使用網路原則伺服器（NPS）擴充功能和 Microsoft Entra 識別元整合遠端桌面閘道基礎結構

發行項
12/13/2023

本文提供使用 Microsoft Azure 網路原則伺服器（NPS）擴充功能整合遠端桌面閘道基礎結構與 Microsoft Entra 多重要素驗證的詳細數據。

Azure 的網路原則伺服器（NPS）延伸模組可讓客戶使用 Azure 的雲端式多重要素驗證來保護遠端驗證撥入使用者服務（RADIUS）客戶端驗證。此解決方案提供雙步驟驗證，以將第二層安全性新增至使用者登入和交易。

本文提供使用 Azure NPS 擴充功能整合 NPS 基礎結構與 Microsoft Entra 多重要素驗證的逐步指示。這可讓用戶嘗試登入遠端桌面閘道的安全驗證。

注意

本文不應與 MFA Server 部署搭配使用，而且應該只與 Microsoft Entra 多重要素驗證（雲端式）部署搭配使用。

網路原則和存取服務（NPS）可讓組織執行下列動作：

藉由指定可連線的人員、允許的每日連線時間、連線持續時間，以及客戶端必須用來連線的安全性層級等，來定義網路要求的管理和控制中央位置。這些原則可以在中央位置中指定一次，而不是在每個 VPN 或遠端桌面（RD）閘道伺服器上指定這些原則。 RADIUS 通訊協定提供集中式驗證、授權和會計（AAA）。
建立並強制執行網路存取保護（NAP）用戶端健康情況原則，以判斷裝置是否獲得不受限制或限制的網路資源存取權。
提供方法來強制執行驗證和授權，以存取支援 802.1x 的無線存取點和乙太網路交換器。

一般而言，組織會使用 NPS （RADIUS）來簡化和集中管理 VPN 原則。不過，許多組織也會使用 NPS 來簡化和集中管理 RD 桌面連線授權原則（RD CAP）。

組織也可以整合 NPS 與 Microsoft Entra 多重要素驗證，以增強安全性並提供高等級的合規性。這有助於確保使用者建立雙步驟驗證以登入遠端桌面閘道。若要授與使用者存取權，他們必須提供其使用者名稱/密碼組合，以及使用者在其控制中擁有的資訊。此資訊必須受信任且不容易複製，例如行動電話號碼、內嵌號碼、行動裝置上的應用程式等等。 RDG 目前支援 2FA 的 Microsoft 驗證器應用程式方法的通話和核准/拒絕推播通知。如需支持驗證方法的詳細資訊，請參閱判斷使用者可以使用的驗證方法一節。

如果您的組織使用遠端桌面閘道，且用戶已註冊 TOTP 程式代碼以及 Authenticator 推播通知，則使用者無法滿足 MFA 挑戰，且遠端桌面閘道登入失敗。在此情況下，您可以將 OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE 設定為後援，以使用 Authenticator 將通知推送至核准/拒絕。

若要讓 NPS 擴充功能繼續為遠端桌面閘道使用者運作，必須在 NPS 伺服器上建立此登錄機碼。在 NPS 伺服器上，開啟註冊表編輯器。瀏覽至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

建立下列字串/值群組：

名稱：OVERRIDE_NUMBER_MATCHING_WITH_OTP

Value = FALSE

在 Azure 的 NPS 擴充功能可用性之前，想要為整合式 NPS 和 Microsoft Entra 多重要素驗證環境實作雙步驟驗證的客戶，必須設定和維護內部部署環境中的個別 MFA 伺服器，如遠端桌面閘道和 Azure Multi-Factor Authentication Server 使用 RADIUS 中所述。

Azure 的 NPS 擴充功能可用性現在可讓組織選擇部署內部部署式 MFA 解決方案或雲端式 MFA 解決方案，以保護 RADIUS 用戶端驗證。

驗證流程

若要讓使用者透過遠端桌面閘道獲得網路資源的存取權，他們必須符合一個 RD 連線 ion 授權原則（RD CAP）和一個 RD 資源授權原則（RD RAP）中指定的條件。 RD CAP 會指定獲授權連線到 RD 閘道的人員。 RD RAP 會指定使用者可透過 RD 網關聯機的網路資源，例如遠端桌面或遠端應用程式。

RD 閘道可以設定為使用 RD CAP 的中央原則存放區。 RD RAP 無法使用中央原則，因為它們是在 RD 閘道上處理。設定為使用 RD CAP 中央原則存放區的 RD 閘道範例，是作為中央原則存放區之另一部 NPS 伺服器的 RADIUS 用戶端。

當 Azure 的 NPS 擴充功能與 NPS 和遠端桌面閘道整合時，成功的驗證流程如下所示：

遠端桌面閘道伺服器會從遠端桌面使用者接收驗證要求，以連線到資源，例如遠端桌面工作階段。作為RADIUS用戶端，遠端桌面閘道伺服器會將要求轉換為RADIUS存取要求訊息，並將訊息傳送至安裝NPS擴充功能的RADIUS （NPS）伺服器。
使用者名稱和密碼組合會在 Active Directory 中驗證，並驗證使用者。
如果符合 NPS 連線 ion 要求和網路原則中指定的所有條件（例如，一天中的時間或群組成員資格限制），NPS 擴充功能會觸發使用 Microsoft Entra 多重要素驗證進行次要驗證的要求。
Microsoft Entra 多重要素驗證會與 Microsoft Entra 標識符通訊、擷取使用者的詳細數據，並使用支援的方法執行次要驗證。
MFA 挑戰成功后，Microsoft Entra 多重要素驗證會將結果傳達給 NPS 擴充功能。
安裝擴充功能的 NPS 伺服器會將 RD CAP 原則的 RADIUS Access-Accept 訊息傳送至遠端桌面閘道伺服器。
用戶會透過 RD 閘道授與要求網路資源的存取權。

必要條件

本節詳述將 Microsoft Entra 多重要素驗證與遠端桌面閘道整合之前所需的必要條件。開始之前，您必須具備下列必要條件。

遠端桌面服務（RDS）基礎結構
Microsoft Entra 多重要素驗證授權
Windows Server 軟體
網路原則和存取服務（NPS）角色
Microsoft Entra 與內部部署的 Active Directory 同步
Microsoft Entra GUID 識別符

遠端桌面服務（RDS）基礎結構

您必須具備運作中的遠端桌面服務（RDS）基礎結構。如果沒有，您可以使用下列快速入門範本，快速在 Azure 中建立此基礎結構：建立遠端桌面會話集合部署。

如果您想要快速建立內部部署 RDS 基礎結構以供測試之用，請遵循步驟來部署一個基礎結構。 深入瞭解：使用 Azure 快速入門部署 RDS 和基本 RDS 基礎結構部署。

Windows Server 軟體

NPS 擴充功能需要已安裝 NPS 角色服務的 Windows Server 2008 R2 SP1 或更新版本。本節中的所有步驟都是使用 Windows Server 2016 來執行。

網路原則和存取服務（NPS）角色

NPS 角色服務提供RADIUS伺服器和用戶端功能，以及網路存取原則健全狀況服務。此角色必須安裝在基礎結構中的至少兩部計算機上：遠端桌面閘道和另一個成員伺服器或域控制器。根據預設，角色已存在於設定為遠端桌面閘道的電腦上。您也必須至少在另一部計算機上安裝 NPS 角色，例如域控制器或成員伺服器。

如需安裝 NPS 角色服務 Windows Server 2012 或更新版本的資訊，請參閱安裝 NAP 健全狀況原則伺服器。如需 NPS 最佳做法的描述，包括建議在域控制器上安裝 NPS，請參閱 NPS 的最佳做法。

Microsoft Entra 與內部部署的 Active Directory 同步

若要使用 NPS 擴充功能，內部部署用戶必須與 Microsoft Entra 識別碼同步，並啟用 MFA。本節假設內部部署使用者會使用 AD 連線與 Microsoft Entra ID 同步處理。如需 Microsoft Entra 連線的相關信息，請參閱整合內部部署目錄與 Microsoft Entra ID。

Microsoft Entra GUID 識別符

若要安裝 NPS 擴充功能，您必須知道 Microsoft Entra 識別碼的 GUID。以下提供尋找 Microsoft Entra 識別碼 GUID 的指示。

設定多重要素驗證

本節提供將 Microsoft Entra 多重要素驗證與遠端桌面閘道整合的指示。身為系統管理員，您必須先設定 Microsoft Entra 多重要素驗證服務，使用者才能自行註冊其多重要素裝置或應用程式。

請遵循在雲端開始使用 Microsoft Entra 多重要素驗證中的步驟，為您的 Microsoft Entra 使用者啟用 MFA。

設定雙步驟驗證的帳戶

一旦啟用 MFA 的帳戶之後，您就無法登入受 MFA 原則控管的資源，直到您成功將受信任的裝置設定為用於第二個驗證要素，並使用雙步驟驗證進行驗證為止。

請遵循 Microsoft Entra 多重要素驗證對我有何意義？中的步驟，瞭解並使用您的使用者帳戶正確設定 MFA 的裝置。

重要

遠端桌面閘道的登入行為不提供使用 Microsoft Entra 多重要素驗證輸入驗證碼的選項。用戶帳戶必須設定為電話驗證或具有核准/拒絕推播通知的 Microsoft Authenticator 應用程式。

如果使用者未設定電話驗證或具有核准/拒絕推播通知的 Microsoft Authenticator 應用程式，使用者將無法完成 Microsoft Entra 多重要素驗證挑戰並登入遠端桌面閘道。

SMS 文字方法不適用於遠端桌面閘道，因為它不提供輸入驗證碼的選項。

安裝和設定 NPS 擴充功能

本節提供設定 RDS 基礎結構以使用 Microsoft Entra 多重要素驗證搭配遠端桌面閘道進行客戶端驗證的指示。

取得目錄租用戶標識碼

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

在 NPS 擴充功能的設定中，您必須提供系統管理員認證和 Microsoft Entra 租使用者的識別碼。若要取得租用戶標識碼，請完成下列步驟：

以至少全域管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別設定]。

安裝 NPS 擴充功能

在已安裝網路原則和存取服務（NPS）角色的伺服器上安裝NPS擴充功能。這會作為您設計的RADIUS伺服器。

重要

請勿在遠端桌面閘道（RDG）伺服器上安裝 NPS 擴充功能。 RDG 伺服器不會搭配其用戶端使用RADIUS通訊協定，因此延伸模組無法解譯和執行 MFA。

當具有 NPS 擴充功能的 RDG 伺服器和 NPS 伺服器是不同的伺服器時，RDG 會在內部使用 NPS 與其他 NPS 伺服器通訊，並使用 RADIUS 作為通訊協定來正確通訊。

下載 NPS 擴充功能。
將安裝程式可執行檔（NpsExtnForAzureMfaInstaller.exe）複製到 NPS 伺服器。
在 NPS 伺服器上，按兩下 NpsExtnForAzureMfaInstaller.exe。如果出現提示，請按兩下 [ 執行]。
在 [Microsoft Entra 多重要素驗證設定的 NPS 擴充功能] 對話方塊中，檢閱軟體授權條款，核 取 [我同意授權條款及條件]，然後按兩下 [ 安裝]。
在 [Microsoft Entra 多重要素驗證設定的 NPS 擴充功能] 對話框中，按兩下 [ 關閉]。

使用 PowerShell 腳本設定要與 NPS 擴充功能搭配使用的憑證

接下來，您必須設定憑證以供 NPS 擴充功能使用，以確保通訊與保證的安全。 NPS 元件包含 PowerShell 腳本，可設定自我簽署憑證以搭配 NPS 使用。

此指令碼會執行下列動作：

建立自我簽署憑證
將憑證的公鑰與 Microsoft Entra 識別碼上的服務主體產生關聯
將憑證儲存在本機計算機存放區
將憑證私鑰的存取權授與網路使用者
重新啟動網路原則伺服器服務

如果您想要使用自己的憑證，您必須將憑證的公鑰與 Microsoft Entra ID 上的服務主體產生關聯，依此關聯。

若要使用腳本，請提供您的 Microsoft Entra 管理員認證和您稍早複製的 Microsoft Entra 租使用者識別碼。在您安裝 NPS 擴充功能的每個 NPS 伺服器上執行文稿。然後執行以下動作：

開啟系統管理 Windows PowerShell 提示字元。
在 PowerShell 提示字元中，輸入 cd 'c:\Program Files\Microsoft\AzureMfa\Config'，然後按 ENTER。
輸入 .\AzureMfaNpsExtnConfigSetup.ps1，然後按 ENTER。腳本會檢查是否已安裝PowerShell模組。如果未安裝，腳本會為您安裝模組。
在腳本驗證 PowerShell 模組的安裝之後，它會顯示 [PowerShell 模組] 對話方塊。在對話框中，輸入您的 Microsoft Entra 系統管理員認證和密碼，然後按兩下 [ 登入]。
出現提示時，貼上您稍早複製到剪貼 簿的租用戶標識符 ，然後按 ENTER 鍵。
腳本會建立自我簽署憑證，並執行其他組態變更。輸出應該像下圖所示。

在遠端桌面閘道上設定 NPS 元件

在本節中，您會設定遠端桌面網關聯機授權原則和其他 RADIUS 設定。

驗證流程要求在遠端桌面閘道與安裝 NPS 擴充功能的 NPS 伺服器之間交換 RADIUS 訊息。這表示您必須在已安裝 NPS 擴充功能的遠端桌面閘道和 NPS 伺服器上設定 RADIUS 用戶端設定。

設定遠端桌面網關聯機授權原則以使用中央存放區

遠端桌面連線授權原則（RD CAP）會指定連線到遠端桌面閘道伺服器的需求。 RD CAP 可以儲存在本機（預設），也可以儲存在執行 NPS 的中央 RD CAP 存放區中。若要設定 Microsoft Entra 多重要素驗證與 RDS 的整合，您必須指定中央存放區的用法。

在 RD 閘道伺服器上，開啟 伺服器管理員。
在功能表上，按兩下 [工具]，指向 [遠端桌面服務]，然後按兩下 [ 遠端桌面閘道管理員]。
在 RD 閘道管理員中，以滑鼠右鍵按兩下 [伺服器名稱] （本機），然後按兩下 [ 內容]。
在 [屬性] 對話框中，選取 [ RD CAP 存放區] 索引標籤 。
在 [RD CAP 存放區] 索引標籤上，選取執行 NPS 的中央伺服器。
在 [ 輸入執行 NPS 之伺服器的名稱或 IP 位址] 欄位中，輸入您安裝 NPS 擴充功能之伺服器的 IP 位址或伺服器名稱。
按一下新增。
在 [ 共享密碼] 對話框中，輸入共用密碼 ，然後按兩下 [ 確定]。請確定您記錄此共用秘密，並安全地儲存記錄。

注意

共用密碼可用來建立RADIUS伺服器與客戶端之間的信任。建立長而複雜的秘密。
按一下 [確定] ，關閉對話方塊。

在遠端桌面閘道 NPS 上設定 RADIUS 逾時值

若要確保有時間驗證使用者的認證、執行雙步驟驗證、接收回應及回應 RADIUS 訊息，必須調整 RADIUS 逾時值。

在 RD 閘道伺服器上，開啟伺服器管理員。在功能表上，按兩下 [工具]，然後按兩下 [ 網路原則伺服器]。
在 NPS （本機）控制台中 ，展開 [RADIUS 用戶端和伺服器]，然後選取 [ 遠端 RADIUS 伺服器]。
在詳細數據窗格中，按兩下 [TS 閘道伺服器群組]。

注意

當您設定 NPS 原則的中央伺服器時，會建立此 RADIUS 伺服器群組。如果群組中有多個，RD 閘道會將 RADIUS 訊息轉送至此伺服器或伺服器群組。
在 [ TS 閘道伺服器群組內容 ] 對話框中，選取您設定用來儲存 RD CAP 的 NPS 伺服器 IP 位址或名稱，然後按兩下 [ 編輯]。
在 [ 編輯 RADIUS 伺服器 ] 對話框中，選取 [ 負載平衡 ] 索引標籤。
在 [負載平衡] 索引卷標的 [要求卸除前的秒數] 字段中，將預設值從 3 變更為介於 30 到 60 秒之間的值。
在 將伺服器識別為無法使用 欄位時要求之間的秒數中，將預設值 30 秒變更為等於或大於您在上一個步驟中指定的值。
按兩次以關閉對話框。

確認連線要求原則

根據預設，當您將 RD 閘道設定為使用連線授權原則的中央原則存放區時，RD 閘道會設定為將 CAP 要求轉送至 NPS 伺服器。已安裝 Microsoft Entra 多重要素驗證延伸模組的 NPS 伺服器會處理 RADIUS 存取要求。下列步驟說明如何驗證默認連線要求原則。

在 RD 閘道的 NPS （本機）控制台中，展開 [原則]，然後選取 [連線 ion 要求原則]。
按兩下 [TS 閘道授權原則]。
在 [TS 閘道授權原則屬性] 對話框中，按兩下 [設定] 索引卷標。
在 [設定] 索引標籤的 [轉送連線要求] 底下，按兩下 [驗證]。 RADIUS 用戶端已設定為轉送驗證要求。
按一下 [取消] 。

注意

如需建立連線要求原則的詳細資訊，請參閱設定相同連線要求原則檔一文。

在安裝 NPS 擴充功能的伺服器上設定 NPS

安裝 NPS 擴充功能的 NPS 伺服器必須能夠與遠端桌面閘道上的 NPS 伺服器交換 RADIUS 訊息。若要啟用此訊息交換，您必須在安裝 NPS 擴充功能的伺服器上設定 NPS 元件。

在 Active Directory 中註冊伺服器

若要在此案例中正常運作，必須在 Active Directory 中註冊 NPS 伺服器。

在 NPS 伺服器上，開啟 伺服器管理員。
在 [伺服器管理員] 中，按一下 [工具]，然後按一下 [網路原則伺服器]。
在 [網络原則伺服器] 控制台中，以滑鼠右鍵按兩下 [NPS][本機]，然後按兩下 [ 在Active Directory 中註冊伺服器]。
按兩次 [確定] 。
讓主控台保持開啟，以供下一個程式使用。

建立及設定RADIUS用戶端

遠端桌面閘道必須設定為 NPS 伺服器的 RADIUS 用戶端。

在安裝 NPS 擴充功能的 NPS 伺服器上，於 NPS （本機）控制台中，以滑鼠右鍵按兩下 [RADIUS 用戶端]，然後按兩下 [新增]。
在 [ 新增 RADIUS 用戶端 ] 對話框中，提供易記名稱，例如閘道，以及遠端桌面閘道伺服器的 IP 位址或 DNS 名稱。
在 [ 共享密碼 ] 和 [ 確認共享密碼 ] 字段中，輸入您之前所使用的相同密碼。
按兩下 [確定 ] 關閉 [新增RADIUS用戶端] 對話框。

設定網路原則

回想一下，具有 Microsoft Entra 多重要素驗證延伸模組的 NPS 伺服器是連線授權原則（CAP）的指定中央原則存放區。因此，您必須在 NPS 伺服器上實作 CAP，以授權有效的連線要求。

在 NPS 伺服器上，開啟 NPS （本機）主控台，展開 [原則]，然後按兩下 [ 網路原則]。
以滑鼠右鍵按兩下其他存取伺服器的 連線，然後按下 [複製原則]。
以滑鼠右鍵按兩下 [將連線複製到其他存取伺服器]，然後按兩下 [屬性]。
在 [將連線複製到其他存取伺服器] 對話框中，於 [原則名稱] 中輸入適當的名稱，例如RDG_CAP。核 取 [已啟用原則]，然後選取 [ 授與存取權]。或者，在 [網络存取伺服器類型] 中，選取 [遠端桌面閘道]，或者您可以將它保留為 [未指定]。
按兩下 [ 條件約束] 索引標籤，然後核 取 [允許用戶端連線而不交涉驗證方法]。
或者，按兩下 [ 條件] 索引標籤，並新增必須符合的條件，才能授權連線，例如特定 Windows 群組的成員資格。
按一下 [確定]。當系統提示您檢視對應的 [說明] 主題時，按兩下 [ 否]。
請確定您的新原則位於清單頂端、啟用原則，以及授與存取權。

確認設定

若要確認設定，您必須使用適當的 RDP 用戶端登入遠端桌面閘道。請務必使用您連線授權原則允許的帳戶，並啟用 Microsoft Entra 多重要素驗證。

如下圖所示，您可以使用 遠端桌面 Web 存取 頁面。

在遠端桌面 Web 存取中測試

成功輸入主要驗證的認證后，[遠端桌面連線] 對話框會顯示 [起始遠端連線] 的狀態，如下所示。

如果您已成功使用先前在 Microsoft Entra 多重要素驗證中設定的次要驗證方法進行驗證，則會聯機到資源。不過，如果次要驗證未成功，系統會拒絕您存取資源。

起始遠端連線的遠端桌面連線

在下列範例中，Windows 手機上的 Authenticator 應用程式是用來提供次要驗證。

顯示驗證的 Windows 電話驗證器應用程式範例

使用次要驗證方法成功驗證之後，您就會如常登入遠端桌面閘道。不過，由於您必須在受信任的裝置上使用行動應用程式來使用次要驗證方法，所以登入程式比否則更安全。

檢視成功登入事件的事件檢視器記錄

若要在 Windows 事件檢視器記錄中檢視成功的登入事件，您可以發出下列 PowerShell 命令來查詢 Windows 終端機服務和 Windows 安全性記錄。

若要在網關作業記錄中查詢成功的登入事件（事件檢視器\Applications and Services Logs\Microsoft\Windows\TerminalServices-Gateway\Operational），請使用下列 PowerShell 命令：

Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '300'} | FL
此命令會顯示 Windows 事件，其中顯示使用者符合資源授權原則需求（RD RAP），並已授與存取權。

使用 PowerShell 檢視事件