多要素認証のために P2S RADIUS 認証と NPS を統合する
この記事は、ネットワーク ポリシー サーバー (NPS) と Azure VPN Gateway RADIUS 認証を統合して、ポイント対サイト (P2S) VPN 接続に多要素認証 (MFA) を提供するのに役立ちます。
前提条件
Microsoft Entra ID: MFA を有効にするには、ユーザーが Microsoft Entra ID 内に存在し、それがオンプレミス環境またはクラウド環境から同期されている必要があります。
ユーザーは MFA の自動登録プロセスを完了している必要があります。 詳細については、アカウントへの 2 段階認証の設定に関する記事を参照してください。
MFA がテキスト ベース (SMS、モバイル アプリ検証コードなど) で、ユーザーが VPN クライアント UI にコードまたはテキストを入力する必要がある場合、認証は成功しません。これはサポートされているシナリオではありません。
ルート ベースの VPN ゲートウェイ: ルート ベースの VPN ゲートウェイが必要です。 ルートベースの VPN ゲートウェイを作成する手順については、VPN ゲートウェイの作成および管理のチュートリアルを参照してください。
NPS: ネットワーク ポリシー サーバーが既にインストール済みで、RADIUS の VPN ポリシーが構成済みである必要があります。
ネットワーク ポリシー サーバーをインストールする手順については、ネットワーク ポリシー サーバー (NPS) のインストールに関する記事を参照してください。
RADIUS の VPN ポリシーを作成する手順については、RADIUS の VPN ポリシーの作成に関する記事を参照してください。
802.1x 対応スイッチの作成
- 次の設定を指定して、RADIUS クライアントを作成します。
- [フレンドリ名] : 任意の名前を入力します。
- アドレス (IP または DNS): VPN ゲートウェイのゲートウェイ サブネットに指定された値を使用します。 たとえば、10.1.255.0/27 です。
- 共有シークレット: 任意のシークレット キーを入力します。これは後で使用するので覚えておいてください。
- [詳細設定] タブで、ベンダーの名前を RADIUS Standard に設定し、[追加オプション] チェック ボックスがオフになっていることを確認します。 [OK] をクリックします。
- [ポリシー]>[ネットワーク ポリシー] に移動します。 [Microsoft ルーティングとリモート アクセス サーバーへの接続] ポリシーをダブルクリックします。 [アクセス権の付与] を選択し、[OK] を選択します。
VPN ゲートウェイを構成する
Azure portal で、仮想ネットワーク ゲートウェイ (VPN ゲートウェイ) を開きます。
[概要] ページで、ゲートウェイの種類が [VPN]、VPN の種類が [ルート ベース] に設定されていることを確認します。
左側のウィンドウで、[設定] を展開し、[ポイント対サイトの構成]>[今すぐ構成] を選択します。
[ポイント対サイトの構成] ページを表示します。
![[ポイント対サイトの構成] ページを示すスクリーンショット。](../includes/media/vpn-gateway-add-gw-radius/point-to-site-settings.png)
[ポイント対サイトの構成] ページで、次の設定を構成します。
- アドレス プール: この値は、VPN クライアントが VPN ゲートウェイに接続するときに IP アドレスを受信するクライアント アドレス プールを指定します。 アドレス プールは、仮想ネットワーク アドレス範囲と重複しないプライベート IP アドレスの範囲である必要があります。 たとえば、172.16.201.0/24 です。
- トンネルの種類: トンネルの種類を選択します。 たとえば、[IKEv2 と OpenVPN (SSL)] を選択します。
- [認証の種類] : [RADIUS 認証] を選択します。
- アクティブ/アクティブ VPN ゲートウェイがある場合は、3 番目のパブリック IP アドレスが必要です。 値の例 VNet1GWpip3 を使用して、新しいパブリック IP アドレスを作成できます。
- プライマリ サーバーの IP アドレス: ネットワーク ポリシー サーバー (NPS) の IP アドレスを入力します。
- プライマリ サーバーのシークレット: NPS で 802.1x 対応スイッチを作成したときに指定した共有シークレットを入力します。
ページの上部で [保存] を選択して構成設定を保存します。
![[ポイント対サイトの構成] ページを示すスクリーンショット。](../includes/media/vpn-gateway-add-gw-radius/point-to-site-settings.png#lightbox)
設定が保存されたら、[VPN クライアントのダウンロード] をクリックして VPN クライアント構成パッケージをダウンロードし、設定を使用して VPN クライアントを構成できます。 P2S VPN クライアントの構成の詳細については、ポイント対サイト クライアント構成要件の表を参照してください。
NPS と Microsoft Entra MFA を統合する
次のリンクを使用して、NPS インフラストラクチャと Microsoft Entra 多要素認証を統合します。
次のステップ
VPN クライアントを構成する手順については、ポイント対サイト クライアント構成要件の表を参照してください。