Интеграция инфраструктуры шлюза удаленных рабочих столов с помощью расширения сервера политики сети (NPS) и идентификатора Microsoft Entra

В этой статье содержатся сведения об интеграции инфраструктуры шлюза удаленных рабочих столов с многофакторной проверкой подлинности Microsoft Entra с помощью расширения сервера политики сети (NPS) для Microsoft Azure.

Расширение сервера политики сети (NPS) для Azure позволяет клиентам защищать проверку подлинности клиента службы пользователей удаленной проверки подлинности (RADIUS) с помощью облачной многофакторной проверки подлинности Azure. Это решение предоставляет двухфакторную проверку подлинности в качестве второго уровня безопасности для входа пользователей в систему и транзакций.

В этой статье приведены пошаговые инструкции по интеграции инфраструктуры NPS с многофакторной проверкой подлинности Microsoft Entra с помощью расширения NPS для Azure. Это обеспечивает надежную проверку пользователей, пытающихся войти на шлюз удаленных рабочих столов.

Примечание.

Эта статья не должна использоваться с развертываниями сервера MFA и должна использоваться только с развертываниями многофакторной проверки подлинности (на основе облака) Microsoft Entra.

Службы политики сети и доступа (NPS) дают организациям следующие возможности.

  • Можно определить центральные расположения для управления сетевыми запросами и их контроля, указав, кто может подключаться, в какое время дня подключения разрешены, продолжительность подключений, уровень безопасности, который клиенты должны использовать для подключения, и так далее. Вместо того, чтобы задавать эти политики на каждом VPN-сервере или сервере шлюза удаленных рабочих столов, их можно указать один раз в центральном расположении. Протокол RADIUS обеспечивает централизованную аутентификацию, авторизацию и учет.
  • Можно устанавливать и применять политики работоспособности клиента защиты доступа к сети (NAP), которые определяют, предоставляется ли устройствам неограниченный или ограниченный доступ к сетевым ресурсам.
  • Можно внедрить средства аутентификации и авторизации для доступа к точкам беспроводного доступа и коммутаторам Ethernet, поддерживающим протокол 802.1x.

Как правило, организации используют NPS (RADIUS) для упрощения и централизации управления политиками VPN. Однако во многих организациях NPS также используется для упрощения и централизации управления политиками авторизации подключений к удаленным рабочим столам.

Организации также могут интегрировать NPS с многофакторной проверкой подлинности Microsoft Entra для повышения безопасности и обеспечения высокого уровня соответствия требованиям. Это позволяет обеспечить применение пользователями двухфакторной проверки подлинности для входа на шлюз удаленных рабочих столов. Чтобы получить доступ, пользователю необходимо предоставить свои имя пользователя и пароль, а также сведения, которыми он управляет. Эта информация должна быть надежной, и ее копирование должно быть затруднено. Например, это может быть номер мобильного телефона, номер стационарного телефона, приложение на мобильном устройстве и т. д. В настоящее время RDG поддерживает телефонный звонок и утверждение/push-уведомлений из методов приложений Microsoft Authenticator для 2FA. Дополнительные сведения о поддерживаемых методах проверки подлинности см. в разделе Определение методов проверки подлинности, которые смогут использовать пользователи.

Если в вашей организации используется шлюз удаленных рабочих столов и пользователь зарегистрирован для кода TOTP вместе с push-уведомлениями Authenticator, пользователь не может выполнить задачу MFA, а вход шлюза удаленных рабочих столов завершается сбоем. В этом случае можно задать OVERRIDE_NU МБ ER_MATCHING_WITH_OTP = FALSE, чтобы вернуться к push-уведомлениям, чтобы утвердить или запретить с помощью Authenticator.

Чтобы расширение NPS продолжало работать для пользователей шлюза удаленных рабочих столов, этот раздел реестра должен быть создан на сервере NPS. На сервере NPS откройте редактор реестра. Перейдите в раздел:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

Создайте следующую пару String/Value:

Имя: OVERRIDE_NU МБ ER_MATCHING_WITH_OTP

Значение = FALSE

До доступности расширения NPS для Azure клиенты, которые хотели реализовать двухфакторную проверку подлинности для интегрированных NPS и сред многофакторной проверки подлинности Microsoft Entra, должны были настроить и сохранить отдельный сервер MFA в локальной среде, как описано в шлюзе удаленных рабочих столов и сервере Многофакторной идентификации Azure с помощью RADIUS.

Теперь, когда доступно расширение NPS для Azure, организации имеют возможность развернуть локальное или облачное решение MFA для защиты аутентификации клиентов RADIUS.

Поток проверки подлинности

Чтобы пользователи могли получить доступ к сетевым ресурсам через шлюз удаленных рабочих столов, они должны соответствовать условиям, заданным в одной политике авторизации подключений к удаленным рабочим столам (RD CAP) и одной политике авторизации ресурсов удаленных рабочих столов (RD RAP). Политики авторизации подключений к удаленным рабочим столам определяют, кому разрешено подключаться к шлюзам удаленных рабочих столов. Политики авторизации ресурсов удаленных рабочих столов определяют сетевые ресурсы, например удаленные рабочие столы или удаленные приложения, к которым пользователь может подключаться с помощью шлюза удаленных рабочих столов.

Шлюз удаленных рабочих столов можно настроить для использования центрального хранилища политик авторизации подключений к удаленным рабочим столам. Политики авторизации ресурсов удаленных рабочих столов не могут использовать центральное хранилище политик, так как они обрабатываются на шлюзе удаленных рабочих столов. В качестве примера шлюза удаленных рабочих столов, настроенного для использования центрального хранилища политик авторизации подключений к удаленным рабочим столам, можно привести клиент RADIUS на другом NPS-сервере, который выступает в качестве центрального хранилища политик.

Когда расширение NPS интегрировано с сервером политики сети и шлюзом удаленных рабочих столов, поток успешной аутентификации выглядит следующим образом.

  1. Сервер шлюза удаленных рабочих столов получает запрос на аутентификацию от пользователя удаленного рабочего стола для подключения к ресурсу (например, к сеансу удаленного рабочего стола). Выступая в качестве клиента RADIUS, сервер шлюза удаленных рабочих столов преобразовывает запрос в сообщение Access-Request RADIUS и отправляет его на сервер RADIUS (NPS), на котором установлено расширение NPS.
  2. Сочетание имени пользователя и пароля проверяется в Active Directory, после чего пользователь аутентифицируется.
  3. Если выполняются все условия, указанные в запросе NPS Подключение ion и политиках сети (например, ограничения на членство в группах или времени дня), расширение NPS активирует запрос на вторичную проверку подлинности с помощью многофакторной проверки подлинности Microsoft Entra.
  4. Многофакторная проверка подлинности Microsoft Entra взаимодействует с идентификатором Microsoft Entra, извлекает сведения пользователя и выполняет дополнительную проверку подлинности с помощью поддерживаемых методов.
  5. При успешном выполнении задачи MFA многофакторная проверка подлинности Microsoft Entra передает результат расширению NPS.
  6. NPS-сервер, на котором установлено расширение NPS, отправляет сообщение Access-Accept RADIUS для политики авторизации подключений к удаленным рабочим столам на сервер шлюза удаленных рабочих столов.
  7. Пользователю предоставляется доступ к запрошенному сетевому ресурсу через шлюз удаленных рабочих столов.

Необходимые компоненты

В этом разделе описаны предварительные требования, необходимые перед интеграцией многофакторной проверки подлинности Microsoft Entra с шлюзом удаленных рабочих столов. Прежде чем приступить к работе, следует подготовить приведенные ниже необходимые компоненты:

  • Инфраструктура служб удаленных рабочих столов (RDS)
  • Лицензия многофакторной проверки подлинности Microsoft Entra
  • программное обеспечение Windows Server;
  • роль "Службы политики сети и доступа" (NPS);
  • Microsoft Entra синхронизирован с локальная служба Active Directory
  • Идентификатор GUID Microsoft Entra

Инфраструктура служб удаленных рабочих столов (RDS)

Необходима рабочая инфраструктура служб удаленных рабочих столов (RDS). Если ее у вас нет, то можно быстро создать эту инфраструктуру в Azure, используя следующий шаблон быстрого запуска: Create Remote Desktop Sesson Collection deployment (Создание развертывания набора для сеансов подключения к удаленным рабочим столам).

Если вы хотите быстро вручную создать локальную инфраструктуру служб удаленных рабочих столов для тестирования, выполните соответствующие инструкции. Дополнительные сведения. Развертывание службы удаленных рабочих столов с помощью шаблона быстрого запуска Azure и развертывание базовой инфраструктуры служб удаленных рабочих столов.

программное обеспечение Windows Server;

Для работы расширения NPS требуется Windows Server 2008 R2 с пакетом обновления 1 (SP1) или более поздней версии с установленной службой роли NPS. Все действия в этом разделе были выполнены с помощью Windows Server 2016.

роль "Службы политики сети и доступа" (NPS);

Служба роли NPS предоставляет функциональные возможности сервера и клиента RADIUS, а также службу работоспособности NAP. Эту роль необходимо установить как минимум на двух компьютерах в инфраструктуре: одну на шлюзе удаленных рабочих столов, а другую — на рядовом сервере или контроллере домена. По умолчанию эта роль уже существует на компьютере, который настроен в качестве шлюза удаленных рабочих столов. Необходимо также установить роль NPS по крайней мере еще на одном компьютере, например контроллере домена или рядовом сервере.

Дополнительные сведения об установке службы роли NPS на компьютер под управлением Windows Server 2012 или более ранней версии см. в разделе Install a NAP Health Policy Server (Установка сервера политики работоспособности NAP). Описание рекомендаций для сервера политики сети, включая рекомендации по установке сервера политики сети на контроллер домена, см. в разделе Best Practices for NPS (Рекомендации для сервера политики сети).

Microsoft Entra синхронизирован с локальная служба Active Directory

Чтобы использовать расширение NPS, локальные пользователи должны быть синхронизированы с идентификатором Microsoft Entra и включены для MFA. В этом разделе предполагается, что локальные пользователи синхронизируются с идентификатором Microsoft Entra с помощью AD Подключение. Сведения о microsoft Entra Подключение см. в статье "Интеграция локальных каталогов с идентификатором Microsoft Entra".

Идентификатор GUID Microsoft Entra

Чтобы установить расширение NPS, необходимо знать GUID идентификатора Microsoft Entra. Ниже приведены инструкции по поиску GUID идентификатора Microsoft Entra.

Настройка многофакторной проверки подлинности

В этом разделе приведены инструкции по интеграции многофакторной проверки подлинности Microsoft Entra с шлюзом удаленных рабочих столов. Администратор должен настроить службу многофакторной проверки подлинности Microsoft Entra, прежде чем пользователи смогут самостоятельно зарегистрировать свои многофакторные устройства или приложения.

Выполните действия, описанные в статье "Начало работы с многофакторной проверкой подлинности Microsoft Entra" в облаке , чтобы включить MFA для пользователей Microsoft Entra.

Настройка учетных записей для двухфакторной проверки подлинности

После включения MFA для учетной записи вы не сможете выполнить вход для доступа к ресурсам, управляемым политикой MFA, пока не настроите доверенное устройство для второго фактора аутентификации и не пройдете двухфакторную проверку подлинности.

Выполните действия, описанные в разделе "Что означает многофакторная проверка подлинности Microsoft Entra"? Чтобы понять и правильно настроить устройства для MFA с учетной записью пользователя.

Внимание

Поведение входа для шлюза удаленных рабочих столов не предоставляет возможность ввода кода проверки с помощью многофакторной проверки подлинности Microsoft Entra. Учетная запись пользователя должна быть настроена для проверки телефона или приложения Microsoft Authenticator с утверждением push-уведомлений об отклонении/.

Если для пользователя не настроена ни проверка телефона, ни приложение Microsoft Authenticator с утверждением push-уведомлений запрещено/, пользователь не сможет выполнить задачу многофакторной проверки подлинности Microsoft Entra и войти в шлюз удаленных рабочих столов.

Текстовый метод SMS не работает со шлюзом удаленных рабочих столов, потому что он не дает возможности ввести проверочный код.

Установка и настройка расширения NPS

В этом разделе приведены инструкции по настройке инфраструктуры удаленных рабочих столов для использования многофакторной проверки подлинности Microsoft Entra для проверки подлинности клиента с помощью шлюза удаленных рабочих столов.

Получение идентификатора клиента каталога

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

В рамках настройки расширения NPS необходимо указать учетные данные администратора и идентификатор клиента Microsoft Entra. Чтобы получить идентификатор клиента, выполните указанные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум глобальный Администратор istrator.

  2. Перейдите к удостоверению> Параметры.

    Getting the Tenant ID from the Microsoft Entra admin center

Установка расширения NPS

Установите расширение NPS на сервер, на котором установлена роль "Службы политики сети и доступа" (NPS). Он выполняет роль сервера RADIUS в нашей инфраструктуре.

Внимание

Не следует устанавливать расширение NPS на сервер шлюзов удаленных рабочих столов (RDG). Сервер RDG не использует протокол RADIUS с клиентом, поэтому расширение не может интерпретировать и выполнять MFA.

Если сервер RDG и сервер политики сети с расширением NPS являются разными серверами, RDG использует NPS внутренне для взаимодействия с другими серверами NPS и использует RADIUS в качестве протокола для правильной связи.

  1. Скачайте расширение NPS.
  2. Скопируйте исполняемый установочный файл (NpsExtnForAzureMfaInstaller.exe) на NPS-сервер.
  3. На NPS-сервере дважды щелкните файл NpsExtnForAzureMfaInstaller.exe. При появлении запроса щелкните Запустить.
  4. В диалоговом окне установки многофакторной проверки подлинности NPS для Microsoft Entra просмотрите условия лицензии на программное обеспечение, проверка я согласен с условиями лицензии и нажмите кнопку "Установить".
  5. В диалоговом окне установки многофакторной проверки подлинности nPS для Microsoft Entra нажмите кнопку "Закрыть".

Настройка сертификатов для расширения NPS с помощью сценария PowerShell

Далее необходимо настроить сертификаты для расширения NPS, чтобы обеспечить безопасную связь и контроль. Компоненты NPS включают скрипт PowerShell, который настраивает самозаверяющий сертификат для использования с NPS.

Этот сценарий выполняет следующие действия:

  • создает самозаверяющий сертификат;
  • Связывает открытый ключ сертификата с субъектом-службой в идентификаторе Microsoft Entra
  • сохраняет сертификат в хранилище на локальном компьютере;
  • предоставляет сетевому пользователю доступ к закрытому ключу сертификата;
  • перезапускает службу сервера политики сети.

Если вы хотите использовать собственные сертификаты, необходимо связать открытый ключ сертификата с субъектом-службой на идентификаторе Microsoft Entra ID и т. д.

Чтобы использовать скрипт, предоставьте расширение с учетными данными Microsoft Entra Администратор и идентификатором клиента Microsoft Entra, скопированным ранее. Запустите сценарий на каждом NPS-сервере, на котором установлено расширение NPS. После этого выполните описанные ниже действия.

  1. Откройте командную строку Windows PowerShell с правами администратора.

  2. В командной строке PowerShell введите cd 'c:\Program Files\Microsoft\AzureMfa\Config' и нажмите клавишу ВВОД.

  3. Введите .\AzureMfaNpsExtnConfigSetup.ps1 и нажмите клавишу ВВОД. Скрипт проверка, чтобы узнать, установлен ли модуль PowerShell. Если он не установлен, сценарий автоматически установит этот модуль.

    Running AzureMfaNpsExtnConfigSetup.ps1 in PowerShell

  4. После проверки установки модуля PowerShell скрипт отображает диалоговое окно модуля PowerShell. В диалоговом окне введите учетные данные и пароль администратора Microsoft Entra и нажмите кнопку "Войти".

  5. При появлении запроса вставьте идентификатор клиента, скопированный в буфер обмена ранее, и нажмите клавишу ВВОД.

    Inputting the Tenant ID in PowerShell

  6. Этот сценарий создает самозаверяющий сертификат и выполняет другие изменения конфигурация. На рисунке ниже показан пример выходных данных.

    Output of PowerShell showing self-signed certificate

Настройка компонентов NPS на шлюзе удаленных рабочих столов

В этом разделе описывается настройка политик авторизации подключений к шлюзу удаленных рабочих столов и других параметров RADIUS.

Для аутентификации требуется обмен сообщениями RADIUS между шлюзом удаленных рабочих столов и NPS-сервером, на котором установлено расширение NPS. Это означает, что необходимо настроить параметры клиента RADIUS на шлюзе удаленных рабочих столов и NPS-сервере, на котором установлено расширение NPS.

Настройка политик авторизации подключений к шлюзу удаленных рабочих столов для использования центрального хранилища

Политики авторизации подключений к удаленным рабочим столам определяют требования для подключения к серверу шлюза удаленных рабочих столов. Эти политики могут сохраняться локально (по умолчанию) или в центральном хранилище, в котором выполняется сервер политики сети. Чтобы настроить интеграцию многофакторной проверки подлинности Microsoft Entra с RDS, необходимо указать использование центрального хранилища.

  1. На сервере шлюза удаленных рабочих столов откройте диспетчер сервера.

  2. В меню щелкните Средства, наведите указатель мыши на пункт Службы удаленных рабочих столов, а затем щелкните Диспетчер шлюза удаленных рабочих столов.

  3. В диспетчере шлюза удаленных рабочих столов щелкните правой кнопкой мыши [Имя сервера] (локальный) и выберите Свойства.

  4. В диалоговом окне "Свойства" выберите вкладку Хранилище политики авторизации подключений к удаленным рабочим столам.

  5. На вкладке "Хранилище политики авторизации подключений к удаленным рабочим столам" выберите Центральный сервер политики сети.

  6. В поле Введите имя или IP-адрес сервера политики сети введите IP-адрес или имя сервера, на котором установлено расширение NPS.

    Enter the name or IP Address of your NPS Server

  7. Нажмите кнопку Добавить.

  8. В диалоговом окне Общий секрет введите общий секрет и нажмите кнопку ОК. Обязательно запишите этот общий секрет и сохраните в безопасном месте.

    Примечание.

    Он используется для установления доверия между серверами и клиентами RADIUS. Создайте длинный и сложный секрет.

    Creating a shared secret to establish trust

  9. Чтобы закрыть диалоговое окно, нажмите кнопку ОК .

Настройка значения времени ожидания RADIUS на сервере политики сети шлюза удаленных рабочих столов

Чтобы обеспечить достаточно времени для проверки учетных данных пользователей, двухфакторной проверки подлинности, получения ответов и реагирования на сообщения RADIUS, необходимо настроить значение времени ожидания RADIUS.

  1. На сервере шлюза удаленных рабочих столов откройте диспетчер сервера. В меню щелкните Средства, а затем щелкните Сервер политики сети.

  2. В консоли Сервер сетевых политик (локальный) разверните элемент RADIUS-клиенты и серверы и выберите Remote RADIUS Server (Удаленный сервер RADIUS).

    Network Policy Server management console showing Remote RADIUS Server

  3. В области сведений дважды щелкните TS GATEWAY SERVER GROUP (Группа серверов шлюза службы терминалов).

    Примечание.

    Данная группа серверов RADIUS была создана при настройке центрального сервера для политик NPS. Шлюз удаленных рабочих столов перенаправляет сообщения RADIUS на этот сервер или в группу серверов, если серверов в группе несколько.

  4. В диалоговом окне TS GATEWAY SERVER GROUP Properties (Свойства группы серверов шлюза службы терминалов) выберите IP-адрес или имя NPS-сервера, настроенного для хранения политик авторизации подключений к удаленным рабочим столам, а затем нажмите кнопку Изменить.

    Select the IP or name of the NPS Server configured earlier

  5. В диалоговом окне Изменение сервера RADIUS выберите вкладку Балансировка нагрузки.

  6. На вкладке Балансировка нагрузки в поле Число секунд без ответа, после которого запрос считается отброшенным измените значение по умолчанию, равное 3, на значение в диапазоне от 30 до 60 секунд.

  7. В поле Число секунд между запросами, после которого сервер считается недоступным измените значение по умолчанию, равное 30 секундам, на значение, которое равно или больше значения, указанного на предыдущем шаге.

    Edit Radius Server timeout settings on the load balancing tab

  8. Дважды нажмите кнопку ОК, чтобы закрыть диалоговые окна.

Проверка политик запросов на подключение

По умолчанию при настройке шлюза удаленных рабочих столов для использования центрального хранилища для политик авторизации подключений шлюз удаленных рабочих столов перенаправляет запросы политик авторизации подключений на NPS-сервер. Сервер NPS с установленным расширением многофакторной проверки подлинности Microsoft Entra обрабатывает запрос доступа RADIUS. Ниже показано, как проверить политику запросов на подключение по умолчанию.

  1. На шлюзе удаленных рабочих столов в консоли "Сервер сетевых политик (локальный)" разверните элемент Политики и выберите Политики запросов на подключение.

  2. Дважды щелкните TS GATEWAY AUTHORIZATION POLICY (Политика аутентификации шлюза службы терминалов).

  3. В диалоговом окне TS GATEWAY AUTHORIZATION POLICY properties (Свойства политики авторизации шлюза службы терминалов) щелкните вкладку Параметры.

  4. На вкладке Параметры в разделе "Пересылка запроса на подключение" щелкните Проверка подлинности. Клиент RADIUS настроен для пересылки запросов на аутентификацию.

    Configure Authentication Settings specifying the server group

  5. Щелкните Отмена.

Примечание.

Дополнительные сведения о создании политики запросов на подключение см. в статье Настройка политик запросов на подключение.

Настройка компонентов NPS на сервере, на котором установлено расширение NPS

NPS-сервер, на котором установлено расширение NPS, должен иметь возможность обмениваться сообщениями RADIUS с NPS-сервером в шлюзе удаленных рабочих столов. Чтобы обеспечить этот обмен сообщениями, необходимо настроить компоненты NPS на сервере, на котором установлена служба расширения NPS.

Регистрация сервера в Active Directory

Для правильной работы в этом сценарии NPS-сервер должен быть зарегистрирован в Active Directory.

  1. На NPS-сервере откройте диспетчер сервера.

  2. В диспетчере сервера щелкните Средства, а затем щелкните Сервер политики сети.

  3. В консоли сервера политики сети щелкните правой кнопкой мыши Сервер сетевых политик (локальный), а затем щелкните Зарегистрировать сервер в Active Directory.

  4. Дважды нажмите кнопку ОК.

    Register the NPS server in Active Directory

  5. Оставьте консоль открытой для выполнения следующей процедуры.

Создание и настройка клиента RADIUS

Шлюз удаленных рабочих столов необходимо настроить как клиент RADIUS на NPS-сервере.

  1. На NPS-сервере, на котором установлено расширение NPS, в консоли Сервер сетевых политик (локальный) щелкните правой кнопкой мыши RADIUS-клиенты и выберите Создать.

    Create a New RADIUS Client in the NPS console

  2. В диалоговом окне Новый RADIUS-клиент введите понятное имя, например Шлюз, и IP-адрес или DNS-имя сервера шлюза удаленных рабочих столов.

  3. В полях Общий секрет и Подтвердите общий секрет введите тот же секрет, который использовался ранее.

    Configure a friendly name and the IP or DNS address

  4. Нажмите кнопку ОК, чтобы закрыть диалоговое окно "Новый RADIUS-клиент".

Настройка политики сети

Помните, что сервер NPS с расширением многофакторной проверки подлинности Microsoft Entra является центральным хранилищем политик для политики авторизации Подключение (CAP). Поэтому необходимо внедрить политику авторизации подключений на NPS-сервере для авторизации допустимых запросов на подключение.

  1. На NPS-сервере откройте консоль "Сервер сетевых политик (локальный)", разверните элемент Политики и щелкните Сетевые политики.

  2. Щелкните правой кнопкой мыши Подключения к другим серверам доступа и щелкните Повторяющаяся политика.

    Duplicate the connection to other access servers policy

  3. Щелкните правой кнопкой мыши Copy of Connections to other access servers (Копия политики подключения к другим серверам доступа) и щелкните Свойства.

  4. В диалоговом окне Copy of Connections to other access servers (Копировать подключения к другим серверам доступа) в поле Имя политики введите подходящее имя, например RDG_CAP. Установите флажок Политика включена и щелкните Разрешить доступ. При необходимости в разделе Тип сервера доступа к сети выберите Шлюз удаленных рабочих столов или оставьте значение Не указано.

    Name the policy, enable, and grant access

  5. Щелкните вкладку Ограничения и установите флажок Разрешить подключение клиентов без согласования метода проверки подлинности.

    Modify authentication methods to allow clients to connect

  6. При необходимости щелкните вкладку Условия и добавьте условия, которые должны быть выполнены для авторизации подключения, например членство в определенной группе Windows.

    Optionally specify connection conditions

  7. Щелкните OK. При появлении предложения просмотреть соответствующий раздел справки нажмите кнопку Нет.

  8. Убедитесь, что новая политика находится вверху списка, включена и предоставляет доступ.

    Move your policy to the top of the list

Проверка конфигурации

Чтобы проверить конфигурацию, необходимо войти на шлюз удаленных рабочих столов с помощью подходящего клиента RDP. Обязательно используйте учетную запись, разрешенную политиками авторизации Подключение ion и включенной для многофакторной проверки подлинности Microsoft Entra.

Как показано на рисунке ниже, вы можете использовать страницу Веб-доступ к удаленным рабочим столам.

Testing in Remote Desktop Web Access

После успешного ввода учетных данных для основной аутентификации в диалоговом окне подключения к удаленному рабочему столу отобразится состояние "Инициализация удаленного подключения", как показано ниже.

Если вы успешно выполнили проверку подлинности с помощью дополнительного метода проверки подлинности, настроенного ранее в многофакторной проверке подлинности Microsoft Entra, вы подключены к ресурсу. Однако если вы не пройдете дополнительную аутентификацию, доступ к ресурсу будет запрещен.

Remote Desktop Connection initiating a remote connection

В следующем примере приложение Authenticator в Windows Phone используется для дополнительной аутентификации.

Example Windows Phone Authenticator app showing verification

После успешного прохождения дополнительной аутентификации вы вошли в шлюз удаленных рабочих столов в обычном режиме. Тем не менее, так как вы должны были пройти дополнительную аутентификацию с помощью мобильного приложения на доверенном устройстве, процесс входа защищен лучше, чем был бы в противном случае.

Просмотр событий успешного входа в журналах службы "Просмотр событий"

Чтобы просмотреть события успешного входа в журналах Windows Просмотр событий, можно выполнить следующую команду PowerShell, чтобы запросить журналы Терминал Windows Services и Безопасность Windows.

Чтобы запросить события успешного входа из операционных журналов шлюза (Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-Gateway\Operational), используйте следующие команды PowerShell.

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '300'} | FL
  • Эта команда отображает события Windows, в которых пользователь выполнил требования политики авторизации ресурсов удаленных рабочих столов и получил доступ.

Viewing events using PowerShell

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '200'} | FL
  • Эта команда отображает события, в которых пользователь выполнил требования политики авторизации подключений.

Viewing the connection authorization policy using PowerShell

Можно также просмотреть этот журнал и отфильтровать информацию по идентификаторам событий, 300 и 200. Чтобы запросить события успешного входа из журналов безопасности службы "Просмотр событий", используйте следующую команду.

  • Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL
  • Эта команда может выполняться на центральном NPS-сервере или сервере шлюза удаленных рабочих столов.

Sample successful logon events

Можно также просмотреть настраиваемое представление журналов безопасности или служб политики сети и доступа, как показано ниже.

Network Policy and Access Services Event Viewer

На сервере, на котором установлено расширение NPS для многофакторной проверки подлинности Microsoft Entra, можно найти Просмотр событий журналы приложений, относящиеся к расширению в журналах приложений и служб\Microsoft\AzureMfa.

Event Viewer AuthZ application logs

Руководство по устранению неполадок

Если конфигурация не работает должным образом, первое место для устранения неполадок заключается в том, чтобы убедиться, что пользователь настроен на использование многофакторной проверки подлинности Microsoft Entra. Войдите в Центр администрирования Microsoft Entra. Если пользователи запрашивают вторичную проверку подлинности и могут успешно пройти проверку подлинности, можно исключить неправильную конфигурацию многофакторной проверки подлинности Microsoft Entra.

Если многофакторная проверка подлинности Microsoft Entra работает для пользователей, необходимо просмотреть соответствующие журналы событий. К ним относятся события безопасности, операционные шлюзы и журналы многофакторной проверки подлинности Microsoft Entra, которые рассматриваются в предыдущем разделе.

Ниже приведен пример выходных данных журнала безопасности, содержащих событие неудачного входа (идентификатор события 6273).

Sample of a Failed logon event

Ниже приведено связанное событие из журналов Azure MFA.

Sample Microsoft Entra multifactor authentication log in Event Viewer

Чтобы расширить возможности устранения неполадок, просмотрите файлы журнала в формате базы данных NPS в расположении, в котором установлена служба NPS. Эти файлы журналов создаются в папке %SystemRoot%\System32\Logs в виде файлов с разделителями-запятыми.

Описание этих файлов журнала см. в разделе Interpret NPS Database Format Log Files (Интерпретация файлов журнала в формате базы данных NPS). Записи в этих файлах журнала может быть сложно интерпретировать, не импортировав их в электронную таблицу или базу данных. Помочь в интерпретации файлов журнала могут несколько средств синтаксического анализа IAS в Интернете.

На рисунке ниже показаны выходные данные одной из таких скачиваемых условно бесплатных программ.

Sample Shareware app IAS parser

Наконец, чтобы еще больше расширить возможности устранения неполадок, можно использовать анализатор протокола, например Microsoft Message Analyzer.

На рисунке ниже в Microsoft Message Analyzer показан сетевой трафик, отфильтрованный по протоколу RADIUS и содержащий имя пользователя CONTOSO\AliceC.

Microsoft Message Analyzer showing filtered traffic

Следующие шаги

Как получить многофакторную проверку подлинности Microsoft Entra

Шлюз удаленных рабочих столов и сервер Многофакторной идентификации Azure, использующие проверку подлинности RADIUS

Интеграция локальных каталогов с идентификатором Microsoft Entra