NPS を使用してネットワーク アクセス ポリシーを作成および適用する

  • 10 分

リモート アクセス ユーザーを管理しやすくするために、Contoso のような組織では NPS のサーバーの役割をデプロイして構成します。 Contoso では、NPS を使用して、接続要求の認証と承認のための組織全体のネットワーク アクセス ポリシーを作成および適用できます。 NPS を使用すると、次の機能を組み合わせて、ネットワーク アクセスの認証、承認、アカウンティングを実装できます。

  • RADIUS サーバー
  • RADIUS プロキシ
  • RADIUS アカウンティング

RADIUS サーバー

RADIUS とは、ベンダーがリモート アクセス ソリューションの要素間での認証情報の交換をサポートするために使用する業界標準の認証プロトコルです。 NPS は、RADIUS サーバーの Microsoft による実装です。 NPS では、ワイヤレス、スイッチ、リモート アクセス、または VPN など異なる種類の機器を組み合わせて使用できます。 NPS は、Windows Server オペレーティング システムで利用可能な、ルーティングとリモート アクセス サービスと共に使用できます。 また、NPS を Windows Server のリモート アクセス役割と共に使用することもできます。

NPS では、ワイヤレス、RD ゲートウェイ サーバー、認証スイッチ、VPN、ダイヤルアップ接続に対して、一元化された接続の認証、承認、アカウンティングを実行します。 NPS を RADIUS サーバーとして使用する場合は、ワイヤレス アクセス ポイントや VPN サーバーなどのネットワーク アクセス サーバー (NAS) (NPS の RADIUS クライアントとも呼ばれます) を構成します。

また、接続要求を承認するために NPS で使用されるネットワーク ポリシーを構成したり、NPS でアカウンティング情報をローカル ハード ディスク上のログ ファイルまたは Microsoft SQL Server データベースに記録できるように RADIUS アカウンティングを構成したりすることもできます。

重要

Windows Server の Server Core エディションに NPS をインストールすることはできません。

NPS サーバーが Active Directory Domain Services (AD DS) ドメインのメンバーである場合、NPS では AD DS をそのユーザー アカウント データベースとして使用し、シングル サインオン (SSO) 機能を提供します。 つまり、同じユーザー資格情報セットによってネットワーク アクセス制御 (ネットワークへのアクセスの認証と承認、AD DS ドメイン内のリソースへのアクセスなど) が可能になります。

ネットワーク アクセスを維持する組織 (ISP など) には、使用するネットワーク アクセス機器の種類に関係なく、さまざまなネットワーク アクセス方法を 1 つの管理ポイントから管理するという課題があります。 RADIUS 標準はこの要件に対応しています。 RADIUS は、ネットワーク アクセス機器 (RADIUS クライアントとして使用される場合) から認証とアカウンティングの要求を RADIUS サーバーに送信できるようにするクライアント/サーバー プロトコルです。

RADIUS サーバーは、ユーザー アカウント情報にアクセスでき、ネットワーク アクセスの認証資格情報を検証できます。 ユーザーの資格情報が信頼でき、RADIUS によって接続の試行が承認されると、RADIUS サーバーは、構成された条件に基づいてユーザーのアクセスを承認し、ネットワーク アクセス接続をアカウンティング ログに記録します。 RADIUS を使用すると、ネットワーク アクセス ユーザーの認証、承認、およびアカウンティング データを各アクセス サーバー上ではなく、中心となる 1 つの場所で収集して管理することができます。

RADIUS プロキシ

NPS を RADIUS プロキシとして使用する場合は、NPS サーバーで他の RADIUS サーバーに転送する接続要求と、接続要求の転送先となる RADIUS サーバーを指示する接続要求ポリシーを構成します。 リモート RADIUS サーバー グループ内の 1 台以上のコンピューターで記録するためのアカウンティング データを転送するように NPS を構成することもできます。 NPS を使用すると、組織は、リモート アクセス インフラストラクチャをサービス プロバイダーに外部委託する一方で、ユーザー認証、承認、アカウンティングに対する制御を維持することもできます。 次のソリューション用の NPS 構成を作成できます。

  • VPN サーバー。
  • ワイヤレス アクセス ポイント。
  • RD ゲートウェイ サーバー。
  • 外部委託された VPN、ダイヤルアップ、またはワイヤレス アクセス。
  • インターネット アクセス。
  • ビジネス パートナーのエクストラネット リソースへの認証済みアクセス。

RADIUS アカウンティング

ユーザー認証要求、Access-Accept メッセージ、Access-Reject メッセージ、アカウンティング要求と応答、定期的な状態の更新のために RADIUS アカウンティングを実行するように NPS を構成できます。 NPS を使用すると、ローカル ファイルへのログ記録に加えて、またはローカル ファイルへのログ記録の代わりに、Microsoft SQL Server データベースにログを記録することができます。