Azure için Ağ İlkesi Sunucusu uzantısını kullanarak VPN altyapınızı Azure AD MFA ile tümleştirme

Azure için Ağ İlkesi Sunucusu (NPS) uzantısı, kuruluşların iki aşamalı doğrulama sağlayan bulut tabanlı Azure AD Multi-Factor Authentication (MFA) kullanarak Uzaktan Kimlik Doğrulama Arayarak Bağlanma Kullanıcı Hizmeti (RADIUS) istemci kimlik doğrulamasını korumasına olanak tanır.

Bu makalede, Azure için NPS uzantısını kullanarak NPS altyapısını MFA ile tümleştirme yönergeleri sağlanır. Bu işlem, vpn kullanarak ağınıza bağlanmaya çalışan kullanıcılar için güvenli iki aşamalı doğrulamayı etkinleştirir.

Ağ İlkesi ve Access Hizmetleri, kuruluşlara aşağıdakileri yapabilme olanağı sağlar:

  • Ağ isteklerinin yönetimi ve denetimi için şunları belirtmek üzere merkezi bir konum atayın:

    • Who bağlanabilir

    • Günün hangi saatleri bağlantılarına izin verilir?

    • Bağlantıların süresi

    • İstemcilerin bağlanmak için kullanması gereken güvenlik düzeyi

      Her VPN veya Uzak Masaüstü Ağ Geçidi sunucusunda ilke belirtmek yerine, bunu merkezi bir konumdan sonra yapın. RADIUS protokolü merkezi Kimlik Doğrulaması, Yetkilendirme ve Muhasebe (AAA) sağlamak için kullanılır.

  • Cihazlara ağ kaynaklarına sınırsız veya kısıtlı erişim verilip verilmediğini belirleyen Ağ Erişim Koruması (NAP) istemci sistem durumu ilkeleri oluşturun ve uygulayın.

  • 802.1x özellikli kablosuz erişim noktalarına ve Ethernet anahtarlarına erişim için kimlik doğrulamasını ve yetkilendirmeyi zorlamak için bir yol sağlayın. Daha fazla bilgi için bkz . Ağ İlkesi Sunucusu.

Kuruluşlar, güvenliği geliştirmek ve yüksek düzeyde uyumluluk sağlamak için NPS'yi Azure AD Multi-Factor Authentication ile tümleştirerek kullanıcıların VPN sunucusundaki sanal bağlantı noktasına bağlanmak için iki aşamalı doğrulama kullanmasını sağlayabilir. Kullanıcılara erişim verilmesi için kullanıcı adı ve parola birleşimlerini ve denetledikleri diğer bilgileri sağlamaları gerekir. Bu bilgilere güvenilmeli ve kolayca çoğaltılmamalıdır. Cep telefonu numarası, sabit hat numarası veya mobil cihazdaki bir uygulama içerebilir.

Azure için NPS uzantısının kullanılabilirliği öncesinde, tümleşik NPS ve MFA ortamları için iki aşamalı doğrulama uygulamak isteyen müşterilerin şirket içi ortamda ayrı bir MFA sunucusu yapılandırmaları ve korumaları gerekiyordu. Bu kimlik doğrulaması türü, RADIUS kullanılarak Uzak Masaüstü Ağ Geçidi ve Azure Multi-Factor Authentication Sunucusu tarafından sunulur.

Azure için NPS uzantısıyla kuruluşlar, şirket içi tabanlı bir MFA çözümü veya bulut tabanlı MFA çözümü dağıtarak RADIUS istemci kimlik doğrulamasının güvenliğini sağlayabilir.

Kimlik doğrulaması akışı

Kullanıcılar vpn sunucusundaki bir sanal bağlantı noktasına bağlandığında, önce çeşitli protokoller kullanarak kimlik doğrulaması yapmalıdır. Protokoller, kullanıcı adı ve parola ile sertifika tabanlı kimlik doğrulama yöntemlerinin bir bileşiminin kullanılmasına izin verir.

Kullanıcıların kimliklerini doğrulamaya ve kimliklerini doğrulamaya ek olarak uygun arayarak bağlanma izinlerine sahip olmaları gerekir. Basit uygulamalarda, erişime izin veren arayarak bağlanma izinleri doğrudan Active Directory kullanıcı nesnelerinde ayarlanır.

Dial-in tab in Active Directory Users and Computers user properties

Basit uygulamalarda her VPN sunucusu, her yerel VPN sunucusunda tanımlanan ilkelere göre erişim verir veya erişimi reddeder.

Daha büyük ve daha ölçeklenebilir uygulamalarda, VPN erişimi veren veya reddeden ilkeler RADIUS sunucularında merkezileştirilir. Böyle durumlarda VPN sunucusu, bağlantı isteklerini ve hesap iletilerini bir RADIUS sunucusuna ileden bir erişim sunucusu (RADIUS istemcisi) işlevi görür. VPN sunucusundaki sanal bağlantı noktasına bağlanmak için kullanıcıların kimliğinin doğrulanması ve RADIUS sunucularında merkezi olarak tanımlanan koşulları karşılaması gerekir.

Azure için NPS uzantısı NPS ile tümleştirildiğinde başarılı bir kimlik doğrulama akışı aşağıdaki gibi sonuçlanır:

  1. VPN sunucusu, bir VPN kullanıcısından Uzak Masaüstü oturumu gibi bir kaynağa bağlanmak için kullanıcı adını ve parolayı içeren bir kimlik doğrulama isteği alır.
  2. RADIUS istemcisi olarak davranan VPN sunucusu, isteği BIR RADIUS Erişim İsteği iletisine dönüştürür ve NPS uzantısının yüklendiği RADIUS sunucusuna (şifrelenmiş parolayla) gönderir.
  3. Kullanıcı adı ve parola bileşimi Active Directory'de doğrulanır. Kullanıcı adı veya parola yanlışsa, RADIUS Sunucusu bir Erişim Reddi iletisi gönderir.
  4. NPS Bağlantı İsteği ve Ağ İlkeleri'nde belirtildiği gibi tüm koşullar karşılanırsa (örneğin, günün saati veya grup üyeliği kısıtlamaları), NPS uzantısı Azure AD Multi-Factor Authentication ile ikincil kimlik doğrulaması isteği tetikler.
  5. Azure AD Multi-Factor Authentication Azure Active Directory ile iletişim kurar, kullanıcının ayrıntılarını alır ve kullanıcı tarafından yapılandırılan yöntemi (cep telefonu araması, kısa mesaj veya mobil uygulama) kullanarak ikincil kimlik doğrulamasını gerçekleştirir.
  6. MFA sınaması başarılı olduğunda, Azure AD Multi-Factor Authentication sonucu NPS uzantısına iletir.
  7. Bağlantı girişimi hem kimliği doğrulandıktan hem de yetkilendirildikten sonra, uzantının yüklendiği NPS, VPN sunucusuna (RADIUS istemcisi) bir RADIUS Erişimi-Kabul Et iletisi gönderir.
  8. Kullanıcıya VPN sunucusundaki sanal bağlantı noktasına erişim verilir ve şifrelenmiş bir VPN tüneli oluşturur.

Önkoşullar

Bu bölümde, MFA'yi VPN ile tümleştirebilmeniz için önce tamamlanması gereken önkoşullar ayrıntılı olarak anlatılacaktır. Başlamadan önce aşağıdaki önkoşullara sahip olmanız gerekir:

  • VPN altyapısı
  • Ağ İlkesi ve Access Hizmetleri rolü
  • Azure AD Multi-Factor Authentication lisansı
  • Windows Server yazılımı
  • Kitaplıklar
  • şirket içi Active Directory ile eşitlenen Azure Active Directory (Azure AD)
  • guid kimliğini Azure Active Directory

VPN altyapısı

Bu makalede, Microsoft Windows Server 2016 kullanan çalışan bir VPN altyapınız olduğu ve VPN sunucunuzun şu anda bağlantı isteklerini bir RADIUS sunucusuna iletecek şekilde yapılandırılmadığı varsayılır. Makalede, VPN altyapısını merkezi bir RADIUS sunucusu kullanacak şekilde yapılandıracaksınız.

Çalışan bir VPN altyapınız yoksa, Microsoft ve üçüncü taraf sitelerinde bulabileceğiniz çok sayıda VPN kurulum öğreticisindeki yönergeleri izleyerek hızlı bir şekilde bir tane oluşturabilirsiniz.

Ağ İlkesi ve Access Hizmetleri rolü

Ağ İlkesi ve Access Hizmetleri RADIUS sunucusu ve istemci işlevselliği sağlar. Bu makalede, ortamınızdaki bir üye sunucuya veya etki alanı denetleyicisine Ağ İlkesi ve Access Hizmetleri rolü yüklediğiniz varsayılır. Bu kılavuzda, BIR VPN yapılandırması için RADIUS'yi yapılandıracaksınız. Ağ İlkesi'ni ve Access Hizmetleri rolünü VPN sunucunuz dışındaki bir sunucuya yükleyin.

Ağ İlkesi'ni yükleme ve Access Hizmetleri rol hizmeti Windows Server 2012 veya üzeri hakkında bilgi için bkz. NAP Sistem Durumu İlkesi Sunucusu Yükleme. NAP, Windows Server 2016 kullanım dışıdır. NPS'yi bir etki alanı denetleyicisine yükleme önerisi de dahil olmak üzere NPS için en iyi yöntemlerin açıklaması için bkz. NPS için en iyi yöntemler.

Azure AD MFA Lisansı

Azure AD Multi-Factor Authentication için lisans gereklidir ve Azure AD Premium, Enterprise Mobility + Security veya Multi-Factor Authentication tek başına lisansı aracılığıyla kullanılabilir. Kullanıcı başına veya kimlik doğrulaması başına lisanslar gibi Azure AD MFA için tüketim tabanlı lisanslar NPS uzantısıyla uyumlu değildir. Daha fazla bilgi için bkz. Azure AD Multi-Factor Authentication'ı alma. Test amacıyla bir deneme aboneliği kullanabilirsiniz.

Windows Server yazılımı

NPS uzantısı, Ağ İlkesi ve Access Hizmetleri rolü yüklü Windows Server 2008 R2 SP1 veya sonraki bir sürümünü gerektirir. Bu kılavuzdaki tüm adımlar Windows Server 2016 ile gerçekleştirildi.

Kitaplıklar

Aşağıdaki kitaplıklar NPS uzantısıyla otomatik olarak yüklenir:

Microsoft Azure Active Directory PowerShell Modülü henüz yoksa, kurulum işleminin bir parçası olarak çalıştırdığınız bir yapılandırma betiğiyle birlikte yüklenir. Önceden yüklenmemişse modülü önceden yüklemeniz gerekmez.

şirket içi Active Directory ile eşitlenen Azure Active Directory

NPS uzantısını kullanmak için şirket içi kullanıcıların Azure Active Directory ile eşitlenmesi ve MFA için etkinleştirilmesi gerekir. Bu kılavuzda, şirket içi kullanıcıların Azure AD Bağlan aracılığıyla Azure Active Directory ile eşitlendiği varsayılır. MFA için kullanıcıları etkinleştirme yönergeleri aşağıda verilmiştir.

Azure AD Bağlan hakkında bilgi için bkz. Şirket içi dizinlerinizi Azure Active Directory ile tümleştirme.

guid kimliğini Azure Active Directory

NPS uzantısını yüklemek için Azure Active Directory GUID değerini bilmeniz gerekir. Azure Active Directory GUID'sini bulma yönergeleri sonraki bölümde verilmiştir.

VPN bağlantıları için RADIUS yapılandırma

NPS rolünü bir üye sunucuya yüklediyseniz, VPN bağlantısı isteyen VPN istemcisinin kimliğini doğrulamak ve yetkilendirmek için bu rolü yapılandırmanız gerekir.

Bu bölümde Ağ İlkesi'ni ve Access Hizmetleri rolünü yüklediğiniz ancak altyapınızda kullanmak üzere yapılandırmadığınız varsayılır.

Not

Kimlik doğrulaması için merkezi bir RADIUS sunucusu kullanan çalışan bir VPN sunucunuz zaten varsa, bu bölümü atlayabilirsiniz.

Sunucuyu Active Directory'ye Kaydetme

Bu senaryoda düzgün çalışması için NPS sunucusunun Active Directory'ye kaydedilmesi gerekir.

  1. Sunucu Yöneticisi'ni açın.

  2. Sunucu Yöneticisi'da Araçlar'ı ve ardından Ağ İlkesi Sunucusu'nu seçin.

  3. Ağ İlkesi Sunucusu konsolunda NPS (Yerel) seçeneğine sağ tıklayın ve ardından Sunucuyu Active Directory'ye kaydet'i seçin. İki kez Tamam'ı seçin.

    Register server in Active Directory menu option

  4. Sonraki yordam için konsolu açık bırakın.

RADIUS sunucusunu yapılandırmak için sihirbazı kullanma

RADIUS sunucusunu yapılandırmak için standart (sihirbaz tabanlı) veya gelişmiş bir yapılandırma seçeneği kullanabilirsiniz. Bu bölümde sihirbaz tabanlı standart yapılandırma seçeneğini kullandığınız varsayılır.

  1. Ağ İlkesi Sunucusu konsolunda NPS (Yerel) seçeneğini belirleyin.

  2. Standart Yapılandırma'nın altında Çevirmeli Bağlantı veya VPN Bağlantıları için RADIUS Sunucusu'nu seçin ve ardından VPN veya Çevirmeli Bağlantı Yapılandır'ı seçin.

    Configure RADIUS Server for Dial-Up or VPN Connections

  3. Çevirmeli Ağ veya Sanal Özel Ağ Bağlantıları Türünü Seçin penceresinde Sanal Özel Ağ Bağlantıları'nı ve ardından İleri'yi seçin.

    Configure Virtual private network connections

  4. Çevirmeli Bağlantı veya VPN Sunucusu Belirt penceresinde Ekle'yi seçin.

  5. Yeni RADIUS istemcisi penceresinde kolay bir ad girin, VPN sunucusunun çözümlenebilir adını veya IP adresini girin ve ardından paylaşılan bir gizli parola girin. Paylaşılan gizli parolayı uzun ve karmaşık hale getirin. Bir sonraki bölümde gerek duyacağınız için kaydedin.

    Create a New RADIUS client window

  6. Tamam'ı ve ardından İleri'yi seçin.

  7. Kimlik Doğrulama Yöntemlerini Yapılandır penceresinde, varsayılan seçimi kabul edin (Microsoft Şifreli Kimlik Doğrulaması sürüm 2 [MS-CHAPv2]) veya başka bir seçenek belirleyin ve İleri'yi seçin.

    Not

    Genişletilebilir Kimlik Doğrulama Protokolü(EAP) yapılandırırsanız, Microsoft Challenge-Handshake Kimlik Doğrulama Protokolü (CHAPv2) veya Korumalı Genişletilebilir Kimlik Doğrulama Protokolü (PEAP) kullanmanız gerekir. Başka EAP desteklenmez.

  8. Kullanıcı Gruplarını Belirtin penceresinde Ekle'yi ve ardından uygun bir grubu seçin. Grup yoksa, tüm kullanıcılara erişim vermek için seçimi boş bırakın.

    Specify User Groups window to allow or deny access

  9. İleri’yi seçin.

  10. IP Filtrelerini Belirtin penceresinde İleri'yi seçin.

  11. Şifreleme Ayarlar Belirtin penceresinde varsayılan ayarları kabul edin ve İleri'yi seçin.

    The Specify Encryption Settings window

  12. Bölge Adı Belirt penceresinde bölge adını boş bırakın, varsayılan ayarı kabul edin ve İleri'yi seçin.

    The Specify a Realm Name window

  13. Yeni Çevirmeli Veya Sanal Özel Ağ Bağlantıları ve RADIUS istemcileri Tamamlanıyor penceresinde Son'u seçin.

    Completed configuration window

RADIUS yapılandırmasını doğrulama

Bu bölümde, sihirbazı kullanarak oluşturduğunuz yapılandırmanın ayrıntıları yer alır.

  1. Ağ İlkesi Sunucusu'ndaki NPS (yerel) konsolunda RADIUS İstemcileri'ni genişletin ve RADIUS İstemcileri'ni seçin.

  2. Ayrıntılar bölmesinde, oluşturduğunuz RADIUS istemcisine sağ tıklayın ve özellikler'i seçin. RADIUS istemcinizin (VPN sunucusu) özellikleri burada gösterilenlere benzer olmalıdır:

    Verify the VPN properties and configuration

  3. İptal’i seçin.

  4. Ağ İlkesi Sunucusu'ndaki NPS (yerel) konsolunda İlkeler'i genişletin ve ardından Bağlantı İsteği İlkeleri'ni seçin. VPN Bağlantıları ilkesi aşağıdaki görüntüde gösterildiği gibi görüntülenir:

    Connection request policy showing VPN connection policy

  5. İlkeler'in altında Ağ İlkeleri'ne tıklayın. Aşağıdaki görüntüde gösterilen ilkeye benzer bir Sanal Özel Ağ (VPN) Bağlantıları ilkesi görmeniz gerekir:

    Network Policies showing Virtual Private Network Connections policy

VPN sunucunuzu RADIUS kimlik doğrulamasını kullanacak şekilde yapılandırma

Bu bölümde, VPN sunucunuzu RADIUS kimlik doğrulamasını kullanacak şekilde yapılandıracaksınız. Yönergelerde, bir VPN sunucusunun çalışma yapılandırmasına sahip olduğunuz ancak RADIUS kimlik doğrulamasını kullanacak şekilde yapılandırmadığınız varsayılır. VPN sunucusunu yapılandırdıktan sonra yapılandırmanızın beklendiği gibi çalıştığını onaylayın.

Not

RADIUS kimlik doğrulaması kullanan çalışan bir VPN sunucusu yapılandırmanız zaten varsa, bu bölümü atlayabilirsiniz.

Kimlik doğrulama sağlayıcısını yapılandırma

  1. VPN sunucusunda Sunucu Yöneticisi açın.

  2. Sunucu Yöneticisi'da Araçlar'ı ve ardından Yönlendirme ve Uzaktan Erişim'i seçin.

  3. Yönlendirme ve Uzaktan Erişim penceresinde sunucu adına> (yerel) sağ tıklayın< ve özellikler'i seçin.

  4. <Sunucu adı> (yerel) Özellikler penceresinde Güvenlik sekmesini seçin.

  5. Güvenlik sekmesinde, Kimlik doğrulama sağlayıcısı'nın altında RADIUS Kimlik Doğrulaması'nı ve ardından Yapılandır'ı seçin.

    Configure RADIUS Authentication provider

  6. RADIUS Kimlik Doğrulaması penceresinde Ekle'yi seçin.

  7. RADIUS Sunucusu Ekle penceresinde aşağıdakileri yapın:

    a. Sunucu adı kutusuna, önceki bölümde yapılandırdığınız RADIUS sunucusunun adını veya IP adresini girin.

    b. Paylaşılan gizli dizi için Değiştir'i seçin ve daha önce oluşturup kaydettiğiniz paylaşılan gizli dizi parolasını girin.

    c. Zaman aşımı (saniye) kutusuna 60 değerini girin.
    Atılan istekleri en aza indirmek için VPN sunucularının en az 60 saniyelik bir zaman aşımıyla yapılandırılmasını öneririz. Gerekirse veya olay günlüklerindeki atılan istekleri azaltmak için VPN sunucusu zaman aşımı değerini 90 veya 120 saniyeye çıkarabilirsiniz.

  8. Tamam’ı seçin.

VPN bağlantısını test etme

Bu bölümde, VPN sanal bağlantı noktasına bağlanmaya çalıştığınızda RADIUS sunucusu tarafından VPN istemcisinin kimliğinin doğrulandığını ve yetkilendirildiğini onaylarsınız. Yönergelerde vpn istemcisi olarak Windows 10 kullandığınız varsayılır.

Not

VPN sunucusuna bağlanmak için zaten bir VPN istemcisi yapılandırdıysanız ve ayarları kaydettiyseniz, VPN bağlantı nesnesini yapılandırma ve kaydetme ile ilgili adımları atlayabilirsiniz.

  1. VPN istemci bilgisayarınızda Başlangıç düğmesini ve ardından Ayarlar düğmesini seçin.

  2. Windows Ayarlar penceresinde Ağ & İnterneti'ni seçin.

  3. VPN'yi seçin.

  4. VPN bağlantısı ekle'yi seçin.

  5. VPN bağlantısı ekle penceresindeki VPN sağlayıcısı kutusunda Windows (yerleşik) öğesini seçin, kalan alanları uygun şekilde doldurun ve kaydet'i seçin.

    The

  6. Denetim Masası'a gidin ve Ağ ve Paylaşım Merkezi'ne tıklayın.

  7. Bağdaştırıcı ayarlarını değiştir'i seçin.

    Network and Sharing Center - Change adapter settings

  8. VPN ağ bağlantısına sağ tıklayın ve özellikler'i seçin.

  9. VPN özellikleri penceresinde Güvenlik sekmesini seçin.

  10. Güvenlik sekmesinde yalnızca Microsoft CHAP Sürüm 2 'nin (MS-CHAP v2) seçili olduğundan emin olun ve tamam'ı seçin.

    The

  11. VPN bağlantısına sağ tıklayın ve Bağlan'ı seçin.

  12. Ayarlar penceresinde Bağlan'i seçin.
    Güvenlik günlüğünde, RADIUS sunucusunda olay kimliği 6272 olarak burada gösterildiği gibi başarılı bir bağlantı görünür:

    Event Properties window showing a successful connection

RADIUS sorunlarını giderme

VPN sunucusunu kimlik doğrulaması ve yetkilendirme için merkezi bir RADIUS sunucusu kullanacak şekilde yapılandırmadan önce VPN yapılandırmanızın çalıştığını varsayın. Yapılandırma çalışıyorsa, sorunun nedeni RADIUS sunucusunun yanlış yapılandırılması veya geçersiz bir kullanıcı adı veya parola kullanılması olabilir. Örneğin, kullanıcı adına alternatif UPN sonekini kullanırsanız oturum açma girişimi başarısız olabilir. En iyi sonuçlar için aynı hesap adını kullanın.

Bu sorunları gidermek için başlamak için ideal bir yer RADIUS sunucusundaki Güvenlik olay günlüklerini incelemektir. Olayları ararken zaman kazanmak için, burada gösterildiği gibi Olay Görüntüleyicisi'da rol tabanlı Ağ İlkesi ve Access Server özel görünümünü kullanabilirsiniz. "Olay Kimliği 6273", NPS'nin kullanıcıya erişimi engellediği olayları gösterir.

Event Viewer showing NPAS events

Multi-Factor Authentication'ı yapılandırma

Kullanıcıları Multi-Factor Authentication için yapılandırma konusunda yardım için Bulut tabanlı Azure AD Multi-Factor Authentication dağıtımı planlama ve hesabımı iki aşamalı doğrulama için ayarlama makalelerine bakın

NPS uzantısını yükleme ve yapılandırma

Bu bölümde, VPN sunucusuyla istemci kimlik doğrulaması için MFA kullanmak üzere VPN yapılandırma yönergeleri sağlanır.

Not

REQUIRE_USER_MATCH kayıt defteri anahtarı büyük/küçük harfe duyarlıdır. Tüm değerler BÜYÜK HARF biçiminde ayarlanmalıdır.

NPS uzantısını yükleyip yapılandırdıktan sonra, bu sunucu tarafından işlenen tüm RADIUS tabanlı istemci kimlik doğrulamasının MFA kullanması gerekir. Tüm VPN kullanıcılarınız Azure AD Multi-Factor Authentication'a kayıtlı değilse aşağıdakilerden birini yapabilirsiniz:

  • MFA kullanacak şekilde yapılandırılmamış kullanıcıların kimliğini doğrulamak için başka bir RADIUS sunucusu ayarlayın.

  • Zorlanan kullanıcıların Azure AD Multi-Factor Authentication'a kayıtlı olmaları durumunda ikinci bir kimlik doğrulama faktörü sağlamasına olanak tanıyan bir kayıt defteri girdisi oluşturun.

HKLM\SOFTWARE\Microsoft\AzureMfa içinde REQUIRE_USER_MATCH adlı yeni bir dize değeri oluşturun ve değeri TRUE veya FALSE olarak ayarlayın.

The

Değer TRUE olarak ayarlandıysa veya boşsa, tüm kimlik doğrulama istekleri bir MFA sınamasına tabidir. Değer FALSE olarak ayarlanırsa, MFA sınamaları yalnızca Azure AD Multi-Factor Authentication'a kayıtlı kullanıcılara verilir. YanLIŞ ayarını yalnızca bir ekleme döneminde testlerde veya üretim ortamlarında kullanın.

Azure Active Directory kiracı kimliğini alma

NPS uzantısı yapılandırmasının bir parçası olarak, yönetici kimlik bilgilerini ve Azure AD kiracınızın kimliğini sağlamanız gerekir. Kiracı kimliğini almak için aşağıdaki adımları tamamlayın:

  1. azure kiracısının genel yöneticisi olarak Azure portal oturum açın.

  2. Azure portal menüsünde Azure Active Directory seçin veya herhangi bir sayfadan Azure Active Directory arayın ve seçin.

  3. Genel Bakış sayfasında Kiracı bilgileri gösterilir. Kiracı Kimliği'nin yanında, aşağıdaki örnek ekran görüntüsünde gösterildiği gibi Kopyala simgesini seçin:

    Getting the Tenant ID from the Azure portal

NPS uzantısını yükleme

NPS uzantısı, Ağ İlkesi ve Access Hizmetleri rolü yüklü olan ve tasarımınızda RADIUS sunucusu olarak işlev gösteren bir sunucuya yüklenmelidir. NPS uzantısını VPN sunucunuza yüklemeyin .

  1. Microsoft İndirme Merkezi'nden NPS uzantısını indirin.

  2. Kurulum yürütülebilir dosyasını (NpsExtnForAzureMfaInstaller.exe) NPS sunucusuna kopyalayın.

  3. NPS sunucusunda NpsExtnForAzureMfaInstaller.exe çift tıklayın ve istenirse Çalıştır'ı seçin.

  4. Azure AD MFA Kurulumu için NPS Uzantısı penceresinde yazılım lisans koşullarını gözden geçirin, Lisans hüküm ve koşullarını kabul ediyorum onay kutusunu ve ardından Yükle'yi seçin.

    The

  5. Azure AD MFA Kurulumu için NPS Uzantısı penceresinde Kapat'ı seçin.

    The

PowerShell betiği kullanarak NPS uzantısıyla kullanılacak sertifikaları yapılandırma

Güvenli iletişim ve güvence sağlamak için sertifikaları NPS uzantısı tarafından kullanılacak şekilde yapılandırın. NPS bileşenleri, NPS ile kullanılmak üzere otomatik olarak imzalanan bir sertifika yapılandıran bir Windows PowerShell betiği içerir.

Betik aşağıdaki eylemleri gerçekleştirir:

  • Otomatik olarak imzalanan bir sertifika oluşturur.
  • Sertifikanın ortak anahtarını Azure AD'de hizmet sorumlusuyla ilişkilendirir.
  • Sertifikayı yerel makine deposunda depolar.
  • Ağ kullanıcısına sertifikanın özel anahtarına erişim verir.
  • NPS hizmetini yeniden başlatır.

Kendi sertifikalarınızı kullanmak istiyorsanız, sertifikanızın ortak anahtarını Azure AD'de hizmet sorumlusuyla ilişkilendirmeniz vb. gerekir.

Betiği kullanmak için uzantıya Azure Active Directory yönetim kimlik bilgilerinizi ve daha önce kopyaladığınız Azure Active Directory kiracı kimliğini sağlayın. Hesabın, uzantısını etkinleştirmek istediğiniz Azure AD kiracısında olması gerekir. Betiği, NPS uzantısını yüklediğiniz her NPS sunucusunda çalıştırın.

  1. Windows PowerShell yönetici olarak çalıştırın.

  2. PowerShell komut isteminde cd "c:\Program Files\Microsoft\AzureMfa\Config" yazın ve enter tuşuna basın.

  3. Sonraki komut isteminde .\AzureMfaNpsExtnConfigSetup.ps1yazın ve Enter'ı seçin. Betik, Azure AD PowerShell modülünün yüklü olup olmadığını denetler. Yüklü değilse betik modülü sizin için yükler.

    Running the AzureMfsNpsExtnConfigSetup.ps1 configuration script

    TLS nedeniyle bir güvenlik hatası alırsanız, PowerShell isteminizden komutunu kullanarak [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 TLS 1.2'yi etkinleştirin.

    Betik, PowerShell modülünün yüklemesini doğruladıktan sonra Azure Active Directory PowerShell modülü oturum açma penceresini görüntüler.

  4. Azure AD yönetici kimlik bilgilerinizi ve parolanızı girip Oturum aç'ı seçin.

    Authenticate to Azure AD PowerShell

  5. Komut isteminde, daha önce kopyaladığınız kiracı kimliğini yapıştırın ve enter tuşuna basın.

    Input the Azure AD Tenant ID copied before

    Betik otomatik olarak imzalanan bir sertifika oluşturur ve diğer yapılandırma değişikliklerini gerçekleştirir. Çıktı aşağıdaki görüntüde yer alan gibidir:

    PowerShell window showing Self-signed certificate

  6. Sunucuyu yeniden başlatın.

Yapılandırmayı doğrulama

Yapılandırmayı doğrulamak için VPN sunucusuyla yeni bir VPN bağlantısı kurmanız gerekir. Birincil kimlik doğrulaması için kimlik bilgilerinizi başarıyla girdikten sonra VPN bağlantısı, aşağıda gösterildiği gibi bağlantı kurulmadan önce ikincil kimlik doğrulamasının başarılı olmasını bekler.

The Windows Settings VPN window

Daha önce Azure AD MFA'da yapılandırdığınız ikincil doğrulama yöntemiyle başarıyla kimlik doğrulaması yaparsanız kaynağa bağlanırsınız. Ancak, ikincil kimlik doğrulaması başarısız olursa kaynağa erişiminiz reddedilir.

Aşağıdaki örnekte, bir Windows Phone üzerindeki Microsoft Authenticator uygulaması ikincil kimlik doğrulamasını sağlar:

Example MFA prompt on Windows Phone

İkincil yöntemi kullanarak kimlik doğrulamasından başarıyla geçtikten sonra, VPN sunucusundaki sanal bağlantı noktasına erişim izni verilir. Güvenilir bir cihazda mobil uygulama kullanarak ikincil kimlik doğrulama yöntemi kullanmanız gerektiğinden, oturum açma işlemi yalnızca kullanıcı adı ve parola bileşiminden daha güvenlidir.

Başarılı oturum açma olayları için Olay Görüntüleyicisi günlüklerini görüntüleme

başarılı oturum açma olaylarını Windows Olay Görüntüleyicisi günlüklerinde görüntülemek için aşağıdaki PowerShell komutunu girerek NPS sunucusunda Windows Güvenliği günlüğünü sorgulayın:

Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL

PowerShell security Event Viewer

Burada gösterildiği gibi güvenlik günlüğünü veya Ağ İlkesi'ni görüntüleyebilir ve özel görünüm Access Hizmetleri:

Example Network Policy Server log

Azure AD Multi-Factor Authentication için NPS uzantısını yüklediğiniz sunucuda, uzantıya özgü Olay Görüntüleyicisi uygulama günlüklerini Uygulama ve Hizmet Günlükleri\Microsoft\AzureMfa konumunda bulabilirsiniz.

Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL

Example Event Viewer AuthZ logs pane

Sorun giderme kılavuzu

Yapılandırma beklendiği gibi çalışmıyorsa, kullanıcının MFA kullanacak şekilde yapılandırıldığını doğrulayarak sorun gidermeye başlayın. Kullanıcının Azure portal bağlanmasını sağlayın. Kullanıcıdan ikincil kimlik doğrulaması istenirse ve başarıyla kimlik doğrulaması yapabilirse, sorun olarak yanlış bir MFA yapılandırmasını ortadan kaldırabilirsiniz.

MFA kullanıcı için çalışıyorsa ilgili Olay Görüntüleyicisi günlüklerini gözden geçirin. Günlükler, önceki bölümde ele alınan güvenlik olayı, Ağ geçidi işletimsel ve Azure AD Multi-Factor Authentication günlüklerini içerir.

Başarısız oturum açma olayını (olay kimliği 6273) görüntüleyen bir güvenlik günlüğü örneği burada gösterilmiştir:

Security log showing a failed sign-in event

Azure AD Multi-Factor Authentication günlüğünden ilgili bir olay burada gösterilmiştir:

Azure AD Multi-Factor Authentication logs

Gelişmiş sorun giderme işlemi yapmak için, NPS hizmetinin yüklü olduğu NPS veritabanı biçimi günlük dosyalarına başvurun. Günlük dosyaları %SystemRoot%\System32\Logs klasöründe virgülle ayrılmış metin dosyaları olarak oluşturulur. Günlük dosyalarının açıklaması için bkz. NPS Veritabanı Biçimi Günlük Dosyalarını Yorumlama.

Bu günlük dosyalarındaki girişleri bir elektronik tabloya veya veritabanına aktarmadığınız sürece yorumlamak zordur. Günlük dosyalarını yorumlamanıza yardımcı olmak için birçok internet kimlik doğrulama hizmeti (IAS) ayrıştırma aracını çevrimiçi bulabilirsiniz. Bu tür indirilebilir shareware uygulamalarının çıkışı burada gösterilmiştir:

Sample Shareware app IAS parser

Ek sorun giderme işlemleri yapmak için Wireshark veya Microsoft Message Analyzer gibi bir protokol çözümleyicisi kullanabilirsiniz. Wireshark'ın aşağıdaki görüntüsünde VPN sunucusu ile NPS arasındaki RADIUS iletileri gösterilmektedir.

Microsoft Message Analyzer showing filtered traffic

Daha fazla bilgi için bkz. Mevcut NPS altyapınızı Azure AD Multi-Factor Authentication ile tümleştirme.

Sonraki adımlar

Azure AD Multi-Factor Authentication'ı edinin

RADIUS kullanan Uzak Masaüstü Ağ Geçidi ve Azure Multi-Factor Authentication Sunucusu

Şirket içi dizinlerinizi Azure Active Directory ile tümleştirme