Интеграция инфраструктуры шлюза удаленных рабочих столов с помощью расширения сервера политики сети (NPS) и Azure ADIntegrate your Remote Desktop Gateway infrastructure using the Network Policy Server (NPS) extension and Azure AD

В этой статье описывается интеграция инфраструктуры шлюза удаленных рабочих столов с Многофакторной идентификацией Azure (MFA) с помощью расширения сервера политики сети (NPS) для Microsoft Azure.This article provides details for integrating your Remote Desktop Gateway infrastructure with Azure Multi-Factor Authentication (MFA) using the Network Policy Server (NPS) extension for Microsoft Azure.

Расширение сервера политики сети (NPS) для Azure позволяет клиентам защитить аутентификацию клиентов RADIUS с помощью облачной Многофакторной идентификации (MFA) Azure.The Network Policy Server (NPS) extension for Azure allows customers to safeguard Remote Authentication Dial-In User Service (RADIUS) client authentication using Azure’s cloud-based Multi-Factor Authentication (MFA). Это решение предоставляет двухфакторную проверку подлинности в качестве второго уровня безопасности для входа пользователей в систему и транзакций.This solution provides two-step verification for adding a second layer of security to user sign-ins and transactions.

В этой статье приведены пошаговые инструкции по интеграции инфраструктуры NPS с Azure MFA с помощью расширения NPS для Azure.This article provides step-by-step instructions for integrating the NPS infrastructure with Azure MFA using the NPS extension for Azure. Это обеспечивает надежную проверку пользователей, пытающихся войти на шлюз удаленных рабочих столов.This enables secure verification for users attempting to sign in to a Remote Desktop Gateway.

Примечание

Эта статья не предназначена для развертываний серверов MFA. Она предназначена только для облачных развертываний Azure MFA.This article should not be used with MFA Server deployments and should only be used with Azure MFA (Cloud-based) deployments.

Службы политики сети и доступа (NPS) дают организациям следующие возможности.The Network Policy and Access Services (NPS) gives organizations the ability to do the following:

  • Можно определить центральные расположения для управления сетевыми запросами и их контроля, указав, кто может подключаться, в какое время дня подключения разрешены, продолжительность подключений, уровень безопасности, который клиенты должны использовать для подключения, и так далее.Define central locations for the management and control of network requests by specifying who can connect, what times of day connections are allowed, the duration of connections, and the level of security that clients must use to connect, and so on. Вместо того, чтобы задавать эти политики на каждом VPN-сервере или сервере шлюза удаленных рабочих столов, их можно указать один раз в центральном расположении.Rather than specifying these policies on each VPN or Remote Desktop (RD) Gateway server, these policies can be specified once in a central location. Протокол RADIUS обеспечивает централизованную аутентификацию, авторизацию и учет.The RADIUS protocol provides the centralized Authentication, Authorization, and Accounting (AAA).
  • Можно устанавливать и применять политики работоспособности клиента защиты доступа к сети (NAP), которые определяют, предоставляется ли устройствам неограниченный или ограниченный доступ к сетевым ресурсам.Establish and enforce Network Access Protection (NAP) client health policies that determine whether devices are granted unrestricted or restricted access to network resources.
  • Можно внедрить средства аутентификации и авторизации для доступа к точкам беспроводного доступа и коммутаторам Ethernet, поддерживающим протокол 802.1x.Provide a means to enforce authentication and authorization for access to 802.1x-capable wireless access points and Ethernet switches.

Как правило, организации используют NPS (RADIUS) для упрощения и централизации управления политиками VPN.Typically, organizations use NPS (RADIUS) to simplify and centralize the management of VPN policies. Однако во многих организациях NPS также используется для упрощения и централизации управления политиками авторизации подключений к удаленным рабочим столам.However, many organizations also use NPS to simplify and centralize the management of RD Desktop Connection Authorization Policies (RD CAPs).

Организации могут также интегрировать NPS с Azure MFA, чтобы повысить безопасность и обеспечить высокий уровень соответствия.Organizations can also integrate NPS with Azure MFA to enhance security and provide a high level of compliance. Это позволяет обеспечить применение пользователями двухфакторной проверки подлинности для входа на шлюз удаленных рабочих столов.This helps ensure that users establish two-step verification to sign in to the Remote Desktop Gateway. Чтобы получить доступ, пользователю необходимо предоставить свои имя пользователя и пароль, а также сведения, которыми он управляет.For users to be granted access, they must provide their username/password combination along with information that the user has in their control. Эта информация должна быть надежной, и ее копирование должно быть затруднено. Например, это может быть номер мобильного телефона, номер стационарного телефона, приложение на мобильном устройстве и т. д.This information must be trusted and not easily duplicated, such as a cell phone number, landline number, application on a mobile device, and so on. В настоящее время RDG поддерживает телефонные звонки и Push-уведомления от методов приложения Microsoft Authenticator для 2FA.RDG currently supports phone call and push notifications from Microsoft authenticator app methods for 2FA. Дополнительные сведения о поддерживаемых методах проверки подлинности см. в разделе Определение методов проверки подлинности, которые смогут использовать пользователи.For more information about supported authentication methods see the section Determine which authentication methods your users can use.

До появления расширения NPS для Azure клиентам, желавшим внедрить двухфакторную проверку подлинности для интегрированных сред NPS и Azure MFA, приходилось настраивать и обслуживать отдельный сервер MFA в локальной среде, как описано в разделе Шлюз удаленных рабочих столов и сервер Многофакторной идентификации Azure, использующие проверку подлинности RADIUS.Prior to the availability of the NPS extension for Azure, customers who wished to implement two-step verification for integrated NPS and Azure MFA environments had to configure and maintain a separate MFA Server in the on-premises environment as documented in Remote Desktop Gateway and Azure Multi-Factor Authentication Server using RADIUS.

Теперь, когда доступно расширение NPS для Azure, организации имеют возможность развернуть локальное или облачное решение MFA для защиты аутентификации клиентов RADIUS.The availability of the NPS extension for Azure now gives organizations the choice to deploy either an on-premises based MFA solution or a cloud-based MFA solution to secure RADIUS client authentication.

Поток аутентификацииAuthentication Flow

Чтобы пользователи могли получить доступ к сетевым ресурсам через шлюз удаленных рабочих столов, они должны соответствовать условиям, заданным в одной политике авторизации подключений к удаленным рабочим столам (RD CAP) и одной политике авторизации ресурсов удаленных рабочих столов (RD RAP).For users to be granted access to network resources through a Remote Desktop Gateway, they must meet the conditions specified in one RD Connection Authorization Policy (RD CAP) and one RD Resource Authorization Policy (RD RAP). Политики авторизации подключений к удаленным рабочим столам определяют, кому разрешено подключаться к шлюзам удаленных рабочих столов.RD CAPs specify who is authorized to connect to RD Gateways. Политики авторизации ресурсов удаленных рабочих столов определяют сетевые ресурсы, например удаленные рабочие столы или удаленные приложения, к которым пользователь может подключаться с помощью шлюза удаленных рабочих столов.RD RAPs specify the network resources, such as remote desktops or remote apps, that the user is allowed to connect to through the RD Gateway.

Шлюз удаленных рабочих столов можно настроить для использования центрального хранилища политик авторизации подключений к удаленным рабочим столам.An RD Gateway can be configured to use a central policy store for RD CAPs. Политики авторизации ресурсов удаленных рабочих столов не могут использовать центральное хранилище политик, так как они обрабатываются на шлюзе удаленных рабочих столов.RD RAPs cannot use a central policy, as they are processed on the RD Gateway. В качестве примера шлюза удаленных рабочих столов, настроенного для использования центрального хранилища политик авторизации подключений к удаленным рабочим столам, можно привести клиент RADIUS на другом NPS-сервере, который выступает в качестве центрального хранилища политик.An example of an RD Gateway configured to use a central policy store for RD CAPs is a RADIUS client to another NPS server that serves as the central policy store.

Когда расширение NPS интегрировано с сервером политики сети и шлюзом удаленных рабочих столов, поток успешной аутентификации выглядит следующим образом.When the NPS extension for Azure is integrated with the NPS and Remote Desktop Gateway, the successful authentication flow is as follows:

  1. Сервер шлюза удаленных рабочих столов получает запрос на аутентификацию от пользователя удаленного рабочего стола для подключения к ресурсу (например, к сеансу удаленного рабочего стола).The Remote Desktop Gateway server receives an authentication request from a remote desktop user to connect to a resource, such as a Remote Desktop session. Выступая в качестве клиента RADIUS, сервер шлюза удаленных рабочих столов преобразовывает запрос в сообщение Access-Request RADIUS и отправляет его на сервер RADIUS (NPS), на котором установлено расширение NPS.Acting as a RADIUS client, the Remote Desktop Gateway server converts the request to a RADIUS Access-Request message and sends the message to the RADIUS (NPS) server where the NPS extension is installed.
  2. Сочетание имени пользователя и пароля проверяется в Active Directory, после чего пользователь аутентифицируется.The username and password combination is verified in Active Directory and the user is authenticated.
  3. Если выполнены все условия, указанные в запросе на подключение NPS и политиках сети (например, ограничение времени дня или членства в группах), расширение NPS активирует запрос дополнительной аутентификации с помощью Azure MFA.If all the conditions as specified in the NPS Connection Request and the Network Policies are met (for example, time of day or group membership restrictions), the NPS extension triggers a request for secondary authentication with Azure MFA.
  4. Служба Azure MFA обращается к Azure AD, получает сведения о пользователе и выполняет дополнительную аутентификацию с помощью одного из поддерживаемых методов.Azure MFA communicates with Azure AD, retrieves the user’s details, and performs the secondary authentication using supported methods.
  5. После успешного прохождения Многофакторной идентификации служба Azure MFA передает результат в расширение NPS.Upon success of the MFA challenge, Azure MFA communicates the result to the NPS extension.
  6. NPS-сервер, на котором установлено расширение NPS, отправляет сообщение Access-Accept RADIUS для политики авторизации подключений к удаленным рабочим столам на сервер шлюза удаленных рабочих столов.The NPS server, where the extension is installed, sends a RADIUS Access-Accept message for the RD CAP policy to the Remote Desktop Gateway server.
  7. Пользователю предоставляется доступ к запрошенному сетевому ресурсу через шлюз удаленных рабочих столов.The user is granted access to the requested network resource through the RD Gateway.

Предварительные требованияPrerequisites

В этом разделе описаны предварительные условия, которые необходимо выполнить для интеграции Azure MFA и шлюза удаленных рабочих столов.This section details the prerequisites necessary before integrating Azure MFA with the Remote Desktop Gateway. Прежде чем приступить к работе, следует подготовить приведенные ниже необходимые компоненты:Before you begin, you must have the following prerequisites in place.

  • инфраструктура служб удаленных рабочих столов (RDS);Remote Desktop Services (RDS) infrastructure
  • лицензия Azure MFA;Azure MFA License
  • программное обеспечение Windows Server;Windows Server software
  • роль "Службы политики сети и доступа" (NPS);Network Policy and Access Services (NPS) role
  • Синхронизация Azure Active Directory с локальной службой Active DirectoryAzure Active Directory synched with on-premises Active Directory
  • идентификатор GUID Azure Active Directory.Azure Active Directory GUID ID

Инфраструктура служб удаленных рабочих столов (RDS)Remote Desktop Services (RDS) infrastructure

Необходима рабочая инфраструктура служб удаленных рабочих столов (RDS).You must have a working Remote Desktop Services (RDS) infrastructure in place. Если этого не сделать, вы можете быстро создать эту инфраструктуру в Azure, используя следующий шаблон быстрого запуска: Create Remote Desktop Session Collection deployment (Создание развертывания коллекции ресурсов для сеансов подключения к удаленным рабочим столам).If you do not, then you can quickly create this infrastructure in Azure using the following quickstart template: Create Remote Desktop Session Collection deployment.

Если вы хотите быстро вручную создать локальную инфраструктуру служб удаленных рабочих столов для тестирования, выполните соответствующие инструкции.If you wish to manually create an on-premises RDS infrastructure quickly for testing purposes, follow the steps to deploy one. Дополнительные сведения. Развертывание службы RDS с помощью быстрого развертывания Azure и базовой инфраструктуры RDS.Learn more: Deploy RDS with Azure quickstart and Basic RDS infrastructure deployment.

лицензия Azure MFA;Azure MFA License

Требуется лицензия для Azure MFA, которая предоставляется в составе Azure AD Premium или других пакетов, содержащих эту лицензию.Required is a license for Azure MFA, which is available through Azure AD Premium or other bundles that include it. Лицензии на основе потребления Azure MFA, такие как лицензии на пользователя или лицензии на аутентификацию, несовместимы с расширением NPS.Consumption-based licenses for Azure MFA, such as per user or per authentication licenses, are not compatible with the NPS extension. Дополнительные сведения см. в разделе Как получить службу Многофакторной идентификации Azure.For more information, see How to get Azure Multi-Factor Authentication. Для тестирования можно использовать пробную подписку.For testing purposes, you can use a trial subscription.

программное обеспечение Windows Server;Windows Server software

Для работы расширения NPS требуется Windows Server 2008 R2 с пакетом обновления 1 (SP1) или более поздней версии с установленной службой роли NPS.The NPS extension requires Windows Server 2008 R2 SP1 or above with the NPS role service installed. Все действия в этом разделе были выполнены с помощью Windows Server 2016.All the steps in this section were performed using Windows Server 2016.

Роль "Службы политики сети и доступа" (NPS)Network Policy and Access Services (NPS) role

Служба роли NPS предоставляет функциональные возможности сервера и клиента RADIUS, а также службу работоспособности NAP.The NPS role service provides the RADIUS server and client functionality as well as Network Access Policy health service. Эту роль необходимо установить как минимум на двух компьютерах в инфраструктуре: на шлюзе удаленных рабочих столов и на еще одном рядовом сервере или контроллере домена.This role must be installed on at least two computers in your infrastructure: The Remote Desktop Gateway and another member server or domain controller. По умолчанию эта роль уже существует на компьютере, который настроен в качестве шлюза удаленных рабочих столов.By default, the role is already present on the computer configured as the Remote Desktop Gateway. Необходимо также установить роль NPS по крайней мере еще на одном компьютере, например контроллере домена или рядовом сервере.You must also install the NPS role on at least on another computer, such as a domain controller or member server.

Дополнительные сведения об установке службы роли NPS на компьютер под управлением Windows Server 2012 или более ранней версии см. в разделе Install a NAP Health Policy Server (Установка сервера политики работоспособности NAP).For information on installing the NPS role service Windows Server 2012 or older, see Install a NAP Health Policy Server. Описание рекомендаций для сервера политики сети, включая рекомендации по установке сервера политики сети на контроллер домена, см. в разделе Best Practices for NPS (Рекомендации для сервера политики сети).For a description of best practices for NPS, including the recommendation to install NPS on a domain controller, see Best Practices for NPS.

Синхронизация Azure Active Directory с локальной службой Active DirectoryAzure Active Directory synched with on-premises Active Directory

Для использования расширения NPS локальные пользователи должны быть синхронизированы с Azure AD и настроены для использования Многофакторной идентификации.To use the NPS extension, on-premises users must be synced with Azure AD and enabled for MFA. В этом разделе предполагается, что синхронизация локальных пользователей с Azure AD выполнена с помощью AD Connect.This section assumes that on-premises users are synched with Azure AD using AD Connect. Дополнительные сведения про Azure AD Connect см. в статье Выборочная установка Azure AD Connect.For information on Azure AD connect, see Integrate your on-premises directories with Azure Active Directory.

идентификатор GUID Azure Active Directory.Azure Active Directory GUID ID

Чтобы установить расширение NPS, необходимо знать идентификатор GUID Azure AD.To install NPS extension, you need to know the GUID of the Azure AD. Ниже приведены инструкции по поиску идентификатора GUID Azure AD.Instructions for finding the GUID of the Azure AD are provided below.

Настройка Многофакторной идентификацииConfigure Multi-Factor Authentication

Этот раздел содержит инструкции по интеграции Azure MFA со шлюзом удаленных рабочих столов.This section provides instructions for integrating Azure MFA with the Remote Desktop Gateway. В качестве администратора необходимо настроить службу Azure MFA, прежде чем пользователи смогут самостоятельно регистрировать свои устройства или приложений для Многофакторной идентификации.As an administrator, you must configure the Azure MFA service before users can self-register their multi-factor devices or applications.

Следуйте указаниям в разделе Приступая к работе со службой Многофакторной идентификации Azure в облаке, чтобы включить MFA для пользователей Azure AD.Follow the steps in Getting started with Azure Multi-Factor Authentication in the cloud to enable MFA for your Azure AD users.

Настройка учетных записей для двухфакторной проверки подлинностиConfigure accounts for two-step verification

После включения MFA для учетной записи вы не сможете выполнить вход для доступа к ресурсам, управляемым политикой MFA, пока не настроите доверенное устройство для второго фактора аутентификации и не пройдете двухфакторную проверку подлинности.Once an account has been enabled for MFA, you cannot sign in to resources governed by the MFA policy until you have successfully configured a trusted device to use for the second authentication factor and have authenticated using two-step verification.

Следуйте указаниям в разделе Что для меня означает Многофакторная идентификация Azure, чтобы понять процедуру и правильно настроить устройства для Многофакторной идентификации с помощью своей учетной записи пользователя.Follow the steps in What does Azure Multi-Factor Authentication mean for me? to understand and properly configure your devices for MFA with your user account.

Установка и настройка расширения NPSInstall and configure NPS extension

Этот раздел содержит инструкции по настройке инфраструктуры служб удаленных рабочих столов для использования Azure MFA для аутентификации клиентов с помощью шлюза удаленных рабочих столов.This section provides instructions for configuring RDS infrastructure to use Azure MFA for client authentication with the Remote Desktop Gateway.

Получение идентификатора GUID Azure Active DirectoryAcquire Azure Active Directory GUID ID

При настройке расширения NPS необходимо ввести учетные данные администратора и идентификатор Azure AD для клиента Azure AD.As part of the configuration of the NPS extension, you need to supply admin credentials and the Azure AD ID for your Azure AD tenant. Ниже описывается, как получить идентификатор клиента.The following steps show you how to get the tenant ID.

  1. Войдите на портал Azure как глобальный администратор клиента Azure.Sign in to the Azure portal as the global administrator of the Azure tenant.

  2. В области навигации слева щелкните значок Azure Active Directory.In the left navigation, select the Azure Active Directory icon.

  3. Выберите Свойства.Select Properties.

  4. В колонке "Свойства" рядом с идентификатором каталога щелкните значок Копировать, как показано ниже, чтобы скопировать идентификатор в буфер обмена.In the Properties blade, beside the Directory ID, click the Copy icon, as shown below, to copy the ID to clipboard.

    Получение идентификатора каталога из портал Azure

Установка расширения NPSInstall the NPS extension

Установите расширение NPS на сервер, на котором установлена роль "Службы политики сети и доступа" (NPS).Install the NPS extension on a server that has the Network Policy and Access Services (NPS) role installed. Он выполняет роль сервера RADIUS в нашей инфраструктуре.This functions as the RADIUS server for your design.

Важно!

Не следует устанавливать расширение NPS на сервер шлюза удаленных рабочих столов.Be sure you do not install the NPS extension on your Remote Desktop Gateway server.

  1. Скачайте расширение NPS.Download the NPS extension.
  2. Скопируйте исполняемый установочный файл (NpsExtnForAzureMfaInstaller.exe) на NPS-сервер.Copy the setup executable file (NpsExtnForAzureMfaInstaller.exe) to the NPS server.
  3. На NPS-сервере дважды щелкните файл NpsExtnForAzureMfaInstaller.exe.On the NPS server, double-click NpsExtnForAzureMfaInstaller.exe. При появлении запроса щелкните Запустить.If prompted, click Run.
  4. В диалоговом окне "NPS Extension For Azure MFA Setup" (Установка расширения NPS для Azure MFA) ознакомьтесь с условиями лицензии на программное обеспечение, установите флажок Я подтверждаю согласие с условиями лицензии и нажмите кнопку Установить.In the NPS Extension For Azure MFA Setup dialog box, review the software license terms, check I agree to the license terms and conditions, and click Install.
  5. В диалоговом окне "NPS Extension For Azure MFA Setup" (Установка расширения NPS для Azure MFA) нажмите кнопку Закрыть.In the NPS Extension For Azure MFA Setup dialog box, click Close.

Настройка сертификатов для расширения NPS с помощью сценария PowerShellConfigure certificates for use with the NPS extension using a PowerShell script

Далее необходимо настроить сертификаты для расширения NPS, чтобы обеспечить безопасную связь и контроль.Next, you need to configure certificates for use by the NPS extension to ensure secure communications and assurance. Компоненты NPS включают в себя сценарий Windows PowerShell, предназначенный для настройки самозаверяющего сертификата для сервера политики сети.The NPS components include a Windows PowerShell script that configures a self-signed certificate for use with NPS.

Этот сценарий выполняет следующие действия:The script performs the following actions:

  • создает самозаверяющий сертификат;Creates a self-signed certificate
  • связывает открытый ключ сертификата с субъектом-службой в Azure AD;Associates public key of certificate to service principal on Azure AD
  • сохраняет сертификат в хранилище на локальном компьютере;Stores the cert in the local machine store
  • предоставляет сетевому пользователю доступ к закрытому ключу сертификата;Grants access to the certificate’s private key to the network user
  • перезапускает службу сервера политики сети.Restarts Network Policy Server service

Если вы хотите использовать собственные сертификаты, необходимо привязать открытый ключ сертификата к субъекту-службе в Azure AD и т. д.If you want to use your own certificates, you need to associate the public key of your certificate to the service principal on Azure AD, and so on.

Чтобы использовать этот сценарий, укажите в расширении свои учетные данные администратора Azure AD и идентификатор клиента Azure AD, скопированный ранее.To use the script, provide the extension with your Azure AD Admin credentials and the Azure AD tenant ID that you copied earlier. Запустите сценарий на каждом NPS-сервере, на котором установлено расширение NPS.Run the script on each NPS server where you installed the NPS extension. После этого выполните описанные ниже действия.Then do the following:

  1. Откройте командную строку Windows PowerShell с правами администратора.Open an administrative Windows PowerShell prompt.

  2. В командной строке PowerShell введите cd ‘c:\Program Files\Microsoft\AzureMfa\Config’ и нажмите клавишу ВВОД.At the PowerShell prompt, type cd ‘c:\Program Files\Microsoft\AzureMfa\Config’, and press ENTER.

  3. Введите .\AzureMfaNpsExtnConfigSetup.ps1 и нажмите клавишу ВВОД.Type .\AzureMfaNpsExtnConfigSetup.ps1, and press ENTER. Сценарий проверяет, установлен ли модуль Azure Active Directory для PowerShell.The script checks to see if the Azure Active Directory PowerShell module is installed. Если он не установлен, сценарий автоматически установит этот модуль.If not installed, the script installs the module for you.

    Запуск Азуремфанпсекстнконфигсетуп. ps1 в Azure AD PowerShell

  4. Проверив установку модуля PowerShell, сценарий отображает диалоговое окно модуля Azure Active Directory для PowerShell.After the script verifies the installation of the PowerShell module, it displays the Azure Active Directory PowerShell module dialog box. В этом диалоговом окне введите учетные данные администратора Azure AD и пароль, затем щелкните Вход.In the dialog box, enter your Azure AD admin credentials and password, and click Sign In.

    Проверка подлинности в Azure AD в PowerShell

  5. При появлении запроса вставьте идентификатор каталога, скопированный ранее в буфер обмена, и нажмите клавишу Ввод.When prompted, paste the Directory ID you copied to the clipboard earlier, and press ENTER.

    Вывод идентификатора каталога в PowerShell

  6. Этот сценарий создает самозаверяющий сертификат и выполняет другие изменения конфигурация.The script creates a self-signed certificate and performs other configuration changes. На рисунке ниже показан пример выходных данных.The output should be like the image shown below.

    Выходные данные PowerShell, отображающие самозаверяющий сертификат

Настройка компонентов NPS на шлюзе удаленных рабочих столовConfigure NPS components on Remote Desktop Gateway

В этом разделе описывается настройка политик авторизации подключений к шлюзу удаленных рабочих столов и других параметров RADIUS.In this section, you configure the Remote Desktop Gateway connection authorization policies and other RADIUS settings.

Поток проверки подлинности требует обмена сообщениями RADIUS между шлюзом удаленный рабочий стол и сервером политики сети, на котором установлено расширение NPS.The authentication flow requires that RADIUS messages be exchanged between the Remote Desktop Gateway and the NPS server where the NPS extension is installed. Это означает, что необходимо настроить параметры клиента RADIUS на шлюзе удаленных рабочих столов и NPS-сервере, на котором установлено расширение NPS.This means that you must configure RADIUS client settings on both Remote Desktop Gateway and the NPS server where the NPS extension is installed.

Настройка политик авторизации подключений к шлюзу удаленных рабочих столов для использования центрального хранилищаConfigure Remote Desktop Gateway connection authorization policies to use central store

Политики авторизации подключений к удаленным рабочим столам определяют требования для подключения к серверу шлюза удаленных рабочих столов.Remote Desktop connection authorization policies (RD CAPs) specify the requirements for connecting to a Remote Desktop Gateway server. Эти политики могут сохраняться локально (по умолчанию) или в центральном хранилище, в котором выполняется сервер политики сети.RD CAPs can be stored locally (default) or they can be stored in a central RD CAP store that is running NPS. Чтобы настроить интеграцию Azure MFA со службами удаленных рабочих столов, необходимо задать использование центрального хранилища.To configure integration of Azure MFA with RDS, you need to specify the use of a central store.

  1. На сервере шлюза удаленных рабочих столов откройте диспетчер сервера.On the RD Gateway server, open Server Manager.

  2. В меню щелкните Средства, наведите указатель мыши на пункт Службы удаленных рабочих столов, а затем щелкните Диспетчер шлюза удаленных рабочих столов.On the menu, click Tools, point to Remote Desktop Services, and then click Remote Desktop Gateway Manager.

  3. В диспетчере шлюза удаленных рабочих столов щелкните правой кнопкой мыши [имя сервера] (локальный) и выберите Свойства.In the RD Gateway Manager, right-click [Server Name] (Local), and click Properties.

  4. В диалоговом окне "Свойства" выберите вкладку Хранилище политики авторизации подключений к удаленным рабочим столам.In the Properties dialog box, select the RD CAP Store tab.

  5. На вкладке "Хранилище политики авторизации подключений к удаленным рабочим столам" выберите Центральный сервер политики сети.On the RD CAP Store tab, select Central server running NPS.

  6. В поле Введите имя или IP-адрес сервера политики сети введите IP-адрес или имя сервера, на котором установлено расширение NPS.In the Enter a name or IP address for the server running NPS field, type the IP address or server name of the server where you installed the NPS extension.

    Введите имя или IP-адрес сервера NPS

  7. Нажмите кнопку Добавить.Click Add.

  8. В диалоговом окне Общий секрет введите общий секрет и нажмите кнопку ОК.In the Shared Secret dialog box, enter a shared secret, and then click OK. Обязательно запишите этот общий секрет и сохраните в безопасном месте.Ensure you record this shared secret and store the record securely.

    Примечание

    Он используется для установления доверия между серверами и клиентами RADIUS.Shared secret is used to establish trust between the RADIUS servers and clients. Создайте длинный и сложный секрет.Create a long and complex secret.

    Создание общего секрета для установления доверия

  9. Нажмите кнопку ОК, чтобы закрыть диалоговое окно.Click OK to close the dialog box.

Настройка значения времени ожидания RADIUS на сервере политики сети шлюза удаленных рабочих столовConfigure RADIUS timeout value on Remote Desktop Gateway NPS

Чтобы обеспечить достаточно времени для проверки учетных данных пользователей, двухфакторной проверки подлинности, получения ответов и реагирования на сообщения RADIUS, необходимо настроить значение времени ожидания RADIUS.To ensure there is time to validate users’ credentials, perform two-step verification, receive responses, and respond to RADIUS messages, it is necessary to adjust the RADIUS timeout value.

  1. На сервере шлюза удаленных рабочих столов откройте диспетчер сервера.On the RD Gateway server, open Server Manager. В меню щелкните Средства, а затем щелкните Сервер политики сети.On the menu, click Tools, and then click Network Policy Server.

  2. В консоли Сервер сетевых политик (локальный) разверните элемент RADIUS-клиенты и серверы и выберите Remote RADIUS Server (Удаленный сервер RADIUS).In the NPS (Local) console, expand RADIUS Clients and Servers, and select Remote RADIUS Server.

    Консоль управления сервером политики сети, показывающая удаленный сервер RADIUS

  3. В области сведений дважды щелкните TS GATEWAY SERVER GROUP (Группа серверов шлюза службы терминалов).In the details pane, double-click TS GATEWAY SERVER GROUP.

    Примечание

    Данная группа серверов RADIUS была создана при настройке центрального сервера для политик NPS.This RADIUS Server Group was created when you configured the central server for NPS policies. Шлюз удаленных рабочих столов перенаправляет сообщения RADIUS на этот сервер или в группу серверов, если серверов в группе несколько.The RD Gateway forwards RADIUS messages to this server or group of servers, if more than one in the group.

  4. В диалоговом окне TS GATEWAY SERVER GROUP Properties (Свойства группы серверов шлюза службы терминалов) выберите IP-адрес или имя NPS-сервера, настроенного для хранения политик авторизации подключений к удаленным рабочим столам, а затем нажмите кнопку Изменить.In the TS GATEWAY SERVER GROUP Properties dialog box, select the IP address or name of the NPS server you configured to store RD CAPs, and then click Edit.

    Выберите IP-адрес или имя сервера NPS, настроенного ранее

  5. В диалоговом окне Изменение сервера RADIUS выберите вкладку Балансировка нагрузки.In the Edit RADIUS Server dialog box, select the Load Balancing tab.

  6. На вкладке Балансировка нагрузки в поле Число секунд без ответа, после которого запрос считается отброшенным измените значение по умолчанию, равное 3, на значение в диапазоне от 30 до 60 секунд.In the Load Balancing tab, in the Number of seconds without response before request is considered dropped field, change the default value from 3 to a value between 30 and 60 seconds.

  7. В поле Число секунд между запросами, после которого сервер считается недоступным измените значение по умолчанию, равное 30 секундам, на значение, которое равно или больше значения, указанного на предыдущем шаге.In the Number of seconds between requests when server is identified as unavailable field, change the default value of 30 seconds to a value that is equal to or greater than the value you specified in the previous step.

    Изменение параметров времени ожидания сервера RADIUS на вкладке "Балансировка нагрузки"

  8. Дважды нажмите кнопку ОК, чтобы закрыть диалоговые окна.Click OK two times to close the dialog boxes.

Проверка политик запросов на подключениеVerify Connection Request Policies

По умолчанию при настройке шлюза удаленных рабочих столов для использования центрального хранилища для политик авторизации подключений шлюз удаленных рабочих столов перенаправляет запросы политик авторизации подключений на NPS-сервер.By default, when you configure the RD Gateway to use a central policy store for connection authorization policies, the RD Gateway is configured to forward CAP requests to the NPS server. NPS-сервер, на котором установлено расширение Azure MFA, обрабатывает запрос на доступ RADIUS.The NPS server with the Azure MFA extension installed, processes the RADIUS access request. Ниже показано, как проверить политику запросов на подключение по умолчанию.The following steps show you how to verify the default connection request policy.

  1. На шлюзе удаленных рабочих столов в консоли "Сервер сетевых политик (локальный)" разверните элемент Политики и выберите Политики запросов на подключение.On the RD Gateway, in the NPS (Local) console, expand Policies, and select Connection Request Policies.

  2. Дважды щелкните TS GATEWAY AUTHORIZATION POLICY (Политика аутентификации шлюза службы терминалов).Double-click TS GATEWAY AUTHORIZATION POLICY.

  3. В диалоговом окне TS GATEWAY AUTHORIZATION POLICY properties (Свойства политики авторизации шлюза службы терминалов) щелкните вкладку Параметры.In the TS GATEWAY AUTHORIZATION POLICY properties dialog box, click the Settings tab.

  4. На вкладке Параметры в разделе "Пересылка запроса на подключение" щелкните Проверка подлинности.On Settings tab, under Forwarding Connection Request, click Authentication. Клиент RADIUS настроен для пересылки запросов на аутентификацию.RADIUS client is configured to forward requests for authentication.

    Настройка параметров проверки подлинности, указывающих группу серверов

  5. Нажмите кнопку Отмена.Click Cancel.

Настройка компонентов NPS на сервере, на котором установлено расширение NPSConfigure NPS on the server where the NPS extension is installed

NPS-сервер, на котором установлено расширение NPS, должен иметь возможность обмениваться сообщениями RADIUS с NPS-сервером в шлюзе удаленных рабочих столов.The NPS server where the NPS extension is installed needs to be able to exchange RADIUS messages with the NPS server on the Remote Desktop Gateway. Чтобы обеспечить этот обмен сообщениями, необходимо настроить компоненты NPS на сервере, на котором установлена служба расширения NPS.To enable this message exchange, you need to configure the NPS components on the server where the NPS extension service is installed.

Регистрация сервера в Active DirectoryRegister Server in Active Directory

Для правильной работы в этом сценарии NPS-сервер должен быть зарегистрирован в Active Directory.To function properly in this scenario, the NPS server needs to be registered in Active Directory.

  1. На NPS-сервере откройте диспетчер сервера.On the NPS server, open Server Manager.

  2. В диспетчере сервера щелкните Средства, а затем щелкните Сервер политики сети.In Server Manager, click Tools, and then click Network Policy Server.

  3. В консоли сервера политики сети щелкните правой кнопкой мыши Сервер сетевых политик (локальный) , а затем щелкните Зарегистрировать сервер в Active Directory.In the Network Policy Server console, right-click NPS (Local), and then click Register server in Active Directory.

  4. Дважды нажмите кнопку ОК.Click OK two times.

    Регистрация сервера NPS в Active Directory

  5. Оставьте консоль открытой для выполнения следующей процедуры.Leave the console open for the next procedure.

Создание и настройка клиента RADIUSCreate and configure RADIUS client

Шлюз удаленных рабочих столов необходимо настроить как клиент RADIUS на NPS-сервере.The Remote Desktop Gateway needs to be configured as a RADIUS client to the NPS server.

  1. На NPS-сервере, на котором установлено расширение NPS, в консоли Сервер сетевых политик (локальный) щелкните правой кнопкой мыши RADIUS-клиенты и выберите Создать.On the NPS server where the NPS extension is installed, in the NPS (Local) console, right-click RADIUS Clients and click New.

    Создание нового RADIUS-клиента в консоли NPS

  2. В диалоговом окне Новый RADIUS-клиент введите понятное имя, например Шлюз, и IP-адрес или DNS-имя сервера шлюза удаленных рабочих столов.In the New RADIUS Client dialog box, provide a friendly name, such as Gateway, and the IP address or DNS name of the Remote Desktop Gateway server.

  3. В полях Общий секрет и Подтвердите общий секрет введите тот же секрет, который использовался ранее.In the Shared secret and the Confirm shared secret fields, enter the same secret that you used before.

    Настройте понятное имя и IP-адрес или DNS-сервер.

  4. Нажмите кнопку ОК, чтобы закрыть диалоговое окно "Новый RADIUS-клиент".Click OK to close the New RADIUS Client dialog box.

Настройка политики сетиConfigure Network Policy

Как вы помните, NPS-сервер с расширением Azure MFA был назначен центральным хранилищем для политики авторизации подключений.Recall that the NPS server with the Azure MFA extension is the designated central policy store for the Connection Authorization Policy (CAP). Поэтому необходимо внедрить политику авторизации подключений на NPS-сервере для авторизации допустимых запросов на подключение.Therefore, you need to implement a CAP on the NPS server to authorize valid connections requests.

  1. На NPS-сервере откройте консоль "Сервер сетевых политик (локальный)", разверните элемент Политики и щелкните Сетевые политики.On the NPS Server, open the NPS (Local) console, expand Policies, and click Network Policies.

  2. Щелкните правой кнопкой мыши Подключения к другим серверам доступа и щелкните Повторяющаяся политика.Right-click Connections to other access servers, and click Duplicate Policy.

    Дублирование подключения к другим политикам серверов доступа

  3. Щелкните правой кнопкой мыши Copy of Connections to other access servers (Копия политики подключения к другим серверам доступа) и щелкните Свойства.Right-click Copy of Connections to other access servers, and click Properties.

  4. В диалоговом окне Copy of Connections to other access servers (Копировать подключения к другим серверам доступа) в поле Имя политики введите подходящее имя, например RDG_CAP.In the Copy of Connections to other access servers dialog box, in Policy name, enter a suitable name, such as RDG_CAP. Установите флажок Политика включена и щелкните Разрешить доступ.Check Policy enabled, and select Grant access. При необходимости в разделе Тип сервера доступа к сети выберите Шлюз удаленных рабочих столов или оставьте значение Не указано.Optionally, in Type of network access server, select Remote Desktop Gateway, or you can leave it as Unspecified.

    Назовите политику, включите и предоставьте доступ.

  5. Щелкните вкладку Ограничения и установите флажок Разрешить подключение клиентов без согласования метода проверки подлинности.Click the Constraints tab, and check Allow clients to connect without negotiating an authentication method.

    Изменение методов проверки подлинности, чтобы разрешить клиентам подключаться

  6. При необходимости щелкните вкладку Условия и добавьте условия, которые должны быть выполнены для авторизации подключения, например членство в определенной группе Windows.Optionally, click the Conditions tab and add conditions that must be met for the connection to be authorized, for example, membership in a specific Windows group.

    При необходимости укажите условия подключения

  7. Нажмите кнопку ОК.Click OK. При появлении предложения просмотреть соответствующий раздел справки нажмите кнопку Нет.When prompted to view the corresponding Help topic, click No.

  8. Убедитесь, что новая политика находится вверху списка, включена и предоставляет доступ.Ensure that your new policy is at the top of the list, that the policy is enabled, and that it grants access.

    Перемещение политики в начало списка

Проверка конфигурацииVerify configuration

Чтобы проверить конфигурацию, необходимо войти на шлюз удаленных рабочих столов с помощью подходящего клиента RDP.To verify the configuration, you need to sign in to the Remote Desktop Gateway with a suitable RDP client. Обязательно используйте учетную запись, которая разрешена вашими политиками авторизации подключений и для которой включена Многофакторная идентификация Azure.Be sure to use an account that is allowed by your Connection Authorization Policies and is enabled for Azure MFA.

Как показано на рисунке ниже, вы можете использовать страницу Веб-доступ к удаленным рабочим столам.As show in the image below, you can use the Remote Desktop Web Access page.

Тестирование в удаленный рабочий стол Веб-доступ

После успешного ввода учетных данных для основной аутентификации в диалоговом окне подключения к удаленному рабочему столу отобразится состояние "Инициализация удаленного подключения", как показано ниже.Upon successfully entering your credentials for primary authentication, the Remote Desktop Connect dialog box shows a status of Initiating remote connection, as shown below.

После успешного прохождения дополнительной аутентификации, настроенной ранее в Azure MFA, вы будете подключены к ресурсу.If you successfully authenticate with the secondary authentication method you previously configured in Azure MFA, you are connected to the resource. Однако если вы не пройдете дополнительную аутентификацию, доступ к ресурсу будет запрещен.However, if the secondary authentication is not successful, you are denied access to the resource.

подключение к удаленному рабочему столу инициализации удаленного подключения

В следующем примере приложение Authenticator в Windows Phone используется для дополнительной аутентификации.In the example below, the Authenticator app on a Windows phone is used to provide the secondary authentication.

Пример Windows Phone приложения проверки подлинности, показывающего проверку

После успешного прохождения дополнительной аутентификации вы вошли в шлюз удаленных рабочих столов в обычном режиме.Once you have successfully authenticated using the secondary authentication method, you are logged into the Remote Desktop Gateway as normal. Однако, поскольку требуется использовать дополнительный метод проверки подлинности с помощью мобильного приложения на доверенном устройстве, процесс входа более безопасен, чем в противном случае.However, because you are required to use a secondary authentication method using a mobile app on a trusted device, the sign in process is more secure than it would be otherwise.

Просмотр событий успешного входа в журналах службы "Просмотр событий"View Event Viewer logs for successful logon events

Чтобы просмотреть события успешного входа в журналах службы "Просмотр событий" Windows, можно выполнить приведенную команду Windows PowerShell, которая запрашивает журналы служб терминалов Windows и журналы безопасности Windows.To view the successful sign-in events in the Windows Event Viewer logs, you can issue the following Windows PowerShell command to query the Windows Terminal Services and Windows Security logs.

Чтобы запросить события успешного входа из операционных журналов шлюза (Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-Gateway\Operational) , используйте следующие команды PowerShell.To query successful sign-in events in the Gateway operational logs (Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-Gateway\Operational), use the following PowerShell commands:

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '300'} | FL
  • Эта команда отображает события Windows, в которых пользователь выполнил требования политики авторизации ресурсов удаленных рабочих столов и получил доступ.This command displays Windows events that show the user met resource authorization policy requirements (RD RAP) and was granted access.

Просмотр событий с помощью PowerShell

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '200'} | FL
  • Эта команда отображает события, в которых пользователь выполнил требования политики авторизации подключений.This command displays the events that show when user met connection authorization policy requirements.

Просмотр политики авторизации подключений с помощью PowerShell

Можно также просмотреть этот журнал и отфильтровать информацию по идентификаторам событий, 300 и 200.You can also view this log and filter on event IDs, 300 and 200. Чтобы запросить события успешного входа из журналов безопасности службы "Просмотр событий", используйте следующую команду.To query successful logon events in the Security event viewer logs, use the following command:

  • Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL
  • Эта команда может выполняться на центральном NPS-сервере или сервере шлюза удаленных рабочих столов.This command can be run on either the central NPS or the RD Gateway Server.

Примеры успешных событий входа

Можно также просмотреть настраиваемое представление журналов безопасности или служб политики сети и доступа, как показано ниже.You can also view the Security log or the Network Policy and Access Services custom view, as shown below:

Службы политики сети и доступа Просмотр событий

На сервере с расширением NPS для Azure MFA можно найти журналы приложений службы "Просмотр событий", относящиеся к расширению: Application and Services Logs\Microsoft\AzureMfa.On the server where you installed the NPS extension for Azure MFA, you can find Event Viewer application logs specific to the extension at Application and Services Logs\Microsoft\AzureMfa.

Журналы приложения Просмотр событий AuthZ

Руководство по устранению неполадокTroubleshoot Guide

Если конфигурация не работает должным образом, то в первую очередь нужно убедиться, что пользователь настроен для использования Azure MFA.If the configuration is not working as expected, the first place to start to troubleshoot is to verify that the user is configured to use Azure MFA. Подключите пользователя к порталу Azure.Have the user connect to the Azure portal. Если пользователю предлагается дополнительная проверка и он может успешно пройти аутентификацию, то можно исключить ошибку в конфигурации Azure MFA.If users are prompted for secondary verification and can successfully authenticate, you can eliminate an incorrect configuration of Azure MFA.

Если пользователи успешно используют Azure MFA, следует изучить соответствующие журналы событий.If Azure MFA is working for the user(s), you should review the relevant Event logs. К ним относятся журналы событий безопасности, операционные журналы шлюза и журналы Azure MFA, рассмотренные в предыдущем разделе.These include the Security Event, Gateway operational, and Azure MFA logs that are discussed in the previous section.

Ниже приведен пример выходных данных журнала безопасности, содержащих событие неудачного входа (идентификатор события 6273).Below is an example output of Security log showing a failed logon event (Event ID 6273).

Пример события сбоя входа в систему

Ниже приведено связанное событие из журналов Azure MFA.Below is a related event from the AzureMFA logs:

Пример входа Azure MFA в Просмотр событий

Чтобы расширить возможности устранения неполадок, просмотрите файлы журнала в формате базы данных NPS в расположении, в котором установлена служба NPS.To perform advanced troubleshoot options, consult the NPS database format log files where the NPS service is installed. Эти файлы журналов создаются в папке %SystemRoot%\System32\Logs в виде файлов с разделителями-запятыми.These log files are created in %SystemRoot%\System32\Logs folder as comma-delimited text files.

Описание этих файлов журнала см. в разделе Interpret NPS Database Format Log Files (Интерпретация файлов журнала в формате базы данных NPS).For a description of these log files, see Interpret NPS Database Format Log Files. Записи в этих файлах журнала может быть сложно интерпретировать, не импортировав их в электронную таблицу или базу данных.The entries in these log files can be difficult to interpret without importing them into a spreadsheet or a database. Помочь в интерпретации файлов журнала могут несколько средств синтаксического анализа IAS в Интернете.You can find several IAS parsers online to assist you in interpreting the log files.

На рисунке ниже показаны выходные данные одной из таких скачиваемых условно бесплатных программ.The image below shows the output of one such downloadable shareware application.

Пример средства синтаксического анализа IAS приложения для условно-бесплатных приложений

Наконец, чтобы еще больше расширить возможности устранения неполадок, можно использовать анализатор протокола, например Microsoft Message Analyzer.Finally, for additional troubleshoot options, you can use a protocol analyzer, such Microsoft Message Analyzer.

На рисунке ниже в Microsoft Message Analyzer показан сетевой трафик, отфильтрованный по протоколу RADIUS и содержащий имя пользователя CONTOSO\AliceC.The image below from Microsoft Message Analyzer shows network traffic filtered on RADIUS protocol that contains the user name CONTOSO\AliceC.

Анализатор сообщений Майкрософт, демонстрирующий отфильтрованный трафик

Следующие шагиNext steps

Как получить службу Многофакторной идентификации AzureHow to get Azure Multi-Factor Authentication

Шлюз удаленных рабочих столов и сервер Многофакторной идентификации Azure, использующие проверку подлинности RADIUSRemote Desktop Gateway and Azure Multi-Factor Authentication Server using RADIUS

Интеграция локальных каталогов с Azure Active DirectoryIntegrate your on-premises directories with Azure Active Directory