アクセス許可は、ネットワーク ポリシー サーバー (NPS) の各ネットワーク ポリシーの [概要] タブで構成します。このタブを使用して、接続要求がネットワーク ポリシーの条件と制限に一致する場合にユーザーのアクセスを許可または拒否するポリシーを構成できます。アクセス許可設定には、次の役割があります。

  • [アクセスを許可する]。アクセスは、接続要求がポリシーで構成された条件および制限と一致した場合に許可されます。

  • [アクセスを拒否する]。アクセスは、接続要求がポリシーで構成された条件および制限と一致した場合に拒否されます。

また、アクセス許可は、各ユーザー アカウントのダイヤルイン プロパティに基づいて許可または拒否されます。

ダイヤルイン プロパティなど、ユーザー アカウントとそのプロパティは、Microsoft 管理コンソール (MMC) スナップインの [Active Directory ユーザーとコンピューター] または [ローカル ユーザーとグループ] で構成されます。どちらを使用するかは、Active Directory ドメイン サービス (AD DS) がインストールされているかどうかで決まります。

ユーザー アカウントのダイヤルイン プロパティで構成された、ユーザー アカウント設定の [リモート アクセス許可] は、ネットワーク ポリシー アクセス許可設定より優先されます。ユーザー アカウントのネットワーク アクセス許可を [NPS ネットワーク ポリシーでアクセスを制御] オプションに設定した場合、ユーザーがアクセスを許可されるか拒否されるかが、ネットワーク ポリシー アクセス許可設定によって決まります。

NPS が、構成されたネットワーク ポリシーと照らし合わせて接続要求を評価するとき、このサーバーでは次の処理が実行されます。

  • 最初のポリシーの条件が一致しない場合、NPS は次のポリシーを評価します。条件が一致するポリシーが見つかるか、またはすべてのポリシーに対して一致の可否が評価されるまで、この処理が継続されます。

  • 特定のポリシーの条件および制限が一致する場合、NPS は、そのポリシーの [アクセス許可] 設定の値に応じて、アクセスを許可または拒否します。

  • ポリシーの条件が一致するが、ポリシーの制限が一致しない場合、NPS は接続要求を拒否します。

  • すべてのポリシーの条件が一致しない場合、NPS は接続要求を拒否します。

ユーザー アカウントのダイヤルイン プロパティを無視する

NPS ネットワーク ポリシーを構成し、ユーザー アカウントのダイヤルイン プロパティを無視するように構成できます。これを実行するには、ネットワーク ポリシーの [概要] タブの [ユーザー アカウントのダイヤルイン プロパティを無視する] チェック ボックスをオンまたはオフにします。通常 NPS では、接続要求の承認時に、ユーザー アカウントのダイヤルイン プロパティが確認されます。ネットワークへのユーザーの接続を承認するかどうかが判断される際、このダイヤルイン プロパティの設定にネットワーク アクセス許可設定の値が影響を与える可能性があります。承認時にユーザー アカウントのダイヤルイン プロパティを無視するように NPS を構成した場合、ネットワーク ポリシー設定によってネットワークへのユーザーのアクセスを許可するかどうかが判断されます。

ユーザー アカウントのダイヤルイン プロパティには、次の情報が含まれます。

  • ネットワーク アクセス許可

  • 発信者 ID

  • コールバック オプション

  • 静的 IP アドレス

  • 静的ルート

NPS が認証および承認を提供する複数の種類の接続をサポートするには、ユーザー アカウントのダイヤルイン プロパティの処理を無効にする必要がある場合があります。これは、特定のダイヤルイン プロパティが必要ないシナリオをサポートするために実施されることがあります。

たとえば、ワイヤレス アクセス ポイントに接続するクライアントでなく、ネットワーク アクセス サーバー (NAS) にダイヤルするクライアントに対し、発信者 ID、コールバック、静的 IP アドレス、および静的ルートの各プロパティを設定します。これらの設定を NPS から RADIUS メッセージ内で受信するワイヤレス アクセス ポイントは、プロパティの設定を処理できないことがあり、これがワイヤレス クライアントの接続が切断される原因となる場合があります。

組織のネットワークにワイヤレス アクセス ポイントを介してダイヤルする、またはアクセスするユーザーの認証または承認を NPS が提供する場合、ダイヤルイン プロパティはダイヤルイン接続 (ダイヤルイン プロパティを設定する) またはワイヤレス接続 (ダイヤルイン プロパティを設定しない) のいずれかをサポートするように構成する必要があります。

NPS を使用すると、一部のシナリオ (ダイヤルインなど) でユーザー アカウントに対するダイヤルイン プロパティの処理を有効にし、それ以外のシナリオ (802.1X ワイヤレスおよび認証スイッチなど) ではダイヤルイン プロパティの処理を無効にすることができます。

また、[ユーザー アカウントのダイヤルイン プロパティを無視する] を使用して、ネットワーク アクセス制御をグループおよびネットワーク ポリシーのアクセス許可設定を介して管理できます。[ユーザー アカウントのダイヤルイン プロパティを無視する] チェック ボックスをオンにすると、ユーザー アカウントのネットワーク アクセス許可は無視されます。

この構成の唯一の欠点は、発信者 ID、コールバック、静的 IP アドレス、および静的ルータの追加のユーザー アカウントのダイヤルイン プロパティを使用できないことです。


目次