多要素認証の NPS の拡張機能の詳細構成オプション
ネットワーク ポリシー サーバー (NPS) の拡張機能を使うと、クラウドベースの Microsoft Entra 多要素認証機能がオンプレミスのインフラストラクチャに拡張されます。 この記事では、拡張機能をインストール済みであることを前提に、ニーズに合わせて拡張機能をカスタマイズする方法について説明します。
代替ログイン ID
NPS の拡張機能はオンプレミスとクラウドの両方のディレクトリに接続するため、オンプレミスのユーザー プリンシパル名 (UPN) がクラウドの名前と一致しない問題が発生する可能性があります。 この問題を解決するには、代替ログイン ID を使用します。
NPS の拡張機能内では、Microsoft Entra 多要素認証の UPN として使用する Active Directory 属性を指定できます。 これにより、オンプレミスの UPN を変更することなく、2 段階認証でオンプレミスのリソースを保護できます。
代替ログイン ID を構成するには、HKLM\SOFTWARE\Microsoft\AzureMfa に移動して次のレジストリ値を編集します。
| Name | 種類 | 既定値 | 説明 |
|---|---|---|---|
| LDAP_ALTERNATE_LOGINID_ATTRIBUTE | string | Empty | UPN として使用する Active Directory 属性の名前を指定します。 この属性は、AlternateLoginId 属性として使用されます。 このレジストリ値が有効な Active Directory 属性 (mail や displayName など) に設定されている場合、その属性の値がユーザーの UPN として認証に使用されます。 このレジストリ値が空または構成されていない場合、AlternateLoginId が無効になり、ユーザーの UPN が認証に使用されます。 |
| LDAP_FORCE_GLOBAL_CATALOG | boolean | False | このフラグを使用して、AlternateLoginId を検索する LDAP 検索でグローバル カタログの使用を強制します。 グローバル カタログとしてドメイン コントローラーを構成し、AlternateLoginId 属性をグローバル カタログに追加してから、このフラグを有効にします。 LDAP_LOOKUP_FORESTS が構成されている (空でない) 場合、レジストリ設定の値に関係なく、このフラグが true として適用されます。 この場合、NPS の拡張機能では、各フォレストに対してグローバル カタログが AlternateLoginId 属性で構成される必要があります。 |
| LDAP_LOOKUP_FORESTS | string | Empty | 検索用にセミコロンで区切られたフォレストの一覧を提供します (contoso.com;foobar.com など)。 このレジストリ値が構成されると、NPS の拡張機能はすべてのフォレストを一覧に表示されていた順番に繰り返し検索し、最初に見つかった AlternateLoginId 値を返します。 このレジストリ値が構成されていない場合、AlternateLoginId の検索は現在のドメインに限定されます。 |
代替ログイン ID の問題については、代替ログイン ID エラーに関する推奨手順を使用して解決していください。
IP の例外
ワークロードを送信する前にどのサーバーが実行されているかをロード バランサーが確認する場合など、サーバーの可用性を監視する必要がある場合、これらのチェックが確認要求によりブロックされないようにする必要があります。 または、ユーザーが把握しているサービス アカウントで使用されている IP アドレスの一覧を作成し、その一覧に対する多要素認証要求を無効にします。
IP 許可リストを構成するには、HKLM\SOFTWARE\Microsoft\AzureMfa に移動して次のレジストリ値を構成します。
| Name | 種類 | 既定値 | 説明 |
|---|---|---|---|
| IP_WHITELIST | string | Empty | セミコロンで区切られた IP アドレスの一覧を提供します。 サービス要求の送信元のマシン (NAS/VPN サーバーなど) の IP アドレスが含まれます。 IP 範囲とサブネットはサポートされません。 (10.0.0.1;10.0.0.2;10.0.0.3 など)。 |
注意
このレジストリ キーは既定でインストーラーによって作成されず、サービスの再起動時に AuthZOptCh ログにエラーが示されます。 ログのこのエラーは無視してもかまいませんが、このレジストリ キーが作成され、不要な場合に空のままにすると、エラー メッセージは返されません。
IP_WHITELIST 内に存在する IP アドレスからの要求である場合、2 段階認証はスキップされます。 IP リストが、RADIUS 要求の ratNASIPAddress 属性で提供される IP アドレスと比較されます。 ratNASIPAddress 属性がない RADIUS 要求が到着すると、"IP_WHITE_LIST_WARNING::IP Whitelist is being ignored as the source IP is missing in the RADIUS request NasIpAddress attribute." という警告がログに記録されます。