次の方法で共有

P2S VPN - Microsoft Entra ID 認証の多要素認証 (MFA) を有効にする

  • [アーティクル]

アクセスを許可する前にユーザーに認証の第 2 要素の入力を求めるメッセージを表示する場合は、Microsoft Entra 多要素認証 (MFA) を構成できます。 MFA はユーザー単位で構成できます。または、条件付きアクセスを介して MFA を利用することもできます。

  • ユーザーごとの MFA は、追加料金なしで有効にすることができます。 ユーザーごとに MFA を有効にすると、ユーザーは Microsoft Entra テナントに関連付けられているすべてのアプリケーションに対して第 2 要素認証を求められます。 手順については、オプション 1 を参照してください。
  • 条件付きアクセスを使用すると、2番目の要素をどのように昇格するかをきめ細かく制御できます。 VPN のみに MFA を割り当て、Microsoft Entra テナントに関連付けられている他のアプリケーションを除外できます。 構成手順については、選択肢 2 を参照してください。 条件付きアクセスの詳細については、「条件付きアクセスとは?」を参照してください。

認証を有効にする

  1. [Microsoft Entra ID] -> Enterprise アプリケーション -> [すべてのアプリケーション] に移動します。
  2. [エンタープライズ アプリケーション - すべてのアプリケーション] ページで、[Azure VPN]を選択します。

サインインの設定を構成する

[Azure VPN のプロパティ] ページで、サインインの設定を構成します。

  1. ユーザーのサインインを有効にしますか? で、はいを選択します。 この設定により、AD テナントのすべてのユーザーが、VPN に正常に接続できるようになります。
  2. ユーザー割り当てが必用ですか?で、Azure VPN に対するアクセス許可を持つユーザーのみにサインインを制限する場合は、はいを選択します。
  3. 変更を保存します。

オプション 1 - ユーザーアクセスごと

MFA ページを開く

  1. Azure portal にサインインします。
  2. [Microsoft Entra ID] -> [ユーザー] に移動します。
  3. [ユーザー - すべてのユーザー] ページで、[ユーザーごとの MFA] を選択して、[ユーザーごとの多要素認証] ページを開きます。

[ユーザーの選択]

  1. [multi-factor authentication] のページで、MFA を有効にするユーザーを選択します。
  2. [MFA の有効化] を選択します。

オプション 2 - 条件付きアクセス

Microsoft Entra Multi-Factor Authentication を有効にして使用する推奨の方法は、Conditional Access ポリシーを使用することです。 詳細な構成手順については、多要素認証の要求に関するチュートリアルを参照してください。

  1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [保護]>[セキュリティ センター]>[条件付きアクセス] の順に進み、[+ 新しいポリシー] を選び、次に [新しいポリシーの作成] を選びます。

  3. [新規] ペインでポリシーの名前 (例: 「VPN ポリシー」) を入力します。

  4. 次のフィールドに入力します。

    フィールド
    このポリシーは何に適用されますか? ユーザーとグループ
    割り当て 組み込まれた特定のユーザー
    含む ユーザーとグループを選択します。 [ユーザーとグループ] のチェック ボックスをオンにします
    Select 少なくとも 1 人のユーザーか 1 つのグループを選択してください

  5. [選択] ページで、このポリシーを適用する Microsoft Entra ユーザーまたはグループを参照して選びます。 たとえば、[VPN ユーザー] を選び、次に [選択] を選びます。

次に、多要素認証の条件を構成します。 次の手順で、ユーザーがサインインするときに多要素認証を要求するように Azure VPN クライアント アプリを構成します。 詳細については、条件の構成に関する記事を参照してください。

  1. [クラウド アプリまたはアクション] の下の現在の値を選択し、[このポリシーの適用対象を選択する] で、[クラウド アプリ] が選択されていることを確認します。

  2. [対象] の下で、[リソースの選択] を選択します。 アプリがまだ選択されていないため、アプリの一覧が自動的に開きます。

  3. [選択] ペインで、[Azure VPN クライアント] アプリを選び、次に [選択] を選びます。

次に、サインイン イベント中に多要素認証を要求するようにアクセスの制御を構成します。

  1. [アクセスの制御] で、[付与] を選び、次に [アクセスの付与] を選びます。

  2. [多要素認証が必要] を選択します。

  3. 複数の制御を使用する場合、[Require all the selected controls] (選択した制御すべてが必要) を選びます。

ここでポリシーをアクティブにします。

  1. [ポリシーの有効化] で、 [オン] を選択します。

  2. 条件付きアクセス ポリシーを適用するには、 [作成] を選択します。

次のステップ

仮想ネットワークに接続するには、VPN クライアント プロファイルを作成し、構成する必要があります。 「Azure Virtual WAN を使って P2S ユーザー VPN 接続を作成する - Microsoft Entra 認証」を参照してください。