多要素認証用の NPS 拡張機能の詳細な構成オプション

ネットワーク ポリシー サーバー (NPS) 拡張機能は、クラウドベースの Microsoft Entra 多要素認証機能をオンプレミス インフラストラクチャに拡張します。 この記事では、拡張機能が既にインストールされており、ニーズに合わせて拡張機能をカスタマイズする方法を知りたいことを前提としています。

代替ログインID

NPS 拡張機能はオンプレミスとクラウドの両方のディレクトリに接続するため、オンプレミスのユーザー プリンシパル名 (UPN) がクラウド内の名前と一致しないという問題が発生する可能性があります。 この問題を解決するには、代替サインイン ID を使用します。

NPS 拡張機能内で、Microsoft Entra 多要素認証の UPN として使用する Active Directory 属性を指定できます。 これにより、オンプレミスの UPN を変更することなく、2 段階認証でオンプレミスのリソースを保護できます。

代替サインイン ID を構成するには、HKLM\SOFTWARE\Microsoft\AzureMfa に移動し、次のレジストリ値を編集します。

名前	Type	既定値	説明
LDAP_ALTERNATE_LOGINID_ATTRIBUTE	糸	空っぽ	UPN として使用する Active Directory 属性の名前を指定します。 この属性は AlternateLoginId 属性として使用されます。 このレジストリ値が有効な Active Directory 属性 (mail や displayName など) に設定されている場合、属性の値は認証にユーザーの UPN として使用されます。 このレジストリ値が空であるか、構成されていない場合、AlternateLoginId は無効になり、ユーザーの UPN が認証に使用されます。
LDAP_FORCE_GLOBAL_CATALOG	ブーリアン	いいえ	AlternateLoginId を検索するときに、LDAP 検索にグローバル カタログを強制的に使用するには、このフラグを使用します。 ドメイン コントローラーをグローバル カタログとして構成し、AlternateLoginId 属性をグローバル カタログに追加して、このフラグを有効にします。 LDAP_LOOKUP_FORESTSが構成されている場合 (空ではない)、レジストリ設定の値に関係なく、このフラグは trueとして適用 。 この場合、NPS 拡張機能では、各フォレストの AlternateLoginId 属性を使用してグローバル カタログを構成する必要があります。
LDAP_LOOKUP_FORESTS	糸	空っぽ	検索するフォレストのセミコロンで区切られた一覧を指定します。 たとえば、contoso.com。foobar.com. このレジストリ値が構成されている場合、NPS 拡張機能は、表示された順序ですべてのフォレストを繰り返し検索し、最初に成功した AlternateLoginId 値を返します。 このレジストリ値が構成されていない場合、AlternateLoginId 参照は現在のドメインに限定されます。

代替サインイン ID の問題をトラブルシューティングするには、代替サインイン ID エラーに対する推奨手順を使用します。

IP の例外

ワークロードを送信する前にロード バランサーがどのサーバーが実行されているかを確認する場合など、サーバーの可用性を監視する必要がある場合は、検証要求でこれらのチェックをブロックしないようにします。 代わりに、サービス アカウントで使用されていることがわかっている IP アドレスの一覧を作成し、その一覧の多要素認証要件を無効にします。

IP 許可リストを構成するには、HKLM\SOFTWARE\Microsoft\AzureMfa に移動し、次のレジストリ値を構成します。

名前	Type	既定値	説明
IP_WHITELIST	糸	空っぽ	IP アドレスのセミコロンで区切られた一覧を指定します。 NAS/VPN サーバーなど、サービス要求が発生したマシンの IP アドレスを含めます。 IP 範囲とサブネットはサポートされていません。 たとえば、 10.0.0.1; 10.0.0.2; 10.0.0.3。

手記

このレジストリ キーはインストーラーによって既定では作成されず、サービスの再起動時に AuthZOptCh ログにエラーが表示されます。 ログ内のこのエラーは無視できますが、このレジストリ キーが作成され、不要な場合は空のままにした場合、エラー メッセージは返されません。

IP_WHITELISTに存在する IP アドレスから要求が送信されると、2 段階認証はスキップされます。 IP リストは、RADIUS 要求の ratNASIPAddress 属性で提供される IP アドレスと比較されます。 ratNASIPAddress 属性を指定せずに RADIUS 要求が入力されると、"RADIUS 要求 NasIpAddress 属性にソース IP が見つからないので、IP_WHITE_LIST_WARNING::IP ホワイトリストは無視されています" という警告がログに記録されます。

次の手順

• Microsoft Entra 多要素認証 の NPS 拡張機能からのエラー メッセージを解決する
• REQUIRE_USER_MATCH を使用して MFA に登録されていないユーザーを準備する