多要素認証 (MFA) は、ユーザーに複数の認証方法を使用して ID を確認するよう要求することで、リモート デスクトップ サービス (RDS) のセキュリティを強化します。 この保護レイヤーが追加され、機密性の高いリソースを保護し、承認されていないアクセスのリスクを軽減できます。 この記事では、MFA と RDS を統合する際のユーザー エクスペリエンス、アーキテクチャ コンポーネント、およびセキュリティ上の利点の概要と、デプロイの計画に関する考慮事項について説明します。
ユーザー エクスペリエンス
デスクトップとアプリケーションに接続するエンド ユーザーの場合、エクスペリエンスは、目的のリソースに接続するための他の 2 つ目の認証方法と似ています。 通常、このプロセスには次のものが含まれます。
デスクトップまたは RemoteApp を起動します。
セキュリティで保護されたリモート アクセスのために RD ゲートウェイに接続すると、モバイル アプリケーションによる MFA チャレンジを受けます。
正しく認証され、リソースに接続されます。
アーキテクチャ コンポーネント
RDS は、Windows Server のネットワーク ポリシー サーバーとその拡張機能を Microsoft Entra ID と統合できます。 一般的な RDS MFA の実装には、次のものが含まれます。
- RD ゲートウェイ: リモート接続のエントリ ポイントとして機能します。
- ネットワーク ポリシー サーバー (NPS): 認証要求を処理し、ポリシーを適用します。
- Microsoft Entra ID: クラウドベースの MFA サービスを提供します。
- NPS 拡張機能: オンプレミスの NPS とクラウドベースの MFA をブリッジします。
詳細については、「 ネットワーク ポリシー サーバー (NPS) 拡張機能と Microsoft Entra ID を使用してリモート デスクトップ ゲートウェイ インフラストラクチャを統合する」を参照してください。
MFA のデプロイを計画するときは、次のコンポーネントを考慮する必要があります。
- ユーザー登録: ユーザーが MFA メソッドを登録する方法を計画します。
- バックアップ認証: プライマリ デバイスを紛失したユーザーに代わる方法を構成します。
- 条件付きアクセス: 場所ベースまたはデバイスベースのポリシーを実装することを検討してください。
- ネットワーク要件: ファイアウォール規則で MFA サービス エンドポイントとの通信が許可されていることを確認します。
セキュリティ上の利点
リモート デスクトップ サービスを使用して MFA を実装すると、次の機能が提供されます。
- 侵害リスクの軽減: パスワードが侵害された場合でも、追加の検証によって承認されていないアクセスが防止されます。
- コンプライアンス サポート: セキュリティで保護されたリモート アクセスの規制要件を満たすのに役立ちます。
- 一元管理: クラウドとオンプレミスのリソース全体の統合 MFA ポリシー。
- 監査機能: 認証の試行と使用される方法の詳細なログ記録。