NPS拡張機能とAzureADを使用したRDゲートウェイインフラストラクチャの統合の「追加設定」

この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

はじめに

今回はテーマの通り、NPS拡張機能とAzureADを使用した

RDゲートウェイインフラストラクチャの統合の追加設定となります。

 

内容としては、「MFA有効と無効なユーザーに分けて認証する」ことになります。

 

基本設定は以下MSドキュメントを参考にして設定お願いします。

https://learn.microsoft.com/ja-jp/azure/active-directory/authentication/howto-mfa-nps-extension-rdg#install-the-nps-extension

 

MFA有効と無効なユーザーに分けて認証する

お客様ニーズにより、RDゲートウェイサーバー経由を必須とし、MFA有効なユーザーと無効なユーザーに分けて認証する場面が出てきます。

Microsoft 社のサポートからは、RDゲートウェイサーバー1台とNPSサーバー2台で実現可能と問い合わせから回答がありましたが、

今回はRDゲートウェイサーバー2台とNPSサーバー1台で実現可能な方法について紹介します。

MSドキュメントの通りに設定後、MFA無効ユーザーが通るRDゲートウェイサーバーのみ追加設定必要となります。

 

 

<MFA無効ユーザーが通るRDゲートウェイサーバーの追加設定>
1.「RDゲートウェイマネージャー」を開き、「ポリシー」を右クリック
2.「新しい承認ポリシーの作成」を選択


3.「RD CAPとRD RAPを作成する」を選択後、「次へ」を選択


4. 任意の名前を入力後、「次へ」を選択


5. ユーザーグループの「グループ追加」を選択後、MFA無効ユーザーグループを追加して「次へ」を選択


6. タイムアウト設定画面が表示されたら要求に合わせてチェックして「次へ」を選択


7.「次へ」を選択


8.「ユーザーによる任意のネットワークリソースへの接続を許可する」を選択


9.「次へ」を2回選択後、「閉じる」を選択

10.「サーバーマネージャー」から「ネットワークポリシーサーバー」を開く

11.「ポリシー」を展開し、「接続要求ポリシー」を選択

12.「TS GATEWAY AUTHORIZATION POLICY」タブをクリック


13.「設定」タブを選択後、「認証」を選択

14.「このサーバーで要求を認証する」にチェックして「OK」を選択

15.「ネットワークポリシー」を選択後、「他のアクセスサーバーへの接続」を右クリック

16.「ポリシー複製」を選択後、複製されたポリシーを開く

17.「ポリシー名」を任意に変更し、「ポリシーを有効にする」にチェック

18.「アクセスを許可する。接続要求がこのポリシーに一致する場合、アクセスを許可します」にチェック

19.「ネットワークアクセスサーバーの種類」から「リモートデスクトップゲートウェイ」を選択

20.「条件」タブを選択後、「追加」を選択してMFA無効ユーザーグループを追加

21.「制約」タブを選択後、「認証方法」にある「認証方法をネゴシエートせずにクライアントに接続を許可する」にチェック

22.「OK」を選択

23. 最後にポリシーの順序を「1」に変更

【補足】RDゲートウェイサーバー2台はドメイン参加とサーバーファーム構成が必要です。

 

以上となります。

いいね (←参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルクロステクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください