Integración de la infraestructura de VPN con la autenticación multifactor de Microsoft Entra ID mediante la extensión Servidor de directivas de redes para Azure

  • Artículo

La extensión Servidor de directivas de redes (NPS) para Azure permite a las organizaciones proteger la autenticación de cliente del Servicio de autenticación remota telefónica de usuario (RADIUS) mediante la Autenticación multifactor de Microsoft Entra basada en la nube, que proporciona una verificación en dos pasos.

En este artículo se proporcionan instrucciones para la integración de la infraestructura NPS con Azure MFA con la extensión NPS para Azure. Este proceso permite la verificación en dos pasos segura para los usuarios que intentan conectarse a la red mediante una VPN.

Nota:

Aunque la extensión de MFA NPS admite la contraseña de un solo uso y duración definida (TOTP), determinados clientes VPN como VPN de Windows no lo hacen. Asegúrese de que los clientes VPN que usa admiten TOTP como método de autenticación antes de habilitarlos en la extensión NPS.

El rol Servicios de acceso y directivas de redes da a las organizaciones la posibilidad de hacer lo siguiente:

  • Asignar una ubicación central para la administración y el control de las solicitudes de red para especificar:

    • Quién puede conectarse

    • A qué horas del día se permiten las conexiones

    • La duración de las conexiones

    • El nivel de seguridad que los clientes deben usar para conectarse

      En lugar de especificar las directivas en cada servidor VPN o de puerta de enlace de Escritorio remoto, debe hacerlo una vez que se encuentren en una ubicación central. El protocolo RADIUS se usa para proporcionar autenticación, autorización y contabilización de cuentas (AAA) centralizadas.

  • Establecer y aplicar directivas de mantenimiento de cliente de Protección de acceso a redes (NAP) que determinan si los dispositivos tienen acceso restringido o sin restricciones a los recursos de la red.

  • Proporcionar una forma de aplicar la autenticación y autorización para el acceso a puntos de acceso inalámbricos 802.1x y conmutadores Ethernet. Vea Servidor de directivas de redes para más información.

Para mejorar la seguridad y proporcionar un nivel elevado de cumplimiento, las organizaciones pueden integrar NPS con la autenticación multifactor de Microsoft Entra para asegurarse de que los usuarios utilizan la verificación en dos pasos para conectarse al puerto virtual en el servidor VPN. Para tener acceso, los usuarios deben proporcionar su combinación de nombre de usuario y contraseña y otra información que tengan bajo su control. Esta información debe ser de confianza y difícil de duplicar. Puede incluir un número de teléfono móvil, un número de teléfono fijo o una aplicación en un dispositivo móvil.

Si su organización usa una VPN y el usuario está registrado para un código TOTP junto con las notificaciones push de Authenticator, el usuario no puede cumplir el desafío de MFA y se produce un error en el inicio de sesión remoto. En ese caso, puede establecer OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE para revertir a las notificaciones push en Aprobar o denegar con Authenticator.

Para que una extensión NPS siga funcionando para los usuarios VPN, esta clave del registro debe crearse en el servidor NPS. En el servidor NPS, abra el editor del registro. Vaya a:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

Cree el siguiente par cadena/valor:

Nombre: OVERRIDE_NUMBER_MATCHING_WITH_OTP

Valor = FALSE

Antes de la disponibilidad de la extensión NPS para Azure, los clientes que querían implementar la verificación en dos pasos para entornos integrados de NPS y MFA tenían que configurar y mantener un servidor independiente de MFA en un entorno local tal. Este tipo de autenticación la ofrecen la pPuerta de enlace de Escritorio remoto y el Servidor Azure Multi-Factor Authentication con RADIUS.

Con la extensión NPS para Azure, las organizaciones pueden proteger la autenticación de clientes RADIUS con la implementación de una solución MFA basada en el entorno local o de una solución MFA basada en la nube.

Flujo de autenticación

Cuando los usuarios se conectan a un puerto virtual en un servidor VPN, primero deben autenticarse mediante una variedad de protocolos. Los protocolos permiten usar una combinación de nombre de usuario y contraseña y métodos de autenticación basada en certificados.

Además de la autenticación y verificación de identidad, los usuarios deben tener los permisos adecuados de acceso telefónico. En implementaciones sencillas, los permisos de acceso telefónico que permiten tener acceso se establecen directamente en los objetos de usuario de Active Directory.

Dial-in tab in Active Directory Users and Computers user properties

En implementaciones sencillas, cada servidor VPN concede o deniega el acceso en función de las directivas definidas en cada servidor VPN local.

En implementaciones más grandes y escalables, las directivas que conceden o deniegan el acceso a la VPN están centralizadas en servidores RADIUS. En estos casos, el servidor VPN actúa como un servidor de acceso (cliente RADIUS) que reenvía las solicitudes de conexión y mensajes de la cuenta a un servidor RADIUS. Para conectarse al puerto virtual en el servidor VPN, los usuarios deben autenticarse y cumplir las condiciones definidas de forma centralizada en servidores RADIUS.

Cuando la extensión NPS para Azure está integrada con NPS, el flujo de una autenticación correcta es el siguiente:

  1. El servidor VPN recibe una solicitud de autenticación de un usuario de VPN que incluye el nombre de usuario y la contraseña para conectarse a un recurso, como una sesión de Escritorio remoto.
  2. Actuando como un cliente RADIUS, el servidor VPN convierte la solicitud en un mensaje de solicitud de acceso RADIUS y lo envía (con una contraseña cifrada) al servidor RADIUS donde está instalada la extensión NPS.
  3. La combinación de nombre de usuario y contraseña se verifica en Active Directory. Si el nombre de usuario o la contraseña son incorrectos, el servidor RADIUS envía un mensaje de rechazo de acceso.
  4. Si se cumplen todas las condiciones especificadas en la solicitud de conexión NPS y las directivas de red (por ejemplo, la hora del día o las restricciones por pertenencia a un grupo), la extensión NPS desencadena una solicitud de autenticación secundaria con la autenticación multifactor de Microsoft Entra.
  5. La autenticación multifactor de Microsoft Entra se comunica con Microsoft Entra ID, recupera los detalles del usuario y realiza la autenticación secundaria con el método configurado por el usuario (llamada al móvil, mensaje de texto o aplicación móvil).
  6. Cuando el desafío de MFA se supera correctamente, la autenticación multifactor de Microsoft Entra comunica el resultado a la extensión NPS.
  7. Después de que el intento de conexión se autentica y autoriza, el servidor NPS donde está instalada la extensión envía un mensaje de aceptación de acceso RADIUS al servidor VPN (cliente RADIUS).
  8. Se concede acceso al usuario al puerto virtual en el servidor VPN y se establece un túnel VPN cifrado.

Requisitos previos

En esta sección se detallan los requisitos previos que hay que cumplir antes de integrar MFA con la VPN. Antes de comenzar, debe cumplir los siguientes requisitos previos:

  • Infraestructura de VPN
  • Rol Servicios de acceso y directivas de redes
  • Licencia de autenticación multifactor de Microsoft Entra
  • Software de Windows Server
  • Bibliotecas
  • Microsoft Entra ID sincronizado con Active Directory local
  • Id. de GUID de Microsoft Entra

Infraestructura de VPN

En este artículo se da por supuesto que tiene una infraestructura de VPN en funcionamiento con Microsoft Windows Server 2016 y que el servidor VPN actualmente no está configurado para reenviar solicitudes de conexión a un servidor RADIUS. En este artículo, se va a configurar la infraestructura de VPN para usar un servidor RADIUS central.

Si no tiene una infraestructura de VPN en funcionamiento, puede crear una rápidamente siguiendo las instrucciones indicadas en numerosos tutoriales de instalación de VPN que puede encontrar en sitios de terceros y de Microsoft.

El rol Servicios de acceso y directivas de redes

El rol Servicios de acceso y directivas de redes proporciona la funcionalidad de cliente y servidor RADIUS. En este artículo se da por supuesto que ha instalado el rol Servicios de acceso y directivas de redes en un servidor miembro o en un controlador de dominio en su entorno. En esta guía configurará RADIUS para una configuración de VPN. Instale el rol Servicios de acceso y directivas de redes en un servidor distinto del servidor VPN.

Para obtener información sobre cómo instalar el servicio de rol Servicios de acceso y directivas de redes en Windows Server 2012 o posterior, vea Install a NAP Health Policy Server (Instalación de un servidor de directivas de mantenimiento de NAP). NAP está en desuso en Windows Server 2016. Para obtener una descripción de las prácticas recomendadas para NPS, incluida la recomendación de instalar NPS en un controlador de dominio, vea Best practices for NPS (Procedimientos recomendados para NPS).

Software de Windows Server

La extensión NPS requiere Windows Server 2008 R2 SP1 o posterior, con el rol Servicios de acceso y directivas de redes instalado. Todos los pasos de esta guía se han realizado con Windows Server 2016.

Bibliotecas

La siguiente biblioteca se instala automáticamente con la extensión NPS:

El módulo de PowerShell de Microsoft Graph todavía no está presente, pero se instala a través de un script de configuración que se ejecuta como parte del proceso de instalación. No es necesario instalar PowerShell de Graph con antelación.

Microsoft Entra ID sincronizado con Active Directory local

Para usar la extensión NPS, los usuarios locales deben estar sincronizados con Microsoft Entra ID y estar habilitados para MFA. En esta guía se asume que los usuarios locales se sincronizan con Microsoft Entra ID a través de Microsoft Entra Connect. A continuación, se proporcionan instrucciones para habilitar a los usuarios para usar MFA.

Para obtener información sobre Microsoft Entra Connect, consulte Integración de los directorios locales con Microsoft Entra ID.

Id. de GUID de Microsoft Entra

Para instalar la extensión NPS, debe conocer el GUID de Microsoft Entra ID. En la siguiente sección se proporcionan instrucciones para buscar el GUID de Microsoft Entra ID.

Configuración de RADIUS para conexiones VPN

Si ha instalado el rol NPS en un servidor miembro, debe configurarlo para autenticar y autorizar el cliente VPN que solicite conexiones VPN.

En esta sección se supone que ha instalado el rol Servicios de acceso y directivas de redes pero no lo ha configurado para usarlo en la infraestructura.

Nota:

Si ya tiene un servidor VPN en funcionamiento que usa un servidor RADIUS centralizado para la autenticación, puede omitir esta sección.

Registro del servidor en Active Directory

Para que funcione correctamente en este escenario, el servidor NPS debe estar registrado en Active Directory.

  1. Abra el Administrador del servidor.

  2. En el Administrador del servidor, seleccione Herramientas y después Servidor de directivas de redes.

  3. En la consola del Servidor de directivas de redes, haga clic con el botón derecho en NPS (Local) y después seleccione Registrar servidor en Active Directory. Seleccione Aceptar dos veces.

    Register server in Active Directory menu option

  4. Deje la consola abierta para el siguiente procedimiento.

Uso del asistente para configurar el servidor RADIUS

Puede usar la opción de configuración estándar (basada en asistente) o la opción avanzada para configurar el servidor RADIUS. En esta sección se supone que usa la opción de configuración estándar con el asistente.

  1. En la consola del Servidor de directivas de redes, seleccione NPS (Local) .

  2. En Configuración estándar, seleccione Servidor RADIUS para conexiones VPN o de acceso telefónico y después seleccione Configurar VPN o acceso telefónico.

    Configure RADIUS Server for Dial-Up or VPN Connections

  3. En la ventana Seleccionar tipo de conexiones de red privada virtual o de acceso telefónico, seleccione Virtual Private Network Connections (Conexiones de red privada virtual) y Siguiente.

    Configure Virtual private network connections

  4. En la página Especificar servidor VPN o de acceso telefónico, haga clic en Agregar.

  5. En la ventana Nuevo cliente RADIUS, proporcione un nombre descriptivo, escriba el nombre para resolver o la dirección IP del servidor VPN y escriba una contraseña secreta compartida. Elija una contraseña secreta compartida larga y compleja. Anótela, porque la necesitará en esta sección.

    Create a New RADIUS client window

  6. Seleccione Aceptar y después Siguiente.

  7. En la ventana Configurar métodos de autenticación, acepte la selección predeterminada Autenticación cifrada de Microsoft versión 2 (MS-CHAP v2) o elija otra opción y seleccione Siguiente.

    Nota:

    Si configura el protocolo de autenticación extensible (EAP), debe utilizar el protocolo de autenticación por desafío mutuo de Microsoft (CHAPv2) o el protocolo de autenticación extensible protegido (PEAP). No se admite ningún otro tipo de EAP.

  8. En la ventana Especificar grupos de usuarios, seleccione Agregar y después elija un grupo apropiado. Si no existe ningún grupo, deje la selección en blanco para conceder acceso a todos los usuarios.

    Specify User Groups window to allow or deny access

  9. Seleccione Siguiente.

  10. En la ventana Especificar filtros IP, seleccione Siguiente.

  11. En la ventana Especificar configuración de cifrado, acepte la configuración predeterminada y después seleccione Siguiente.

    The Specify Encryption Settings window

  12. En la ventana Especificar un nombre de dominio kerberos, deje el nombre en blanco, acepte la configuración predeterminada y después seleccione Siguiente.

    The Specify a Realm Name window

  13. En la ventana Finalización de nuevas conexiones de acceso telefónico o red privada virtual y clientes RADIUS, seleccione Finalizar.

    Completed configuration window

Verificación de la configuración de RADIUS

En esta sección se detalla la configuración creada con el asistente.

  1. En el Servidor de directivas de redes, en la consola NPS (Local), expanda Clientes RADIUS y seleccione Clientes RADIUS.

  2. En el panel de detalles, haga clic con el botón derecho en el cliente RADIUS que ha creado y después seleccione Propiedades. Las propiedades del cliente RADIUS (el servidor VPN) deben ser similares a las que se muestran a continuación:

    Verify the VPN properties and configuration

  3. Seleccione Cancelar.

  4. En el Servidor de directivas de redes, en la consola NPS (Local), expanda Directivas y después seleccione Directivas de solicitud de conexión. La directiva Conexiones VPN aparece tal como se muestra en la siguiente imagen:

    Connection request policy showing VPN connection policy

  5. En Directivas, seleccione Directivas de red. Debería ver una directiva de conexiones de red privada virtual (VPN), parecida a la directiva que aparece en la imagen siguiente:

    Network Policies showing Virtual Private Network Connections policy

Configuración del servidor VPN para que utilice la autenticación RADIUS

En esta sección, configurará el servidor VPN para utilizar la autenticación RADIUS. En estas instrucciones se da por supuesto que tiene una configuración de servidor VPN en funcionamiento, pero no se ha configurado para utilizar la autenticación RADIUS. Después de configurar el servidor VPN, confirme que la configuración funciona según lo previsto.

Nota:

Si ya tiene una configuración de servidor VPN en funcionamiento que usa autenticación RADIUS, puede omitir esta sección.

Configuración del proveedor de autenticación

  1. En el servidor VPN, abra el Administrador del servidor.

  2. En el Administrador del servidor, seleccione Herramientas y después Enrutamiento y acceso remoto.

  3. En la ventana Enrutamiento y acceso remoto, haga clic con el botón derecho en <nombre del servidor> (local) y después seleccione Propiedades.

  4. En la ventana Propiedades de <nombre del servidor> (local), seleccione la pestaña Seguridad.

  5. En la pestaña Seguridad, en Proveedor de autenticación, seleccione Autenticación RADIUS y después Configurar.

    Configure RADIUS Authentication provider

  6. En la ventana Autenticación RADIUS, seleccione Agregar.

  7. En la ventana Agregar servidor RADIUS, haga lo siguiente:

    1. En el cuadro Nombre del servidor, escriba el nombre o la dirección IP del servidor RADIUS configurado en la sección anterior.

    2. En Secreto compartido, seleccione Cambiar y agregue la contraseña secreta compartida que creó y anotó anteriormente.

    3. En el cuadro Tiempo de espera (segundos) , escriba el valor 60. Para minimizar las solicitudes descartadas, se recomienda que los servidores VPN estén configurados con un tiempo de espera de al menos 60 segundos. Si es necesario, o para reducir las solicitudes descartadas en los registros de eventos, puede aumentar el valor de tiempo de espera del servidor VPN a 90 o 120 segundos.

  8. Seleccione Aceptar.

Probar la conectividad VPN

En esta sección, confirmará que el cliente VPN se autentica y es autorizado por el servidor RADIUS cuando intenta conectarse al puerto virtual de VPN. En estas instrucciones se supone que usa Windows 10 como un cliente VPN.

Nota:

Si ya tiene configurado un cliente VPN para conectarse al servidor VPN y ha guardado la configuración, puede omitir los pasos descritos para configurar y guardar un objeto de conexión VPN.

  1. En el equipo del cliente VPN, seleccione el botón Inicio y después seleccione el botón Configuración.

  2. En la ventana Configuración de Windows, seleccione Red e Internet.

  3. Seleccione VPN.

  4. Seleccione Agregar una conexión VPN.

  5. En la ventana Agregar una conexión VPN, en el cuadro Proveedor de VPN, seleccione Windows (integrado) , complete los campos restantes según corresponda y después seleccione Guardar.

    The

  6. Vaya a Panel de control y después seleccione Centro de redes y recursos compartidos.

  7. Seleccione Cambiar configuración del adaptador.

    Network and Sharing Center - Change adapter settings

  8. Haga clic con el botón derecho en la conexión de red VPN y después seleccione Propiedades.

  9. En la ventana de propiedades de VPN, seleccione la pestaña Seguridad.

  10. En la pestaña Seguridad, asegúrese de que solo está seleccionado Microsoft CHAP versión 2 (MS-CHAP v2) y después seleccione Aceptar.

    The

  11. Haga clic con el botón derecho en la conexión VPN y después seleccione Conectar.

  12. En la ventana Configuración, seleccione Conectar.
    Aparece una conexión correcta en el registro de seguridad en el servidor RADIUS con el identificador de evento 6272, como se muestra a continuación:

    Event Properties window showing a successful connection

Solución de problemas de RADIUS

Se supone que la configuración de VPN funcionaba correctamente antes de configurar el servidor VPN para que utilice un servidor RADIUS centralizado para la autenticación y autorización. Si la configuración funcionaba, es probable que el problema se deba a una configuración incorrecta del servidor RADIUS o al uso de un nombre de usuario o contraseña no válidos. Por ejemplo, si usa el sufijo UPN alternativo en el nombre de usuario, el intento de inicio de sesión podría producir errores. Utilice el mismo nombre de cuenta para obtener los mejores resultados.

Para solucionar estos problemas, un lugar ideal para comenzar es examinar los registros de eventos de seguridad en el servidor RADIUS. Para ahorrar tiempo buscando eventos, puede utilizar la vista personalizada basada en roles Servidor de directivas de red y acceso en el Visor de eventos, como se muestra a continuación. El "identificador de evento 6273" indica eventos en los que el servidor NPS deniega el acceso a un usuario.

Event Viewer showing NPAS events

Configuración de la autenticación multifactor

Para obtener ayuda para configurar los usuarios para la autenticación multifactor, consulte los artículos sobre Planeación de una implementación de autenticación multifactor de Microsoft Entra basada en la nube y Configuración de mi cuenta para la verificación en dos pasos

Instalación y configuración de la extensión NPS

Esta sección proporciona instrucciones para configurar la VPN para usar MFA para la autenticación de cliente con el servidor VPN.

Nota:

La clave del registro REQUIRE_USER_MATCH distingue mayúsculas de minúsculas. Todos los valores se deben expresar en mayúsculas.

Una vez que instale y configure la extensión NPS, toda la autenticación de cliente basada en RADIUS procesada por este servidor debe usar MFA. Si todos los usuarios de VPN no están inscritos en la autenticación multifactor de Microsoft Entra, puede realizar una de las siguientes acciones:

  • Configurar otro servidor RADIUS para autenticar a usuarios que no están configurados para usar MFA.

  • Cree una entrada del registro que permita a los usuarios proporcionar un segundo factor de autenticación si están inscritos en la autenticación multifactor de Microsoft Entra.

Cree un nuevo valor de cadena denominado REQUIRE_USER_MATCH in HKLM\SOFTWARE\Microsoft\AzureMfa y establezca el valor como TRUE o FALSE.

The

Si el valor se establece en TRUE o está en blanco, todas las solicitudes de autenticación están sujetas a un desafío MFA. Si el valor se establece en FALSE, se emiten desafíos MFA solo a los usuarios que están inscritos en la autenticación multifactor de Microsoft Entra. Use solo el valor FALSE en las pruebas o en entornos de producción durante un período de incorporación.

Obtención del identificador de inquilino del directorio

Como parte de la configuración de la extensión NPS, debe proporcionar las credenciales de administrador y el identificador del inquilino de Microsoft Entra. Para obtener el identificador de inquilino, complete los pasos siguientes:

  1. Inicie sesión en el centro de administración de Microsoft Entra como administrador global.

  2. Vaya a Identidad>Configuración.

    Getting the Tenant ID from the Microsoft Entra admin center

Instalación de la extensión de NPS

La extensión NPS debe instalarse en un servidor que tenga el rol Servicios de acceso y directivas de redes instalado y que funcione como servidor RADIUS en el diseño. No instale la extensión NPS en el servidor VPN.

  1. Descargue la extensión NPS desde el Centro de descarga de Microsoft.

  2. Copie el archivo ejecutable de instalación (NpsExtnForAzureMfaInstaller.exe) en el servidor NPS.

  3. En el servidor NPS, haga doble clic en NpsExtnForAzureMfaInstaller.exe y, si se le solicita, seleccione Ejecutar.

  4. En la ventana Configuración de la extensión NPS para la autenticación multifactor de Microsoft Entra, revise los términos de licencia de software, seleccione la casilla Acepto los términos y condiciones de licencia y después seleccione Instalar.

    The

  5. En la ventana Configuración de la extensión NPS para la autenticación multifactor de Microsoft Entra, seleccione Cerrar.

    The

Configuración de los certificados para su uso con la extensión NPS mediante un script de PowerShell de Graph

Configure los certificados para su uso con la extensión NPS para garantizar la seguridad de las comunicaciones. Los componentes de NPS incluyen un script de PowerShell de Graph que configura un certificado autofirmado para su uso con NPS.

Este script realiza las acciones siguientes:

  • Crea un certificado autofirmado.
  • Asocia la clave pública del certificado a la entidad de servicio en Microsoft Entra ID.
  • Almacena el certificado en el almacén del equipo local.
  • Concede acceso a la clave privada del certificado al usuario de red.
  • Reinicia el servicio NPS.

Si desea utilizar sus propios certificados, debe asociar la clave pública de su certificado con la entidad de servicio en Microsoft Entra ID, etc.

Para usar el script, proporcione la extensión con las credenciales administrativas de Microsoft Entra y el identificador de inquilino de Microsoft Entra que copió anteriormente. La cuenta debe estar en el mismo inquilino de Microsoft Entra para el que desea habilitar la extensión. Ejecute el script en cada servidor NPS donde instaló la extensión NPS.

  1. Ejecute PowerShell de Graph como administrador.

  2. En el símbolo del sistema de PowerShell, escriba cd "c:\Program Files\Microsoft\AzureMfa\Config" y presione ENTRAR.

  3. En la siguiente ventana del símbolo del sistema, escriba .\AzureMfaNpsExtnConfigSetup.ps1 y presione ENTRAR. El script comprueba si está instalado PowerShell de Graph. Si no está instalado, el script lo instala.

    Running the AzureMfsNpsExtnConfigSetup.ps1 configuration script

    Si recibe un error de seguridad debido a TLS, habilite TLS 1.2 con el comando [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 desde el símbolo del sistema de PowerShell.

    Una vez que el script verifica la instalación del módulo de PowerShell, muestra la ventana de inicio de sesión del módulo de PowerShell de Graph.

  4. Escriba sus credenciales y contraseña de administrador de Microsoft Entra y después seleccione Iniciar sesión.

  5. En el símbolo del sistema, pegue el identificador del inquilino que copió anteriormente y después presione ENTRAR.

    Input the Microsoft Entra tenant ID copied before

    El script crea un certificado autofirmado y realiza otros cambios en la configuración. La salida debe ser similar a la que se muestra en la imagen siguiente:

    PowerShell window showing Self-signed certificate

  6. Reinicie el servidor.

Comprobar la configuración

Para verificar la configuración, debe establecer una conexión VPN nueva con el servidor VPN. Después de escribir correctamente las credenciales para la autenticación principal, la conexión VPN espera a que la autenticación secundaria sea correcta para establecer la conexión, como se muestra a continuación.

The Windows Settings VPN window

Si se autentica correctamente con el método de verificación secundario configurado previamente en la autenticación multifactor de Microsoft Entra, se conectará al recurso. Sin embargo, si la autenticación secundaria no se realiza correctamente, se deniega el acceso al recurso.

En el ejemplo siguiente, la aplicación Microsoft Authenticator en un dispositivo Windows Phone proporciona la autenticación secundaria:

Example MFA prompt on Windows Phone

Una vez que se haya autenticado correctamente con el método secundario, se le concede acceso al puerto virtual en el servidor VPN. Como ha sido necesario usar un método de autenticación secundario con una aplicación móvil en un dispositivo de confianza, el proceso de inicio de sesión es más seguro que utilizando solo una combinación de nombre de usuario y contraseña.

Visualización de los registros del Visor de eventos para eventos de inicio de sesión correcto

Para ver los eventos de inicio de sesión correctos en el Visor de eventos de Windows, puede ver el registro de seguridad o la vista personalizada Directiva de red y Access Services, como se muestra en la siguiente imagen:

Example Network Policy Server log

En el servidor donde ha instalado la extensión NPS para la autenticación multifactor de Microsoft Entra, puede encontrar los registros de aplicación del Visor de eventos específicos de la extensión en Registros de aplicación y servicio\Microsoft\AzureMfa.

Example Event Viewer AuthZ logs pane

Guía de solución de problemas

Si la configuración no funciona según lo esperado, verifique que el usuario está configurado para usar MFA para empezar a solucionar problemas. Haga que el usuario inicie sesión en el Centro de administración de Microsoft Entra. Si al usuario se le solicita la autenticación secundaria y se puede autenticar correctamente, puede descartar una configuración incorrecta de MFA.

Si MFA funciona para el usuario, debe revisar los registros pertinentes del Visor de eventos. Se incluyen los registros de eventos de seguridad, los registros operativos de la puerta de enlace y los registros de la autenticación multifactor de Microsoft Entra descritos en la sección anterior.

A continuación, se muestra un ejemplo de un registro de seguridad que muestra un evento de inicio de sesión con errores (identificador de evento 6273):

Security log showing a failed sign-in event

Aquí se muestra un evento relacionado del registro de autenticación multifactor de Microsoft Entra:

Microsoft Entra multifactor authentication logs

Para realizar opciones avanzadas de solución de problemas, consulte los archivos de registro de formato de la base de datos de NPS donde está instalado el servicio NPS. Estos archivos de registro se crean en la carpeta %SystemRoot%\System32\Logs como archivos de texto delimitado por comas. Para obtener una descripción de estos archivos de registro, vea Interpret NPS Database Format Log Files (Interpretación de los archivos de registro de formato de la base de datos de NPS).

Las entradas de estos archivos de registro son difíciles de interpretar, a menos que los exporte en una hoja de cálculo o una base de datos. Puede encontrar muchas herramientas de análisis del Servicio de autenticación de Internet en línea para facilitar la interpretación de los archivos de registro. A continuación, se muestra la salida de una aplicación shareware que se puede descargar:

Sample Shareware app IAS parser

Para más opciones de solución de problemas, puede utilizar un analizador de protocolos, como Wireshark o el Analizador de mensajes de Microsoft. La siguiente imagen de Wireshark muestra los mensajes RADIUS entre el servidor VPN y el servidor NPS.

Microsoft Message Analyzer showing filtered traffic

Para obtener más información, consulte Integración de la infraestructura existente de NPS con la autenticación multifactor de Microsoft Entra.

Pasos siguientes

Obtener la autenticación multifactor de Microsoft Entra

Puerta de enlace de Escritorio remoto y Servidor Azure Multi-Factor Authentication con RADIUS

Integración de los directorios locales con Microsoft Entra ID