Integración de la infraestructura de la puerta de enlace de Escritorio remoto utilizando la extensión Servidor de directivas de redes (NPS) y Azure AD

En este artículo se proporcionan detalles para la integración de la infraestructura de puerta de enlace de Escritorio remoto con Azure AD Multi-Factor Authentication (MFA) mediante la extensión Servidor de directivas de redes (NPS) para Microsoft Azure.

La extensión Servidor de directivas de redes (NPS) para Azure permite a los clientes proteger la autenticación de cliente del Servicio de autenticación remota telefónica de usuario (RADIUS) con la autenticación basada en la nube Multi-Factor Authentication (MFA) de Azure. Esta solución proporciona una verificación en dos pasos para agregar una segunda capa de seguridad a los inicios de sesión y transacciones de los usuarios.

Este artículo proporciona instrucciones paso a paso para la integración de la infraestructura de NPS con Azure AD MFA mediante la extensión NPS para Azure. Esto habilita la comprobación de seguridad de los usuarios que intenten conectarse a una puerta de enlace de Escritorio remoto.

Nota

Este artículo no se debe emplear con implementaciones del servidor de MFA y solo debe usarse con implementaciones de Azure AD MFA (basado en la nube).

La directiva de red y los servicios de acceso (NPS) dan a las organizaciones la posibilidad de hacer lo siguiente:

  • Definir ubicaciones centrales para la administración y el control de las solicitudes de red mediante la especificación de quién puede conectarse, las franjas horarias en las que se permiten conexiones, la duración de las conexiones y el nivel de seguridad que los clientes deben usar para conectarse y así sucesivamente. En vez de especificar estas directivas en cada VPN o servidor de puerta de enlace de Escritorio remoto (RD), estas directivas se especifican una vez en una ubicación central. El protocolo RADIUS proporciona autenticación, autorización y contabilización de cuentas (AAA) centralizadas.
  • Establecer y aplicar directivas de mantenimiento de cliente de Protección de acceso a redes (NAP) que determinan si los dispositivos tienen acceso restringido o sin restricciones a los recursos de la red.
  • Proporcionar un medio para aplicar la autenticación y autorización para el acceso a puntos de acceso inalámbricos 802.1x y conmutadores Ethernet.

Normalmente, las organizaciones usan NPS (RADIUS) para simplificar y centralizar la administración de directivas de VPN. Sin embargo, muchas organizaciones también usan NPS para simplificar y centralizar la administración de directivas de autorización de conexiones de Escritorio remoto (CAP de RD).

Las organizaciones también pueden integrar NPS con Azure AD MFA para mejorar la seguridad y proporcionar un alto nivel de cumplimiento. Esto ayuda a asegurarse de que los usuarios establecen la verificación en dos pasos para iniciar sesión en la puerta de enlace de Escritorio remoto. Para tener acceso, los usuarios deben proporcionar su combinación de nombre de usuario y contraseña junto con información que el usuario tiene bajo su control. Esta información debe ser de confianza y no duplicable fácilmente, como un número de teléfono móvil, el número fijo o una aplicación en un dispositivo móvil, entre otros. La puerta de enlace de Escritorio remoto actualmente admite llamadas de teléfono y notificaciones push desde los métodos de la aplicación de autenticador de Microsoft para 2FA. Para obtener más información acerca de los métodos de autenticación admitidos, consulte la sección para determinar qué métodos de autenticación pueden usar los usuarios.

Antes de la disponibilidad de la extensión NPS para Azure, los clientes que querían implementar la verificación en dos pasos para entornos integrados de NPS y Azure AD MFA tenían que configurar y mantener un servidor independiente de MFA en el entorno local, como se documenta en Puerta de enlace de Escritorio remoto y Servidor Azure Multi-Factor Authentication con RADIUS.

La disponibilidad de la extensión NPS para Azure ahora da a las organizaciones la opción de implementar una solución MFA basada en el entorno local o una solución MFA basada en la nube para la autenticación segura de clientes RADIUS.

Flujo de autenticación

Para que los usuarios obtengan acceso a los recursos de red a través de una puerta de enlace de Escritorio remoto, deben cumplir con las condiciones especificadas en una directiva de autorización de conexiones de Escritorio remoto (CAP de RD) y en una directiva de administración de recursos de Escritorio remoto (RAP de RD). Las CAP de RD especifican quién está autorizado para conectarse a las puertas de enlace de Escritorio remoto. Las RAP de RD especifican los recursos de red, como equipos de escritorio remoto o aplicaciones remotas, a los que el usuario tiene permiso para conectarse a través de la puerta de enlace de Escritorio remoto.

Una puerta de enlace de Escritorio remoto se puede configurar para usar un almacén de directivas central para las CAP de RD. Las RAP de RD no pueden usar una directiva central, ya que se procesan en la puerta de enlace de Escritorio remoto. Un ejemplo de una puerta de enlace de Escritorio remoto configurada para usar un almacén de directivas central para las CAP de RD podría ser un cliente RADIUS a otro servidor NPS que actúa como el almacén de directivas central.

Cuando la extensión NPS para Azure está integrada con el NPS y la puerta de enlace de Escritorio remoto, el flujo de una autenticación correcta es como sigue:

  1. El servidor de la puerta de enlace de Escritorio remoto recibe una solicitud de autenticación de un usuario de escritorio remoto para conectarse a un recurso, como una sesión de escritorio remoto. Actuando como un cliente RADIUS, el servidor de puerta de enlace de Escritorio remoto convierte la solicitud en un mensaje de solicitud de acceso RADIUS y envía el mensaje al servidor RADIUS (NPS) donde está instalada la extensión NPS.
  2. Se comprueba la combinación de nombre de usuario y contraseña en Active Directory y se autentica al usuario.
  3. Si se cumplen todas las condiciones especificadas en la solicitud de conexión de NPS y las directivas de red (por ejemplo, restricciones de hora del día o por pertenencia a un grupo), la extensión NPS desencadena una solicitud de autenticación secundaria con Azure AD MFA.
  4. Azure AD MFA se comunica con Azure AD, recupera los detalles del usuario y realiza la autenticación secundaria mediante métodos admitidos.
  5. Cuando se realiza correctamente el desafío de MFA, Azure AD MFA comunica el resultado a la extensión NPS.
  6. El servidor NPS donde está instalada la extensión envía un mensaje de aceptación de acceso de RADIUS para la directiva CAP de RD al servidor de puerta de enlace de Escritorio remoto.
  7. Se concede al usuario acceso al recurso de red solicitado a través de la puerta de enlace de Escritorio remoto.

Requisitos previos

En esta sección se detallan los requisitos previos necesarios para integrar Azure AD MFA con la puerta de enlace de Escritorio remoto. Antes de comenzar, debe cumplir los siguientes requisitos previos.

  • Infraestructura de Servicios de Escritorio remoto (RDS)
  • Licencia de Azure AD MFA
  • Software de Windows Server
  • Directiva de red y rol de servicios de acceso (NPS)
  • Azure Active Directory sincronizado con Active Directory local
  • Identificador de GUID de Azure Active Directory

Infraestructura de Servicios de Escritorio remoto (RDS)

Debe tener una infraestructura de Servicios de Escritorio remoto (RDS) en funcionamiento. Si no dispone de ella, puede crear rápidamente esta infraestructura en Azure con la siguiente plantilla de inicio rápido: Creación de una implementación de una colección de sesiones de Escritorio remoto.

Si desea crear manualmente una infraestructura local de RDS rápidamente con fines de prueba, siga los pasos para implementar una. Para obtener más información: Implementación de RDS con la plantilla de inicio rápido de Azure e Implementación de la infraestructura de RDS básica.

Licencia de Azure AD MFA

Se requiere una licencia de Azure AD MFA, que está disponible en Azure AD Premium u otros conjuntos de productos que la incluyen. Las licencias basadas en el consumo de Azure AD MFA, como las licencias por usuario o por autenticación, no son compatibles con la extensión NPS. Para obtener más información, vea Cómo obtener Azure AD Multi-Factor Authentication. Para realizar pruebas, puede usar una suscripción de evaluación.

Software de Windows Server

La extensión NPS requiere Windows Server 2008 R2 SP1 o posterior con el servicio de rol NPS instalado. Todos los pasos de esta sección se han realizado con Windows Server 2016.

Directiva de red y rol de servicios de acceso (NPS)

El servicio de rol NPS proporciona la funcionalidad de servidor y cliente RADIUS, así como el servicio de mantenimiento de Directiva de acceso de red. Este rol debe instalarse en al menos dos equipos de su infraestructura: La Puerta de enlace de Escritorio remoto y otro servidor miembro o controlador de dominio. De forma predeterminada, el rol ya está presente en el equipo configurado como puerta de enlace de Escritorio remoto. También debe instalar el rol NPS al menos en otro equipo, como un servidor miembro o controlador de dominio.

Para obtener información acerca de cómo instalar el servicio de rol NPS en Windows Server 2012 o anterior, consulte Instalación de un servidor de directivas de mantenimiento de NAP. Para obtener una descripción de las prácticas recomendadas para NPS, incluida la recomendación de instalar NPS en un controlador de dominio, consulte Prácticas recomendadas para NPS.

Azure Active Directory sincronizado con Active Directory local

Para usar la extensión NPS, los usuarios locales deben estar sincronizados con Azure AD y habilitados para MFA. En esta sección se da por supuesto que los usuarios locales están sincronizados con Azure AD mediante AD Connect. Para obtener información sobre Azure AD Connect, consulte Integración de los directorios locales con Azure Active Directory.

Identificador de GUID de Azure Active Directory

Para instalar la extensión NPS, debe conocer el GUID de Azure AD. A continuación, se proporcionan instrucciones para buscar el GUID de Azure AD.

Configuración de Multi-Factor Authentication

En esta sección se proporcionan instrucciones para la integración de Azure AD MFA con la puerta de enlace de Escritorio remoto. Como administrador, debe configurar el servicio Azure AD MFA para que los usuarios puedan registrar ellos mismos sus aplicaciones o dispositivos multifactor.

Siga los pasos de Introducción a Azure AD Multi-Factor Authentication en la nube para habilitar MFA para los usuarios de Azure AD.

Configuración de cuentas para la verificación en dos pasos

Una vez que una cuenta se ha habilitado para MFA, no puede iniciar sesión en los recursos controlados por la directiva MFA hasta que se haya configurado correctamente un dispositivo de confianza que se usará para el segundo factor de autenticación y haya realizado la autenticación mediante la verificación en dos pasos.

Siga los pasos de ¿Qué significa Azure AD Multi-Factor Authentication para mí? para comprender y configurar correctamente los dispositivos para MFA con su cuenta de usuario.

Importante

El comportamiento de inicio de sesión de la puerta de enlace de Escritorio remoto no ofrece la opción de escribir un código de verificación con Azure AD Multi-Factor Authentication. Se debe configurar una cuenta de usuario para la comprobación telefónica o la aplicación Microsoft Authenticator con notificaciones push.

Si no se configura la comprobación telefónica ni la aplicación Microsoft Authenticator con notificaciones de inserción para un usuario, el usuario no podrá completar el desafío de Azure AD Multi-Factor Authentication ni iniciar sesión en la puerta de enlace de Escritorio remoto.

El método de mensaje de texto SMS no funciona con la puerta de enlace de Escritorio remoto porque no proporciona la opción de escribir un código de verificación.

Instalación y configuración de la extensión NPS

Esta sección proporciona instrucciones para configurar la infraestructura de RDS a fin de usar Azure AD MFA para la autenticación de cliente con la puerta de enlace de Escritorio remoto.

Adquisición del identificador del inquilino de Azure Active Directory

Como parte de la configuración de la extensión NPS, debe proporcionar las credenciales de administrador y el identificador de Azure AD para el inquilino de Azure AD. Para obtener el identificador de inquilino, complete los pasos siguientes:

  1. Inicie sesión en Azure Portal como administrador global del inquilino de Azure.

  2. En el menú de Azure Portal, seleccione Azure Active Directory o busque y seleccione Azure Active Directory desde cualquier página.

  3. En la página Información general, se muestra la información del inquilino. Junto al identificador de inquilino, seleccione el icono Copiar, tal y como se muestra en la siguiente captura de pantalla de ejemplo:

    Obtención del identificador de inquilino en Azure Portal

Instalación de la extensión de NPS

Instale la extensión NPS en un servidor que tenga instalado el rol Servicios de acceso y directiva de red (NPS). Este actúa como el servidor RADIUS en su diseño.

Importante

No instale la extensión NPS en el servidor de puerta de enlace de Escritorio remoto (RDG). El servidor RDG no usa el protocolo RADIUS con su cliente, por lo que la extensión no puede interpretar y realizar la MFA.

Cuando el servidor RDG y el servidor NPS con la extensión NPS son servidores diferentes, RDG usa NPS internamente para comunicarse con otros servidores NPS y utiliza RADIUS como protocolo para comunicarse correctamente.

  1. Descargue la extensión NPS.
  2. Copie el archivo ejecutable de instalación (NpsExtnForAzureMfaInstaller.exe) en el servidor NPS.
  3. En el servidor NPS, haga doble clic en NpsExtnForAzureMfaInstaller.exe. Cuando se le solicite, haga clic en Ejecutar.
  4. En el cuadro de diálogo Extensión NPS para Azure AD MFA, revise los términos de licencia de software, active Acepto los términos y condiciones de licencia y haga clic en Instalar.
  5. En el cuadro de diálogo Extensión NPS para Azure AD MFA, haga clic en Cerrar.

Configuración de los certificados para su uso con la extensión NPS mediante un script de PowerShell

A continuación, debe configurar los certificados para su uso por la extensión NPS para garantizar la seguridad de las comunicaciones. Los componentes de NPS incluyen un script de Windows PowerShell que configura un certificado autofirmado para su uso con NPS.

Este script realiza las acciones siguientes:

  • Crea un certificado autofirmado
  • Asocia la clave pública del certificado a la entidad de servicio en Azure AD
  • Almacena el certificado en el almacén de certificados del equipo local
  • Concede acceso a la clave privada del certificado al usuario de red
  • Reinicia el servicio Servidor de directivas de redes

Si desea usar sus propios certificados, debe asociar la clave pública de su certificado para la entidad de servicio en Azure AD, etc.

Para usar el script, indique a la extensión sus credenciales de administrador de Azure AD y el identificador del inquilino de Azure AD que copió anteriormente. Ejecute el script en cada servidor NPS donde instaló la extensión NPS. A continuación, haga lo siguiente:

  1. Abra un símbolo del sistema administrativo de Windows PowerShell.

  2. En el símbolo del sistema de PowerShell, escriba cd 'c:\Program Files\Microsoft\AzureMfa\Config' y presione Entrar.

  3. Escriba .\AzureMfaNpsExtnConfigSetup.ps1 y presione Entrar. El script comprueba si está instalado el módulo de PowerShell de Azure Active Directory. Si no está instalado, el script instala el módulo.

    Ejecutar AzureMfaNpsExtnConfigSetup.ps1 en el PowerShell de Azure AD

  4. Una vez que el script comprueba la instalación del módulo de PowerShell, muestra el cuadro de diálogo del módulo de PowerShell de Azure Active Directory. En el cuadro de diálogo, escriba sus credenciales de administrador de Azure AD y la contraseña y haga clic en Iniciar sesión.

    Autenticación en Azure AD en PowerShell

  5. Cuando se le solicite, pegue el identificador del inquilino que copió al Portapapeles anteriormente y presione ENTRAR.

    Entrada del identificador de inquilino en PowerShell

  6. El script crea un certificado autofirmado y realiza otros cambios en la configuración. La salida será similar a la imagen que se muestra a continuación.

    Salida de PowerShell que muestra un certificado autofirmado

Configuración de los componentes de NPS en la puerta de enlace de Escritorio remoto

En esta sección, configurará las directivas de autorización de conexión de la puerta de enlace de Escritorio remoto y otras opciones de RADIUS.

El flujo de autenticación requiere que se intercambien mensajes RADIUS entre la puerta de enlace de Escritorio remoto y el servidor NPS donde está instalada la extensión NPS. Esto significa que debe configurar los valores del cliente RADIUS tanto en la puerta de enlace de Escritorio remoto como en el servidor NPS donde está instalada la extensión NPS.

Configuración de las directivas de autorización de conexiones de la puerta de enlace de Escritorio remoto para usar un almacén central

Las directivas de autorización de conexiones de Escritorio remoto (CAP de RD) especifican los requisitos para conectarse a un servidor de puerta de enlace de Escritorio remoto. Las CAP de RD pueden almacenarse localmente (valor predeterminado) o pueden almacenarse en un almacén de CAP de RD central que ejecute NPS. Para configurar la integración de Azure AD MFA con RDS, debe especificar el uso de un almacén central.

  1. En el servidor de la puerta de enlace de Escritorio remoto, abra el Administrador del servidor.

  2. En el menú, haga clic en Herramientas, seleccione Servicios de escritorio remoto y, a continuación, haga clic en el Administrador de puerta de enlace de Escritorio remoto.

  3. En el Administrador de puerta de enlace de Escritorio remoto, haga clic con el botón derecho en [Nombre del servidor] (Local) y haga clic en Propiedades.

  4. En el cuadro de diálogo Propiedades, seleccione la pestaña Almacén de CAP de RD.

  5. En la pestaña Almacén de CAP de RD, seleccione Servidor central que ejecuta NPS.

  6. En el campo Escriba un nombre o dirección IP para el servidor que ejecuta NPS, escriba la dirección IP o nombre del servidor donde instaló la extensión NPS.

    Especifique el nombre o dirección IP del servidor NPS

  7. Haga clic en Agregar.

  8. En el cuadro de diálogo Secreto compartido, escriba un secreto compartido y, a continuación, haga clic en Aceptar. Asegúrese de registrar este secreto compartido y almacenar el registro de forma segura.

    Nota

    El secreto compartido se utiliza para establecer la confianza entre los clientes y servidores RADIUS. Cree un secreto largo y complejo.

    Crear un secreto compartido para establecer la confianza

  9. Haga clic en Aceptar para cerrar el cuadro de diálogo.

Configuración del valor de tiempo de espera de RADIUS en el NPS de la puerta de enlace de Escritorio remoto

Para asegurarse de que hay tiempo para validar las credenciales de los usuarios, realizar la verificación en dos pasos, recibir respuestas y responder a los mensajes de RADIUS, es necesario ajustar el valor de tiempo de espera de RADIUS.

  1. En el servidor de puerta de enlace de Escritorio remoto, abra el Administrador del servidor. En el menú, haga clic en Herramientas y, luego, haga clic en Servidor de directivas de redes.

  2. En la consola de NPS (Local) , expanda Clientes y servidores RADIUS y seleccione Servidor RADIUS remoto.

    Consola de administración del servidor de directivas de redes que muestra el servidor RADIUS remoto

  3. En el panel de detalles, haga doble clic en Grupo de servidores de puerta de enlace de TS.

    Nota

    Este grupo de servidores RADIUS se creó al configurar el servidor de directivas NPS central. La puerta de enlace de Escritorio remoto reenvía los mensajes RADIUS a este servidor o grupo de servidores, si hay más de uno en el grupo.

  4. En el cuadro de diálogo Propiedades del grupo de servidores de puerta de enlace de TS, seleccione la dirección IP o el nombre del servidor NPS configurado para almacenar las CAP de RD y, a continuación, haga clic en Editar.

    Seleccionar la dirección IP o nombre del servidor NPS configurado anteriormente

  5. En el cuadro de diálogo Editar servidor RADIUS, seleccione la pestaña Equilibrio de carga.

  6. En la pestaña Equilibrio de carga, en el campo Número de segundos sin respuesta antes de descartar la solicitud, cambie el valor predeterminado de 3 a un valor entre 30 y 60 segundos.

  7. En el campo Número de segundos entre solicitudes cuando el servidor se identifica como no disponible, cambie el valor predeterminado de 30 segundos a un valor igual o mayor que el valor especificado en el paso anterior.

    Editar la configuración de tiempo de espera del servidor Radius en la pestaña de equilibrio de carga

  8. Haga clic dos veces en Aceptar para cerrar los cuadros de diálogo.

Verificación de las directivas de solicitud de conexión

De forma predeterminada, al configurar la puerta de enlace de Escritorio remoto para usar un almacén de directivas central para las directivas de autorización de conexiones, la puerta de enlace de Escritorio remoto se configura para reenviar las solicitudes de CAP al servidor NPS. El servidor NPS con la extensión de Azure AD MFA instalada procesa la solicitud de acceso a RADIUS. Los pasos siguientes muestran cómo verificar la directiva de solicitud de conexión predeterminada.

  1. En la puerta de enlace de Escritorio remoto, en la consola NPS (Local), expanda Directivas y seleccione Directivas de solicitud de conexión.

  2. Haga doble clic en DIRECTIVA DE AUTORIZACIÓN DE PUERTA DE ENLACE DE TS.

  3. En el cuadro de diálogo Propiedades de la directiva de autorización de puerta de enlace de TS, haga clic en la pestaña Configuración.

  4. En la pestaña Configuración, bajo Reenvío de solicitud de conexión, haga clic en Autenticación. El cliente RADIUS está configurado para reenviar las solicitudes de autenticación.

    Configurar opciones de autenticación al especificar el grupo de servidores

  5. Haga clic en Cancelar.

Nota

Para más información acerca de la creación de una directiva de solicitud de conexión, consulte la sección correspondiente en el artículo Configuración de las directivas de solicitud de conexión.

Configuración de NPS en el servidor donde está instalada la extensión NPS

El servidor NPS donde está instalada la extensión NPS debe ser capaz de intercambiar mensajes de RADIUS con el servidor NPS de la puerta de enlace de Escritorio remoto. Para habilitar este intercambio de mensajes, debe configurar los componentes de NPS en el servidor donde está instalado el servicio de la extensión NPS.

Registro del servidor en Active Directory

Para que funcione correctamente en este escenario, el servidor NPS debe estar registrado en Active Directory.

  1. En el servidor VPN, abra el Administrador del servidor.

  2. En el Administrador del servidor, haga clic en Herramientas y, a continuación, haga clic en Servidor de directivas de redes.

  3. En la consola del servidor de directivas de redes, haga clic con el botón derecho en NPS (Local) y, a continuación, haga clic en Registrar el servidor en Active Directory.

  4. Haga clic en Aceptar dos veces.

    Registrar el servidor NPS en Active Directory

  5. Deje la consola abierta para el siguiente procedimiento.

Creación y configuración del cliente RADIUS

La puerta de enlace de Escritorio remoto debe configurarse como un cliente RADIUS en el servidor NPS.

  1. En el servidor NPS donde está instalada la extensión NPS, en la consola NPS (Local) , haga clic con el botón derecho en Clientes RADIUS y haga clic en Nuevo.

    Crear un nuevo cliente RADIUS en la consola NPS

  2. En el cuadro de diálogo Nuevo cliente RADIUS, proporcione un nombre descriptivo, como Puerta de enlace y la dirección IP o nombre DNS del servidor de puerta de enlace de Escritorio remoto.

  3. En los campos Secreto compartido y Confirmar secreto compartido, escriba el mismo secreto que usó anteriormente.

    Configurar un nombre descriptivo y la dirección IP o DNS

  4. Haga clic en Aceptar para cerrar el cuadro de diálogo Nuevo cliente RADIUS.

Configuración de la directiva de red

Recuerde que el servidor NPS con la extensión de Azure AD MFA es el almacén de directivas central designado para la directiva de autorización de conexiones (CAP). Por lo tanto, debe implementar un CAP en el servidor NPS para autorizar las solicitudes de conexión válidas.

  1. En el servidor NPS, abra la consola NPS (Local), expanda Directivas y haga clic en Directivas de red.

  2. Haga clic con el botón derecho en Conexiones a otros servidores de acceso y haga clic en Duplicar directiva.

    Duplicar la conexión en otra directiva de servidores de acceso

  3. Haga clic con el botón derecho en Copia de Conexiones a otros servidores de acceso y haga clic en Propiedades.

  4. En el cuadro de diálogo Copia de Conexiones a otros servidores de acceso, en Nombre de directiva, escriba un nombre adecuado, como RDG_CAP. Active la casilla Directiva habilitada y seleccione Conceder acceso. Si lo desea, en Tipo de acceso a la red, seleccione Puerta de enlace de Escritorio remoto o puede dejarlo como Sin especificar.

    Asignar un nombre a la directiva, habilitarla y conceder acceso

  5. Haga clic en la pestaña Restricciones y marque la casilla Permitir que los clientes se conecten sin negociar un método de autenticación.

    Modificar métodos de autenticación para permitir que los clientes se conecten

  6. Si lo desea, haga clic en la pestaña Condiciones y agregue las condiciones que deben cumplirse para que la conexión se autorice, por ejemplo, la pertenencia a un grupo de Windows específico.

    Opcionalmente, especificar las condiciones de conexión

  7. Haga clic en OK. Cuando se le solicite ver el tema de ayuda correspondiente, haga clic en No.

  8. Asegúrese de que la nueva directiva está en la parte superior de la lista, que la directiva está habilitada y que concede acceso.

    Mover la directiva a la parte superior de la lista

Comprobación de la configuración

Para comprobar la configuración, debe iniciar sesión en la puerta de enlace de Escritorio remoto con un cliente RDP adecuado. Asegúrese de usar una cuenta permitida por las directivas de autorización de conexiones y habilitada para Azure AD MFA.

Como se muestra en la siguiente imagen, puede utilizar la página Acceso web a Escritorio remoto.

Probar el acceso web de Escritorio remoto

Después de especificar correctamente las credenciales para la autenticación principal, el cuadro de diálogo Conexión a Escritorio remoto muestra un estado de Iniciando conexión remota, tal y como se muestra a continuación.

Si se autentica correctamente con el método de autenticación secundario que ha configurado previamente en Azure AD MFA, se conecta al recurso. Sin embargo, si la autenticación secundaria no se realiza correctamente, se deniega el acceso al recurso.

Conexión a Escritorio remoto mientras inicia una conexión remota

En el ejemplo siguiente, la aplicación Authenticator en un dispositivo Windows Phone se utiliza para proporcionar la autenticación secundaria.

Ejemplo de la aplicación de autenticador de Windows Phone que muestra la comprobación

Una vez que se haya autenticado correctamente con el método de autenticación secundario, iniciará sesión de modo normal en la puerta de enlace de Escritorio remoto. Sin embargo, como fue necesario usar un método de autenticación secundario con una aplicación móvil en un dispositivo de confianza, el proceso de inicio de sesión es más seguro que de otro modo.

Ver los registros del Visor de eventos para eventos de inicio de sesión correcto

Para ver los eventos de inicio de sesión correctos en los registros del Visor de eventos de Windows, puede utilizar el siguiente comando de Windows PowerShell para consultar los registros de Windows Terminal Services y el registro de seguridad de Windows.

Para consultar correctamente los eventos de inicio de sesión de los registros operativos de la puerta de enlace (Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-Gateway\Operational) , use los comandos de PowerShell siguientes:

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '300'} | FL
  • Este comando muestra los eventos de Windows que muestran que el usuario cumple los requisitos de la directiva de administración de recursos (RAP de RD) y se le concedió acceso.

Ver eventos con PowerShell

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '200'} | FL
  • Este comando muestra los eventos que muestran que el usuario cumplió los requisitos de la directiva de autorización de conexiones.

Ver la directiva de autorización de conexión mediante PowerShell

También puede ver este registro y filtrar por los identificadores de los eventos, 300 y 200. Para consultar los eventos de inicio de sesión correcto en los registros del Visor de eventos de seguridad, use el comando siguiente:

  • Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL
  • Este comando se puede ejecutar en el NPS central o en el servidor de puerta de enlace de Escritorio remoto.

Ejemplos de eventos de inicio de sesión correctos

También puede ver el registro de seguridad o la vista personalizada de Directivas de red y servicios de acceso, tal y como se muestra a continuación:

Visor de eventos de servicios de acceso y directivas de redes

En el servidor donde ha instalado la extensión NPS para Azure AD MFA, puede encontrar registros de aplicación del Visor de eventos específicos de la extensión en Application and Services Logs\Microsoft\AzureMfa.

Registros de la aplicación AuthZ en el visor de eventos

Guía de solución de problemas

Si la configuración no funciona según lo esperado, lo primero para empezar a solucionar problemas es comprobar que el usuario está configurado para usar Azure AD MFA. Haga que el usuario se conecte a Azure Portal. Si a los usuarios se les pide una verificación secundaria y se pueden autenticar correctamente, puede descartar una configuración incorrecta de Azure AD MFA.

Si Azure AD MFA está funcionando para los usuarios, debe revisar los registros de eventos pertinentes. Esto incluye los registros de eventos de seguridad, de operativa de la puerta de enlace y de Azure AD MFA que se describen en la sección anterior.

A continuación, se muestra un ejemplo de salida del registro de seguridad que muestra un evento de inicio de sesión incorrecto (identificador de evento 6273).

Ejemplo de un evento de inicio de sesión incorrecto

A continuación, se muestra un evento relacionado de los registros de AzureMFA:

Registro de Azure AD MFA de ejemplo en el Visor de eventos

Para realizar opciones avanzadas de solución de problemas, consulte los archivos de registro de formato de la base de datos de NPS donde está instalado el servicio NPS. Estos archivos de registro se crean en la carpeta %SystemRoot%\System32\Logs como archivos de texto delimitado por comas.

Para obtener una descripción de estos archivos de registro, consulte Interpretación de los archivos de registro de formato de la base de datos de NPS. Las entradas de estos archivos de registro pueden ser difíciles de interpretar sin importarlos en una hoja de cálculo o una base de datos. Puede encontrar varios analizadores de IAS en línea que le ayudarán a interpretar los archivos de registro.

La imagen siguiente muestra la salida de una aplicación shareware que se puede descargar.

Ejemplo del analizador de IAS de la aplicación Shareware

Por último, para más opciones de solución de problemas, puede utilizar un analizador de protocolos, como el Analizador de mensajes de Microsoft.

La imagen siguiente del Analizador de mensajes de Microsoft muestra el tráfico de red que filtra el protocolo RADIUS y que contiene el nombre de usuario Contoso\AliceC.

Analizador de mensajes de Microsoft que muestra el tráfico filtrado

Pasos siguientes

Cómo obtener Azure AD Multi-Factor Authentication

Puerta de enlace de Escritorio remoto y Servidor Azure Multi-Factor Authentication con RADIUS

Integración de los directorios locales con Azure Active Directory