Integrera DIN VPN-infrastruktur med Microsoft Entra multifaktorautentisering med hjälp av servertillägget Network Policy Server för Azure

  • Artikel

Med NPS-tillägget (Network Policy Server) för Azure kan organisationer skydda RADIUS-klientautentisering (Remote Authentication Dial-In User Service) med hjälp av molnbaserad Microsoft Entra-multifaktorautentisering, vilket ger tvåstegsverifiering.

Den här artikeln innehåller instruktioner för att integrera NPS-infrastruktur med MFA med hjälp av NPS-tillägget för Azure. Den här processen möjliggör säker tvåstegsverifiering för användare som försöker ansluta till nätverket med hjälp av ett VPN.

Kommentar

Även om NPS MFA-tillägget stöder tidsbaserat engångslösenord (TOTP), gör vissa VPN-klienter som Windows VPN inte det. Kontrollera att DE VPN-klienter som du använder stöder TOTP som autentiseringsmetod innan du aktiverar det i NPS-tillägget.

Nätverksprinciper och åtkomsttjänster ger organisationer möjlighet att:

  • Tilldela en central plats för hantering och kontroll av nätverksbegäranden för att ange:

    • Vem kan ansluta

    • Vilka tider på dagen anslutningar tillåts

    • Varaktigheten för anslutningar

    • Den säkerhetsnivå som klienter måste använda för att ansluta

      I stället för att ange principer för varje VPN- eller fjärrskrivbordsgatewayserver gör du det när de är på en central plats. RADIUS-protokollet används för att tillhandahålla centraliserad autentisering, auktorisering och redovisning (AAA).

  • Upprätta och tillämpa NAP-klienthälsoprinciper (Network Access Protection) som avgör om enheter beviljas obegränsad eller begränsad åtkomst till nätverksresurser.

  • Ge ett sätt att framtvinga autentisering och auktorisering för åtkomst till 802.1x-kompatibla trådlösa åtkomstpunkter och Ethernet-växlar. Mer information finns i Nätverksprincipserver.

För att förbättra säkerheten och tillhandahålla en hög efterlevnadsnivå kan organisationer integrera NPS med Microsoft Entra multifaktorautentisering för att säkerställa att användarna använder tvåstegsverifiering för att ansluta till den virtuella porten på VPN-servern. För att användare ska beviljas åtkomst måste de ange sin kombination av användarnamn och lösenord och annan information som de kontrollerar. Den här informationen måste vara betrodd och inte enkelt dupliceras. Det kan innehålla ett mobiltelefonnummer, ett fast nummer eller ett program på en mobil enhet.

Om din organisation använder ett VPN och användaren är registrerad för en TOTP-kod tillsammans med authenticator-push-meddelanden kan användaren inte uppfylla MFA-utmaningen och fjärrinloggningen misslyckas. I så fall kan du ange OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE som återställning till push-meddelanden till Godkänn/Neka med Authenticator.

För att ett NPS-tillägg ska kunna fortsätta fungera för VPN-användare måste registernyckeln skapas på NPS-servern. Öppna registereditorn på NPS-servern. Gå till:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

Skapa följande sträng/värde-par:

Namn: OVERRIDE_NUMBER_MATCHING_WITH_OTP

Värde = FALSE

Innan NPS-tillägget för Azure var tillgängligt var kunder som ville implementera tvåstegsverifiering för integrerade NPS- och MFA-miljöer tvungna att konfigurera och underhålla en separat MFA-server i en lokal miljö. Den här typen av autentisering erbjuds av Fjärrskrivbordsgateway och Azure Multi-Factor Authentication Server med HJÄLP av RADIUS.

Med NPS-tillägget för Azure kan organisationer skydda RADIUS-klientautentisering genom att distribuera antingen en lokal MFA-lösning eller en molnbaserad MFA-lösning.

Autentiseringsflöde

När användarna ansluter till en virtuell port på en VPN-server måste de först autentisera med hjälp av en mängd olika protokoll. Protokollen tillåter användning av en kombination av användarnamn och lösenord och certifikatbaserade autentiseringsmetoder.

Förutom att autentisera och verifiera sin identitet måste användarna ha rätt uppringningsbehörigheter. I enkla implementeringar anges uppringningsbehörigheter som tillåter åtkomst direkt på Active Directory-användarobjekten.

Dial-in tab in Active Directory Users and Computers user properties

I enkla implementeringar beviljar eller nekar varje VPN-server åtkomst baserat på principer som definieras på varje lokal VPN-server.

I större och mer skalbara implementeringar centraliseras principerna som beviljar eller nekar VPN-åtkomst på RADIUS-servrar. I dessa fall fungerar VPN-servern som en åtkomstserver (RADIUS-klient) som vidarebefordrar anslutningsbegäranden och kontomeddelanden till en RADIUS-server. För att ansluta till den virtuella porten på VPN-servern måste användarna autentiseras och uppfylla de villkor som definieras centralt på RADIUS-servrar.

När NPS-tillägget för Azure är integrerat med NPS resulterar ett lyckat autentiseringsflöde på följande sätt:

  1. VPN-servern tar emot en autentiseringsbegäran från en VPN-användare som innehåller användarnamnet och lösenordet för att ansluta till en resurs, till exempel en fjärrskrivbordssession.
  2. Som RADIUS-klient konverterar VPN-servern begäran till ett RADIUS-meddelande för åtkomstbegäran och skickar den (med ett krypterat lösenord) till RADIUS-servern där NPS-tillägget är installerat.
  3. Kombinationen av användarnamn och lösenord verifieras i Active Directory. Om användarnamnet eller lösenordet är felaktigt skickar RADIUS-servern ett meddelande om att åtkomst avvisas .
  4. Om alla villkor, som anges i NPS-Anslut ionsbegäran och nätverksprinciper, uppfylls (till exempel begränsningar för tid på dagen eller gruppmedlemskap), utlöser NPS-tillägget en begäran om sekundär autentisering med Microsoft Entra multifaktorautentisering.
  5. Microsoft Entra multifaktorautentisering kommunicerar med Microsoft Entra-ID, hämtar användarens information och utför den sekundära autentiseringen med hjälp av den metod som konfigureras av användaren (mobiltelefonsamtal, sms eller mobilapp).
  6. När MFA-utmaningen lyckas kommunicerar Microsoft Entra multifaktorautentisering resultatet till NPS-tillägget.
  7. När anslutningsförsöket har både autentiserats och auktoriserats skickar NPS där tillägget är installerat ett RADIUS-meddelande om åtkomst accepterar till VPN-servern (RADIUS-klienten).
  8. Användaren beviljas åtkomst till den virtuella porten på VPN-servern och upprättar en krypterad VPN-tunnel.

Förutsättningar

Det här avsnittet beskriver de krav som måste slutföras innan du kan integrera MFA med VPN. Innan du börjar måste du ha följande förutsättningar på plats:

  • VPN-infrastruktur
  • Rollen Nätverksprincip och åtkomsttjänster
  • Microsoft Entra-licens för multifaktorautentisering
  • Windows Server-programvara
  • Bibliotek
  • Microsoft Entra-ID synkroniserat med lokal Active Directory
  • Microsoft Entra GUID-ID

VPN-infrastruktur

Den här artikeln förutsätter att du har en fungerande VPN-infrastruktur som använder Microsoft Windows Server 2016 och att VPN-servern för närvarande inte är konfigurerad för att vidarebefordra anslutningsbegäranden till en RADIUS-server. I artikeln konfigurerar du VPN-infrastrukturen så att den använder en central RADIUS-server.

Om du inte har en fungerande VPN-infrastruktur på plats kan du snabbt skapa en genom att följa vägledningen i många självstudier för VPN-konfiguration som du hittar på Microsofts och tredje parts webbplatser.

Rollen Nätverksprincip och åtkomsttjänster

Nätverksprincip och åtkomsttjänster tillhandahåller RADIUS-servern och klientfunktionerna. Den här artikeln förutsätter att du har installerat rollen Nätverksprincip och Åtkomsttjänster på en medlemsserver eller domänkontrollant i din miljö. I den här guiden konfigurerar du RADIUS för en VPN-konfiguration. Installera rollen Nätverksprincip och Åtkomsttjänster på en annan server än VPN-servern.

Information om hur du installerar rolltjänsten Nätverksprincip och Åtkomsttjänster Windows Server 2012 eller senare finns i Installera en NAP-hälsoprincipserver. NAP är inaktuellt i Windows Server 2016. En beskrivning av metodtips för NPS, inklusive rekommendationen att installera NPS på en domänkontrollant, finns i Metodtips för NPS.

Windows Server-programvara

NPS-tillägget kräver Windows Server 2008 R2 SP1 eller senare, med rollen Nätverksprincip och Åtkomsttjänster installerad. Alla steg i den här guiden utfördes med Windows Server 2016.

Bibliotek

Följande bibliotek installeras automatiskt med NPS-tillägget:

Om Microsoft Graph PowerShell-modulen inte redan finns, installeras den med ett konfigurationsskript som du kör som en del av installationsprocessen. Du behöver inte installera Graph PowerShell i förväg.

Microsoft Entra-ID synkroniserat med lokal Active Directory

Om du vill använda NPS-tillägget måste lokala användare synkroniseras med Microsoft Entra-ID och aktiveras för MFA. Den här guiden förutsätter att lokala användare synkroniseras med Microsoft Entra-ID via Microsoft Entra Anslut. Instruktioner för att aktivera användare för MFA finns nedan.

Information om Microsoft Entra Anslut finns i Integrera dina lokala kataloger med Microsoft Entra-ID.

Microsoft Entra GUID-ID

Om du vill installera NPS-tillägget måste du känna till GUID för Microsoft Entra-ID:t. Instruktioner för att hitta GUID för Microsoft Entra-ID finns i nästa avsnitt.

Konfigurera RADIUS för VPN-anslutningar

Om du har installerat NPS-rollen på en medlemsserver måste du konfigurera den för att autentisera och auktorisera VPN-klienten som begär VPN-anslutningar.

Det här avsnittet förutsätter att du har installerat rollen Nätverksprincip och Åtkomsttjänster men inte har konfigurerat den för användning i infrastrukturen.

Kommentar

Om du redan har en fungerande VPN-server som använder en centraliserad RADIUS-server för autentisering kan du hoppa över det här avsnittet.

Registrera server i Active Directory

För att fungera korrekt i det här scenariot måste NPS-servern vara registrerad i Active Directory.

  1. Öppna Serverhanteraren.

  2. I Serverhanteraren väljer du Verktyg och sedan Nätverksprincipserver.

  3. I konsolen Nätverksprincipserver högerklickar du på NPS (lokal) och väljer sedan Registrera server i Active Directory. Välj OK två gånger.

    Register server in Active Directory menu option

  4. Låt konsolen vara öppen för nästa procedur.

Använd guiden för att konfigurera RADIUS-servern

Du kan använda ett standardalternativ (guidebaserat) eller ett avancerat konfigurationsalternativ för att konfigurera RADIUS-servern. Det här avsnittet förutsätter att du använder det guidebaserade standardkonfigurationsalternativet.

  1. I konsolen Nätverksprincipserver väljer du NPS (lokal).

  2. Under Standardkonfiguration väljer du RADIUS-server för uppringning eller VPN-Anslut ioner och väljer sedan Konfigurera VPN eller Uppringning.

    Configure RADIUS Server for Dial-Up or VPN Connections

  3. I fönstret Välj typ av uppringning eller Virtuellt privat nätverk Anslut ionstyp väljer du Virtuellt privat nätverk Anslut ions och väljer sedan Nästa.

    Configure Virtual private network connections

  4. I fönstret Ange uppringning eller VPN-server väljer du Lägg till.

  5. I fönstret Ny RADIUS-klient anger du ett eget namn, anger det matchbara namnet eller IP-adressen för VPN-servern och anger sedan ett lösenord för delad hemlighet. Gör lösenordet för den delade hemligheten långt och komplext. Spela in det, eftersom du behöver det i nästa avsnitt.

    Create a New RADIUS client window

  6. Välj OK, och välj Nästa.

  7. I fönstret Konfigurera autentiseringsmetoder godkänner du standardvalet (Microsoft Encrypted Authentication version 2 [MS-CHAPv2]) eller väljer ett annat alternativ och väljer Nästa.

    Kommentar

    Om du konfigurerar EAP (Extensible Authentication Protocol) måste du använda antingen Microsoft Challenge-Handshake Authentication Protocol (CHAPv2) eller Protected Extensible Authentication Protocol (PEAP). Ingen annan EAP stöds.

  8. I fönstret Ange användargrupper väljer du Lägg till och väljer sedan en lämplig grupp. Om det inte finns någon grupp lämnar du markeringen tom för att bevilja åtkomst till alla användare.

    Specify User Groups window to allow or deny access

  9. Välj Nästa.

  10. I fönstret Ange IP-filter väljer du Nästa.

  11. I fönstret Ange kryptering Inställningar godkänner du standardinställningarna och väljer sedan Nästa.

    The Specify Encryption Settings window

  12. I fönstret Ange ett sfärnamn lämnar du sfärnamnet tomt, accepterar standardinställningen och väljer sedan Nästa.

    The Specify a Realm Name window

  13. I fönstret Slutför nya uppringnings- eller virtuella privata nätverk Anslut ions och RADIUS-klienter väljer du Slutför.

    Completed configuration window

Verifiera RADIUS-konfigurationen

Det här avsnittet beskriver konfigurationen som du skapade med hjälp av guiden.

  1. På nätverksprincipservern i NPS-konsolen (lokal) expanderar du RADIUS-klienter och väljer sedan RADIUS-klienter.

  2. Högerklicka på RADIUS-klienten som du skapade i informationsfönstret och välj sedan Egenskaper. Egenskaperna för RADIUS-klienten (VPN-servern) bör vara som de som visas här:

    Verify the VPN properties and configuration

  3. Välj Avbryt.

  4. På nätverksprincipservern i NPS-konsolen (lokal) expanderar du Principer och väljer sedan Anslut ionsbegäransprinciper. VPN-Anslut ionsprincipen visas enligt följande bild:

    Connection request policy showing VPN connection policy

  5. Under Principer väljer du Nätverksprinciper. Du bör se en VPN-Anslut ionsprincip (Virtual Private Network) som liknar principen som visas i följande bild:

    Network Policies showing Virtual Private Network Connections policy

Konfigurera VPN-servern så att den använder RADIUS-autentisering

I det här avsnittet konfigurerar du VPN-servern så att den använder RADIUS-autentisering. Anvisningarna förutsätter att du har en fungerande konfiguration av en VPN-server men inte har konfigurerat den för att använda RADIUS-autentisering. När du har konfigurerat VPN-servern kontrollerar du att konfigurationen fungerar som förväntat.

Kommentar

Om du redan har en fungerande VPN-serverkonfiguration som använder RADIUS-autentisering kan du hoppa över det här avsnittet.

Konfigurera autentiseringsprovider

  1. Öppna Serverhanteraren på VPN-servern.

  2. I Serverhanteraren väljer du Verktyg och sedan Routning och fjärråtkomst.

  3. I fönstret Routning och fjärråtkomst högerklickar du på <servernamnet> (lokalt) och väljer sedan Egenskaper.

  4. I fönstret Egenskaper för servernamn> (lokal) väljer du fliken Säkerhet.<

  5. På fliken Säkerhet under Autentiseringsprovider väljer du RADIUS-autentisering och sedan Konfigurera.

    Configure RADIUS Authentication provider

  6. I fönstret RADIUS-autentisering väljer du Lägg till.

  7. Gör följande i fönstret Lägg till RADIUS-server :

    1. I rutan Servernamn anger du namnet eller IP-adressen för RADIUS-servern som du konfigurerade i föregående avsnitt.

    2. För Den delade hemligheten väljer du Ändra och anger sedan lösenordet för den delade hemligheten som du skapade och registrerade tidigare.

    3. I rutan Timeout (sekunder) anger du värdet 60. För att minimera borttagna begäranden rekommenderar vi att VPN-servrar konfigureras med en tidsgräns på minst 60 sekunder. Om det behövs, eller för att minska antalet borttagna begäranden i händelseloggarna, kan du öka tidsgränsvärdet för VPN-servern till 90 eller 120 sekunder.

  8. Välj OK.

Testa VPN-anslutning

I det här avsnittet bekräftar du att VPN-klienten autentiseras och auktoriseras av RADIUS-servern när du försöker ansluta till den virtuella VPN-porten. Anvisningarna förutsätter att du använder Windows 10 som VPN-klient.

Kommentar

Om du redan har konfigurerat en VPN-klient för att ansluta till VPN-servern och har sparat inställningarna kan du hoppa över stegen för att konfigurera och spara ett VPN-anslutningsobjekt.

  1. Välj knappen Start på VPN-klientdatorn och välj sedan knappen Inställningar.

  2. I fönstret Windows Inställningar väljer du Nätverk och Internet.

  3. Välj VPN.

  4. Välj Lägg till en VPN-anslutning.

  5. I fönstret Lägg till en VPN-anslutning går du till rutan VPN-provider och väljer Windows (inbyggd), slutför de återstående fälten efter behov och väljer sedan Spara.

    The

  6. Gå till Kontrollpanelen och välj sedan Nätverk och delningscenter.

  7. Välj Ändra adapterinställningar.

    Network and Sharing Center - Change adapter settings

  8. Högerklicka på VPN-nätverksanslutningen och välj sedan Egenskaper.

  9. I fönstret VPN-egenskaper väljer du fliken Säkerhet .

  10. På fliken Säkerhet kontrollerar du att endast Microsoft CHAP Version 2 (MS-CHAP v2) har valts och välj sedan OK.

    The

  11. Högerklicka på VPN-anslutningen och välj sedan Anslut.

  12. I fönstret Inställningar väljer du Anslut.
    En lyckad anslutning visas i säkerhetsloggen, på RADIUS-servern, som händelse-ID 6272, som visas här:

    Event Properties window showing a successful connection

Felsökning av RADIUS

Anta att VPN-konfigurationen fungerade innan du konfigurerade VPN-servern att använda en centralISERAD RADIUS-server för autentisering och auktorisering. Om konfigurationen fungerade är det troligt att problemet orsakas av en felkonfiguration av RADIUS-servern eller användningen av ett ogiltigt användarnamn eller lösenord. Om du till exempel använder det alternativa UPN-suffixet i användarnamnet kan inloggningsförsöket misslyckas. Använd samma kontonamn för bästa resultat.

För att felsöka dessa problem är en idealisk plats att börja på för att undersöka säkerhetshändelseloggarna på RADIUS-servern. Om du vill spara tid på att söka efter händelser kan du använda den rollbaserade anpassade vyn Nätverksprincip och Åtkomstserver i Loggboken, som du ser här. "Händelse-ID 6273" anger händelser där NPS nekade åtkomst till en användare.

Event Viewer showing NPAS events

Konfigurera multifaktorautentisering

Mer information om hur du konfigurerar användare för multifaktorautentisering finns i artiklarna Planera en molnbaserad Distribution av Microsoft Entra multifaktorautentisering och Konfigurera mitt konto för tvåstegsverifiering

Installera och konfigurera NPS-tillägget

Det här avsnittet innehåller instruktioner för hur du konfigurerar VPN för att använda MFA för klientautentisering med VPN-servern.

Kommentar

Registernyckeln REQUIRE_USER_MATCH är skiftlägeskänslig. Alla värden måste anges i versaler.

När du har installerat och konfigurerat NPS-tillägget måste all RADIUS-baserad klientautentisering som bearbetas av den här servern använda MFA. Om alla VPN-användare inte har registrerats i Microsoft Entra multifaktorautentisering kan du göra något av följande:

  • Konfigurera en annan RADIUS-server för att autentisera användare som inte är konfigurerade att använda MFA.

  • Skapa en registerpost som gör det möjligt för utmanade användare att ange en andra autentiseringsfaktor om de har registrerats i Microsoft Entra multifaktorautentisering.

Skapa ett nytt strängvärde med namnet REQUIRE_USER_MATCH i HKLM\SOFTWARE\Microsoft\AzureMfa och ange värdet till TRUE eller FALSE.

The

Om värdet är inställt på TRUE eller är tomt, omfattas alla autentiseringsbegäranden av en MFA-utmaning. Om värdet är inställt på FALSE utfärdas MFA-utmaningar endast till användare som har registrerats i Microsoft Entra multifaktorautentisering. Använd inställningen FALSE endast i testnings- eller produktionsmiljöer under en registreringsperiod.

Hämta katalogklient-ID:t

Som en del av konfigurationen av NPS-tillägget måste du ange administratörsautentiseringsuppgifter och ID:t för din Microsoft Entra-klientorganisation. Utför följande steg för att hämta klientorganisations-ID:t:

  1. Logga in på administrationscentret för Microsoft Entra som global administratör.

  2. Bläddra till Identitet> Inställningar.

    Getting the Tenant ID from the Microsoft Entra admin center

Installera NPS-tillägget

NPS-tillägget måste vara installerat på en server som har rollen Nätverksprincip och Åtkomsttjänster installerad och som fungerar som RADIUS-server i din design. Installera inte NPS-tillägget på VPN-servern.

  1. Ladda ned NPS-tillägget från Microsoft Download Center.

  2. Kopiera den körbara installationsfilen (NpsExtnForAzureMfaInstaller.exe) till NPS-servern.

  3. Dubbelklicka på NpsExtnForAzureMfaInstaller.exe på NPS-servern och välj Kör om du uppmanas att göra det.

  4. I fönstret NPS-tillägg för Microsoft Entra-multifaktorautentisering granskar du licensvillkoren för programvara, markerar kryssrutan Jag godkänner licensvillkoren och väljer sedan Installera.

    The

  5. I fönstret NPS-tillägg för Microsoft Entra-multifaktorautentisering väljer du Stäng.

    The

Konfigurera certifikat för användning med NPS-tillägget med hjälp av ett Graph PowerShell-skript

För att säkerställa säker kommunikation och säkerhet konfigurerar du certifikat för användning av NPS-tillägget. NPS-komponenterna innehåller ett Graph PowerShell-skript som konfigurerar ett självsignerat certifikat för användning med NPS.

Skriptet utför följande åtgärder:

  • Skapar ett självsignerat certifikat.
  • Associerar certifikatets offentliga nyckel till tjänstens huvudnamn på Microsoft Entra ID.
  • Lagrar certifikatet i det lokala datorarkivet.
  • Ger nätverksanvändaren åtkomst till certifikatets privata nyckel.
  • Startar om NPS-tjänsten.

Om du vill använda dina egna certifikat måste du associera certifikatets offentliga nyckel med tjänstens huvudnamn på Microsoft Entra-ID och så vidare.

Om du vill använda skriptet anger du tillägget med dina administrativa autentiseringsuppgifter för Microsoft Entra och det Microsoft Entra-klient-ID som du kopierade tidigare. Kontot måste finnas i samma Microsoft Entra-klientorganisation som du vill aktivera tillägget för. Kör skriptet på varje NPS-server där du installerar NPS-tillägget.

  1. Kör Graph PowerShell som administratör.

  2. I PowerShell-kommandotolken anger du cd :c:\Program Files\Microsoft\AzureMfa\Config och väljer sedan Retur.

  3. I nästa kommandotolk anger du .\AzureMfaNpsExtnConfigSetup.ps1 och väljer sedan Retur. Skriptet kontrollerar om Graph PowerShell är installerat. Om det inte är installerat installerar skriptet Graph PowerShell åt dig.

    Running the AzureMfsNpsExtnConfigSetup.ps1 configuration script

    Om du får ett säkerhetsfel på grund av TLS aktiverar du TLS 1.2 med kommandot från PowerShell-prompten [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 .

    När skriptet verifierar installationen av PowerShell-modulen visas inloggningsfönstret för Graph PowerShell-modulen.

  4. Ange dina autentiseringsuppgifter och lösenord för Microsoft Entra-administratören och välj sedan Logga in.

  5. I kommandotolken klistrar du in klient-ID:t som du kopierade tidigare och väljer sedan Retur.

    Input the Microsoft Entra tenant ID copied before

    Skriptet skapar ett självsignerat certifikat och utför andra konfigurationsändringar. Utdata ser ut så här i följande bild:

    PowerShell window showing Self-signed certificate

  6. Starta om servern.

Kontrollera konfigurationen

För att verifiera konfigurationen måste du upprätta en ny VPN-anslutning med VPN-servern. När du har angett dina autentiseringsuppgifter för primär autentisering väntar VPN-anslutningen på att den sekundära autentiseringen ska lyckas innan anslutningen upprättas, enligt nedan.

The Windows Settings VPN window

Om du har autentiserat med den sekundära verifieringsmetod som du tidigare konfigurerade i Microsoft Entra multifaktorautentisering är du ansluten till resursen. Men om den sekundära autentiseringen misslyckas nekas du åtkomst till resursen.

I följande exempel tillhandahåller Microsoft Authenticator-appen på en Windows-Telefon den sekundära autentiseringen:

Example MFA prompt on Windows Phone

När du har autentiserats med den sekundära metoden beviljas du åtkomst till den virtuella porten på VPN-servern. Eftersom du var skyldig att använda en sekundär autentiseringsmetod med hjälp av en mobilapp på en betrodd enhet är inloggningsprocessen säkrare än om den bara använde en kombination av användarnamn och lösenord.

Visa Loggboken loggar för lyckade inloggningshändelser

Om du vill visa lyckade inloggningshändelser i Windows-Loggboken kan du visa säkerhetsloggen eller den anpassade vyn Nätverksprincip och Åtkomsttjänster enligt följande bild:

Example Network Policy Server log

På servern där du installerade NPS-tillägget för Microsoft Entra multifaktorautentisering hittar du Loggboken programloggar som är specifika för tillägget i Program- och tjänstloggar\Microsoft\AzureMfa.

Example Event Viewer AuthZ logs pane

Felsökningsguide

Om konfigurationen inte fungerar som förväntat börjar du felsöka genom att kontrollera att användaren är konfigurerad att använda MFA. Be användaren logga in på administrationscentret för Microsoft Entra. Om användaren uppmanas att ange sekundär autentisering och kan autentiseras kan du eliminera en felaktig konfiguration av MFA som ett problem.

Om MFA fungerar för användaren granskar du relevanta Loggboken loggar. Loggarna inkluderar säkerhetshändelsen, gatewaydrift och Microsoft Entra multifaktorautentiseringsloggar som beskrivs i föregående avsnitt.

Ett exempel på en säkerhetslogg som visar en misslyckad inloggningshändelse (händelse-ID 6273) visas här:

Security log showing a failed sign-in event

En relaterad händelse från Microsoft Entra multifaktorautentiseringsloggen visas här:

Microsoft Entra multifactor authentication logs

Om du vill utföra avancerad felsökning läser du loggfilerna i NPS-databasformat där NPS-tjänsten är installerad. Loggfilerna skapas i mappen %SystemRoot%\System32\Logs som kommaavgränsade textfiler. En beskrivning av loggfilerna finns i Tolka loggfiler för NPS-databasformat.

Posterna i dessa loggfiler är svåra att tolka om du inte exporterar dem till ett kalkylblad eller en databas. Du hittar många IAS-parsningsverktyg (Internet Authentication Service) online som hjälper dig att tolka loggfilerna. Utdata från ett sådant nedladdningsbart shareware-program visas här:

Sample Shareware app IAS parser

Om du vill utföra ytterligare felsökning kan du använda ett protokollanalysverktyg som Wireshark eller Microsoft Message Analyzer. Följande bild från Wireshark visar RADIUS-meddelandena mellan VPN-servern och NPS.

Microsoft Message Analyzer showing filtered traffic

Mer information finns i Integrera din befintliga NPS-infrastruktur med Microsoft Entra multifaktorautentisering.

Nästa steg

Hämta Microsoft Entra multifaktorautentisering

Fjärrskrivbordsgateway och Azure Multi-Factor Authentication Server med RADIUS

Integrera dina lokala kataloger med Microsoft Entra-ID