Integreer uw VPN-infrastructuur met Meervoudige Verificatie van Microsoft Entra met behulp van de Network Policy Server-extensie voor Azure

Met de NPS-extensie (Network Policy Server) voor Azure kunnen organisaties de RADIUS-clientverificatie (Remote Authentication Dial-In User Service) beveiligen met behulp van cloudgebaseerde Microsoft Entra-meervoudige verificatie, die verificatie in twee stappen biedt.

Dit artikel bevat instructies voor het integreren van de NPS-infrastructuur met MFA met behulp van de NPS-extensie voor Azure. Dit proces maakt beveiligde verificatie in twee stappen mogelijk voor gebruikers die verbinding maken met uw netwerk met behulp van een VPN.

Notitie

Hoewel de NPS MFA-extensie tijdgebaseerde eenmalige wachtwoorden (TOTP) ondersteunt, doen bepaalde VPN-clients zoals Windows VPN dat niet. Zorg ervoor dat de VPN-clients die u gebruikt TOTP als verificatiemethode ondersteunen voordat u deze inschakelt in de NPS-extensie.

Services voor netwerkbeleid en -toegang bieden organisaties de volgende mogelijkheden:

  • Het toewijzen van een centrale locatie voor het beheer van netwerkaanvragen om het volgende op te geven:

    • Wie verbinding mag maken

    • Op welk tijdstip van de dag verbindingen zijn toegestaan

    • De duur van verbindingen

    • Het beveiligingsniveau dat clients moeten gebruiken om verbinding te maken

      In plaats van beleidsregels op te geven op elke VPN- of Extern bureaublad-gatewayserver, doet u dit nadat ze zich op een centrale locatie bevinden. Het RADIUS-protocol wordt gebruikt om gecentraliseerde verificatie, autorisatie en accounting (AAA) te bieden.

  • Stel NAP-clientstatusbeleid (Network Access Protection) in en dwing dit beleid af om te bepalen of apparaten onbeperkte of beperkte toegang tot netwerkbronnen krijgen.

  • Geef een manier op om verificatie en autorisatie af te dwingen voor toegang tot 802.1x-compatibele draadloze toegangspunten en Ethernet-switches. Zie Netwerkbeleidsserver voor meer informatie.

Om de beveiliging te verbeteren en een hoog nalevingsniveau te bieden, kunnen organisaties NPS integreren met Microsoft Entra-meervoudige verificatie om ervoor te zorgen dat gebruikers verificatie in twee stappen gebruiken om verbinding te maken met de virtuele poort op de VPN-server. Gebruikers die toegang moeten krijgen, moeten hun combinatie van gebruikersnaam en wachtwoord en andere informatie die ze beheren, opgeven. Deze informatie moet vertrouwelijk zijn en mag niet gemakkelijk gedupliceerd kunnen worden. Het kan een mobiel telefoonnummer, een vast nummer of een toepassing op een mobiel apparaat bevatten.

Als uw organisatie een VPN gebruikt en de gebruiker is geregistreerd voor een TOTP-code, samen met Authenticator-pushmeldingen, kan de gebruiker niet voldoen aan de MFA-uitdaging en mislukt de externe aanmelding. In dat geval kunt u OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE instellen om terug te vallen op pushmeldingen om goed te keuren/weigeren met Authenticator.

Als u wilt dat een NPS-extensie blijft werken voor VPN-gebruikers, moet deze registersleutel worden gemaakt op de NPS-server. Open de registereditor op de NPS-server. Ga naar:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

Maak het volgende tekenreeks-/waardepaar:

Naam: OVERRIDE_NUMBER_MATCHING_WITH_OTP

Waarde = ONWAAR

Vóór de beschikbaarheid van de NPS-extensie voor Azure moesten klanten die verificatie in twee stappen voor geïntegreerde NPS- en MFA-omgevingen wilden implementeren, een afzonderlijke MFA-server configureren en onderhouden in een on-premises omgeving. Dit type verificatie wordt aangeboden door de Extern bureaublad-gateway en Azure Multi-Factor Authentication-server met behulp van RADIUS.

Met de NPS-extensie voor Azure kunnen organisaties RADIUS-clientverificatie beveiligen door een on-premises MFA-oplossing of een cloudgebaseerde MFA-oplossing te implementeren.

Verificatiestroom

Wanneer gebruikers verbinding maken met een virtuele poort op een VPN-server, moeten ze zich eerst verifiëren met behulp van verschillende protocollen. De protocollen maken het gebruik van een combinatie van gebruikersnaam en wachtwoord en verificatiemethoden op basis van certificaten mogelijk.

Naast het verifiëren van hun identiteit moeten gebruikers over de juiste inbelmachtigingen beschikken. In eenvoudige implementaties worden inbelmachtigingen die toegang toestaan rechtstreeks ingesteld op de Active Directory-gebruikersobjecten.

Dial-in tab in Active Directory Users and Computers user properties

In eenvoudige implementaties verleent elke VPN-server toegang of weigert deze op basis van beleid dat is gedefinieerd op elke lokale VPN-server.

In grotere en meer schaalbare implementaties worden de beleidsregels die VPN-toegang verlenen of weigeren gecentraliseerd op RADIUS-servers. In deze gevallen fungeert de VPN-server als een toegangsserver (RADIUS-client) die verbindingsaanvragen en accountberichten doorstuurt naar een RADIUS-server. Als gebruikers verbinding willen maken met de virtuele poort op de VPN-server, moeten ze worden geverifieerd en voldoen aan de voorwaarden die centraal op RADIUS-servers zijn gedefinieerd.

Wanneer de NPS-extensie voor Azure is geïntegreerd met NPS, resulteert dit als volgt in een geslaagde verificatiestroom:

  1. De VPN-server ontvangt een verificatieaanvraag van een VPN-gebruiker die de gebruikersnaam en het wachtwoord bevat voor het maken van verbinding met een resource, zoals een Extern bureaublad-sessie.
  2. De VPN-server fungeert als RADIUS-client en converteert de aanvraag naar een Access-Request-bericht van RADIUS en verzendt deze (met een versleuteld wachtwoord) naar de RADIUS-server waarop de NPS-extensie is geïnstalleerd.
  3. De combinatie van gebruikersnaam en wachtwoord wordt geverifieerd in Active Directory. Als de gebruikersnaam of het wachtwoord onjuist is, verzendt de RADIUS-server het Access-Reject-bericht.
  4. Als aan alle voorwaarden, zoals opgegeven in de NPS-Verbinding maken ionaanvraag en netwerkbeleidsregels, wordt voldaan (bijvoorbeeld op het tijdstip van de dag of groepslidmaatschapsbeperkingen), activeert de NPS-extensie een aanvraag voor secundaire verificatie met Microsoft Entra-meervoudige verificatie.
  5. Microsoft Entra multifactor authentication communiceert met Microsoft Entra ID, haalt de gegevens van de gebruiker op en voert de secundaire verificatie uit met behulp van de methode die is geconfigureerd door de gebruiker (mobiele telefoonoproep, sms-bericht of mobiele app).
  6. Wanneer de MFA-uitdaging is geslaagd, communiceert Microsoft Entra meervoudige verificatie het resultaat met de NPS-extensie.
  7. Nadat de verbindingspoging is geverifieerd en geautoriseerd, verzendt de NPS waarop de extensie wordt geïnstalleerd een RADIUS Access-Accept-bericht naar de VPN-server (RADIUS-client).
  8. De gebruiker krijgt toegang tot de virtuele poort op de VPN-server en brengt een versleutelde VPN-tunnel tot stand.

Vereisten

In deze sectie worden de vereisten beschreven waaraan moeten worden voldaan voordat u MFA kunt integreren met het VPN. Voordat u begint, moet u beschikken over de volgende vereisten:

  • VPN-infrastructuur
  • Rol Services voor netwerkbeleid en -toegang
  • Licentie voor meervoudige verificatie van Microsoft Entra
  • Windows Server-software
  • Bibliotheken
  • Microsoft Entra-id gesynchroniseerd met on-premises Active Directory
  • GUID-id van Microsoft Entra

VPN-infrastructuur

In dit artikel wordt ervan uitgegaan dat u een werkende VPN-infrastructuur hebt die gebruikmaakt van Microsoft Windows Server 2016 en dat uw VPN-server momenteel niet is geconfigureerd om verbindingsaanvragen door te sturen naar een RADIUS-server. In het artikel configureert u de VPN-infrastructuur voor het gebruik van een centrale RADIUS-server.

Als u geen werkende VPN-infrastructuur hebt, kunt u er snel een maken door de richtlijnen te volgen in tal van zelfstudies voor VPN-installatie die u kunt vinden op de sites van Microsoft en op externe sites.

De rol Services voor netwerkbeleid en -toegang

Services voor netwerkbeleid en -toegang bieden de RADIUS-server en clientfunctionaliteit. In dit artikel wordt ervan uitgegaan dat u de rol Services voor netwerkbeleid en -toegang hebt geïnstalleerd op een lidserver of domeincontroller in uw omgeving. In deze handleiding configureert u RADIUS voor een VPN-configuratie. Installeer de rol Services voor netwerkbeleid en -toegang op een andere server dan uw VPN-server.

Zie Een NAP-statusbeleidsserver installeren voor informatie over het installeren van de rol Services voor netwerkbeleid en -toegang in Windows Server 2012 of hoger. NAP is afgeschaft in Windows Server 2016. Zie Best practices voor NPS voor een beschrijving van best practices voor NPS, inclusief de aanbeveling om NPS te installeren op een domeincontroller.

Windows Server-software

Voor de NPS-extensie is Windows Server 2008 R2 SP1 of hoger vereist, waarbij de rol Services voor netwerkbeleid en -toegang is geïnstalleerd. Alle stappen in deze handleiding zijn uitgevoerd met Windows Server 2016.

Bibliotheken

De volgende bibliotheek wordt automatisch geïnstalleerd met de NPS-extensie:

Als de Microsoft Graph PowerShell-module nog niet aanwezig is, wordt deze geïnstalleerd met een configuratiescript dat u uitvoert als onderdeel van het installatieproces. U hoeft Graph PowerShell niet vooraf te installeren.

Microsoft Entra-id gesynchroniseerd met on-premises Active Directory

Als u de NPS-extensie wilt gebruiken, moeten on-premises gebruikers worden gesynchroniseerd met Microsoft Entra-id en zijn ingeschakeld voor MFA. In deze handleiding wordt ervan uitgegaan dat on-premises gebruikers worden gesynchroniseerd met Microsoft Entra-id via Microsoft Entra Verbinding maken. Hieronder ziet u instructies voor het inschakelen van gebruikers voor MFA.

Zie Uw on-premises mappen integreren met Microsoft Entra-id voor meer informatie over Microsoft Entra Verbinding maken.

GUID-id van Microsoft Entra

Als u de NPS-extensie wilt installeren, moet u de GUID van de Microsoft Entra-id kennen. Instructies voor het vinden van de GUID van de Microsoft Entra-id vindt u in de volgende sectie.

RADIUS configureren voor VPN-verbindingen

Als u de NPS-functie op een lidserver hebt geïnstalleerd, moet u deze configureren om de VPN-client die VPN-verbindingen aanvraagt te verifiëren en te autoriseren.

In deze sectie wordt ervan uitgegaan dat u de rol Services voor netwerkbeleid en -toegang hebt geïnstalleerd, maar deze niet hebt geconfigureerd voor gebruik in uw infrastructuur.

Notitie

Als u al een werkende VPN-server hebt die gebruikmaakt van een gecentraliseerde RADIUS-server voor verificatie, kunt u deze sectie overslaan.

Server registreren in Active Directory

De NPS-server moet zijn geregistreerd in Active Directory om in dit scenario goed te functioneren.

  1. Open Serverbeheer.

  2. Selecteer in Serverbeheer de optie Hulpprogramma's en selecteer vervolgens Network Policy Server.

  3. Klik in de console Network Policy Server met de rechtermuisknop op NPS (lokaal) en selecteer vervolgens Server registreren in Active Directory. Selecteer twee keer OK.

    Register server in Active Directory menu option

  4. Laat de console geopend voor de volgende procedure.

Wizard gebruiken om de RADIUS-server te configureren

U kunt een standaardconfiguratie (op basis van wizards) of geavanceerde configuratie gebruiken om de RADIUS-server te configureren. In deze sectie wordt ervan uitgegaan dat u de standaardconfiguratieoptie op basis van de wizard gebruikt.

  1. Selecteer NPS (lokaal) in de console Network Policy Server.

  2. Selecteer onder Standaardconfiguratie de optie RADIUS-server voor inbel- of VPN-verbindingen en selecteer vervolgens VPN- of inbelverbinding configureren.

    Configure RADIUS Server for Dial-Up or VPN Connections

  3. Selecteer in het venster Inbel- of VPN-verbindingstype selecteren de optie VPN-verbindingen en selecteer vervolgens Volgende.

    Configure Virtual private network connections

  4. Selecteer Toevoegen in het venster Inbel- of VPN-server opgeven.

  5. Geef in het venster Nieuwe RADIUS-client een beschrijvende naam op, voer de omzettende naam of het IP-adres van de VPN-server in en voer vervolgens een wachtwoord voor een gedeeld geheim in. Maak het gedeelde geheime wachtwoord lang en complex. Noteer deze, omdat u deze nodig hebt in de volgende sectie.

    Create a New RADIUS client window

  6. Selecteer OK en selecteer vervolgens Volgende.

  7. Accepteer in het venster Verificatiemethoden configureren de standaardselectie (Microsoft Encrypted Authentication versie 2 [MS-CHAPv2]) of kies een andere optie en selecteer Volgende.

    Notitie

    Als u EAP (Extensible Authentication Protocol) configureert, moet u CHAPv2 (Microsoft Challenge-Handshake Authentication Protocol) of PEAP (Protected Extensible Authentication Protocol) gebruiken. Er wordt geen andere EAP ondersteund.

  8. Selecteer in het venster Gebruikersgroepen opgeven de optie Toevoegen en selecteer vervolgens een geschikte groep. Als er geen groep bestaat, laat u de selectie leeg om toegang te verlenen aan alle gebruikers.

    Specify User Groups window to allow or deny access

  9. Selecteer Volgende.

  10. Selecteer in het venster IP-filters opgeven de optie Volgende.

  11. Accepteer in het venster Versleutelingsinstellingen opgeven de standaardinstellingen en selecteer vervolgens Volgende.

    The Specify Encryption Settings window

  12. Laat in het venster Een realmnaam opgeven de realmnaam leeg, accepteer de standaardinstelling en selecteer vervolgens Volgende.

    The Specify a Realm Name window

  13. Selecteer in het venster Nieuwe inbel- of VPN-verbinding en RADIUS-clients de optie Voltooien.

    Completed configuration window

De RADIUS-configuratie controleren

In deze sectie wordt de configuratie beschreven die u hebt gemaakt met behulp van de wizard.

  1. Vouw RADIUS-clients op de netwerkbeleidsserver in de NPS-console (lokaal) uit en selecteer vervolgens RADIUS-clients.

  2. Klik in het detailvenster met de rechtermuisknop op de RADIUS-client die u hebt gemaakt en selecteer vervolgens Eigenschappen. De eigenschappen van uw RADIUS-client (de VPN-server) moeten er als volgt uitzien:

    Verify the VPN properties and configuration

  3. Selecteer Annuleren.

  4. Vouw Beleid uit op de netwerkbeleidsserver in de NPS-console (lokaal) en selecteer vervolgens Beleid voor verbindingsaanvragen. Het beleid voor VPN-verbindingen wordt weergegeven zoals in de volgende afbeelding:

    Connection request policy showing VPN connection policy

  5. Selecteer onder Beleid de optie Netwerkbeleid. U ziet nu een VPN-verbindingsbeleid (Virtual Private Network) dat lijkt op het beleid dat in de volgende afbeelding wordt weergegeven:

    Network Policies showing Virtual Private Network Connections policy

Uw VPN-server configureren voor het gebruik van RADIUS-verificatie

In deze sectie gaat u uw VPN-server configureren voor het gebruik van RADIUS-verificatie. In de instructies wordt ervan uitgegaan dat u een werkende configuratie van een VPN-server hebt, maar deze niet hebt geconfigureerd voor het gebruik van RADIUS-verificatie. Nadat u de VPN-server hebt geconfigureerd, controleert u of uw configuratie werkt zoals verwacht.

Notitie

Als u al een werkende VPN-serverconfiguratie hebt die gebruikmaakt van RADIUS-verificatie, kunt u deze sectie overslaan.

Verificatieproviders configureren

  1. Open Serverbeheer op de VPN-server.

  2. Selecteer bij Serverbeheer de optie Hulpprogramma's en selecteer vervolgens Routering en externe toegang.

  3. Klik in het venster Routering en externe toegang met de rechtermuisknop op <servernaam> (lokaal) en selecteer vervolgens Eigenschappen.

  4. Selecteer in het venster <Servernaam> (lokaal) Eigenschappen het tabblad Beveiliging.

  5. Selecteer op het tabblad Beveiliging, onder Verificatieprovider, de optie RADIUS-verificatie en selecteer vervolgens Configureren.

    Configure RADIUS Authentication provider

  6. Selecteer Toevoegen in het venster RADIUS-verificatie.

  7. Ga als volgt te werk in het venster RADIUS-server toevoegen:

    1. Voer in het vak Servernaam de naam of het IP-adres in van de RADIUS-server die u in de vorige sectie hebt geconfigureerd.

    2. Voor het gedeelde geheim selecteert u Wijzigen en voert u vervolgens het wachtwoord voor het gedeelde geheim in dat u eerder hebt gemaakt en vastgelegd.

    3. Voer in het vak Time-out (seconden) de waarde 60 in. Om genegeerde aanvragen te minimaliseren, wordt aanbevolen om VPN-servers te configureren met een time-out van ten minste 60 seconden. Indien nodig, of om genegeerde aanvragen in de gebeurtenislogboeken te verminderen, kunt u de time-outwaarde van de VPN-server verhogen naar 90 of 120 seconden.

  8. Selecteer OK.

VPN-connectiviteit testen

In deze sectie bevestigt u dat de VPN-client is geverifieerd en geautoriseerd door de RADIUS-server wanneer u verbinding maakt met de virtuele VPN-poort. In de instructies wordt ervan uitgegaan dat u Windows 10 gebruikt als VPN-client.

Notitie

Als u al een VPN-client hebt geconfigureerd om verbinding te maken met de VPN-server en de instellingen hebt opgeslagen, kunt u de stappen met betrekking tot het configureren en opslaan van een VPN-verbindingsobject overslaan.

  1. Selecteer op uw VPN-clientcomputer de knop Start en selecteer vervolgens de knop Instellingen.

  2. Selecteer Network & Internet in het venster Windows Instellingen.

  3. Selecteer VPN.

  4. Selecteer Een VPN-verbinding toevoegen.

  5. Selecteer in het venster Een VPN-verbinding toevoegen in het vak VPN-provider de optie Windows (ingebouwd), vul de resterende velden in (indien van toepassing) en selecteer vervolgens Opslaan.

    The

  6. Ga naar Configuratiescherm en selecteer Netwerk- en sharingcentrum.

  7. Selecteer Adapterinstellingen wijzigen.

    Network and Sharing Center - Change adapter settings

  8. Klik met de rechtermuisknop op de VPN-netwerkverbinding en selecteer vervolgens Eigenschappen.

  9. Selecteer het tabblad Beveiliging in het venster VPN-eigenschappen.

  10. Controleer op het tabblad Beveiliging of alleen Microsoft CHAP-versie 2 (MS-CHAP v2) is geselecteerd en selecteer vervolgens OK.

    The

  11. Klik met de rechtermuisknop op de VPN-verbinding en selecteer vervolgens Verbinding maken.

  12. Selecteer in het venster Instellingen de optie Verbinding maken.
    Er wordt in het beveiligingslogboek op de RADIUS-server een geslaagde verbinding weergegeven, als gebeurtenis-id 6272, zoals hier wordt weergegeven:

    Event Properties window showing a successful connection

Problemen met RADIUS oplossen

Stel dat uw VPN-configuratie werkte voordat u de VPN-server hebt geconfigureerd voor het gebruik van een gecentraliseerde RADIUS-server voor verificatie en autorisatie. Als de configuratie werkt, is het waarschijnlijk dat het probleem wordt veroorzaakt door een onjuiste configuratie van de RADIUS-server of het gebruik van een ongeldig(e) gebruikersnaam of wachtwoord. Als u bijvoorbeeld het alternatieve UPN-achtervoegsel in de gebruikersnaam gebruikt, kan de aanmeldingspoging mislukken. Gebruik dezelfde accountnaam voor de beste resultaten.

Voor het oplossen van problemen kunt u het beste eerst de beveiligingslogboeken op de RADIUS-server onderzoeken. Als u tijd wilt besparen bij het zoeken naar gebeurtenissen, kunt u de aangepaste weergave van het op rollen gebaseerde Netwerkbeleid en Toegangsserver in Logboeken gebruiken, zoals hier wordt weergegeven. 'Gebeurtenis-id 6273' geeft gebeurtenissen aan waarbij de NPS een gebruiker toegang heeft geweigerd.

Event Viewer showing NPAS events

Meervoudige verificatie configureren

Zie de artikelen Over het plannen van een implementatie van meervoudige verificatie in de cloud en het instellen van mijn account voor verificatie in twee stappen voor hulp bij het configureren van gebruikers voor meervoudige verificatie

De NPS-extensie installeren en configureren

Deze sectie bevat instructies voor het configureren van VPN voor het gebruik van MFA voor clientverificatie met de VPN-server.

Notitie

De registersleutel REQUIRE_USER_MATCH is hoofdlettergevoelig. Alle waarden moeten worden ingesteld in HOOFDLETTERS.

Nadat u de NPS-extensie hebt geïnstalleerd en geconfigureerd, is alle op RADIUS gebaseerde clientverificatie die door deze server wordt verwerkt, vereist voor het gebruik van MFA. Als al uw VPN-gebruikers niet zijn ingeschreven bij Meervoudige Verificatie van Microsoft Entra, kunt u een van de volgende handelingen uitvoeren:

  • Stel een andere RADIUS-server in om gebruikers te verifiëren die niet zijn geconfigureerd voor het gebruik van MFA.

  • Maak een registervermelding waarmee gebruikers een tweede verificatiefactor kunnen opgeven als ze zijn ingeschreven bij Meervoudige Verificatie van Microsoft Entra.

Maak een nieuwe tekenreekswaarde met de naam REQUIRE_USER_MATCH in HKLM\SOFTWARE\Microsoft\AzureMfa en stel de waarde in op WAAR of ONWAAR.

The

Als de waarde is ingesteld op WAAR of leeg is, worden alle verificatieaanvragen onderworpen aan een MFA-uitdaging. Als de waarde is ingesteld op FALSE, worden MFA-uitdagingen alleen uitgegeven aan gebruikers die zijn ingeschreven bij Meervoudige Verificatie van Microsoft Entra. Gebruik de instelling ONWAAR alleen in test- of productieomgevingen tijdens een onboardingperiode.

De tenant-id van de map ophalen

Als onderdeel van de configuratie van de NPS-extensie moet u beheerdersreferenties en de id van uw Microsoft Entra-tenant opgeven. Voer de volgende stappen uit om de tenant-id op te halen:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als een Globale Beheer istrator.

  2. Blader naar Identiteit> Instellingen.

    Getting the Tenant ID from the Microsoft Entra admin center

De NPS-extensie installeren

De NPS-extensie moet worden geïnstalleerd op een server waarop de rol Services voor netwerkbeleid en -toegang is geïnstalleerd en die fungeert als de RADIUS-server in uw ontwerp. Installeer de NPS-extensie niet op uw VPN-server.

  1. Download de NPS-extensie uit het Microsoft Downloadcentrum.

  2. Kopieer het uitvoerbare installatiebestand (NpsExtnForAzureMfaInstaller.exe) naar de NPS-server.

  3. Dubbelklik op de NPS-server op NpsExtnForAzureMfaInstaller.exe en selecteer Uitvoeren zodra u hierom wordt gevraagd.

  4. Controleer in het installatievenster van de NPS-extensie voor Microsoft Entra meervoudige verificatie de licentievoorwaarden voor software, schakel het selectievakje Ik ga akkoord met de licentievoorwaarden in en selecteer Vervolgens Installeren.

    The

  5. Selecteer Sluiten in het venster NPS-extensie voor meervoudige verificatie van Microsoft Entra.

    The

Certificaten configureren voor gebruik met de NPS-extensie met behulp van een Graph PowerShell-script

Configureer certificaten voor gebruik door de NPS-extensie om veilige communicatie en zekerheid te garanderen. De NPS-onderdelen bevatten een Graph PowerShell-script waarmee een zelfondertekend certificaat wordt geconfigureerd voor gebruik met NPS.

Met het script worden de volgende taken uitgevoerd:

  • Hiermee wordt een zelfondertekend certificaat gemaakt.
  • Koppelt de openbare sleutel van het certificaat aan de service-principal op Microsoft Entra-id.
  • Hiermee slaat u het certificaat op in het lokale computerarchief.
  • Geeft het netwerk gebruikerstoegang tot de persoonlijke sleutel van het certificaat.
  • Hiermee start u de NPS-service opnieuw op.

Als u uw eigen certificaten wilt gebruiken, moet u de openbare sleutel van uw certificaat koppelen aan de service-principal op Microsoft Entra-id, enzovoort.

Als u het script wilt gebruiken, geeft u de extensie op met uw Microsoft Entra-beheerdersreferenties en de Microsoft Entra-tenant-id die u eerder hebt gekopieerd. Het account moet zich in dezelfde Microsoft Entra-tenant bevinden als waarvoor u de extensie wilt inschakelen. Voer het script uit op elke NPS-server waarop u de NPS-extensie installeert.

  1. Voer Graph PowerShell uit als beheerder.

  2. Voer in de PowerShell-opdrachtprompt cd "c:\Program Files\Microsoft\AzureMfa\Config" in en selecteer vervolgens Enter.

  3. Voer bij de vorige opdrachtprompt .\AzureMfaNpsExtnConfigSetup.ps1 in en selecteer vervolgens Enter. Het script controleert of Graph PowerShell is geïnstalleerd. Als het script niet is geïnstalleerd, installeert het script Graph PowerShell voor u.

    Running the AzureMfsNpsExtnConfigSetup.ps1 configuration script

    Als u een beveiligingsfout krijgt vanwege TLS, schakelt u TLS 1.2 in met behulp van de opdracht [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 vanuit uw PowerShell-prompt.

    Nadat het script de installatie van de PowerShell-module heeft geverifieerd, wordt het aanmeldingsvenster van de Graph PowerShell-module weergegeven.

  4. Voer uw Microsoft Entra-beheerdersreferenties en -wachtwoord in en selecteer Vervolgens Aanmelden.

  5. Plak bij de opdrachtprompt de tenant-id die u eerder hebt gekopieerd en selecteer vervolgens Enter.

    Input the Microsoft Entra tenant ID copied before

    Het script maakt een zelfondertekend certificaat en voert andere configuratiewijzigingen uit. De uitvoer ziet er ongeveer zo uit als in de volgende afbeelding:

    PowerShell window showing Self-signed certificate

  6. Start de server opnieuw op.

De configuratie controleren

Als u de configuratie wilt controleren, moet u een nieuwe VPN-verbinding met de VPN-server tot stand brengen. Nadat u uw referenties voor primaire verificatie hebt ingevoerd, wacht de VPN-verbinding totdat de secundaire verificatie is geslaagd voordat de verbinding tot stand wordt gebracht, zoals hieronder wordt weergegeven.

The Windows Settings VPN window

Als u bent geverifieerd met de secundaire verificatiemethode die u eerder hebt geconfigureerd in Microsoft Entra multi-factor authentication, bent u verbonden met de resource. Als de secundaire verificatie echter mislukt, wordt de toegang tot de resource geweigerd.

In het volgende voorbeeld biedt de Microsoft Authenticator-app op een Windows Phone de secundaire verificatie:

Example MFA prompt on Windows Phone

Nadat u bent geverifieerd met behulp van de secundaire methode krijgt u toegang tot de virtuele poort op de VPN-server. Omdat u een secundaire verificatiemethode moet gebruiken met behulp van een mobiele app op een vertrouwd apparaat, is het aanmeldingsproces veiliger dan wanneer hiervoor alleen een combinatie van gebruikersnaam en wachtwoord wordt gebruikt.

Logboeken van Logboeken weergeven voor geslaagde aanmeldingsgebeurtenissen

Als u geslaagde aanmeldingsgebeurtenissen wilt weergeven in de Windows-Logboeken, kunt u het beveiligingslogboek of de aangepaste weergave Netwerkbeleid en Toegangsservices weergeven, zoals wordt weergegeven in de volgende afbeelding:

Example Network Policy Server log

Op de server waarop u de NPS-extensie voor meervoudige verificatie van Microsoft Entra hebt geïnstalleerd, vindt u Logboeken toepassingslogboeken die specifiek zijn voor de extensie in Application and Services Logs\Microsoft\AzureMfa.

Example Event Viewer AuthZ logs pane

Guide voor probleemoplossing

Als de configuratie niet werkt zoals verwacht, begint u met de probleemoplossing door te controleren of de gebruiker is geconfigureerd voor het gebruik van MFA. Laat de gebruiker zich aanmelden bij het Microsoft Entra-beheercentrum. Als de gebruiker wordt gevraagd om secundaire verificatie en kan worden geverifieerd, kunt u een onjuiste configuratie van MFA als een probleem elimineren.

Als MFA voor de gebruiker werkt, controleert u de relevante Logboeken. De logboeken bevatten de beveiligingsgebeurtenis, de operationele gateway en de logboeken voor meervoudige verificatie van Microsoft Entra die in de vorige sectie worden besproken.

Hier ziet u een voorbeeld van een beveiligingslogboek waarin een mislukte aanmeldingsgebeurtenis (gebeurtenis-id 6273) wordt weergegeven:

Security log showing a failed sign-in event

Hier ziet u een gerelateerde gebeurtenis uit het microsoft Entra-logboek voor meervoudige verificatie:

Microsoft Entra multifactor authentication logs

Raadpleeg de logboekbestanden van de NPS-database-indeling waarop de NPS-service is geïnstalleerd om geavanceerde probleemoplossing uit te voeren. De logboekbestanden worden gemaakt in de map %SystemRoot%\System32\Logs als door komma's gescheiden tekstbestanden. Zie Logboekbestanden met NPS-database-indeling interpreteren voor een beschrijving van de logboekbestanden.

De vermeldingen in deze logboekbestanden zijn moeilijk te interpreteren, tenzij u ze exporteert naar een spreadsheet of een database. Online zijn veel IAS-hulpprogramma's (Internet Authentication Service) beschikbaar om u te helpen bij het interpreteren van de logboekbestanden. De uitvoer van een dergelijke downloadbare Shareware-toepassing wordt hier weergegeven:

Sample Shareware app IAS parser

Als u aanvullende probleemoplossing wilt uitvoeren, kunt u een protocolanalyse zoals Wireshark of Microsoft Message Analyzer gebruiken. In de volgende afbeelding van Wireshark ziet u de RADIUS-berichten tussen de VPN-server en de NPS.

Microsoft Message Analyzer showing filtered traffic

Zie Uw bestaande NPS-infrastructuur integreren met Meervoudige Verificatie van Microsoft Entra voor meer informatie.

Volgende stappen

Meervoudige verificatie van Microsoft Entra ophalen

Extern bureaublad-gateway en Azure Multi-Factor Authentication-server met behulp van RADIUS

Uw on-premises mappen integreren met Microsoft Entra ID