A VPN-infrastruktúra integrálása többtényezős Microsoft Entra-hitelesítéssel az Azure-hoz készült Network Policy Server-bővítmény használatával
Az Azure-hoz készült Hálózati házirend-kiszolgáló (NPS) bővítmény lehetővé teszi a szervezetek számára a távoli hitelesítés betárcsázós felhasználói szolgáltatás (RADIUS) ügyfélhitelesítésének védelmét felhőalapú Microsoft Entra többtényezős hitelesítéssel, amely kétlépéses ellenőrzést biztosít.
Ez a cikk útmutatást nyújt az NPS-infrastruktúra MFA-val való integrálásához az Azure-hoz készült NPS-bővítmény használatával. Ez a folyamat lehetővé teszi a biztonságos kétlépéses ellenőrzést azon felhasználók számára, akik VPN használatával próbálnak csatlakozni a hálózathoz.
Feljegyzés
Bár az NPS MFA bővítmény támogatja az egyszeri jelszó (TOTP) használatát, bizonyos VPN-ügyfelek, például a Windows VPN nem. Mielőtt engedélyezi az NPS-bővítményben, győződjön meg arról, hogy a támogatott TOTP-t hitelesítési módszerként használja.
A hálózati házirendek és az Access Services lehetővé teszi a szervezetek számára a következő képességeket:
Rendeljen hozzá egy központi helyet a hálózati kérések kezeléséhez és vezérléséhez a következő megadásával:
Ki tud csatlakozni?
Milyen napszakokban engedélyezettek a kapcsolatok?
A kapcsolatok időtartama
Az a biztonsági szint, amelyet az ügyfeleknek használniuk kell a csatlakozáshoz
Ahelyett, hogy házirendeket adnának meg az egyes VPN-kiszolgálókon vagy távoli asztali átjárókiszolgálókon, ezt a központi helyen kell elvégezniük. A RADIUS protokoll a központosított hitelesítés, engedélyezés és könyvelés (AAA) biztosítására szolgál.
Hozzon létre és kényszerítse ki a Network Access Protection (NAP) ügyfélállapot-szabályzatokat, amelyek meghatározzák, hogy az eszközök korlátlan vagy korlátozott hozzáférést kapnak-e a hálózati erőforrásokhoz.
A 802.1x képes vezeték nélküli hozzáférési pontokhoz és Ethernet-kapcsolókhoz való hozzáférés hitelesítésének és engedélyezésének kényszerítése. További információ: Hálózati házirend-kiszolgáló.
A biztonság javítása és a magas szintű megfelelőség biztosítása érdekében a szervezetek integrálhatják az NPS-t a Microsoft Entra többtényezős hitelesítéssel, hogy a felhasználók kétlépéses ellenőrzéssel csatlakozzanak a VPN-kiszolgálón lévő virtuális porthoz. Ahhoz, hogy a felhasználók hozzáférést kapjanak, meg kell adniuk a felhasználónevet és a jelszókombinációt, valamint az általuk szabályozható egyéb információkat. Ezeket az információkat megbízhatónak és nem könnyen duplikáltnak kell lenniük. Tartalmazhat mobiltelefonszámot, vezetékes telefonszámot vagy mobileszközökön lévő alkalmazást.
Ha a szervezet VPN-t használ, és a felhasználó regisztrálva van egy TOTP-kódra az Authenticator leküldéses értesítéseivel együtt, a felhasználó nem tud megfelelni az MFA-feladatnak, és a távoli bejelentkezés meghiúsul. Ebben az esetben beállíthatja, hogy OVERRIDE_NUMBER_MATCHING_WITH_OTP = FAL Standard kiadás tartalékként küldjön értesítéseket az Authenticator használatával történő jóváhagyásra/elutasításra.
Ahhoz, hogy az NPS-bővítmény tovább működjön a VPN-felhasználók számára, ezt a beállításkulcsot létre kell hozni az NPS-kiszolgálón. Nyissa meg a beállításszerkesztőt az NPS-kiszolgálón. Lépjen a következőre:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa
Hozza létre a következő sztring/érték párot:
Név: OVERRIDE_NUMBER_MATCHING_WITH_OTP
Érték = FAL Standard kiadás
Az Azure NPS-bővítményének rendelkezésre állása előtt az integrált NPS- és MFA-környezetekhez kétlépéses ellenőrzést implementálni kívánó ügyfeleknek külön MFA-kiszolgálót kellett konfigurálni és fenntartaniuk egy helyszíni környezetben. Ezt a hitelesítést a távoli asztali átjáró és az Azure Multi-Factor Authentication-kiszolgáló kínálja RADIUS használatával.
Az Azure NPS-bővítményével a szervezetek biztonságossá tehetik a RADIUS-ügyfélhitelesítést helyszíni MFA-megoldás vagy felhőalapú MFA-megoldás üzembe helyezésével.
Hitelesítési folyamat
Amikor a felhasználók egy VPN-kiszolgálón lévő virtuális porthoz csatlakoznak, először különböző protokollok használatával kell hitelesíteniük magukat. A protokollok lehetővé teszik a felhasználónév, a jelszó és a tanúsítványalapú hitelesítési módszerek kombinációjának használatát.
Az identitás hitelesítése és ellenőrzése mellett a felhasználóknak megfelelő betárcsázási engedélyekkel kell rendelkezniük. Az egyszerű implementációkban a hozzáférést engedélyező betárcsázós engedélyek közvetlenül az Active Directory felhasználói objektumaihoz vannak beállítva.
Egyszerű implementációk esetén minden VPN-kiszolgáló az egyes helyi VPN-kiszolgálókon definiált szabályzatok alapján biztosít vagy tagad hozzáférést.
A nagyobb és skálázhatóbb implementációkban a VPN-hozzáférést biztosító vagy megtagadó szabályzatok RADIUS-kiszolgálókon vannak központosítva. Ezekben az esetekben a VPN-kiszolgáló hozzáférési kiszolgálóként (RADIUS-ügyfélként) működik, amely továbbítja a kapcsolatkéréseket és a fióküzeneteket egy RADIUS-kiszolgálónak. A VPN-kiszolgáló virtuális portjához való csatlakozáshoz a felhasználókat hitelesíteni kell, és meg kell felelniük a RADIUS-kiszolgálókon központilag meghatározott feltételeknek.
Ha az Azure-hoz készült NPS-bővítmény integrálva van az NPS-vel, a sikeres hitelesítési folyamat az alábbiak szerint jön létre:
- A VPN-kiszolgáló hitelesítési kérést kap egy VPN-felhasználótól, amely tartalmazza az erőforráshoz való csatlakozáshoz szükséges felhasználónevet és jelszót, például távoli asztali munkamenetet.
- A VPN-kiszolgáló RADIUS-ügyfélként alakítja át a kérést RADIUS Access-Request üzenetté, és elküldi (titkosított jelszóval) annak a RADIUS-kiszolgálónak, amelyen az NPS-bővítmény telepítve van.
- A felhasználónév és a jelszó kombinációja az Active Directoryban van ellenőrizve. Ha a felhasználónév vagy a jelszó helytelen, a RADIUS-kiszolgáló access-reject üzenetet küld.
- Ha az NPS-Csatlakozás ion-kérelemben és a hálózati házirendekben megadott feltételek teljesülnek (például a nap időpontja vagy a csoporttagság korlátozásai), az NPS-bővítmény a Microsoft Entra többtényezős hitelesítéssel történő másodlagos hitelesítésre vonatkozó kérést indít el.
- A Microsoft Entra többtényezős hitelesítés kommunikál a Microsoft Entra-azonosítóval, lekéri a felhasználó adatait, és a felhasználó által konfigurált módszerrel (mobiltelefonos hívás, szöveges üzenet vagy mobilalkalmazás) hajtja végre a másodlagos hitelesítést.
- Ha az MFA-feladat sikeres, a Microsoft Entra többtényezős hitelesítés közli az eredményt az NPS-bővítménysel.
- A csatlakozási kísérlet hitelesítése és engedélyezése után a bővítményt futtató hálózati házirend-kiszolgáló radius-hozzáférés-elfogadás üzenetet küld a VPN-kiszolgálónak (RADIUS-ügyfélnek).
- A felhasználó hozzáférést kap a VPN-kiszolgálón található virtuális porthoz, és létrehoz egy titkosított VPN-alagutat.
Előfeltételek
Ez a szakasz ismerteti azokat az előfeltételeket, amelyeket el kell végezni, mielőtt integrálhatja az MFA-t a VPN-vel. A kezdés előtt a következő előfeltételeknek kell teljesülniük:
- VPN-infrastruktúra
- Hálózati házirend és hozzáférési szolgáltatások szerepkör
- Microsoft Entra többtényezős hitelesítési licenc
- Windows Server-szoftver
- Kódtárak
- Microsoft Entra-azonosító szinkronizálva helyi Active Directory
- Microsoft Entra GUID-azonosító
VPN-infrastruktúra
Ez a cikk feltételezi, hogy a Microsoft Windows Server 2016-ot használó működő VPN-infrastruktúrával rendelkezik, és a VPN-kiszolgáló jelenleg nincs konfigurálva a kapcsolatkérések RADIUS-kiszolgálóra való továbbítására. A cikkben a VPN-infrastruktúrát úgy konfigurálja, hogy központi RADIUS-kiszolgálót használjon.
Ha nem rendelkezik működő VPN-infrastruktúrával, gyorsan létrehozhat egyet a Microsoft és a külső webhelyeken található számos VPN-beállítási oktatóanyag útmutatását követve.
A Hálózati házirend és az Access Services szerepkör
A Hálózati házirend és az Access Services biztosítja a RADIUS-kiszolgáló és az ügyfél funkcióit. Ez a cikk feltételezi, hogy telepítette a Hálózati házirend és az Access Services szerepkört egy tagkiszolgálóra vagy tartományvezérlőre a környezetében. Ebben az útmutatóban vpn-konfigurációhoz konfigurálja a RADIUS-t. Telepítse a Hálózati házirend és az Access Services szerepkört a VPN-kiszolgálótól eltérő kiszolgálóra.
A Windows Server 2012 vagy újabb hálózati házirend és Access Services szerepkör-szolgáltatás telepítéséről további információt a NAP Health Policy Server telepítése című témakörben talál. A NAP elavult a Windows Server 2016-ban. Az NPS ajánlott eljárásainak leírását, beleértve az NPS tartományvezérlőre való telepítésére vonatkozó javaslatot, tekintse meg az NPS ajánlott eljárásait.
Windows Server-szoftver
Az NPS-bővítményhez Windows Server 2008 R2 SP1 vagy újabb verzió szükséges, és telepítve van a Hálózati házirend és az Access Services szerepkör. Az útmutató lépéseit a Windows Server 2016-ban hajtottuk végre.
Kódtárak
Az NPS-bővítmény automatikusan telepíti a következő kódtárat:
Ha a Microsoft Graph PowerShell-modul még nincs jelen, akkor egy konfigurációs szkripttel van telepítve, amelyet a telepítési folyamat részeként futtat. Nincs szükség a Graph PowerShell előzetes telepítésére.
Microsoft Entra-azonosító szinkronizálva helyi Active Directory
Az NPS-bővítmény használatához a helyszíni felhasználókat szinkronizálni kell a Microsoft Entra-azonosítóval, és engedélyezni kell az MFA-t. Ez az útmutató feltételezi, hogy a helyszíni felhasználók szinkronizálva vannak a Microsoft Entra-azonosítóval a Microsoft Entra Csatlakozás keresztül. A felhasználók MFA-hoz való engedélyezésére vonatkozó utasításokat alább találja.
A Microsoft Entra Csatlakozás a helyszíni címtárak integrálása a Microsoft Entra-azonosítóval című témakörben talál további információt.
Microsoft Entra GUID-azonosító
Az NPS-bővítmény telepítéséhez ismernie kell a Microsoft Entra-azonosító GUID azonosítóját. A Microsoft Entra-azonosító GUID azonosítójának megkeresésére vonatkozó utasításokat a következő szakaszban találja.
RADIUS konfigurálása VPN-kapcsolatokhoz
Ha telepítette az NPS-szerepkört egy tagkiszolgálóra, konfigurálnia kell a VPN-kapcsolatokat kérő VPN-ügyfél hitelesítésére és engedélyezésére.
Ez a szakasz feltételezi, hogy telepítette a Hálózati házirend és az Access Services szerepkört, de nem konfigurálta az infrastruktúrában való használatra.
Feljegyzés
Ha már rendelkezik egy működő VPN-kiszolgálóval, amely központi RADIUS-kiszolgálót használ a hitelesítéshez, kihagyhatja ezt a szakaszt.
Kiszolgáló regisztrálása az Active Directoryban
Ebben a forgatókönyvben a megfelelő működéshez az NPS-kiszolgálót regisztrálni kell az Active Directoryban.
Nyissa meg a Kiszolgálókezelőt.
A Kiszolgálókezelő válassza az Eszközök, majd a Hálózati házirend-kiszolgáló lehetőséget.
A Hálózati házirend-kiszolgáló konzolon kattintson a jobb gombbal az NPS (Helyi) elemre, majd válassza a Kiszolgáló regisztrálása az Active Directoryban lehetőséget. Kattintson kétszer az OK gombra .
Hagyja nyitva a konzolt a következő eljáráshoz.
A RADIUS-kiszolgáló konfigurálása varázslóval
A RADIUS-kiszolgáló konfigurálásához használhat szabványos (varázslóalapú) vagy speciális konfigurációs lehetőséget. Ez a szakasz feltételezi, hogy a varázslóalapú standard konfigurációs lehetőséget használja.
A Hálózati házirend-kiszolgáló konzolján válassza az NPS (Helyi) lehetőséget.
A Standard konfiguráció csoportban válassza a RADIUS-kiszolgálót a betárcsázási vagy VPN-Csatlakozás ionshoz, majd válassza a VPN vagy a betárcsázás konfigurálása lehetőséget.
A Tárcsázás vagy a Virtuális magánhálózat Csatlakozás ions típus ablakában válassza a Virtuális magánhálózat Csatlakozás, majd a Tovább lehetőséget.
A Telefonos vagy VPN-kiszolgáló megadása ablakban válassza a Hozzáadás lehetőséget.
Az Új RADIUS-ügyfélablakban adjon meg egy rövid nevet, adja meg a VPN-kiszolgáló feloldható nevét vagy IP-címét, majd adjon meg egy megosztott titkos jelszót. A megosztott titkos jelszó hosszú és összetett legyen. Jegyezze fel, mert a következő szakaszban szüksége lesz rá.
Kattintson az OK gombra, majd a Tovább gombra.
A Hitelesítési módszerek konfigurálása ablakban fogadja el az alapértelmezett beállítást (Microsoft Encrypted Authentication 2. verzió [MS-CHAPv2]), vagy válasszon másik lehetőséget, és válassza a Tovább lehetőséget.
Feljegyzés
Ha az Extensible Authentication Protocol (EAP) protokollt konfigurálja, a Microsoft Challenge-Handshake Authentication Protocol (CHAPv2) vagy a Védett Extensible Authentication Protocol (PEAP) protokollt kell használnia. Más EAP nem támogatott.
A Felhasználói csoportok megadása ablakban válassza a Hozzáadás, majd a megfelelő csoport kiválasztása lehetőséget. Ha nincs csoport, hagyja üresen a kijelölést, hogy hozzáférést biztosítson az összes felhasználónak.
Válassza a Tovább lehetőséget.
Az IP-szűrők megadása ablakban válassza a Tovább gombot.
A Titkosítás megadása Gépház ablakban fogadja el az alapértelmezett beállításokat, majd válassza a Tovább gombot.
A Tartománynév megadása ablakban hagyja üresen a tartománynevet, fogadja el az alapértelmezett beállítást, majd válassza a Tovább gombot.
Az Új betárcsázási vagy virtuális magánhálózati Csatlakozás és RADIUS-ügyfelek ablakban válassza a Befejezés lehetőséget.
A RADIUS-konfiguráció ellenőrzése
Ez a szakasz a varázslóval létrehozott konfigurációt ismerteti.
A hálózati házirend-kiszolgálón, az NPS (helyi) konzolon bontsa ki a RADIUS-ügyfelek elemet, majd válassza a RADIUS-ügyfelek lehetőséget.
A részletek panelen kattintson a jobb gombbal a létrehozott RADIUS-ügyfélre, majd válassza a Tulajdonságok lehetőséget. A RADIUS-ügyfél (a VPN-kiszolgáló) tulajdonságainak az alábbihoz hasonlónak kell lenniük:
Válassza a Mégse lehetőséget.
A hálózati házirend-kiszolgálón, az NPS (helyi) konzolon bontsa ki a Házirendek elemet, majd válassza a Csatlakozás ion Request Policies elemet. A VPN Csatlakozás ions szabályzat az alábbi képen látható módon jelenik meg:
A Szabályzatok csoportban válassza a Hálózati házirendek lehetőséget. Egy virtuális magánhálózati (VPN-) Csatlakozás ions-szabályzatnak kell megjelennie, amely az alábbi képen látható szabályzathoz hasonlít:
A VPN-kiszolgáló konfigurálása RADIUS-hitelesítés használatára
Ebben a szakaszban a VPN-kiszolgálót radius-hitelesítés használatára konfigurálja. Az utasítások feltételezik, hogy rendelkezik egy VPN-kiszolgáló működő konfigurációval, de nem konfigurálta RADIUS-hitelesítés használatára. A VPN-kiszolgáló konfigurálása után ellenőrizze, hogy a konfiguráció a várt módon működik-e.
Feljegyzés
Ha már rendelkezik RADIUS-hitelesítést használó működő VPN-kiszolgálókonfigurációval, kihagyhatja ezt a szakaszt.
Hitelesítésszolgáltató konfigurálása
A VPN-kiszolgálón nyissa meg a Kiszolgálókezelő.
A Kiszolgálókezelő válassza az Eszközök, majd az Útválasztás és távelérés lehetőséget.
Az Útválasztás és távelérés ablakban kattintson< a jobb gombbal a kiszolgáló nevére> (helyi), majd válassza a Tulajdonságok lehetőséget.
<A kiszolgálónév> (helyi) Tulajdonságok ablakában válassza a Biztonság lapot.
A Biztonság lap Hitelesítésszolgáltató területén válassza a RADIUS-hitelesítés, majd a Konfigurálás lehetőséget.
A RADIUS-hitelesítés ablakban válassza a Hozzáadás lehetőséget.
A RADIUS-kiszolgáló hozzáadása ablakban tegye a következőket:
A Kiszolgálónév mezőbe írja be az előző szakaszban konfigurált RADIUS-kiszolgáló nevét vagy IP-címét.
A megosztott titkos kód esetében válassza a Módosítás lehetőséget, majd adja meg a korábban létrehozott és rögzített megosztott titkos jelszót.
Az Időtúllépés (másodperc) mezőbe írja be a 60 értéket. Az elvetett kérelmek minimalizálása érdekében javasoljuk, hogy a VPN-kiszolgálók legalább 60 másodperces időtúllépéssel legyenek konfigurálva. Ha szükséges, vagy az eseménynaplókban szereplő elvetett kérések csökkentése érdekében a VPN-kiszolgáló időtúllépési értékét 90 vagy 120 másodpercre növelheti.
Kattintson az OK gombra.
VPN-kapcsolat tesztelése
Ebben a szakaszban megerősíti, hogy a VPN-ügyfelet a RADIUS-kiszolgáló hitelesíti és engedélyezi, amikor megpróbál csatlakozni a VPN virtuális porthoz. Az utasítások feltételezik, hogy a Windows 10-et VPN-ügyfélként használja.
Feljegyzés
Ha már konfigurált egy VPN-ügyfelet a VPN-kiszolgálóhoz való csatlakozáshoz, és mentette a beállításokat, kihagyhatja a VPN-kapcsolatobjektum konfigurálásával és mentésével kapcsolatos lépéseket.
A VPN-ügyfélszámítógépen válassza a Start gombot, majd a Gépház gombot.
A Windows Gépház ablakban válassza a Hálózat és internet lehetőséget.
Válassza ki a VPN-t.
Válassza a VPN-kapcsolat hozzáadása lehetőséget.
A VPN-kapcsolat hozzáadása ablak VPN-szolgáltató mezőjében válassza a Windows (beépített) lehetőséget, töltse ki a fennmaradó mezőket a megfelelő módon, majd válassza a Mentés lehetőséget.
Nyissa meg a Vezérlőpult, majd válassza a Hálózat és megosztási központ lehetőséget.
Válassza az Adapter beállításainak módosítása lehetőséget.
Kattintson a jobb gombbal a VPN-hálózati kapcsolatra, majd válassza a Tulajdonságok lehetőséget.
A VPN tulajdonságok ablakában válassza a Biztonság lapot.
A Biztonság lapon győződjön meg arról, hogy csak a Microsoft CHAP 2-es verziója (MS-CHAP v2) van kiválasztva, majd kattintson az OK gombra.
Kattintson a jobb gombbal a VPN-kapcsolatra, majd válassza a Csatlakozás.
A Gépház ablakban válassza a Csatlakozás lehetőséget.
Sikeres kapcsolat jelenik meg a BIZTONSÁGI naplóban a RADIUS-kiszolgálón, 6272-es eseményazonosítóként, az itt látható módon:
RADIUS hibaelhárítása
Tegyük fel, hogy a VPN-konfiguráció működött, mielőtt a VPN-kiszolgálót központi RADIUS-kiszolgáló használatára konfigurálta a hitelesítéshez és engedélyezéshez. Ha a konfiguráció működött, valószínű, hogy a problémát a RADIUS-kiszolgáló helytelen konfigurációja vagy érvénytelen felhasználónév vagy jelszó használata okozza. Ha például a felhasználónévben a másodlagos UPN-utótagot használja, a bejelentkezési kísérlet meghiúsulhat. A legjobb eredmény érdekében használja ugyanazt a fióknevet.
A problémák elhárításához ideális kiindulópont a RADIUS-kiszolgálón található biztonsági eseménynaplók vizsgálata. Az események keresésével időt takaríthat meg, ha a szerepköralapú hálózati házirendet és az Access Server egyéni nézetét használja a Eseménynapló, ahogy az itt látható. Az "Eseményazonosító: 6273" olyan eseményeket jelöl, ahol az NPS megtagadta a hozzáférést egy felhasználóhoz.
Többfaktoros hitelesítés beállítása
Ha segítségre van szüksége a felhasználók többtényezős hitelesítéshez való konfigurálásához, olvassa el a Felhőalapú Microsoft Entra többtényezős hitelesítés üzembe helyezésének tervezése és a fiók beállítása kétlépéses ellenőrzéshez című cikket
Az NPS-bővítmény telepítése és konfigurálása
Ez a szakasz útmutatást nyújt annak konfigurálásához, hogy a VPN MFA-t használjon a VPN-kiszolgálóval való ügyfél-hitelesítéshez.
Feljegyzés
A REQUIRE_U Standard kiadás R_MATCH beállításkulcs megkülönbözteti a kis- és nagybetűt. Minden értéknek FELSŐ CA Standard kiadás formátumban kell lennie.
Az NPS-bővítmény telepítése és konfigurálása után a kiszolgáló által feldolgozott összes RADIUS-alapú ügyfélhitelesítésre szükség van az MFA használatához. Ha az összes VPN-felhasználója nincs regisztrálva a Microsoft Entra többtényezős hitelesítésben, az alábbiak egyikét teheti:
Állítson be egy másik RADIUS-kiszolgálót az MFA használatára nem konfigurált felhasználók hitelesítéséhez.
Hozzon létre egy beállításjegyzék-bejegyzést, amely lehetővé teszi a felhasználók számára, hogy második hitelesítési tényezőt adjanak meg, ha többtényezős Microsoft Entra-hitelesítésben regisztrálják őket.
Hozzon létre egy REQUIRE_U Standard kiadás R_MATCH nevű új sztringértéket a HKLM\SOFTWARE\Microsoft\AzureMfa fájlban, és állítsa az értéket IGAZ vagy FAL értékre Standard kiadás.
Ha az érték ÉRTÉKE IGAZ vagy üres, az összes hitelesítési kérés MFA-kihívásnak van kitéve. Ha az érték FAL Standard kiadás értékre van állítva, az MFA-kihívások csak a Microsoft Entra többtényezős hitelesítésben regisztrált felhasználók számára jelennek meg. A FAL Standard kiadás beállítást csak tesztelési vagy éles környezetben használja egy előkészítési időszakban.
A címtár-bérlő azonosítójának beszerzése
Az NPS-bővítmény konfigurációjának részeként meg kell adnia a rendszergazdai hitelesítő adatokat és a Microsoft Entra-bérlő azonosítóját. A bérlőazonosító lekéréséhez hajtsa végre a következő lépéseket:
Jelentkezzen be a Microsoft Entra felügyeleti központba globális Rendszergazda istratorként.
Keresse meg az identitást> Gépház.
Az NPS-bővítmény telepítése
Az NPS-bővítményt olyan kiszolgálón kell telepíteni, amelyen telepítve van a Hálózati házirend és az Access Services szerepkör, és amely RADIUS-kiszolgálóként működik a tervben. Ne telepítse az NPS-bővítményt a VPN-kiszolgálóra.
Másolja a telepítő végrehajtható fájlt (NpsExtnForAzureMfaInstaller.exe) az NPS-kiszolgálóra.
Az NPS-kiszolgálón kattintson duplán a NpsExtnForAzureMfaInstaller.exe, és ha a rendszer kéri, válassza a Futtatás lehetőséget.
A Microsoft Entra többtényezős hitelesítés beállítási ablakában tekintse át a szoftverlicencek feltételeit, jelölje be az Elfogadom a licencfeltételeket és feltételeket jelölőnégyzetet, majd válassza a Telepítés lehetőséget.
A Microsoft Entra többtényezős hitelesítés beállítási ablakának NPS-bővítményében válassza a Bezárás lehetőséget.
Tanúsítványok konfigurálása az NPS-bővítménnyel való használatra Graph PowerShell-szkript használatával
A biztonságos kommunikáció és biztonság biztosítása érdekében konfigurálja a tanúsítványokat az NPS-bővítmény általi használatra. Az NPS-összetevők közé tartozik egy Graph PowerShell-szkript, amely önaláírt tanúsítványt konfigurál az NPS-hez való használatra.
A szkript a következő műveleteket hajtja végre:
- Önaláírt tanúsítványt hoz létre.
- A tanúsítvány nyilvános kulcsát a Microsoft Entra ID szolgáltatásnévhez társítja.
- A tanúsítványt a helyi géptárolóban tárolja.
- Hozzáférést biztosít a hálózati felhasználónak a tanúsítvány titkos kulcsához.
- Újraindítja az NPS szolgáltatást.
Ha saját tanúsítványokat szeretne használni, a tanúsítvány nyilvános kulcsát a Microsoft Entra ID szolgáltatásnévhez kell társítania, és így tovább.
A szkript használatához adja meg a bővítményt a Microsoft Entra rendszergazdai hitelesítő adataival és a korábban másolt Microsoft Entra-bérlőazonosítóval. A fióknak ugyanabban a Microsoft Entra-bérlőben kell lennie, amelyben engedélyezni szeretné a bővítményt. Futtassa a szkriptet minden NPS-kiszolgálón, ahol telepíti az NPS-bővítményt.
Futtassa a Graph PowerShellt rendszergazdaként.
A PowerShell parancssorában adja meg a következő cd-t: "c:\Program Files\Microsoft\AzureMfa\Config", majd válassza az Enter lehetőséget.
A következő parancssorba írja be az .\AzureMfaNpsExtnConfigSetup.ps1 parancsot, majd válassza az Enter elemet. A szkript ellenőrzi, hogy telepítve van-e a Graph PowerShell. Ha nincs telepítve, a szkript telepíti Önnek a Graph PowerShellt.
Ha A TLS miatt biztonsági hiba jelenik meg, engedélyezze a TLS 1.2-t a
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
PowerShell-parancssor parancsával.Miután a szkript ellenőrizte a PowerShell-modul telepítését, megjelenik a Graph PowerShell-modul bejelentkezési ablaka.
Adja meg a Microsoft Entra rendszergazdai hitelesítő adatait és jelszavát, majd válassza a Bejelentkezés lehetőséget.
A parancssorban illessze be a korábban másolt bérlőazonosítót, majd válassza az Enter lehetőséget.
A szkript létrehoz egy önaláírt tanúsítványt, és más konfigurációs módosításokat hajt végre. A kimenet a következő képen láthatóhoz hasonló:
Indítsa újra a kiszolgálót.
A konfiguráció ellenőrzése
A konfiguráció ellenőrzéséhez létre kell hoznia egy új VPN-kapcsolatot a VPN-kiszolgálóval. Miután sikeresen megadta a hitelesítő adatait az elsődleges hitelesítéshez, a VPN-kapcsolat megvárja, amíg a másodlagos hitelesítés sikeres lesz a kapcsolat létrehozása előtt, ahogy az alább látható.
Ha sikeresen hitelesít a Microsoft Entra többtényezős hitelesítésben korábban konfigurált másodlagos ellenőrzési módszerrel, csatlakozik az erőforráshoz. Ha azonban a másodlagos hitelesítés sikertelen, a rendszer megtagadja az erőforráshoz való hozzáférést.
Az alábbi példában a Microsoft Authenticator alkalmazás egy Windows Phone-telefon biztosítja a másodlagos hitelesítést:
Miután sikeresen hitelesítést végzett a másodlagos módszerrel, hozzáférést kap a VPN-kiszolgálón található virtuális porthoz. Mivel egy megbízható eszközön lévő mobilalkalmazás használatával másodlagos hitelesítési módszert kellett használnia, a bejelentkezési folyamat biztonságosabb, mint ha csak felhasználónév- és jelszókombinációt használ.
Sikeres bejelentkezési események Eseménynapló naplóinak megtekintése
Ha a Windows Eseménynapló szeretné megtekinteni a sikeres bejelentkezési eseményeket, megtekintheti a Biztonsági naplót, illetve a Hálózati házirend és az Access Services egyéni nézetét, ahogyan az alábbi képen látható:
Azon a kiszolgálón, amelyen telepítette a Microsoft Entra többtényezős hitelesítés NPS-bővítményét, Eseménynapló alkalmazásnaplókat talál, amelyek a bővítményre vonatkoznak az Application and Services Logs\Microsoft\AzureMfa webhelyen.
Hibaelhárítási útmutató
Ha a konfiguráció nem a várt módon működik, kezdje el a hibaelhárítást annak ellenőrzésével, hogy a felhasználó az MFA használatára van-e konfigurálva. A felhasználó jelentkezzen be a Microsoft Entra felügyeleti központba. Ha a rendszer másodlagos hitelesítést kér a felhasználótól, és sikeresen hitelesíthet, az MFA helytelen konfigurációját elháríthatja problémaként.
Ha az MFA a felhasználó számára működik, tekintse át a vonatkozó Eseménynapló naplókat. A naplók tartalmazzák az előző szakaszban tárgyalt biztonsági eseményt, az átjáró működését és a Microsoft Entra többtényezős hitelesítési naplóit.
Itt látható egy példa egy sikertelen bejelentkezési eseményt megjelenítő biztonsági naplóra (6273-os eseményazonosító):
A Microsoft Entra többtényezős hitelesítési naplójának kapcsolódó eseménye itt látható:
A speciális hibaelhárításhoz tekintse meg az NPS adatbázisformátumú naplófájljait, ahol az NPS szolgáltatás telepítve van. A naplófájlok a %SystemRoot%\System32\Logs mappában jönnek létre vesszőkkel tagolt szövegfájlokként. A naplófájlok leírását az NPS-adatbázisformátum naplófájljainak értelmezése című témakörben talál.
A naplófájlok bejegyzéseit nehéz értelmezni, hacsak nem exportálja őket egy táblázatba vagy adatbázisba. Számos internetes hitelesítési szolgáltatás (IAS) elemzőeszközt találhat online, hogy segítsen a naplófájlok értelmezésében. Egy ilyen letölthető shareware-alkalmazás kimenete itt látható:
További hibaelhárításhoz használhat protokollelemzőt, például a Wiresharkot vagy a Microsoft Message Analyzert. A Wireshark alábbi képe a VPN-kiszolgáló és az NPS közötti RADIUS-üzeneteket jeleníti meg.
További információ: Meglévő NPS-infrastruktúra integrálása a Microsoft Entra többtényezős hitelesítéssel.
Következő lépések
Többtényezős Microsoft Entra-hitelesítés lekérése
Távoli asztali átjáró és RADIUS-t használó Azure Multi-Factor Authentication-kiszolgáló
Helyszíni címtárak integrálása a Microsoft Entra-azonosítóval