メイン コンテンツへスキップ
サポート
サインイン
Microsoft アカウントでサインイン
サインインまたはアカウントを作成してください。
こんにちは、
別のアカウントを選択してください。
複数のアカウントがあります
サインインに使用するアカウントを選択してください。

Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2 (MS-CHAP v2) は、パスワードベースの認証プロトコルで、PPTP (Point to Point Tunneling Protocol) ベースの VPN で認証方法として広く使用されています。マイクロソフトは、VPN 接続でカプセル化と PPTP トンネルの組み合わせを使用せずに MS-CHAP v2 を使用している組織に対して、セキュリティで保護されていない構成で稼働している可能性があることを警告しています。

はじめに

マイクロソフトは、MS-CHAP v2/PPTP を使用する組織に対して、ネットワーク内に PEAP (Protected Extensible Authentication Protocol) を実装することを推奨しています。これにより、MS-CHAP v2 認証トラフィックを TLS でカプセル化することでこの手法のリスクを緩和できます。

認証に PEAP-MS-CHAP v2 を使用するように PPTP を構成する

PEAP-MS-CHAP v2

クライアント認証方法として MS-CHAP v2 と PEAP を使用する方法は、VPN 認証のセキュリティを保護するために役立ちます。クライアント プラットフォームで PEAP を確実に使用するには、PEAP 認証を使用する接続のみを許可し、MS-CHAP v2 または EAP-MS-CHAP v2 を使用する接続を拒否するように、Windows ルーティングとリモート アクセス サービス (RRAS) サーバーを構成する必要があります。管理者は、RRAS サーバーとネットワーク ポリシー サーバー (NPS) で対応する認証方法オプションを確認する必要があります。

管理者は次のことも確認する必要があります。

  • サーバー証明書の検証がオンになっている (既定の動作はオンです)。

  • サーバー名の検証がオンになっている (既定の動作はオンです)。正しいサーバー名が指定されている必要があります。

  • サーバー証明書の発行元のルート証明書がクライアント システムのストアに正しくインストールされ、オンになっている (常にオンになっている)。

  • Windows 7、Windows Vista、および Windows XP では、PEAP のプロパティ ウィンドウで [新しいサーバーまたは信頼された証明機関を承認するようユーザーに求めない] チェック ボックスがオンになっている必要があります。既定ではオフになっています。

PEAP-MS-CHAP v2 認証方法用に RRAS サーバーを構成する

次に、RRAS サーバー用に PEAP-MS-CHAP v2 認証方法を構成する手順、およびセキュリティが低下する方法である MS-CHAP v2 と EAP-MS-CHAP v2 をオフにする手順について簡単に説明します。

RRAS の認証方法を構成する

これを行うには、以下の手順を実行します。

  1. RRAS サーバー管理ウィンドウで、[サーバーのプロパティ] ダイアログ ボックスを開き、[セキュリティ] タブをクリックします。

  2. [認証方法] をクリックします。

  3. [EAP] チェック ボックスがオンになっていて [MS-CHAP v2] チェック ボックスがオフになっていることを確認します。

NPS の接続を構成する

PEAP-MS-CHAP v2 認証方法を使用するクライアントからの接続のみを許可するようにネットワーク ポリシー サーバー (NPS) を構成します。NPS を構成するには、次の手順を実行します。

  1. NPS の UI を開き、[ポリシー] をクリックして、[ネットワーク ポリシー] をクリックします。

  2. [Microsoft ルーティングとリモート アクセス サーバーへの接続] を右クリックし、[プロパティ] を選択します。

  3. [プロパティ] で、[制約] タブをクリックします。

  4. 左の [制約] ウィンドウで、[認証方法] を選択し、[MS-CHAP] と [MS-CHAP-v2] の方法のチェック ボックスをオフにします。

  5. [EAP の種類] の一覧から [EAP-MS-CHAP v2] を削除します。

  6. [追加] をクリックし、[PEAP 認証方法] を選択して、[OK] をクリックします。


    注: NPS 接続を構成する前に、有効なサーバー証明書を "個人用" ストアにインストールし、有効なルート証明書を "信頼されたルート証明機関" ストアにインストールする必要があります。

  7. [編集] をクリックし、認証方法として [EAP-MS-CHAP v2] を選択します。

PEAP-MS-CHAP v2 認証方法用に RRAS クライアントを構成する

VPN 接続プロパティ UI から対応する方法を選択し、適切なルート証明書をクライアント システムにインストールすることによって、PEAP-MS-CHAP v2 認証方法を使用するように Windows VPN クライアントを構成できます。

推奨事項

Facebook LinkedIn メール

ヘルプを表示

その他のオプションが必要ですか?

ディスカバー コミュニティ

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。

Microsoft コミュニティに問い合わせる

Microsoft 技術コミュニティ

Windows Insiders

Microsoft 365 Insiders

この情報は役に立ちましたか?

言語の品質にどの程度満足していますか?
どのような要因がお客様の操作性に影響しましたか?
[送信] を押すと、Microsoft の製品とサービスの改善にフィードバックが使用されます。 IT 管理者はこのデータを収集できます。 プライバシーに関する声明。

フィードバックをいただき、ありがとうございます。

×