Azure için Ağ İlkesi Sunucusu uzantısını kullanarak VPN altyapınızı Microsoft Entra çok faktörlü kimlik doğrulamasıyla tümleştirme

  • Makale

Azure için Ağ İlkesi Sunucusu (NPS) uzantısı, kuruluşların iki aşamalı doğrulama sağlayan bulut tabanlı Microsoft Entra çok faktörlü kimlik doğrulamasını kullanarak Uzaktan Kimlik Doğrulama Arayarak Bağlanma Kullanıcı Hizmeti (RADIUS) istemci kimlik doğrulamasını korumasına olanak tanır.

Bu makalede, Azure için NPS uzantısını kullanarak NPS altyapısını MFA ile tümleştirme yönergeleri sağlanır. Bu işlem, VPN kullanarak ağınıza bağlanmaya çalışan kullanıcılar için güvenli iki aşamalı doğrulama sağlar.

Not

NPS MFA uzantısı zamana bağlı tek seferlik parolayı (TOTP) desteklese de, Windows VPN gibi bazı VPN istemcileri desteklemez. NPS uzantısında etkinleştirmeden önce kullandığınız VPN istemcilerinin kimlik doğrulama yöntemi olarak TOTP'yi desteklediğinden emin olun.

Ağ İlkesi ve Access Hizmetleri kuruluşlara şu özellikleri sunar:

  • Ağ isteklerinin yönetimi ve denetimi için aşağıdakileri belirtmek üzere merkezi bir konum atayın:

    • Kim bağlanabilir?

    • Günün hangi saatleri bağlantılarına izin verilir?

    • Bağlantıların süresi

    • İstemcilerin bağlanmak için kullanması gereken güvenlik düzeyi

      Her VPN veya Uzak Masaüstü Ağ Geçidi sunucusunda ilke belirtmek yerine, merkezi bir konumdan sonra bunu yapın. RADIUS protokolü merkezi Kimlik Doğrulaması, Yetkilendirme ve Hesaplama (AAA) sağlamak için kullanılır.

  • Cihazlara ağ kaynaklarına sınırsız veya kısıtlanmış erişim verilip verilmediğini belirleyen Ağ Erişim Koruması (NAP) istemci durumu ilkeleri oluşturun ve uygulayın.

  • 802.1x özellikli kablosuz erişim noktalarına ve Ethernet anahtarlarına erişim için kimlik doğrulaması ve yetkilendirmeyi zorunlu kılmanın bir yolunu sağlayın. Daha fazla bilgi için bkz . Ağ İlkesi Sunucusu.

Kuruluşlar, güvenliği geliştirmek ve yüksek düzeyde uyumluluk sağlamak için NPS'yi Microsoft Entra çok faktörlü kimlik doğrulamasıyla tümleştirerek kullanıcıların VPN sunucusundaki sanal bağlantı noktasına bağlanmak için iki aşamalı doğrulama kullanmasını sağlayabilir. Kullanıcılara erişim verilmesi için kullanıcı adı ve parola birleşimlerini ve denetledikleri diğer bilgileri sağlamaları gerekir. Bu bilgilere güvenilmeli ve kolayca çoğaltılmamalıdır. Cep telefonu numarası, sabit hat numarası veya mobil cihazdaki bir uygulama içerebilir.

Kuruluşunuz vpn kullanıyorsa ve kullanıcı Authenticator anında iletme bildirimleriyle birlikte bir TOTP koduna kaydolursa, kullanıcı MFA sınamasını karşılayamaz ve uzaktan oturum açma başarısız olur. Bu durumda, OVERRIDE_NUMBER_MATCHING_WITH_OTP = YANLIŞ'ı, anında iletme bildirimlerini Authenticator ile Onayla/Reddet olarak geri dönüş olarak ayarlayabilirsiniz.

NPS uzantısının VPN kullanıcıları için çalışmaya devam etmesi için bu kayıt defteri anahtarının NPS sunucusunda oluşturulması gerekir. NPS sunucusunda kayıt defteri düzenleyicisini açın. Şu sayfaya gidin:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

Aşağıdaki Dize/Değer çiftini oluşturun:

Ad: OVERRIDE_NUMBER_MATCHING_WITH_OTP

Değer = YANLIŞ

Azure için NPS uzantısının kullanılabilirliği öncesinde, tümleşik NPS ve MFA ortamları için iki aşamalı doğrulama uygulamak isteyen müşterilerin şirket içi ortamda ayrı bir MFA sunucusu yapılandırması ve bakımını yapmak zorunda kaldı. Bu kimlik doğrulaması türü, RADIUS kullanılarak Uzak Masaüstü Ağ Geçidi ve Azure Multi-Factor Authentication Sunucusu tarafından sunulur.

Kuruluşlar, Azure için NPS uzantısıyla şirket içi bir MFA çözümü veya bulut tabanlı MFA çözümü dağıtarak RADIUS istemci kimlik doğrulamasının güvenliğini sağlayabilir.

Kimlik doğrulama akışı

Kullanıcılar BIR VPN sunucusundaki sanal bağlantı noktasına bağlandığında, önce çeşitli protokoller kullanarak kimlik doğrulaması yapmalıdır. Protokoller, kullanıcı adı ve parola ile sertifika tabanlı kimlik doğrulama yöntemlerinin bir bileşiminin kullanılmasına izin verir.

Kullanıcıların kimliklerini doğrulamaya ve kimliklerini doğrulamaya ek olarak uygun arayarak bağlanma izinlerine sahip olmaları gerekir. Basit uygulamalarda, erişime izin veren arayarak bağlanma izinleri doğrudan Active Directory kullanıcı nesnelerinde ayarlanır.

Dial-in tab in Active Directory Users and Computers user properties

Basit uygulamalarda, her VPN sunucusu her yerel VPN sunucusunda tanımlanan ilkelere göre erişim verir veya erişimi reddeder.

Daha büyük ve daha ölçeklenebilir uygulamalarda, VPN erişimi veren veya reddeden ilkeler RADIUS sunucularında merkezileştirilir. Bu gibi durumlarda VPN sunucusu, bağlantı isteklerini ve hesap iletilerini bir RADIUS sunucusuna ileden bir erişim sunucusu (RADIUS istemcisi) işlevi görür. VPN sunucusundaki sanal bağlantı noktasına bağlanmak için kullanıcıların kimliğinin doğrulanması ve RADIUS sunucularında merkezi olarak tanımlanan koşulları karşılaması gerekir.

Azure için NPS uzantısı NPS ile tümleştirildiğinde başarılı bir kimlik doğrulama akışı aşağıdaki gibi sonuçlanır:

  1. VPN sunucusu, uzak masaüstü oturumu gibi bir kaynağa bağlanmak için kullanıcı adını ve parolayı içeren bir VPN kullanıcısından kimlik doğrulama isteği alır.
  2. RADIUS istemcisi olarak hareket eden VPN sunucusu, isteği BIR RADIUS Erişim İsteği iletisine dönüştürür ve NPS uzantısının yüklü olduğu RADIUS sunucusuna (şifreli bir parolayla) gönderir.
  3. Kullanıcı adı ve parola bileşimi Active Directory'de doğrulanır. Kullanıcı adı veya parola yanlışsa, RADIUS Sunucusu bir Access-Reject iletisi gönderir.
  4. NPS Bağlan ion İsteği ve Ağ İlkeleri'nde belirtildiği gibi tüm koşullar karşılanırsa (örneğin, günün saati veya grup üyeliği kısıtlamaları), NPS uzantısı Microsoft Entra çok faktörlü kimlik doğrulaması ile ikincil kimlik doğrulaması isteği tetikler.
  5. Microsoft Entra çok faktörlü kimlik doğrulaması Microsoft Entra Kimliği ile iletişim kurar, kullanıcının ayrıntılarını alır ve kullanıcı tarafından yapılandırılan yöntemi (cep telefonu araması, kısa mesaj veya mobil uygulama) kullanarak ikincil kimlik doğrulamasını gerçekleştirir.
  6. MFA sınaması başarılı olduğunda, Microsoft Entra çok faktörlü kimlik doğrulaması sonucu NPS uzantısına iletir.
  7. Bağlantı girişimi hem kimliği doğrulandıktan hem de yetkilendirildikten sonra, uzantının yüklendiği NPS, VPN sunucusuna (RADIUS istemcisi) bir RADIUS Erişimi-Kabul Et iletisi gönderir.
  8. Kullanıcıya VPN sunucusundaki sanal bağlantı noktasına erişim verilir ve şifrelenmiş bir VPN tüneli oluşturur.

Önkoşullar

Bu bölümde, MFA'nın VPN ile tümleştirilmesi için önce tamamlanması gereken önkoşullar ayrıntılı olarak anlatılacaktır. Başlamadan önce aşağıdaki önkoşullara sahip olmanız gerekir:

  • VPN altyapısı
  • Ağ İlkesi ve Access Hizmetleri rolü
  • Microsoft Entra çok faktörlü kimlik doğrulaması lisansı
  • Windows Server yazılımı
  • Kitaplıklar
  • şirket içi Active Directory ile eşitlenen Microsoft Entra Id
  • Microsoft Entra GUID Kimliği

VPN altyapısı

Bu makalede, Microsoft Windows Server 2016 kullanan çalışan bir VPN altyapınız olduğu ve VPN sunucunuzun şu anda bağlantı isteklerini radius sunucusuna iletecek şekilde yapılandırılmadığı varsayılır. Makalede VPN altyapısını merkezi bir RADIUS sunucusu kullanacak şekilde yapılandıracaksınız.

Çalışan bir VPN altyapınız yoksa, Microsoft ve üçüncü taraf sitelerinde bulabileceğiniz birçok VPN kurulum öğreticisindeki yönergeleri izleyerek hızlı bir şekilde bir tane oluşturabilirsiniz.

Ağ İlkesi ve Access Hizmetleri rolü

Ağ İlkesi ve Access Hizmetleri RADIUS sunucusu ve istemci işlevselliği sağlar. Bu makalede, ortamınızdaki bir üye sunucuya veya etki alanı denetleyicisine Ağ İlkesi ve Access Hizmetleri rolü yüklediğiniz varsayılır. Bu kılavuzda, RADIUS'yi bir VPN yapılandırması için yapılandıracaksınız. Ağ İlkesi'ni ve Access Hizmetleri rolünü VPN sunucunuz dışındaki bir sunucuya yükleyin.

Ağ İlkesi'ni ve Access Hizmetleri rol hizmetini Windows Server 2012 veya sonraki bir sürümü yükleme hakkında bilgi için bkz. NAP Sistem Durumu İlkesi Sunucusu Yükleme. NAP, Windows Server 2016'da kullanım dışıdır. NPS'yi bir etki alanı denetleyicisine yükleme önerisi de dahil olmak üzere NPS için en iyi yöntemlerin açıklaması için bkz . NPS için en iyi yöntemler.

Windows Server yazılımı

NPS uzantısı, Ağ İlkesi ve Access Hizmetleri rolü yüklü olarak Windows Server 2008 R2 SP1 veya üzerini gerektirir. Bu kılavuzdaki tüm adımlar Windows Server 2016 ile gerçekleştirildi.

Kitaplıklar

Aşağıdaki kitaplık NPS uzantısıyla otomatik olarak yüklenir:

Microsoft Graph PowerShell modülü henüz yoksa, kurulum işleminin bir parçası olarak çalıştırdığınız bir yapılandırma betiğiyle birlikte yüklenir. Graph PowerShell'i önceden yüklemeniz gerekmez.

şirket içi Active Directory ile eşitlenen Microsoft Entra Id

NPS uzantısını kullanmak için şirket içi kullanıcıların Microsoft Entra Id ile eşitlenmesi ve MFA için etkinleştirilmesi gerekir. Bu kılavuz, şirket içi kullanıcıların Microsoft Entra Bağlan aracılığıyla Microsoft Entra Id ile eşitlendiğini varsayar. MFA için kullanıcıları etkinleştirme yönergeleri aşağıda verilmiştır.

Microsoft Entra Bağlan hakkında bilgi için bkz. Şirket içi dizinlerinizi Microsoft Entra Id ile tümleştirme.

Microsoft Entra GUID Kimliği

NPS uzantısını yüklemek için Microsoft Entra Kimliğinin GUID değerini bilmeniz gerekir. Microsoft Entra Kimliğinin GUID'sini bulma yönergeleri sonraki bölümde sağlanmıştır.

VPN bağlantıları için RADIUS'yi yapılandırma

NPS rolünü bir üye sunucuya yüklediyseniz, VPN bağlantısı isteyen VPN istemcisinin kimliğini doğrulamak ve yetkilendirmek için bunu yapılandırmanız gerekir.

Bu bölümde Ağ İlkesi'ni ve Access Hizmetleri rolünü yüklediğiniz ancak altyapınızda kullanmak üzere yapılandırmadığınız varsayılır.

Not

Kimlik doğrulaması için merkezi bir RADIUS sunucusu kullanan çalışan bir VPN sunucunuz zaten varsa, bu bölümü atlayabilirsiniz.

Sunucuyu Active Directory'ye Kaydetme

Bu senaryoda düzgün çalışması için NPS sunucusunun Active Directory'ye kaydedilmesi gerekir.

  1. Sunucu Yöneticisi'ni açın.

  2. Sunucu Yöneticisi Araçlar'ı ve ardından Ağ İlkesi Sunucusu'nu seçin.

  3. Ağ İlkesi Sunucusu konsolunda NPS (Yerel) seçeneğine sağ tıklayın ve ardından Sunucuyu Active Directory'ye kaydet'i seçin. İki kez Tamam'ı seçin.

    Register server in Active Directory menu option

  4. Sonraki yordam için konsolu açık bırakın.

RADIUS sunucusunu yapılandırmak için sihirbazı kullanma

RADIUS sunucusunu yapılandırmak için standart (sihirbaz tabanlı) veya gelişmiş bir yapılandırma seçeneği kullanabilirsiniz. Bu bölümde sihirbaz tabanlı standart yapılandırma seçeneğini kullandığınız varsayılır.

  1. Ağ İlkesi Sunucusu konsolunda NPS (Yerel) öğesini seçin.

  2. Standart Yapılandırma'nın altında Çevirmeli veya VPN Bağlan ions için RADIUS Sunucusu'nu seçin ve ardından VPN veya Çevirmeli Bağlantıyı Yapılandır'ı seçin.

    Configure RADIUS Server for Dial-Up or VPN Connections

  3. Çevirmeli Ağ veya Sanal Özel Ağ Bağlan ions Türü Seçin penceresinde Sanal Özel Ağ Bağlan ions'ı ve ardından İleri'yi seçin.

    Configure Virtual private network connections

  4. Çevirmeli Bağlantı veya VPN Sunucusu Belirt penceresinde Ekle'yi seçin.

  5. Yeni RADIUS istemci penceresinde kolay bir ad girin, VPN sunucusunun çözümlenebilir adını veya IP adresini girin ve ardından paylaşılan bir gizli dizi parolası girin. Paylaşılan gizli parolayı uzun ve karmaşık hale getirin. Bir sonraki bölümde ihtiyacınız olduğundan kaydedin.

    Create a New RADIUS client window

  6. Tamam öğesini ve sonra İleri öğesini seçin.

  7. Kimlik Doğrulama Yöntemlerini Yapılandır penceresinde, varsayılan seçimi (Microsoft Encrypted Authentication sürüm 2 [MS-CHAPv2]) kabul edin veya başka bir seçenek belirleyin ve İleri'yi seçin.

    Not

    Genişletilebilir Kimlik Doğrulama Protokolü(EAP) yapılandırırsanız, Microsoft Sınama El Sıkışma Kimlik Doğrulama Protokolü (CHAPv2) veya Korumalı Genişletilebilir Kimlik Doğrulama Protokolü (PEAP) kullanmanız gerekir. Başka bir EAP desteklenmez.

  8. Kullanıcı Gruplarını Belirtin penceresinde Ekle'yi ve ardından uygun bir grubu seçin. Grup yoksa, tüm kullanıcılara erişim vermek için seçimi boş bırakın.

    Specify User Groups window to allow or deny access

  9. İleri'yi seçin.

  10. IP Filtrelerini Belirtin penceresinde İleri'yi seçin.

  11. Şifreleme Ayarlar Belirtin penceresinde varsayılan ayarları kabul edin ve İleri'yi seçin.

    The Specify Encryption Settings window

  12. Bölge Adı Belirt penceresinde bölge adını boş bırakın, varsayılan ayarı kabul edin ve İleri'yi seçin.

    The Specify a Realm Name window

  13. Yeni Çevirmeli Veya Sanal Özel Ağ Bağlan ions ve RADIUS istemcileri tamamlanıyor penceresinde Son'u seçin.

    Completed configuration window

RADIUS yapılandırmasını doğrulama

Bu bölümde, sihirbazı kullanarak oluşturduğunuz yapılandırmanın ayrıntıları yer alır.

  1. Ağ İlkesi Sunucusu'ndaki NPS (yerel) konsolunda RADIUS İstemcileri'ni genişletin ve RADIUS İstemcileri'ni seçin.

  2. Ayrıntılar bölmesinde, oluşturduğunuz RADIUS istemcisine sağ tıklayın ve özellikler'i seçin. RADIUS istemcinizin (VPN sunucusu) özellikleri burada gösterilen özelliklere benzer olmalıdır:

    Verify the VPN properties and configuration

  3. İptal'i seçin.

  4. Ağ İlkesi Sunucusu'ndaki NPS (yerel) konsolunda İlkeler'i genişletin ve Bağlan ion İstek İlkeleri'ni seçin. VPN Bağlan ions ilkesi aşağıdaki görüntüde gösterildiği gibi görüntülenir:

    Connection request policy showing VPN connection policy

  5. İlkeler'in altında Ağ İlkeleri'ne tıklayın. Aşağıdaki görüntüde gösterilen ilkeye benzeyen bir Sanal Özel Ağ (VPN) Bağlan ions ilkesi görmeniz gerekir:

    Network Policies showing Virtual Private Network Connections policy

VPN sunucunuzu RADIUS kimlik doğrulamasını kullanacak şekilde yapılandırma

Bu bölümde, VPN sunucunuzu RADIUS kimlik doğrulamasını kullanacak şekilde yapılandıracaksınız. Yönergelerde, bir VPN sunucusunun çalışma yapılandırmasına sahip olduğunuz ancak RADIUS kimlik doğrulamasını kullanacak şekilde yapılandırmadığınız varsayılır. VPN sunucusunu yapılandırdıktan sonra yapılandırmanızın beklendiği gibi çalıştığını onaylayın.

Not

RADIUS kimlik doğrulaması kullanan çalışan bir VPN sunucusu yapılandırmanız zaten varsa, bu bölümü atlayabilirsiniz.

Kimlik doğrulama sağlayıcısını yapılandırma

  1. VPN sunucusunda Sunucu Yöneticisi açın.

  2. Sunucu Yöneticisi araçlar'ı ve ardından Yönlendirme ve Uzaktan Erişim'i seçin.

  3. Yönlendirme ve Uzaktan Erişim penceresinde sunucu adına> (yerel) sağ tıklayın <ve özellikler'i seçin.

  4. <Sunucu adı> (yerel) Özellikler penceresinde Güvenlik sekmesini seçin.

  5. Güvenlik sekmesinde, Kimlik doğrulama sağlayıcısı'nın altında RADIUS Kimlik Doğrulaması'nı ve ardından Yapılandır'ı seçin.

    Configure RADIUS Authentication provider

  6. RADIUS Kimlik Doğrulaması penceresinde Ekle'yi seçin.

  7. RADIUS Sunucusu Ekle penceresinde aşağıdakileri yapın:

    1. Sunucu adı kutusuna, önceki bölümde yapılandırdığınız RADIUS sunucusunun adını veya IP adresini girin.

    2. Paylaşılan gizli dizi için Değiştir'i seçin ve daha önce oluşturup kaydettiğiniz paylaşılan gizli dizi parolasını girin.

    3. Zaman aşımı (saniye) kutusuna 60 değerini girin. Atılan istekleri en aza indirmek için VPN sunucularının en az 60 saniyelik bir zaman aşımı ile yapılandırılmasını öneririz. Gerekirse veya olay günlüklerindeki atılan istekleri azaltmak için VPN sunucusu zaman aşımı değerini 90 veya 120 saniyeye çıkarabilirsiniz.

  8. Tamam'ı seçin.

VPN bağlantısını test etme

Bu bölümde, VPN sanal bağlantı noktasına bağlanmaya çalıştığınızda VPN istemcisinin kimliğinin doğrulandığını ve RADIUS sunucusu tarafından yetkilendirildiğini onaylarsınız. Yönergelerde Windows 10'un VPN istemcisi olarak kullanıldığı varsayılır.

Not

VPN istemcisi zaten VPN sunucusuna bağlanacak şekilde yapılandırdıysanız ve ayarları kaydettiyseniz, VPN bağlantı nesnesini yapılandırma ve kaydetme ile ilgili adımları atlayabilirsiniz.

  1. VPN istemci bilgisayarınızda Başlangıç düğmesini ve ardından Ayarlar düğmesini seçin.

  2. Windows Ayarlar penceresinde Ağ ve İnternet'i seçin.

  3. VPN'yi seçin.

  4. VPN bağlantısı ekle'yi seçin.

  5. VPN bağlantısı ekle penceresindeki VPN sağlayıcısı kutusunda Windows (yerleşik) öğesini seçin, kalan alanları uygun şekilde doldurun ve kaydet'i seçin.

    The

  6. Denetim Masası'a gidin ve Ağ ve Paylaşım Merkezi'ne tıklayın.

  7. Bağdaştırıcı ayarlarını değiştir'i seçin.

    Network and Sharing Center - Change adapter settings

  8. VPN ağ bağlantısına sağ tıklayın ve özellikler'i seçin.

  9. VPN özellikleri penceresinde Güvenlik sekmesini seçin.

  10. Güvenlik sekmesinde, yalnızca Microsoft CHAP Sürüm 2 'nin (MS-CHAP v2) seçili olduğundan emin olun ve tamam'ı seçin.

    The

  11. VPN bağlantısına sağ tıklayın ve Bağlan'ı seçin.

  12. Ayarlar penceresinde Bağlan'ı seçin.
    Burada gösterildiği gibi Güvenlik günlüğünde, RADIUS sunucusunda Olay Kimliği 6272 olarak başarılı bir bağlantı görüntülenir:

    Event Properties window showing a successful connection

RADIUS sorunlarını giderme

VPN sunucusunu kimlik doğrulaması ve yetkilendirme için merkezi bir RADIUS sunucusu kullanacak şekilde yapılandırmadan önce VPN yapılandırmanızın çalıştığını varsayın. Yapılandırma çalışıyorsa, sorunun nedeni RADIUS sunucusunun yanlış yapılandırılması veya geçersiz bir kullanıcı adı veya parola kullanılması olabilir. Örneğin, kullanıcı adı içinde alternatif UPN sonekini kullanırsanız oturum açma girişimi başarısız olabilir. En iyi sonuçlar için aynı hesap adını kullanın.

Bu sorunları gidermek için başlamak için ideal bir yer RADIUS sunucusundaki Güvenlik olay günlüklerini incelemektir. Olayları ararken zaman kazanmak için, burada gösterildiği gibi Olay Görüntüleyicisi'da rol tabanlı Ağ İlkesi ve Access Server özel görünümünü kullanabilirsiniz. "Olay Kimliği 6273", NPS'nin kullanıcıya erişimi engellediği olayları gösterir.

Event Viewer showing NPAS events

Çok faktörlü kimlik doğrulamasını yapılandırma

Kullanıcıları çok faktörlü kimlik doğrulaması için yapılandırma konusunda yardım için Bulut tabanlı Microsoft Entra çok faktörlü kimlik doğrulama dağıtımı planlama ve hesabımı iki aşamalı doğrulama için ayarlama makalelerine bakın

NPS uzantısını yükleme ve yapılandırma

Bu bölümde VPN sunucusuyla istemci kimlik doğrulaması için MFA kullanmak üzere VPN yapılandırma yönergeleri sağlanır.

Not

REQUIRE_USER_MATCH kayıt defteri anahtarı büyük/küçük harfe duyarlıdır. Tüm değerler BÜYÜK HARF biçiminde ayarlanmalıdır.

NPS uzantısını yükleyip yapılandırdıktan sonra, MFA kullanmak için bu sunucu tarafından işlenen tüm RADIUS tabanlı istemci kimlik doğrulaması gerekir. Tüm VPN kullanıcılarınız Microsoft Entra çok faktörlü kimlik doğrulamasına kayıtlı değilse aşağıdakilerden birini yapabilirsiniz:

  • MFA kullanacak şekilde yapılandırılmamış kullanıcıların kimliğini doğrulamak için başka bir RADIUS sunucusu ayarlayın.

  • Sınamalı kullanıcıların Microsoft Entra çok faktörlü kimlik doğrulamasına kayıtlı olmaları durumunda ikinci bir kimlik doğrulama faktörü sağlamasına olanak tanıyan bir kayıt defteri girdisi oluşturun.

HKLM\SOFTWARE\Microsoft\AzureMfa içinde REQUIRE_USER_MATCH adlı yeni bir dize değeri oluşturun ve değeri TRUE veya FALSE olarak ayarlayın.

The

Değer TRUE olarak ayarlandıysa veya boşsa, tüm kimlik doğrulama istekleri bir MFA sınamasına tabidir. Değer FALSE olarak ayarlanırsa, MFA sınamaları yalnızca Microsoft Entra çok faktörlü kimlik doğrulamasına kayıtlı kullanıcılara verilir. YANLIŞ ayarını yalnızca bir ekleme döneminde testlerde veya üretim ortamlarında kullanın.

Dizin kiracı kimliğini alma

NPS uzantısının yapılandırmasının bir parçası olarak, yönetici kimlik bilgilerini ve Microsoft Entra kiracınızın kimliğini sağlamanız gerekir. Kiracı kimliğini almak için aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde Genel Yönetici istrator olarak oturum açın.

  2. Kimlik> Ayarlar'e göz atın.

    Getting the Tenant ID from the Microsoft Entra admin center

NPS uzantısını yükleme

NPS uzantısı, Ağ İlkesi ve Access Hizmetleri rolü yüklü olan ve tasarımınızda RADIUS sunucusu olarak işlev gösteren bir sunucuya yüklenmelidir. NPS uzantısını VPN sunucunuza yüklemeyin.

  1. Microsoft İndirme Merkezi'nden NPS uzantısını indirin.

  2. Kurulum yürütülebilir dosyasını (NpsExtnForAzureMfaInstaller.exe) NPS sunucusuna kopyalayın.

  3. NPS sunucusunda NpsExtnForAzureMfaInstaller.exe çift tıklayın ve istenirse Çalıştır'ı seçin.

  4. Microsoft Entra çok faktörlü kimlik doğrulaması kurulumu için NPS Uzantısı penceresinde yazılım lisans koşullarını gözden geçirin, Lisans hüküm ve koşullarını kabul ediyorum onay kutusunu ve ardından Yükle'yi seçin.

    The

  5. Microsoft Entra çok faktörlü kimlik doğrulaması Kurulumu için NPS Uzantısı penceresinde Kapat'ı seçin.

    The

Graph PowerShell betiği kullanarak NPS uzantısıyla kullanılacak sertifikaları yapılandırma

Güvenli iletişim ve güvence sağlamak için sertifikaları NPS uzantısı tarafından kullanılacak şekilde yapılandırın. NPS bileşenleri, NPS ile kullanmak üzere otomatik olarak imzalanan bir sertifika yapılandıran bir Graph PowerShell betiği içerir.

Betik aşağıdaki eylemleri gerçekleştirir:

  • Otomatik olarak imzalanan bir sertifika oluşturur.
  • Sertifikanın ortak anahtarını Microsoft Entra Id üzerindeki hizmet sorumlusuyla ilişkilendirir.
  • Sertifikayı yerel makine deposunda depolar.
  • Ağ kullanıcısına sertifikanın özel anahtarına erişim verir.
  • NPS hizmetini yeniden başlatır.

Kendi sertifikalarınızı kullanmak istiyorsanız, sertifikanızın ortak anahtarını Microsoft Entra Kimliği'nde hizmet sorumlusuyla ilişkilendirmeniz vb. gerekir.

Betiği kullanmak için uzantıyı Microsoft Entra yönetim kimlik bilgilerinizle ve daha önce kopyaladığınız Microsoft Entra kiracı kimliğiyle sağlayın. Hesabın, uzantısını etkinleştirmek istediğiniz Microsoft Entra kiracısında olması gerekir. Betiği, NPS uzantısını yüklediğiniz her NPS sunucusunda çalıştırın.

  1. Graph PowerShell'i yönetici olarak çalıştırın.

  2. PowerShell komut isteminde cd "c:\Program Files\Microsoft\AzureMfa\Config" yazın ve enter tuşuna basın.

  3. Sonraki komut isteminde .\AzureMfaNpsExtnConfigSetup.ps1 yazın ve Enter tuşuna basın. Betik, Graph PowerShell'in yüklü olup olmadığını denetler. Yüklü değilse, betik Graph PowerShell'i sizin için yükler.

    Running the AzureMfsNpsExtnConfigSetup.ps1 configuration script

    TLS nedeniyle bir güvenlik hatası alırsanız, PowerShell isteminizdeki komutu kullanarak [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 TLS 1.2'yi etkinleştirin.

    Betik PowerShell modülünün yüklenmesini doğruladıktan sonra Graph PowerShell modülü oturum açma penceresini görüntüler.

  4. Microsoft Entra yönetici kimlik bilgilerinizi ve parolanızı girip Oturum aç'ı seçin.

  5. Komut isteminde, daha önce kopyaladığınız kiracı kimliğini yapıştırın ve enter tuşuna basın.

    Input the Microsoft Entra tenant ID copied before

    Betik otomatik olarak imzalanan bir sertifika oluşturur ve diğer yapılandırma değişikliklerini gerçekleştirir. Çıkış aşağıdaki görüntüde olduğu gibidir:

    PowerShell window showing Self-signed certificate

  6. Sunucuyu yeniden başlatın.

Yapılandırmayı doğrulama

Yapılandırmayı doğrulamak için VPN sunucusuyla yeni bir VPN bağlantısı kurmanız gerekir. Birincil kimlik doğrulaması için kimlik bilgilerinizi başarıyla girdikten sonra VPN bağlantısı, aşağıda gösterildiği gibi bağlantı kurulmadan önce ikincil kimlik doğrulamasının başarılı olmasını bekler.

The Windows Settings VPN window

Daha önce Microsoft Entra çok faktörlü kimlik doğrulamasında yapılandırdığınız ikincil doğrulama yöntemiyle başarıyla kimlik doğrulaması yaparsanız kaynağa bağlanırsınız. Ancak, ikincil kimlik doğrulaması başarısız olursa kaynağa erişiminiz reddedilir.

Aşağıdaki örnekte, Windows Telefon'daki Microsoft Authenticator uygulaması ikincil kimlik doğrulamasını sağlar:

Example MFA prompt on Windows Phone

İkincil yöntemi kullanarak kimliğiniz başarıyla doğrulandıktan sonra, VPN sunucusundaki sanal bağlantı noktasına erişim verilir. Güvenilir bir cihazda mobil uygulama kullanarak ikincil kimlik doğrulama yöntemi kullanmanız gerektiğinden, oturum açma işlemi yalnızca bir kullanıcı adı ve parola bileşimi kullanmaktan daha güvenlidir.

Başarılı oturum açma olayları için Olay Görüntüleyicisi günlüklerini görüntüleme

Windows Olay Görüntüleyicisi'da başarılı oturum açma olaylarını görüntülemek için, aşağıdaki görüntüde gösterildiği gibi Güvenlik günlüğünü veya Ağ İlkesi'ni görüntüleyebilir ve özel görünüm Access Hizmetleri:

Example Network Policy Server log

Microsoft Entra çok faktörlü kimlik doğrulaması için NPS uzantısını yüklediğiniz sunucuda, uzantıya özgü Olay Görüntüleyicisi uygulama günlüklerini Uygulama ve Hizmet Günlükleri\Microsoft\AzureMfa konumunda bulabilirsiniz.

Example Event Viewer AuthZ logs pane

Sorun giderme kılavuzu

Yapılandırma beklendiği gibi çalışmıyorsa, kullanıcının MFA kullanacak şekilde yapılandırıldığını doğrulayarak sorun gidermeye başlayın. Kullanıcının Microsoft Entra yönetim merkezinde oturum açmasını sağlayın. Kullanıcıdan ikincil kimlik doğrulaması istenirse ve başarıyla kimlik doğrulaması yapabilirse, sorun olarak yanlış bir MFA yapılandırmasını ortadan kaldırabilirsiniz.

MFA kullanıcı için çalışıyorsa ilgili Olay Görüntüleyicisi günlüklerini gözden geçirin. Günlükler, önceki bölümde ele alınan güvenlik olayını, Ağ geçidi işletimsel ve Microsoft Entra çok faktörlü kimlik doğrulama günlüklerini içerir.

Başarısız oturum açma olayını (olay kimliği 6273) görüntüleyen bir güvenlik günlüğü örneği burada gösterilmiştir:

Security log showing a failed sign-in event

Microsoft Entra çok faktörlü kimlik doğrulama günlüğünden ilgili bir olay burada gösterilmiştir:

Microsoft Entra multifactor authentication logs

Gelişmiş sorun giderme işlemi yapmak için, NPS hizmetinin yüklü olduğu NPS veritabanı biçim günlük dosyalarına başvurun. Günlük dosyaları %SystemRoot%\System32\Logs klasöründe virgülle ayrılmış metin dosyaları olarak oluşturulur. Günlük dosyalarının açıklaması için bkz . NPS Veritabanı Biçimi Günlük Dosyalarını Yorumlama.

Bu günlük dosyalarındaki girdileri bir elektronik tabloya veya veritabanına aktarmadığınız sürece yorumlamak zordur. Günlük dosyalarını yorumlamanıza yardımcı olmak için birçok Internet Authentication Service (IAS) ayrıştırma aracını çevrimiçi bulabilirsiniz. Bu tür indirilebilir bir shareware uygulamasının çıkışı burada gösterilmiştir:

Sample Shareware app IAS parser

Ek sorun giderme işlemleri yapmak için Wireshark veya Microsoft Message Analyzer gibi bir protokol çözümleyicisi kullanabilirsiniz. Wireshark'ın aşağıdaki görüntüsünde VPN sunucusu ile NPS arasındaki RADIUS iletileri gösterilir.

Microsoft Message Analyzer showing filtered traffic

Daha fazla bilgi için bkz . Mevcut NPS altyapınızı Microsoft Entra çok faktörlü kimlik doğrulamasıyla tümleştirme.

Sonraki adımlar

Microsoft Entra çok faktörlü kimlik doğrulamasını alma

RADIUS kullanan Uzak Masaüstü Ağ Geçidi ve Azure Multi-Factor Authentication Sunucusu

Şirket içi dizinlerinizi Microsoft Entra Id ile tümleştirme