RADIUS MFA プロバイダーの追加

RADIUS MFA プロバイダーを追加するには、以下の操作を実行します。

1. [サイト設定] > [接続] > [多要素認証] に移動します。

2. プラス記号のアイコンをクリックし、追加したいプロバイダーを選択します。

3. 次の要素を指定します。

   • 名前: プロバイダーの名前です。

   • 説明: プロバイダーの説明です。

   • [テーマ] テーブルで、この MFA プロバイダーを使用するテーマを選択します。

4. [次へ] をクリックします。

5. 次の要素を指定します。

   • 表示名: クライアント側のログオン画面に表示される接続タイプの名前を指定します。ユーザーにとって理解しやすい名前を指定する必要があります。

   • プライマリサーバーおよびセカンダリサーバー: この 2 つのフィールドでは、構成に含める RADIUS サーバーを 1 台または 2 台指定できます。2 台のサーバーを指定すると、RADIUS ホストの高可用性を構成することができます（下記参照）。ホスト名または IP アドレスを入力してサーバーを指定するか、[...] ボタンをクリックして Active Directory 経由でサーバーを選択します。

     RADIUS サーバーが 2 台指定されている場合は、[HA モード] ドロップダウンリストから次の高可用性モードのいずれかを選択します。[アクティブ - アクティブ（パラレル）] は、コマンドが両方のサーバーに同時に送信され、最初に応答した方が使用されます。[アクティブ - パッシブ（フェイルオーバー）] は、フェイルオーバー動作を意味し、タイムアウトが 2 倍になり、Parallels RAS は両方のホストからの応答を待ちます。

   • HA モード: 上記のプライマリサーバーおよびセカンダリサーバーを参照してください。プライマリサーバーのみを指定した場合、このフィールドは無効になります。

   • ポート: RADIUS サーバーのポート番号を入力します。デフォルト値を使用するには、[デフォルト] ボタンをクリックします。

   • タイムアウト: パケットタイムアウトを秒単位で指定します。

   • 再試行: 接続の確立を試みる場合の再試行回数を指定します。

   • 秘密鍵: 秘密鍵を入力します。

   • パスワードのエンコード: RADIUS サーバーで指定した設定に従って [PAP]（パスワード認証プロトコル）または [CHAP]（チャレンジハンドシェイク認証プロトコル）から選択します。

   • ユーザープロンプト: OTP ダイアログが表示されたときにユーザーに表示されるテキストを指定します。

   • RADIUS サーバーにユーザー名のみを送る: 必要に応じてこのオプションを選択します。

   • 最初のパスワードを Windows 認証プロバイダーに転送する: このオプションを選択すると、パスワードを 2 回入力するプロンプトを回避できます（RADIUS と Windows AD）。Azure MFA サーバーでは、このオプションは常に有効にされていて、解除できないことに注意してください。

6. 完了したら、[作成] をクリックします。

RADIUS MFA プロバイダーを構成する

RADIUS MFA プロバイダーを構成するには、以下の操作を実行します。

1. [サイト設定] > [接続] > [多要素認証] に移動します。

2. 構成するプロバイダーの名前をダブルクリックします。

3. [編集] ボタンをクリックします。

4. 設定可能なカテゴリーは以下の通りです。

   • [概要] および [接続] カテゴリー: 上記を参照してください。

   • 属性: https://download.parallels.com/ras/v19/docs/en_US/Parallels-RAS-19-Administrators-Guide/46769.htm を参照してください。

• 自動化: https://download.parallels.com/ras/v19/docs/en_US/Parallels-RAS-19-Administrators-Guide/46770.htm を参照してください。

• 制限: 多要素認証ルールの構成を参照してください。

1. 完了したら、[保存] をクリックします。

多要素認証（MFA）は、すべてのユーザー接続に対して有効または無効にできますが、特定の接続に対してはより複雑なルールを構成できますこの機能を使用すると、同じユーザーやコンピューターに対して MFA を有効化/無効化し、ユーザーがどの場所のどのデバイスから接続しているかに応じてポリシーを適用することが可能になります。各 MFA プロバイダーには、ユーザー接続に対するマッチングに使用される 1 つまたは複数の条件で構成されるルールがあります。各条件は、マッチング可能な 1 つまたは複数の特定のオブジェクトで構成されています。

次のオブジェクトのマッチングを実行できます。

• ユーザー、ユーザーが所属するグループ、またはユーザーが接続するコンピューター

• ユーザーが接続する Secure Gateway

• クライアントデバイス名

• クライアントデバイスのオペレーティングシステム

• IP アドレス

• MAC アドレス

ルールについて、次のことに注意してください。

• 条件は AND 演算子で連結されます。たとえばあるルールに、特定の IP アドレスに一致という条件とクライアントデバイスのオペレーティングシステムに一致という条件が含まれる場合、ユーザーの接続が IP アドレスの条件とクライアントオペレーティングシステムの条件の両方に一致する場合に、ルールが適用されます。

• オブジェクトは OR 演算子で接続されます。たとえば、クライアントデバイスのオペレーティングシステムに一致するという条件のみを作成した場合、いずれかのオペレーティングシステムがクライアント接続に一致すれば、ルールが適用されます。

ルールを構成するには、次の操作を実行します。

1. [サイト設定] > [接続] > [多要素認証] に移動します。

2. 構成する Google Authenticator プロバイダーの名前をダブルクリックします。

3. 制限リンクをクリックします。

4. [編集] ボタンをクリックします。

5. [デフォルトを継承] オプションをオフにします。

6. ルールの条件を指定します。以下のコントロールを利用できます。

   • Allow: 指定すると、ユーザー接続が条件に一致した場合に、MFA プロバイダーを有効化しなければならなくなります。Allow をクリックして、Deny に変更できます。

   • Disable: ユーザー接続が条件に一致した場合に、MFA プロバイダーを有効にしないというポリシーを指定します。Deny をクリックして、Allow に変更できます。

   • （+）: 新しい条件を追加します。一致条件として、Secure Gateway、クライアントデバイス名、クライアントデバイスのオペレーティングシステム、IP アドレス、MAC アドレスのいずれかを使用したい場合は、**（+）**をクリックします。

   • is: ユーザー接続が条件に一致した場合に、MFA プロバイダーを有効化すること（または有効化しないこと。Allow と Deny による）を指定します。is をクリックして、is not に変更できます。このコントロールは、少なくとも 1 件のオブジェクトが追加されたときに表示されます。

   • is not: ユーザー接続が条件に一致しなかった場合に、MFA プロバイダーを有効化すること（または有効化しないこと。Allow と Deny による）を指定します。is not をクリックして、is に変更できます。このコントロールは、少なくとも 1 件のオブジェクトが追加されたときに表示されます。

   また、条件の左側のスイッチをクリックすることで、条件を無効化および有効化できます。

7. 完了したら、[保存] をクリックします。

このセクションでは、Google Authenticator を構成する方法を説明します。

Google Authenticator を構成するには、以下の手順を実行します。

1. [サイト設定] > [接続] > [多要素認証] に移動します。

2. 構成する Google Authenticator プロバイダーの名前をダブルクリックします。

3. [編集] ボタンをクリックします。

4. 次の要素を指定します。

   • 名前: プロバイダーの名前です。

   • 説明: プロバイダーの説明です。

   • [テーマ] テーブルで、この MFA プロバイダーを使用するテーマを選択します。

   • 表示名: この場合のデフォルト名は「Google Authenticator」です。その名前は、Parallels Client の登録ダイアログの”Google Authenticator アプリを iOS または Android のデバイスにインストールしてください”という部分に表示されます。名前を変更すると、“iOS または Android 端末に <new-name> アプリをインストールしてください”のように、文中に指定した名前が表示されます。技術面からすると、どの認証アプリでも使用できますが（つまり、名前を変更することも可能ですが）、この資料の執筆時点では Google Authenticator アプリだけが正式にサポートされています。

   • ユーザープロンプト: OTP ダイアログが表示されたときにユーザーに表示されるテキストを指定します。

   • 必要に応じて、デフォルトの TOTP 許容範囲を変更します。

   • [登録] セクションでは、必要に応じて Google Authenticator のユーザー登録を制限できます。すべてのユーザーが制限なしで登録できるようにしたり（ [許可] オプション）、指定した日時までに限り登録できるようにしたり（[次の日時まで許可]）、登録を完全に無効にしたり（[許可しない] オプション）できます。有効期限が切れていたり、[許可しない] オプションが選択されていたりして、登録が無効になっている場合にユーザーがログインを試みると、登録が無効化されていることを示すエラーメッセージが表示され、システム管理者に問い合わせるよう促されます。登録を制限したり無効にしたりしても、Google 認証機能や他の TOTP プロバイダーを使用することができますが、それ以上のユーザーの登録を許可しないようなセキュリティが追加されています。これは、危殆化した認証情報を持つユーザーが MFA に登録する可能性を軽減するためのセキュリティ対策です。

   • 未登録ユーザーに情報を表示: 未登録のユーザーが間違った資格情報を入力したときに、ユーザー名またはパスワードが正しくありませんというエラーを表示するかどうかを選択します。

     • なし（もっとも安全）: 未登録のユーザーには、エラーではなく TOTP プロンプトが表示されます。

     • 登録が許可された場合: ユーザー登録が許可されている場合、未登録のユーザーにはエラーが表示されます。そうでない場合は、TOTP プロンプトが表示されます。

     • 常に: 未登録のユーザーには必ずエラーが表示されます。

   • [ユーザー管理] セクションの [ユーザーをリセット] フィールドでは、ユーザーが Google 認証を使用して Parallels RAS に初めてログインしたときに受け取ったトークンをリセットできます。ユーザーをリセットすると、ユーザーは登録手続きを再び実行しなければならなくなります（詳細については、下記の**「Parallels Client での Google 認証の使用」**を参照）。特定のユーザーを検索することも、すべてのユーザーをリセットすることも、ユーザーのリストを CSV ファイルからインポートすることも可能です。

   • 制限: 多要素認証ルールの構成を参照してください。

5. 完了したら、[保存] をクリックします。

Parallels Client での Google Authenticator の使用

Google Authenticator は、サポートされているいずれのプラットフォームで実行している Parallels Client でも利用できます（モバイル、デスクトップ、Web Client でサポートされています）。

Google 認証を使用するには、ユーザーが認証アプリを自分の iOS デバイスまたは Android デバイスにインストールしなければなりません。Google Play または App Store にアクセスして、アプリをインストールしてください。認証アプリをインストールしたら、二要素認証を使用して Parallels RAS に接続する準備が整ったことになります。

Parallels RAS に接続するには、以下の手順を実行します。

1. Parallels Client またはユーザーポータルを開き、自分の資格情報を使用してログインします。

2. 多要素認証ダイアログが開き、バーコード（QR コード）と秘密鍵が表示されます。

3. モバイルデバイスで Google 認証アプリを開きます。

   • 初めて使用する場合は、[開始] をタップし、[バーコードをスキャンする] をタップします。

   • Google 認証の別のアカウントを持っている場合は、プラス記号のアイコンをタップし、[バーコードをスキャンする] を選択します。

4. Parallels Client のログインダイアログに表示されているバーコードをスキャンします。

   何かの理由でうまくスキャンできない場合は、アプリに戻り、[秘密鍵を入力する] を選択し、アカウント名と Parallels Client のログインダイアログに表示されている秘密鍵を入力します。

5. アプリで [アカウントを追加する] をタップすると、アカウントが作成され、ワンタイムパスワードが表示されます。

6. Parallels Client に戻り、[次へ] をクリックし、[OTP] フィールドにワンタイムパスワードを入力します。

その後のログインでは、資格情報（[パスワードの保存] オプションが選択されている場合は不要）と、Google 認証アプリで取得したワンタイムパスワードを入力するだけで十分です（アプリによって新しいパスワードが生成されます）。RAS 管理者がユーザーをリセットすると（このセクションの最初にある [ユーザーをリセット] フィールドの説明を参照）、ユーザーが上記の登録手順を繰り返さなければならなくなります。

多要素認証（MFA）を設定するには、[サイト設定] > [接続] > [多要素認証] に移動します。

多要素認証を使用する場合、ユーザーはアプリケーションリストを取得するために連続する 2 つの段階経由で認証を実行する必要があります。この場合、ネイティブ認証（Active Directory/LDAP）と以下の MFA のうちいずれかが使用されます:

• RADIUS

  • Azure MFA（RADIUS）

  • Duo（RADIUS）

  • FortiAuthenticator（RADIUS）

  • TekRADIUS

  • RADIUS

• TOTP

  • Google Authenticator

  • Microsoft Authenticator

  • TOTP（時間ベースのワンタイムパスワード）

• Deepnet

• SafeNet

なお、本ガイドの執筆時点で RAS 管理ポータルでは、RADIUS または TOTP MFA プロバイダーを追加/構成する操作のみを実行できます。他のプロバイダーを設定するには、デスクトップベースの Parallels RAS Console を使用する必要があります。