ネットワーク ポリシーを構成する

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

このトピックでは、NPS でネットワーク ポリシーを構成する方法について説明します。

ネットワーク ポリシーを追加する

ネットワーク ポリシー サーバー (NPS) では、ネットワーク ポリシーおよびユーザー アカウントのダイヤルイン プロパティを使用して、ネットワークに接続するための接続要求を認可するかどうかを判断します。

NPS コンソールまたはリモート アクセス コンソールで新しいネットワーク ポリシーを構成するには、次の手順に従います。

承認を実行する

NPS が接続要求の承認を実行するとき、要求を順序指定された一覧の各ネットワーク ポリシーと比較します。比較する順序は最初のポリシーから始まり、構成されたポリシーの一覧内の次のポリシーに移ります。 NPS で接続要求と条件が一致するポリシーが見つかった場合、NPS はその一致したポリシーとユーザー アカウントのダイヤルイン プロパティを使用して承認を実行します。 アクセスを許可する、またはネットワーク ポリシーを介してアクセスを制御し、接続要求を承認するようにユーザー アカウントのダイヤルイン プロパティが構成されている場合、NPS は、ネットワーク ポリシーで構成されている設定を接続に対して適用します。

NPS で接続要求と一致するネットワーク ポリシーが見つからない場合、ユーザー アカウントのダイヤルイン プロパティがアクセスを許可するように設定されていない限り、その接続要求は拒否されます。

ユーザー アカウントのダイヤルイン プロパティがアクセスを拒否するように設定されている場合、その接続要求は NPS によって拒否されます。

主要な設定

新しいネットワーク ポリシー ウィザードを使用してネットワーク ポリシーを作成する場合は、[ネットワーク接続の方法] に指定した値が、[ポリシーの種類] の条件を自動的に構成するために使用されます。

  • 既定の値である [未指定] をそのまま使用する場合、作成するネットワーク ポリシーは、あらゆる種類のネットワーク アクセス サーバー (NAS) を使用するすべての種類のネットワーク接続について、NPS によって評価されます。
  • ネットワーク接続方法を指定する場合、NPS は、指定した種類のネットワーク アクセス サーバーから接続要求が送信された場合にのみ評価します。

ユーザーがネットワークに接続することを許可するようにポリシーを設定する場合は、[アクセス許可] ページの [アクセスを許可する] を選択する必要があります。 ユーザーがネットワークに接続できないようにポリシーを設定する場合は、[アクセスを拒否する] を選択します。

Active Directory® Domain Services (AD DS) 内のユーザー アカウントのダイヤルイン プロパティでアクセス許可を判断するように設定する場合は、[ユーザー ダイヤルイン プロパティによってアクセスを判断する] チェック ボックスをオンにします。

この手順を完了するには、少なくとも、Domain Admins グループ、またはそれと同等の権限を持つグループのメンバである必要があります。

ネットワーク ポリシーを追加するには

  1. NPS コンソールを開いて、[ポリシー] をダブルクリックします。

  2. コンソール ツリーで、[ネットワーク ポリシー] を右クリックして、[新規] をクリックします。 新しいネットワーク ポリシー ウィザードが開きます。

  3. 新しいネットワーク ポリシー ウィザードを使用してポリシーを作成します。

ウィザードを使用してダイヤルアップまたは VPN 用のネットワーク ポリシーを作成する

ダイヤルアップ サーバーまたは仮想プライベート ネットワーク (VPN) サーバーを NPS RADIUS サーバーのリモート認証ダイヤルイン ユーザー サービス (RADIUS) クライアントとして展開するために必要な接続要求ポリシーおよびネットワーク ポリシーを作成するには、次の手順を使用します。

Note

ラップトップ コンピューターやクライアント オペレーティング システムを実行するその他のコンピューターなどのクライアント コンピューターは、RADIUS クライアントではありません。 RADIUS クライアントとは、ワイヤレス アクセス ポイント、802.1X 認証スイッチ、仮想プライベート ネットワーク (VPN) サーバー、ダイヤルアップ サーバーなどのネットワーク アクセス サーバーです。これらのデバイスは、RADIUS プロトコルを使用して、NPS などの RADIUS サーバーと通信します。

この手順では、NPS で新しいダイヤルアップ接続または仮想プライベート ネットワーク接続ウィザードを開く方法について説明します。

ウィザードを実行すると、次のポリシーが作成されます。

  • 1 つの接続要求ポリシー
  • 1 つのネットワーク ポリシー

必要なときはいつでも、新しいダイヤルアップ接続または仮想プライベート ネットワーク接続ウィザードを実行して、ダイヤルアップ サーバーと VPN サーバー用の新しいポリシーを作成できます。

ダイヤルアップ サーバーまたは VPN サーバーを NPS の RADIUS クライアントとして展開するのに必要な手順は、新しいダイヤルアップ接続または仮想プライベート ネットワーク接続ウィザードの実行だけではありません。 どちらのネットワーク アクセス方法でも、追加のハードウェアおよびソフトウェア コンポーネントの展開が必要です。

この手順を完了するには、少なくとも、Domain Admins グループ、またはそれと同等の権限を持つグループのメンバである必要があります。

ウィザードを使用してダイヤルアップまたは VPN 用のポリシーを作成するには

  1. NPS コンソールを開きます。 [NPS (ローカル)] が選択されていない場合は、クリックします。 リモート NPS にポリシーを作成する場合は、サーバーを選択します。

  2. [作業の開始] および [標準構成] で、[ダイヤルアップ接続または VPN 接続用の RADIUS サーバー] を選択します。 テキストとテキストの下にあるリンクは、選択内容を反映して変更されます。

  3. [ウィザードを使用して VPN またはダイヤルアップを構成する] をクリックします。 新しいダイヤルアップ接続または仮想プライベート ネットワーク接続ウィザードが表示されます。

  4. ウィザードの指示に従って、新しいポリシーの作成を完了します。

ウィザードを使用して 802.1X ワイヤードまたは 802.1X ワイヤレスのネットワーク ポリシーを作成する

NPS RADIUS サーバーのリモート認証ダイヤルイン ユーザー サービス (RADIUS) クライアントとして 802.1X 認証スイッチまたは 802.1X ワイヤレス アクセス ポイントを展開するために必要な接続要求ポリシーおよびネットワーク ポリシーを作成するには、次の手順を使用します。

次の手順では、NPS でセキュリティで保護された新しい IEEE 802.1X ワイヤードおよびワイヤレス接続ウィザードを開始する方法について説明します。

ウィザードを実行すると、次のポリシーが作成されます。

  • 1 つの接続要求ポリシー
  • 1 つのネットワーク ポリシー

新しい IEEE 802.1X ワイヤードおよびワイヤレス接続ウィザードは、802.1 アクセスの新しいポリシーの作成が必要になるたびに実行できます。

802.1X 認証スイッチと 802.1X ワイヤレス アクセス ポイントを NPS の RADIUS クライアントとして展開するために必要な手順は、セキュリティで保護された新しい IEEE 802.1X ワイヤードおよびワイヤレス接続ウィザードの実行だけではありません。 どちらのネットワーク アクセス方法でも、追加のハードウェアおよびソフトウェア コンポーネントの展開が必要です。

この手順を完了するには、少なくとも、Domain Admins グループ、またはそれと同等の権限を持つグループのメンバである必要があります。

ウィザードを使用して 802.1X ワイヤード (有線) または 802.1X ワイヤレス (無線) のポリシーを作成するには

  1. NPS のサーバー マネージャーで、[ツール] をクリックし、[ネットワーク ポリシー サーバー] をクリックします。 NPS コンソールが開きます。

  2. [NPS (ローカル)] が選択されていない場合は、クリックします。 リモート NPS にポリシーを作成する場合は、サーバーを選択します。

  3. [作業の開始] および [標準構成] で、[802.1X ワイヤレス接続またはワイヤード (有線) 接続用の RADIUS サーバー] を選択します。 テキストとテキストの下にあるリンクは、選択内容を反映して変更されます。

  4. [ウィザードを使用して 802.1X を構成する] をクリックします。 新しい IEEE 802.1X ワイヤードおよびワイヤレス接続ウィザードが表示されます。

  5. ウィザードの指示に従って、新しいポリシーの作成を完了します。

ユーザー アカウントのダイヤルイン プロパティを無視するように NPS を構成する

認可処理中に Active Directory のユーザー アカウントのダイヤルイン プロパティを無視するように NPS ネットワーク ポリシーを構成するには、次の手順を使用します。 [Active Directory ユーザーとコンピューター] のユーザー アカウントには、認可処理中に NPS によって評価されるダイヤルイン プロパティがあります。ただし、ユーザー アカウントの [リモート アクセス許可] プロパティが、[NPS ネットワーク ポリシーでアクセスを制御] に設定されている場合は評価されません。

Active Directory のユーザー アカウントのダイヤルイン プロパティを無視するように NPS を構成する状況としては、次の 2 つがあります。

  • ネットワーク ポリシーを使用して NPS の認可を簡略化するが、すべてのユーザー アカウントの[リモート アクセス許可] プロパティが [NPS ネットワーク ポリシーでアクセスを制御] に設定されているわけではない場合。 たとえば、一部のユーザー アカウントでは、[リモート アクセス許可] プロパティが [アクセスを拒否] または [アクセスを許可] に設定されている場合があります。

  • ユーザー アカウントの他のダイヤルイン プロパティが、ネットワーク ポリシーで構成されている接続の種類に適用できない場合。 たとえば、[リモートアクセス許可] の設定以外のプロパティは、ダイヤルイン接続または VPN 接続にのみ適用されますが、作成しているネットワーク ポリシーはワイヤレス接続または認証スイッチ接続用である場合です。

ユーザー アカウントのダイヤルイン プロパティを無視するように NPS を構成するには、次の手順を使用します。 このチェック ボックスがオンになっているネットワーク ポリシーと接続要求が一致する場合、NPS ではユーザーまたはコンピューターがネットワークにアクセスすることを認可されているかどうかを判断するために、ユーザー アカウントのダイヤルイン プロパティを使用しません。認可を判断するために使用されるのは、ネットワーク ポリシーの設定のみです。

Administrators、またはそれと同等のメンバーシップが、この手順を実行するために最低限必要なメンバーシップです。

  1. NPS のサーバー マネージャーで、[ツール] をクリックし、[ネットワーク ポリシー サーバー] をクリックします。 NPS コンソールが開きます。

  2. [ポリシー] をダブルクリックし、[ネットワーク ポリシー] をクリックして、構成するポリシーを詳細ペインでダブルクリックします。

  3. ポリシーの [プロパティ] ダイアログ ボックスの [概要] タブで、[アクセス許可][ユーザー アカウントのダイヤルイン プロパティを無視する] チェック ボックスをオンにして、[OK] をクリックします。

ユーザー アカウントのダイヤルイン プロパティを無視するように NPS を構成するには

VLAN 用に NPS を構成する

Windows Server 2016 で VLAN 対応のネットワーク アクセス サーバーと NPS を使用することにより、ユーザーのグループに、セキュリティ アクセス許可に適したネットワーク リソースへのアクセスのみを提供できます。 たとえば、訪問者に組織のネットワークへのアクセスを許可せずに、インターネットへのワイヤレス アクセスを提供することができます。

さらに、VLAN を使用すると、異なる物理的な場所または異なる物理サブネットに存在するネットワーク リソースを論理的にグループ化することができます。 たとえば、営業部門のメンバーとそのネットワーク リソース (クライアント コンピューター、サーバー、プリンターなど) が組織のいくつかの異なる建物に配置されている場合がありますが、これらのすべてのリソースを同じ IP アドレスの範囲を使用する 1 つの VLAN に配置できます。 その場合、エンド ユーザーの観点では、VLAN は単一のサブネットとして機能します。

異なるユーザー グループ間でネットワークを分離する場合は、VLAN を使用することもできます。 グループを定義する方法を決定したら、Active Directory ユーザーとコンピューター スナップインでセキュリティ グループを作成し、そのグループにメンバーを追加することができます。

VLAN のネットワーク ポリシーを構成する

ユーザーを VLAN に割り当てるネットワーク ポリシーを構成するには、次の手順を使用します。 ルーター、スイッチ、アクセス コントローラーなどの VLAN 対応のネットワーク ハードウェアを使用する場合、特定の Active Directory グループのメンバーを特定の VLAN に配置するようにアクセス サーバーに指示するようにネットワーク ポリシーに構成できます。 ネットワーク リソースを VLAN で論理的にグループ化するこの機能により、ネットワーク ソリューションを設計および実装する際の柔軟性が向上します。

VLAN で使用する NPS ネットワーク ポリシーの設定を構成する場合は、Tunnel-Medium-TypeTunnel-Pvt-Group-IDTunnel-TypeTunnel-Tag 属性を構成する必要があります。

この手順はガイドラインとして提供されており、実際のネットワーク構成では、以下で説明する設定とは異なる設定が必要になる場合があります。

Administrators、またはそれと同等のメンバーシップが、この手順を実行するために最低限必要なメンバーシップです。

VLAN のネットワーク ポリシーを構成するには

  1. NPS のサーバー マネージャーで、[ツール] をクリックし、[ネットワーク ポリシー サーバー] をクリックします。 NPS コンソールが開きます。

  2. [ポリシー] をダブルクリックし、[ネットワーク ポリシー] をクリックして、構成するポリシーを詳細ペインでダブルクリックします。

  3. ポリシーの [プロパティ] ダイアログ ボックスの [設定] タブをクリックします。

  4. ポリシーの [プロパティ][設定] で、[RADIUS 属性][標準] が選択されていることを確認します。

  5. 詳細ペインの [属性] では、[Service-Type] 属性が既定値の [Framed] で構成されます。 既定では、VPN およびダイヤルアップのアクセス方法を持つポリシーの場合、[Framed-Protocol] 属性の値は [PPP] で構成されます。 VLAN に必要な追加の接続属性を指定するには、[追加] をクリックします。 [標準 RADIUS 属性の追加] ダイアログ ボックスが開きます。

  6. [標準 RADIUS 属性の追加] の [属性] で下にスクロールし、次の属性を追加します。

    • Tunnel-Medium-Type: ポリシーで前に行った選択に適した値を選択します。 たとえば、構成しているネットワーク ポリシーがワイヤレス ポリシーの場合は、[値: 802 (すべての 802 メディアとイーサネット標準形式を含む)] を選択します。

    • Tunnel-Pvt-Group-ID: VLAN 番号を表す整数を入力し、どのグループにメンバーを割り当てるかを指定します。

    • Tunnel-Type: [仮想 LAN (VLAN)] を選択します。

  7. [標準 RADIUS 属性の追加] で、[閉じる] をクリックします。

  8. ネットワーク アクセス サーバー (NAS) で Tunnel-Tag 属性を使用する必要がある場合は、次の手順を使用して、ネットワーク ポリシーに Tunnel-Tag 属性を追加します。 この属性が NAS のドキュメントに記載されていない場合は、ポリシーに追加しないでください。 必要に応じて、次のように属性を追加します。

    • ポリシーの [プロパティ][設定][RADIUS 属性] で、[ベンダー固有] をクリックします。

    • 詳細ペインで [追加] をクリックします。 [ベンダー固有の属性の追加] ダイアログ ボックスが開きます。

    • [属性] で、下へスクロールして [Tunnel-Tag] を選択し、[追加] をクリックします。 [属性の情報] ダイアログ ボックスが開きます。

    • [属性値] に、ハードウェアのドキュメントから取得した値を入力します。

EAP ペイロードのサイズを構成する

フラグメンテーションが必要なパケットを破棄するように構成されているために、ルーターまたはファイアウォールでパケットが破棄される場合があります。

認証方法として拡張認証プロトコル (EAP) とトランスポート層セキュリティ (TLS) (EAP-TLS) を使用するネットワーク ポリシーを持つ NPS を展開する場合、NPS で EAP ペイロードに使用される既定の最大転送単位 (MTU) は 1500 バイトです。

この最大サイズの EAP ペイロードでは、NPS と RADIUS クライアントの間のルーターまたはファイアウォールによるフラグメンテーションが必要となる RADIUS メッセージが作成される場合があります。 この場合、RADIUS クライアントと NPS の間に配置されているルーターまたはファイアウォールで、一部のフラグメントが暗黙的に破棄されることがあります。これにより、認証が失敗し、アクセス クライアントがネットワークに接続できなくなります。

ネットワーク ポリシーの Framed-MTU 属性を 1344 以下の値に調整することで、NPS で EAP ペイロードに使用される最大サイズを小さくするには、次の手順を使用します。

Administrators、またはそれと同等のメンバーシップが、この手順を実行するために最低限必要なメンバーシップです。

Framed-MTU 属性を構成するには

  1. NPS のサーバー マネージャーで、[ツール] をクリックし、[ネットワーク ポリシー サーバー] をクリックします。 NPS コンソールが開きます。

  2. [ポリシー] をダブルクリックし、[ネットワーク ポリシー] をクリックして、構成するポリシーを詳細ペインでダブルクリックします。

  3. ポリシーの [プロパティ] ダイアログ ボックスの [設定] タブをクリックします。

  4. [設定][RADIUS 属性] で、[標準] をクリックします。 詳細ペインで [追加] をクリックします。 [標準 RADIUS 属性の追加] ダイアログ ボックスが開きます。

  5. [属性] で、下へスクロールして [Framed-MTU] をクリックし、[追加] をクリックします。 [属性の情報] ダイアログ ボックスが開きます。

  6. [属性値]1344 以下の値を入力します。 [OK] をクリックして [閉じる] をクリックし、[OK] をクリックします。

ネットワーク ポリシーの詳細については、「ネットワーク ポリシー」を参照してください。

ネットワーク ポリシー属性を指定するパターン一致構文の例については、「NPS で正規表現を使用する」を参照してください。

NPS の詳細については、「ネットワーク ポリシー サーバー (NPS)」を参照してください。