Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
RADIUS [プロパティ] ダイアログの [自動化] タブでは、MFA ログインプロセス中に RADIUS サーバーに送信するセキュリティ検証方法とカスタムコマンドを構成して、Parallels Client ユーザーの OTP エクスペリエンスをカスタマイズできます。さまざまなセキュリティ検証方法に優先順位を割り当て、自動的に使用されるように構成できます。
この機能を構成すると、ユーザーは、プッシュ通知、電話のコールバック、SMS、メール、カスタムなど、事前に定義され構成可能なリストから好みのセキュリティ検証方法を選択することができます。これらの方法は、Parallels Client の OTP ダイアログにクリック可能なアイコンとして表示されます。ユーザーがアイコンをクリックすると、RADIUS サーバーにコマンドが送信され、対応する検証方法が使用されます。
検証方法(このダイアログや Parallels RAS Console では“アクション”とも呼ばれます)を構成するには、[自動化] タブで [タスク] > [追加] をクリックします。この [アクションを追加] ダイアログで次のプロパティを指定します。
アクションを有効化: アクションを有効または無効にします。
タイトル: Parallels Client のクリック可能なアイコンに表示されるテキスト(例: “プッシュ”)。
コマンド: Parallels Client でアクションアイコンがクリックされたときに使用する OTP コマンド。コマンドの仕様については、MFA プロバイダーにお問い合わせください。
説明: マウスポインターがアクションアイコンの上に移動されたときに、ユーザーの画面に吹き出しとして表示される説明。
アクションメッセージ: 接続の進捗状況ボックスに表示されるメッセージ。
画像を選択: 提供されたギャラリーから画像を選択します。画像は Parallels Client の OTP ダイアログのアクションアイコンとして使用されます。
完了したら、[OK] をクリックして、アクションを保存します。他のアクションについても、上記の手順を繰り返します。
注: 最大 5 つのアクションを作成することができます。5 つすべてが作成されると、[タスク] > [追加] メニューは無効になります。
[自動化] タブのアクションは、リストの中で上または下に移動できます。この操作により、Parallels Client にアクションアイコンが表示される順序が決まります。
自動送信
アクションのために構成できるオプションがもう 1 つあります。それは [自動送信] と呼ばれているものです。このオプションは 1 つのアクションに対してのみ有効にでき、デフォルトのアクションとなって、ユーザーの操作なしで自動的に使用されます。
[自動送信] オプションを有効にするには、[自動化] タブでアクションを選択し、[タスク] > [自動送信] をクリックします。このオプションを無効にするには、同じメニューをもう一度クリックします。あるアクションで [自動送信] を有効にすると、以前のアクションでは自動的に無効になります。
以下の 2 つの方法により、Parallels Client でアクションを自動的に実行させることができます。
クライアントが初めてアクションアイコンの構成を受信するとき、そのうちの 1 つのアクションの [自動送信] を有効にします。
[ポリシー] > [セッション] > [接続] > [多要素認証] で [前回使用した手法を記憶] オプションを有効にします。このオプションを有効にし、Parallels Client がポリシーを受信すると、ユーザーが最後に使用したメソッドがデフォルトの自動メソッドになります。
Parallels Client
ユーザーが MFA を介して Parallels RAS にログインすると、Parallels Client に OTP ダイアログが表示され、アクションアイコンが OTP フィールドの上に配置されます。ユーザーがアイコンをクリックすると、事前に定義されたアクションに従って認証が行われます。たとえば、ユーザーが“プッシュ”アイコンをクリックすると、プッシュ通知がユーザーのモバイルデバイスに送信され、“承認”をタップするだけで認証が行われます。または、“メール送信”アイコンがある場合は、テキストがワンタイムパスワード付きでユーザーの携帯電話に送信されます。アクションの 1 つが [自動送信] オプションを有効にしている場合、そのアクションが自動的に使用されます。
ユーザーが常に同じ認証方法を使用している場合は、それをデフォルトの認証方法にすることができます。そのためには、ユーザーは、接続プロパティの [多要素認証] セクションで [前回使用した手法を記憶] オプションを有効にします。各プラットフォームで、このオプションは以下の場所にあります。
Parallels Client for Windows/Linux: [接続の詳細設定] > [多要素認証]
Parallels Client for Mac: [詳細] > [多要素認証]
Parallels Client for Chrome: 詳細設定
Web Client: 設定
Parallels Client for iOS: [接続設定] > [多要素認証]
Parallels Client for Android: [設定] > [多要素認証]
前述したように、[前回使用した手法を記憶] は、RAS Console のクライアントポリシーでも構成できます。このオプションは、デフォルトで有効になっています。
[接続] タブでは、以下のオプションを指定できます。
表示名: クライアント側のログオン画面に表示される OTP 接続タイプの名前を指定します。ユーザーにとって理解しやすい名前を指定する必要があります。
プライマリサーバーおよびセカンダリサーバー: この 2 つのフィールドでは、構成に含める RADIUS サーバーを 1 台または 2 台指定できます。2 台のサーバーを指定すると、RADIUS ホストの高可用性を構成することができます(下記参照)。ホスト名または IP アドレスを入力してサーバーを指定するか、[...] ボタンをクリックして Active Directory 経由でサーバーを選択します。
RADIUS サーバーが 2 台指定されている場合は、[HA モード] ドロップダウンリストから次の高可用性モードのいずれかを選択します。[アクティブ - アクティブ(パラレル)] は、コマンドが両方のサーバーに同時に送信され、最初に応答した方が使用されます。[アクティブ - パッシブ(フェイルオーバー)] は、フェイルオーバー動作を意味し、タイムアウトが 2 倍になり、Parallels RAS は両方のホストからの応答を待ちます。
HA モード: 上記のプライマリサーバーおよびセカンダリサーバーを参照してください。プライマリサーバーのみを指定した場合、このフィールドは無効になります。
ポート: RADIUS サーバーのポート番号を入力します。デフォルト値を使用するには、[デフォルト] ボタンをクリックします。
タイムアウト: パケットタイムアウトを秒単位で指定します。
再試行: 接続の確立を試みる場合の再試行回数を指定します。
秘密鍵: 秘密鍵を入力します。
パスワードのエンコード: RADIUS サーバーで指定した設定に従って [PAP](パスワード認証プロトコル)または [CHAP](チャレンジハンドシェイク認証プロトコル)から選択します。
[接続の確認] ボタンをクリックして、接続を検証します。接続が適切に構成されている場合、確認メッセージが表示されます。
必要に応じて追加のプロパティを指定します。
ユーザープロンプト: OTP ダイアログが表示されたときにユーザーに表示されるテキストを指定します。
RADIUS サーバーにユーザー名のみを送る: 必要に応じてこのオプションを選択します。
最初のパスワードを Windows 認証プロバイダーに転送する: このオプションを選択すると、パスワードを 2 回入力するプロンプトを回避できます(RADIUS と Windows AD)。Azure MFA サーバーでは、このオプションは常に有効にされていて、解除できないことに注意してください。
選択した RADIUS ソリューションに固有の特定の設定を提案している、ダイアログ(利用可能な場合)の一番下にある注記もお読みください。
[詳細] タブでは、RADIUS サーバーが送信するエラーメッセージのうち、Parallels Client で表示されないものを指定できます。これは、エラーメッセージがユーザーを混乱させたり、ユーザーエクスペリエンスを阻害したりする場合に有効です。
デフォルトでは、無視するメッセージのリストに「New SMS passcodes sent.」が追加されています(DUO Radius 向け)。これは、SMS による認証をよりシンプルにするために設定されています。このメッセージを無視対象のリストから削除することはお勧めしません。
無視するメッセージのリストに新しいメッセージを追加するには、次の操作を実行します。
[詳細] タブで、[タスク] > [追加] をクリックします(または [+] アイコンをクリックします)。
無視させたいエラーメッセージの正確なテキストを入力します。メッセージの大文字と小文字は区別されません。なお、RADIUS サーバーから送信されるテキストのみを指定する必要があります。たとえば、Parallels Client で”Code [01/00000003] Logon using RADIUS failed.エラー: New SMS passcodes sent.”というエラーが発生した場合、「New SMS passcodes sent.」を追加する必要があります。
次の図は、RAS Connection Broker が RADIUS サーバーに接続された状態での、境界ネットワークのダブルホップシナリオを示しています(RADIUS はイントラネット内にありますが、DMZ に配置可能です)。
RADIUS のプロパティを構成するには、次の手順を実行します。
Parallels RAS Console で、[接続] > [多要素認証] に移動します。
構成する MFA プロバイダーをダブルクリックします。
次に、RADIUS プロバイダーの設定を構成する方法について説明します。
このセクションをお読みになる前に、以下の重要なお知らせをご確認ください。
注: 2019 年 7 月 1 日より、Microsoft は新規の展開用の MFA サーバーの提供を取りやめます。ユーザーの多要素認証を必要とする新しいお客様は、クラウドベースの Azure Multi-factor Authentication を使用する必要があります。7 月 1 日より前に MFA サーバーをアクティベートした既存のお客様は、これまでどおり最新バージョンのプログラムや今後のアップデートをダウンロードしたり、ライセンス認証の資格情報を生成したりできます。https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfaserver-deploy。 新規の展開用には、RAS で、Azure の NPS 拡張機能(https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/howto-mfa-nps-extension)や、Azure MFA サービスを SAML 構成とともに使用されることをお勧めします。
Azure MFA の構成
ユーザーロケーションに応じて、クラウド MFA サービスには 4 つのシナリオがあります。
MFA サーバーをダウンロードしてアクティベートするには、グローバル管理者の役割のある Azure アカウントが必要です。オンプレミスでのみ動作する MFA サーバーを設定するために、Microsoft Entra ID との同期(AD Connect 経由)またはカスタム DNS ドメインは必要ありません。
ユーザーを MFA サーバーにインポートし、MFA 認証が得られるように構成する必要があります。
Parallels RAS は、RADIUS 二要素認証プロバイダーを使用して、MFA サーバーでユーザーを認証します。このため、RAS サーバーからの RADIUS クライアント接続を許可するように MFA サーバーを構成する必要があります。
認証プロセスは、以下のステージを通過します。
ステージ 2 では、RADIUS または Windows AD を使用して、ユーザーを認証できます。パスワードを転送するオプションを有効にすることにより、資格情報を 2 回(ステージ 1 と 6)入力するように求めるプロンプトを回避できます。
Duo RADIUS で Parallels RAS を構成する方法については、次の Parallels KB 記事を参照してください。。
RADIUS ソリューションに構成属性が要求されている場合は、[属性] タブをクリックして [追加] をクリックします。開いたダイアログで、事前設定されている任意のベンダーと属性を選択します。
[ベンダー] ドロップダウンリストでベンダーを選択します。
[属性] リストでベンダー属性を選択します。
[値] フィールドに、選択した属性タイプ(数値、文字列、IP アドレス、日付など)に応じた値を入力します。
特定のシナリオでは、このダイアログに表示されていないベンダーや属性を追加する必要があるかもしれません。ベンダーや属性を追加する方法については、以下のナレッジベースの記事を参照してください: 。
[OK] をクリックし、再度 [OK] をクリックしてすべてのダイアログを閉じます。
ユーザーロケーション
クラウド内の MFA
MFA サーバー
Microsoft Entra ID
はい
Microsoft Entra ID と AD FS とのフェデレーションを使用するオンプレミス AD(SSO に必須)
はい
はい
Microsoft Entra ID と DirSync を使用するオンプレミス AD、Azure AD Sync、Azure AD Connect - パスワードなしの同期
はい
はい
Microsoft Entra ID と DirSync を使用するオンプレミス AD、Azure AD Sync、Azure AD Connect - パスワードありの同期
はい
オンプレミス Active Directory
はい