VPN ユーザーに対して Microsoft Entra 多要素認証 (MFA) を有効にする

アクセスを許可する前にユーザーに認証の第 2 要素の入力を求めるメッセージを表示する場合は、Microsoft Entra 多要素認証 (MFA) を構成できます。 MFA はユーザー単位で構成できます。または、条件付きアクセスを介して MFA を利用することもできます。

• ユーザーごとの MFA は、追加料金なしで有効にすることができます。 ユーザーごとに MFA を有効にすると、Microsoft Entra テナントに関連付けられているすべてのアプリケーションに対して第 2 要素認証を求められます。 手順については、オプション 1 を参照してください。
• 条件付きアクセスを使用すると、2番目の要素をどのように昇格するかをきめ細かく制御できます。 VPN のみに MFA を割り当てることができ、Microsoft Entra テナントに関連付けられている他のアプリケーションを除外できます。 手順については、オプション 2 を参照してください。

認証を有効にする

1. Microsoft Entra ID -> Enterprise アプリケーション -> すべてのアプリケーションに移動します。

2. [エンタープライズ アプリケーション - すべてのアプリケーション] ページで、[Azure VPN]を選択します。

   

サインインの設定を構成する

[Azure VPN のプロパティ] ページで、サインインの設定を構成します。

1. ユーザーのサインインを有効にしますか？ で、はいを選択します。 この設定により、AD テナントのすべてのユーザーが、VPN に正常に接続できるようになります。

2. ユーザー割り当てが必用ですか？で、Azure VPN に対するアクセス許可を持つユーザーのみにサインインを制限する場合は、はいを選択します。

3. 変更を保存します。

   

オプション 1 - ユーザーアクセスごと

MFA ページを開く

1. Azure portal にサインインします。

2. Microsoft Entra ID -> すべてのユーザーに移動します。

3. [Multi-Factor Authentication] を選択して、[多要素認証] ページを開きます。

   

[ユーザーの選択]

1. [multi-factor authentication] のページで、MFA を有効にするユーザーを選択します。

2. [有効化] を選択します。

   

オプション 2 - 条件付きアクセス

条件付きアクセスを使用すると、アプリケーションごとにきめ細かなアクセス制御を行うことができます。 条件付きアクセスを使用するには、条件付きアクセス規則の対象となるユーザーに Microsoft Entra ID P1 または P2 以上のライセンスが適用されている必要があります。

1. [Enterprise Applications - すべてのアプリケーション] ページに移動し、Azure VPN をクリックします。

   • [条件付きアクセス] をクリックします。
   • [新しいポリシー] をクリックして [新規] ウィンドウを開きます。

2. [新規] ペインの [割り当て] -> [ユーザーとグループ] に移動します。 [ユーザーとグループ] ->[対象] タブ:

   • [ユーザーとグループの選択] をクリックします。
   • [ユーザーとグループ] をクリックします。
   • [Select] をクリックして、MFA の影響を受けるグループまたはユーザーのセットを選択します。
   • [Done] をクリックします。

   

3. [新規] ペインの [アクセスの制御] -> [許可] ペインに移動します。

   • [アクセス権の付与] をクリックします。
   • [多要素認証が必要です] をクリックします。
   • [選択したコントロールすべてが必要] をクリックします。
   • [選択] をクリックします。

   

4. ポリシーを有効化する セクション:

   • [ON] を選択します。
   • Create をクリックしてください。

   

次のステップ

仮想ネットワークに接続するには、VPN クライアント プロファイルを作成し、構成する必要があります。 「VPN クライアントを P2S VPN 接続用に構成する」を参照してください。