Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Parallels RAS 管理者には、ユーザーが Parallels RAS に接続する方法をカスタマイズする能力があります。この章では、組織の要件に従って構成できる接続および認証の設定について説明します。その後、セキュリティレベルを強化するための二要素認証の使用方法について説明します。
[接続] カテゴリーの [設定] タブで、次のリモートセッションオプションを構成できます。
このオプションはレポート統計に影響します。これにより、指定した時間アクティビティがない場合、セッションはアイドル状態として宣言されます。
[FIPS 140-2 暗号化] プロパティでは、FIPS 暗号化接続が許可されるかどうか、または RAS Secure Gateway で適用されるかどうかも指定できます。暗号化を許可(または適用)するとき、Gateway では FIPS 140-2 暗号化モジュールが使用されます。次のオプションから選択できます。
無効: FIPS 140-2 暗号化は、RAS Secure Gateway では無効にされています。
許可: RAS Secure Gateway は、FIPS 暗号化および FIPS 以外の暗号化接続の両方を受け入れます。
強制: RAS Secure Gateway は、FIPS 暗号化接続を受け入れ、FIPS 以外の暗号化接続を切断します。
注: FIPS 140-2 暗号化が機能するには、FIPS に準拠した証明書を各 RAS Secure Gateway にインストールする必要があります。
FIPS 140-2 暗号化を有効にすると、RAS Console の [情報] > [サイト] タブに暗号化ステータスが表示されます。RAS Secure Gateway の [暗号化] プロパティを探します。
注: FIPS を使用する場合、TLS の最小要件のバージョンは自動的に 1.2 に設定されます。
FIPS 140-2 暗号化は、以下を除くすべてのバージョンの Parallels Client でサポートされています。
Windows 8.1 以降にインストールされた Parallels Client for Windows
IGEL App Portal からダウンロードした Parallels Client for Linux
注: IGEL OS で FIPS を使用する必要がある場合は、Parallels サイトから Parallels Client for Linux の tarball バージョンをダウンロードしてください。この場合、IGEL App Portal 以外にアプリケーションをインストールすることは IGEL によって推奨されていないため、Parallels ではサポートが提供されません。tarball はパーシスタントな記憶領域に展開する必要があります。そうでない場合、システム再起動時に消去されます
Parallels Client for Android
Parallels Client for iOS
Parallels ユーザーポータル
注: Parallels Client for ARM64 では FIPS 140-2 はサポートされていません。
また、FIPS 140-2 暗号化が適用される場合は、特定のファームにおけるすべてのユーザーが対象となることに注意してください。あるユーザーグループには FIPS を強制的に適用し、別のユーザーグループには強制しない設定が必要な場合、この処理のために別個のファームを導入する必要があります。
アイドル状態のクライアントをログアウトするまでの時間を指定します。接続をログアウトすると、ユーザーは Parallels RAS から切断され、ログアウトしたことを通知するために、そのユーザーには Parallels Client で [接続] ダイアログが表示されます。必要に応じて、このダイアログを使用して再度ログオンできます。Parallels Client の接続は、最後のユーザーセッションが切断またはログオフされた後はアイドル状態とみなされます。
セッションをキャッシュしている時間を指定します(時間が長いほど AD トランザクションが少なくなります)。
キャッシュされたセッション情報をすべてクリアします。
Parallels Client による Parallels RAS ファームへの接続や公開済みのリソースの一覧表示を可能にするため、Parallels Client の種類とバージョン番号に関して最低要件を指定することができます。さらに、Parallels Client のセキュリティパッチレベルを設定することができます(このセクションで後述)。
Parallels Client の要件を指定するには、次の操作を実行します。
RAS Console で、[接続] カテゴリーを選択し、[許可されたデバイス] タブを選択します。
[最新のセキュリティパッチを適用したクライアントのみ許可する] オプションは、Parallels Client のセキュリティパッチレベルを指定します。このオプションを選択すると、最新のセキュリティパッチを適用したクライアントのみが Parallels RAS への接続を許可されます。通常、このオプションは、脆弱性から環境を保護するために選択する必要があります。セキュリティパッチがインストールされていない古いバージョンの Parallels Client を使用する必要がある場合のみ、このオプションをオフにしてください。詳細については、次のナレッジベースの記事を参照してください: https://kb.parallels.com/en/125112。
[モード] ドロップダウンリストで、次のオプションを選択します。
すべてのクライアントにシステムへの接続を許可: 制限はありません。Parallels Client のすべての種類とバージョンにフルアクセスが許可されます。
選択したクライアントのみにシステムへの接続を許可: Parallels RAS ファームへの接続を許可する Parallels Client の種類とバージョンを指定できます。[クライアント] リストで、希望する Parallels Client の種類を選択します。[最小ビルド番号] の値を設定するには、クライアントタイプを右クリックして、[編集] を選択します。[最小ビルド番号] 列にバージョン番号を直接入力します。
選択したクライアントのみに公開した項目の一覧表示を許可: 公開済みのリソースをリストに表示できる Parallels Client の種類と番号を指定できます。上記のオプションと比較して、このオプションでは、Parallels Client から Parallels RAS への接続は制限されません。このオプションを選択したら、[クライアント] リストで、希望する Parallels Client の種類を選択します。[最小ビルド番号] の値を設定するには、クライアントタイプを右クリックして、コンテキストメニューで [編集] を選択します。[最小ビルド番号] 列にバージョン番号を直接入力します。
制限が設定され、ある Parallels Client がリストから除外された場合、このクライアントを実行しているユーザーには該当するエラーメッセージが表示され、システム管理者に問い合わせるように勧められます。
次の図は、RAS Connection Broker が RADIUS サーバーに接続された状態での、境界ネットワークのダブルホップシナリオを示しています(RADIUS はイントラネット内にありますが、DMZ に配置可能です)。
RADIUS のプロパティを構成するには、次の手順を実行します。
Parallels RAS Console で、[接続] > [多要素認証] に移動します。
構成する MFA プロバイダーをダブルクリックします。
次に、RADIUS プロバイダーの設定を構成する方法について説明します。
RADIUS ソリューションに構成属性が要求されている場合は、[属性] タブをクリックして [追加] をクリックします。開いたダイアログで、事前設定されている任意のベンダーと属性を選択します。
[ベンダー] ドロップダウンリストでベンダーを選択します。
[属性] リストでベンダー属性を選択します。
[値] フィールドに、選択した属性タイプ(数値、文字列、IP アドレス、日付など)に応じた値を入力します。
特定のシナリオでは、このダイアログに表示されていないベンダーや属性を追加する必要があるかもしれません。ベンダーや属性を追加する方法については、以下のナレッジベースの記事を参照してください: https://kb.parallels.com/en/125576。
[OK] をクリックし、再度 [OK] をクリックしてすべてのダイアログを閉じます。
[接続] タブでは、以下のオプションを指定できます。
表示名: クライアント側のログオン画面に表示される OTP 接続タイプの名前を指定します。ユーザーにとって理解しやすい名前を指定する必要があります。
プライマリサーバーおよびセカンダリサーバー: この 2 つのフィールドでは、構成に含める RADIUS サーバーを 1 台または 2 台指定できます。2 台のサーバーを指定すると、RADIUS ホストの高可用性を構成することができます(下記参照)。ホスト名または IP アドレスを入力してサーバーを指定するか、[...] ボタンをクリックして Active Directory 経由でサーバーを選択します。
RADIUS サーバーが 2 台指定されている場合は、[HA モード] ドロップダウンリストから次の高可用性モードのいずれかを選択します。[アクティブ - アクティブ(パラレル)] は、コマンドが両方のサーバーに同時に送信され、最初に応答した方が使用されます。[アクティブ - パッシブ(フェイルオーバー)] は、フェイルオーバー動作を意味し、タイムアウトが 2 倍になり、Parallels RAS は両方のホストからの応答を待ちます。
HA モード: 上記のプライマリサーバーおよびセカンダリサーバーを参照してください。プライマリサーバーのみを指定した場合、このフィールドは無効になります。
ポート: RADIUS サーバーのポート番号を入力します。デフォルト値を使用するには、[デフォルト] ボタンをクリックします。
タイムアウト: パケットタイムアウトを秒単位で指定します。
再試行: 接続の確立を試みる場合の再試行回数を指定します。
秘密鍵: 秘密鍵を入力します。
パスワードのエンコード: RADIUS サーバーで指定した設定に従って [PAP](パスワード認証プロトコル)または [CHAP](チャレンジハンドシェイク認証プロトコル)から選択します。
[接続の確認] ボタンをクリックして、接続を検証します。接続が適切に構成されている場合、確認メッセージが表示されます。
必要に応じて追加のプロパティを指定します。
ユーザープロンプト: OTP ダイアログが表示されたときにユーザーに表示されるテキストを指定します。
RADIUS サーバーにユーザー名のみを送る: 必要に応じてこのオプションを選択します。
最初のパスワードを Windows 認証プロバイダーに転送する: このオプションを選択すると、パスワードを 2 回入力するプロンプトを回避できます(RADIUS と Windows AD)。Azure MFA サーバーでは、このオプションは常に有効にされていて、解除できないことに注意してください。
選択した RADIUS ソリューションに固有の特定の設定を提案している、ダイアログ(利用可能な場合)の一番下にある注記もお読みください。
MFA プロバイダーを追加するには、次の手順を実行します。
RAS Console で、[接続] > [多要素認証] タブを選択します。
[タスク] > [追加] をクリックします(または [+] アイコンをクリックします)。
任意の MFA プロバイダーを選択します。ウィザードが開きます。
ウィザードウィンドウで、以下のパラメーターを指定します。
名称: プロバイダーの名前です。
説明: プロバイダーの説明です。
[テーマ] テーブルで、この MFA プロバイダーを使用するテーマを選択します。
[次へ] をクリックします。
次のいずれかを実行します。
RADIUS を使用する場合は、「接続」の説明に従って設定を行い、[完了] をクリックします。
Deepnet DualShield を使用する場合は、「DualShield 認証プラットフォームを使用するための Parallels RAS の構成」の説明に従って構成を実行します。DualShield 認証プラットフォームの構成については、「DualShield 5.6+ 認証プラットフォームの構成」を参照してください。
SafeNet を使用する場合は、「SafeNet の構成」に従って構成を実行します。
Google Authenticator を使用する場合は、「Google Authenticator の構成」に従って構成を実行します。
Google Authenticator 以外の TOTP プロバイダーを使用する場合は、「TOTP の構成」に従って構成を実行します。
RAS Connection Broker の接続設定には、[接続] カテゴリーからアクセスします。
[認証] タブを選択します。[許可された認証タイプ] セクションで次のいずれかのオプションを選択します。
資格情報: ユーザー資格情報は RAS が実行されている Windows システムによって認証されます。Windows の認証に使用される資格情報も、RDP セッションにログインするために使用されます。
スマートカード: スマートカード認証。Windows 認証と同様に、スマートカードの資格情報は、RAS と RDP 間で共有されます。そのため、スマートカードの資格情報を入力する必要があるのは 1 回だけです。Windows 認証と異なり、ユーザーに必要な情報はスマートカードの PIN のみです。ユーザー名はスマートカードから自動的に取得されるため、ユーザーはこれを提供する必要がありません。
ウェブ(SAML): SAML SSO 認証。
ウェブ + 資格情報。**ウェブ(SAML)**と同じですが、ユーザーが公開アプリケーションを起動するときに資格情報の入力が求められます。
スマートカードの認証情報が無効の場合、RAS Connection Broker は Local Security Authority Subsystem Service (LSASS)を組み込みません。スマートカード認証は、Parallels Client for Windows/Mac/Linux で使用できます。Parallels Client が RDP セッション内で実行されている場合、スマートカードは認証に使用できないことに注意してください。
スマートカードを使用するには、ユーザーのデバイスに有効な証明書をインストールしておく必要があります。そのためには、認証局のルート証明書をデバイスの鍵ストアにインポートしなければなりません。
以下の条件を満たした証明書を使用してください。
”キー使用法”フィールドにデジタル署名が入っていなければなりません。
”サブジェクト代替名”(SAN)フィールドにユーザーのプリンシパル名(UPN)が入っていなければなりません。
”拡張キー使用法”フィールドにスマートカードのログオンとクライアント認証が入っていなければなりません。
認証ドメインを指定するには、次のいずれかを選択します。
特定: このオプションを選択し、特定のドメイン名を入力します。
信頼性のある全ドメイン: Parallels RAS に接続するユーザーについての情報がフォレスト内のさまざまなドメインに保存されている場合、複数のドメインに対して認証するには、[信頼性のある全ドメイン] オプションを選択します。
指定されたクライアントドメインを使用: このオプションを選択すると、Parallels Client の接続プロパティで指定されたドメインを使用します。クライアント側でドメイン名が指定されていない場合、上記の設定に従って認証が行われます。
クライアントに NetBIOS 資格情報の使用を強制する: このオプションを選択すると、Parallels Client はユーザー名を NetBIOS ユーザー名で置き換えます。
注: スマートカードの資格情報の“Subject Alternative Name”(SAN)フィールドにユーザープリンシパル名(UPN)がない場合(あるいは、“Subject Alternative Name”フィールド自体がない場合)、[クライアントに NetBIOS 資格情報の使用を強制する] オプションを無効にする必要があります。
推奨: ドメイン名の変更や、その他の認証関連の変更を行った後は、[設定] タブの [セッション ID のキャッシュを削除する] ボタンをクリックしてください。
スタンドアロンマシンで指定されたユーザーに対してユーザーセッションを認証するには、ドメイン名の代わりに [workgroup_name] / [machine_name] を入力する必要があります。ワークグループ WORKGROUP のメンバーである SERVER1 と呼ばれるマシン上のローカルユーザーのリストに対してユーザーを認証する場合、ドメインフィールドには次のように入力します。WORKGROUP/SERVER1
ドメインパスワードの変更にカスタム URL を使用するように Parallels Client を構成できます。
ドメインパスワードの変更にカスタム URL を使用するように Parallels Client を構成するには、次の手順を実行します。
[”ドメインパスワードを変更”オプションにカスタムリンクを使用する] を選択します。
以下のテキストフィールドにリンクを追加します。
[詳細] タブでは、RADIUS サーバーが送信するエラーメッセージのうち、Parallels Client で表示されないものを指定できます。これは、エラーメッセージがユーザーを混乱させたり、ユーザーエクスペリエンスを阻害したりする場合に有効です。
デフォルトでは、無視するメッセージのリストに「New SMS passcodes sent.」が追加されています(DUO Radius 向け)。これは、SMS による認証をよりシンプルにするために設定されています。このメッセージを無視対象のリストから削除することはお勧めしません。
無視するメッセージのリストに新しいメッセージを追加するには、次の操作を実行します。
[詳細] タブで、[タスク] > [追加] をクリックします(または [+] アイコンをクリックします)。
無視させたいエラーメッセージの正確なテキストを入力します。メッセージの大文字と小文字は区別されません。なお、RADIUS サーバーから送信されるテキストのみを指定する必要があります。たとえば、Parallels Client で”Code [01/00000003] Logon using RADIUS failed.エラー: New SMS passcodes sent.”というエラーが発生した場合、「New SMS passcodes sent.」を追加する必要があります。
RADIUS [プロパティ] ダイアログの [自動化] タブでは、MFA ログインプロセス中に RADIUS サーバーに送信するセキュリティ検証方法とカスタムコマンドを構成して、Parallels Client ユーザーの OTP エクスペリエンスをカスタマイズできます。さまざまなセキュリティ検証方法に優先順位を割り当て、自動的に使用されるように構成できます。
この機能を構成すると、ユーザーは、プッシュ通知、電話のコールバック、SMS、メール、カスタムなど、事前に定義され構成可能なリストから好みのセキュリティ検証方法を選択することができます。これらの方法は、Parallels Client の OTP ダイアログにクリック可能なアイコンとして表示されます。ユーザーがアイコンをクリックすると、RADIUS サーバーにコマンドが送信され、対応する検証方法が使用されます。
検証方法(このダイアログや Parallels RAS Console では“アクション”とも呼ばれます)を構成するには、[自動化] タブで [タスク] > [追加] をクリックします。この [アクションを追加] ダイアログで次のプロパティを指定します。
アクションを有効化: アクションを有効または無効にします。
タイトル: Parallels Client のクリック可能なアイコンに表示されるテキスト(例: “プッシュ”)。
コマンド: Parallels Client でアクションアイコンがクリックされたときに使用する OTP コマンド。コマンドの仕様については、MFA プロバイダーにお問い合わせください。
説明: マウスポインターがアクションアイコンの上に移動されたときに、ユーザーの画面に吹き出しとして表示される説明。
アクションメッセージ: 接続の進捗状況ボックスに表示されるメッセージ。
画像を選択: 提供されたギャラリーから画像を選択します。画像は Parallels Client の OTP ダイアログのアクションアイコンとして使用されます。
完了したら、[OK] をクリックして、アクションを保存します。他のアクションについても、上記の手順を繰り返します。
注: 最大 5 つのアクションを作成することができます。5 つすべてが作成されると、[タスク] > [追加] メニューは無効になります。
[自動化] タブのアクションは、リストの中で上または下に移動できます。この操作により、Parallels Client にアクションアイコンが表示される順序が決まります。
自動送信
アクションのために構成できるオプションがもう 1 つあります。それは [自動送信] と呼ばれているものです。このオプションは 1 つのアクションに対してのみ有効にでき、デフォルトのアクションとなって、ユーザーの操作なしで自動的に使用されます。
[自動送信] オプションを有効にするには、[自動化] タブでアクションを選択し、[タスク] > [自動送信] をクリックします。このオプションを無効にするには、同じメニューをもう一度クリックします。あるアクションで [自動送信] を有効にすると、以前のアクションでは自動的に無効になります。
以下の 2 つの方法により、Parallels Client でアクションを自動的に実行させることができます。
クライアントが初めてアクションアイコンの構成を受信するとき、そのうちの 1 つのアクションの [自動送信] を有効にします。
[ポリシー] > [セッション] > [接続] > [多要素認証] で [前回使用した手法を記憶] オプションを有効にします。このオプションを有効にし、Parallels Client がポリシーを受信すると、ユーザーが最後に使用したメソッドがデフォルトの自動メソッドになります。
Parallels Client
ユーザーが MFA を介して Parallels RAS にログインすると、Parallels Client に OTP ダイアログが表示され、アクションアイコンが OTP フィールドの上に配置されます。ユーザーがアイコンをクリックすると、事前に定義されたアクションに従って認証が行われます。たとえば、ユーザーが“プッシュ”アイコンをクリックすると、プッシュ通知がユーザーのモバイルデバイスに送信され、“承認”をタップするだけで認証が行われます。または、“メール送信”アイコンがある場合は、テキストがワンタイムパスワード付きでユーザーの携帯電話に送信されます。アクションの 1 つが [自動送信] オプションを有効にしている場合、そのアクションが自動的に使用されます。
ユーザーが常に同じ認証方法を使用している場合は、それをデフォルトの認証方法にすることができます。そのためには、ユーザーは、接続プロパティの [多要素認証] セクションで [前回使用した手法を記憶] オプションを有効にします。各プラットフォームで、このオプションは以下の場所にあります。
Parallels Client for Windows/Linux: [接続の詳細設定] > [多要素認証]
Parallels Client for Mac: [詳細] > [多要素認証]
Parallels Client for Chrome: 詳細設定
Web Client: 設定
Parallels Client for iOS: [接続設定] > [多要素認証]
Parallels Client for Android: [設定] > [多要素認証]
前述したように、[前回使用した手法を記憶] は、RAS Console のクライアントポリシーでも構成できます。このオプションは、デフォルトで有効になっています。
注: この機能は、バージョン 19 より前の Parallels Client および Parallels Client for Chrome ではサポートされていません。ログオン時間ルールを作成すると、これらいずれかのクライアントによって(サイト内の)公開済みリソースに接続する機能が制限されます。
ログオン時間制限は、柔軟な表現的記述で設定できるルールにより、指定された時間帯について公開済みリソースへのユーザーアクセスを制限する機能です。
前提条件
タイムゾーンのリダイレクト機能を任意の方法で動作させるには、サーバー上で設定する必要があります。
グループポリシー設定 [タイムゾーンリダイレクトを許可] を有効化するには、次の操作を実行します。
Active Directory サーバーで、グループポリシー管理コンソールを開きます。
ドメインとグループポリシーオブジェクトを展開します。
グループポリシー設定用に作成した GPO を右クリックし、[編集] を選択します。
グループポリシー管理エディターで、[コンピューターの構成] > [ポリシー] > [管理テンプレート] > [Windows コンポーネント] > [リモートデスクトップサービス] > [リモートデスクトップセッションホスト] > [デバイスとリソースのリダイレクト] に移動します。
設定 [タイムゾーンリダイレクトを許可] を有効化します。
新しいログオン時間のルールを追加する
新しいログオン時間のルールを追加するには、次の手順を実行します。
RAS Console で、[接続] > [ログオン時間] タブを選択します。
[タスク] > [追加] をクリックします(または [+] アイコンをクリックします)。
[名前] フィールドで、ルールの名前を指定します。
[説明] フィールドで、ルールの説明を追加します
[条件] セクションで、ルールの条件を指定します。以下のコントロールを利用できます。
(+): 新しい条件を追加します。一致条件として、Secure Gateway、クライアントデバイス名、クライアントデバイスのオペレーティングシステム、IP アドレス、ハードウェア ID のいずれかを使用したい場合は、**(+)**をクリックします。表示されるコンテキストメニューで、マッチングさせたいオブジェクトの種類を選択し、表示されるダイアログで特定のオブジェクトを追加します。新しい条件が次の行に表示されます。
(X): マッチングから特定のオブジェクトを削除します。たとえば、IP アドレス 198.51.100.1 をマッチングから削除したい場合は、その横にある**(X)**をクリックします。このコントロールは、少なくとも 1 件のオブジェクトが追加されたときに表示されます。条件内のすべてのオブジェクトが削除された場合、その条件は削除されます。
is および is not: ユーザー接続が条件に一致した場合に、ログオン時間ルールを適用するかどうかを指定します。これらのオプションは、クリックすると切り替わります。このコントロールは、少なくとも 1 件のオブジェクトが追加されたときに表示されます。
configure: マッチさせるオブジェクトのリストを編集します。このリンクをクリックして新しいオブジェクトを追加または削除します。最初の条件(ユーザーまたはグループ)の場合、このリンクは everyone と呼ばれることに注意してください。この条件のオブジェクトを指定すると、構成が変更されます。
[ログオン時間] では、ユーザーのログオンが許可される時間帯を指定します。特定の曜日や時間帯のログオンを拒否するには、任意の曜日や時間帯を選択し、表の右側にある [ログオン拒否] ボタンをクリックします。
[OK] をクリックします。
[適用] をクリックします。
注: ログオン時間のルールが指定されていない場合は、公開済みリソースへのアクセスは制限されません。ルールが指定されていても、ユーザー接続がそのいずれにも一致しない場合、ユーザーのアクセスは拒否されます。
また、ログオン時間ルールには、以下の設定を追加することもできます。
ログオンが許可されている時間外に Parallels Client の接続を許可しない: このオプションが選択されると、Parallels Client はサイト上で公開されているリソースに接続できなくなります。
時間が超過した場合にユーザーセッションを切断: このオプションが選択されている場合、セッションが切断される際に通知がユーザーに表示されます。このオプションが選択されている場合、以下の項目を設定できるようになります。
切断の前にユーザーに通知: クライアントをファームから切断する際、Parallels RAS からユーザーに対して前もって通知する時間を設定します。
セッション時間の延長を許可: このオプションが選択されている場合、セッションを延長できるようになります。
これらの設定を指定するには、以下の手順を実行します。
RAS Console で、[接続] > [ログオン時間] タブを選択します。
構成するルールを選択します。
[タスク] メニューの左側にある歯車のアイコンをクリックします。[オプション] ダイアログが開きます。ここから、必要なオプションを選択します。
Parallels RAS では、アクセス制御に多要素認証を使用できます。多要素認証が使用される場合、ユーザーはアプリケーションリストを取得するために連続する 2 つのステージを経て認証することが必要になります。第 1 レベルの認証は、常にネイティブ認証(Active Directory/LDAP)を使用しますが、第 2 レベルの認証では、次のいずれかのソリューションを使用できます。
Azure MFA(RADIUS)
Duo(RADIUS)
FortiAuthenticator(RADIUS)
TekRADIUS
RADIUS
Google Authenticator
Microsoft Authenticator
TOTP(時間ベースのワンタイムパスワード)
多要素認証では、標準のユーザー名とパスワードを使用する代わりに、静的ユーザー名と、トークンによって生成された一時パスワードを使用するので、さらに強固なセキュリティを提供します。
MFA プロバイダーを追加する方法については、のセクションを参照してください。
も参照してください。
Duo RADIUS で Parallels RAS を構成する方法については、次の Parallels KB 記事を参照してください。。
このセクションをお読みになる前に、以下の重要なお知らせをご確認ください。
注: 2019 年 7 月 1 日より、Microsoft は新規の展開用の MFA サーバーの提供を取りやめます。ユーザーの多要素認証を必要とする新しいお客様は、クラウドベースの Azure Multi-factor Authentication を使用する必要があります。7 月 1 日より前に MFA サーバーをアクティベートした既存のお客様は、これまでどおり最新バージョンのプログラムや今後のアップデートをダウンロードしたり、ライセンス認証の資格情報を生成したりできます。。 新規の展開用には、RAS で、Azure の NPS 拡張機能()や、Azure MFA サービスを SAML 構成とともに使用されることをお勧めします。
Azure MFA の構成
ユーザーロケーションに応じて、クラウド MFA サービスには 4 つのシナリオがあります。
MFA サーバーをダウンロードしてアクティベートするには、グローバル管理者の役割のある Azure アカウントが必要です。オンプレミスでのみ動作する MFA サーバーを設定するために、Microsoft Entra ID との同期(AD Connect 経由)またはカスタム DNS ドメインは必要ありません。
ユーザーを MFA サーバーにインポートし、MFA 認証が得られるように構成する必要があります。
Parallels RAS は、RADIUS 二要素認証プロバイダーを使用して、MFA サーバーでユーザーを認証します。このため、RAS サーバーからの RADIUS クライアント接続を許可するように MFA サーバーを構成する必要があります。
認証プロセスは、以下のステージを通過します。
ステージ 2 では、RADIUS または Windows AD を使用して、ユーザーを認証できます。パスワードを転送するオプションを有効にすることにより、資格情報を 2 回(ステージ 1 と 6)入力するように求めるプロンプトを回避できます。
Google Authenticator を構成するには、以下の手順を実行します。
次の要素を指定します。
表示名: この場合のデフォルト名は Google Authenticator です。その名前は、Parallels Client の登録ダイアログの”Google Authenticator アプリを iOS または Android のデバイスにインストールしてください”という部分に表示されます。名前を変更すると、“iOS または Android 端末に <new-name> アプリをインストールしてください”のように、文中に指定した名前が表示されます。技術面からすると、どの認証アプリでも使用できますが(つまり、名前を変更することも可能ですが)、この資料の執筆時点では Google Authenticator アプリだけが正式にサポートされています。
ユーザープロンプト: OTP ダイアログが表示されたときにユーザーに表示されるテキストを指定します。
ユーザーの登録セクションでは、必要に応じて Google 認証経由のユーザー登録を制限できます。すべてのユーザーが制限なしで登録できるようにしたり( [許可] オプション)、指定した日時までに限り登録できるようにしたり([次の日時まで許可])、登録を完全に無効にしたり([許可しない] オプション)できます。有効期限が切れていたり、[許可しない] オプションが選択されていたりして、登録が無効になっている場合にユーザーがログインを試みると、登録が無効化されていることを示すエラーメッセージが表示され、システム管理者に問い合わせるよう促されます。登録を制限したり無効にしたりしても、Google 認証機能や他の TOTP プロバイダーを使用することができますが、それ以上のユーザーの登録を許可しないようなセキュリティが追加されています。これは、危殆化した認証情報を持つユーザーが MFA に登録する可能性を軽減するためのセキュリティ対策です。
未登録ユーザーに情報を表示: 未登録のユーザーが間違った資格情報を入力したときに、ユーザー名またはパスワードが正しくありませんというエラーを表示するかどうかを選択します。
なし(もっとも安全): 未登録のユーザーには、エラーではなく TOTP プロンプトが表示されます。
登録が許可された場合: ユーザー登録が許可されている場合、未登録のユーザーにはエラーが表示されます。そうでない場合は、TOTP プロンプトが表示されます。
常に: 未登録のユーザーには必ずエラーが表示されます。
[認証] セクションでは、TOTP の許容範囲を構成することができます。時間ベースのワンタイムパスワード(TOTP)を使用する場合、RAS Connection Broker とクライアントデバイス間で時間を同期させる必要があります。同期は、グローバル NTP サーバー(time.google.com など)に対して実行される必要があります。[TOTP 許容範囲] ドロップダウンリストを使用して、認証の実行中に許容すべき時間差を選択できます。ドロップダウンリストを展開し、事前に定義された値(秒数)のいずれかを選択します。時間差の許容範囲の変更は、セキュリティトークンの有効時間の拡大を意味し、不正に利用できる時間枠が広くなりセキュリティ上の影響があるため、注意して行う必要があります。
注: 時間ベースのワンタイムパスワード(TOTP)プロバイダーを使用する場合、Connection Broker とクライアントデバイスの両方の時間をグローバル NTP サーバー(time.google.com など)と同期させる必要があります。TOTP の許容範囲を追加すると、ワンタイムパスワードの有効性が拡大し、セキュリティに影響を及ぼす可能性があります。
[ユーザー管理] セクションの [ユーザーをリセット] フィールドでは、ユーザーが Google 認証を使用して Parallels RAS に初めてログインしたときに受け取ったトークンをリセットできます。ユーザーをリセットすると、ユーザーは登録手続きを再び実行しなければならなくなります(詳細については、下記の**「Parallels Client での Google 認証の使用」**を参照)。特定のユーザーを検索することも、すべてのユーザーをリセットすることも、ユーザーのリストを CSV ファイルからインポートすることも可能です。
[完了] をクリックします。
また、TOTP 有効時間は、デフォルトの 30 秒 + 過去の x 秒 + 未来の x 秒として計算されることに注意してください。
Parallels Client での Google Authenticator の使用
重要: Google Authenticator やその他の TOTP プロバイダーを使用するには、ユーザーのデバイスと RAS Connection Broker サーバーの間で時間を同期する必要があります。そうしないと、Google 認証は失敗します。
Google Authenticator は、サポートされているいずれのプラットフォームで実行している Parallels Client でも利用できます(モバイル、デスクトップ、ウェブの各クライアントでサポートされています)。
Google 認証を使用するには、ユーザーが認証アプリを自分の iOS デバイスまたは Android デバイスにインストールしなければなりません。Google Play または App Store にアクセスして、アプリをインストールしてください。認証アプリをインストールしたら、二要素認証を使用して Parallels RAS に接続する準備が整ったことになります。
Parallels RAS に接続するには、以下の手順を実行します。
Parallels Client または Web Client を開き、自分の資格情報を使用してログインします。
多要素認証ダイアログが開き、バーコード(QR コード)と秘密鍵が表示されます。
モバイルデバイスで Google 認証アプリを開きます。
初めて使用する場合は、[開始] をタップし、[バーコードをスキャンする] をタップします。
Google 認証の別のアカウントを持っている場合は、プラス記号のアイコンをタップし、[バーコードをスキャンする] を選択します。
Parallels Client のログインダイアログに表示されているバーコードをスキャンします。
何かの理由でうまくスキャンできない場合は、アプリに戻り、[秘密鍵を入力する] を選択し、アカウント名と Parallels Client のログインダイアログに表示されている秘密鍵を入力します。
アプリで [アカウントを追加する] をタップすると、アカウントが作成され、ワンタイムパスワードが表示されます。
Parallels Client に戻り、[次へ] をクリックし、[OTP] フィールドにワンタイムパスワードを入力します。
その後のログインでは、資格情報([パスワードの保存] オプションが選択されている場合は不要)と、Google 認証アプリで取得したワンタイムパスワードを入力するだけで十分です(アプリによって新しいパスワードが生成されます)。RAS 管理者がユーザーをリセットすると(このセクションの最初にある [ユーザーをリセット] フィールドの説明を参照)、ユーザーが上記の登録手順を繰り返さなければならなくなります。
ここでは、TOTP MFA プロバイダーを Parallels RAS に統合する方法について説明します。
ユーザーロケーション | クラウド内の MFA | MFA サーバー |
Microsoft Entra ID | はい |
Microsoft Entra ID と AD FS とのフェデレーションを使用するオンプレミス AD(SSO に必須) | はい | はい |
Microsoft Entra ID と DirSync を使用するオンプレミス AD、Azure AD Sync、Azure AD Connect - パスワードなしの同期 | はい | はい |
Microsoft Entra ID と DirSync を使用するオンプレミス AD、Azure AD Sync、Azure AD Connect - パスワードありの同期 | はい |
オンプレミス Active Directory | はい |
TOTP 設定を構成するには、以下の手順を実行します。
次の要素を指定します。
表示名: この場合のデフォルト名は TOTP です。その名前は、Parallels Client の登録ダイアログの”TOTP アプリを iOS または Android のデバイスにインストールしてください”という部分に表示されます。名前を変更すると、“iOS または Android 端末に <new-name> アプリをインストールしてください”のように、文中に指定した名前が表示されます。
ユーザープロンプト: OTP ダイアログが表示されたときにユーザーに表示されるテキストを指定します。
ユーザーの登録セクションでは、必要に応じてユーザー登録を制限できます。すべてのユーザーが制限なしで登録できるようにしたり( [許可] オプション)、指定した日時までに限り登録できるようにしたり([次の日時まで許可])、登録を完全に無効にしたり([許可しない] オプション)できます。有効期限が切れていたり、[許可しない] オプションが選択されていたりして、登録が無効になっている場合にユーザーがログインを試みると、登録が無効化されていることを示すエラーメッセージが表示され、システム管理者に問い合わせるよう促されます。登録を制限したり無効にしたりしても、Google 認証機能や他の TOTP プロバイダーを使用することができますが、それ以上のユーザーの登録を許可しないようなセキュリティが追加されています。これは、危殆化した認証情報を持つユーザーが MFA に登録する可能性を軽減するためのセキュリティ対策です。
未登録ユーザーに情報を表示: 未登録のユーザーが間違った資格情報を入力したときに、ユーザー名またはパスワードが正しくありませんというエラーを表示するかどうかを選択します。
なし(もっとも安全): 未登録のユーザーには、エラーではなく TOTP プロンプトが表示されます。
登録が許可された場合: ユーザー登録が許可されている場合、未登録のユーザーにはエラーが表示されます。そうでない場合は、TOTP プロンプトが表示されます。
常に: 未登録のユーザーには必ずエラーが表示されます。
[認証] セクションでは、TOTP の許容範囲を構成することができます。時間ベースのワンタイムパスワード(TOTP)を使用する場合、RAS Connection Broker とクライアントデバイス間で時間を同期させる必要があります。同期は、グローバル NTP サーバー(time.google.com など)に対して実行される必要があります。[TOTP 許容範囲] ドロップダウンリストを使用して、認証の実行中に許容すべき時間差を選択できます。ドロップダウンリストを展開し、事前に定義された値(秒数)のいずれかを選択します。時間差の許容範囲の変更は、セキュリティトークンの有効時間の拡大を意味し、不正に利用できる時間枠が広くなりセキュリティ上の影響があるため、注意して行う必要があります。 注: TOTP プロバイダーを使用する場合、Connection Broker とクライアントデバイスの両方の時間をグローバル NTP サーバー(time.google.com など)と同期させる必要があります。TOTP の許容範囲を追加すると、ワンタイムパスワードの有効性が拡大し、セキュリティに影響を及ぼす可能性があります。
[ユーザー管理] セクションの [ユーザーをリセット] フィールドでは、ユーザーが TOTP プロバイダーを使用して Parallels RAS に初めてログインしたときに受け取ったトークンをリセットできます。ユーザーをリセットすると、ユーザーは登録手続きを再び実行しなければならなくなります(Google Authenticator でこれを実行する方法については、を参照してください。特定のユーザーを検索することも、すべてのユーザーをリセットすることも、ユーザーのリストを CSV ファイルからインポートすることも可能です。
[完了] をクリックします。
また、TOTP 有効時間は、デフォルトの 30 秒 + 過去の x 秒 + 未来の x 秒として計算されることに注意してください。
を参照してください。
以下は Parallels RAS がサポートするトークンの一覧です。
MobileID(FlashID は MobileID と統合されません)
QuickID
GridID
SafeID
SecureID(RSA)
DigiPass(Vasco)
SafeID などのハードウェアトークンを使用する場合は、提供された XML ファイルを使用して、最初にトークン情報をインポートする必要があります。[インポート] をクリックして、提供された XML ファイルを参照します。XML ファイルがインポートされたら、各ハードウェアトークンをユーザーに割り当てる必要があります。
Parallels Client
DualShield を有効にすると、ユーザーに二要素認証が適用されます。QuickID などのソフトウェアトークンを使用すると、管理者はユーザーごとにトークンを作成する必要はありません。ユーザーが最初にログインを試みたときに、RAS Connection Broker がトークンを自動で作成します。
ユーザーが Parallels Client から RAS 接続へのアクセスを試みると、まず Windows ユーザー名とパスワードの入力を求められます。資格情報が受け付けられると、RAS Connection Broker は DualShield サーバーと通信を行い、そのユーザーに固有のトークンを作成します。
MobileID または QuickID を使用する場合は、該当のソフトウェアをどこでダウンロードできるかに関するメールがユーザーに送信されます。
QuickID トークンを使用する場合、アプリケーションは、メールまたは SMS で送信された一時パスワードを要求します。
OTP を求められた場合は、ワンタイムパスワードを入力して Parallels Application Server XG ゲートウェイにログインします。
このセクションでは、Deepnet DualShield 認証プラットフォーム 5.6 以降を Parallels RAS と統合する方法を説明します。
このセクションでは、以下の内容を説明します。
DualShield 認証プラットフォームについては、次のドキュメントも参照してください。
DualShield 認証プラットフォーム - インストールガイド
DualShield 認証プラットフォーム - クイックスタートガイド
DualShield 認証プラットフォーム - 管理ガイド
メールによるワンタイムパスワードの送信を設定するには次の手順を実行します。
次の要素を指定します。
名前: RAS Console に表示される名前。
(オプション)説明: MFA の説明。
テーマ: MFA を使用するテーマ。
表示名: Parallels Client に表示される名前。
OTP の長さ: OTP の長さ。4~20 の数字を指定します。
OTP の有効期間: OTP が有効な期間。30~240 秒で指定します。
ユーザープロンプト: OTP ダイアログが表示されたときにユーザーに表示されるテキストを指定します。
メールの件名: OTP を含むメールの件名。
メールの本文: OTP を含むメールの本文。
外部メールアドレスを使った登録をユーザーに許可: ユーザーが外部のメールアドレスを使用して登録する場合は、このオプションを選択します。外部のメールアドレスは、RAS ストレージまたは AD 属性に保存できます。Active Directory のカスタム属性にメールを保存する場合は、AD カスタム属性フィールドで属性名を指定する必要があります。[検証] をクリックして、AD 属性にメールアドレスを保存するのに必要な権限を持っていることを確認できます。
ユーザーの登録セクションでは、必要に応じてユーザー登録を制限できます。すべてのユーザーが制限なしで登録できるようにしたり( [許可] オプション)、指定した日時までに限り登録できるようにしたり([次の日時まで許可])、登録を完全に無効にしたり([許可しない] オプション)できます。有効期限が切れていたり、[許可しない] オプションが選択されていたりして、登録が無効になっている場合にユーザーがログインを試みると、登録が無効化されていることを示すエラーメッセージが表示され、システム管理者に問い合わせるよう促されます。登録を制限したり無効にしたりしても、Google 認証機能や他の TOTP プロバイダーを使用することができますが、それ以上のユーザーの登録を許可しないようなセキュリティが追加されています。これは、危殆化した認証情報を持つユーザーが MFA に登録する可能性を軽減するためのセキュリティ対策です。
未登録ユーザーに情報を表示: 未登録のユーザーが間違った資格情報を入力したときに、ユーザー名またはパスワードが正しくありませんというエラーを表示するかどうかを選択します。
なし(もっとも安全): 未登録のユーザーには、エラーではなく TOTP プロンプトが表示されます。
登録が許可された場合: ユーザー登録が許可されている場合、未登録のユーザーにはエラーが表示されます。そうでない場合は、TOTP プロンプトが表示されます。
常に: 未登録のユーザーには必ずエラーが表示されます。
SafeNet 設定を構成するには、以下の手順を実行します。
[接続] セクションで、[OTP 用 URL] フィールドに有効な URL を入力します。OTP サービスとの接続を確立できることを確認するには、[接続の確認] ボタンをクリックします。
注: RAS Connection Broker は SafeNet トークン管理システムサーバーと通信します。セキュリティ上の理由から、認証サーバーをファイアウォールの内側に配置することを強くお勧めします。
[確認証明] タブをクリックします。
[モード] ドロップダウンリストで、ユーザーをどのような方法で認証するかを選択します。
次のモードを利用できます。
[すべてのユーザーに必須です:] を選択すると、システムを使用するすべてのユーザーが二要素認証を使用してログインする必要があります。
ドメイン認証されたユーザーのトークンを作成: ドメイン認証されたユーザーのソフトウェアトークンを Parallels RAS で自動作成することができます。ドロップダウンリストからトークンのタイプを選択します。このオプションは、ソフトウェアトークンでのみ機能します。
Safenet が付いているアカウントのみ利用できます: SafeNet アカウントを持たないユーザーは二要素認証を使用してログインしなくてもシステムを使用できます。
[TMS Web API URL] フィールドに SafeNet API URL の場所を入力します。
[ユーザーリポジトリ] フィールドにユーザーリポジトリの宛先を入力します。
[完了] をクリックします。
Parallels Client
Parallels Client の [新しいアカウント情報] ダイアログで、次の手順を実行します。
[OTP PIN] 数字フィールドに任意の 4 桁の数字を入力します(これらの数字はプロセスの後で必要になります)。
メールアドレスを入力し、[OK] をクリックします。
メールアカウントにログインして、SafeNet 認証をアクティベートするために必要な情報が記載されている電子メールを取得します。この電子メールの例を以下に示します。
アクティベーションキー: YZQHoczZWw3cBCNo
トークンシリアル番号: 4F214C507612A26A
MobilePASS クライアントを http://localhost:80/TMSService/ClientDownload/MobilePASSWin.exe からダウンロードします。
*ドメイン資格情報でログインします。
*MobilePASS クライアントと同じフォルダーに添付のシードファイルを保存してください。
ワンタイムパスワードを入力して、RD セッションホスト接続にログインします。
アプリケーション PIN: 4089
電子メールに記載されている URL から MobilePASS クライアントをダウンロードします。
SafeNet の電子メールに記載されているアクティベーションキーを入力します。
次に、電子メールに記載されているアプリケーション PIN を [MobilePASS PIN] フィールドに入力します。
[このゲスト OS の] をクリックして eToken 番号を生成し、[コピー] をクリックします。
OTP PIN と eToken を次の順番で組み合わせます。OTP + eToken
この値を Parallels Client に入力し、[OK] をクリックしてログインします。
ユーザーのメールアドレスによる RAS ファームへのログインを可能にします。これにより、ユーザーはサーバーのアドレスやホスト名を知らなくても、ファーム上で公開されているアプリケーションやデスクトップにアクセスできるようになります。すべてのネイティブ Parallels Client で、メールアドレス入力による Parallels RAS ファームの検索がサポートされるようになりました。
ユーザーが自分のメールアドレスを使用してファームに接続するには、まず、利用中の DNS サーバー上でユーザーが使用するドメインの前方参照ゾーンに新しい TXT レコードを作成する必要があります。具体的な方法は、DNS サーバーの構成によって異なります。
TXT レコードの構文は以下の通りです。
ホスト: _prlsclient
Text: hostname:port/theme;connmode=X;authmode=X
テキストフィールドには、以下のパラメーターが用意されています。
hostname
: Secure Gateway が存在するサーバーのホスト名です。このパラメーターは必須項目です。
port:
Secure Gateway が受信接続を待機しているポートです。このパラメーターはオプションです。
theme
: します。このパラメーターはオプションです。
connmode
: 接続モードです。このパラメーターはオプションです。指定できる値は、0
、1
、2
、3
で以下の意味を持ちます。
0
: ゲートウェイモード
1
: ダイレクトモード
2
: ゲートウェイ SSL
3
: ダイレクト SSL
authmode
: 認証タイプです。このパラメーターはオプションです。指定できる値は、0
、1
、2
、3
で以下の意味を持ちます。
0
: 認証情報
1
: SSO
2
: スマートカード
3
: SAML
入力する文字列の例:
hostname
hostname:port
hostname:port/theme
hostname;connmode=2;authmode=1
DNS レコードの設定後、ユーザーは自分のメールアドレスを使ってログインできるようになります。特定のクライアントでこれを行う方法については、「Parallels Client ガイド」を参照してください。
「DualShield 認証プラットフォーム - インストールガイド」で指定されているすべての手順に従うと、インターネットブラウザー(http://LOCALHOST:8073)で自動的に URP が開き、DualShield の管理コンソールにログインできます。
デフォルトの資格情報(ユーザー: sa、パスワード: sa)を使用して、DualShield の管理コンソールにログインします。デフォルトのパスワードを変更するように要求されます。
アプリケーションへのアクセスが許可されるユーザーのドメインがレルムに含まれているため、アプリケーションはレルムへの接続を提供するように設定されます。
レルムは、複数のドメインユーザーが同じアプリケーションにアクセスできるように設定されます。
Parallels RAS が通信するアプリケーションを作成する必要があります。[確認証明] > [アプリケーションウィザード] をクリックして、以下に表示される情報を入力し、[次へ] を押します。
以下に表示される LDAP サーバーの設定を指定して、[完了] を押します。
アプリケーションの構成後に、DualShield サーバーとエンドユーザーが通信するために使用する電子メールゲートウェイまたは SMS ゲートウェイを構成する必要があります。このドキュメントでは、電子メールゲートウェイを使用します。[構成] メニューの [ゲートウェイ] を選択します。
電子メールゲートウェイを構成します。
[編集] をクリックして、SMTP サーバー情報を入力します。
Deepnet DualShield の構成を実行するには、次の操作を実行します。
次の要素を指定します。
サーバー: Deepnet サーバーのホスト名です。
SSL を有効にする: Deepnet サーバーへの接続時に SSL を使用するかどうかを指定します。
ポート: Deepnet サーバーへの接続に使用されるポートです。
Agent: 登録時に使用される Agent の名前です。
[接続の確認] ボタンをクリックし、認証サーバーにアクセスできることをテストして、RAS Console が DualShield Agent として登録されていることを確認します。”DeepNet サーバーが有効ではありません”というメッセージが表示された場合、以下のような原因が考えられます。
指定したサーバーの情報が正しくない。
DualShield エージェントとして Parallels コンポーネントの自動登録を許可する必要がある。
DualShield エージェントとして Parallels コンポーネントの自動登録を許可する必要がある場合は、次の操作を実行します。
DualShield 管理コンソールに戻り、次のように [確認証明] メニューから [Agent] を選択します。
[自動登録] を選択します。
[使用可能] オプションを選択し、日付範囲を設定します。
Agent の自動登録を設定したら、RAS Console に戻って [はい] を選択します。Dual Shield Agent が正常に登録されたことを示すメッセージが表示されます。
すべての RAS Connection Broker を Deepnet DualShield サーバーに登録する必要があります。セカンダリ Connection Broker を使用している場合は、開いているすべてのウィンドウを閉じる必要があります。すべてのウィンドウを閉じると、RAS Console で [適用] を押せるようになります。これにより、すべての Agent に、DualShield Agent として自己登録するよう通知されます。
RAS Console に戻り、[次へ] をクリックします。
次の要素を指定します。
既定のドメイン: ユーザー、テーマのプロパティ、または接続設定でドメインが指定されていない場合に使用されるドメインです。
[モード] ドロップダウンリストで、ユーザーをどのような方法で認証するかを選択します。
[すべてのユーザーに必須です] を選択すると、システムを使用するすべてのユーザーが二要素認証を使用してログインする必要があります。
[ドメイン認証されたユーザーのトークンを作成] を選択すると、ドメイン認証されたユーザーのソフトウェアトークンを Parallels RAS が自動的に作成することができます。ドロップダウンリストからトークンのタイプを選択します。このオプションは、QuickID や MobileID などのソフトウェアトークンでのみ機能します。
[DualShield が付いているアカウントのみ利用できます] を選択すると、DualShield アカウントを持たないユーザーは二要素認証を使用してログインしなくてもシステムを使用できます。
[チャンネルの許可] セクションで、ユーザーへのワンタイムパスワード送信に使用するチャンネルを選択します。
[完了] をクリックします。
SafeNet トークン管理システムは、セキュアトークンを使用して高価値の保護を提供します。これにより、SafeNet トークン管理システム製品は、Parallels RAS での二要素認証用の完璧なツールとして機能します。
このセクションでは、以下の内容を説明します。
多要素認証(MFA)は、すべてのユーザー接続に対して有効または無効にできますが、特定の接続に対してはより複雑なルールを構成できますこの機能を使用すると、同じユーザーでも、どの場所およびどのデバイスから接続しているかに応じて MFA を有効にしたり無効にしたりできます。各 MFA プロバイダーには、ユーザー接続に対するマッチングに使用される 1 つまたは複数の条件で構成されるルールがあります。各条件は、マッチング可能な 1 つまたは複数の特定のオブジェクトで構成されています。
次のオブジェクトのマッチングを実行できます。
ユーザー、ユーザーが所属するグループ、またはユーザーが接続するコンピューター。
ユーザーが接続する Secure Gateway。
クライアントデバイスの名前。
クライアントデバイスのオペレーティングシステム。
IP アドレス。
ハードウェア ID。ハードウェア ID の形式は、クライアントのオペレーティングシステムに依存します。
ルールについて、次のことに注意してください。
条件とオブジェクトは OR 演算子で接続されます。たとえばあるルールに、特定の IP アドレスに一致という条件とクライアントデバイスのオペレーティングシステムに一致という条件が含まれる場合、ユーザーの接続が IP アドレスの条件またはクライアントオペレーティングシステムの条件のいずれかに一致する場合に、ルールが適用されます。
ルールを構成するには、次の操作を実行します。
RAS Console で、[接続] > [多要素認証] タブを選択します。
ルールを作成したいプロバイダーをダブルクリックします。
[制限] タブを選択します。
ルールの条件を指定します。以下のコントロールを利用できます。
Enable MFA if および Disable MFA if: ユーザー接続がすべての条件に一致する場合に、MFA プロバイダーを有効化するかどうかを指定します。これらのオプションは、クリックすると切り替わります。
(+): 新しい条件を追加します。一致条件として、Secure Gateway、クライアントデバイス名、クライアントデバイスのオペレーティングシステム、IP アドレス、ハードウェア ID のいずれかを使用したい場合は、**(+)**をクリックします。表示されるコンテキストメニューで、マッチングさせたいオブジェクトの種類を選択し、表示されるダイアログで特定のオブジェクトを追加します。新しい条件が次の行に表示されます。
(X): マッチングから特定のオブジェクトを削除します。たとえば、IP アドレス 198.51.100.1 をマッチングから削除したい場合は、その横にある**(X)**をクリックします。このコントロールは、少なくとも 1 件のオブジェクトが追加されたときに表示されます。条件内のすべてのオブジェクトが削除された場合、その条件は削除されます。
is および is not: ユーザー接続が条件に一致した場合に、MFA プロバイダーを有効化するかどうかを指定します。これらのオプションは、クリックすると切り替わります。このコントロールは、少なくとも 1 件のオブジェクトが追加されたときに表示されます。
configure: マッチさせるオブジェクトのリストを編集します。このリンクをクリックして新しいオブジェクトを追加または削除します。最初の条件(ユーザーまたはグループ)の場合、このリンクは everyone と呼ばれることに注意してください。この条件のオブジェクトを指定すると、構成が変更されます。
ユーザーは Parallels Client から直接ドメインパスワードを変更できます。ユーザーは、ドメインパスワードの変更を強制される場合があります(パスワードの有効期限が迫っている場合など)。パスワードを変更する際には、ユーザー名を UPN 形式(例: user@domain.com)で指定する必要があります。
Parallels Client にドメイン名を渡す
ユーザーは自分のドメイン名を知らない場合があります。Parallels RAS では、ドメイン名をクライアント側に自動的に渡すように構成することで、ユーザーがドメイン名を入力する必要がなくなります。
ドメイン名は、RAS Console の以下の場所で指定することができます。
1 つは、[接続] > [認証] タブです。同タブページについては、このセクションですでに説明しました。クライアント側にドメイン名を強制的に指定するには、[特定] オプションを選択してドメイン名を指定します。
もう 1 つは、[テーマのプロパティ] ダイアログです。テーマについては、このガイドの「テーマの構成」のセクションで後述します。テーマにドメイン名を指定すると、[認証] タブページ(上記参照)で指定したドメイン名よりも優先されます。テーマのドメイン名を指定するには、テーマのプロパティダイアログを開き、[一般] カテゴリーを選択し、[認証ドメインを上書き] オプションを選択し、ドメイン名を指定します。
Parallels Client が Parallels RAS に接続すると、上記で指定したドメイン名が Parallels Client に引き渡されます。ユーザーが Parallels Client でダイアログを開いてドメインパスワードを変更すると、ドメイン名は自動的にユーザー名に追加され、ユーザー名フィールドはグレーアウトされます。これにより、ユーザーはドメイン名を指定する必要がなくなります。
カスタムリンクを使用してドメインのパスワードを変更する
ユーザーが Azure Active Directory ドメインサービスまたはサードパーティの IdP を使用して Parallels RAS に接続する場合は、カスタムリンクを使用してドメインパスワードを変更するように構成する必要があります。リンク先は、サービスのパスワードを変更できるページにする必要があります。
ドメインパスワードを変更するためのカスタムリンクを指定するには、次の手順を実行します。
[接続] > [認証] > [ドメインのパスワードを変更] を開きます。
[”ドメインパスワードを変更”オプションにカスタムリンクを使用する] を選択します。
下のテキストフィールドに、ドメインを変更するためのカスタムリンクを指定します。