

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AD Connector の多要素認証を有効にする
<a name="ad_connector_mfa"></a>

オンプレミスまたは Amazon EC2 インスタンスで Active Directory を実行している場合は、AD Connector の多要素認証を有効にすることができます。での多要素認証の使用の詳細については Directory Service、「」を参照してください[AD Connector の前提条件](ad_connector_getting_started.md#prereq_connector)。

**注記**  
Multi-Factor·Authentication は、Simple AD では使用できません。ただし、 AWS Managed Microsoft AD ディレクトリでは MFA を有効にできます。詳細については、「[AWS Managed Microsoft AD の多要素認証の有効化](ms_ad_mfa.md)」を参照してください。

**AD Connector のMulti-Factor Authenticationを有効にするには**

1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。

1. AD Connector ディレクトリのディレクトリ ID リンクをクリックします。

1. **[Directory details]** (ディレクトリの詳細) ページで、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。

1. **[Multi-factor authentication]** セクションで、**[Actions]** (アクション)、**[Enable]** (有効化) の順に選択します。

1. **[Enable multi-factor authentication (MFA)]** (Multi-Factor·Authentication (MFA) の有効化) ページで、次の値を指定します。  
**[Display label]** (表示ラベル)  
ラベル名を指定します。  
**[RADIUS server DNS name or IP addresses]** (RADIUS サーバーの DNS 名または IP アドレス)  
RADIUS サーバーエンドポイントの IP アドレス、または、RADIUS サーバーロードバランサーの IP アドレス。複数の IP アドレスはカンマで区切って入力できます (例: `192.0.0.0,192.0.0.12`または `2001:db8::1,2001:db8::2`)。  
2025 年 10 月 7 日以降に作成されたディレクトリでは、多要素認証に使用される RADIUS サーバーが VPC のネットワーク設定を介してルーティング可能である必要があります。VPC のルーティングテーブル、セキュリティグループ、ネットワーク ACLs を介して RADIUS サーバーにアクセスできない場合、多要素認証チェック中に多要素認証は失敗します。この問題を解決するには、以下を確認してください。  
   + **ネットワークルーティング:** VPC ルートテーブルにより、トラフィックは AD Connector ディレクトリインスタンスがデプロイされているサブネットから RADIUS サーバーに到達できます。
   + **ネットワーク ACLs:** サブネットネットワーク ACLsRADIUS サーバーとの間の双方向トラフィックを許可します。
RADIUS MFA は、、WorkSpaces AWS マネジメントコンソール、Amazon Quick、Amazon Chime などの Amazon Enterprise アプリケーションおよびサービスへのアクセスを認証する場合にのみ適用されます。 WorkSpaces EC2 インスタンスで実行されている Windows ワークロード、または EC2 インスタンスにサインインするための MFA は提供されません。 Directory Service は RADIUS チャレンジ/レスポンス認証をサポートしていません。  
ユーザーは、ユーザー名とパスワードを入力するときに、MFA コードを持っている必要があります。または、ユーザーの SMS テキストの検証など、MFA 帯域外を実行するソリューションを使用する必要があります。帯域外 MFA ソリューションでは、ソリューションに合わせて RADIUS タイムアウト値を適切に設定する必要があります。帯域外 MFA ソリューションを使用している場合、ユーザーはサインインページで MFA コードの入力を求められます。この場合は、ベストプラクティスとして、ユーザーはパスワードフィールドと MFA フィールドの両方に自分のパスワードを入力することをお勧めします。  
**[Port]** (ポート)  
RADIUS サーバーが通信のために使用しているポート。オンプレミスネットワークでは、 Directory Service サーバーからのデフォルトの RADIUS サーバーポート (UDP:1812) 経由のインバウンドトラフィックを許可する必要があります。  
**[Shared secret code]** (共有シークレットコード)  
RADIUS エンドポイントの作成時に指定された共有シークレットコード。  
**[Confirm shared secret code]** (共有シークレットコードの確認)  
RADIUS エンドポイントの共有シークレットコードを確認します。  
**[Protocol]** (プロトコル)  
RADIUS エンドポイントの作成時に指定されたプロトコルを選択します。  
**[Server timeout (in seconds)]** (サーバータイムアウト (秒単位))  
RADIUS サーバーのレスポンスを待つ時間 (秒)。これは 1～50 の範囲の値にする必要があります。  
**[Max RADIUS request retries]** (RADIUS リクエストの最大再試行数)  
RADIUS サーバーとの通信を試みる回数。これは 0～10 の範囲の値にする必要があります。

   Multi-Factor·Authentication は、**[RADIUS Status]** (RADIUS 状態) が **[Enabled]** (有効) に変わると使用できます。

1. **[Enable]** (有効化) を選択します。