VNet1 という名前の仮想ネットワークを含む Azure サブスクリプションがあります。
VNet1 へのポイント対サイト (P2S) VPN アクセスをデプロイする計画です。
デプロイ用の認証方法を推奨する必要があります。ソリューションは次の要件を満たす必要があります。
FIDO2 セキュリティキーの使用を要求する
ユーザーのサインイン動作を分析する
サインイン動作がリスクありと特定された場合、ユーザーにパスワードの変更を要求する
何を推奨すべきですか?
正解:B
この問題は、Azure VPN ゲートウェイにおける認証方法と、高度なセキュリティ機能(条件付きアクセスやリスクベースの認証)の組み合わせについて問うものです。
FIDO2 セキュリティキーの要件: FIDO2 は最新のパスワードレス認証規格です。これを VPN 接続時に利用するには、認証基盤として Microsoft Entra ID(旧称 Azure AD) を使用し、モダン認証(Modern Authentication)を介して接続する必要があります。
サインイン動作の分析とリスクベースの対応: 「サインイン動作の分析」および「リスクが特定された際のパスワード変更強制」は、Microsoft Entra ID の 「Microsoft Entra ID Protection」 および 「条件付きアクセス(Conditional Access)」 が提供する機能です。
結論:
RADIUS や Azure 証明書 などの従来の認証方式では、Microsoft Entra ID 固有の高度なリスク分析機能や FIDO2 の直接連携をネイティブに提供することは困難です。
Microsoft Entra ID 認証を P2S VPN に使用することで、VPN クライアントが Microsoft Entra のサインイン画面を表示し、多要素認証(MFA)や条件付きアクセスポリシーを適用できるようになります。
コメント