アクセス許可Access Permission

適用先:Windows Server (半期チャネル)、Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

アクセス許可は、ネットワークポリシーサーバー (NPS) の各ネットワークポリシーの [ 概要 ] タブで構成します。Access permission is configured on the Overview tab of each network policy in Network Policy Server (NPS).

この設定では、ネットワークポリシーの条件と制約が接続要求に一致した場合に、ユーザーへのアクセスを許可または拒否するポリシーを構成できます。This setting allows you to configure the policy to either grant or deny access to users if the conditions and constraints of the network policy are matched by the connection request.

アクセス許可設定には、次の役割があります。Access permission settings have the following effect:

  • アクセス権を付与 します。Grant access. アクセスは、接続要求がポリシーで構成された条件および制限と一致した場合に許可されます。Access is granted if the connection request matches the conditions and constraints that are configured in the policy.
  • アクセスを拒否 します。Deny access. アクセスは、接続要求がポリシーで構成された条件および制限と一致した場合に拒否されます。Access is denied if the connection request matches the conditions and constraints that are configured in the policy.

アクセス許可は、各ユーザーアカウントのダイヤルインプロパティの構成に基づいても許可または拒否されます。Access permission is also granted or denied based on your configuration of the dial-in properties of each user account.

注意

ダイヤルインプロパティなどのユーザーアカウントとそのプロパティは、 ( ) Active Directory ® ドメインサービス (AD DS) がインストールされているかどうかに応じて、[Active Directory ユーザーとコンピューター] または [ローカルユーザーとグループ] Microsoft 管理コンソール MMC スナップインのいずれかで構成されます。User accounts and their properties, such as dial-in properties, are configured in either the Active Directory Users and Computers or the Local Users and Groups Microsoft Management Console (MMC) snap-in, depending on whether you have Active Directory® Domain Services (AD DS) installed.

ユーザーアカウントのダイヤルインプロパティで構成されているユーザーアカウント設定の ネットワークアクセス許可 は、ネットワークポリシーのアクセス許可の設定よりも優先されます。The user account setting Network Access Permission, which is configured on the dial-in properties of user accounts, overrides the network policy access permission setting. ユーザーアカウントに対するネットワークアクセス許可が [ NPS ネットワーク経由でアクセスを制御 する] オプションに設定されている場合、ネットワークポリシーアクセス許可の設定によって、ユーザーにアクセスを許可するか拒否するかが決まります。When network access permission on a user account is set to the Control access through NPS Network Policy option, the network policy access permission setting determines whether the user is granted or denied access.

注意

Windows Server 2016 では、AD DS ユーザーアカウントのダイヤルインプロパティでの ネットワークアクセス許可 の既定値は、 NPS ネットワークポリシーを介したアクセスを制御 します。In Windows Server 2016, the default value of Network Access Permission in AD DS user account dial-in properties is Control access through NPS Network Policy.

NPS が、構成されたネットワークポリシーに対して接続要求を評価するときに、次の操作を実行します。When NPS evaluates connection requests against configured network policies, it performs the following actions:

  • 最初のポリシーの条件が一致しない場合、NPS は次のポリシーを評価します。条件が一致するポリシーが見つかるか、またはすべてのポリシーに対して一致の可否が評価されるまで、この処理が継続されます。If the conditions of the first policy are not matched, NPS evaluates the next policy, and continues this process until either a match is found or all policies have been evaluated for a match.
  • ポリシーの条件と制約が一致した場合、NPS は、ポリシーの [アクセス許可] 設定の値に応じて、アクセスを許可または拒否します。If the conditions and constraints of a policy are matched, NPS either grants or denies access, depending on the value of the Access Permission setting in the policy.
  • ポリシーの条件が一致するが、ポリシーの制限が一致しない場合、NPS は接続要求を拒否します。If the conditions of a policy match but the constraints in the policy do not match, NPS rejects the connection request.
  • すべてのポリシーの条件が一致しない場合、NPS は接続要求を拒否します。If the conditions of all policies do not match, NPS rejects the connection request.

ユーザー アカウントのダイヤルイン プロパティを無視するIgnore user account dial-in properties

ネットワークポリシーの [概要] タブにある [ユーザーアカウントのダイヤルインプロパティを無視 する] チェックボックスをオンまたはオフにすることで、ユーザーアカウントのダイヤルインプロパティを無視するように NPS ネットワークポリシーを構成できます。You can configure NPS network policy to ignore the dial-in properties of user accounts by selecting or clearing the Ignore user account dial-in properties check box on the Overview tab of a network policy.

通常 NPS では、接続要求の承認時に、ユーザー アカウントのダイヤルイン プロパティが確認されます。ネットワークへのユーザーの接続を承認するかどうかが判断される際、このダイヤルイン プロパティの設定にネットワーク アクセス許可設定の値が影響を与える可能性があります。Normally when NPS performs authorization of a connection request, it checks the dial-in properties of the user account, where the network access permission setting value can affect whether the user is authorized to connect to the network. 承認時にユーザー アカウントのダイヤルイン プロパティを無視するように NPS を構成した場合、ネットワーク ポリシー設定によってネットワークへのユーザーのアクセスを許可するかどうかが判断されます。When you configure NPS to ignore the dial-in properties of user accounts during authorization, network policy settings determine whether the user is granted access to the network.

ユーザー アカウントのダイヤルイン プロパティには、次の情報が含まれます。The dial-in properties of user accounts contain the following:

  • ネットワーク アクセス許可Network access permission
  • 発信者 IDCaller-ID
  • コールバック オプションCallback options
  • 静的 IP アドレスStatic IP address
  • 静的ルートStatic routes

NPS が認証および承認を提供する複数の種類の接続をサポートするには、ユーザー アカウントのダイヤルイン プロパティの処理を無効にする必要がある場合があります。To support multiple types of connections for which NPS provides authentication and authorization, it might be necessary to disable the processing of user account dial-in properties. これは、特定のダイヤルイン プロパティが必要ないシナリオをサポートするために実施されることがあります。This can be done to support scenarios in which specific dial-in properties are not required.

たとえば、発信者 ID、コールバック、静的 IP アドレス、および静的ルートの各プロパティは、 ( ) ワイヤレスアクセスポイントに接続しているクライアントではなく、ネットワークアクセスサーバーの NAS にダイヤルするクライアント向けに設計されています。For example, the caller-ID, callback, static IP address, and static routes properties are designed for a client that is dialing into a network access server (NAS), not for clients that are connecting to wireless access points. NPS から RADIUS メッセージでこれらの設定を受信するワイヤレスアクセスポイントは、これらの設定を処理できない可能性があります。これにより、ワイヤレスクライアントが切断される可能性があります。A wireless access point that receives these settings in a RADIUS message from NPS might not be able to process them, which can cause the wireless client to be disconnected.

ワイヤレスアクセスポイントを介して組織のネットワークにダイヤルインしてアクセスするユーザーに対して認証と承認を行う場合、ダイヤルインプロパティを設定しないでダイヤルインプロパティ ( またはワイヤレス接続を設定することによって、ダイヤルイン接続をサポートするようにダイヤルインプロパティを構成する必要があり ) ( ) ます。When NPS provides authentication and authorization for users who are both dialing in and accessing your organization network through wireless access points, you must configure the dial-in properties to support either dial-in connections (by setting dial-in properties) or wireless connections (by not setting dial-in properties).

NPS を使用すると、ダイヤルインなどの一部のシナリオでユーザーアカウントのダイヤルインプロパティの処理を有効に ( ) したり、 ( 802.1 x ワイヤレスや認証スイッチなどの他のシナリオでダイヤルインプロパティの処理を無効にしたりでき ) ます。You can use NPS to enable dial-in properties processing for the user account in some scenarios (such as dial-in) and to disable dial-in properties processing in other scenarios (such as 802.1X wireless and authenticating switch).

また、[ ユーザーアカウントのダイヤルインプロパティを無視 する] を使用して、グループおよびネットワークポリシーの [アクセス許可] 設定を使用してネットワークアクセス制御を管理することもできます。You can also use Ignore user account dial-in properties to manage network access control through groups and the access permission setting on the network policy. [ ユーザーアカウントのダイヤルインプロパティを無視 する] チェックボックスをオンにすると、ユーザーアカウントのネットワークアクセス許可は無視されます。When you select the Ignore user account dial-in properties check box, network access permission on the user account is ignored.

この構成の唯一の欠点は、発信者 ID、コールバック、静的 IP アドレス、および静的ルータの追加のユーザー アカウントのダイヤルイン プロパティを使用できないことです。The only disadvantage to this configuration is that you cannot use the additional user account dial-in properties of caller-ID, callback, static IP address, and static routes.

NPS の詳細については、「 ネットワークポリシーサーバー (nps)」を参照してください。For more information about NPS, see Network Policy Server (NPS).