オンプレミスの Windows Server 2019 ドメインと Microsoft RRAS を実行して、リモート ユーザーがローカル ネットワークにアクセスできるようにしています。リモート ユーザーは、Windows 10 クライアントには組み込みの Microsoft VPN SSTP を、Mac クライアントには L2TP を使用しています。
私の目的は、特に一部のユーザーがすでに他のリソースに Google Authenticator を使用しているため、Google Authenticator スタイルの MFA (TOTP) を使用して VPN 認証のセキュリティを強化することです。
調査中に、このサイトで、特に SecureMFA のソリューションに関する議論に偶然出くわしました。 Active Directory + Google Authenticator - AD FS、あるいはその方法?
さらに、MS ドキュメントにも正当なサードパーティ MFA ADFS プロバイダーとして記載されていることもわかりました。https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configure-additional-authentication-methods-for-ad-fs
私の質問は、MS RRAS と組み込みの Windows VPN クライアントに SecureMFA を実装した人はいるでしょうか? Windows VPN クライアントは TOTP をサポートしていますか? たとえば、ユーザーは 6 桁のコードをどのように入力するのでしょうか? 通常、ユーザーはアプリケーションまたは Web ページ フォームによって 6 桁のコードを入力するよう求められます。
実際にベンダーに問い合わせたのですが、Windows 10 VPN クライアントが ADFS プロトコルをサポートしているかどうかは不明です。
答え1
Cisco DUO でこれを設定するには、次の手順に従ってください。
ユーザー名: [ユーザー名] パスワード: [パスワード]、[6桁のコード]
これは追加方式と呼ばれ、OTPでも機能します。ユーザー名: [ユーザー名] パスワード: [パスワード]、[ハードウェアトークンのOTPコード]