ネットワーク ポリシー サーバー (NPS) で VPN 条件付きアクセスを構成する

条件付きアクセスとデバイス コンプライアンスでは、マネージド デバイスが VPN に接続するために、標準を満たすことが求められる場合があります。 VPN の条件付きアクセスを使うと、クライアント認証証明書に 1.3.6.1.4.1.311.87 の Microsoft Entra 条件付きアクセス OID が含まれているデバイスへの VPN 接続を制限できます。 有効期間が短い 1.3.6.1.4.1.311.87 クラウド証明書以外の証明書を使用して接続しようとする VPN クライアントは、接続に失敗します。

この記事では、NPS サーバーで VPN 条件付きアクセスを直接構成する方法について説明します。 Microsoft Entra 条件付きアクセスを使用して VPN 接続を制限する方法については、Microsoft Entra ID を使用した VPN 接続の条件付きアクセスに関するページを参照してください。

VPN 接続を制限する

VPN 接続を制限するには、次の手順を実施します。

  1. NPS サーバーで、[ネットワーク ポリシー サーバー] スナップインを開きます。

  2. [ポリシー]>[ネットワーク ポリシー] の順に展開します。 [Virtual Private Network (VPN) Connections](仮想プライベート ネットワーク (VPN) 接続) のネットワーク ポリシーを右クリックし、[プロパティ] を選択します

  3. [設定] タブを選択します。

  4. [ベンダー固有] を選択し、[追加] を選択します。

  5. [Allowed-Certificate-OID] オプションを選択し、[追加] を選択します。

  6. Microsoft Entra 条件付きアクセス OID 1.3.6.1.4.1.311.87 を属性値として貼り付け、[OK] を選択します。

  7. [OK] をもう一度選択します。

  8. [閉じる] を選択し、[適用] を選択します。

これで、有効期間が短い 1.3.6.1.4.1.311.87 クラウド証明書以外の証明書を使用して接続しようとする VPN クライアントは、接続に失敗するようになりました。