接続要求ポリシー

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

このトピックでは、NPS 接続要求ポリシーを使用して、NPS を RADIUS サーバー、RADIUS プロキシ、またはそれらの両方として構成する方法について説明します。

Note

このトピックに加え、次の接続要求ポリシー関連のドキュメントも参照してください。

接続要求ポリシーは一連の条件と設定で構成されます。ネットワーク管理者は、このポリシーを使用して、ネットワーク ポリシー サーバー (NPS) を実行するサーバーがリモート認証ダイヤルイン ユーザー サービス (RADIUS) クライアントから受け取る接続要求の認証と認可をどの RADIUS サーバーで行うかを指定できます。 接続要求ポリシーを構成して、RADIUS アカウンティングにどの RADIUS サーバーを使用するかを指定できます。

RADIUS クライアントから送信された一部の RADIUS 要求メッセージをローカルで処理し (NPS を RADIUS サーバーとして使用)、その他の種類のメッセージを別の RADIUS サーバーに転送 (NPS を RADIUS プロキシとして使用) するように、接続要求ポリシーを作成できます。

接続要求ポリシーを使用すると、次のような要因に基づいて NPS を RADIUS サーバーまたは RADIUS プロキシとして使用できます。

  • 時刻および曜日
  • 接続要求の領域名
  • 要求された接続の種類
  • RADIUS クライアントの IP アドレス

RADIUS Access-Request メッセージが NPS によって処理および転送されるのは、着信メッセージの設定が NPS で構成された接続要求ポリシーの少なくとも 1 つと一致する場合のみです。

ポリシー設定が一致し、そのポリシーが NPS によるメッセージの処理を要求している場合、NPS は RADIUS サーバーとして機能し、接続要求を認証および認可します。 ポリシー設定が一致し、そのポリシーが NPS によるメッセージの転送を要求している場合、NPS は RADIUS プロキシとして機能し、接続要求をリモート RADIUS サーバーに転送します。

着信 RADIUS Access-Request メッセージの設定が接続要求ポリシーのいずれにも一致しない場合は、Access-Reject メッセージが RADIUS クライアントに送信され、ネットワークへの接続を試みたユーザーまたはコンピューターはアクセスを拒否されます。

構成の例

次の構成例は、接続要求ポリシーの使用方法を示しています。

RADIUS サーバーとしての NPS

既定の接続要求ポリシーのみが構成されています。 この例では、NPS が RADIUS サーバーとして構成され、すべての接続要求がローカルの NPS で処理されます。 NPS は、アカウントが NPS ドメインのドメインおよび信頼される側のドメインにあるユーザーを認証および認可できます。

RADIUS プロキシとしての NPS

既定の接続要求ポリシーは削除され、2 つの異なるドメインに要求を転送する 2 つの新しい接続要求ポリシーが作成されます。 この例では、NPS が RADIUS プロキシとして構成されています。 NPS は、ローカル サーバー上で接続要求を処理しません。 その代わりに、NPS、またはリモート RADIUS サーバー グループのメンバーとして構成されている他の RADIUS サーバーに、接続要求を転送します。

RADIUS サーバーと RADIUS プロキシの両方として機能する NPS

既定の接続要求ポリシーに加え、NPS や信頼されていないドメインの他の RADIUS サーバーに接続要求を転送する新しい接続要求ポリシーが作成されます。 この例では、プロキシ ポリシーがポリシー一覧の先頭に表示されます。 接続要求がプロキシ ポリシーに一致する場合、接続要求はリモート RADIUS サーバー グループの RADIUS サーバーに転送されます。 接続要求がプロキシ ポリシーに一致しないものの、既定の接続要求ポリシーに一致する場合、NPS はローカル サーバー上で接続要求を処理します。 接続要求がどちらのポリシーにも一致しない場合、その接続要求は破棄されます。

RADIUS サーバーとして機能する NPS とリモート アカウンティング サーバー

この例では、ローカル NPS はアカウンティングを実行するようには構成されていません。既定の接続要求ポリシーが変更されて、NPS、またはリモート RADIUS サーバー グループに属する他の RADIUS サーバーに RADIUS アカウンティング メッセージが転送されるようになります。 アカウンティング メッセージは転送されますが、認証と認可のメッセージは転送されません。ローカルの NPS が、ローカル ドメインおよびすべての信頼されるドメインのためにこれらの機能を実行します。

[Remote RADIUS to Windows User Mapping] 属性による NPS

この例では、個々の接続要求に対して NPS が RADIUS サーバーと RADIUS プロキシの両方として機能します。NPS は、認証要求をリモート RADIUS サーバーに転送する一方で、承認にはローカルの Windows ユーザー アカウントを使用します。 この構成は、接続要求ポリシーの条件として、リモート RADIUS を Windows ユーザー マッピング属性に構成することによって実装されます。 また、リモート RADIUS サーバーが認証を行う対象となるリモートユーザー アカウントと同じ名前を持つユーザー アカウントを、ローカルで作成する必要があります。

接続要求ポリシーの条件

接続要求ポリシーの条件は、着信 RADIUS Access-Request メッセージの属性と比較される 1 つ以上の RADIUS 属性です。 複数の条件がある場合、NPS がポリシーを適用するには、接続要求メッセージの条件と接続要求ポリシーの条件がすべて一致する必要があります。

接続要求ポリシーで構成できる条件属性の一覧を次に示します。

接続プロパティ属性グループ

[ Connection-Properties ] 属性グループには次の属性が含まれます。

  • フレーム プロトコル。 着信パケットのフレーミングの種類を指定するために使用します。 たとえば、Point-to-Point プロトコル (PPP)、シリアル回線インターネット プロトコル (SLIP)、フレーム リレー、X.25 があります。
  • サービスの種類。 要求されているサービスの種類を指定するために使用します。 たとえば、フレーム化 (PPP 接続など) およびログイン (Telnet 接続など) があります。 RADIUS サービスの種類の詳細については、RFC 2865 の「Remote Authentication Dial-in User Service (RADIUS)」を参照してください。
  • トンネルの種類。 要求する側のクライアントによって作成されるトンネルの種類を指定するために使用します。 トンネルの種類には、Point-to-Point トンネリング プロトコル (PPTP) とレイヤー 2 トンネリング プロトコル (L2TP) があります。

日と時刻の制限属性グループ

[ Day-and-Time-Restrictions ] 属性グループには、[ Day-and-Time-Restrictions ] 属性が含まれます。 この属性で、接続試行の曜日と時刻を指定できます。 曜日と時刻は、NPS の曜日と時刻の設定に依存します。

ゲートウェイ属性グループ

[ Gateway ] 属性グループには次の属性が含まれます。

  • 被呼端末 ID。 ネットワーク アクセス サーバーの電話番号を指定するために使用します。 この属性は文字列です。 パターン マッチング構文を使用して市外局番を指定できます。
  • NAS ID。 ネットワーク アクセス サーバーの名前を指定するために使用します。 この属性は文字列です。 パターン マッチング構文を使用して、NAS の ID を指定できます。
  • NAS IPv4 アドレス。 ネットワーク アクセス サーバー (RADIUS クライアント) のインターネット プロトコル バージョン 4 (IPv4) アドレスを指定するために使用します。 この属性は文字列です。 パターン マッチング構文を使用して IP ネットワークを指定できます。
  • NAS IPv6 アドレス。 ネットワーク アクセス サーバー (RADIUS クライアント) のインターネット プロトコル バージョン 6 (IPv6) アドレスを指定するために使用します。 この属性は文字列です。 パターン マッチング構文を使用して IP ネットワークを指定できます。
  • NAS ポートの種類。 アクセス クライアントが使用するメディアの種類を指定するために使用します。 たとえば、アナログ電話回線 (非同期)、総合デジタル サービス通信網 (ISDN)、トンネルまたは仮想プライベート ネットワーク (VPN)、IEEE 802.11 ワイヤレス、イーサネット スイッチなどがあります。

マシン ID 属性グループ

[ Machine Identity ] 属性グループには、[ Machine Identity ] 属性が含まれます。 この属性を使用すると、ポリシーでクライアントを識別する方法を指定できます。

RADIUS クライアント プロパティ属性グループ

[ RADIUS-Client-Properties ] 属性グループには次の属性が含まれます。

  • 起呼端末 ID。 呼び出し側 (アクセス クライアント) の電話番号を指定するために使用します。 この属性は文字列です。 パターン マッチング構文を使用して市外局番を指定できます。 802.1x 認証では、通常、MAC アドレスが設定され、クライアントから照合できます。 このフィールドは、通常、接続要求ポリシーが [資格情報を検証せずにユーザーを受け入れる] に構成されている場合に、Mac アドレス バイパス シナリオで使用されます。
  • ライアントのフレンドリ名。 認証を要求している RADIUS クライアント コンピューターの名前を指定するために使用します。 この属性は文字列です。 パターン マッチング構文を使用して、クライアント名を指定できます。
  • クライアント IPv4 アドレス。 ネットワーク アクセス サーバー (RADIUS クライアント) の IPv4 アドレスを指定するために使用します。 この属性は文字列です。 パターン マッチング構文を使用して IP ネットワークを指定できます。
  • クライアント IPv6 アドレス。 ネットワーク アクセス サーバー (RADIUS クライアント) の IPv6 アドレスを指定するために使用します。 この属性は文字列です。 パターン マッチング構文を使用して IP ネットワークを指定できます。
  • クライアント ベンダー。 認証を要求しているネットワーク アクセス サーバーのベンダーを指定するために使用します。 ルーティングとリモート アクセス サービスを実行しているコンピューターは、Microsoft NAS の製造元です。 この属性を使用して、NAS の製造元によって異なるポリシーを構成できます。 この属性は文字列です。 パターン マッチング構文を使用できます。

ユーザー名属性グループ

[ User-Name ] 属性グループには [ User-Name ] 属性が含まれます。 この属性を使用することで、RADIUS メッセージでアクセス クライアントによって提供されるユーザー名と一致する必要があるユーザー名またはユーザー名の一部を指定できます。 この属性は、通常、領域名とユーザー アカウント名を含む文字列です。 パターン マッチング構文を使用して、ユーザー名を指定できます。

接続要求ポリシーの設定

接続要求ポリシーの設定は、着信 RADIUS メッセージに適用されるプロパティのセットです。 設定は、次のプロパティのグループによって構成されています。

  • 認証
  • 会計
  • 属性の操作
  • 要求を転送する
  • 詳細設定

以下のセクションで、これらの設定についてさらに詳しく説明します。

認証

この設定を使用すると、すべてのネットワーク ポリシーで構成された認証設定をオーバーライドし、ネットワークへの接続に必要な認証の方法と種類を指定できます。

重要

ネットワーク ポリシーで構成する認証方法よりも安全性が低い、接続要求ポリシーでの認証方法を構成した場合、ネットワーク ポリシーで構成する安全性の高い認証方法が上書きされます。 たとえば、安全なワイヤレス通信のためのパスワード ベースの認証方法である PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol version 2) を使用するように構成されたネットワーク ポリシーがあり、さらに、認証されていないアクセスを許可するように接続要求ポリシーを構成すると、どのクライアントも PEAP-MS-CHAP v2 による認証が要求されないという結果になります。 この例では、ネットワークに接続するすべてのクライアントに対して認証されていないアクセスが許可されます。

会計

この設定を使用することで、アカウンティング情報を NPS またはリモート RADIUS サーバー グループの他の RADIUS サーバーに転送するように接続要求ポリシーを構成し、リモート RADIUS サーバー グループでアカウンティングを実行できます。

Note

複数の RADIUS サーバーが配置されており、すべてのサーバーのアカウンティング情報を 1 つの中心的な RADIUS アカウンティング データベースに保存する場合は、各 RADIUS サーバーのポリシーで接続要求ポリシーのアカウンティング設定を使用し、すべてのサーバーのアカウンティング情報を 1 つの NPS またはアカウンティング サーバーとして指定されている他の RADIUS サーバーに転送できます。

接続要求ポリシーのアカウンティング設定機能は、ローカルの NPS のアカウンティング構成には依存しません。 つまり、RADIUS アカウンティング情報をローカル ファイルまたは Microsoft SQL Server データベースに記録するようにローカルの NPS を構成すると、アカウンティング メッセージをリモート RADIUS サーバー グループに転送するように接続要求ポリシーを構成しているかどうかに関係なく、NPS は RADIUS アカウンティング情報をローカル ファイルまたは Microsoft SQL Server データベースに記録します。

アカウンティング情報をローカルではなくリモートで記録する場合は、アカウンティング データをリモート RADIUS サーバー グループに転送するように接続要求ポリシーのアカウンティングを構成すると同時に、ローカルの NPS でアカウンティングを実行しないように構成する必要があります。

属性の操作

次の属性の 1 つのテキスト文字列を操作する検索および置換規則のセットを構成できます。

  • [ユーザー名]
  • 被呼端末 ID
  • 起呼端末 ID

検索および置換の規則の処理は、RADIUS メッセージが認証およびアカウンティング設定で処理される前に上記の属性の 1 つに対して実行されます。 属性の操作規則は、1 つの属性にのみ適用されます。 属性ごとに属性の操作規則を構成することはできません。 また、操作に使用できる属性の一覧は静的であり、追加することはできません。

Note

MS-CHAP v2 認証プロトコルを使用する場合、接続要求ポリシーが RADIUS メッセージの転送に使用されるときは [ User-Name ] 属性は操作できません。 例外となるのは、円記号 () が使用されていて操作がその左側の情報にのみ実行される場合だけです。 円記号は通常、ドメイン名 (円記号の左側の情報) と、ドメイン内のユーザー アカウント名 (円記号の右側の情報) を指定するために使用します。 この場合、ドメイン名を変更または置き換える属性の操作規則のみが許可されます。

ユーザー名属性の領域名を操作する方法の例については、「NPS で正規表現を使用する」のトピックの「ユーザー名属性で領域名を扱う例」のセクションを参照してください。

要求を転送する

次の転送要求オプションを設定して RADIUS Access-Request メッセージに使用できます。

  • このサーバーで要求を認証する。 この設定を使用すると、NPS は Windows NT 4.0 ドメイン、Active Directory、またはローカルのセキュリティ アカウント マネージャー (SAM) のユーザー アカウント データベースを使用して、接続要求を認証します。 またこの設定は、NPS が接続要求を認証するために、NPS で構成されている一致ネットワーク ポリシーとユーザー アカウントのダイヤルイン プロパティを使用するように指定します。 この場合、NPS は RADIUS サーバーとして機能するように構成されます。

  • 次のリモート RADIUS サーバー グループに要求を転送して認証する。 この設定を使用すると、NPS は接続要求を指定のリモート RADIUS サーバー グループに転送します。 NPS が Access-Request メッセージに対応する有効な Access-Accept メッセージを受信すると、接続の試行は認証および認可されたものと見なされます。 この場合、NPS は RADIUS プロキシとして機能します。

  • 資格情報を確認せずにユーザーを受け入れる。 この設定を使用すると、NPS はネットワークへの接続を試みているユーザーの ID を確認せず、ユーザーまたはコンピューターがネットワークにアクセスする権限を持っているかどうかの確認も試みません。 認証されないアクセスを許可するように構成された NPS が接続要求を受信すると、NPS から RADIUS クライアントへ直ちに Access-Accept メッセージが送信され、ユーザーまたはコンピューターにネットワークへのアクセスが許可されます。 この設定は、ユーザーの資格情報が認証される前にアクセス クライアントがトンネル化される一部の強制トンネリングに使用されます。

Note

この認証オプションは、アクセス クライアントの認証プロトコルが相互認証を提供する MS-CHAP v2 または拡張認証プロトコル トランスポート層セキュリティ (EAP-TLS) の場合は使用できません。 相互認証では、アクセス クライアントは自身が有効なアクセス クライアントであることを認証サーバー (NPS) に証明し、認証サーバーは自身が有効な認証サーバーであることをアクセス クライアントに証明します。 この認証オプションが使用される場合は、Access-Accept メッセージが返されます。 ただし、認証サーバーは、アクセス クライアントに検証を提供せず、相互認証は失敗します。

正規表現を使用して、指定された領域名を持つ RADIUS メッセージをリモート RADIUS サーバー グループに転送するルーティング規則を作成する方法の例については、「NPS で正規表現を使用する」のトピックの「プロキシ サーバーによる RADIUS メッセージの転送の例」のセクションを参照してください。

詳細設定

詳細なプロパティを設定して、次のような一連の RADIUS 属性を指定できます。

  • NPS が RADIUS 認証またはアカウンティング サーバーとして使用される場合に RADIUS 応答メッセージに追加される属性。 ネットワーク ポリシーと接続要求ポリシーの両方に指定された属性がある場合、RADIUS 応答メッセージで送信される属性は 2 つの属性のセットの組み合わせです。
  • NPS が RADIUS 認証またはアカウンティング プロキシとして使用される場合に RADIUS メッセージに追加される属性。 転送されるメッセージに属性が既に存在する場合、接続要求ポリシーで指定された属性の値で置換されます。

さらに、接続要求ポリシーの [設定] タブの [詳細設定] で使用できる属性の一部では、特殊な機能が提供されます。 たとえば、2 つのユーザー アカウント データベース間の接続要求の認証および認可を分割する場合は、[Windows ユーザー マッピングへのリモート RADIUS] 属性を構成できます。

[Windows ユーザー マッピングへのリモート RADIUS] 属性は、リモート RADIUS サーバーによって認証されるユーザーに対して Windows 認可を行うように指定します。 つまり、リモート RADIUS サーバーは、リモートのユーザー アカウント データベース内のユーザー アカウントに対して認証を実行しますが、ローカルの NPS は、ローカルのユーザー アカウント データベース内のユーザー アカウントに対して接続要求を認可します。 これは、ゲスト ユーザーにネットワークへのアクセスを許可する場合に便利です。

たとえば、パートナー組織からのゲスト ユーザーは自身のパートナー組織の RADIUS サーバーで認証され、接続先の組織の Windows ユーザー アカウントを使用してネットワーク上のゲストのローカル エリア ネットワーク (LAN) にアクセスします。

特殊な機能を提供する属性はその他に次のようなものがあります。

  • MS-Quarantine-IPFilter および MS-Quarantine-Session-Timeout。 これらの属性は、ルーティングとリモート アクセス VPN の展開と共にネットワーク アクセス検疫制御 (NAQC) を展開する場合に使用されます。
  • Passport-User-Mapping-UPN-Suffix。 この属性を使用すると、Windows Live™ ID ユーザー アカウントの資格情報で接続要求を認証できます。
  • Tunnel-Tag。 この属性は、仮想ローカル エリア ネットワーク (VLAN) を展開する場合に NAS によって接続が割り当てられる VLAN ID 番号を指定します。

既定の接続要求ポリシー

NPS をインストールすると、既定の接続要求ポリシーが作成されます。 このポリシーは次のように構成された状態となります。

  • [ 認証 ] は構成されません。
  • [ アカウンティング ] はアカウンティング情報をリモート RADIUS サーバー グループに転送するように構成されません。
  • [ 属性 ] には、接続要求をリモート RADIUS サーバー グループに転送する属性の操作規則は構成されません。
  • [要求の転送] は接続要求がローカルの NPS で認証および認可されるように構成されます。
  • [ 詳細設定 ] 属性は構成されません。

既定の接続要求ポリシーは NPS を RADIUS サーバーとして使用します。 NPS サーバーが RADIUS プロキシとして機能するように構成するには、リモート RADIUS サーバー グループも構成する必要があります。 新しい接続要求ポリシー ウィザードを使用して、新しい接続要求ポリシーを作成するときに、新しいリモート RADIUS サーバー グループを作成できます。 既定の接続要求ポリシーを削除することも、順序指定されたポリシーの一覧の最後に置くことによって既定の接続要求ポリシーが NPS によって最後に処理されるポリシーであることを確認することもできます。

Note

NPS およびリモート アクセス サービスが同じコンピューターにインストールされていて、リモート アクセス サービスが Windows 認証およびアカウンティング用に構成されている場合、リモート アクセスの認証およびアカウンティング要求を RADIUS サーバーに転送できます。 これは、リモート アクセスの認証およびアカウンティング要求が、それらをリモート RADIUS サーバー グループに転送するように構成された接続要求ポリシーに一致する場合に行われます。