Integrowanie infrastruktury sieci VPN z uwierzytelnianiem wieloskładnikowym firmy Microsoft przy użyciu rozszerzenia serwera zasad sieciowych dla platformy Azure

  • Artykuł

Rozszerzenie serwera zasad sieciowych (NPS) dla platformy Azure umożliwia organizacjom zabezpieczenie uwierzytelniania klienta usługi telefonicznej (RADIUS) zdalnego uwierzytelniania za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft opartego na chmurze, które zapewnia weryfikację dwuetapową.

Ten artykuł zawiera instrukcje dotyczące integrowania infrastruktury serwera NPS z usługą MFA przy użyciu rozszerzenia serwera NPS dla platformy Azure. Ten proces umożliwia bezpieczną weryfikację dwuetapową dla użytkowników próbujących nawiązać połączenie z siecią przy użyciu sieci VPN.

Uwaga

Mimo że rozszerzenie MFA serwera NPS obsługuje hasło jednorazowe oparte na czasie (TOTP), niektórzy klienci sieci VPN, tacy jak Windows VPN, nie. Przed włączeniem go w rozszerzeniu SERWERA NPS upewnij się, że klienci sieci VPN, których używasz, obsługują funkcję TOTP jako metodę uwierzytelniania.

Zasady sieciowe i Usługi programu Access umożliwiają organizacjom:

  • Przypisz centralną lokalizację do zarządzania i kontroli żądań sieciowych, aby określić:

    • KtoTo może nawiązać połączenie

    • Jakie godziny połączeń dnia są dozwolone

    • Czas trwania połączeń

    • Poziom zabezpieczeń, którego klienci muszą używać do nawiązywania połączenia

      Zamiast określać zasady na każdym serwerze sieci VPN lub bramy usług pulpitu zdalnego, zrób to po ich lokalizacji centralnej. Protokół RADIUS służy do zapewnienia scentralizowanego uwierzytelniania, autoryzacji i księgowości (AAA).

  • Ustanów i wymuś zasady kondycji klienta ochrony dostępu do sieci ,które określają, czy urządzenia mają nieograniczony lub ograniczony dostęp do zasobów sieciowych.

  • Zapewnienie sposobu wymuszania uwierzytelniania i autoryzacji dostępu do punktów dostępu bezprzewodowego z obsługą standardu 802.1x i przełączników Ethernet. Aby uzyskać więcej informacji, zobacz Serwer zasad sieciowych.

Aby zwiększyć bezpieczeństwo i zapewnić wysoki poziom zgodności, organizacje mogą zintegrować serwer NPS z uwierzytelnianiem wieloskładnikowym firmy Microsoft w celu zapewnienia, że użytkownicy korzystają z weryfikacji dwuetapowej w celu nawiązania połączenia z portem wirtualnym na serwerze sieci VPN. Aby użytkownicy mieli dostęp, muszą podać kombinację nazwy użytkownika i hasła oraz inne informacje, które kontrolują. Te informacje muszą być zaufane i nie można ich łatwo duplikować. Może zawierać numer telefonu komórkowego, numer telefonu stacjonarnego lub aplikację na urządzeniu przenośnym.

Jeśli Twoja organizacja używa sieci VPN, a użytkownik jest zarejestrowany dla kodu TOTP wraz z powiadomieniami wypychanymi Authenticator, użytkownik nie może sprostać wyzwaniu uwierzytelniania wieloskładnikowego i logowanie zdalne kończy się niepowodzeniem. W takim przypadku można ustawić wartość OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE, aby uruchomić powiadomienia wypychane na wartość Zatwierdź/Odmów z wystawcą Authenticator.

Aby rozszerzenie serwera NPS nadal działało dla użytkowników sieci VPN, ten klucz rejestru musi zostać utworzony na serwerze NPS. Na serwerze NPS otwórz edytor rejestru. Przejdź do:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

Utwórz następującą parę Ciąg/Wartość:

Nazwa: OVERRIDE_NUMBER_MATCHING_WITH_OTP

Wartość = FAŁSZ

Przed udostępnieniem rozszerzenia serwera NPS dla platformy Azure klienci, którzy chcieli zaimplementować weryfikację dwuetapową dla zintegrowanych środowisk NPS i MFA, musieli skonfigurować i obsługiwać oddzielny serwer MFA w środowisku lokalnym. Ten typ uwierzytelniania jest oferowany przez bramę usług pulpitu zdalnego i serwer usługi Azure Multi-Factor Authentication przy użyciu usługi RADIUS.

Dzięki rozszerzeniu serwera NPS dla platformy Azure organizacje mogą zabezpieczyć uwierzytelnianie klienta usługi RADIUS, wdrażając lokalne rozwiązanie MFA lub oparte na chmurze rozwiązanie MFA.

Przepływ uwierzytelniania

Gdy użytkownicy łączą się z portem wirtualnym na serwerze sieci VPN, muszą najpierw uwierzytelnić się przy użyciu różnych protokołów. Protokoły umożliwiają korzystanie z kombinacji nazw użytkowników i haseł oraz metod uwierzytelniania opartych na certyfikatach.

Oprócz uwierzytelniania i weryfikowania tożsamości użytkownicy muszą mieć odpowiednie uprawnienia do wybierania numerów. W prostych implementacjach uprawnienia wybierania numerów, które zezwalają na dostęp, są ustawiane bezpośrednio w obiektach użytkownika usługi Active Directory.

Dial-in tab in Active Directory Users and Computers user properties

W prostych implementacjach każdy serwer sieci VPN przyznaje lub odmawia dostępu na podstawie zasad zdefiniowanych na każdym lokalnym serwerze sieci VPN.

W przypadku większych i bardziej skalowalnych implementacji zasady, które udzielają lub odmawiają dostępu do sieci VPN, są scentralizowane na serwerach RADIUS. W takich przypadkach serwer sieci VPN działa jako serwer dostępu (klient RADIUS), który przekazuje żądania połączeń i komunikaty konta do serwera RADIUS. Aby nawiązać połączenie z portem wirtualnym na serwerze sieci VPN, użytkownicy muszą być uwierzytelniani i spełniać warunki zdefiniowane centralnie na serwerach RADIUS.

Gdy rozszerzenie serwera NPS dla platformy Azure jest zintegrowane z serwerem NPS, wyniki pomyślnego przepływu uwierzytelniania są następujące:

  1. Serwer sieci VPN odbiera żądanie uwierzytelnienia od użytkownika sieci VPN, który zawiera nazwę użytkownika i hasło do nawiązywania połączenia z zasobem, na przykład sesji pulpitu zdalnego.
  2. Działając jako klient RADIUS, serwer sieci VPN konwertuje żądanie na żądanie dostępu usługi RADIUS i wysyła go (z zaszyfrowanym hasłem) do serwera RADIUS, na którym zainstalowano rozszerzenie SERWERA NPS.
  3. Kombinacja nazwy użytkownika i hasła jest weryfikowana w usłudze Active Directory. Jeśli nazwa użytkownika lub hasło jest niepoprawne , serwer RADIUS wysyła komunikat Access-Reject .
  4. Jeśli wszystkie warunki określone w żądaniu Połączenie serwera NPS i zasady sieciowe są spełnione (na przykład ograniczenia dotyczące dnia lub członkostwa w grupach), rozszerzenie serwera NPS wyzwala żądanie uwierzytelniania pomocniczego za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft.
  5. Uwierzytelnianie wieloskładnikowe firmy Microsoft komunikuje się z identyfikatorem Entra firmy Microsoft, pobiera szczegóły użytkownika i wykonuje uwierzytelnianie pomocnicze przy użyciu metody skonfigurowanej przez użytkownika (połączenie telefoniczne, wiadomość SMS lub aplikacja mobilna).
  6. Gdy wyzwanie uwierzytelniania wieloskładnikowego usługi MFA zakończy się pomyślnie, uwierzytelnianie wieloskładnikowe firmy Microsoft przekaże wynik rozszerzeniu serwera NPS.
  7. Po próbie nawiązania połączenia zarówno uwierzytelniony, jak i autoryzowany serwer NPS, na którym zainstalowano rozszerzenie, wysyła komunikat RADIUS Access-Accept do serwera sieci VPN (klienta RADIUS).
  8. Użytkownik otrzymuje dostęp do portu wirtualnego na serwerze sieci VPN i ustanawia zaszyfrowany tunel VPN.

Wymagania wstępne

W tej sekcji szczegółowo poznać wymagania wstępne, które należy spełnić przed zintegrowaniem uwierzytelniania wieloskładnikowego z siecią VPN. Przed rozpoczęciem należy spełnić następujące wymagania wstępne:

  • Infrastruktura sieci VPN
  • Zasady sieci i rola Usługi programu Access
  • Licencja uwierzytelniania wieloskładnikowego firmy Microsoft Entra
  • Oprogramowanie systemu Windows Server
  • Biblioteki
  • Identyfikator entra firmy Microsoft zsynchronizowany z lokalna usługa Active Directory
  • Identyfikator GUID entra firmy Microsoft

Infrastruktura sieci VPN

W tym artykule założono, że masz działającą infrastrukturę sieci VPN korzystającą z systemu Microsoft Windows Server 2016 i że serwer sieci VPN nie jest obecnie skonfigurowany do przekazywania żądań połączeń do serwera RADIUS. W tym artykule skonfigurujesz infrastrukturę sieci VPN tak, aby korzystała z centralnego serwera RADIUS.

Jeśli nie masz działającej infrastruktury sieci VPN, możesz je szybko utworzyć, postępując zgodnie ze wskazówkami w wielu samouczkach dotyczących konfiguracji sieci VPN, które można znaleźć w witrynach firmy Microsoft i innych firm.

Zasady sieci i rola Usługi programu Access

Zasady sieciowe i Usługi programu Access udostępniają serwer RADIUS i funkcjonalność klienta. W tym artykule przyjęto założenie, że zainstalowano zasady sieciowe i rolę Usługi programu Access na serwerze członkowskim lub kontrolerze domeny w środowisku. W tym przewodniku skonfigurujesz usługę RADIUS dla konfiguracji sieci VPN. Zainstaluj zasady sieciowe i rolę Usługi programu Access na serwerze innym niż serwer sieci VPN.

Aby uzyskać informacje na temat instalowania zasad sieciowych i usługi roli Usługi programu Access systemu Windows Server 2012 lub nowszego, zobacz Instalowanie serwera zasad kondycji ochrony dostępu do sieci. Ochrona dostępu do sieci jest przestarzała w systemie Windows Server 2016. Aby uzyskać opis najlepszych rozwiązań dotyczących serwera NPS, w tym zalecenie dotyczące instalowania serwera NPS na kontrolerze domeny, zobacz Najlepsze rozwiązania dotyczące serwera NPS.

Oprogramowanie systemu Windows Server

Rozszerzenie serwera NPS wymaga systemu Windows Server 2008 R2 z dodatkiem SP1 lub nowszym z zainstalowaną rolą zasady sieci i Usługi programu Access. Wszystkie kroki opisane w tym przewodniku zostały wykonane z systemem Windows Server 2016.

Biblioteki

Następująca biblioteka jest instalowana automatycznie z rozszerzeniem serwera NPS:

Jeśli moduł programu Microsoft Graph PowerShell nie jest jeszcze obecny, jest on zainstalowany za pomocą skryptu konfiguracji uruchamianego w ramach procesu instalacji. Nie ma potrzeby wcześniejszego instalowania programu Graph PowerShell.

Identyfikator entra firmy Microsoft zsynchronizowany z lokalna usługa Active Directory

Aby korzystać z rozszerzenia serwera NPS, użytkownicy lokalni muszą być zsynchronizowani z identyfikatorem Entra firmy Microsoft i włączonym dla uwierzytelniania wieloskładnikowego. W tym przewodniku założono, że użytkownicy lokalni są synchronizowani z identyfikatorem Entra firmy Microsoft za pośrednictwem Połączenie firmy Microsoft. Poniżej podano instrukcje dotyczące włączania użytkowników usługi MFA.

Aby uzyskać informacje o usłudze Microsoft Entra Połączenie, zobacz Integrowanie katalogów lokalnych z identyfikatorem Entra firmy Microsoft.

Identyfikator GUID entra firmy Microsoft

Aby zainstalować rozszerzenie NPS, musisz znać identyfikator GUID identyfikatora Entra firmy Microsoft. Instrukcje dotyczące znajdowania identyfikatora GUID identyfikatora Entra firmy Microsoft znajdują się w następnej sekcji.

Konfigurowanie usługi RADIUS dla połączeń sieci VPN

Jeśli rola serwera NPS została zainstalowana na serwerze członkowskim, należy skonfigurować ją do uwierzytelniania i autoryzacji klienta sieci VPN, który żąda połączeń sieci VPN.

W tej sekcji przyjęto założenie, że zainstalowano rolę zasady sieci i Usługi programu Access, ale nie skonfigurowano jej do użycia w infrastrukturze.

Uwaga

Jeśli masz już działający serwer sieci VPN, który używa scentralizowanego serwera RADIUS do uwierzytelniania, możesz pominąć tę sekcję.

Rejestrowanie serwera w usłudze Active Directory

Aby działał prawidłowo w tym scenariuszu, serwer NPS musi być zarejestrowany w usłudze Active Directory.

  1. Otwórz Menedżera serwera.

  2. W Menedżer serwera wybierz pozycję Narzędzia, a następnie wybierz pozycję Serwer zasad sieciowych.

  3. W konsoli serwera zasad sieciowych kliknij prawym przyciskiem myszy serwer NPS (lokalny), a następnie wybierz polecenie Zarejestruj serwer w usłudze Active Directory. Wybierz przycisk OK dwa razy.

    Register server in Active Directory menu option

  4. Pozostaw konsolę otwartą dla następnej procedury.

Konfigurowanie serwera RADIUS przy użyciu kreatora

Do skonfigurowania serwera RADIUS można użyć standardowej (opartej na kreatorze) lub zaawansowanej konfiguracji. W tej sekcji założono, że używasz opcji konfiguracji standardowej opartej na kreatorze.

  1. W konsoli serwera zasad sieciowych wybierz pozycję NPS (lokalny)..

  2. W obszarze Konfiguracja Standardowa wybierz pozycję Serwer RADIUS dla opcji Dial-Up lub VPN Połączenie ions, a następnie wybierz pozycję Konfiguruj sieć VPN lub Dial-Up.

    Configure RADIUS Server for Dial-Up or VPN Connections

  3. W oknie Wybieranie wybierania numerów lub wirtualnej sieci prywatnej Połączenie ions wybierz pozycję Wirtualna sieć prywatna Połączenie ions, a następnie wybierz przycisk Dalej.

    Configure Virtual private network connections

  4. W oknie Określanie połączenia telefonicznego lub serwera sieci VPN wybierz pozycję Dodaj.

  5. W oknie Nowy klient radius podaj przyjazną nazwę, wprowadź rozpoznawalną nazwę lub adres IP serwera sieci VPN, a następnie wprowadź hasło udostępnionego wpisu tajnego. Utwórz długie i złożone hasło udostępnionego wpisu tajnego. Zapisz go, ponieważ będzie on potrzebny w następnej sekcji.

    Create a New RADIUS client window

  6. Wybierz OK, a następnie wybierz Dalej.

  7. W oknie Konfigurowanie metod uwierzytelniania zaakceptuj wybór domyślny (uwierzytelnianie Microsoft Encrypted w wersji 2 [MS-CHAPv2]) lub wybierz inną opcję, a następnie wybierz przycisk Dalej.

    Uwaga

    W przypadku skonfigurowania protokołu EAP (Extensible Authentication Protocol) należy użyć protokołu uwierzytelniania MICROSOFT Challenge-Handshake Protocol (CHAPv2) lub chronionego protokołu PEAP (Extensible Authentication Protocol). Nie jest obsługiwany żaden inny protokół EAP.

  8. W oknie Określanie grup użytkowników wybierz pozycję Dodaj, a następnie wybierz odpowiednią grupę. Jeśli żadna grupa nie istnieje, pozostaw zaznaczenie puste, aby udzielić dostępu wszystkim użytkownikom.

    Specify User Groups window to allow or deny access

  9. Wybierz Dalej.

  10. W oknie Określanie filtrów adresów IP wybierz pozycję Dalej.

  11. W oknie Określanie Ustawienia szyfrowania zaakceptuj ustawienia domyślne, a następnie wybierz przycisk Dalej.

    The Specify Encryption Settings window

  12. W oknie Określanie nazwy obszaru pozostaw pustą nazwę obszaru, zaakceptuj ustawienie domyślne, a następnie wybierz przycisk Dalej.

    The Specify a Realm Name window

  13. W oknie Kończenie nowych połączeń telefonicznych lub wirtualnej sieci prywatnej Połączenie ions i klientów usługi RADIUS wybierz pozycję Zakończ.

    Completed configuration window

Weryfikowanie konfiguracji usługi RADIUS

Ta sekcja zawiera szczegółowe informacje o konfiguracji utworzonej przy użyciu kreatora.

  1. Na serwerze zasad sieciowych w konsoli serwera NPS (lokalnego) rozwiń węzeł Klienci USŁUGI RADIUS, a następnie wybierz pozycję Klienci RADIUS.

  2. W okienku szczegółów kliknij prawym przyciskiem myszy utworzonego klienta USŁUGI RADIUS, a następnie wybierz pozycję Właściwości. Właściwości klienta RADIUS (serwera sieci VPN) powinny być podobne do tych pokazanych tutaj:

    Verify the VPN properties and configuration

  3. Wybierz pozycję Anuluj.

  4. Na serwerze zasad sieciowych w konsoli serwera zasad sieciowych (lokalnego) rozwiń węzeł Zasady, a następnie wybierz pozycję Połączenie Ion Request Policies (Zasady żądań Połączenie ion). Zasady Połączenie ions sieci VPN są wyświetlane, jak pokazano na poniższej ilustracji:

    Connection request policy showing VPN connection policy

  5. W obszarze Zasady wybierz pozycję Zasady sieciowe. Powinny zostać wyświetlone zasady wirtualnej sieci prywatnej (VPN) Połączenie ions podobne do zasad pokazanych na poniższej ilustracji:

    Network Policies showing Virtual Private Network Connections policy

Konfigurowanie serwera sieci VPN do korzystania z uwierzytelniania usługi RADIUS

W tej sekcji skonfigurujesz serwer sieci VPN do korzystania z uwierzytelniania usługi RADIUS. W instrukcjach przyjęto założenie, że masz działającą konfigurację serwera sieci VPN, ale nie skonfigurowano jej do korzystania z uwierzytelniania usługi RADIUS. Po skonfigurowaniu serwera sieci VPN upewnij się, że konfiguracja działa zgodnie z oczekiwaniami.

Uwaga

Jeśli masz już działającą konfigurację serwera sieci VPN korzystającą z uwierzytelniania usługi RADIUS, możesz pominąć tę sekcję.

Konfigurowanie dostawcy uwierzytelniania

  1. Na serwerze sieci VPN otwórz Menedżer serwera.

  2. W Menedżer serwera wybierz pozycję Narzędzia, a następnie wybierz pozycję Routing i dostęp zdalny.

  3. W oknie Routing i dostęp zdalny kliknij prawym przyciskiem myszy <nazwę> serwera (lokalnie), a następnie wybierz polecenie Właściwości.

  4. <W oknie Właściwości serwera> (lokalne) wybierz kartę Zabezpieczenia.

  5. Na karcie Zabezpieczenia w obszarze Dostawca uwierzytelniania wybierz pozycję Uwierzytelnianie usługi RADIUS, a następnie wybierz pozycję Konfiguruj.

    Configure RADIUS Authentication provider

  6. W oknie Uwierzytelnianie usługi RADIUS wybierz pozycję Dodaj.

  7. W oknie Dodawanie serwera RADIUS wykonaj następujące czynności:

    1. W polu Nazwa serwera wprowadź nazwę lub adres IP serwera RADIUS skonfigurowanego w poprzedniej sekcji.

    2. W polu Wspólny wpis tajny wybierz pozycję Zmień, a następnie wprowadź utworzone i zarejestrowane wcześniej hasło udostępnionego wpisu tajnego.

    3. W polu Limit czasu (sekundy) wprowadź wartość 60. Aby zminimalizować odrzucone żądania, zalecamy skonfigurowanie serwerów sieci VPN z limitem czasu co najmniej 60 sekund. W razie potrzeby lub, aby zmniejszyć liczbę odrzuconych żądań w dziennikach zdarzeń, możesz zwiększyć limit czasu serwera sieci VPN do 90 lub 120 sekund.

  8. Wybierz przycisk OK.

Testowanie łączności sieci VPN

W tej sekcji potwierdzisz, że klient sieci VPN jest uwierzytelniony i autoryzowany przez serwer RADIUS podczas próby nawiązania połączenia z portem wirtualnym sieci VPN. W instrukcjach założono, że używasz systemu Windows 10 jako klienta sieci VPN.

Uwaga

Jeśli skonfigurowano już klienta sieci VPN w celu nawiązania połączenia z serwerem sieci VPN i zapisano ustawienia, możesz pominąć kroki związane z konfigurowaniem i zapisywaniem obiektu połączenia sieci VPN.

  1. Na komputerze klienckim sieci VPN wybierz przycisk Start, a następnie wybierz przycisk Ustawienia.

  2. W oknie Ustawienia systemu Windows wybierz pozycję Sieć i Internet.

  3. wybierz pozycję VPN.

  4. Wybierz pozycję Dodaj połączenie sieci VPN.

  5. W oknie Dodawanie połączenia sieci VPN w polu Dostawca sieci VPN wybierz pozycję Windows (wbudowane), wypełnij pozostałe pola odpowiednio, a następnie wybierz pozycję Zapisz.

    The

  6. Przejdź do Panel sterowania, a następnie wybierz pozycję Centrum sieci i udostępniania.

  7. Wybierz pozycję Zmień ustawienia karty.

    Network and Sharing Center - Change adapter settings

  8. Kliknij prawym przyciskiem myszy połączenie sieciowe sieci VPN, a następnie wybierz polecenie Właściwości.

  9. W oknie właściwości sieci VPN wybierz kartę Zabezpieczenia .

  10. Na karcie Zabezpieczenia upewnij się, że wybrano tylko protokół Microsoft CHAP w wersji 2 (MS-CHAP v2), a następnie wybierz przycisk OK.

    The

  11. Kliknij prawym przyciskiem myszy połączenie sieci VPN, a następnie wybierz pozycję Połączenie.

  12. W oknie Ustawienia wybierz pozycję Połączenie.
    Pomyślne połączenie jest wyświetlane w dzienniku zabezpieczeń na serwerze RADIUS jako zdarzenie o identyfikatorze 6272, jak pokazano poniżej:

    Event Properties window showing a successful connection

Rozwiązywanie problemów z usługą RADIUS

Załóżmy, że konfiguracja sieci VPN działała przed skonfigurowaniem serwera sieci VPN do używania scentralizowanego serwera RADIUS na potrzeby uwierzytelniania i autoryzacji. Jeśli konfiguracja działała, prawdopodobnie problem jest spowodowany błędną konfiguracją serwera RADIUS lub użyciem nieprawidłowej nazwy użytkownika lub hasła. Jeśli na przykład użyjesz alternatywnego sufiksu nazwy UPN w nazwie użytkownika, próba logowania może zakończyć się niepowodzeniem. Użyj tej samej nazwy konta, aby uzyskać najlepsze wyniki.

Aby rozwiązać te problemy, idealnym miejscem do uruchomienia jest sprawdzenie dzienników zdarzeń zabezpieczeń na serwerze RADIUS. Aby zaoszczędzić czas wyszukiwania zdarzeń, możesz użyć niestandardowego widoku zasad sieciowych i serwera dostępu opartego na rolach w Podgląd zdarzeń, jak pokazano tutaj. "Identyfikator zdarzenia 6273" wskazuje zdarzenia, w których serwer NPS odmówił dostępu do użytkownika.

Event Viewer showing NPAS events

Konfiguracja uwierzytelniania wieloskładnikowego

Aby uzyskać pomoc dotyczącą konfigurowania użytkowników na potrzeby uwierzytelniania wieloskładnikowego, zobacz artykuły Planowanie wdrożenia uwierzytelniania wieloskładnikowego firmy Microsoft opartego na chmurze i Konfigurowanie konta na potrzeby weryfikacji dwuetapowej

Instalowanie i konfigurowanie rozszerzenia serwera NPS

Ta sekcja zawiera instrukcje dotyczące konfigurowania sieci VPN do używania uwierzytelniania wieloskładnikowego na potrzeby uwierzytelniania klienta z serwerem sieci VPN.

Uwaga

Klucz rejestru REQUIRE_USER_MATCH uwzględnia wielkość liter. Wszystkie wartości muszą być ustawione w formacie UPPER CASE.

Po zainstalowaniu i skonfigurowaniu rozszerzenia serwera NPS wszystkie uwierzytelnianie klienta oparte na usłudze RADIUS przetwarzane przez ten serwer jest wymagane do korzystania z uwierzytelniania wieloskładnikowego. Jeśli wszyscy użytkownicy sieci VPN nie są zarejestrowani w uwierzytelnianiu wieloskładnikowym firmy Microsoft, możesz wykonać jedną z następujących czynności:

  • Skonfiguruj inny serwer RADIUS, aby uwierzytelnić użytkowników, którzy nie są skonfigurowani do korzystania z uwierzytelniania wieloskładnikowego.

  • Utwórz wpis rejestru, który umożliwia użytkownikom uzyskanie drugiego współczynnika uwierzytelniania, jeśli są one zarejestrowane w uwierzytelnianiu wieloskładnikowym firmy Microsoft Entra.

Utwórz nową wartość ciągu o nazwie REQUIRE_USER_MATCH w HKLM\SOFTWARE\Microsoft\AzureMfa i ustaw wartość TRUE lub FALSE.

The

Jeśli wartość ma wartość TRUE lub jest pusta, wszystkie żądania uwierzytelniania podlegają wyzwaniu uwierzytelniania wieloskładnikowego. Jeśli wartość jest ustawiona na FAŁSZ, wyzwania uwierzytelniania wieloskładnikowego są wystawiane tylko użytkownikom, którzy są zarejestrowani w uwierzytelnianiu wieloskładnikowym firmy Microsoft. Użyj ustawienia FALSE tylko w testach lub w środowiskach produkcyjnych w okresie dołączania.

Uzyskiwanie identyfikatora dzierżawy katalogu

W ramach konfiguracji rozszerzenia serwera NPS należy podać poświadczenia administratora i identyfikator dzierżawy firmy Microsoft Entra. Aby uzyskać identyfikator dzierżawy, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny Administracja istrator.

  2. Przejdź do strony Tożsamość> Ustawienia.

    Getting the Tenant ID from the Microsoft Entra admin center

Instalowanie rozszerzenia serwera NPS

Rozszerzenie serwera NPS musi być zainstalowane na serwerze z zainstalowaną rolą zasad sieciowych i Usługi programu Access, która działa jako serwer RADIUS w projekcie. Nie należy instalować rozszerzenia serwera NPS na serwerze sieci VPN.

  1. Pobierz rozszerzenie NPS z Centrum pobierania Microsoft.

  2. Skopiuj plik wykonywalny instalatora (NpsExtnForAzureMfaInstaller.exe) na serwer NPS.

  3. Na serwerze NPS kliknij dwukrotnie NpsExtnForAzureMfaInstaller.exe , a jeśli zostanie wyświetlony monit, wybierz pozycję Uruchom.

  4. W oknie Instalacja uwierzytelniania wieloskładnikowego rozszerzenia SERWERA NPS dla firmy Microsoft przejrzyj postanowienia licencyjne dotyczące oprogramowania, zaznacz pole wyboru Zgadzam się z postanowieniami licencyjnymi i postanowieniami, a następnie wybierz pozycję Zainstaluj.

    The

  5. W oknie Rozszerzenie serwera NPS dla uwierzytelniania wieloskładnikowego firmy Microsoft wybierz pozycję Zamknij.

    The

Konfigurowanie certyfikatów do użycia z rozszerzeniem serwera NPS przy użyciu skryptu programu PowerShell programu Graph

Aby zapewnić bezpieczną komunikację i pewność, skonfiguruj certyfikaty do użycia przez rozszerzenie serwera NPS. Składniki serwera NPS zawierają skrypt programu PowerShell programu Graph, który konfiguruje certyfikat z podpisem własnym do użycia z serwerem NPS.

Skrypt wykonuje następujące akcje:

  • Tworzy certyfikat z podpisem własnym.
  • Kojarzy klucz publiczny certyfikatu z jednostką usługi w identyfikatorze Entra firmy Microsoft.
  • Przechowuje certyfikat w magazynie komputera lokalnego.
  • Przyznaje użytkownikowi sieciowemu dostęp do klucza prywatnego certyfikatu.
  • Uruchamia ponownie usługę NPS.

Jeśli chcesz używać własnych certyfikatów, musisz skojarzyć klucz publiczny certyfikatu z jednostką usługi w usłudze Microsoft Entra ID itd.

Aby użyć skryptu, podaj rozszerzenie z poświadczeniami administracyjnymi firmy Microsoft Entra i skopiowanymi wcześniej identyfikatorami dzierżawy firmy Microsoft Entra. Konto musi znajdować się w tej samej dzierżawie firmy Microsoft Entra, dla której chcesz włączyć rozszerzenie. Uruchom skrypt na każdym serwerze NPS, na którym jest instalowane rozszerzenie serwera NPS.

  1. Uruchom program PowerShell programu Graph jako administrator.

  2. W wierszu polecenia programu PowerShell wprowadź ciąg cd "c:\Program Files\Microsoft\AzureMfa\Config", a następnie wybierz klawisz Enter.

  3. W następnym wierszu polecenia wprowadź ciąg .\AzureMfaNpsExtnConfigSetup.ps1, a następnie wybierz klawisz Enter. Skrypt sprawdza, czy program Graph PowerShell jest zainstalowany. Jeśli nie jest zainstalowany, skrypt zainstaluje program Graph PowerShell.

    Running the AzureMfsNpsExtnConfigSetup.ps1 configuration script

    Jeśli wystąpi błąd zabezpieczeń spowodowany protokołem TLS, włącz protokół TLS 1.2 przy użyciu [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 polecenia w wierszu polecenia programu PowerShell.

    Po zweryfikowaniu przez skrypt instalacji modułu programu PowerShell zostanie wyświetlone okno logowania modułu Programu PowerShell dla programu Graph.

  4. Wprowadź poświadczenia i hasło administratora firmy Microsoft Entra, a następnie wybierz pozycję Zaloguj.

  5. W wierszu polecenia wklej skopiowany wcześniej identyfikator dzierżawy, a następnie wybierz klawisz Enter.

    Input the Microsoft Entra tenant ID copied before

    Skrypt tworzy certyfikat z podpisem własnym i wykonuje inne zmiany konfiguracji. Dane wyjściowe są podobne do tych na poniższej ilustracji:

    PowerShell window showing Self-signed certificate

  6. Uruchom serwer ponownie.

Sprawdzanie konfiguracji

Aby zweryfikować konfigurację, należy ustanowić nowe połączenie sieci VPN z serwerem sieci VPN. Po pomyślnym wprowadzeniu poświadczeń do uwierzytelniania podstawowego połączenie sieci VPN czeka na pomyślne uwierzytelnienie pomocnicze przed nawiązaniem połączenia, jak pokazano poniżej.

The Windows Settings VPN window

Jeśli pomyślnie uwierzytelniono się przy użyciu pomocniczej metody weryfikacji, która została wcześniej skonfigurowana w uwierzytelnianiu wieloskładnikowym firmy Microsoft, masz połączenie z zasobem. Jeśli jednak uwierzytelnianie pomocnicze nie powiedzie się, odmowa dostępu do zasobu.

W poniższym przykładzie aplikacja Microsoft Authenticator w systemie Windows Telefon zapewnia uwierzytelnianie pomocnicze:

Example MFA prompt on Windows Phone

Po pomyślnym uwierzytelnieniu przy użyciu metody pomocniczej uzyskujesz dostęp do portu wirtualnego na serwerze sieci VPN. Ponieważ konieczne było użycie pomocniczej metody uwierzytelniania przy użyciu aplikacji mobilnej na zaufanym urządzeniu, proces logowania jest bezpieczniejszy niż w przypadku używania tylko kombinacji nazwy użytkownika i hasła.

Wyświetlanie dzienników Podgląd zdarzeń pod kątem pomyślnych zdarzeń logowania

Aby wyświetlić zdarzenia pomyślnego logowania w Podgląd zdarzeń systemu Windows, możesz wyświetlić dziennik zabezpieczeń lub zasady sieciowe i Usługi programu Access widoku niestandardowego, jak pokazano na poniższej ilustracji:

Example Network Policy Server log

Na serwerze, na którym zainstalowano rozszerzenie SERWERA NPS dla uwierzytelniania wieloskładnikowego firmy Microsoft, można znaleźć Podgląd zdarzeń dzienniki aplikacji specyficzne dla rozszerzenia w obszarze Dzienniki aplikacji i usług\Microsoft\AzureMfa.

Example Event Viewer AuthZ logs pane

Przewodnik po rozwiązywaniu problemów

Jeśli konfiguracja nie działa zgodnie z oczekiwaniami, rozpocznij rozwiązywanie problemów, sprawdzając, czy użytkownik jest skonfigurowany do korzystania z uwierzytelniania wieloskładnikowego. Zaloguj się do centrum administracyjnego firmy Microsoft Entra. Jeśli użytkownik jest monitowany o uwierzytelnianie pomocnicze i może zostać pomyślnie uwierzytelniony, możesz wyeliminować nieprawidłową konfigurację uwierzytelniania wieloskładnikowego jako problem.

Jeśli uwierzytelnianie wieloskładnikowe działa dla użytkownika, przejrzyj odpowiednie dzienniki Podgląd zdarzeń. Dzienniki obejmują zdarzenia zabezpieczeń, operacje bramy i dzienniki uwierzytelniania wieloskładnikowego firmy Microsoft, które zostały omówione w poprzedniej sekcji.

Przykład dziennika zabezpieczeń, który wyświetla zdarzenie logowania, które nie powiodło się (zdarzenie o identyfikatorze 6273) jest pokazane tutaj:

Security log showing a failed sign-in event

W tym miejscu pokazano powiązane zdarzenie z dziennika uwierzytelniania wieloskładnikowego firmy Microsoft:

Microsoft Entra multifactor authentication logs

Aby przeprowadzić zaawansowane rozwiązywanie problemów, zapoznaj się z plikami dziennika formatu bazy danych NPS, w których zainstalowano usługę NPS. Pliki dziennika są tworzone w folderze %SystemRoot%\System32\Logs jako pliki tekstowe rozdzielane przecinkami. Opis plików dziennika można znaleźć w temacie Interpret NPS Database Format Files (Interpretowanie plików dziennika formatu bazy danych SERWERA NPS).

Wpisy w tych plikach dziennika są trudne do zinterpretowania, chyba że zostaną wyeksportowane do arkusza kalkulacyjnego lub bazy danych. Wiele narzędzi do analizowania internetowych usług uwierzytelniania (IAS) można znaleźć w trybie online, aby ułatwić interpretowanie plików dziennika. Dane wyjściowe jednej z takich aplikacji shareware do pobrania są wyświetlane tutaj:

Sample Shareware app IAS parser

Aby wykonać dodatkowe rozwiązywanie problemów, możesz użyć analizatora protokołów, takiego jak Wireshark lub Microsoft Message Analyzer. Na poniższej ilustracji z programu Wireshark przedstawiono komunikaty RADIUS między serwerem sieci VPN i serwerem NPS.

Microsoft Message Analyzer showing filtered traffic

Aby uzyskać więcej informacji, zobacz Integrowanie istniejącej infrastruktury serwera NPS z uwierzytelnianiem wieloskładnikowymi firmy Microsoft.

Następne kroki

Uzyskiwanie uwierzytelniania wieloskładnikowego firmy Microsoft Entra

Brama usług pulpitu zdalnego i serwer Azure Multi-Factor Authentication korzystające z usługi RADIUS

Integrowanie katalogów lokalnych z identyfikatorem Entra firmy Microsoft