RADIUS を使用したリモート デスクトップ ゲートウェイと Multi-Factor Authentication ServerRemote Desktop Gateway and Azure Multi-Factor Authentication Server using RADIUS

リモート デスクトップ (RD) ゲートウェイでは多くの場合、ローカル ネットワーク ポリシー サービス (NPS) を使ってユーザーを認証します。Often, Remote Desktop (RD) Gateway uses the local Network Policy Services (NPS) to authenticate users. この記事では、リモート デスクトップ ゲートウェイからの RADIUS 要求を (ローカルの NPS を通じて) Multi-Factor Authentication Server にルーティングする方法について説明します。This article describes how to route RADIUS requests out from the Remote Desktop Gateway (through the local NPS) to the Multi-Factor Authentication Server. Azure MFA と RD ゲートウェイを組み合わせると、強力な認証を行いつつ、ユーザーが自らの作業環境にどこからでもアクセスできる状態を実現できます。The combination of Azure MFA and RD Gateway means that your users can access their work environments from anywhere while performing strong authentication.

Windows Server 2012 R2 ではターミナル サービス向けの Windows 認証をサポートしていないため、MFA Server との統合には RD ゲートウェイと RADIUS を使用します。Since Windows Authentication for terminal services is not supported for Server 2012 R2, use RD Gateway and RADIUS to integrate with MFA Server.

Azure Multi-Factor Authentication Server を専用のサーバーにインストールします。このサーバーがプロキシとしての役割を果たし、RADIUS 要求をリモート デスクトップ ゲートウェイ サーバーの NPS に戻します。Install the Azure Multi-Factor Authentication Server on a separate server, which proxies the RADIUS request back to the NPS on the Remote Desktop Gateway Server. NPS は、ユーザー名とパスワードを検証した後、Multi-Factor Authentication Server に応答を返します。After NPS validates the username and password, it returns a response to the Multi-Factor Authentication Server. その後、MFA Server は、認証の 2 番目の要素を実行し、結果をゲートウェイに返します。Then, the MFA Server performs the second factor of authentication and returns a result to the gateway.

前提条件Prerequisites

  • ドメインに参加している Azure MFA Server。A domain-joined Azure MFA Server. インストールがまだの場合には、「Azure Multi-Factor Authentication Server の概要」の手順に従ってインストールしてください。If you don't have one installed already, follow the steps in Getting started with the Azure Multi-Factor Authentication Server.
  • ネットワーク ポリシー サービスを使って認証処理を実行するリモート デスクトップ ゲートウェイ。A Remote Desktop Gateway that authenticates with Network Policy Services.

リモート デスクトップ ゲートウェイの構成Configure the Remote Desktop Gateway

RD ゲートウェイは、RADIUS 認証を Azure Multi-Factor Authentication Server に送信するように構成する必要があります。Configure the RD Gateway to send RADIUS authentication to an Azure Multi-Factor Authentication Server.

  1. RD ゲートウェイ マネージャーでサーバー名を右クリックし、[プロパティ] を選択します。In RD Gateway Manager, right-click the server name and select Properties.
  2. [RD CAP ストア] タブに移動し、[NPS を実行するセントラル サーバー] を選択します。Go to the RD CAP Store tab and select Central server running NPS.
  3. RADIUS サーバーとして 1 つ以上の Azure Multi-Factor Authentication Server を追加します。これには、各サーバーの名前または IP アドレスを入力します。Add one or more Azure Multi-Factor Authentication Servers as RADIUS servers by entering the name or IP address of each server.
  4. 各サーバーの共有シークレットを作成します。Create a shared secret for each server.

NPS の構成Configure NPS

RD ゲートウェイは、NPS を使用して Azure Multi-Factor Authentication に RADIUS 要求を送信します。The RD Gateway uses NPS to send the RADIUS request to Azure Multi-Factor Authentication. NPS の構成で最初に行うのは、タイムアウトの設定の変更です。これにより、2 段階認証の完了前に RD ゲートウェイがタイムアウトになるのを防ぎます。To configure NPS, first you change the timeout settings to prevent the RD Gateway from timing out before the two-step verification has completed. 次に、NPS を更新して MFA Server から RADIUS 認証の結果を受信できるようにします。Then, you update NPS to receive RADIUS authentications from your MFA Server. NPS の構成に使用する手順は、以下のとおりです。Use the following procedure to configure NPS:

タイムアウト ポリシーの変更Modify the timeout policy

  1. NPS で、左の列にある [RADIUS Clients and Server (RADIUS クライアントと サーバー)] のメニューを開き、[リモート RADIUS サーバー グループ] を選択します。In NPS, open the RADIUS Clients and Server menu in the left column and select Remote RADIUS Server Groups.
  2. [TS GATEWAY SERVER GROUP (TS ゲートウェイ サーバー グループ)] を選択します。Select the TS GATEWAY SERVER GROUP.
  3. [負荷分散] タブに移動します。Go to the Load Balancing tab.
  4. [要求が破棄されたと見なされる応答待ち時間 (秒数)][サーバーが利用不可能と見なされる要求間隔 (秒数)] の値をそれぞれ、30 ~ 60 秒に変更します Change both the Number of seconds without response before request is considered dropped and the Number of seconds between requests when server is identified as unavailable to between 30 and 60 seconds. (サーバーが認証中にタイムアウトになる場合には、ここに戻って秒数を増やしてください)。(If you find that the server still times out during authentication, you can come back here and increase the number of seconds.)
  5. [認証/アカウント] タブに移動し、指定されている RADIUS ポートと、Multi-Factor Authentication Server がリッスンするポートが一致していることを確認します。Go to the Authentication/Account tab and check that the RADIUS ports specified match the ports that the Multi-Factor Authentication Server is listening on.

NPS で MFA Server から認証結果を受信するための準備Prepare NPS to receive authentications from the MFA Server

  1. 左の列にある [RADIUS Clients and Server (RADIUS クライアントと サーバー)] で [RADIUS クライアント] を右クリックし、[新規] を選択します。Right-click RADIUS Clients under RADIUS Clients and Servers in the left column and select New.
  2. Azure Multi-Factor Authentication Server を RADIUS クライアントとして追加します。Add the Azure Multi-Factor Authentication Server as a RADIUS client. フレンドリ名を選択し、共有シークレットを指定します。Choose a Friendly name and specify a shared secret.
  3. 左の列で [ポリシー] メニューを開き、[接続要求ポリシー] を選択します。Open the Policies menu in the left column and select Connection Request Policies. すると、RD ゲートウェイの構成時に作成されたポリシー "TS GATEWAY AUTHORIZATION POLICY" があるはずです。You should see a policy called TS GATEWAY AUTHORIZATION POLICY that was created when RD Gateway was configured. このポリシーは、Multi-Factor Authentication Server に RADIUS 要求を転送します。This policy forwards RADIUS requests to the Multi-Factor Authentication Server.
  4. [TS GATEWAY AUTHORIZATION POLICY] を右クリックして、[ポリシーの複製] を選択します。Right-click TS GATEWAY AUTHORIZATION POLICY and select Duplicate Policy.
  5. 新しいポリシーを開いて、[条件] タブに移動します。Open the new policy and go to the Conditions tab.
  6. 手順 2 で Azure Multi-Factor Authentication Server の RADIUS クライアントに設定したフレンドリ名とクライアントのフレンドリ名とを照合する条件を追加します。Add a condition that matches the Client Friendly Name with the Friendly name set in step 2 for the Azure Multi-Factor Authentication Server RADIUS client.
  7. [設定] タブに移動して、[認証] を選択します。Go to the Settings tab and select Authentication.
  8. 認証プロバイダーの設定を [このサーバーで要求を認証する] に変更します。Change the Authentication Provider to Authenticate requests on this server. このポリシーは、NPS が Azure MFA Server から RADIUS 要求を受信した場合に、RADIUS 要求を Multi-Factor Authentication Server に戻してループ状態にするのではなく、ローカルで認証が行われるようにするものです。This policy ensures that when NPS receives a RADIUS request from the Azure MFA Server, the authentication occurs locally instead of sending a RADIUS request back to the Azure Multi-Factor Authentication Server, which would result in a loop condition.
  9. 条件のループを防ぐためには、[接続要求ポリシー] ウィンドウで新しいポリシーを元のポリシーよりも上に配置してください。To prevent a loop condition, make sure that the new policy is ordered ABOVE the original policy in the Connection Request Policies pane.

Azure Multi-Factor Authentication の構成Configure Azure Multi-Factor Authentication

Azure Multi-Factor Authentication Server は、RD ゲートウェイと NPS 間の RADIUS プロキシとして構成されます。The Azure Multi-Factor Authentication Server is configured as a RADIUS proxy between RD Gateway and NPS. これは、RD ゲートウェイ サーバーとは別個のドメインに参加しているサーバーにインストールする必要があります。It should be installed on a domain-joined server that is separate from the RD Gateway server. Azure Multi-Factor Authentication Server を構成するには、次の手順に従います。Use the following procedure to configure the Azure Multi-Factor Authentication Server.

  1. Azure Multi-Factor Authentication Server を開き、[RADIUS 認証] アイコンを選択します。Open the Azure Multi-Factor Authentication Server and select the RADIUS Authentication icon.
  2. [RADIUS 認証を有効にする] チェック ボックスをオンにします。Check the Enable RADIUS authentication checkbox.
  3. [クライアント] タブで、ポートが NPS の構成と一致していることを確認し、[追加] を選択します。On the Clients tab, ensure the ports match what is configured in NPS then select Add.
  4. RD ゲートウェイ サーバーの IP アドレス、アプリケーション名 (省略可能)、共有シークレットを追加します。Add the RD Gateway server IP address, application name (optional), and a shared secret. 共有シークレットは、Azure Multi-Factor Authentication Server と RD ゲートウェイの両方で共通である必要があります。The shared secret needs to be the same on both the Azure Multi-Factor Authentication Server and RD Gateway.
  5. [ターゲット] タブに移動し、[RADIUS サーバー] ラジオ ボタンを選択します。Go to the Target tab and select the RADIUS server(s) radio button.
  6. [追加] を選択し、IP アドレス、共有シークレット、NPS サーバーのポートを入力します。Select Add and enter the IP address, shared secret, and ports of the NPS server. 一元的な NPS を使用していない限り、RADIUS クライアントと RADIUS ターゲットは同じになります。Unless using a central NPS, the RADIUS client and RADIUS target are the same. 共有シークレットは、NPS サーバーの RADIUS クライアント セクションの 1 つのセットアップと一致している必要があります。The shared secret must match the one setup in the RADIUS client section of the NPS server.

RADIUS 認証

次のステップNext steps