Integrace ověřování P2S RADIUS se serverem NPS pro vícefaktorové ověřování

Tento článek vám pomůže integrovat server NPS (Network Policy Server) s ověřováním RADIUS služby Azure VPN Gateway za účelem doručování vícefaktorového ověřování (MFA) pro připojení VPN typu point-to-site (P2S).

Požadavky

• Microsoft Entra ID: Aby bylo možné povolit vícefaktorové ověřování, musí být uživatelé v Microsoft Entra ID, které musí být synchronizováno z místního prostředí nebo cloudového prostředí.

  • Uživatel musí dokončit proces automatického zápisu pro vícefaktorové ověřování. Další informace najdete v tématu Nastavení účtu pro dvoustupňové ověření.

  • Pokud je vícefaktorové ověřování textové (SMS, ověřovací kód mobilní aplikace atd.) a vyžaduje, aby uživatel zadal kód nebo text v uživatelském rozhraní klienta VPN, ověřování nebude úspěšné a není podporovaný scénář.

• Brána VPN založená na směrování: Bránu VPN založenou na směrování už musíte mít. Postup vytvoření brány VPN založené na směrování najdete v tématu Kurz: Vytvoření a správa brány VPN.

• NPS: Server zásad sítě už musíte mít nainstalovaný a nakonfigurovali zásady SÍTĚ VPN pro RADIUS.

  • Postup instalace serveru NPS (Network Policy Server) najdete v tématu Instalace serveru NPS (Network Policy Server).

  • Postup vytvoření zásad sítě VPN pro protokol RADIUS najdete v tématu Vytvoření zásady sítě VPN pro protokol RADIUS.

Vytvoření klienta RADIUS

1. Vytvořte klienta RADIUS zadáním následujícího nastavení:
   • Popisný název: Zadejte libovolný název.
   • Adresa (IP adresa nebo DNS):: Použijte hodnotu zadanou pro podsíť brány VPN Gateway. Například 10.1.255.0/27.
   • Sdílený tajný klíč: Zadejte libovolný tajný klíč a zapamatujte si ho pro pozdější použití.
2. Na kartě Upřesnit nastavte název dodavatele na standard RADIUS a ujistěte se, že není zaškrtnuté políčko Další možnosti. Pak vyberte OK.
3. Přejděte na Zásady> sítě. Poklikejte na připojení k zásadám serveru směrování a vzdáleného přístupu společnosti Microsoft. Vyberte Udělit přístup a pak vyberte OK.

Konfigurace brány VPN

1. Na webu Azure Portal otevřete bránu virtuální sítě (brána VPN).

2. Na stránce Přehled ověřte, že je typ brány nastavený na síť VPN a jestli je typ sítě VPN založený na směrování.

3. V levém podokně rozbalte Nastavení a vyberte Konfigurovat konfiguraci>point-to-site.

4. Zobrazte stránku konfigurace typu Point-to-Site.

   

5. Na stránce konfigurace point-to-site nakonfigurujte následující nastavení:

   • Fond adres: Tato hodnota určuje fond adres klienta, ze kterého klienti VPN obdrží IP adresu při připojování k bráně VPN. Fond adres musí být rozsah privátních IP adres, který se nepřekrývá s rozsahem adres virtuální sítě. Například 172.16.201.0/24.
   • Typ tunelu: Vyberte typ tunelu. Vyberte například IKEv2 a OpenVPN (SSL).
   • Typ ověřování: Vyberte ověřování RADIUS.
   • Pokud máte bránu VPN typu aktivní-aktivní, vyžaduje se třetí veřejná IP adresa. Novou veřejnou IP adresu můžete vytvořit pomocí ukázkové hodnoty VNet1GWpip3.
   • IP adresa primárního serveru: Zadejte IP adresu serveru NPS (Network Policy Server).
   • Tajný klíč primárního serveru: Zadejte sdílený tajný klíč, který jste zadali při vytváření klienta RADIUS na serveru NPS.

6. V horní části stránky uložte nastavení konfigurace.

Po uložení nastavení můžete kliknutím na tlačítko Stáhnout klienta VPN stáhnout konfigurační balíček klienta VPN a pomocí nastavení nakonfigurovat klienta VPN. Další informace o konfiguraci klienta VPN typu point-to-site naleznete v tabulce požadavků na konfiguraci klienta typu Point-to-Site.

Integrace NPS s Microsoft Entra MFA

Pomocí následujících odkazů můžete integrovat infrastrukturu NPS s vícefaktorovým ověřováním Microsoft Entra:

• Jak to funguje: Vícefaktorové ověřování Microsoft Entra
• Integrace stávající infrastruktury NPS s vícefaktorovým ověřováním Microsoft Entra

Další kroky

Postup konfigurace klienta VPN najdete v tabulce požadavků na konfiguraci klienta typu Point-to-Site.