Integrare l'infrastruttura di Server dei criteri di rete esistente con Azure AD Multi-Factor Authentication

L'estensione Server dei criteri di rete per Azure AD Multi-Factor Authentication aggiunge funzionalità MFA basate sul cloud all'infrastruttura di autenticazione usando i server esistenti. Con l'estensione di Server dei criteri di rete, è possibile aggiungere la verifica con telefonata, messaggio di testo o app telefonica al flusso di autenticazione esistente senza dover installare, configurare e gestire nuovi server.

L'estensione server dei criteri di rete funge da scheda tra RADIUS e l'autenticazione a più fattori Azure AD basata sul cloud per fornire un secondo fattore di autenticazione per gli utenti federati o sincronizzati.

Funzionamento dell'estensione Server dei criteri di rete

Quando si usa l'estensione NPS per Azure AD Multi-Factor Authentication, il flusso di autenticazione include i componenti seguenti:

  1. Il Server NAS/VPN riceve le richieste dei client VPN e le converte in richieste RADIUS per il Server dei criteri di rete.
  2. Server dei criteri di rete si connette a Active Directory Domain Services (AD DS) per eseguire l'autenticazione primaria per le richieste RADIUS e, in caso di esito positivo, passa la richiesta a tutte le estensioni installate.
  3. L'estensione server dei criteri di rete attiva una richiesta Azure AD Multi-Factor Authentication per l'autenticazione secondaria. Dopo che l'estensione riceve la risposta e se la richiesta di verifica MFA ha esito positivo, la richiesta di autenticazione viene completata, fornendo al server di Server dei criteri di rete i token di sicurezza che includono un'attestazione MFA, emessa dal servizio token di sicurezza di Azure.

    Nota

    Gli utenti devono avere accesso al metodo di autenticazione predefinito per completare il requisito di autenticazione a più fattori. Non possono scegliere un metodo alternativo. Il metodo di autenticazione predefinito verrà usato anche se è stato disabilitato nei metodi di autenticazione del tenant e nei criteri di autenticazione a più fattori.

  4. Azure AD MFA comunica con Azure Active Directory (Azure AD) per recuperare i dettagli dell'utente ed esegue l'autenticazione secondaria usando un metodo di verifica configurato per l'utente.

Il diagramma seguente illustra questo flusso di richiesta di autenticazione ad alto livello:

Diagramma del flusso di autenticazione per l'autenticazione dell'utente tramite un server VPN al server dei criteri di rete e dell'Azure AD server dei criteri di rete di Multi-Factor Authentication

Comportamento del protocollo RADIUS e estensione NPS

Poiché RADIUS è un protocollo UDP, il mittente presuppone la perdita di pacchetti e attende una risposta. Dopo un periodo di tempo, la connessione potrebbe verificarsi un timeout. In tal caso, il pacchetto viene reinviato perché il mittente presuppone che il pacchetto non abbia raggiunto la destinazione. Nello scenario di autenticazione di questo articolo, i server VPN inviano la richiesta e attendono una risposta. Se si verifica il timeout della connessione, il server VPN invia nuovamente la richiesta.

Diagramma del flusso di pacchetti UDP RADIUS e delle richieste dopo il timeout nella risposta dal server NPS

Il server dei criteri di rete potrebbe non rispondere alla richiesta originale del server VPN prima del timeout della connessione perché la richiesta MFA potrebbe essere ancora in fase di elaborazione. L'utente potrebbe non aver risposto correttamente alla richiesta di autenticazione a più fattori, quindi l'estensione NPS Azure AD Multi-Factor Authentication è in attesa del completamento dell'evento. In questo caso, il server dei criteri di rete identifica le richieste aggiuntive del server VPN come richiesta duplicata. Il server dei criteri di rete elimina queste richieste di server VPN duplicate.

Diagramma del server dei criteri di rete che rimuove le richieste duplicate dal server RADIUS

Se si osservano i log del server dei criteri di rete, è possibile che queste richieste aggiuntive vengano eliminate. Questo comportamento è previsto per proteggere l'utente finale dal ricevere più richieste per un singolo tentativo di autenticazione. Le richieste scartate nel registro eventi del server NPS non indicano che si è verificato un problema con il server dei criteri di rete o l'estensione server dei criteri di rete Azure AD Multi-Factor Authentication.

Per ridurre al minimo le richieste eliminate, è consigliabile configurare i server VPN con un timeout di almeno 60 secondi. Se necessario o per ridurre le richieste eliminate nei log eventi, è possibile aumentare il valore di timeout del server VPN a 90 o 120 secondi.

A causa di questo comportamento del protocollo UDP, il server dei criteri di rete potrebbe ricevere una richiesta duplicata e inviare un'altra richiesta MFA, anche dopo che l'utente ha già risposto alla richiesta iniziale. Per evitare questa condizione di temporizzazione, l'estensione NPS Azure AD Multi-Factor Authentication continua a filtrare ed eliminare le richieste duplicate per un massimo di 10 secondi dopo l'invio di una risposta corretta al server VPN.

Diagramma del server dei criteri di rete che continua a eliminare le richieste duplicate dal server VPN per dieci secondi dopo che viene restituita una risposta corretta

Anche in questo caso, è possibile visualizzare le richieste eliminate nei registri eventi del server NPS, anche quando la richiesta Azure AD Multi-Factor Authentication ha avuto esito positivo. Si tratta di un comportamento previsto e non indica un problema con il server dei criteri di rete o Azure AD di Server dei criteri di rete di Multi-Factor Authentication.

Pianificare la distribuzione

L'estensione di Server dei criteri di rete gestisce automaticamente la ridondanza, pertanto non è necessaria una configurazione speciale.

È possibile creare tutti i Azure AD server dei criteri di rete abilitati per Multi-Factor Authentication in base alle necessità. Se si installano più server, è consigliabile usare un certificato client di differenza per ciascuno. La creazione di un certificato per ogni server significa che è possibile aggiornare ogni certificato singolarmente senza preoccuparsi del tempo di inattività in tutti i server.

I server VPN instradare le richieste di autenticazione, quindi devono essere a conoscenza del nuovo Azure AD server dei criteri di rete abilitati per Multi-Factor Authentication.

Prerequisiti

L'estensione di Server dei criteri di rete è progettata per funzionare con l'infrastruttura esistente. Prima di iniziare, verificare che i prerequisiti seguenti siano disponibili.

Licenze

L'estensione server dei criteri di rete per Azure AD Multi-Factor Authentication è disponibile per i clienti con licenze per Azure AD Multi-Factor Authentication (incluse in Azure AD Premium P1 e Premium P2 o Enterprise Mobility + Security). Le licenze basate sul consumo per Azure AD Multi-Factor Authentication, ad esempio per utente o per licenza di autenticazione, non sono compatibili con l'estensione NPS.

Software

Windows Server 2012 o versione superiore.

Librerie

È necessario installare manualmente la libreria seguente:

Le librerie seguenti vengono installate automaticamente con l'estensione .

Il modulo Microsoft Azure Active Directory per Windows PowerShell viene installato anche tramite uno script di configurazione eseguito come parte del processo di installazione, se non è già presente. Non è necessario installare questo modulo in anticipo se non è già installato.

Azure Active Directory

Tutti gli utenti che usano l'estensione NPS devono essere sincronizzati con Azure AD usando Azure AD Connessione e devono essere registrati per MFA.

Quando si installa l'estensione, sono necessari l'ID tenant e le credenziali di amministratore per il tenant Azure AD tenant. Per ottenere l'ID tenant, seguire questa procedura:

  1. Accedere al portale di Azure come amministratore globale del tenant di Azure.

  2. Cercare e selezionare il Azure Active Directory.

  3. Nella pagina Panoramica vengono visualizzate le informazioni sul tenant. Accanto a ID tenant selezionare l'icona Copia, come illustrato nello screenshot di esempio seguente:

    Recupero dell'ID tenant dal portale di Azure

Requisiti di rete

Il server NPS deve essere in grado di comunicare con gli URL seguenti sulle porte 80 e 443:

  • https: / /adnotifications.windowsazure.com
  • https: / /login.microsoftonline.com
  • https: / /credentials.azure.com

Inoltre, è necessaria la connettività agli URL seguenti per completare la configurazione dell'adapter usando lo script di PowerShell fornito:

  • https: / /login.microsoftonline.com
  • https: / /provisioningapi.microsoftonline.com
  • https: / /aadcdn.msauth.net
  • https: / /www.powershellgallery.com
  • https: / /go.microsoft.com
  • https: / /aadcdn.msftauthimages.net

Preparare l'ambiente

Prima di installare l'estensione Server dei criteri di rete, preparare l'ambiente per la gestione del traffico di autenticazione.

Abilitare il ruolo del Server dei criteri di rete in un server appartenente a un dominio

Il server dei criteri di rete si connette Azure AD e autentica le richieste MFA. Scegliere un server per questo ruolo. Si consiglia di scegliere un server che non gestisce le richieste provenienti da altri servizi, poiché l'estensione di Server dei criteri di rete genera errori per qualsiasi richiesta non RADIUS. Il server dei criteri di rete deve essere configurato come server di autenticazione primario e secondario per l'ambiente. Non può eseguire il proxy delle richieste RADIUS a un altro server.

  1. Nel server aprire Server Manager. Selezionare Aggiunta guidata ruoli e funzionalità dal menu Avvio rapido.
  2. Per il tipo di installazione, scegliere Installazione basata su ruoli o basata su funzionalità.
  3. Selezionare il ruolo del server Servizi di accesso e criteri di rete. Potrebbe essere visualizzata una finestra per informare l'utente delle funzionalità aggiuntive necessarie per eseguire questo ruolo.
  4. Continuare la procedura guidata fino alla pagina Conferma. Quando si è pronti, selezionare Installa.

L'installazione del ruolo server Server dei criteri di rete potrebbe richiedere alcuni minuti. Al termine, continuare con le sezioni seguenti per configurare questo server per gestire le richieste RADIUS in ingresso dalla soluzione VPN.

Configurare la soluzione VPN in modo che comunichi con il Server dei criteri di rete

La procedura per configurare i criteri di autenticazione RADIUS può variare a seconda della soluzione VPN in uso. Configurare i criteri VPN in modo che puntino al server dei criteri di rete RADIUS.

Sincronizzare gli utenti del dominio con il cloud

Questo passaggio potrebbe essere già completato nel tenant, tuttavia è consigliabile verificare che Azure AD Connect abbia sincronizzato i database di recente.

  1. Accedere al portale di Azure come amministratore.
  2. Selezionare Azure Active Directory > Azure AD Connect
  3. Verificare che lo stato della sincronizzazione sia Abilitata e che l'ultima sincronizzazione sia stata eseguita da meno di un'ora.

Se è necessario avviare un nuovo round di sincronizzazione, vedere Azure AD Connessione sincronizzazione: Utilità di pianificazione.

Determinare i metodi di autenticazione che è possibile usare

Sono due i fattori che determinano i metodi di autenticazione disponibili con una distribuzione dell'estensione di Server dei criteri di rete:

  • L'algoritmo di crittografia della password usato tra il client RADIUS (VPN, server Netscaler o altri) e i Server dei criteri di rete.

    • PAP supporta tutti i metodi di autenticazione di Azure AD Multi-Factor Authentication nel cloud: telefonata, SMS unidireale, notifica di app per dispositivi mobili, token hardware OATH e codice di verifica dell'app per dispositivi mobili.

    • CHAPV2 e EAP supportano la chiamata telefonica e la notifica dell'app per dispositivi mobili.

      Nota

      Quando si distribuisce l'estensione di Server dei criteri di rete, usare questi fattori per valutare i metodi disponibili per gli utenti. Se il client RADIUS supporta PAP, ma nel client non esistono campi di input per un codice di verifica, la chiamata telefonica e la notifica dell'app per dispositivi mobili sono le due opzioni supportate.

      Inoltre, indipendentemente dal protocollo di autenticazione usato (PAP, CHAP o EAP), se il metodo MFA è basato su testo (SMS, codice di verifica dell'app per dispositivi mobili o token hardware OATH) e richiede all'utente di immettere un codice o un testo nel campo di input dell'interfaccia utente del client VPN, l'autenticazione potrebbe avere esito positivo. Tuttavia, tutti gli attributi RADIUS configurati nei criteri di accesso alla rete non vengono inoltrati al client RADIUS (il dispositivo di accesso alla rete, ad esempio il gateway VPN). Di conseguenza, il client VPN potrebbe avere più accesso di quello che si vuole avere, o meno accesso o nessun accesso.

  • I metodi di input che l'applicazione client (VPN, server Netscaler o altra) può gestire. Ad esempio, gli strumenti usati dal client VPN per consentire all'utente di digitare un codice di verifica da un testo o da un'app per dispositivi mobili.

È possibile disabilitare i metodi di autenticazione non supportati in Azure.

Registrare utenti per l'MFA

Prima di distribuire e usare l'estensione NPS, gli utenti necessari per eseguire Azure AD Multi-Factor Authentication devono essere registrati per MFA. Per testare l'estensione durante la distribuzione, è necessario anche almeno un account di test completamente registrato per Azure AD Multi-Factor Authentication.

Se è necessario creare e configurare un account di test, seguire questa procedura:

  1. Accedere a https://aka.ms/mfasetup con un account di prova.
  2. Seguire le richieste per configurare un metodo di verifica.
  3. Nell'portale di Azure come utente amministratore creare un criterio di accesso condizionale per richiedere l'autenticazione a più fattori per l'account di test.

Importante

Assicurarsi che gli utenti siano stati registrati correttamente per Azure AD Multi-Factor Authentication. Se gli utenti sono stati registrati in precedenza solo per la reimpostazione della password self-service (SSPR), StrongAuthenticationMethods viene abilitato per i loro account. Azure AD Multi-Factor Authentication viene applicato quando è configurato StrongAuthenticationMethods, anche se l'utente è registrato solo per la richiesta di autenticazione a più fattori.

La registrazione combinata della sicurezza può essere abilitata per configurare la richiesta di autenticazione a Azure AD multi-factor authentication contemporaneamente. Per altre informazioni, vedere Abilitare la registrazione delle informazioni di sicurezza combinate in Azure Active Directory.

È anche possibile imporre agli utenti di registrare nuovamente i metodi di autenticazione se in precedenza erano abilitati solo per la reimpostazione della password self-service.

Installare l'estensione di Server dei criteri di rete

Importante

Installare l'estensione di Server dei criteri di rete in un server diverso rispetto al punto di accesso della VPN.

Scaricare e installare l'estensione NPS per Azure AD MFA

Per scaricare e installare l'estensione Server dei criteri di rete, seguire questa procedura:

  1. Scaricare l'estensione di Server dei criteri di rete dall'Area download di Microsoft.
  2. Copiare il file binario nel Server dei criteri di rete da configurare.
  3. Eseguire setup.exe e seguire le istruzioni di installazione. Se si verificano errori, assicurarsi che le librerie della sezione dei prerequisiti siano state installate correttamente.

Aggiornare l'estensione di Server dei criteri di rete

Se in un secondo momento si aggiorna un'installazione esistente dell'estensione server dei criteri di rete, per evitare un riavvio del server sottostante, seguire questa procedura:

  1. Disinstallare la versione esistente.
  2. Eseguire il nuovo programma di installazione.
  3. Riavviare il servizio Server dei criteri di rete (IAS).

Eseguire lo script di PowerShell

Il programma di installazione crea uno script di PowerShell in C:\Program Files\Microsoft\AzureMfa\Config (dove C:\ è l'unità di installazione). Questo script di PowerShell esegue le azioni seguenti ogni volta che viene eseguito:

  • Crea un certificato autofirmato.
  • Associa la chiave pubblica del certificato all'entità servizio in Azure AD.
  • Archivia il certificato nell'archivio certificati del computer locale.
  • Concede l'accesso alla chiave privata del certificato all'utente di rete.
  • Riavvia il servizio Server dei criteri di rete.

A meno che non si vogliano usare certificati personalizzati (anziché i certificati autofirmati generati nello script di PowerShell), eseguire lo script di PowerShell per completare l'installazione dell'estensione Server dei criteri di rete. Se si installa l'estensione in più server, ogni server deve avere il proprio certificato.

Per fornire funzionalità di bilanciamento del carico o per la ridondanza, ripetere questi passaggi in server server dei criteri di rete aggiuntivi in base alle esigenze:

  1. Aprire un Windows PowerShell come amministratore.

  2. Passare alle directory in cui il programma di installazione ha creato lo script di PowerShell:

    cd "C:\Program Files\Microsoft\AzureMfa\Config"
    
  3. Eseguire lo script di PowerShell creato dal programma di installazione.

    Potrebbe essere necessario prima abilitare TLS 1.2 per Consentire a PowerShell di connettersi e scaricare correttamente i pacchetti:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

    Importante

    Per i clienti che usano i cloud Azure per enti pubblici o Azure China (21Vianet), modificare prima i cmdlet nello scriptAzureMfaNpsExtnConfigSetup.ps1per includere i parametri Connect-MsolService di AzureEnvironment per il cloud richiesto. Ad esempio, specificare -AzureEnvironment USGovernment o -AzureEnvironment AzureChinaCloud.

    Per altre informazioni, vedere riferimento ai parametri Connessione-MsolService.

    .\AzureMfaNpsExtnConfigSetup.ps1
    
  4. Quando richiesto, accedere a Azure AD come amministratore.

  5. Prompt di PowerShell per l'ID tenant. Usare il GUID dell'ID tenant copiato dal portale di Azure nella sezione dei prerequisiti.

  6. Al termine dello script viene visualizzato un messaggio di esito positivo.

Se il certificato del computer precedente è scaduto ed è stato generato un nuovo certificato, è consigliabile eliminare eventuali certificati scaduti. La presenza di certificati scaduti può causare problemi con l'avvio dell'estensione di Server dei criteri di rete.

Nota

Se si usano i propri certificati invece di generare certificati con lo script di PowerShell, verificare che rispettino la convenzione di denominazione di Server dei criteri di rete. Il nome del soggetto deve essere CN= <TenantID> ,OU=Microsoft NPS Extension.

Microsoft Azure Passaggi aggiuntivi Azure China (21Vianet) per enti pubblici o enti pubblici

Per i clienti che usano Azure per enti pubblici o Azure China (21Vianet) cloud, in ogni server dei criteri di rete sono necessari i passaggi di configurazione aggiuntivi seguenti.

Importante

Configurare queste impostazioni del Registro di sistema solo se si è Azure per enti pubblici o Azure China (21Vianet) cliente.

  1. Se si è un cliente Azure per enti pubblici o Azure China (21Vianet), aprire l'editor del Registro di sistema nel server NPS.

  2. Accedere a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.

  3. Per Azure per enti pubblici clienti, impostare i valori chiave seguenti:

    Chiave del Registro di sistema valore
    AZURE_MFA_HOSTNAME adnotifications.windowsazure.us
    STS_URL https://login.microsoftonline.us/
  4. Per Azure China (21Vianet) clienti, impostare i valori chiave seguenti:

    Chiave del Registro di sistema valore
    AZURE_MFA_HOSTNAME adnotifications.windowsazure.cn
    STS_URL https://login.chinacloudapi.cn/
  5. Ripetere i due passaggi precedenti per impostare i valori della chiave del Registro di sistema per ogni Server dei criteri di rete.

  6. Riavviare il servizio Server dei criteri di rete per ogni Server dei criteri di rete.

    Per limitare l'impatto, escludere ogni Server dei criteri di rete dalla rotazione del bilanciamento del carico uno alla volta e attendere lo svuotamento di tutte le connessioni.

Rollover dei certificati

Con la versione 1.0.1.32 dell'estensione Server dei criteri di rete, la lettura di più certificati è ora supportata. Questa funzionalità consente di semplificare gli aggiornamenti in sequenza dei certificati prima della scadenza. Se l'organizzazione esegue una versione precedente dell'estensione Server dei criteri di rete, eseguire l'aggiornamento alla versione 1.0.1.32 o successiva.

I certificati creati dallo script AzureMfaNpsExtnConfigSetup.ps1 sono validi per 2 anni. Monitorare i certificati per la scadenza. I certificati per l'estensione Server dei criteri di rete vengono inseriti nell'archivio certificati del computer locale in Personale e vengono rilasciati all'ID tenant fornito allo script di installazione.

Quando un certificato si avvicina alla data di scadenza, è necessario creare un nuovo certificato per sostituirlo. Questo processo viene eseguito eseguendo di nuovo AzureMfaNpsExtnConfigSetup.ps1 e mantenendo lo stesso ID tenant quando richiesto. Questo processo deve essere ripetuto in ogni Server dei criteri di rete nell'ambiente in uso.

Configurare l'estensione di Server dei criteri di rete

Dopo aver preparato l'ambiente e aver installato l'estensione Server dei criteri di rete nei server necessari, è possibile configurare l'estensione.

In questa sezione sono disponibili considerazioni e suggerimenti sulla progettazione per una corretta distribuzione dell'estensione di Server dei criteri di rete.

Limitazioni di configurazione

  • L'estensione NPS per Azure AD Multi-Factor Authentication non include strumenti per eseguire la migrazione di utenti e impostazioni dal server MFA al cloud. Per questo motivo, è consigliabile usare l'estensione per le distribuzioni nuove piuttosto che per quelle esistenti. Se si usano le estensioni in una distribuzione esistente, gli utenti dovranno ripetere il processo di registrazione per popolare i dettagli di Azure MFA nel cloud.
  • L'estensione server dei criteri di rete usa l'UPN dell'ambiente Active Directory DS locale per identificare l'utente in Azure AD Multi-Factor Authentication per l'esecuzione dell'autenticazione secondaria. L'estensione può essere configurata in modo da usare un identificatore diverso, ad esempio l'ID di accesso alternativo o il campo personalizzato di Servizi di dominio Active Directory diverso da UPN. Per altre informazioni, vedere l'articolo Opzioni di configurazione avanzate per l'estensione NPS per Multi-Factor Authentication.
  • Non tutti i protocolli di crittografia supportano tutti i metodi di verifica.
    • PAP supporta la chiamata telefonica, gli SMS unidirezionali, la notifica dell'app per dispositivi mobili e il codice di verifica app per dispositivi mobili
    • CHAPV2 e EAP supportano la chiamata telefonica e la notifica dell'app per dispositivi mobili

Client RADIUS di controllo che richiedono MFA

Dopo aver abilitato l'autenticazione a più fattori per un client RADIUS usando l'estensione Server dei criteri di rete, tutte le autenticazioni per questo client sono necessarie per eseguire l'autenticazione a più fattori. Se si desidera abilitare MFA solo per alcuni client RADIUS, è possibile configurare due server di Server dei criteri di rete e installare l'estensione solo su uno di questi.

Configurare i client RADIUS per cui si vuole fare in modo che MFA invii richieste al server di Server dei criteri di rete configurato con l'estensione e gli altri client RADIUS al server di Server dei criteri di rete senza configurazione per l'estensione.

Impostazioni per gli utenti che non sono registrati per MFA

Se sono presenti utenti che non sono registrati per MFA, è possibile stabilire cosa succede quando questi tentano di eseguire l'autenticazione. Per controllare questo comportamento, usare l'impostazione REQUIRE_USER_MATCH nel percorso del Registro di sistema HKLM\Software\Microsoft\AzureMFA. Questa impostazione non ha un'unica opzione di configurazione:

Chiave Valore Predefinito
REQUIRE_USER_MATCH VERO/FALSO Non impostato (equivalente a VERO)

Questa impostazione determina cosa fare quando un utente non è registrato per MFA. Quando la chiave non esiste, non è impostata o è impostata su TRUE e l'utente non è registrato, l'estensione non supera la richiesta di autenticazione a più fattori.

Quando la chiave è impostata su FALSE e l'utente non è registrato, l'autenticazione continua senza eseguire l'autenticazione a più fattori. Se un utente è registrato in MFA, deve eseguire l'autenticazione con MFA anche se REQUIRE_USER_MATCH è impostato su FALSE.

È possibile scegliere di creare questa chiave e impostarla su FALSE durante l'onboarding degli utenti e potrebbe non essere ancora stata Azure AD Multi-Factor Authentication. Poiché l'impostazione della chiave consente agli utenti che non sono registrati all'MFA di accedere, è necessario rimuovere la chiave prima di passare all'ambiente di produzione.

Risoluzione dei problemi

Script di controllo integrità dell'estensione Server dei criteri di rete

Lo script seguente è disponibile per eseguire i passaggi di base del controllo integrità durante la risoluzione dei problemi relativi all'estensione Server dei criteri di rete.

MFA_NPS_Troubleshooter.ps1

Come verificare che il certificato client sia installato come previsto?

Cercare il certificato autofirmato creato dal programma di installazione nell'archivio dei certificati e verificare che la chiave privata disponga delle autorizzazioni concesse all'utente Servizio di rete. Il certificato ha il nome soggetto CN , OU = Estensione Server dei criteri di rete <tenantid> Microsoft

I certificati autofirmati generati dallo AzureMfaNpsExtnConfigSetup.ps1 script hanno una durata di validità di due anni. Quando si verifica che il certificato sia installato, è necessario verificare anche che il certificato non sia scaduto.

Come è possibile verificare che il certificato client sia associato al tenant in Azure AD?

Aprire il prompt dei comandi di PowerShell ed eseguire i comandi seguenti:

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1

Questi comandi consentono di stampare tutti i certificati associando il tenant con l'istanza dell'estensione di Server dei criteri di rete nella sessione di PowerShell. Cercare il certificato esportando il certificato client come file X.509(.cer) con codifica Base 64 senza la chiave privata e confrontarlo con l'elenco di PowerShell.

Il comando seguente creerà un file denominato npscertificate nella radice dell'unità C: nel formato .cer.

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1 | select -ExpandProperty "value" | out-file c:\npscertificate.cer

Dopo aver eseguito questo comando, passare alla radice dell'unità C:, individuare il file e fare doppio clic su di esso. Passare ai dettagli e scorrere verso il basso fino a "identificazione personale". Confrontare l'identificazione personale del certificato installato nel server con questa. Le identificazioni personali devono corrispondere.

I timestamp Valid-From e Valid-Until, che sono in formato leggibile dall'utente, possono essere usati per filtrare i problemi ovvi se il comando restituisce più di un certificato.

Perché non è possibile accedere?

Verificare che la password non sia scaduta. L'estensione Server dei criteri di rete non supporta la modifica delle password come parte del flusso di lavoro di accesso. Contattare il personale IT dell'organizzazione per ricevere assistenza.

Perché le richieste hanno esito negativo con errore di token ADAL?

Questo errore potrebbe essere dovuto a diverse ragioni. Per risolvere i problemi, seguire questa procedura:

  1. Riavviare il server di Server dei criteri di rete.
  2. Verificare che il certificato client sia installato come previsto.
  3. Verificare che il certificato sia associato al tenant in Azure AD.
  4. Verificare che https://login.microsoftonline.com/ sia accessibile dal server che esegue l'estensione.

Perché l'autenticazione ha esito negativo e restituisce un errore nei log HTTP che indica che l'utente non è stato trovato?

Verificare che active directory Connessione sia in esecuzione e che l'utente sia presente sia nell'ambiente active directory locale che in Azure AD.

Perché vengono visualizzati errori di connessione HTTP nei log che contengono le autenticazioni non riuscite?

Verificare che https://adnotifications.windowsazure.com sia raggiungibile dal server che esegue l'estensione del server dei criteri di rete.

Perché l'autenticazione non funziona, nonostante sia presente un certificato valido?

Se il certificato del computer precedente è scaduto ed è stato generato un nuovo certificato, eliminare eventuali certificati scaduti. I certificati scaduti possono causare problemi con l'avvio dell'estensione server dei criteri di rete.

Per verificare se si dispone di un certificato valido, controllare l'archivio certificati dell'account del computer locale usando MMC e verificare che il certificato non abbia superato la data di scadenza. Per generare un certificato appena valido, eseguire di nuovo la procedura descritta in Eseguire lo script del programma di installazione di PowerShell.

Perché vengono visualizzate le richieste eliminate nei log del server dei criteri di rete?

Un server VPN può inviare richieste ripetute al server NPS se il valore di timeout è troppo basso. Il server dei criteri di rete rileva queste richieste duplicate e le elimina. Questo comportamento è previsto dalla progettazione e non indica un problema con il server NPS o l'estensione Azure AD Server dei criteri di rete di Multi-Factor Authentication.

Per altre informazioni sui motivi per cui vengono visualizzati i pacchetti eliminati nei log del server dei criteri di rete, vedere Comportamento del protocollo RADIUS e l'estensione NPS all'inizio di questo articolo.

Gestione dei protocolli TLS/SSL e dei pacchetti di crittografia

È consigliabile disattivare o rimuovere i pacchetti di crittografia meno recenti e più deboli, a meno che non sia richiesto dall'organizzazione. Per informazioni su come completare questa attività, vedere l'articolo Managing SSL/TLS Protocols and Cipher Suites for AD FS

Risoluzione dei problemi aggiuntiva

Altre indicazioni per la risoluzione dei problemi e le possibili soluzioni sono disponibili nell'articolo Risolvere i messaggi di errore dall'estensione NPS Azure AD Multi-Factor Authentication.

Passaggi successivi