手順 7.Step 7. OptionalAzure AD を使用した VPN 接続の条件付きアクセス(Optional) Conditional access for VPN connectivity using Azure AD

この省略可能な手順では、 Azure Active Directory (Azure AD) 条件付きアクセスを使用して、VPN ユーザーがリソースにアクセスする方法を微調整できます。In this optional step, you can fine-tune how VPN users access your resources using Azure Active Directory (Azure AD) conditional access. 仮想プライベートネットワーク (VPN) 接続の条件付きアクセスを使用する Azure AD と、VPN 接続を保護することができます。With Azure AD conditional access for virtual private network (VPN) connectivity, you can help protect the VPN connections. 条件付きアクセスはポリシー ベースの評価エンジンであり、これを利用することで、Azure Active Directory (Azure AD) に接続されるアプリケーションのアクセス規則を作成できます。Conditional Access is a policy-based evaluation engine that lets you create access rules for any Azure Active Directory (Azure AD) connected application.

前提条件Prerequisites

次のトピックについて理解している必要があります。You are familiar with the following topics:

VPN 接続用に Azure Active Directory 条件付きアクセスを構成するには、次の構成を行う必要があります。To configure Azure Active Directory conditional access for VPN connectivity, you need to have the following configured:

手順 7.1.証明書失効リスト (CRL) チェックを無視するように EAP-TLS を構成するStep 7.1. Configure EAP-TLS to ignore Certificate Revocation List (CRL) checking

この手順では、 Ignorenorevocationcheckを追加し、証明書に CRL 配布ポイントが含まれていない場合にクライアントの認証を許可するように設定できます。In this step, you can add IgnoreNoRevocationCheck and set it to allow authentication of clients when the certificate does not include CRL distribution points. 既定では、IgnoreNoRevocationCheck は 0 (無効) に設定されています。By default, IgnoreNoRevocationCheck is set to 0 (disabled).

EAP-TLS クライアントは、NPS サーバーが証明書チェーン (ルート証明書を含む) の失効確認を完了しない限り、接続できません。An EAP-TLS client cannot connect unless the NPS server completes a revocation check of the certificate chain (including the root certificate). Azure AD によってユーザーに発行されたクラウド証明書には CRL がありません。有効期間が1時間の有効期間が短い証明書であるためです。Cloud certificates issued to the user by Azure AD do not have a CRL because they are short-lived certificates with a lifetime of one hour. CRL の存在を無視するように NPS の EAP を構成する必要があります。EAP on NPS needs to be configured to ignore the absence of a CRL. 認証方法は EAP-TLS であるため、このレジストリ値はEap/13の下でのみ必要です。Since the authentication method is EAP-TLS, this registry value is only needed under EAP\13. 他の EAP 認証方法が使用されている場合は、その下にレジストリ値も追加する必要があります。If other EAP authentication methods are used, then the registry value should be added under those as well.

手順 7.2.Azure AD を使用した VPN 認証用のルート証明書の作成Step 7.2. Create root certificates for VPN authentication with Azure AD

この手順では、Azure AD で VPN 認証用のルート証明書を構成します。これにより、VPN サーバークラウドアプリがテナントに自動的に作成されます。In this step, you configure root certificates for VPN authentication with Azure AD, which automatically creates a VPN server cloud app in the tenant.

VPN 接続の条件付きアクセスを構成するには、次のことを行う必要があります。To configure conditional access for VPN connectivity, you need to:

  1. Azure portal に VPN 証明書を作成します。Create a VPN certificate in the Azure portal.
  2. VPN 証明書をダウンロードします。Download the VPN certificate.
  3. 証明書を VPN サーバーに展開します。Deploy the certificate to your VPN server.

重要

Azure portal に VPN 証明書が作成されると、Azure AD は短時間の証明書を VPN クライアントに発行するためにすぐに使用を開始します。Once a VPN certificate is created in the Azure portal, Azure AD will start using it immediately to issue short lived certificates to the VPN client. Vpn クライアントの資格情報の検証に関する問題を回避するために、vpn 証明書を VPN サーバーに直ちに展開することが重要です。It is critical that the VPN certificate be deployed immediately to the VPN server to avoid any issues with credential validation of the VPN client.

手順 7.3.条件付きアクセスポリシーを構成するStep 7.3. Configure the Conditional Access policy

この手順では、VPN 接続の条件付きアクセスポリシーを構成します。In this step, you configure the conditional access policy for VPN connectivity.

条件付きアクセスポリシーを構成するには、次のことを行う必要があります。To configure the conditional access policy, you need to:

  1. VPN ユーザーに割り当てられた条件付きアクセスポリシーを作成します。Create a Conditional Access policy that is assigned to VPN users.
  2. クラウドアプリをVPN サーバーに設定します。Set the Cloud app to VPN Server.
  3. Multi-factor authentication を要求するように許可 (アクセス制御) を設定します。Set the Grant (access control) to Require multi-factor authentication. 必要に応じて、他のコントロールを使用できます。You can use other controls as necessary.

手順 7.4.条件付きアクセスルート証明書をオンプレミスの AD にデプロイするStep 7.4. Deploy conditional access root certificates to on-premises AD

この手順では、オンプレミスの AD に VPN 認証用の信頼されたルート証明書をデプロイします。In this step, you deploy a trusted root certificate for VPN authentication to your on-premises AD.

信頼されたルート証明書を展開するには、次のことを行う必要があります。To deploy the trusted root certificate, you need to:

  1. ダウンロードした証明書をVPN 認証用の信頼されたルート CAとして追加します。Add the downloaded certificate as a trusted root CA for VPN authentication.
  2. ルート証明書を VPN サーバーおよび VPN クライアントにインポートします。Import the root certificate to the VPN server and VPN client.
  3. 証明書が存在し、信頼済みとして表示されていることを確認します。Verify that the certificates are present and show as trusted.

手順 7.5.Windows 10 デバイスに OMA-URI ベースの VPNv2 プロファイルを作成するStep 7.5. Create OMA-DM based VPNv2 Profiles to Windows 10 devices

この手順では、Intune を使用して OMA-URI ベースの VPNv2 プロファイルを作成し、VPN デバイス構成ポリシーを展開することができます。In this step, you can create OMA-DM based VPNv2 profiles using Intune to deploy a VPN Device Configuration policy. VPNv2 プロファイルを作成するために SCCM または PowerShell スクリプトを使用する場合、詳細については、 VPNV2 CSP 設定を参照してください。If you want to use SCCM or PowerShell Script to create VPNv2 profiles, see VPNv2 CSP settings for more details.

次のステップNext steps

手順 7.1.証明書失効リスト (CRL) の確認を無視するように EAP-TLS を構成する: この手順では、 Ignorenorevocationcheckを追加し、証明書に CRL 配布ポイントが含まれていない場合にクライアントの認証を許可するように設定する必要があります。Step 7.1. Configure EAP-TLS to ignore Certificate Revocation List (CRL) checking: In this step, you must add IgnoreNoRevocationCheck and set it to allow authentication of clients when the certificate does not include CRL distribution points. 既定では、IgnoreNoRevocationCheck は 0 (無効) に設定されています。By default, IgnoreNoRevocationCheck is set to 0 (disabled).

  • VPNv2 プロファイルを構成する: VPN クライアントは、クラウドベースの条件付きアクセスプラットフォームと統合して、リモートクライアントのデバイスコンプライアンスオプションを提供できるようになりました。Configure VPNv2 Profiles: The VPN client is now able to integrate with the cloud-based Conditional Access Platform to provide a device compliance option for remote clients. この手順では、 <DeviceCompliance > <有効 > true<有効になっている > を使用して、VPNv2 プロファイルを構成します。In this step, you configure the VPNv2 profiles with <DeviceCompliance> <Enabled>true</Enabled>.

  • Windows 10 での自動 vpn プロファイルを使用したリモートアクセスの強化: MICROSOFT が VPN 接続の条件付きアクセスを実装する方法について説明します。Enhancing remote access in Windows 10 with an automatic VPN profile: Learn how Microsoft implements Conditional Access for VPN connectivity. VPN プロファイルには、サポートされている認証方法や、デバイスが接続する必要のある VPN サーバーなど、企業ネットワークに接続するためにデバイスが必要とするすべての情報が含まれます。VPN profiles contain all the information a device requires to connect to the corporate network, including the authentication methods that are supported and the VPN server that the device should connect to. Windows 10 の記念日更新プログラム (条件付きアクセスやシングルサインオンを含む) の変更により、Always On VPN 接続プロファイルを作成できるようになりました。Changes in Windows 10 Anniversary Update, including Conditional Access and single sign-on, made it possible for us to create our Always-On VPN connection profile. System Center Configuration Manager コンソールを使用して、ドメインに参加し、Microsoft Intune 管理されたデバイスの接続プロファイルを作成しました。We created the connection profile for domain-joined and Microsoft Intune–managed devices using System Center Configuration Manager console.

  • Azure Active Directory での条件付きアクセス: セキュリティは、クラウドを使用している組織にとって最も重要な課題です。Conditional access in Azure Active Directory: Security is a top concern for organizations using the cloud. クラウドセキュリティの重要な側面は、クラウドリソースの管理に関して、id とアクセスです。A key aspect of cloud security is identity and access when it comes to managing your cloud resources. モバイルファースト、クラウドファーストの世界では、ユーザーはどこからでもさまざまなデバイスやアプリを使用して組織のリソースにアクセスできます。In a mobile-first, cloud-first world, users can access your organization's resources using a variety of devices and apps from anywhere. その結果、リソースにアクセスできるユーザーだけでは不十分です。As a result of this, just focusing on who can access a resource is not sufficient anymore. セキュリティと生産性のバランスを習得するために、IT プロフェッショナルは、アクセス制御の決定にリソースがどのようにアクセスされるかを考慮する必要もあります。In order to master the balance between security and productivity, IT professionals also need to factor how a resource is being accessed into an access control decision.

  • Vpn と条件付きアクセス: vpn クライアントは、クラウドベースの条件付きアクセスプラットフォームと統合して、リモートクライアントのデバイスコンプライアンスオプションを提供できるようになりました。VPN and conditional access: The VPN client is now able to integrate with the cloud-based Conditional Access Platform to provide a device compliance option for remote clients. 条件付きアクセスはポリシー ベースの評価エンジンであり、これを利用することで、Azure Active Directory (Azure AD) に接続されるアプリケーションのアクセス規則を作成できます。Conditional Access is a policy-based evaluation engine that lets you create access rules for any Azure Active Directory (Azure AD) connected application.