VPN

基本

1. VPN ルールを作成するには、 項目 の下に追加します ルール コレクション ハイブ を選択し VPN ルール。

2. ルールに 名前 を付けて、そのルールが何に使われるかを説明してください。さらに、説明的な名前にすることで、後でログ内でこのルールによって処理された認証要求を簡単に識別できます。

3. 忘れずに 有効化 してください！

認証

の下では、最初の選択肢としてこのルールに対して 認証 を許可するか拒否するかを選択します 証明書ベースの または ユーザー名/パスワードベースの 認証。

証明書ベースの認証

証明書ベースの認証では、受信する認証要求をさらに制限するために次のオプションがあります。

特定の CA のみを許可する（信頼された CA）

これにより、受信する認証要求を特定の信頼されたルートまたは発行 CA に絞り込むことができます。これらの CA は、RADIUSaaS プラットフォーム上で構成したすべての信頼されたルートのサブセットである可能性があります。

Intune ID のフィルタ

これは歴史的な設定です。クライアントが AAD-Join 中に受け取った証明書で認証している場合、Intune テナント ID でフィルタリングしたいことがあります。

テナント ID をここに記載のとおりに入力している場合 こちら、RADIUSaaS のデフォルト動作は、拡張 OID を含む証明書を提示し、テナント ID に対してホワイトリスト化された値を持つマシンのみがネットワークにアクセスできる、というものです。 1.2.840.113556.5.14 ルールエンジンを使用すると、特定のルールに対してアクセスを特定の Intune ID にさらに制限するか、証明書拡張を無視するオプションが利用できるようになります。これにより、一部のクライアントは該当する OID を持つ証明書を使用し、他のクライアントは持たないようなマルチデプロイメント構成を実現できます。

ユーザー名/パスワードベースの認証

認証を有効にした後、 ユーザー名/パスワードベースの に対して Regex を構成することで追加のフィルタリングを適用できます ユーザー名。デフォルトはすべてのユーザー名です。

構成

の下では、最初の選択肢としてこのルールに対して 構成 ハイブでは、認証要求の送信元に基づく追加のフィルタ基準を構成したり、Filter-Id などの追加の RADIUS 属性を返したりすることができます。

NAS 識別子フィルタ

NAS 識別子フィルタを設定するには、いずれかを選択してください 識別子 または グループ.

• を選択した場合、 識別子複数の 識別子

• を選択した場合、 を指定できます。 グループを選択した場合、 事前定義済みの 1 つ以上の.

を参照できます。

NAS IP アドレスフィルタ NAS IP アドレスフィルタを設定するには、いずれかを選択してください または グループ.

• を選択した場合、 NAS IP アドレスフィルタを設定するには、いずれかを選択してください複数の IP

• を選択した場合、 を指定できます。 グループを選択した場合、 または IP グループ。.

RADIUS 属性の返却

RADIUSaaS のルールエンジンは、追加の RADIUS 属性を返すためのいくつかの方法を提供します。次のオプションが利用可能です：

静的

関連するルールに基づいて割り当てられる返却属性とその値を静的に指定します。

証明書拡張による

• 作成した証明書拡張のいずれかを選択してください

• フィルタは、指定された返却属性の値が指定した拡張（OID）と一致するように設定されます。

• ワイルドカードは .* の正規表現に変換されます

証明書のサブジェクト名プロパティによる

• 証明書のサブジェクト名のプロパティに基づいて追加の RADIUS 属性を返すこともできます

• そのため、返却属性の値が格納されているプロパティを指定してください

• 次に、返却属性の値がどの文字列で接頭されているかを構成してください

• サブジェクト名プロパティに指定された値は接頭辞を持つ必要はありません。ただし、サブジェクト名に同じ属性が複数回含まれる場合（例：複数の CN が一般的です）には接頭辞を使用する必要がある場合があります。