Integrar sua infraestrutura de Gateway de Área de Trabalho Remota utilizando a extensão do Servidor de Política de Rede (NPS) e o Microsoft Entra ID

Este artigo fornece detalhes da integração de sua infraestrutura do Gateway de Área de Trabalho Remota com a autenticação multifator do Microsoft Entra utilizando a extensão do Servidor de Política de Rede (NPS) para o Microsoft Azure.

A extensão Servidor de Política de Rede (NPS) para o Azure permite que os clientes protejam a autenticação do cliente do Remote Authentication Dial-In User Service (RADIUS) utilizando a autenticação multifatorial baseada em nuvem do Azure. Essa solução fornece uma verificação em duas etapas para adicionar uma segunda camada de segurança para logons de usuário e transações.

Este artigo fornece instruções passo a passo para integrar a infraestrutura do NPS com a autenticação multifator do Microsoft Entra, utilizando a extensão do NPS para o Azure. Isso permite a verificação dos usuários que tentarem entrar em um Gateway de Área de Trabalho Remota.

Observação

Este artigo não deve ser usado com implantações do MFA Server e deve ser utilizado apenas com implantações da autenticação multifator do Microsoft Entra (baseado em nuvem).

A Política de Rede e Serviços de Acesso (NPS) permite que as organizações façam o seguinte:

• Defina locais centrais para o gerenciamento e controle de solicitações de rede especificando quem pode se conectar, as horas do dia durante as quais as conexões são permitidas, a duração das conexões e o nível de segurança que os clientes devem usar para se conectar e assim por diante. Em vez de especificar essas políticas em cada servidor VPN ou Gateway de Área de Trabalho Remota (RD), essas políticas podem ser especificadas uma vez em um local central. O protocolo RADIUS fornece a Autenticação, Autorização e Contabilização (AAA) centralizadas.
• Estabelecer e impor políticas de integridade do cliente de Proteção de Acesso à Rede (NAP) que determinam se os dispositivos têm acesso irrestrito ou restrito aos recursos de rede.
• Fornece um meio para impor a autenticação e autorização para acesso aos comutadores Ethernet e pontos de acesso sem fio compatíveis com 802.1x.

Normalmente, as organizações usam o NPS (RADIUS) para simplificar e centralizar o gerenciamento das políticas de VPN. No entanto, muitas organizações também usam o NPS para simplificar e centralizar o gerenciamento das Políticas de Autorização de Conexão de Área de Trabalho da Área de Trabalho Remota (RD CAPs).

As organizações também podem integrar o NPS à autenticação multifator do Microsoft Entra para aumentar a segurança e fornecer um alto nível de conformidade. Isso ajuda a garantir que os usuários estabeleçam a verificação em duas etapas para entrar no Gateway de Área de Trabalho Remota. Para conceder acesso aos usuários, é necessário que eles forneçam a combinação de nome de usuário e senha com as informações que o usuário tem em seu controle. Essas informações devem ser confiáveis e não facilmente duplicadas, como um número de telefone celular, o número de telefone fixo, o aplicativo em um dispositivo móvel e assim por diante. O RDG atualmente dá suporte a chamadas telefônicas e notificação por push Aprovar/Negar a partir dos métodos do aplicativo Microsoft Authenticator para 2FA. Para obter mais informações sobre os métodos de autenticação com suporte, confira a seção Determinar quais métodos de autenticação que os usuários podem usar.

Se sua organização usa o Gateway de Área de Trabalho Remota e o usuário está registrado para um código TOTP junto com as notificações por push do Authenticator, o usuário não pode atender ao desafio de MFA e a entrada do Gateway de Área de Trabalho Remota falha. Nesse caso, você pode definir OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE para fazer fallback para as notificações por push para Aprovar ou Negar com o Authenticator.

Para que uma extensão NPS continue funcionando para usuários do Gateway de Área de Trabalho Remota, essa chave do Registro deve ser criada no servidor NPS. No servidor NPS, abra o editor do registro. Navegue até:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

Crie o seguinte par Cadeia de caracteres/Valor:

Nome: OVERRIDE_NUMBER_MATCHING_WITH_OTP

Valor = FALSE

Antes da disponibilidade da extensão do NPS para o Azure, os clientes que desejam implementar a verificação em duas etapas para ambientes integrados de autenticação multifator do NPS e do Microsoft Entra tinham de configurar e manter um servidor MFA separado no ambiente local, conforme documento em Gateway de Área de Trabalho Remota e Servidor de Autenticação Multifator do Microsoft Azure usando RADIUS.

A disponibilidade da extensão do NPS para o Azure agora dá às organizações a opção de implantar uma solução MFA local ou uma solução MFA baseada em nuvem para autenticação de cliente RADIUS segura.

Fluxo de autenticação

Para os usuários terem acesso aos recursos de rede por meio de um Gateway de Área de Trabalho Remota, eles devem atender às condições especificadas na Política de Autorização de Conexão de Área de Trabalho Remota (RD CAP) e uma Política de Autorização de Recursos de Área de Trabalho Remota (RD RAP). As RD CAPs especificam quem possui autorização para conectar-se a Gateways de Área de Trabalho Remota. As RD RAPs especificam os recursos de rede, como áreas de trabalho remotas ou aplicativos remotos, aos quais o usuário tem permissão para se conectar através do Gateway de Área de Trabalho Remota.

Um Gateway de Área de Trabalho Remota pode ser configurado para usar um repositório política central para RD CAPs. As RD RAPs não podem usar uma política central, pois elas são processadas no Gateway de Área de Trabalho Remota. Um exemplo de um Gateway de Área de Trabalho Remota configurada para usar um repositório de política central para RD CAPs é um cliente RADIUS para outro servidor NPS que serve como o repositório de políticas central.

Quando a extensão do NPS para o Azure é integrada com o NPS e o Gateway de Área de Trabalho Remota, um fluxo de autenticação correto funciona da seguinte maneira:

1. O servidor de Gateway de Área de Trabalho Remota recebe uma solicitação de autenticação de um usuário de área de trabalho remota para se conectar a um recurso, como uma sessão de Área de Trabalho Remota. O servidor de Gateway de Área de Trabalho Remota age como um cliente RADIUS e converte a solicitação para uma mensagem de solicitação de acesso RADIUS e envia a mensagem para o servidor RADIUS (NPS) onde a extensão do NPS está instalada.
2. A combinação de nome de usuário e senha é verificada no Active Directory e o usuário é autenticado.
3. Se todas as condições especificadas na Solicitação de Conexão NPS e nas Políticas de Rede forem atendidas (por exemplo, hora do dia ou restrições de associação de grupo), a extensão NPS disparará uma solicitação de autenticação secundária com a autenticação multifator do Microsoft Entra.
4. A autenticação multifator do Microsoft Entra se comunica com o Microsoft Entra ID, recupera os detalhes do usuário e executa a autenticação secundária utilizando métodos com suporte.
5. Após o sucesso do desafio da MFA, a autenticação multifator do Microsoft Entra comunica o resultado à extensão do NPS.
6. O servidor NPS, no qual a extensão está instalada, envia uma mensagem Access-Accept do RADIUS para a política RD CAP para o servidor de Gateway de Área de Trabalho Remota.
7. O usuário tem acesso ao recurso de rede solicitado por meio do Gateway de Área de Trabalho Remota.

Pré-requisitos

Esta seção detalha os pré-requisitos necessários antes de integrar a autenticação multifator do Microsoft Entra ao Gateway de Área de Trabalho Remota. Antes de iniciar, você deverá ter os seguintes pré-requisitos já preparados.

• Infraestrutura de Serviços de Área de Trabalho Remota (RDS)
• Licença da autenticação multifator do Microsoft Entra
• Software do Windows Server
• Função de Serviços de Acesso (NPS) e Política de Rede
• Microsoft Entra sincronizado com o Active Directory local
• GUID do Microsoft Entra ID

Infraestrutura de Serviços de Área de Trabalho Remota (RDS)

Você deve ter uma infraestrutura de Serviços de Área de Trabalho Remota (RDS) em vigor. Se você não tiver, crie essa infraestrutura rapidamente no Azure usando o seguinte modelo de início rápido: Criar uma implantação da Coleção de Sessão de Área de Trabalho Remota.

Se você quiser criar manualmente uma infraestrutura de RDS local rapidamente para fins de teste, siga as etapas para implantar uma. Saiba mais: Implantar o RDS com o início rápido do Azure e Implantação da infraestrutura de RDS básica.

Software do Windows Server

A extensão NPS requer o Windows Server 2008 R2 SP1 ou superior com o serviço de função NPS instalado. Todas as etapas nesta seção foram realizadas usando o Windows Server 2016.

Função de Serviços de Acesso (NPS) e Política de Rede

O serviço de função NPS fornece o servidor RADIUS e a funcionalidade do cliente, bem como o serviço de integridade de Política de Acesso de Rede. Essa função deve ser instalada em pelo menos dois computadores na sua infraestrutura: O Gateway de Área de Trabalho Remota e outro servidor membro ou controlador de domínio. Por padrão, a função já está presente no computador configurado como o Gateway de Área de Trabalho Remota. Você deve também instalar a função NPS em pelo menos um outro computador, como um controlador de domínio ou servidor membro.

Para obter informações sobre como instalar a função do NPS do serviço Windows Server 2012 ou anterior, consulte Instalar um Servidor de Política de Integridade de NAP. Para obter uma descrição de melhores práticas recomendadas para NPS, incluindo a recomendação para instalar o NPS em um controlador de domínio, consulte Práticas recomendadas para NPS.

Microsoft Entra sincronizado com o Active Directory local

Para utilizar a extensão do NPS, os usuários locais devem estar sincronizados com o Microsoft Entra ID e habilitados para MFA. Esta seção pressupõe que os usuários locais estejam sincronizados com o Microsoft Entra ID utilizando o AD Connect. Para obter informações sobre o Microsoft Entra ID, consulte Integrar seus diretórios locais com o Microsoft Entra ID.

GUID do Microsoft Entra ID

Para instalar a extensão NPS, você precisa conhecer o GUID do Microsoft Entra ID. As instruções para encontrar o GUID do Microsoft Entra ID são fornecidas abaixo.

Configurar a autenticação multifator

Esta seção fornece instruções para a integração da autenticação multifator do Microsoft Entra com o Gateway de Área de Trabalho Remota. Como Administrador, você deve configurar o serviço de autenticação multifator do Microsoft Entra antes que os usuários possam fazer o autorregistro de seus dispositivos ou aplicativos multifator.

Siga as etapas em Introdução à autenticação multifator do Microsoft Entra na nuvem para habilitar a MFA para seus usuários do Microsoft Entra.

Configurar contas para verificação em duas etapas

Depois que uma conta tiver sido habilitada para MFA, não será possível entrar nos recursos controlados pela política de MFA até que você tenha configurado com êxito um dispositivo confiável a ser usado para o segundo fator de autenticação e autenticar-se usando a verificação em duas etapas.

Siga as etapas em O que significa para mim a autenticação multifator do Microsoft Entra? para entender e configurar corretamente seus dispositivos para MFA com sua conta de usuário.

Importante

O comportamento de entrada do Gateway de Área de Trabalho Remota não oferece a opção de inserir um código de verificação com a autenticação multifator do Microsoft Entra. Uma conta de usuário deve ser configurada para verificação por telefone ou o aplicativo Microsoft Authenticator com notificação por push Aprovar/Negar.

Se nem a verificação por telefone nem o aplicativo Microsoft Authenticator com as notificações por push Aprovar/Negar estiverem configurados para um usuário, ele não poderá concluir o desafio da autenticação multifator do Microsoft Entra e se conectar ao Gateway de Área de Trabalho Remota.

O método de mensagem SMS não funciona com o Gateway de Área de Trabalho Remota porque ele não fornece a opção de inserir um código de verificação.

Instalar e configurar a extensão do NPS

Esta seção fornece instruções para configurar a infraestrutura RDS para utilizar a autenticação multifator do Microsoft Entra para autenticação de cliente com o Gateway de Área de Trabalho Remota.

Obter a ID do locatário do diretório

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Como parte da configuração da extensão NPS, você deve fornecer as credenciais de administrador e a ID do seu locatário do Microsoft Entra ID. Para obter o ID de locatário, siga estas etapas:

1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador global.

2. Navegue até Identidade>Configurações.

   

Instalar a extensão NPS

Instale a extensão NPS em um servidor que tem a função de Serviços de Acesso (NPS) e Política de Rede instalada. Isso funciona como o servidor RADIUS no seu projeto.

Importante

Não instale a extensão do NPS no servidor do RDG (Gateway de Área de Trabalho Remota). Isso porque ele não usa o protocolo RADIUS com seu cliente e, portanto, não é possível que a extensão interprete e execute a MFA.

Quando o servidor do RDG e o servidor do NPS com a extensão do NPS são diferentes, o RDG usa o NPS internamente para se comunicar com outros servidores do NPS e usa o RADIUS como o protocolo para se comunicar corretamente.

1. Instalar a extensão NPS.
2. Copie o arquivo de instalação executável (NpsExtnForAzureMfaInstaller.exe) para o servidor NPS.
3. No servidor NPS, clique duas vezes em NpsExtnForAzureMfaInstaller.exe. Se solicitado, clique em Executar.
4. Na caixa de diálogo de Instalação da Extensão NPS para autenticação multifatorial do Microsoft Entra, verifique os termos da licença do software, verifique Concordo com os termos e condições da licença e clique em Instalar.
5. Na caixa de diálogo Instalar da Extensão NPS para autenticação multifator do Microsoft Entra, clique em Fechar.

Configurar certificados para uso com a extensão NPS usando um script do PowerShell

Em seguida, você precisa configurar certificados para uso pela extensão NPS para garantia e comunicações seguras. Os componentes NPS incluem um script do PowerShell que configura um certificado autoassinado para uso com o NPS.

O script executa as ações a seguir:

• Cria um certificado autoassinado
• Associa a chave pública do certificado à entidade de serviço no Microsoft Entra ID
• Armazena o certificado no repositório do computador local
• Concede ao usuário da rede acesso à chave privada do certificado
• Reinicia o serviço do Servidor de Políticas de Rede

Se você desejar utilizar seus próprios certificados, precisará associar a chave pública do seu certificado à entidade de serviço no Microsoft Entra ID, e assim por diante.

Para utilizar o script, forneça à extensão suas credenciais de administrador do Microsoft Entra e a ID de locatário do Microsoft Entra ID que você copiou anteriormente. Execute o script em cada servidor NPS onde você instalou a extensão NPS. Faremos o seguinte:

1. Abra um prompt do Windows PowerShell administrativo.

2. No prompt do PowerShell, digite cd 'c:\Program Files\Microsoft\AzureMfa\Config' e clique em ENTER.

3. Digite.\AzureMfaNpsExtnConfigSetup.ps1, e aperte ENTER. O script verifica se o módulo PowerShell está instalado. Se não estiver instalado, o script instala o módulo para você.

   

4. Depois que o script verifica a instalação do módulo PowerShell, ele exibe a caixa de diálogo do módulo PowerShell. Na caixa de diálogo, insira suas credenciais e senha de administrador do Microsoft Entra e clique em Entrar.

5. Quando solicitado, cole o ID de locatário copiado para a área de transferência anteriormente e pressione Enter.

   

6. O script cria um certificado autoassinado e executa outras alterações de configuração. A saída deve ser como a imagem abaixo.

   

Configurar componentes NPS no Gateway de Área de Trabalho Remota

Nesta seção, você pode configurar as diretivas de autorização de conexão de Gateway de Área de Trabalho Remota e outras configurações de RADIUS.

O fluxo de autenticação requer que as mensagens do RADIUS sejam trocadas entre o Gateway de Área de Trabalho Remota e o servidor do NPS em que a extensão do NPS está instalada. Isso significa que você deve configurar as configurações do cliente RADIUS no Gateway de Área de Trabalho Remota e no servidor NPS onde a extensão NPS está instalada.

Configurar políticas de autorização de conexão de Gateway de Área de Trabalho Remota para usar o repositório central

As políticas de autorização de conexão de Área de Trabalho Remota (RD CAPs) especificam os requisitos para se conectar ao servidor de Gateway de Área de Trabalho Remota. As RD CAPs podem ser armazenadas localmente (padrão) ou podem ser armazenadas em um repositório de RD CAP central que está executando o NPS. Para configurar a integração da autenticação multifator do Microsoft Entra com o RDS, você precisa especificar o uso de um repositório central.

1. No servidor de Gateway de Área de Trabalho Remota, abra Gerenciador do Servidor.

2. No menu, clique em Ferramentas, aponte para Serviços de Área de Trabalho Remota e, em seguida, clique em Gerenciador de Gateway de Área de Trabalho Remota.

3. No Gerenciador de Gateway de Área de Trabalho Remota, clique com o botão direito do mouse em [Nome do Servidor] (Local) e clique em Propriedades.

4. Na caixa de diálogo Propriedades, selecione a guia do Repositório de RD CAP.

5. Acesse a guia Repositório RD CAP, selecione Servidor central executando NPS.

6. No campo Insira um nome ou endereço IP do servidor que executa o NPS, digite o endereço IP ou o nome do servidor onde você instalou a extensão NPS.

   

7. Clique em Adicionar.

8. Na caixa de diálogo Segredo compartilhado, digite um segredo compartilhado e, em seguida, clique em OK. Certifique-se de registrar esse segredo compartilhado e armazene o registro de forma segura.

   Observação

   O segredo compartilhado é usado para estabelecer confiança entre os clientes e os servidores RADIUS. Crie um segredo longo e complexo.

   

9. Clique em OK para fechar a caixa de diálogo.

Configurar o valor de tempo limite do RADIUS no NPS de Gateway de Área de Trabalho Remota

Para garantir que haja tempo de validar as credenciais do usuário, realizar a verificação em duas etapas, receber as respostas e responder às mensagens do RADIUS, ajuste o valor de tempo limite do RADIUS.

1. No servidor de Gateway de Área de Trabalho Remota, abra Gerenciador do Servidor. No menu, clique em Ferramentas e, em seguida, clique em Servidor de Políticas de Rede.

2. No console NPS (Local), expanda Clientes e Servidores RADIUS e selecione Servidor RADIUS remoto.

   

3. No painel de detalhes, clique duas vezes em GRUPO DE SERVIDORES GATEWAY TS.

   Observação

   Este grupo de servidores RADIUS foi criado quando você configurou o servidor central para políticas NPS. O Gateway de Área de Trabalho Remota encaminha mensagens RADIUS para este servidor ou grupo de servidores, se houver mais de um no grupo.

4. Na caixa de diálogo Propriedades de GRUPO DE SERVIDORES GATEWAY TS, selecione o endereço IP ou nome do servidor NPS configurado para armazenar RD CAPs e, em seguida, clique em Editar.

   

5. Na caixa de diálogo Editar Servidor RADIUS, selecione a guia Balanceamento de Carga.

6. Na guia Balanceamento de Carga no campo Número de segundos sem resposta antes que uma solicitação seja descartada, altere o valor padrão de 3 para um valor entre 30 e 60 segundos.

7. No campo Número de segundos entre as solicitações quando o servidor é identificado como indisponível, altere o valor padrão de 30 segundos para um valor que seja igual ou maior que o valor especificado na etapa anterior.

   

8. Clique em OK duas vezes para fechar as caixas de diálogo.

Verifique as Políticas de Solicitação de Conexão

Por padrão, quando você configurar o Gateway de Área de Trabalho Remota para usar um repositório central de política para políticas de autorização de conexão, o Gateway de Área de Trabalho Remota está configurado para encaminhar solicitações de CAP para o servidor NPS. O servidor NPS com a extensão de autenticação multifator Microsoft Entra instalada processa a solicitação de acesso do RADIUS. As etapas a seguir mostram como verificar a política de solicitação de conexão padrão.

1. No Gateway de Área de Trabalho Remota, no console do NPS (Local), expanda Políticas e selecione Políticas de Solicitação de Conexão.

2. Clique duas vezes em política de autorização de GATEWAY TS.

3. Na caixa de diálogo Propriedades da POLÍTICA DE AUTORIZAÇÃO DE GATEWAY TS, clique na guia Configurações.

4. Na guia Configurações, em Encaminhamento de Solicitação de Conexão, clique em Autenticação. O cliente RADIUS está configurado para encaminhar solicitações para autenticação.

   

5. Clique em Cancelar.

Observação

Para saber mais sobre como criar uma política de solicitação de conexão, consulte o artigo Configurar políticas de solicitação de conexão e a documentação correspondente.

Configurar o NPS no servidor onde a extensão NPS está instalada

O servidor NPS onde a extensão NPS está instalada deve ser capaz de trocar mensagens RADIUS com o servidor NPS no Gateway de Área de Trabalho Remota. Para habilitar a troca de mensagens, você precisa configurar os componentes do NPS no servidor onde o serviço de extensão NPS está instalado.

Registrar o Servidor no Active Directory

Para funcionar corretamente nesse cenário, o servidor NPS deve ser registrado no Active Directory.

1. No servidor NPS, abra o Gerenciador do Servidor.

2. No Gerenciador do Servidor, clique em Ferramentase, em seguida, clique em Servidor de Políticas de Rede.

3. No console do Servidor de Políticas de Rede, clique com o botão direito em NPS (Local) e, em seguida, clique em Registrar servidor no Active Directory.

4. Clique em OK duas vezes.

   

5. Deixe o console aberto para o próximo procedimento.

Criar e configurar o cliente RADIUS

O Gateway de Área de Trabalho Remota deve ser configurado como um cliente RADIUS para o servidor NPS.

1. No servidor NPS onde a extensão NPS estiver instalada, no console NPS (Local), clique com botão direito em Clientes RADIUS e clique em Novo.

   

2. Na caixa de diálogo Novo cliente RADIUS, forneça um nome amigável, como Gateway e o endereço IP ou nome DNS do servidor de Gateway de Área de Trabalho Remota.

3. Nos campos Segredo compartilhado e Confirmar segredo compartilhado, insira o mesmo segredo usado anteriormente.

   

4. Clique em OK para fechar a caixa de diálogo do Novo cliente RADIUS.

Configurar Política de Rede

Lembre-se de que o servidor NPS com a extensão de autenticação multifator do Microsoft Entra é o repositório central de políticas designado para a Política de Autorização de Conexão (CAP). Portanto, você precisa implementar uma CAP no servidor NPS para autorizar solicitações de conexão válidas.

1. No Servidor NPS, abra o console NPS (Local), expanda Políticas e clique em Políticas de Rede.

2. Clique com o botão direito em Conexões com outros servidores de acesso e clique em Duplicar Política.

   

3. Clique com o botão direito em Cópia de Conexões para outros servidores de acesso e clique em Propriedades.

4. Na caixa de diálogo Cópia de conexões com outros servidores de acesso, em Nome da política, insira um nome adequado, como RDG_CAP. Marque Política habilitada e selecione Conceder acesso. Opcionalmente, em Tipo de servidor de acesso à rede, selecione Gateway de Área de Trabalho Remota ou você pode deixá-lo como Não especificado.

   

5. Clique na guia Restrições e marque Permitem que os clientes se conectem sem negociar um método de autenticação.

   

6. Opcionalmente, clique na guia Condições e adicione as condições que devem ser atendidas para que a conexão seja autorizada, por exemplo, associação em um grupo específico do Windows.

   

7. Clique em OK. Quando solicitado para exibir o tópico da Ajuda correspondente, clique em Não.

8. Certifique-se de que a nova política está no topo da lista, que a política está habilitada, e que ela concede acesso.

   

Verificar a configuração

Para verificar a configuração, será necessário entrar no Gateway de Área de Trabalho Remota com um cliente RDP adequado. Certifique-se de utilizar uma conta que seja permitida por suas políticas de autorização de conexão e que esteja habilitada para a autenticação multifator do Microsoft Entra.

Você pode usar a página Acesso via Web à Área de Trabalho Remota, conforme mostrado abaixo.

Ao inserir corretamente as suas credenciais para autenticação primária, a caixa de diálogo Conexão de Área de Trabalho Remota mostra o status de Iniciando conexão remota, conforme mostrado abaixo.

Se a autenticação for bem-sucedida com o método de autenticação secundária que você configurou anteriormente na autenticação multifator do Microsoft Entra, você estará conectado ao recurso. No entanto, se a autenticação secundária não for bem-sucedida, seu acesso aos recursos será negado.

No exemplo a seguir, o aplicativo do Autenticador em um Windows Phone é usado para fornecer a autenticação secundária.

Depois de autenticado com sucesso usando o método de autenticação secundária, você é conectado ao Gateway de Área de Trabalho Remota normalmente. No entanto, como você deve usar um método de autenticação secundária com um aplicativo móvel em um dispositivo confiável, o processo de conexão é mais seguro dessa forma quando comparado com outras opções.

Exibir logs do Visualizador de Eventos para eventos de logon com sucesso

Para exibir os eventos de logon com sucesso nos logs do Visualizador de Eventos do Windows, você pode emitir o comando do PowerShell a seguir para consultar os logs de Serviços de Terminal do Windows e da Segurança do Windows.

Para consultar eventos de entrada bem-sucedida nos logs operacionais do Gateway (Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-Gateway\Operational), use os seguintes comandos do PowerShell:

• Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '300'} | FL
• Este comando exibe os eventos do Windows que mostram que o usuário atende aos requisitos da política de autorização de recursos (RD RAPS) e foi concedido acesso.

• Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '200'} | FL
• Este comando exibe os eventos que aparecem quando o usuário atende aos requisitos de política de autorização de conexão.

Você também pode exibir esse log e o filtro nas IDs de evento, 300 e 200. Para consultar eventos de logon com sucesso nos logs de Visualizador de eventos de segurança, use o seguinte comando:

• Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL
• Este comando pode ser executado no NPS central ou no Servidor de Gateway de Área de Trabalho Remota.

Você também pode exibir o log de segurança ou o modo de exibição personalizado de Serviços de Acesso e Política de Rede, conforme mostrado abaixo:

No servidor em que foi instalada a extensão NPS para autenticação multifator do Microsoft Entra, é possível encontrar os logs de aplicativos do Visualizador de Eventos específicos da extensão em Aplicativo e Serviços Logs\Microsoft\AzureMfa.

Guia de Solução de Problemas

Se a configuração não estiver funcionando conforme o esperado, o primeiro ponto de partida para solucionar problemas é verificar se o usuário está configurado para utilizar a autenticação multifator do Microsoft Entra. Entre no Centro de administração do Microsoft Entra. Se os usuários forem solicitados a fazer a verificação secundária e conseguirem se autenticar com êxito, você poderá eliminar uma configuração incorreta da autenticação multifator do Microsoft Entra.

Se a autenticação multifator do Microsoft Entra estiver funcionando para o(s) usuário(s), você deve analisar os logs de eventos relevantes. Isso inclui os logs da autenticação multifator do Microsoft Entra, do operacional do Gateway e de Eventos de Segurança, que foram discutidos na seção anterior.

Abaixo está um exemplo de saída do log de segurança mostrando um evento de logon com falha (Evento ID 6273).

Abaixo está um evento relacionado dos logs do AzureMFA:

Para executar opções de solução de problemas avançadas, consulte os arquivos de log de formato do banco de dados NPS onde o serviço NPS está instalado. Esses arquivos de log são criados na pasta %SystemRoot%\System32\Logs como arquivos de texto separado por vírgula.

Para obter uma descrição desses arquivos de log, consulte Interpretar arquivos de log de formato de banco de dados de NPS. As entradas nesses arquivos de log podem ser difícil de interpretar sem importá-los para uma planilha ou um banco de dados. Você pode encontrar vários analisadores de IAS on-line para ajudá-lo a interpretar os arquivos de log.

A imagem abaixo mostra a saída de um desses aplicativos shareware que pode ser baixado.

Próximas etapas

Como fazer para obter a autenticação multifator do Microsoft Entra

Gateway de Área de Trabalho Remota e Servidor de Autenticação Multifator do Azure usando RADIUS

Integrar seus diretórios locais ao Microsoft Entra ID