「現在のドメイン名」が表示され下段の項目には「バインド済み」と表示されます。

以上でTP-Link DDNSの登録は完了です。
※現在のドメイン名に表示されない場合は、正常に取得できていません。入力したドメインが既に使用されていると思いますので、違うドメインを考えましょう。

ルーターのポートフォワーディング機能を設定する

DDNSの設定に続いて、ルーターのポートフォワーディング機能を設定します。ポートフォワーディングとは、ルーターのインターネット側インターフェースに通信データが届いたとき、あらかじめ指定されたルールに従って、LAN内の通信機器に転送する機能です。

ルールの指定方法はルーターのメーカーや機種によって異なりますが、基本的にインターネットからの通信の宛先ポート番号/プロトコル番号を見て、指定されたLAN内のIPアドレスとポート番号/プロトコル番号に転送するように設定します。Archer C1200では「NAT転送」という名前で機能が提供されていて、次の手順で設定できます。

1.ルーターの管理Webに接続して、「詳細設定」-「NAT転送」-「仮想サーバー」を開きます。

2.「仮想サーバー」画面で「追加」をクリックします。

3.以下の表の4つの設定を追加します。

ID サービスタイプ 外部ポート 内部IP 内部ポート プロトコル
1 ESP 50 VPNサーバーになるPCのIPアドレス 50 TCP
2 L2TP 1701 1701 UDP
3 ISAKMP 500 500
4 IPsec NAT Traversal 4500 4500

ルーターのポートフォワーディング設定。Archer C1200では「NAT転送」-「仮想サーバー」の設定で、ポートフォワーディングのルールを登録できるルーターのポートフォワーディング設定
Archer C1200では「NAT転送」-「仮想サーバー」の設定で、ポートフォワーディングのルールを登録できる

モバイルデバイスでVPNとRDPを設定する

PCとルーターの設定ができたら、いよいよ最後の仕上げ、モバイルデバイスの設定です。

今回はWindows 10 のノートPCとiPad(iOS11)での接続例を記載しますが、その他iPhone、Android搭載スマートフォンなどもVPNクライアント機能を持っているので、お気に入りのモバイルデバイスを利用できます。

Windows 10での接続:VPN接続の設定

1. 「スタート」-「設定」-「ネットワークとインターネット」へ進みます。

2. 左側一覧よりVPNを選択し、「VPN接続を追加する」をクリックします。

3. VPN接続を追加で接続したいVPNの情報を登録します。

設定項目 設定内容 注意点
VPNプロバイダー WindowsI(ビルトイン)
接続名 (例) MyVPN お好きな名前を登録してください。
サーバー名またはアドレス ○○○.tplinkdns.com TP-Link DDNSにて取得したドメイン名を入力。
VPNの種類 事前共有キーを使った
L2TP/IPsec
自動では接続できません
事前共有キー 事前共有キー Windows Defenderファイアウォールで登録した事前共有キーを指定する。
サインイン情報の種類 ユーザー名とパスワード
ユーザー名(オプション) 着信接続用のユーザー名 PCの着信接続で選択したユーザーの名前を指定する
パスワード(オプション) 着信接続用のユーザーのパスワード

各項目の入力が終わったら、サインイン情報を保存するにチェックが入った状態を確認して保存ボタンをクリックし保存します。

4. 「アダプターのオプションを変更する」をクリックしネットワーク接続画面へ移動します。

先ほど保存した接続名のネットワークが増えていると思います。
MyVPNを右クリックしプロパティを開きます。
※例ではMyVPNとしていますが、接続名として保存した名前に置き換えてください。

MyVPNのプロパティ画面が開いたら、「セキュリティ」タブへ移動します。

設定項目 設定内容
VPNの種類 IPsecを利用したレイヤー2トンネリングプロトコル(L2TP/IPsec)
データの暗号化 暗号化が必要(サーバーが拒否する場合は切断します)
認証 次のプロトコルを許可するにチェックを入れる
チャレンジハンドシェイク認証プロトコルにチェックを入れる
Microsoft CHAP Version 2にチェックを入れる

各項目の設定ができたら、OKを押して画面を閉じます。

Windows 10での接続:レジストリの設定

現状の設定でVPNに接続すると、上の写真のようなエラーが出る場合があります。
この場合はレジストリにて接続に必要な設定を追加します。
※レジストリ編集で誤った設定を行うとWindowsが起動しなくなる恐れがありますので、今回の操作に関係のない部分を触らないよう慎重に作業してください。

1.Windowsキー+Rを押して「ファイル名を指定して実行」を開き、名前に「regedit」と入力し「レジストリエディター」を開きます。

2.HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgentへ移動します。

3.「編集」-「新規」-「DWORD(32ビット)値」を選択すると、「新しい値 #1」が作成されるので AssumeUDPEncapsulationContextOnSendRule と名前を変更します。

リネームしたファイルを右クリックして修正を選択します。
値のデータを「2」へ変更し、OKボタンを押します。

追加された項目の名前、値データを確認します。
問題なければ、レジストリエディターを終了しPCを再起動します。

4.VPNへ接続します。
MyVPNの項目を開き接続をクリックします。
問題がなければ、接続済みと表示されます

Windows 10での接続:リモートデスクトップ接続

1.Microsoft storeを開き、リモートデスクトップと検索し入手からインストールします。

2.リモートデスクトップのアプリを起動し、「追加」-「デスクトップ」と進みます。
※アカウント情報を保存したい場合は、ユーザーアカウントの項目を先に行ってください。

PC名にリモート先のフルコンピューター名もしくは固定したIPアドレスを入力します。
※毎回アカウント名を入力する場合(ユーザーアカウントを保存しない場合)はそのまま保存します。

ユーザーアカウントを保存しておきたい場合は、ユーザーアカウント項目の「+」を押してアカウントの追加へ進みます。

設定項目 設定内容
ユーザー名 自宅PCでの自分のユーザー名
パスワード 自宅での自分のユーザー名のパスワード

入力が終わったら「保存」を押します

3.リモート先PCの設定を保存したら接続します。

証明書を受け入れて接続しますか?と表示されたら、接続をクリックします。
※毎回証明書の項目を表示させたくない場合は、「今後、この証明書について確認しない」にチェックを入れてください。

ダイアログの内容を確認して「接続」をクリックダイアログの内容を確認して「接続」をクリック

普段使用しているデスクトップ画面が表示される普段使用しているデスクトップ画面が表示される

Windows 10からの接続手順は以上です。

iPadでの接続:VPNクライアントを設定する

モバイルデバイスのOSの標準機能を使って、VPN接続設定を登録します。このとき、インターネット経由とLAN内の2通りの経路でPCに接続できるようにしておくとよいでしょう。PCへのVPN接続がうまくできないとき、その原因がルーターやDDNSサービスの設定にあるのか、PCやモバイルデバイスの設定にあるのか切り分けやすくするためです。
iPad(iOS 11)での設定手順と設定内容は次の通りです。

1.「設定」-「一般」-「VPN」を開いて、「VPN構成を追加」をタップする。
2.VPNの構成画面で、以下の表のように2通りの設定を追加する。

設定項目 設定(1)の内容 設定(2)の内容 注意点
タイプ 「L2TP」を選択 同左 iOS 10以降、PPTPは選択できない
説明 「自宅のPCに接続」 「ローカル接続テスト」 VPN接続の説明を記入する
サーバー DDNSサービスの登録ホスト名 PCのIPアドレス
アカウント 着信接続用のユーザー名 同左 PCの着信接続で選択したユーザーの名前を指定する
RSA SecurID オフ 同左
パスワード 着信接続用のユーザーのパスワード 同左
シークレット 事前共有キー 同左 Windows Defenderファイアウォールで登録した事前共有キーを指定する。
すべての信号を送信 オフ 同左 オンにすると、すべての通信がVPN経由になる

上の表の設定(2)はLAN内の接続テスト用で、「サーバー」にPCのIPアドレスを直接指定することでDDNSサービスを使わず、ルーター(インターネット)を経由しないVPN通信ができるようにする設定です。

VPN接続を作成すると、iOSの「設定」画面に「VPN」が追加されます。作成したVPN接続をタップして選択し、「状況」の「未接続」をタップしてPCに接続してみましょう。うまく接続できれば、「未接続」から「接続済み」に表示が変化します。

iOS 11では、「設定」-「一般」-「VPN」からVPN接続設定を登録できる。iOS 11では、「設定」-「一般」-「VPN」からVPN接続設定を登録できる。

iPadでの接続:リモートデスクトップでPCに接続する

最後の設定は、iPadからリモートデスクトップ(RDP)でPCに接続するためのアプリのインストールとRDP接続の設定です。

iOS用のRDPクライアントアプリは複数ありますが、ここではベーシックな機能で無料の「Microsoftリモートデスクトップ」を利用します。もっと高機能で便利なRDPクライアントアプリも多数そろっているので、気に入ったアプリを利用しましょう。

1.「App Store」を開いてキーワード「rdp」でアプリを検索し、「Microsoftリモートデスクトップ」をインストールします(以下の画面参照)。

iOS用のRDPクライアントから今回は「Microsoftリモートデスクトップ」を利用するiOS用のRDPクライアントから今回は「Microsoftリモートデスクトップ」を利用する

2.「RD Client」という名前でアイコンが作成されるので、これを開いて右上の「+」アイコンをタップし、RDP接続を以下の表の通り登録します。

設定項目 設定内容 注意点
PC名 自宅PCのホスト名 PCのコンピューター名を指定する。DDNSに登録した、ルーターのホスト名とは異なる。
ユーザーアカウント 自宅PCでの自分のユーザー名 PCでデスクトップを使用するユーザーの名前を指定する。着信接続用のユーザーとは異なる。
フレンドリ名 「自宅PC」 「追加オプション」-「フレンドリ名」で、リモートデスクトップ接続の名前を設定する。

3.「RD Client」の左上の歯車アイコンをタップして、「ディスプレイの解像度」で「カスタム」を選択し、PCと同じかそれ以上の大きさの解像度を設定します。

4.登録済みの「自宅PC」接続をタップして、いつものパスワードを入力してPCにRDPで接続します。
※パスワードをアプリに記憶させることもできますが、セキュリティ的には毎回入力する方が安全です。

ここまでの設定が順調なら、VPN接続とリモートデスクトップ接続が、それぞれ機能していることを確認できるはずです。外に出かけてVPN経由でリモートデスクトップ接続を試してみましょう。まずは4GまたはWi-Fiにつないで通信を開始します。RDPは結構な通信量になるので、できればWi-Fiがよいでしょう。

通信環境が確保できたら、VPN接続設定の「自宅のPCに接続」を有効にしてVPN通信を開始します。最後に「RD Client」から自宅PCにRDPで接続すると、普段見慣れたデスクトップが表示されると思います。

接続して自宅PCの画面を表示している様子"接続して自宅PCの画面を表示している様子

システムを使わないときのセキュリティ向上方法

リモートデスクトップのシステムは確かに便利ですが、ルーターのファイアウォールに穴を開けてLAN内部への通信を許している状態なので、セキュリティ的な弱さがないわけではありません。そこでリモートデスクトップを使わないときは、以下の表のような対応を組み合わせて実行して、セキュリティを維持するように努力しましょう。

機材 対応
PC Windows Defenderファイアウォールに登録した「接続セキュリティの規則」を無効にする。これだけで、とりあえずVPN接続を遮断できるが、ほかにも以下の方法がある。
・PCでRDPを無効にする
・事前共有キーを変更する
・着信接続を許可したユーザーを無効にする
・着信接続を許可したユーザーの、パスワードを変更する
・VPNを使わずにPCへの通信が試みられた場合に備えて、着信接続を許可したユーザーのパスワードはときどき変更する
・デスクトップを使うユーザー(自分自身)の、パスワードを変更する
・着信接続を削除する
・PCのIPアドレスを変更する
ルーターの設定と似ているが、ポートフォワーディングを事実上無効化できる
ルーター ・ルーターのポートフォワーディング設定で、存在しないIPアドレスに転送するように設定を変更する
・ポートフォワーディング設定自体を削除する
モバイルデバイス ・PC側とあわせて、事前共有キーを変更する
・VPN接続設定を削除する
・RDP接続設定を削除する

システムを使わないときのセキュリティ向上策
セキュリティを高めるためには、PCで接続を受けつけなくするか、ルーターの穴をふさぐのが基本

接続セキュリティ規則を無効にすることで、PCに対するL2TP/IPsec通信を拒否することができる接続セキュリティ規則を無効にすることで、PCに対するL2TP/IPsec通信を拒否することができる

まとめ

ここまでVPN通信を使って自宅外のデバイスから自宅のPCに安全にリモートデスクトップ接続して操作する方法を紹介しました。

VPN/RDP経由でPC上のアプリを操作してみると、モバイル環境なのに本当に何でもできると実感するでしょう。RDPではセッションを切断してもPC上のアプリは動き続けるので、時間のかかる作業をPCにさせておいて、モバイルデバイスで別のことをすることもできます。また、モバイル環境ならではですが、急に通信が切れてもVPN/RDPでの通信を再開すれば、問題なくPC上で続きの操作を実行できます。

設定する項目が少々多いところもありますが、ぜひチャレンジしてみてください。

ライタープロフィール パソコン工房NEXMAG
[ネクスマグ] 編集部

パソコンでできるこんなことやあんなこと、便利な使い方など、様々なパソコン活用方法が「わかる!」「みつかる!」記事を書いています。

記事を
シェア