RDゲートウェイのMFAを設定する方法：アーキテクチャ、ステップとベストプラクティス

紹介

リモートデスクトップゲートウェイ（RDゲートウェイ）は、HTTPS経由でRDPを保護しますが、パスワードだけではフィッシング、資格情報の詰め込み、またはブルートフォース攻撃を防ぐことはできません。多要素認証（MFA）を追加することで、セッションが確立される前にユーザーの身元を確認することによって、そのギャップを埋めます。このガイドでは、MFAがRDゲートウェイとNPSにどのように統合されるか、正確な設定手順、および展開を大規模に信頼性を保つための運用のヒントを学びます。

RD GatewayはなぜMFAが必要ですか？

RD Gatewayは集中管理と監査を行います リモートアクセス しかし、それ自体では盗まれた認証情報を無効にすることはできません。資格情報の詰め込みやフィッシングは、特にレガシープロトコルや広範な露出が存在する場合、単一要素の防御を通常回避します。RDG認証層でMFAを強制することで、ほとんどの一般的な攻撃をブロックし、標的型侵入のコストを大幅に引き上げます。

インターネットに接続されたRDPにおける主なリスクは、パスワードの使い回し、ブルートフォース攻撃、トークンのリプレイ、誤設定されたTLSを介したセッションハイジャックです。MFAは、資格情報のリプレイに対して耐性のある第二の要素を要求することでこれに対抗します。

多くのフレームワーク—NIST 800-63、ISO/IEC 27001 コントロール、およびさまざまなサイバー保険のベースライン—は、暗黙的または明示的に MFA を期待しています。 リモートアクセス パス。RDGでMFAを実装することは、配信スタックを再設計することなく、制御の意図と監査人の期待の両方を満たします。

MFAはRDゲートウェイアーキテクチャにどのように適合しますか？

制御プレーンはシンプルです：ユーザーはRDGを通じてRDPを起動します。RDGはRADIUS経由でNPSに認証を送信します。NPSはポリシーを評価し、MFAプロバイダーを呼び出します。成功すると、NPSはAccess-Acceptを返し、RDGは接続を完了します。内部資産への承認は依然としてRD CAP/RD RAPによって管理されているため、アイデンティティ証明は中断的ではなく追加的です。

• 認証フローと意思決定ポイント
• リモートユーザーのためのUX考慮事項

認証フローと意思決定ポイント

重要な意思決定ポイントには、MFAロジックが実行される場所（Entra MFA拡張機能を持つNPSまたはサードパーティのRADIUSプロキシ）、許可される要素、および失敗の処理方法が含まれます。NPSでの意思決定を中央集権化することで、監査と変更管理が簡素化されます。大規模な環境では、ポリシー評価をRDGの容量から切り離し、メンテナンスウィンドウを簡素化するために、専用のNPSペアを検討してください。

リモートユーザーのためのUX考慮事項

プッシュ通知とアプリベースのプロンプトは、最も信頼性の高い体験を提供します。 RDP 認証フロー。SMSと音声は、二次プロンプトUIが存在しない場合に失敗する可能性があります。サポートチケットを減らすために、ユーザーに期待されるプロンプト、タイムアウト、および拒否理由について教育してください。高遅延地域では、偽の失敗を避けるために、真の悪用を隠さずにチャレンジタイムアウトを適度に延長してください。

前提条件チェックリストとは何ですか？

クリーンなセットアップは、検証されたプラットフォームの役割とアイデンティティの衛生から始まります。RDGがサポートされているWindows Server上で安定していることを確認し、ロールバックパスを計画します。ユーザーアクセスのスコープを設定するためのディレクトリグループを確認し、管理者がポリシーの変更を証明書やネットワークの問題から区別できることを検証します。

• 役割、ポート、および証明書
• ディレクトリとアイデンティティの準備

役割、ポート、および証明書

信頼できるAD接続を持つサーバーにNPSロールを展開します。標準化します。 RADIUS UDP 1812/1813およびレガシー1645/1646の使用を文書化します。RDGでは、HTTPSリスナー用に公的に信頼されたTLS証明書をインストールし、弱いプロトコルと暗号を削除します。共有シークレットは、チケットやデスクトップノートではなく、ボールトに記録します。

ディレクトリとアイデンティティの準備

RDGが許可されたユーザーと管理者のために専用のADグループを作成し、「Domain Users」スコープを避けます。Entra IDを使用している場合は、ユーザーがMFAに登録されていることを確認します。サードパーティプロバイダーの場合、アイデンティティを同期し、広範な登録の前にパイロットユーザーをエンドツーエンドでテストします。RDG、NPS、およびMFAプラットフォーム間でユーザー名の形式（UPNとsAMAccountName）を揃えて、サイレントミスマッチを避けます。

RD GatewayのMFAのステップバイステップ設定は何ですか？

• NPSをインストールして登録する
• RDゲートウェイをRADIUSクライアントとして追加
• NPSポリシーの作成（CRP＆NP）
• MFA拡張機能またはサードパーティエージェントをインストールしてください
• 中央NPS（RD CAPストア）にRDゲートウェイをポイントする
• テストMFAエンドツーエンド

ステップ 1 — NPS をインストールして登録する

ネットワークポリシーとアクセスサービスの役割をインストールするには、開く nps.msc NPSをActive Directoryに登録し、ユーザー属性を読み取れるようにします。確認してください。 ネットワークポリシーサーバー (IAS) サービスが実行中であり、サーバーが低遅延でドメインコントローラーに到達できることを確認してください。ログとポリシーのために NPS FQDN/IP をメモしてください。

オプションコマンド：

Install-WindowsFeature NPAS -IncludeManagementTools nps.msc

実行 netsh nps 登録サーバーを追加

Get-Service IAS | Start-Service  
Test-Connection -Count 4 -ComputerName (Get-ADDomainController -Discover).HostName

ステップ 2 — RD ゲートウェイを RADIUS クライアントとして追加

RADIUSクライアントに、IP/FQDNでRDゲートウェイを追加し、フレンドリーネームを設定します（例： RDG01 )、およびボールト式の長い共有秘密を使用します。NPSサーバーでUDP 1812/1813を開き、到達可能性を確認します。複数のRDGを実行している場合は、それぞれを明示的に追加します（サブネット定義は可能ですが、誤って範囲を指定しやすくなります）。

オプションコマンド

クライアントを追加: netsh nps add client name="RDG01" address=10.0.10.20 sharedsecret="VeryLongVaultedSecret" vendor=standard enable=YES

netsh advfirewall firewall add rule name="RADIUS Auth (UDP 1812)" dir=in action=allow protocol=UDP localport=1812 netsh advfirewall firewall add rule name="RADIUS Acct (UDP 1813)" dir=in action=allow protocol=UDP localport=1813

ステップ 3 — NPS ポリシーの作成 (CRP & NP)

RDGクライアントのIPv4アドレスにスコープを設定した接続要求ポリシーを作成します。このサーバーで認証を選択します（NPS拡張を介したMicrosoft Entra MFA用）またはリモートRADIUSに転送します（サードパーティのMFAプロキシ用）。次に、ADグループを含むネットワークポリシーを作成します（例： GRP_RDG_ユーザー アクセスが許可されました。両方のポリシーが一般的なルールの上に位置することを確認してください。

オプションコマンド

# ユーザーが許可されたグループにいることを確認する
Get-ADUser user1 -Properties memberOf |
  Select-Object -ExpandProperty memberOf |
  Where-Object { $_ -like "*GRP_RDG_Users*" }

参照用のエクスポートポリシースナップショット: reg export "HKLM\SYSTEM\CurrentControlSet\Services\IAS\Policy" C:\NPS-Policy.reg /y

ステップ4 — MFA拡張機能またはサードパーティエージェントをインストールする

Microsoft Entra MFAの場合、NPS拡張機能をインストールし、テナントバインディングスクリプトを実行し、NPSを再起動します。ユーザーがMFAに登録されていることを確認し、プッシュ/アプリメソッドを優先します。サードパーティのMFAの場合、ベンダーのRADIUSプロキシ/エージェントをインストールし、エンドポイント/共有シークレットを構成し、CRPをそのリモートグループにポイントします。

オプションコマンド

# Entra MFA NPS 拡張機能のバインド
Set-Location "C:\Program Files\Microsoft\AzureMfa\"
.\AzureMfaNpsExtnConfigSetup.ps1
Restart-Service IAS

# 有用なログ設定ノブ (0–3)  
New-Item -Path HKLM:\SOFTWARE\Microsoft\AzureMfa -Force | Out-Null  
New-ItemProperty HKLM:\SOFTWARE\Microsoft\AzureMfa -Name LOG_LEVEL -Value 2 -PropertyType DWord -Force | Out-Null

リモートRADIUSグループとサーバーを構成します: netsh nps add remoteradiusservergroup name="MFA-VENDOR"
netsh nps add remoteradiusserver name="MFA-VENDOR" address=10.0.20.50 authport=1812 sharedsecret="AnotherVaultedSecret"

ステップ5 — RD Gatewayを中央NPS（RD CAPストア）にポイントする

RD Gatewayサーバーで、RD CAPストアをNPSを実行している中央サーバーに設定し、NPSホストと共有シークレットを追加し、接続を確認します。RD CAPを許可されたユーザーグループに合わせ、RD RAPを特定のコンピュータ/コレクションに合わせます。MFAが成功してもアクセスが失敗する場合は、まずRAPスコープを確認してください。

ステップ6 — MFAのエンドツーエンドテスト

外部クライアントから、RDGを通じて既知のホストに接続し、1つのMFAプロンプト、NPS 6272（アクセス許可）、および成功したセッションを確認します。また、エラーの明確さとサポートの準備状況を検証するために、ネガティブパス（グループに不在、登録されていない、誤った要素、期限切れのトークン）もテストします。

MFAのRD Gatewayのトラブルシューティングプレイブックとは何ですか？

トラブルシューティングは、ネットワーク、ポリシー、アイデンティティのレイヤーを分けると最も迅速に行えます。まずRADIUSの到達性とポートチェックを行い、その後ポリシーの一致を検証し、次にMFAの登録と要素の種類を確認します。制御された条件でテストアカウントを保持し、変更ウィンドウ中に結果を一貫して再現できるようにします。

• プロンプト、ループ、またはタイムアウトなし
• ポリシーの一致とグループの範囲
• 実際に使用するログとテレメトリ
• セキュリティ強化と運用のベストプラクティス
• 周辺、TLS、および最小特権
• 監視、アラート、変更管理
• レジリエンスと回復

プロンプト、ループ、またはタイムアウトなし

プロンプトがない場合、ポリシーの順序やMFA登録のギャップを示すことがよくあります。ループは、NPSとプロキシ間の共有シークレットの不一致や転送の再帰を示唆します。タイムアウトは通常、ブロックされたUDP 1812/1813、非対称ルーティング、または過度に攻撃的なIDS/IPS検査を指します。一時的にログの詳細度を上げて、どのホップが失敗しているかを確認してください。

ポリシーの一致とグループの範囲

接続要求ポリシーがRDGクライアントを対象としており、すべてのキャッチオールルールの前にヒットすることを確認してください。ネットワークポリシーでは、正確なADグループとグループネスティングの動作を確認します。一部の環境では、トークンの膨張緩和や直接メンバーシップが必要です。UPNとNTスタイルの名前間でのユーザー名の正規化の問題に注意してください。

実際に使用するログとテレメトリ

NPS会計を使用して相関関係を確認し、RDGの運用ログを有効に保ちます。MFAプラットフォームから、ユーザーごとのプロンプト、拒否、および地理/IPパターンを確認します。軽量ダッシュボードを構築します：認証ボリューム、失敗率、主な失敗理由、および平均チャレンジ時間。これらの指標は、キャパシティと両方を導きます。 セキュリティ 調整。

セキュリティ強化と運用のベストプラクティス

MFAは必要ですが、十分ではありません。ネットワークセグメンテーション、最新のTLS、最小特権、強力な監視と組み合わせてください。短く強制されたベースラインを維持してください—ハードニングは、一貫して適用され、パッチやアップグレード後に検証される場合にのみ機能します。

周辺、TLS、および最小特権

RDGを必要なフローのみがLANに入る強化されたDMZセグメントに配置します。RDGに信頼できる公開証明書を使用し、レガシーを無効にします。 TLS および弱い暗号。専用のADグループを介してRDGアクセスを制限し、広範な権限を避け、RD RAPがユーザーが実際に必要とするシステムとポートのみをマッピングすることを確認してください。

監視、アラート、変更管理

失敗した認証の急増、異常な地理的場所、またはユーザーごとの繰り返しのプロンプトに関するアラート。NPS、RDG、およびMFAプラットフォームでの構成変更を承認の履歴とともに記録します。ポリシーをコードとして扱い、ソース管理での変更を追跡するか、少なくとも変更登録簿で追跡し、運用切り替え前にステージング環境でテストします。

レジリエンスと回復

NPSを冗長に実行し、RDGを構成して複数のRADIUSサーバーを参照する。各コンポーネントのフェイルオープンとフェイルクローズの動作を文書化する; 外部アクセスにはデフォルトでフェイルクローズを設定する。NPSの構成、RDGポリシー、およびMFA設定をバックアップする; 再構築後の証明書の置き換えやMFA拡張機能またはエージェントの再登録を含むリカバリをリハーサルする。

結論

RD GatewayにMFAを追加することで、インターネットに接続されたRDPの最大のギャップである資格情報の悪用を解消します。NPSでポリシーを中央集権化し、Entra MFAまたはサードパーティのRADIUSプロバイダーを統合することで、RD CAP/RD RAPモデルを妨げることなく、強力なアイデンティティ証明を強制します。ターゲットテストで検証し、継続的に監視し、MFAを強化されたTLS、最小特権、および回復力のあるNPS/RDG設計と組み合わせます。