Ağ İlkesi Sunucusu (NPS) uzantısını ve Azure AD'yi kullanarak Uzak Masaüstü Ağ Geçidi altyapınızı tümleştirme

Bu makalede, Microsoft Azure için Ağ İlkesi Sunucusu (NPS) uzantısını kullanarak Uzak Masaüstü Ağ Geçidi altyapınızı Azure AD Multi-Factor Authentication (MFA) ile tümleştirmeye yönelik ayrıntılar sağlanır.

Azure için Ağ İlkesi Sunucusu (NPS) uzantısı, müşterilerin Azure'ın bulut tabanlı Multi-Factor Authentication (MFA) kullanarak Uzaktan Kimlik Doğrulama Arayarak Bağlanan Kullanıcı Hizmeti (RADIUS) istemci kimlik doğrulamasını korumasına olanak tanır. Bu çözüm, kullanıcı oturum açma işlemlerine ve işlemlerine ikinci bir güvenlik katmanı eklemek için iki aşamalı doğrulama sağlar.

Bu makalede, Azure için NPS uzantısını kullanarak NPS altyapısını Azure AD MFA ile tümleştirmeye yönelik adım adım yönergeler sağlanır. Bu, Uzak Masaüstü Ağ Geçidi'nde oturum açmaya çalışan kullanıcılar için güvenli doğrulama sağlar.

Not

Bu makale MFA Sunucusu dağıtımlarıyla kullanılmamalı ve yalnızca Azure AD MFA (Bulut tabanlı) dağıtımlarıyla kullanılmalıdır.

Ağ İlkesi ve Access Hizmetleri (NPS), kuruluşlara aşağıdakileri yapma olanağı sağlar:

  • Kimlerin bağlanabileceğini, hangi gün bağlantılarına izin verileceğini, bağlantıların süresini ve istemcilerin bağlanmak için kullanması gereken güvenlik düzeyini vb. belirterek ağ isteklerinin yönetimi ve denetimi için merkezi konumlar tanımlayın. Bu ilkeleri her VPN veya Uzak Masaüstü (RD) Ağ Geçidi sunucusunda belirtmek yerine, bu ilkeler merkezi bir konumda bir kez belirtilebilir. RADIUS protokolü merkezi Kimlik Doğrulaması, Yetkilendirme ve Hesaplama (AAA) sağlar.
  • Cihazlara ağ kaynaklarına sınırsız veya kısıtlanmış erişim verilip verilmediğini belirleyen Ağ Erişim Koruması (NAP) istemci durumu ilkeleri oluşturun ve uygulayın.
  • 802.1x özellikli kablosuz erişim noktalarına ve Ethernet anahtarlarına erişim için kimlik doğrulaması ve yetkilendirmeyi zorlamak için bir araç sağlayın.

Kuruluşlar genellikle VPN ilkelerinin yönetimini basitleştirmek ve merkezileştirmek için NPS (RADIUS) kullanır. Ancak, birçok kuruluş RD Masaüstü Bağlantı Yetkilendirme İlkeleri'nin (RD CAP'ler) yönetimini basitleştirmek ve merkezileştirmek için de NPS kullanır.

Kuruluşlar ayrıca güvenliği geliştirmek ve yüksek düzeyde uyumluluk sağlamak için NPS'yi Azure AD MFA ile tümleştirebilir. Bu, kullanıcıların Uzak Masaüstü Ağ Geçidi'nde oturum açmak için iki aşamalı doğrulama oluşturmasına yardımcı olur. Kullanıcılara erişim verilmesi için, kullanıcının denetimindeki bilgilerle birlikte kullanıcı adı/parola bileşimlerini sağlamaları gerekir. Bu bilgilere güvenilmeli ve cep telefonu numarası, sabit hat numarası, mobil cihazda uygulama gibi kolayca çoğaltılmamalıdır. RDG şu anda 2FA için Microsoft kimlik doğrulayıcı uygulama yöntemlerinden telefon arama ve anında iletme bildirimlerini desteklemektedir. Desteklenen kimlik doğrulama yöntemleri hakkında daha fazla bilgi için , Kullanıcılarınızın hangi kimlik doğrulama yöntemlerini kullanabileceğini belirleme bölümüne bakın.

Azure için NPS uzantısının kullanılabilirliği öncesinde, tümleşik NPS ve Azure AD MFA ortamları için iki aşamalı doğrulama uygulamak isteyen müşterilerin RADIUS kullanarak Uzak Masaüstü Ağ Geçidi ve Azure Multi-Factor Authentication Sunucusu'nda belgelendiği gibi şirket içi ortamda ayrı bir MFA Sunucusu yapılandırmaları ve korumaları gerekiyordu.

Azure için NPS uzantısının kullanılabilirliği artık kuruluşlara RADIUS istemci kimlik doğrulamasının güvenliğini sağlamak için şirket içi tabanlı bir MFA çözümü veya bulut tabanlı MFA çözümü dağıtma seçeneği sunar.

Kimlik Doğrulama Akışı

Kullanıcılara Uzak Masaüstü Ağ Geçidi üzerinden ağ kaynaklarına erişim verilmesi için, bir RD Bağlantı Yetkilendirme İlkesi (RD CAP) ve bir RD Kaynak Yetkilendirme İlkesi'nde (RD RAP) belirtilen koşulları karşılamaları gerekir. RD CAP'lar, RD Ağ Geçitlerine bağlanma yetkisi olan kişileri belirtir. RD RAP'ler, kullanıcının RD Ağ Geçidi üzerinden bağlanmasına izin verilen uzak masaüstleri veya uzak uygulamalar gibi ağ kaynaklarını belirtir.

RD Ağ Geçidi, RD CAP'ler için merkezi bir ilke deposu kullanacak şekilde yapılandırılabilir. RD RAP'leri, RD Ağ Geçidinde işlendiği için merkezi bir ilke kullanamaz. RD CAP'ler için merkezi bir ilke deposu kullanmak üzere yapılandırılmış bir RD Ağ Geçidi örneği, merkezi ilke deposu olarak hizmet veren başka bir NPS sunucusuna yönelik RADIUS istemcisidir.

Azure için NPS uzantısı NPS ve Uzak Masaüstü Ağ Geçidi ile tümleştirildiğinde, başarılı kimlik doğrulama akışı aşağıdaki gibidir:

  1. Uzak Masaüstü Ağ Geçidi sunucusu, Uzak Masaüstü oturumu gibi bir kaynağa bağlanmak için uzak masaüstü kullanıcısından bir kimlik doğrulama isteği alır. RADIUS istemcisi olarak hareket eden Uzak Masaüstü Ağ Geçidi sunucusu, isteği radius Access-Request iletisine dönüştürür ve iletiyi NPS uzantısının yüklü olduğu RADIUS (NPS) sunucusuna gönderir.
  2. Kullanıcı adı ve parola bileşimi Active Directory'de doğrulanır ve kullanıcının kimliği doğrulanır.
  3. NPS Bağlantı İsteği ve Ağ İlkeleri'nde belirtilen tüm koşullar karşılanırsa (örneğin, günün saati veya grup üyeliği kısıtlamaları), NPS uzantısı Azure AD MFA ile ikincil kimlik doğrulaması isteğini tetikler.
  4. Azure AD MFA, Azure AD ile iletişim kurar, kullanıcının ayrıntılarını alır ve desteklenen yöntemleri kullanarak ikincil kimlik doğrulamasını gerçekleştirir.
  5. MFA sınamasının başarılı olması üzerine Azure AD MFA, sonucu NPS uzantısına iletir.
  6. Uzantının yüklü olduğu NPS sunucusu, RD CAP ilkesi için Uzak Masaüstü Ağ Geçidi sunucusuna bir RADIUS Access-Accept iletisi gönderir.
  7. Kullanıcıya RD Ağ Geçidi üzerinden istenen ağ kaynağına erişim verilir.

Önkoşullar

Bu bölümde, Azure AD MFA'yi Uzak Masaüstü Ağ Geçidi ile tümleştirmeden önce gerekli önkoşullar ayrıntılı olarak açıklanmaktadır. Başlamadan önce aşağıdaki önkoşullara sahip olmanız gerekir.

  • Uzak Masaüstü Hizmetleri (RDS) altyapısı
  • Azure AD MFA Lisansı
  • Windows Server yazılımı
  • Ağ İlkesi ve Access Hizmetleri (NPS) rolü
  • Azure Active Directory şirket içi Active Directory ile eşitlendi
  • guid kimliğini Azure Active Directory

Uzak Masaüstü Hizmetleri (RDS) altyapısı

Çalışan bir Uzak Masaüstü Hizmetleri (RDS) altyapınız olmalıdır. Bunu yapmazsanız, aşağıdaki hızlı başlangıç şablonunu kullanarak Azure'da bu altyapıyı hızla oluşturabilirsiniz: Uzak Masaüstü Oturumu Koleksiyonu dağıtımı oluşturma.

Test amacıyla şirket içi RDS altyapısını el ile hızla oluşturmak istiyorsanız, dağıtma adımlarını izleyin. Daha fazla bilgi edinin: Azure hızlı başlangıcı ve Temel RDS altyapı dağıtımı ile RDS dağıtma.

Azure AD MFA Lisansı

Gerekli, Azure AD MFA lisansıdır. Bu lisans, Azure AD Premium veya onu içeren diğer paketlerde kullanılabilir. Kullanıcı başına veya kimlik doğrulama lisansı başına gibi Azure AD MFA için tüketim tabanlı lisanslar NPS uzantısıyla uyumlu değildir. Daha fazla bilgi için bkz. Azure AD Multi-Factor Authentication'ı alma. Test amacıyla bir deneme aboneliği kullanabilirsiniz.

Windows Server yazılımı

NPS uzantısı, NPS rol hizmetinin yüklü olduğu Windows Server 2008 R2 SP1 veya üzerini gerektirir. Bu bölümdeki tüm adımlar Windows Server 2016 kullanılarak gerçekleştirildi.

Ağ İlkesi ve Access Hizmetleri (NPS) rolü

NPS rol hizmeti, RADIUS sunucusu ve istemci işlevselliğinin yanı sıra Ağ Erişim İlkesi sistem durumu hizmetini de sağlar. Bu rol, altyapınızdaki en az iki bilgisayara yüklenmelidir: Uzak Masaüstü Ağ Geçidi ve başka bir üye sunucu veya etki alanı denetleyicisi. Varsayılan olarak, rol Uzak Masaüstü Ağ Geçidi olarak yapılandırılmış bilgisayarda zaten vardır. Ayrıca NPS rolünü etki alanı denetleyicisi veya üye sunucu gibi başka bir bilgisayara da yüklemeniz gerekir.

NPS rol hizmeti Windows Server 2012 veya daha eskisini yükleme hakkında bilgi için bkz. NAP Sistem Durumu İlkesi Sunucusu Yükleme. NPS'yi bir etki alanı denetleyicisine yükleme önerisi de dahil olmak üzere NPS için en iyi yöntemlerin açıklaması için bkz. NPS için En İyi Yöntemler.

Azure Active Directory şirket içi Active Directory ile eşitlendi

NPS uzantısını kullanmak için şirket içi kullanıcıların Azure AD ile eşitlenmesi ve MFA için etkinleştirilmesi gerekir. Bu bölümde, şirket içi kullanıcıların AD Bağlan kullanılarak Azure AD ile eşitlendiği varsayılır. Azure AD connect hakkında bilgi için bkz. Şirket içi dizinlerinizi Azure Active Directory ile tümleştirme.

guid kimliğini Azure Active Directory

NPS uzantısını yüklemek için Azure AD'nin GUID değerini bilmeniz gerekir. Azure AD'nin GUID'sini bulma yönergeleri aşağıda verilmiştır.

Multi-Factor Authentication'ı yapılandırma

Bu bölümde, Azure AD MFA'nın Uzak Masaüstü Ağ Geçidi ile tümleştirilmesine yönelik yönergeler sağlanır. Yönetici olarak, kullanıcıların çok faktörlü cihazlarını veya uygulamalarını kendi kendine kaydedebilmesi için Önce Azure AD MFA hizmetini yapılandırmanız gerekir.

Azure AD kullanıcılarınız için MFA'yı etkinleştirmek için Bulutta Azure AD Multi-Factor Authentication'ı kullanmaya başlama adımlarını izleyin.

İki aşamalı doğrulama için hesapları yapılandırma

MFA için bir hesap etkinleştirildikten sonra, ikinci kimlik doğrulama faktörü için kullanmak üzere güvenilir bir cihazı başarıyla yapılandırıp iki aşamalı doğrulama kullanarak kimlik doğrulaması yapıncaya kadar MFA ilkesi tarafından yönetilen kaynaklarda oturum açamazsınız.

Kullanıcı hesabınızla cihazlarınızı MFA için anlamak ve uygun şekilde yapılandırmak için Azure AD Multi-Factor Authentication benim için ne anlama gelir? bölümünde yer alan adımları izleyin.

Önemli

Uzak Masaüstü Ağ Geçidi için oturum açma davranışı, Azure AD Multi-Factor Authentication ile doğrulama kodu girme seçeneği sağlamaz. Bir kullanıcı hesabı telefon doğrulaması için veya anında iletme bildirimleri içeren Microsoft Authenticator Uygulaması için yapılandırılmalıdır.

Kullanıcı için telefon doğrulaması veya anında iletme bildirimleri içeren Microsoft Authenticator Uygulaması yapılandırılmamışsa, kullanıcı Azure AD Multi-Factor Authentication sınamasını tamamlayamaz ve Uzak Masaüstü Ağ Geçidi'nde oturum açamaz.

SMS metin yöntemi, doğrulama kodu girme seçeneği sağlamadığından Uzak Masaüstü Ağ Geçidi ile çalışmaz.

NPS uzantısını yükleme ve yapılandırma

Bu bölümde, RdS altyapısını Uzak Masaüstü Ağ Geçidi ile istemci kimlik doğrulaması için Azure AD MFA kullanacak şekilde yapılandırma yönergeleri sağlanır.

Azure Active Directory kiracı kimliğini alma

NPS uzantısının yapılandırması kapsamında, Azure AD kiracınız için yönetici kimlik bilgilerini ve Azure AD kimliğini sağlamanız gerekir. Kiracı kimliğini almak için aşağıdaki adımları tamamlayın:

  1. azure kiracısının genel yöneticisi olarak Azure portal oturum açın.

  2. Azure portal menüsünde Azure Active Directory seçin veya herhangi bir sayfadan Azure Active Directory arayıp seçin.

  3. Genel Bakış sayfasında Kiracı bilgileri gösterilir. Aşağıdaki örnek ekran görüntüsünde gösterildiği gibi Kiracı Kimliği'nin yanındaki Kopyala simgesini seçin:

    Getting the Tenant ID from the Azure portal

NPS uzantısını yükleme

NPS uzantısını Ağ İlkesi ve Access Hizmetleri (NPS) rolünün yüklü olduğu bir sunucuya yükleyin. Bu, tasarımınız için RADIUS sunucusu olarak işlev görür.

Önemli

NPS uzantısını Uzak Masaüstü Ağ Geçidi (RDG) sunucunuza yüklemeyin. RDG sunucusu radius protokolünü istemcisiyle kullanmaz, bu nedenle uzantı MFA'yı yorumlayamaz ve gerçekleştiremez.

RDG sunucusu ve NPS uzantısına sahip NPS sunucusu farklı sunucular olduğunda, RDG diğer NPS sunucularıyla konuşmak için dahili olarak NPS kullanır ve doğru iletişim kurmak için protokol olarak RADIUS kullanır.

  1. NPS uzantısını indirin.
  2. Kurulum yürütülebilir dosyasını (NpsExtnForAzureMfaInstaller.exe) NPS sunucusuna kopyalayın.
  3. NPS sunucusunda NpsExtnForAzureMfaInstaller.exeöğesine çift tıklayın. İstenirse Çalıştır'a tıklayın.
  4. Azure AD MFA Kurulumu için NPS Uzantısı iletişim kutusunda yazılım lisans koşullarını gözden geçirin, Lisans hüküm ve koşullarını kabul ediyorum'u işaretleyin ve Yükle'ye tıklayın.
  5. Azure AD MFA Kurulumu için NPS Uzantısı iletişim kutusunda Kapat'a tıklayın.

PowerShell betiği kullanarak NPS uzantısıyla kullanılacak sertifikaları yapılandırma

Ardından, güvenli iletişim ve güvence sağlamak için NPS uzantısı tarafından kullanılacak sertifikaları yapılandırmanız gerekir. NPS bileşenleri, NPS ile kullanılmak üzere otomatik olarak imzalanan bir sertifika yapılandıran bir Windows PowerShell betiği içerir.

Betik aşağıdaki eylemleri gerçekleştirir:

  • Otomatik olarak imzalanan sertifika oluşturur
  • Sertifikanın ortak anahtarını Azure AD'de hizmet sorumlusuyla ilişkilendirir
  • Sertifikayı yerel makine deposunda depolar
  • Sertifikanın özel anahtarına ağ kullanıcısına erişim verir
  • Ağ İlkesi Sunucusu hizmetini yeniden başlatır

Kendi sertifikalarınızı kullanmak istiyorsanız, sertifikanızın ortak anahtarını Azure AD'de hizmet sorumlusuyla ilişkilendirmeniz vb. gerekir.

Betiği kullanmak için uzantıyı Azure AD Yönetici kimlik bilgileriniz ve daha önce kopyaladığınız Azure AD kiracı kimliği ile birlikte sağlayın. Betiği, NPS uzantısını yüklediğiniz her NPS sunucusunda çalıştırın. Ardından şunları yapın:

  1. Bir yönetim Windows PowerShell istemi açın.

  2. PowerShell isteminde yazın cd 'c:\Program Files\Microsoft\AzureMfa\Config've ENTER tuşuna basın.

  3. yazın .\AzureMfaNpsExtnConfigSetup.ps1ve ENTER tuşuna basın. Betik, Azure Active Directory PowerShell modülünün yüklü olup olmadığını denetler. Yüklü değilse, betik modülü sizin için yükler.

    Running AzureMfaNpsExtnConfigSetup.ps1 in Azure AD PowerShell

  4. Betik, PowerShell modülünün yüklemesini doğruladıktan sonra Azure Active Directory PowerShell modülü iletişim kutusunu görüntüler. İletişim kutusuna Azure AD yönetici kimlik bilgilerinizi ve parolanızı girin ve Oturum Aç'a tıklayın.

    Authenticating to Azure AD in PowerShell

  5. İstendiğinde, daha önce panoya kopyaladığınız Kiracı Kimliğini yapıştırın ve ENTER tuşuna basın.

    Inputting the Tenant ID in PowerShell

  6. Betik otomatik olarak imzalanan bir sertifika oluşturur ve diğer yapılandırma değişikliklerini gerçekleştirir. Çıktı aşağıda gösterilen görüntüye benzer olmalıdır.

    Output of PowerShell showing self-signed certificate

Uzak Masaüstü Ağ Geçidinde NPS bileşenlerini yapılandırma

Bu bölümde, Uzak Masaüstü Ağ Geçidi bağlantı yetkilendirme ilkelerini ve diğer RADIUS ayarlarını yapılandıracaksınız.

Kimlik doğrulama akışı, Uzak Masaüstü Ağ Geçidi ile NPS uzantısının yüklendiği NPS sunucusu arasında RADIUS iletilerinin alışverişini gerektirir. Bu, hem Uzak Masaüstü Ağ Geçidinde hem de NPS uzantısının yüklü olduğu NPS sunucusunda RADIUS istemci ayarlarını yapılandırmanız gerektiği anlamına gelir.

Uzak Masaüstü Ağ Geçidi bağlantı yetkilendirme ilkelerini merkezi depo kullanacak şekilde yapılandırma

Uzak Masaüstü bağlantı yetkilendirme ilkeleri (RD CAP'ler), Uzak Masaüstü Ağ Geçidi sunucusuna bağlanma gereksinimlerini belirtir. RD CAP'leri yerel olarak depolanabilir (varsayılan) veya NPS çalıştıran merkezi bir RD CAP deposunda depolanabilir. Azure AD MFA'nın RDS ile tümleştirilmesini yapılandırmak için merkezi bir deponun kullanımını belirtmeniz gerekir.

  1. RD Ağ Geçidi sunucusunda Sunucu Yöneticisi açın.

  2. Menüde Araçlar'a tıklayın, Uzak Masaüstü Hizmetleri'nin üzerine gelin ve Uzak Masaüstü Ağ Geçidi Yöneticisi'ne tıklayın.

  3. RD Ağ Geçidi Yöneticisi'nde [Sunucu Adı] (Yerel) öğesine sağ tıklayın ve Özellikler'e tıklayın.

  4. Özellikler iletişim kutusunda RD CAP Deposu sekmesini seçin.

  5. RD CAP Deposu sekmesinde NPS çalıştıran merkezi sunucu'yı seçin.

  6. NPS çalıştıran sunucu için bir ad veya IP adresi girin alanına, NPS uzantısını yüklediğiniz sunucunun IP adresini veya sunucu adını yazın.

    Enter the name or IP Address of your NPS Server

  7. Ekle'ye tıklayın.

  8. Paylaşılan Gizli Dizi iletişim kutusunda, paylaşılan bir gizli dizi girin ve tamam'a tıklayın. Bu paylaşılan gizli diziyi kaydettiğinizden ve kaydı güvenli bir şekilde depoladığınızdan emin olun.

    Not

    Paylaşılan gizli dizi, RADIUS sunucuları ve istemcileri arasında güven oluşturmak için kullanılır. Uzun ve karmaşık bir gizli dizi oluşturun.

    Creating a shared secret to establish trust

  9. Tamam’a tıklayarak iletişim kutusunu kapatın.

Uzak Masaüstü Ağ Geçidi NPS'sinde RADIUS zaman aşımı değerini yapılandırma

Kullanıcıların kimlik bilgilerini doğrulamak, iki aşamalı doğrulama gerçekleştirmek, yanıtları almak ve RADIUS iletilerini yanıtlamak için zaman aşımı değerini ayarlamak gerekir.

  1. RD Ağ Geçidi sunucusunda Sunucu Yöneticisi açın. Menüde Araçlar'a ve ardından Ağ İlkesi Sunucusu'na tıklayın.

  2. NPS (Yerel) konsolunda RADIUS İstemcileri ve Sunucuları'nı genişletin ve Uzak RADIUS Sunucusu'nu seçin.

    Network Policy Server management console showing Remote RADIUS Server

  3. Ayrıntılar bölmesinde TS AĞ GEÇIDI SUNUCU GRUBU'na çift tıklayın.

    Not

    Bu RADIUS Sunucu Grubu, NPS ilkeleri için merkezi sunucuyu yapılandırdığınızda oluşturulmuştur. RD Ağ Geçidi, grupta birden fazlaysa RADIUS iletilerini bu sunucuya veya sunucu grubuna iletir.

  4. TS AĞ GEÇIDI SUNUCU GRUBU Özellikleri iletişim kutusunda, RD CAP'leri depolamak için yapılandırdığınız NPS sunucusunun IP adresini veya adını seçin ve düzenle'ye tıklayın.

    Select the IP or name of the NPS Server configured earlier

  5. RADIUS Sunucusunu Düzenle iletişim kutusunda Yük Dengeleme sekmesini seçin.

  6. Yük Dengeleme sekmesindeki İstek bırakılan kabul edilmeden önce yanıtsız saniye sayısı alanında varsayılan değeri 3 olan 30 ile 60 saniye arasında bir değere değiştirin.

  7. Sunucu kullanılamıyor olarak tanımlandığında istekler arasındaki saniye sayısı alanında, 30 saniyelik varsayılan değeri önceki adımda belirttiğiniz değere eşit veya ondan büyük bir değerle değiştirin.

    Edit Radius Server timeout settings on the load balancing tab

  8. İletişim kutularını kapatmak için tamam'a iki kez tıklayın.

Bağlantı İsteği İlkelerini Doğrulama

Varsayılan olarak, RD Ağ Geçidi'ni bağlantı yetkilendirme ilkeleri için merkezi bir ilke deposu kullanacak şekilde yapılandırdığınızda, RD Ağ Geçidi CAP isteklerini NPS sunucusuna iletecek şekilde yapılandırılır. Azure AD MFA uzantısının yüklü olduğu NPS sunucusu, RADIUS erişim isteğini işler. Aşağıdaki adımlar, varsayılan bağlantı isteği ilkesini nasıl doğrulayabileceğinizi gösterir.

  1. RD Ağ Geçidi'ndeki NPS (Yerel) konsolunda İlkeler'i genişletin ve Bağlantı İsteği İlkeleri'ni seçin.

  2. TS AĞ GEÇIDI YETKILENDIRME İLKESI'ne çift tıklayın.

  3. TS AĞ GEÇIDI YETKILENDIRME İLKESI özellikleri iletişim kutusunda Ayarlar sekmesine tıklayın.

  4. Ayarlar sekmesinde, Bağlantı İsteğini İletme'nin altında Kimlik Doğrulaması'nı tıklatın. RADIUS istemcisi, kimlik doğrulaması isteklerini iletecek şekilde yapılandırılmıştır.

    Configure Authentication Settings specifying the server group

  5. İptal'e tıklayın.

Not

Bağlantı isteği ilkesi oluşturma hakkında daha fazla bilgi için, Bağlantı isteği ilkelerini yapılandırma belgeleri başlıklı makaleye bakın.

NPS uzantısının yüklü olduğu sunucuda NPS'yi yapılandırma

NPS uzantısının yüklü olduğu NPS sunucusunun Uzak Masaüstü Ağ Geçidi'nin NPS sunucusuyla RADIUS iletileri alışverişi yapabilmesi gerekir. Bu ileti değişimini etkinleştirmek için, NPS uzantısı hizmetinin yüklü olduğu sunucuda NPS bileşenlerini yapılandırmanız gerekir.

Sunucuyu Active Directory'ye Kaydetme

Bu senaryoda düzgün çalışması için NPS sunucusunun Active Directory'ye kaydedilmesi gerekir.

  1. NPS sunucusunda Sunucu Yöneticisi açın.

  2. Sunucu Yöneticisi'da Araçlar'a ve ardından Ağ İlkesi Sunucusu'nu tıklatın.

  3. Ağ İlkesi Sunucusu konsolunda NPS (Yerel) seçeneğine sağ tıklayın ve ardından Sunucuyu Active Directory'ye kaydet'e tıklayın.

  4. Tamam'a iki kez tıklayın.

    Register the NPS server in Active Directory

  5. Sonraki yordam için konsolu açık bırakın.

RADIUS istemcisi oluşturma ve yapılandırma

Uzak Masaüstü Ağ Geçidi'nin NPS sunucusuna radius istemcisi olarak yapılandırılması gerekir.

  1. NPS uzantısının yüklü olduğu NPS sunucusunda, NPS (Yerel) konsolunda RADIUS İstemcileri'ne sağ tıklayın ve Yeni'ye tıklayın.

    Create a New RADIUS Client in the NPS console

  2. Yeni RADIUS İstemcisi iletişim kutusunda, Ağ Geçidi gibi kolay bir ad ve Uzak Masaüstü Ağ Geçidi sunucusunun IP adresi veya DNS adını sağlayın.

  3. Paylaşılan gizli dizi ve Paylaşılan gizli diziyi onayla alanlarına daha önce kullandığınız gizli diziyi girin.

    Configure a friendly name and the IP or DNS address

  4. Tamam'a tıklayarak Yeni RADIUS İstemcisi iletişim kutusunu kapatın.

Ağ İlkesini Yapılandırma

Azure AD MFA uzantısına sahip NPS sunucusunun Bağlantı Yetkilendirme İlkesi (CAP) için belirlenmiş merkezi ilke deposu olduğunu hatırlayın. Bu nedenle, geçerli bağlantı isteklerini yetkilendirmek için NPS sunucusunda bir CAP uygulamanız gerekir.

  1. NPS Sunucusu'nda NPS (Yerel) konsolunu açın, İlkeler'i genişletin ve Ağ İlkeleri'ne tıklayın.

  2. Diğer erişim sunucularına bağlantılar'a sağ tıklayın ve İlkeyi Çoğalt'a tıklayın.

    Duplicate the connection to other access servers policy

  3. Diğer erişim sunucularına Bağlantıların Kopyası'na sağ tıklayın ve Özellikler'e tıklayın.

  4. Diğer erişim sunucularına bağlantıların kopyalanması iletişim kutusunda, İlke adı alanına RDG_CAP gibi uygun bir ad girin. İlke etkin'i işaretleyin ve Erişim ver'i seçin. İsteğe bağlı olarak, Ağ erişim sunucusu türü bölümündeUzak Masaüstü Ağ Geçidi'ni seçin veya Belirtilmemiş olarak bırakabilirsiniz.

    Name the policy, enable, and grant access

  5. Kısıtlamalar sekmesine tıklayın ve İstemcilerin kimlik doğrulama yöntemine geçmeden bağlanmasına izin ver'i işaretleyin.

    Modify authentication methods to allow clients to connect

  6. İsteğe bağlı olarak, Koşullar sekmesine tıklayın ve bağlantının yetkilendirilebilmesi için karşılanması gereken koşulları (örneğin, belirli bir Windows grubuna üyelik) ekleyin.

    Optionally specify connection conditions

  7. Tamam'a tıklayın. İlgili Yardım konusunu görüntülemek isteyip istemediğiniz sorulduğunda Hayır'a tıklayın.

  8. Yeni ilkenizin listenin en üstünde olduğundan, ilkenin etkinleştirildiğinden ve erişim sağladığından emin olun.

    Move your policy to the top of the list

Yapılandırmayı doğrulama

Yapılandırmayı doğrulamak için Uygun bir RDP istemcisiyle Uzak Masaüstü Ağ Geçidi'nde oturum açmanız gerekir. Bağlantı Yetkilendirme İlkeleriniz tarafından izin verilen ve Azure AD MFA için etkinleştirilen bir hesap kullandığınızdan emin olun.

Aşağıdaki resimde gösterildiği gibi Uzak Masaüstü Web Erişimi sayfasını kullanabilirsiniz.

Testing in Remote Desktop Web Access

Birincil kimlik doğrulaması için kimlik bilgilerinizi başarıyla girdikten sonra, Uzak Masaüstü Bağlan iletişim kutusu aşağıda gösterildiği gibi uzak bağlantı başlatılıyor durumunu gösterir.

Daha önce Azure AD MFA'da yapılandırdığınız ikincil kimlik doğrulama yöntemiyle başarıyla kimlik doğrulaması yaparsanız kaynağa bağlanırsınız. Ancak, ikincil kimlik doğrulaması başarılı olmazsa kaynağa erişiminiz reddedilir.

Remote Desktop Connection initiating a remote connection

Aşağıdaki örnekte, Windows telefondaki Authenticator uygulaması ikincil kimlik doğrulamasını sağlamak için kullanılır.

Example Windows Phone Authenticator app showing verification

İkincil kimlik doğrulama yöntemini kullanarak başarıyla kimlik doğrulaması yaptıktan sonra, Uzak Masaüstü Ağ Geçidi'ne normal şekilde oturum açarsınız. Ancak, güvenilir bir cihazda mobil uygulama kullanarak ikincil bir kimlik doğrulama yöntemi kullanmanız gerektiğinden, oturum açma işlemi aksi takdirde olduğundan daha güvenlidir.

Başarılı oturum açma olayları için Olay Görüntüleyicisi günlüklerini görüntüleme

başarılı oturum açma olaylarını Windows Olay Görüntüleyicisi günlüklerinde görüntülemek için, Windows Terminal Hizmetleri'ni sorgulamak ve günlükleri Windows Güvenliği için aşağıdaki Windows PowerShell komutunu gönderebilirsiniz.

Ağ Geçidi işlem günlüklerinde (Olay Görüntüleyicisi\Uygulamalar ve Hizmetler Günlükleri\Microsoft\Windows\TerminalServices-Gateway\Operational) başarılı oturum açma olaylarını sorgulamak için aşağıdaki PowerShell komutlarını kullanın:

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '300'} | FL
  • Bu komut, kullanıcının kaynak yetkilendirme ilkesi gereksinimlerini (RD RAP) karşılayıp erişim izni verildiğini gösteren Windows olayları görüntüler.

Viewing events using PowerShell

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '200'} | FL
  • Bu komut, kullanıcının bağlantı yetkilendirme ilkesi gereksinimlerini ne zaman karşıladığını gösteren olayları görüntüler.

viewing the connection authorization policy using PowerShell

Ayrıca bu günlüğü görüntüleyebilir ve 300 ve 200 olay kimliklerini filtreleyebilirsiniz. Güvenlik olayı görüntüleyici günlüklerindeki başarılı oturum açma olaylarını sorgulamak için aşağıdaki komutu kullanın:

  • Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL
  • Bu komut merkezi NPS veya RD Ağ Geçidi Sunucusu üzerinde çalıştırılabilir.

Sample successful logon events

Aşağıda gösterildiği gibi Güvenlik günlüğünü veya Ağ İlkesi'ni görüntüleyebilir ve özel görünüm Access Hizmetleri:

Network Policy and Access Services Event Viewer

Azure AD MFA için NPS uzantısını yüklediğiniz sunucuda, uzantıya özgü Olay Görüntüleyicisi uygulama günlüklerini Uygulama ve Hizmet Günlükleri\Microsoft\AzureMfa konumunda bulabilirsiniz.

Event Viewer AuthZ application logs

Sorun Giderme Kılavuzu

Yapılandırma beklendiği gibi çalışmıyorsa, sorun gidermeye başlamanın ilk noktası kullanıcının Azure AD MFA kullanacak şekilde yapılandırıldığını doğrulamaktır. Kullanıcının Azure portal bağlanmasını sağlayın. Kullanıcılardan ikincil doğrulama istenirse ve başarıyla kimlik doğrulaması yapabilirse, Azure AD MFA'nın yanlış yapılandırmasını ortadan kaldırabilirsiniz.

Azure AD MFA kullanıcılar için çalışıyorsa ilgili Olay günlüklerini gözden geçirmeniz gerekir. Bunlar, önceki bölümde açıklanan Güvenlik Olayı, Ağ Geçidi işletimsel ve Azure AD MFA günlüklerini içerir.

Aşağıda, başarısız bir oturum açma olayını (Olay Kimliği 6273) gösteren örnek bir Güvenlik günlüğü çıktısı verilmiştir.

Sample of a Failed logon event

Aşağıda AzureMFA günlüklerinden ilgili bir olay verilmiştir:

Sample Azure AD MFA log in Event Viewer

Gelişmiş sorun giderme seçeneklerini gerçekleştirmek için, NPS hizmetinin yüklü olduğu NPS veritabanı biçimi günlük dosyalarına başvurun. Bu günlük dosyaları %SystemRoot%\System32\Logs klasöründe virgülle ayrılmış metin dosyaları olarak oluşturulur.

Bu günlük dosyalarının açıklaması için bkz. NPS Veritabanı Biçimi Günlük Dosyalarını Yorumlama. Bu günlük dosyalarındaki girişleri bir elektronik tabloya veya veritabanına aktarmadan yorumlamak zor olabilir. Günlük dosyalarını yorumlamada size yardımcı olacak çeşitli IAS ayrıştırıcılarını çevrimiçi olarak bulabilirsiniz.

Aşağıdaki görüntüde bu tür indirilebilir bir shareware uygulamasının çıkışı gösterilmektedir.

Sample Shareware app IAS parser

Son olarak, ek sorun giderme seçenekleri için Microsoft Message Analyzer gibi bir protokol çözümleyicisi kullanabilirsiniz.

Microsoft Message Analyzer'ın aşağıdaki görüntüsünde CONTOSO\AliceC kullanıcı adını içeren RADIUS protokolünde filtrelenmiş ağ trafiği gösterilmektedir.

Microsoft Message Analyzer showing filtered traffic

Sonraki adımlar

Azure AD Multi-Factor Authentication'ı edinme

RADIUS kullanan Uzak Masaüstü Ağ Geçidi ve Azure Multi-Factor Authentication Sunucusu

Şirket içi dizinlerinizi Azure Active Directory ile tümleştirme