RADIUS 認証と Azure Multi-Factor Authentication Server の統合Integrate RADIUS authentication with Azure Multi-Factor Authentication Server

RADIUS は、認証要求を承認してそれらの要求を処理する標準のプロトコルです。RADIUS is a standard protocol to accept authentication requests and to process those requests. Azure Multi-Factor Authentication Server は RADIUS サーバーとして機能します。The Azure Multi-Factor Authentication Server can act as a RADIUS server. これを RADIUS クライアント (VPN アプライアンス) と認証対象の間に置くことで 2 段階認証が追加されます。Insert it between your RADIUS client (VPN appliance) and your authentication target to add two-step verification. この場合、認証ターゲットは、Active Directory や LDAP ディレクトリ、別の RADIUS サーバーなどになります。Your authentication target could be Active Directory, an LDAP directory, or another RADIUS server. Azure Multi-Factor Authentication (MFA) が機能するには、クライアント サーバーと認証ターゲットの両方と通信できるように Azure MFA Server を構成する必要があります。For Azure Multi-Factor Authentication (MFA) to function, you must configure the Azure MFA Server so that it can communicate with both the client servers and the authentication target. Azure MFA Server は RADIUS クライアントから要求を受け取り、認証ターゲットに対して資格情報を検証し、Azure Multi-Factor Authentication を追加して、RADIUS クライアントに応答を返します。The Azure MFA Server accepts requests from a RADIUS client, validates credentials against the authentication target, adds Azure Multi-Factor Authentication, and sends a response back to the RADIUS client. 認証要求が成功するのは、プライマリ認証と Azure Multi-Factor Authentication の両方が成功した場合だけです。The authentication request only succeeds if both the primary authentication and the Azure Multi-Factor Authentication succeed.

重要

2019 年 7 月 1 日より、Microsoft では新しいデプロイに対して MFA Server が提供されなくなります。As of July 1, 2019, Microsoft will no longer offer MFA Server for new deployments. ユーザーからの多要素認証が必要な新しいお客様は、クラウドベースの Azure Multi-Factor Authentication を使用していただく必要があります。New customers who would like to require multi-factor authentication from their users should use cloud-based Azure Multi-Factor Authentication. 7 月 1 日より前に MFA Server をアクティブ化した既存のお客様は、最新バージョンの今後の更新プログラムをダウンロードし、アクティブ化資格情報を通常どおり生成することができます。Existing customers who have activated MFA Server prior to July 1 will be able to download the latest version, future updates and generate activation credentials as usual.

注意

MFA サーバーは、PAP (パスワード認証プロトコル) と、RADIUS サーバーとして機能するときの MSCHAPv2 (Microsoft チャレンジ ハンドシェイク認証プロトコル ) RADIUS プロトコルのみをサポートします。The MFA Server only supports PAP (password authentication protocol) and MSCHAPv2 (Microsoft's Challenge-Handshake Authentication Protocol) RADIUS protocols when acting as a RADIUS server. EAP (拡張認証プロトコル) などの他のプロトコルは、そのプロトコルをサポートする別の RADIUS サーバーの RADIUS プロキシとして MFA サーバーが機能する場合に使用できます。Other protocols, like EAP (extensible authentication protocol), can be used when the MFA server acts as a RADIUS proxy to another RADIUS server that supports that protocol.

この構成では、MFA Server は他のプロトコルを使用して正常な RADIUS チャレンジ応答を開始できないため、一方向の SMS および OATH トークンは機能しません。In this configuration, one-way SMS and OATH tokens don't work since the MFA Server can't initiate a successful RADIUS Challenge response using alternative protocols.

MFA Server での Radius 認証

RADIUS クライアントの追加Add a RADIUS client

RADIUS 認証を構成するには、Azure Multi-Factor Authentication Server を Windows サーバーにインストールします。To configure RADIUS authentication, install the Azure Multi-Factor Authentication Server on a Windows server. Active Directory 環境を使用している場合は、サーバーをネットワーク内のドメインに参加させる必要があります。If you have an Active Directory environment, the server should be joined to the domain inside the network. 次の手順に従って Azure Multi-Factor Authentication Server を構成します。Use the following procedure to configure the Azure Multi-Factor Authentication Server:

  1. Azure Multi-Factor Authentication Server で、左側のメニューの [RADIUS 認証] アイコンをクリックします。In the Azure Multi-Factor Authentication Server, click the RADIUS Authentication icon in the left menu.

  2. [RADIUS 認証を有効にする] チェック ボックスをオンにします。Check the Enable RADIUS authentication checkbox.

  3. Azure MFA RADIUS サービスが標準以外のポートで RADIUS 要求をリッスンする必要がある場合は、[クライアント] タブで認証ポートとアカウンティング ポートを変更します。On the Clients tab, change the Authentication and Accounting ports if the Azure MFA RADIUS service needs to listen for RADIUS requests on non-standard ports.

  4. [追加] をクリックします。Click Add.

  5. Azure Multi-Factor Authentication Server に対して認証するアプライアンス/サーバーの IP アドレス、アプリケーション名 (省略可能)、共有シークレットを入力します。Enter the IP address of the appliance/server that will authenticate to the Azure Multi-Factor Authentication Server, an application name (optional), and a shared secret.

    アプリケーション名はレポートに表示され、SMS またはモバイル アプリの認証メッセージにも表示される場合があります。The application name appears in reports and may be displayed within SMS or mobile app authentication messages.

    共有シークレットは、Azure Multi-Factor Authentication Server とアプライアンス/サーバーの両方で同じである必要があります。The shared secret needs to be the same on both the Azure Multi-Factor Authentication Server and appliance/server.

  6. すべてのユーザーを Server にインポート済みであり、多要素認証の対象となる場合は、 [Multi-Factor Authentication のユーザー照合が必要] チェック ボックスをオンにします。Check the Require Multi-Factor Authentication user match box if all users have been imported into the Server and subject to multi-factor authentication. 多数のユーザーがまだサーバーにインポートされていない、または 2 段階認証から除外される場合、ボックスはオフのままにします。If a significant number of users have not yet been imported into the Server or are exempt from two-step verification, leave the box unchecked.

  7. バックアップ手段として、モバイル認証アプリの OATH パスコードを使用する場合は、 [代替の OATH トークンを有効にする] チェック ボックスをオンにします。Check the Enable fallback OATH token box if you want to use OATH passcodes from mobile verification apps as a backup method.

  8. Click OK.Click OK.

手順 4. ~ 8. を繰り返して、RADIUS クライアントを必要な数だけ追加します。Repeat steps 4 through 8 to add as many additional RADIUS clients as you need.

RADIUS クライアントの構成Configure your RADIUS client

  1. [ターゲット] タブをクリックします。Click the Target tab.

    • Azure MFA Server を Active Directory 環境のドメインに参加しているサーバーにインストールする場合は、 [Windows ドメイン] を選択します。If the Azure MFA Server is installed on a domain-joined server in an Active Directory environment, select Windows domain.
    • ユーザーを LDAP ディレクトリに対して認証する必要がある場合は、 [LDAP バインド] を選択します。If users should be authenticated against an LDAP directory, select LDAP bind. [ディレクトリの統合] アイコンを選択し、[設定] タブで LDAP 構成を編集して、Server を指定のディレクトリにバインドできるようにします。Select the Directory Integration icon and edit the LDAP configuration on the Settings tab so that the Server can bind to your directory. LDAP を構成する手順については、LDAP プロキシの構成ガイドをご覧ください。Instructions for configuring LDAP can be found in the LDAP Proxy configuration guide.
    • 別の RADIUS サーバーに対してユーザーを認証する必要がある場合は、 [RADIUS サーバー] を選択します。If users should be authenticated against another RADIUS server, select RADIUS server(s).
  2. [追加] をクリックして、Azure MFA Server が RADIUS 要求をプロキシするサーバーを構成します。Click Add to configure the server to which the Azure MFA Server will proxy the RADIUS requests.

  3. [RADIUS サーバーの追加] ダイアログ ボックスで、RADIUS サーバーの IP アドレスと共有シークレットを入力します。In the Add RADIUS Server dialog box, enter the IP address of the RADIUS server and a shared secret.

    共有シークレットは、Azure Multi-Factor Authentication Server と RADIUS サーバーの両方で同じである必要があります。The shared secret needs to be the same on both the Azure Multi-Factor Authentication Server and RADIUS server. RADIUS サーバーで異なるポートが使用されている場合は、認証ポートとアカウンティング ポートを変更します。Change the Authentication port and Accounting port if different ports are used by the RADIUS server.

  4. Click OK.Click OK.

  5. Azure MFA Server から受け取ったアクセス要求を処理できるように、Azure MFA Server を RADIUS クライアントとして他の RADIUS サーバーに追加します。Add the Azure MFA Server as a RADIUS client in the other RADIUS server so that it can process access requests sent to it from the Azure MFA Server. Azure Multi-Factor Authentication Server で構成されている同じ共有シークレットを使用します。Use the same shared secret configured in the Azure Multi-Factor Authentication Server.

さらに別の RADIUS サーバーを追加するには、上記の手順を繰り返します。Repeat these steps to add more RADIUS servers. [上へ移動] ボタンと [下へ移動] ボタンを使用して Azure MFA Server が呼び出すサーバーの順序を構成します。Configure the order in which the Azure MFA Server should call them with the Move Up and Move Down buttons.

Azure Multi-Factor Authentication Server の構成は以上です。You've successfully configured the Azure Multi-Factor Authentication Server. Server が構成されたポートを使用して、構成されたクライアントからの RADIUS アクセス要求をリッスンするようになります。The Server is now listening on the configured ports for RADIUS access requests from the configured clients.

RADIUS クライアントの構成RADIUS Client configuration

RADIUS クライアントを構成するには、ガイドラインに従います。To configure the RADIUS client, use the guidelines:

  • RADIUS 経由で Azure Multi-Factor Authentication Server の IP アドレスに対して認証するように機器/サーバーを構成します。これにより、RADIUS サーバーとして機能します。Configure your appliance/server to authenticate via RADIUS to the Azure Multi-Factor Authentication Server’s IP address, which acts as the RADIUS server.
  • 以前に構成した同じ共有シークレットを使用します。Use the same shared secret that was configured earlier.
  • ユーザーの資格情報を検証して、2 段階認証を実行し、応答を受信した後、RADIUS アクセス要求に応答する時間を確保するために、RADIUS のタイムアウトを 30 ~ 60 秒に構成します。Configure the RADIUS timeout to 30-60 seconds so that there is time to validate the user’s credentials, perform two-step verification, receive their response, and then respond to the RADIUS access request.

次の手順Next steps

Azure Multi-Factor Authentication がクラウドにある場合は、RADIUS 認証と統合する方法を参照してください。Learn how to integrate with RADIUS authentication if you have Azure Multi-Factor Authentication in the cloud.