Gateway Desktop remoto e server Azure Multi-Factor Authentication utilizzando RADIUSRemote Desktop Gateway and Azure Multi-Factor Authentication Server using RADIUS

Gateway Desktop remoto usa il server dei criteri di rete locale per autenticare gli utenti.Often, Remote Desktop (RD) Gateway uses the local Network Policy Services (NPS) to authenticate users. Questo articolo descrive come inoltrare richieste RADIUS da Gateway Desktop remoto (tramite il server dei criteri di rete locale) al server Multi-Factor Authentication.This article describes how to route RADIUS requests out from the Remote Desktop Gateway (through the local NPS) to the Multi-Factor Authentication Server. La combinazione di Azure MFA e Gateway Desktop remoto consente agli utenti di accedere agli ambienti di lavoro da qualsiasi luogo eseguendo l'autenticazione avanzata.The combination of Azure MFA and RD Gateway means that your users can access their work environments from anywhere while performing strong authentication.

Dato che l'autenticazione di Windows per Servizi terminal non è supportata per Server 2012 R2, usare RADIUS e Gateway Desktop remoto per l'integrazione con il server MFA.Since Windows Authentication for terminal services is not supported for Server 2012 R2, use RD Gateway and RADIUS to integrate with MFA Server.

Installare il server Multi-Factor Authentication in un server separato, che trasmetterà tramite proxy la richiesta RADIUS al server dei criteri di rete nel server Gateway Desktop remoto.Install the Azure Multi-Factor Authentication Server on a separate server, which proxies the RADIUS request back to the NPS on the Remote Desktop Gateway Server. Dopo aver convalidato il nome utente e la password, il server dei criteri di rete restituisce una risposta al server Multi-Factor Authentication.After NPS validates the username and password, it returns a response to the Multi-Factor Authentication Server. Il server MFA esegue quindi il secondo fattore dell'autenticazione e restituisce un risultato al gateway.Then, the MFA Server performs the second factor of authentication and returns a result to the gateway.

PrerequisitiPrerequisites

Configurare Gateway Desktop remotoConfigure the Remote Desktop Gateway

Configurare Gateway Desktop remoto per l'invio dell'autenticazione RADIUS a un server Azure Multi-Factor Authentication.Configure the RD Gateway to send RADIUS authentication to an Azure Multi-Factor Authentication Server.

  1. In Gestione Gateway Desktop remoto fare clic con il pulsante destro del mouse sul nome server e scegliere Proprietà.In RD Gateway Manager, right-click the server name and select Properties.
  2. Passare alla scheda Archivio criteri di autorizzazione connessioni Desktop remoto e selezionare Server dei criteri di rete centrale.Go to the RD CAP Store tab and select Central server running NPS.
  3. Aggiungere uno o più server Azure Multi-Factor Authentication come server RADIUS immettendo il nome o l'indirizzo IP di ogni server.Add one or more Azure Multi-Factor Authentication Servers as RADIUS servers by entering the name or IP address of each server.
  4. Creare un segreto condiviso per ogni server.Create a shared secret for each server.

Configurazione dei criteri di reteConfigure NPS

Il Gateway Desktop remoto utilizza criteri di rete per inviare richieste RADIUS a Azure Multi-Factor Authentication.The RD Gateway uses NPS to send the RADIUS request to Azure Multi-Factor Authentication. Per configurare il server dei criteri di rete, modificare prima le impostazioni di timeout per evitare il timeout di Gateway Desktop remoto prima che venga completata la verifica in due passaggi.To configure NPS, first you change the timeout settings to prevent the RD Gateway from timing out before the two-step verification has completed. Aggiornare quindi il server dei criteri di rete per la ricezione delle autenticazioni RADIUS dal server MFA.Then, you update NPS to receive RADIUS authentications from your MFA Server. Usare la procedura seguente per configurare il server dei criteri di rete:Use the following procedure to configure NPS:

Modificare i criteri di timeoutModify the timeout policy

  1. In Server dei criteri di rete espandere il menu Client e server RADIUS nella colonna a sinistra e selezionare Gruppi di server RADIUS remoti.In NPS, open the RADIUS Clients and Server menu in the left column and select Remote RADIUS Server Groups.
  2. Selezionare il gruppo SERVER GATEWAY DI SERVIZI TERMINAL.Select the TS GATEWAY SERVER GROUP.
  3. Passare alla scheda Bilanciamento del carico.Go to the Load Balancing tab.
  4. Impostare sia Numero di secondi senza risposta prima che la richiesta venga annullata che Numero di secondi tra le richieste quando il server viene identificato come non disponibile su un valore compreso tra 30 e 60 secondi.Change both the Number of seconds without response before request is considered dropped and the Number of seconds between requests when server is identified as unavailable to between 30 and 60 seconds. Se il timeout del server persiste durante l'autenticazione, è possibile tornare a questa schermata e aumentare il numero di secondi.(If you find that the server still times out during authentication, you can come back here and increase the number of seconds.)
  5. Passare alla scheda Autenticazione/Account e verificare che le porte RADIUS specificate corrispondano alle porte di attesa del server Multi-Factor Authentication.Go to the Authentication/Account tab and check that the RADIUS ports specified match the ports that the Multi-Factor Authentication Server is listening on.

Preparare il server dei criteri di rete per la ricezione delle autenticazioni dal server MFAPrepare NPS to receive authentications from the MFA Server

  1. Fare clic con il pulsante destro del mouse su Client RADIUS in Client e server RADIUS nella colonna a sinistra e scegliere Nuovo.Right-click RADIUS Clients under RADIUS Clients and Servers in the left column and select New.
  2. Aggiungere il Server Azure Multi-Factor Authentication come client RADIUS.Add the Azure Multi-Factor Authentication Server as a RADIUS client. Scegliere un nome descrittivo e specificare un segreto condiviso.Choose a Friendly name and specify a shared secret.
  3. Aprire il menu Criteri nella colonna a sinistra e selezionare Criteri di richiesta di connessione.Open the Policies menu in the left column and select Connection Request Policies. Verrà visualizzato un criterio denominato TS GATEWAY AUTHORIZATION POLICY, creato durante la configurazione di Gateway Desktop remoto.You should see a policy called TS GATEWAY AUTHORIZATION POLICY that was created when RD Gateway was configured. Questo criterio inoltra le richieste RADIUS al Server Multi-Factor Authentication.This policy forwards RADIUS requests to the Multi-Factor Authentication Server.
  4. Fare clic con il pulsante destro del mouse su TS GATEWAY AUTHORIZATION POLICY e scegliere Duplica criterio.Right-click TS GATEWAY AUTHORIZATION POLICY and select Duplicate Policy.
  5. Aprire il nuovo criterio e selezionare la scheda Condizioni.Open the new policy and go to the Conditions tab.
  6. Aggiungere una condizione che associ il nome descrittivo del client al nome descrittivo impostato nel passaggio 2 per il client RADIUS del server Azure Multi-Factor Authentication.Add a condition that matches the Client Friendly Name with the Friendly name set in step 2 for the Azure Multi-Factor Authentication Server RADIUS client.
  7. Passare alla scheda Impostazioni e selezionare Autenticazione.Go to the Settings tab and select Authentication.
  8. Modificare il provider di autenticazione in Autentica le richieste su questo server.Change the Authentication Provider to Authenticate requests on this server. Questo criterio fa sì che quando il server dei criteri di rete riceve una richiesta RADIUS dal server MFA, l'autenticazione viene eseguita localmente, invece di inviare una richiesta RADIUS al server Azure Multi-Factor Authentication creando una condizione di ciclo.This policy ensures that when NPS receives a RADIUS request from the Azure MFA Server, the authentication occurs locally instead of sending a RADIUS request back to the Azure Multi-Factor Authentication Server, which would result in a loop condition.
  9. Per evitare una condizione di ciclo, assicurarsi che il nuovo criterio PRECEDA il criterio originale nel riquadro Criteri di richiesta di connessione.To prevent a loop condition, make sure that the new policy is ordered ABOVE the original policy in the Connection Request Policies pane.

Configurazione di Azure Multi-Factor AuthenticationConfigure Azure Multi-Factor Authentication

Il Server Azure Multi-Factor Authentication è configurato come proxy RADIUS tra Gateway Desktop remoto e criteri di rete.The Azure Multi-Factor Authentication Server is configured as a RADIUS proxy between RD Gateway and NPS. È necessario installarlo in un server di dominio che è separato dal server Gateway Desktop remoto.It should be installed on a domain-joined server that is separate from the RD Gateway server. Utilizzare la procedura seguente per configurare il Server Azure Multi-Factor Authentication.Use the following procedure to configure the Azure Multi-Factor Authentication Server.

  1. Aprire il server Azure Multi-Factor Authentication e fare clic sull'icona Autenticazione RADIUS.Open the Azure Multi-Factor Authentication Server and select the RADIUS Authentication icon.
  2. Selezionare la casella di controllo Abilita autenticazione RADIUS.Check the Enable RADIUS authentication checkbox.
  3. Nella scheda Client assicurarsi che le porte corrispondano a quelle configurate in Server dei criteri di rete, quindi fare clic su Aggiungi.On the Clients tab, ensure the ports match what is configured in NPS then select Add.
  4. Aggiungere l'indirizzo IP del server Gateway Desktop remoto, il nome dell'applicazione (facoltativo) e un segreto condiviso.Add the RD Gateway server IP address, application name (optional), and a shared secret. Il segreto condiviso deve essere lo stesso per Gateway Desktop remoto e il server Azure Multi-Factor Authentication.The shared secret needs to be the same on both the Azure Multi-Factor Authentication Server and RD Gateway.
  5. Passare alla scheda Destinazione e selezionare il pulsante di opzione Server RADIUS.Go to the Target tab and select the RADIUS server(s) radio button.
  6. Selezionare Aggiungi e immettere l'indirizzo IP, il segreto condiviso e le porte del server dei criteri di rete.Select Add and enter the IP address, shared secret, and ports of the NPS server. Se non si usa un server dei criteri di rete centrale, il client RADIUS e la destinazione RADIUS saranno uguali.Unless using a central NPS, the RADIUS client and RADIUS target are the same. Il segreto condiviso deve corrispondere a quello impostato nella sezione client RADIUS del server dei criteri di rete.The shared secret must match the one setup in the RADIUS client section of the NPS server.

Autenticazione RADIUS

Passaggi successiviNext steps