アクセス許可

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

アクセス許可は、ネットワーク ポリシー サーバー (NPS) の各ネットワーク ポリシーの [概要] タブで構成されます。

この設定を使用すると、ネットワーク ポリシーの条件と制約が接続要求と一致する場合に、ユーザーへのアクセスを許可または拒否するポリシーを構成できます。

アクセス許可設定には、次の役割があります。

  • アクセス許可。 アクセスは、接続要求がポリシーで構成された条件および制限と一致した場合に許可されます。
  • アクセス拒否。 アクセスは、接続要求がポリシーで構成された条件および制限と一致した場合に拒否されます。

また、アクセス許可は、各ユーザー アカウントのダイヤルイン プロパティの構成に基づいて許可または拒否されます。

Note

ダイヤルイン プロパティなど、ユーザー アカウントとそのプロパティは、Microsoft 管理コンソール (MMC) スナップインの [Active Directory ユーザーとコンピューター] または [ローカル ユーザーとグループ] で構成されます。どちらを使用するかは、Active Directory® Domain Services (AD DS) がインストールされているかどうかで決まります。

ユーザー アカウントのダイヤルイン プロパティで構成された、ユーザー アカウント設定の [ネットワーク アクセス許可] は、ネットワーク ポリシー アクセス許可設定をオーバーライドします。 ユーザー アカウントのネットワーク アクセス許可を [NPS ネットワーク ポリシーでアクセスを制御] オプションに設定した場合、ユーザーがアクセスを許可されるか拒否されるかが、ネットワーク ポリシー アクセス許可設定によって決まります。

Note

Windows Server 2016 では、AD DS ユーザー アカウントのダイヤルイン プロパティの [ネットワーク アクセス許可] の既定値は、NPS ネットワーク ポリシーによるアクセスの制御 です。

NPS で、構成されたネットワーク ポリシーと照らし合わせて接続要求が評価されるとき、次の処理が実行されます。

  • 最初のポリシーの条件が一致しない場合、NPS は次のポリシーを評価します。条件が一致するポリシーが見つかるか、またはすべてのポリシーに対して一致の可否が評価されるまで、この処理が継続されます。
  • ポリシーの条件および制限が一致する場合、そのポリシーの [アクセス許可] 設定の値に応じて、NPS によりアクセスが許可または拒否されます。
  • ポリシーの条件が一致するが、ポリシーの制限が一致しない場合、NPS は接続要求を拒否します。
  • すべてのポリシーの条件が一致しない場合、NPS は接続要求を拒否します。

ユーザー アカウントのダイヤルイン プロパティを無視する

ネットワーク ポリシーの [概要] タブの [ユーザー アカウントのダイヤルイン プロパティを無視する] チェック ボックスを選択または外すことで、NPS ネットワーク ポリシーを構成し、ユーザー アカウントのダイヤルイン プロパティを無視するように構成できます。

通常 NPS では、接続要求の承認時に、ユーザー アカウントのダイヤルイン プロパティが確認されます。ネットワークへのユーザーの接続を承認するかどうかが判断される際、このダイヤルイン プロパティの設定にネットワーク アクセス許可設定の値が影響を与える可能性があります。 承認時にユーザー アカウントのダイヤルイン プロパティを無視するように NPS を構成した場合、ネットワーク ポリシー設定によってネットワークへのユーザーのアクセスを許可するかどうかが判断されます。

ユーザー アカウントのダイヤルイン プロパティには、次の情報が含まれます。

  • ネットワーク アクセス許可
  • 発信者 ID
  • コールバック オプション
  • 静的 IP アドレス
  • 静的ルート

NPS が認証および承認を提供する複数の種類の接続をサポートするには、ユーザー アカウントのダイヤルイン プロパティの処理を無効にする必要がある場合があります。 これは、特定のダイヤルイン プロパティが必要ないシナリオをサポートするために実施されることがあります。

たとえば、ワイヤレス アクセス ポイントに接続するクライアントでなく、ネットワーク アクセス サーバー (NAS) にダイヤルするクライアントに対し、発信者 ID、コールバック、静的 IP アドレス、静的ルートの各プロパティが設定されます。 これらの設定を NPS から RADIUS メッセージで受信するワイヤレス アクセス ポイントは、それらを処理できないことがあり、ワイヤレス クライアントの接続が切断される原因となる場合があります。

組織のネットワークにワイヤレス アクセス ポイントを介してダイヤルインする、またはアクセスするユーザーの認証または承認が NPS から提供される場合、ダイヤルイン プロパティはダイヤルイン接続 (ダイヤルイン プロパティを設定する) またはワイヤレス接続 (ダイヤルイン プロパティを設定しない) のいずれかをサポートするように構成する必要があります。

NPS を使用すると、一部のシナリオ (ダイヤルインなど) でユーザー アカウントに対するダイヤルイン プロパティの処理を有効にし、それ以外のシナリオ (802.1X ワイヤレスおよび認証スイッチなど) ではダイヤルイン プロパティの処理を無効にすることができます。

また、[ユーザー アカウントのダイヤルイン プロパティを無視する] を使用し、グループおよびネットワーク ポリシーのアクセス許可設定を介してネットワーク アクセス制御を管理できます。 [ユーザー アカウントのダイヤルイン プロパティを無視する ] チェックボックスを選択すると、ユーザー アカウントのネットワーク アクセス許可は無視されます。

この構成の唯一の欠点は、発信者 ID、コールバック、静的 IP アドレス、および静的ルータの追加のユーザー アカウントのダイヤルイン プロパティを使用できないことです。

NPS の詳細については、ネットワーク ポリシー サーバー (NPS) に関するページを参照してください。