このセクションをお読みになる前に、以下の重要なお知らせをご確認ください。

注: 2019 年 7 月 1 日より、Microsoft は新規の展開用の MFA サーバーの提供を取りやめます。ユーザーの多要素認証を必要とする新しいお客様は、クラウドベースの Azure Multi-factor Authentication を使用する必要があります。7 月 1 日より前に MFA サーバーをアクティベートした既存のお客様は、これまでどおり最新バージョンのプログラムや今後のアップデートをダウンロードしたり、ライセンス認証の資格情報を生成したりできます。https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfaserver-deploy。 新規の展開用には、RAS で、Azure の NPS 拡張機能（https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/howto-mfa-nps-extension）や、Azure MFA サービスを SAML 構成とともに使用されることをお勧めします。

Azure MFA の構成

ユーザーロケーションに応じて、クラウド MFA サービスには 4 つのシナリオがあります。

MFA サーバーをダウンロードしてアクティベートするには、グローバル管理者の役割のある Azure アカウントが必要です。オンプレミスでのみ動作する MFA サーバーを設定するために、Microsoft Entra ID との同期（AD Connect 経由）またはカスタム DNS ドメインは必要ありません。

ユーザーを MFA サーバーにインポートし、MFA 認証が得られるように構成する必要があります。

Parallels RAS は、RADIUS 二要素認証プロバイダーを使用して、MFA サーバーでユーザーを認証します。このため、RAS サーバーからの RADIUS クライアント接続を許可するように MFA サーバーを構成する必要があります。

認証プロセスは、以下のステージを通過します。

ステージ 2 では、RADIUS または Windows AD を使用して、ユーザーを認証できます。パスワードを転送するオプションを有効にすることにより、資格情報を 2 回（ステージ 1 と 6）入力するように求めるプロンプトを回避できます。

MFA プロバイダーを追加するには、次の手順を実行します。

1. RAS Console で、[接続] > [多要素認証] タブを選択します。

2. [タスク] > [追加] をクリックします（または [+] アイコンをクリックします）。

3. 任意の MFA プロバイダーを選択します。ウィザードが開きます。

4. ウィザードウィンドウで、以下のパラメーターを指定します。

   • 名称: プロバイダーの名前です。

   • 説明: プロバイダーの説明です。

   • [テーマ] テーブルで、この MFA プロバイダーを使用するテーマを選択します。

5. [次へ] をクリックします。

6. 次のいずれかを実行します。

   • RADIUS を使用する場合は、「接続」の説明に従って設定を行い、[完了] をクリックします。

   • Deepnet DualShield を使用する場合は、「DualShield 認証プラットフォームを使用するための Parallels RAS の構成」の説明に従って構成を実行します。DualShield 認証プラットフォームの構成については、「DualShield 5.6+ 認証プラットフォームの構成」を参照してください。

   • SafeNet を使用する場合は、「SafeNet の構成」に従って構成を実行します。

   • Google Authenticator を使用する場合は、「Google Authenticator の構成」に従って構成を実行します。

   • Google Authenticator 以外の TOTP プロバイダーを使用する場合は、「TOTP の構成」に従って構成を実行します。

Parallels RAS では、アクセス制御に多要素認証を使用できます。多要素認証が使用される場合、ユーザーはアプリケーションリストを取得するために連続する 2 つのステージを経て認証することが必要になります。第 1 レベルの認証は、常にネイティブ認証（Active Directory/LDAP）を使用しますが、第 2 レベルの認証では、次のいずれかのソリューションを使用できます。

• RADIUS

  • Azure MFA（RADIUS）

  • Duo（RADIUS）

  • FortiAuthenticator（RADIUS）

  • TekRADIUS

  • RADIUS

• TOTP

  • Google Authenticator

  • Microsoft Authenticator

  • TOTP（時間ベースのワンタイムパスワード）

• Email OTP

• Deepnet

• SafeNet

多要素認証では、標準のユーザー名とパスワードを使用する代わりに、静的ユーザー名と、トークンによって生成された一時パスワードを使用するので、さらに強固なセキュリティを提供します。

MFA プロバイダーを追加する方法については、「MFA プロバイダーの追加」のセクションを参照してください。

「MFA ルールの構成」も参照してください。

次の図は、RAS Connection Broker が RADIUS サーバーに接続された状態での、境界ネットワークのダブルホップシナリオを示しています（RADIUS はイントラネット内にありますが、DMZ に配置可能です）。

RADIUS のプロパティを構成するには、次の手順を実行します。

1. Parallels RAS Console で、[接続] > [多要素認証] に移動します。

2. 構成する MFA プロバイダーをダブルクリックします。

次に、RADIUS プロバイダーの設定を構成する方法について説明します。

[接続] タブでは、以下のオプションを指定できます。

• 表示名: クライアント側のログオン画面に表示される OTP 接続タイプの名前を指定します。ユーザーにとって理解しやすい名前を指定する必要があります。

• プライマリサーバーおよびセカンダリサーバー: この 2 つのフィールドでは、構成に含める RADIUS サーバーを 1 台または 2 台指定できます。2 台のサーバーを指定すると、RADIUS ホストの高可用性を構成することができます（下記参照）。ホスト名または IP アドレスを入力してサーバーを指定するか、[...] ボタンをクリックして Active Directory 経由でサーバーを選択します。

• RADIUS サーバーが 2 台指定されている場合は、[HA モード] ドロップダウンリストから次の高可用性モードのいずれかを選択します。[アクティブ - アクティブ（パラレル）] は、コマンドが両方のサーバーに同時に送信され、最初に応答した方が使用されます。[アクティブ - パッシブ（フェイルオーバー）] は、フェイルオーバー動作を意味し、タイムアウトが 2 倍になり、Parallels RAS は両方のホストからの応答を待ちます。

• HA モード: 上記のプライマリサーバーおよびセカンダリサーバーを参照してください。プライマリサーバーのみを指定した場合、このフィールドは無効になります。

• ポート: RADIUS サーバーのポート番号を入力します。デフォルト値を使用するには、[デフォルト] ボタンをクリックします。

• タイムアウト: パケットタイムアウトを秒単位で指定します。

• 再試行: 接続の確立を試みる場合の再試行回数を指定します。

• 秘密鍵: 秘密鍵を入力します。

• パスワードのエンコード: RADIUS サーバーで指定した設定に従って [PAP]（パスワード認証プロトコル）または [CHAP]（チャレンジハンドシェイク認証プロトコル）から選択します。

[接続の確認] ボタンをクリックして、接続を検証します。接続が適切に構成されている場合、確認メッセージが表示されます。

必要に応じて追加のプロパティを指定します。

• ユーザープロンプト: OTP ダイアログが表示されたときにユーザーに表示されるテキストを指定します。

• RADIUS サーバーにユーザー名のみを送る: 必要に応じてこのオプションを選択します。

• 最初のパスワードを Windows 認証プロバイダーに転送する: このオプションを選択すると、パスワードを 2 回入力するプロンプトを回避できます（RADIUS と Windows AD）。Azure MFA サーバーでは、このオプションは常に有効にされていて、解除できないことに注意してください。

• 選択した RADIUS ソリューションに固有の特定の設定を提案している、ダイアログ（利用可能な場合）の一番下にある注記もお読みください。

RADIUS [プロパティ] ダイアログの [自動化] タブでは、MFA ログインプロセス中に RADIUS サーバーに送信するセキュリティ検証方法とカスタムコマンドを構成して、Parallels Client ユーザーの OTP エクスペリエンスをカスタマイズできます。さまざまなセキュリティ検証方法に優先順位を割り当て、自動的に使用されるように構成できます。

この機能を構成すると、ユーザーは、プッシュ通知、電話のコールバック、SMS、メール、カスタムなど、事前に定義され構成可能なリストから好みのセキュリティ検証方法を選択することができます。これらの方法は、Parallels Client の OTP ダイアログにクリック可能なアイコンとして表示されます。ユーザーがアイコンをクリックすると、RADIUS サーバーにコマンドが送信され、対応する検証方法が使用されます。

検証方法（このダイアログや Parallels RAS Console では“アクション”とも呼ばれます）を構成するには、[自動化] タブで [タスク] ＞ [追加] をクリックします。この [アクションを追加] ダイアログで次のプロパティを指定します。

• アクションを有効化: アクションを有効または無効にします。

• タイトル: Parallels Client のクリック可能なアイコンに表示されるテキスト（例: “プッシュ”）。

• コマンド: Parallels Client でアクションアイコンがクリックされたときに使用する OTP コマンド。コマンドの仕様については、MFA プロバイダーにお問い合わせください。

• 説明: マウスポインターがアクションアイコンの上に移動されたときに、ユーザーの画面に吹き出しとして表示される説明。

• アクションメッセージ: 接続の進捗状況ボックスに表示されるメッセージ。

• 画像を選択: 提供されたギャラリーから画像を選択します。画像は Parallels Client の OTP ダイアログのアクションアイコンとして使用されます。

完了したら、[OK] をクリックして、アクションを保存します。他のアクションについても、上記の手順を繰り返します。

注: 最大 5 つのアクションを作成することができます。5 つすべてが作成されると、[タスク] > [追加] メニューは無効になります。

[自動化] タブのアクションは、リストの中で上または下に移動できます。この操作により、Parallels Client にアクションアイコンが表示される順序が決まります。

自動送信

アクションのために構成できるオプションがもう 1 つあります。それは [自動送信] と呼ばれているものです。このオプションは 1 つのアクションに対してのみ有効にでき、デフォルトのアクションとなって、ユーザーの操作なしで自動的に使用されます。

[自動送信] オプションを有効にするには、[自動化] タブでアクションを選択し、[タスク] > [自動送信] をクリックします。このオプションを無効にするには、同じメニューをもう一度クリックします。あるアクションで [自動送信] を有効にすると、以前のアクションでは自動的に無効になります。

以下の 2 つの方法により、Parallels Client でアクションを自動的に実行させることができます。

• クライアントが初めてアクションアイコンの構成を受信するとき、そのうちの 1 つのアクションの [自動送信] を有効にします。

• [ポリシー] > [セッション] > [接続] > [多要素認証] で [前回使用した手法を記憶] オプションを有効にします。このオプションを有効にし、Parallels Client がポリシーを受信すると、ユーザーが最後に使用したメソッドがデフォルトの自動メソッドになります。

Parallels Client

ユーザーが MFA を介して Parallels RAS にログインすると、Parallels Client に OTP ダイアログが表示され、アクションアイコンが OTP フィールドの上に配置されます。ユーザーがアイコンをクリックすると、事前に定義されたアクションに従って認証が行われます。たとえば、ユーザーが“プッシュ”アイコンをクリックすると、プッシュ通知がユーザーのモバイルデバイスに送信され、“承認”をタップするだけで認証が行われます。または、“メール送信”アイコンがある場合は、テキストがワンタイムパスワード付きでユーザーの携帯電話に送信されます。アクションの 1 つが [自動送信] オプションを有効にしている場合、そのアクションが自動的に使用されます。

ユーザーが常に同じ認証方法を使用している場合は、それをデフォルトの認証方法にすることができます。そのためには、ユーザーは、接続プロパティの [多要素認証] セクションで [前回使用した手法を記憶] オプションを有効にします。各プラットフォームで、このオプションは以下の場所にあります。

• Parallels Client for Windows/Linux: [接続の詳細設定] > [多要素認証]

• Parallels Client for Mac: [詳細] > [多要素認証]

• Parallels Client for Chrome: 詳細設定

• Web Client: 設定

• Parallels Client for iOS: [接続設定] > [多要素認証]

• Parallels Client for Android: [設定] > [多要素認証]

前述したように、[前回使用した手法を記憶] は、RAS Console のクライアントポリシーでも構成できます。このオプションは、デフォルトで有効になっています。

Duo RADIUS で Parallels RAS を構成する方法については、次の Parallels KB 記事を参照してください。https://kb.parallels.com/124429。

ここでは、TOTP MFA プロバイダーを Parallels RAS に統合する方法について説明します。

TOTP 設定を構成するには、以下の手順を実行します。

1. 次の要素を指定します。

   • 表示名: この場合のデフォルト名は TOTP です。その名前は、Parallels Client の登録ダイアログの”TOTP アプリを iOS または Android のデバイスにインストールしてください”という部分に表示されます。名前を変更すると、“iOS または Android 端末に <new-name> アプリをインストールしてください”のように、文中に指定した名前が表示されます。

   • ユーザープロンプト: OTP ダイアログが表示されたときにユーザーに表示されるテキストを指定します。

   • ユーザーの登録セクションでは、必要に応じてユーザー登録を制限できます。すべてのユーザーが制限なしで登録できるようにしたり（ [許可] オプション）、指定した日時までに限り登録できるようにしたり（[次の日時まで許可]）、登録を完全に無効にしたり（[許可しない] オプション）できます。有効期限が切れていたり、[許可しない] オプションが選択されていたりして、登録が無効になっている場合にユーザーがログインを試みると、登録が無効化されていることを示すエラーメッセージが表示され、システム管理者に問い合わせるよう促されます。登録を制限したり無効にしたりしても、Google 認証機能や他の TOTP プロバイダーを使用することができますが、それ以上のユーザーの登録を許可しないようなセキュリティが追加されています。これは、危殆化した認証情報を持つユーザーが MFA に登録する可能性を軽減するためのセキュリティ対策です。

   • 未登録ユーザーに情報を表示: 未登録のユーザーが間違った資格情報を入力したときに、ユーザー名またはパスワードが正しくありませんというエラーを表示するかどうかを選択します。

     • なし（もっとも安全）: 未登録のユーザーには、エラーではなく TOTP プロンプトが表示されます。

     • 登録が許可された場合: ユーザー登録が許可されている場合、未登録のユーザーにはエラーが表示されます。そうでない場合は、TOTP プロンプトが表示されます。

     • 常に: 未登録のユーザーには必ずエラーが表示されます。

   • [認証] セクションでは、TOTP の許容範囲を構成することができます。時間ベースのワンタイムパスワード（TOTP）を使用する場合、RAS Connection Broker とクライアントデバイス間で時間を同期させる必要があります。同期は、グローバル NTP サーバー（time.google.com など）に対して実行される必要があります。[TOTP 許容範囲] ドロップダウンリストを使用して、認証の実行中に許容すべき時間差を選択できます。ドロップダウンリストを展開し、事前に定義された値（秒数）のいずれかを選択します。時間差の許容範囲の変更は、セキュリティトークンの有効時間の拡大を意味し、不正に利用できる時間枠が広くなりセキュリティ上の影響があるため、注意して行う必要があります。 注: TOTP プロバイダーを使用する場合、Connection Broker とクライアントデバイスの両方の時間をグローバル NTP サーバー（time.google.com など）と同期させる必要があります。TOTP の許容範囲を追加すると、ワンタイムパスワードの有効性が拡大し、セキュリティに影響を及ぼす可能性があります。

   • [ユーザー管理] セクションの [ユーザーをリセット] フィールドでは、ユーザーが TOTP プロバイダーを使用して Parallels RAS に初めてログインしたときに受け取ったトークンをリセットできます。ユーザーをリセットすると、ユーザーは登録手続きを再び実行しなければならなくなります（Google Authenticator でこれを実行する方法については、Parallels Client での Google Authenticator の使用を参照してください。特定のユーザーを検索することも、すべてのユーザーをリセットすることも、ユーザーのリストを CSV ファイルからインポートすることも可能です。

2. [完了] をクリックします。

また、TOTP 有効時間は、デフォルトの 30 秒 + 過去の x 秒 + 未来の x 秒として計算されることに注意してください。

[詳細] タブでは、RADIUS サーバーが送信するエラーメッセージのうち、Parallels Client で表示されないものを指定できます。これは、エラーメッセージがユーザーを混乱させたり、ユーザーエクスペリエンスを阻害したりする場合に有効です。

デフォルトでは、無視するメッセージのリストに「New SMS passcodes sent.」が追加されています（DUO Radius 向け）。これは、SMS による認証をよりシンプルにするために設定されています。このメッセージを無視対象のリストから削除することはお勧めしません。

無視するメッセージのリストに新しいメッセージを追加するには、次の操作を実行します。

1. [詳細] タブで、[タスク] > [追加] をクリックします（または [+] アイコンをクリックします）。

2. 無視させたいエラーメッセージの正確なテキストを入力します。メッセージの大文字と小文字は区別されません。なお、RADIUS サーバーから送信されるテキストのみを指定する必要があります。たとえば、Parallels Client で”Code [01/00000003] Logon using RADIUS failed.エラー: New SMS passcodes sent.”というエラーが発生した場合、「New SMS passcodes sent.」を追加する必要があります。

RADIUS ソリューションに構成属性が要求されている場合は、[属性] タブをクリックして [追加] をクリックします。開いたダイアログで、事前設定されている任意のベンダーと属性を選択します。

• [ベンダー] ドロップダウンリストでベンダーを選択します。

• [属性] リストでベンダー属性を選択します。

• [値] フィールドに、選択した属性タイプ（数値、文字列、IP アドレス、日付など）に応じた値を入力します。

特定のシナリオでは、このダイアログに表示されていないベンダーや属性を追加する必要があるかもしれません。ベンダーや属性を追加する方法については、以下のナレッジベースの記事を参照してください: https://kb.parallels.com/en/125576。

[OK] をクリックし、再度 [OK] をクリックしてすべてのダイアログを閉じます。

Google Authenticator を構成するには、以下の手順を実行します。

1. 次の要素を指定します。

   • 表示名: この場合のデフォルト名は Google Authenticator です。その名前は、Parallels Client の登録ダイアログの”Google Authenticator アプリを iOS または Android のデバイスにインストールしてください”という部分に表示されます。名前を変更すると、“iOS または Android 端末に <new-name> アプリをインストールしてください”のように、文中に指定した名前が表示されます。技術面からすると、どの認証アプリでも使用できますが（つまり、名前を変更することも可能ですが）、この資料の執筆時点では Google Authenticator アプリだけが正式にサポートされています。

   • ユーザープロンプト: OTP ダイアログが表示されたときにユーザーに表示されるテキストを指定します。

   • ユーザーの登録セクションでは、必要に応じて Google 認証経由のユーザー登録を制限できます。すべてのユーザーが制限なしで登録できるようにしたり（ [許可] オプション）、指定した日時までに限り登録できるようにしたり（[次の日時まで許可]）、登録を完全に無効にしたり（[許可しない] オプション）できます。有効期限が切れていたり、[許可しない] オプションが選択されていたりして、登録が無効になっている場合にユーザーがログインを試みると、登録が無効化されていることを示すエラーメッセージが表示され、システム管理者に問い合わせるよう促されます。登録を制限したり無効にしたりしても、Google 認証機能や他の TOTP プロバイダーを使用することができますが、それ以上のユーザーの登録を許可しないようなセキュリティが追加されています。これは、危殆化した認証情報を持つユーザーが MFA に登録する可能性を軽減するためのセキュリティ対策です。

   • 未登録ユーザーに情報を表示: 未登録のユーザーが間違った資格情報を入力したときに、ユーザー名またはパスワードが正しくありませんというエラーを表示するかどうかを選択します。

     • なし（もっとも安全）: 未登録のユーザーには、エラーではなく TOTP プロンプトが表示されます。

     • 登録が許可された場合: ユーザー登録が許可されている場合、未登録のユーザーにはエラーが表示されます。そうでない場合は、TOTP プロンプトが表示されます。

     • 常に: 未登録のユーザーには必ずエラーが表示されます。

   • [認証] セクションでは、TOTP の許容範囲を構成することができます。時間ベースのワンタイムパスワード（TOTP）を使用する場合、RAS Connection Broker とクライアントデバイス間で時間を同期させる必要があります。同期は、グローバル NTP サーバー（time.google.com など）に対して実行される必要があります。[TOTP 許容範囲] ドロップダウンリストを使用して、認証の実行中に許容すべき時間差を選択できます。ドロップダウンリストを展開し、事前に定義された値（秒数）のいずれかを選択します。時間差の許容範囲の変更は、セキュリティトークンの有効時間の拡大を意味し、不正に利用できる時間枠が広くなりセキュリティ上の影響があるため、注意して行う必要があります。

     注: 時間ベースのワンタイムパスワード（TOTP）プロバイダーを使用する場合、Connection Broker とクライアントデバイスの両方の時間をグローバル NTP サーバー（time.google.com など）と同期させる必要があります。TOTP の許容範囲を追加すると、ワンタイムパスワードの有効性が拡大し、セキュリティに影響を及ぼす可能性があります。

   • [ユーザー管理] セクションの [ユーザーをリセット] フィールドでは、ユーザーが Google 認証を使用して Parallels RAS に初めてログインしたときに受け取ったトークンをリセットできます。ユーザーをリセットすると、ユーザーは登録手続きを再び実行しなければならなくなります（詳細については、下記の**「Parallels Client での Google 認証の使用」**を参照）。特定のユーザーを検索することも、すべてのユーザーをリセットすることも、ユーザーのリストを CSV ファイルからインポートすることも可能です。

2. [完了] をクリックします。

また、TOTP 有効時間は、デフォルトの 30 秒 + 過去の x 秒 + 未来の x 秒として計算されることに注意してください。

Parallels Client での Google Authenticator の使用

Google Authenticator は、サポートされているいずれのプラットフォームで実行している Parallels Client でも利用できます（モバイル、デスクトップ、ウェブの各クライアントでサポートされています）。

Google 認証を使用するには、ユーザーが認証アプリを自分の iOS デバイスまたは Android デバイスにインストールしなければなりません。Google Play または App Store にアクセスして、アプリをインストールしてください。認証アプリをインストールしたら、二要素認証を使用して Parallels RAS に接続する準備が整ったことになります。

Parallels RAS に接続するには、以下の手順を実行します。

1. Parallels Client または Web Client を開き、自分の資格情報を使用してログインします。

2. 多要素認証ダイアログが開き、バーコード（QR コード）と秘密鍵が表示されます。

3. モバイルデバイスで Google 認証アプリを開きます。

   • 初めて使用する場合は、[開始] をタップし、[バーコードをスキャンする] をタップします。

   • Google 認証の別のアカウントを持っている場合は、プラス記号のアイコンをタップし、[バーコードをスキャンする] を選択します。

4. Parallels Client のログインダイアログに表示されているバーコードをスキャンします。

   何かの理由でうまくスキャンできない場合は、アプリに戻り、[秘密鍵を入力する] を選択し、アカウント名と Parallels Client のログインダイアログに表示されている秘密鍵を入力します。

5. アプリで [アカウントを追加する] をタップすると、アカウントが作成され、ワンタイムパスワードが表示されます。

6. Parallels Client に戻り、[次へ] をクリックし、[OTP] フィールドにワンタイムパスワードを入力します。

その後のログインでは、資格情報（[パスワードの保存] オプションが選択されている場合は不要）と、Google 認証アプリで取得したワンタイムパスワードを入力するだけで十分です（アプリによって新しいパスワードが生成されます）。RAS 管理者がユーザーをリセットすると（このセクションの最初にある [ユーザーをリセット] フィールドの説明を参照）、ユーザーが上記の登録手順を繰り返さなければならなくなります。

「TOTP を構成する」を参照してください。

以下は Parallels RAS がサポートするトークンの一覧です。

• MobileID（FlashID は MobileID と統合されません）

• QuickID

• GridID

• SafeID

• SecureID（RSA）

• DigiPass（Vasco）

SafeID などのハードウェアトークンを使用する場合は、提供された XML ファイルを使用して、最初にトークン情報をインポートする必要があります。[インポート] をクリックして、提供された XML ファイルを参照します。XML ファイルがインポートされたら、各ハードウェアトークンをユーザーに割り当てる必要があります。

メールによるワンタイムパスワードの送信を設定するには次の手順を実行します。

次の要素を指定します。

• 名前: RAS Console に表示される名前。

• （オプション）説明: MFA の説明。

• テーマ: MFA を使用するテーマ。

• 表示名: Parallels Client に表示される名前。

• OTP の長さ: OTP の長さ。4～20 の数字を指定します。

• OTP の有効期間: OTP が有効な期間。30～240 秒で指定します。

• ユーザープロンプト: OTP ダイアログが表示されたときにユーザーに表示されるテキストを指定します。

• メールの件名: OTP を含むメールの件名。

• メールの本文: OTP を含むメールの本文。

• 外部メールアドレスを使った登録をユーザーに許可: ユーザーが外部のメールアドレスを使用して登録する場合は、このオプションを選択します。外部のメールアドレスは、RAS ストレージまたは AD 属性に保存できます。Active Directory のカスタム属性にメールを保存する場合は、AD カスタム属性フィールドで属性名を指定する必要があります。[検証] をクリックして、AD 属性にメールアドレスを保存するのに必要な権限を持っていることを確認できます。

• ユーザーの登録セクションでは、必要に応じてユーザー登録を制限できます。すべてのユーザーが制限なしで登録できるようにしたり（ [許可] オプション）、指定した日時までに限り登録できるようにしたり（[次の日時まで許可]）、登録を完全に無効にしたり（[許可しない] オプション）できます。有効期限が切れていたり、[許可しない] オプションが選択されていたりして、登録が無効になっている場合にユーザーがログインを試みると、登録が無効化されていることを示すエラーメッセージが表示され、システム管理者に問い合わせるよう促されます。登録を制限したり無効にしたりしても、Google 認証機能や他の TOTP プロバイダーを使用することができますが、それ以上のユーザーの登録を許可しないようなセキュリティが追加されています。これは、危殆化した認証情報を持つユーザーが MFA に登録する可能性を軽減するためのセキュリティ対策です。

• 未登録ユーザーに情報を表示: 未登録のユーザーが間違った資格情報を入力したときに、ユーザー名またはパスワードが正しくありませんというエラーを表示するかどうかを選択します。

  • なし（もっとも安全）: 未登録のユーザーには、エラーではなく TOTP プロンプトが表示されます。

  • 登録が許可された場合: ユーザー登録が許可されている場合、未登録のユーザーにはエラーが表示されます。そうでない場合は、TOTP プロンプトが表示されます。

  • 常に: 未登録のユーザーには必ずエラーが表示されます。

このセクションでは、Deepnet DualShield 認証プラットフォーム 5.6 以降を Parallels RAS と統合する方法を説明します。

このセクションでは、以下の内容を説明します。

• サポートされているトークン

• DualShield 5.6+ 認証プラットフォームの構成

• DualShield 認証プラットフォームを使用するために Parallels RAS を構成する

• RAS ファームへの接続

DualShield 認証プラットフォームについては、次のドキュメントも参照してください。

• DualShield 認証プラットフォーム - インストールガイド

• DualShield 認証プラットフォーム - クイックスタートガイド

• DualShield 認証プラットフォーム - 管理ガイド

SafeNet トークン管理システムは、セキュアトークンを使用して高価値の保護を提供します。これにより、SafeNet トークン管理システム製品は、Parallels RAS での二要素認証用の完璧なツールとして機能します。

このセクションでは、以下の内容を説明します。

• SafeNet の構成

Deepnet DualShield の構成を実行するには、次の操作を実行します。

1. 次の要素を指定します。

   • サーバー: Deepnet サーバーのホスト名です。

   • SSL を有効にする: Deepnet サーバーへの接続時に SSL を使用するかどうかを指定します。

   • ポート: Deepnet サーバーへの接続に使用されるポートです。

   • Agent: 登録時に使用される Agent の名前です。

2. [接続の確認] ボタンをクリックし、認証サーバーにアクセスできることをテストして、RAS Console が DualShield Agent として登録されていることを確認します。”DeepNet サーバーが有効ではありません”というメッセージが表示された場合、以下のような原因が考えられます。

   • 指定したサーバーの情報が正しくない。

   • DualShield エージェントとして Parallels コンポーネントの自動登録を許可する必要がある。

3. DualShield エージェントとして Parallels コンポーネントの自動登録を許可する必要がある場合は、次の操作を実行します。

   1. DualShield 管理コンソールに戻り、次のように [確認証明] メニューから [Agent] を選択します。

   1. [自動登録] を選択します。

   1. [使用可能] オプションを選択し、日付範囲を設定します。

   1. Agent の自動登録を設定したら、RAS Console に戻って [はい] を選択します。Dual Shield Agent が正常に登録されたことを示すメッセージが表示されます。

      すべての RAS Connection Broker を Deepnet DualShield サーバーに登録する必要があります。セカンダリ Connection Broker を使用している場合は、開いているすべてのウィンドウを閉じる必要があります。すべてのウィンドウを閉じると、RAS Console で [適用] を押せるようになります。これにより、すべての Agent に、DualShield Agent として自己登録するよう通知されます。

4. RAS Console に戻り、[次へ] をクリックします。

5. 次の要素を指定します。

   • アプリケーション: 「DualShield 5.6+ 認証プラットフォームの構成」で作成したアプリケーションの名前です。

   • 既定のドメイン: ユーザー、テーマのプロパティ、または接続設定でドメインが指定されていない場合に使用されるドメインです。

6. [モード] ドロップダウンリストで、ユーザーをどのような方法で認証するかを選択します。

   • [すべてのユーザーに必須です] を選択すると、システムを使用するすべてのユーザーが二要素認証を使用してログインする必要があります。

   • [ドメイン認証されたユーザーのトークンを作成] を選択すると、ドメイン認証されたユーザーのソフトウェアトークンを Parallels RAS が自動的に作成することができます。ドロップダウンリストからトークンのタイプを選択します。このオプションは、QuickID や MobileID などのソフトウェアトークンでのみ機能します。

   • [DualShield が付いているアカウントのみ利用できます] を選択すると、DualShield アカウントを持たないユーザーは二要素認証を使用してログインしなくてもシステムを使用できます。

7. [チャンネルの許可] セクションで、ユーザーへのワンタイムパスワード送信に使用するチャンネルを選択します。

8. [完了] をクリックします。

多要素認証（MFA）は、すべてのユーザー接続に対して有効または無効にできますが、特定の接続に対してはより複雑なルールを構成できますこの機能を使用すると、同じユーザーでも、どの場所およびどのデバイスから接続しているかに応じて MFA を有効にしたり無効にしたりできます。各 MFA プロバイダーには、ユーザー接続に対するマッチングに使用される 1 つまたは複数の条件で構成されるルールがあります。各条件は、マッチング可能な 1 つまたは複数の特定のオブジェクトで構成されています。

次のオブジェクトのマッチングを実行できます。

• ユーザー、ユーザーが所属するグループ、またはユーザーが接続するコンピューター。

• ユーザーが接続する Secure Gateway。

• クライアントデバイスの名前。

• クライアントデバイスのオペレーティングシステム。

• IP アドレス。

• ハードウェア ID。ハードウェア ID の形式は、クライアントのオペレーティングシステムに依存します。

ルールについて、次のことに注意してください。

• 条件とオブジェクトは OR 演算子で接続されます。たとえばあるルールに、特定の IP アドレスに一致という条件とクライアントデバイスのオペレーティングシステムに一致という条件が含まれる場合、ユーザーの接続が IP アドレスの条件またはクライアントオペレーティングシステムの条件のいずれかに一致する場合に、ルールが適用されます。

ルールを構成するには、次の操作を実行します。

1. RAS Console で、[接続] > [多要素認証] タブを選択します。

2. ルールを作成したいプロバイダーをダブルクリックします。

3. [制限] タブを選択します。

4. ルールの条件を指定します。以下のコントロールを利用できます。

   • Enable MFA if および Disable MFA if: ユーザー接続がすべての条件に一致する場合に、MFA プロバイダーを有効化するかどうかを指定します。これらのオプションは、クリックすると切り替わります。

   • （+）: 新しい条件を追加します。一致条件として、Secure Gateway、クライアントデバイス名、クライアントデバイスのオペレーティングシステム、IP アドレス、ハードウェア ID のいずれかを使用したい場合は、**（+）**をクリックします。表示されるコンテキストメニューで、マッチングさせたいオブジェクトの種類を選択し、表示されるダイアログで特定のオブジェクトを追加します。新しい条件が次の行に表示されます。

   • （X）: マッチングから特定のオブジェクトを削除します。たとえば、IP アドレス 198.51.100.1 をマッチングから削除したい場合は、その横にある**（X）**をクリックします。このコントロールは、少なくとも 1 件のオブジェクトが追加されたときに表示されます。条件内のすべてのオブジェクトが削除された場合、その条件は削除されます。

   • is および is not: ユーザー接続が条件に一致した場合に、MFA プロバイダーを有効化するかどうかを指定します。これらのオプションは、クリックすると切り替わります。このコントロールは、少なくとも 1 件のオブジェクトが追加されたときに表示されます。

   • configure: マッチさせるオブジェクトのリストを編集します。このリンクをクリックして新しいオブジェクトを追加または削除します。最初の条件（ユーザーまたはグループ）の場合、このリンクは everyone と呼ばれることに注意してください。この条件のオブジェクトを指定すると、構成が変更されます。

Parallels Client

DualShield を有効にすると、ユーザーに二要素認証が適用されます。QuickID などのソフトウェアトークンを使用すると、管理者はユーザーごとにトークンを作成する必要はありません。ユーザーが最初にログインを試みたときに、RAS Connection Broker がトークンを自動で作成します。

ユーザーが Parallels Client から RAS 接続へのアクセスを試みると、まず Windows ユーザー名とパスワードの入力を求められます。資格情報が受け付けられると、RAS Connection Broker は DualShield サーバーと通信を行い、そのユーザーに固有のトークンを作成します。

MobileID または QuickID を使用する場合は、該当のソフトウェアをどこでダウンロードできるかに関するメールがユーザーに送信されます。

QuickID トークンを使用する場合、アプリケーションは、メールまたは SMS で送信された一時パスワードを要求します。

OTP を求められた場合は、ワンタイムパスワードを入力して Parallels Application Server XG ゲートウェイにログインします。

「DualShield 認証プラットフォーム - インストールガイド」で指定されているすべての手順に従うと、インターネットブラウザー（http://LOCALHOST:8073）で自動的に URP が開き、DualShield の管理コンソールにログインできます。

デフォルトの資格情報（ユーザー: sa、パスワード: sa）を使用して、DualShield の管理コンソールにログインします。デフォルトのパスワードを変更するように要求されます。

アプリケーションへのアクセスが許可されるユーザーのドメインがレルムに含まれているため、アプリケーションはレルムへの接続を提供するように設定されます。

レルムは、複数のドメインユーザーが同じアプリケーションにアクセスできるように設定されます。

Parallels RAS が通信するアプリケーションを作成する必要があります。[確認証明] > [アプリケーションウィザード] をクリックして、以下に表示される情報を入力し、[次へ] を押します。

以下に表示される LDAP サーバーの設定を指定して、[完了] を押します。

アプリケーションの構成後に、DualShield サーバーとエンドユーザーが通信するために使用する電子メールゲートウェイまたは SMS ゲートウェイを構成する必要があります。このドキュメントでは、電子メールゲートウェイを使用します。[構成] メニューの [ゲートウェイ] を選択します。

電子メールゲートウェイを構成します。

[編集] をクリックして、SMTP サーバー情報を入力します。

SafeNet 設定を構成するには、以下の手順を実行します。

1. [接続] セクションで、[OTP 用 URL] フィールドに有効な URL を入力します。OTP サービスとの接続を確立できることを確認するには、[接続の確認] ボタンをクリックします。

2. 注: RAS Connection Broker は SafeNet トークン管理システムサーバーと通信します。セキュリティ上の理由から、認証サーバーをファイアウォールの内側に配置することを強くお勧めします。

3. [確認証明] タブをクリックします。

4. [モード] ドロップダウンリストで、ユーザーをどのような方法で認証するかを選択します。

次のモードを利用できます。

• [すべてのユーザーに必須です:] を選択すると、システムを使用するすべてのユーザーが二要素認証を使用してログインする必要があります。

• ドメイン認証されたユーザーのトークンを作成: ドメイン認証されたユーザーのソフトウェアトークンを Parallels RAS で自動作成することができます。ドロップダウンリストからトークンのタイプを選択します。このオプションは、ソフトウェアトークンでのみ機能します。

• Safenet が付いているアカウントのみ利用できます: SafeNet アカウントを持たないユーザーは二要素認証を使用してログインしなくてもシステムを使用できます。

1. [TMS Web API URL] フィールドに SafeNet API URL の場所を入力します。

2. [ユーザーリポジトリ] フィールドにユーザーリポジトリの宛先を入力します。

3. [完了] をクリックします。

Parallels Client

Parallels Client の [新しいアカウント情報] ダイアログで、次の手順を実行します。

1. [OTP PIN] 数字フィールドに任意の 4 桁の数字を入力します（これらの数字はプロセスの後で必要になります）。

2. メールアドレスを入力し、[OK] をクリックします。

3. メールアカウントにログインして、SafeNet 認証をアクティベートするために必要な情報が記載されている電子メールを取得します。この電子メールの例を以下に示します。

   アクティベーションキー: YZQHoczZWw3cBCNo

   トークンシリアル番号: 4F214C507612A26A

   MobilePASS クライアントを http://localhost:80/TMSService/ClientDownload/MobilePASSWin.exe からダウンロードします。

   *ドメイン資格情報でログインします。

   *MobilePASS クライアントと同じフォルダーに添付のシードファイルを保存してください。

   ワンタイムパスワードを入力して、RD セッションホスト接続にログインします。

   アプリケーション PIN: 4089

4. 電子メールに記載されている URL から MobilePASS クライアントをダウンロードします。

5. SafeNet の電子メールに記載されているアクティベーションキーを入力します。

6. 次に、電子メールに記載されているアプリケーション PIN を [MobilePASS PIN] フィールドに入力します。

7. [このゲスト OS の] をクリックして eToken 番号を生成し、[コピー] をクリックします。

8. OTP PIN と eToken を次の順番で組み合わせます。OTP + eToken

9. この値を Parallels Client に入力し、[OK] をクリックしてログインします。