Freigeben über

Integrieren Sie Ihre Remotedesktopgateway-Infrastruktur mithilfe der Netzwerkrichtlinienserver-Erweiterung (Network Policy Server, NPS) und Microsoft Entra ID.

  • Artikel

Dieser Artikel bietet weitere Informationen zur Integration Ihrer Remotedesktopgateway-Infrastruktur mithilfe der Netzwerkrichtlinienserver-Erweiterung (Network Policy Server, NPS) für Microsoft Azure in die Microsoft Entra-Multi-Faktor-Authentifizierung.

Die Netzwerkrichtlinienserver-Erweiterung (NPS) für Azure ermöglicht Kunden, ihre RADIUS-Clientauthentifizierung (Remote Authentication Dial-In User Service) mithilfe der cloudbasierten Multi-Faktor-Authentifizierung von Azure zu schützen. Diese Lösung ermöglicht die zweistufige Überprüfung, um eine zweite Sicherheitsebene für Benutzeranmeldungen und Transaktionen hinzuzufügen.

Dieser Artikel enthält ausführliche Anleitungen zum Integrieren der NPS-Infrastruktur in die Microsoft Entra-Multi-Faktor-Authentifizierung mithilfe der NPS-Erweiterung für Azure. Dies ermöglicht eine sichere Überprüfung von Benutzern, die sich bei einem Remotedesktopgateway anmelden.

Hinweis

Dieser Artikel sollte nicht für Bereitstellungen von MFA-Server verwendet werden, sondern nur für (cloudbasierte) Bereitstellungen der Microsoft Entra-Multi-Faktor-Authentifizierung.

Die Netzwerkrichtlinien- und Zugriffsdienste (Network Policy and Access Services, NPS) bieten Organisationen folgende Möglichkeiten:

  • Definieren zentraler Orte für die Verwaltung und Steuerung von Netzwerkanforderungen, um Folgendes anzugeben: wer eine Verbindung herstellen kann, zu welchen Tageszeiten Verbindungen zugelassen sind, die Dauer der Verbindungen und die Sicherheitsstufe, die Clients verwenden müssen, um eine Verbindung herstellen zu können usw. Anstatt diese Richtlinien auf jedem VPN oder Remotedesktopgateway-Server (RD) anzugeben, können diese Richtlinien einmal an einem zentralen Ort angegeben werden. Das RADIUS-Protokoll ermöglicht die zentralisierte Authentifizierung, Autorisierung und Ressourcenerfassung (Authentication, Authorization, Accounting – AAA).
  • Richten Sie Netzwerkzugriffsschutz-Clientintegritätsrichtlinien (Network Access Protection, NAP) ein, die bestimmen, ob Geräten uneingeschränkter oder eingeschränkter Zugriff auf Netzwerkressourcen gewährt wird, und erzwingen Sie deren Durchsetzung.
  • Bieten Sie eine Möglichkeit zum Erzwingen der Authentifizierung und Autorisierung für den Zugriff auf 802.1x-fähige Drahtloszugriffspunkte und Ethernet-Switches.

In der Regel verwenden Organisationen NPS (RADIUS) zur Vereinfachung und Zentralisierung der Verwaltung von VPN-Richtlinien. Viele Organisationen verwenden NPS jedoch auch zur Vereinfachung und Zentralisierung der Verwaltung der RD-Verbindungsautorisierungsrichtlinien (RD-CAPs, Remote Desktop Connection Authorization Policies).

Organisationen können NPS auch in die Microsoft Entra-Multi-Faktor-Authentifizierung integrieren, um die Sicherheit zu erhöhen und ein hohes Maß an Konformität bereitzustellen. Dadurch wird sichergestellt, dass Benutzer die zweistufige Überprüfung zur Anmeldung beim Remotedesktopgateway einrichten. Damit Benutzern Zugriff gewährt wird, müssen sie die von ihnen festgelegte Kombination aus Benutzername und Kennwort angeben. Diese Informationen müssen vertrauenswürdig und dürfen nicht problemlos duplizierbar sein, z.B. eine Mobiltelefonnummer, Festnetznummer, Anwendung auf einem mobilen Gerät usw. RDG unterstützt derzeit Telefonanrufe sowie Pushbenachrichtigungen zum Genehmigen/Ablehnen in der Microsoft Authenticator-App für die Zwei-Faktor-Authentifizierung (2FA). Weitere Informationen zu unterstützten Authentifizierungsmethoden finden Sie im Abschnitt Ermitteln, welche Authentifizierungsmethoden Ihre Benutzerverwenden können.

Wenn Ihr Unternehmen Remotedesktopgateway verwendet und die Benutzer*innen für einen TOTP-Code zusammen mit Authenticator-Pushbenachrichtigungen registriert sind, können sie die MFA-Abfrage nicht erfüllen, und die Anmeldung beim Remotedesktopgateway schlägt fehl. In diesem Fall können Sie OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE festlegen, um Pushbenachrichtigungen mit „Genehmigen“/„Ablehnen“ durch Authenticator als Fallback zu verwenden.

Damit eine NPS-Erweiterung weiterhin für Benutzer*innen des Remotedesktopgateways funktioniert, muss dieser Registrierungsschlüssel auf dem NPS-Server erstellt werden. Öffnen Sie auf dem NPS-Server den Registrierungs-Editor. Navigieren Sie zu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

Erstellen Sie das folgende Zeichenfolge/Wert-Paar:

Name: OVERRIDE_NUMBER_MATCHING_WITH_OTP

Wert = FALSE

Vor der Verfügbarkeit der NPS-Erweiterung für Azure musste Kundschaft, die die zweistufige Überprüfung für integrierte Umgebungen mit NPS und Microsoft Entra-Multi-Faktor-Authentifizierung implementieren wollte, einen separaten MFA-Server in der lokalen Umgebung konfigurieren und verwalten, wie in Remotedesktopgateway und Azure-Multi-Factor-Authentication-Server mithilfe von RADIUS dokumentiert.

Die Verfügbarkeit der NPS-Erweiterung für Azure bietet Organisationen jetzt die Möglichkeit, entweder eine lokal basierte oder eine cloudbasierte MFA-Lösung zum Schützen der RADIUS-Clientauthentifizierung bereitzustellen.

Authentifizierungsablauf

Damit Benutzern der Zugriff auf Netzwerkressourcen über ein Remotedesktopgateway erteilt wird, müssen sie die in einer Remotedesktop-Verbindungsautorisierungsrichtlinie (RD-CAP) und einer Remotedesktop-Ressourcenautorisierungsrichtlinie (RD Resource Authorization Policy, RD-RAP) angegebenen Bedingungen erfüllen. RD-CAPs geben an, wer zum Herstellen einer Verbindung mit RD-Gateways autorisiert ist. RD-RAPs geben die Netzwerkressourcen an, wie z.B. Remotedesktops oder Remote-Apps, mit denen der Benutzer über das RD-Gateway eine Verbindung mit zulässig ist.

Ein RD-Gateway kann konfiguriert werden, um einen zentralen Richtlinienspeicher für RD-CAPs zu verwenden. RD-RAPs können keine zentrale Richtlinie verwenden, da sie auf dem RD-Gateway verarbeitet werden. Ein Beispiel eines RD-Gateways, das zur Verwendung eines zentralen Richtlinienspeichers für RD-CAPs konfiguriert ist, ist ein RADIUS-Client einer anderen NPS-Serverinstanz, die als zentraler Richtlinienspeicher dient.

Wenn die NPS-Erweiterung für Azure in NPS und Remotedesktopgateway integriert ist, lautet der erfolgreiche Authentifizierungsablauf wie folgt:

  1. Der Remotedesktopgateway-Server empfängt eine Authentifizierungsanforderung von einem Remotedesktop-Benutzer zum Herstellen der Verbindung mit einer Ressource, z.B. einer Remotedesktopsitzung. Als RADIUS-Client fungierend konvertiert der Remotedesktopgateway-Server die Anforderung in eine RADIUS-Zugriffsanforderungsnachricht und sendet die Nachricht an den RADIUS-Server (NPS), auf dem die NPS-Erweiterung installiert ist.
  2. Die Kombination aus Benutzername und Kennwort wird in Active Directory überprüft, und der Benutzer ist authentifiziert.
  3. Wenn alle Bedingungen gemäß den Angaben in der NPS-Verbindungsanforderung und in den Netzwerkrichtlinien erfüllt sind (z. B. Uhrzeit- oder Gruppenmitgliedschaftseinschränkungen), löst die NPS-Erweiterung eine Anforderung zur sekundären Authentifizierung über die Microsoft Entra-Multi-Faktor-Authentifizierung aus.
  4. Microsoft Entra-Multi-Faktor-Authentifizierung kommuniziert mit Microsoft Entra ID, um die Details des Benutzers abzurufen, und führt die sekundäre Authentifizierung mithilfe unterstützter Methoden.
  5. Bei erfolgreicher MFA-Überprüfung übermittelt die Microsoft Entra-Multi-Faktor-Authentifizierung das Ergebnis an die NPS-Erweiterung.
  6. Der NPS-Server, auf dem die Erweiterung installiert ist, sendet eine RADIUS-Zugriffsakzeptierungsnachricht für die RD-CAP-Richtlinie an den Remotedesktopgateway-Server.
  7. Der Benutzer erhält über das RD-Gateway Zugriff auf die angeforderte Netzwerkressource.

Voraussetzungen

In diesem Abschnitt werden die erforderlichen Voraussetzungen zur Integration der Microsoft Entra-Multi-Faktor-Authentifizierung mit dem Remotedesktopgateway erörtert. Bevor Sie beginnen, müssen folgende Voraussetzungen erfüllt sein:

  • Remotedesktopdienste-Infrastruktur (Remote Desktop Services, RDS)
  • Lizenz für die Microsoft Entra-Multi-Faktor-Authentifizierung
  • Windows Server-Software
  • Netzwerkrichtlinien- und Zugriffsdienste-Rolle (Network Policy and Access Services, NPS)
  • Microsoft Entra synchronisiert mit lokalem Active Directory
  • Microsoft Entra-GUID-ID

Remotedesktopdienste-Infrastruktur (Remote Desktop Services, RDS)

Eine funktionsfähige Remotedesktopdienste-Infrastruktur (RDS) muss vorhanden sein. Wenn dies nicht der Fall ist, können Sie diese Infrastruktur schnell in Azure mithilfe der folgenden Schnellstartvorlage erstellen: Erstellen der Bereitstellung einer Remotedesktopsitzungs-Sammlung.

Wenn Sie eine lokale RDS-Infrastruktur schnell manuell zu Testzwecken erstellen möchten, führen Sie die Schritte zu deren Bereitstellung aus. Weitere Informationen:Nahtlose RDS-Bereitstellung mit ARM und Azure Marketplace und Bereitstellen Ihrer Remotedesktopumgebung.

Windows Server-Software

Die NPS-Erweiterung erfordert Windows Server 2008 R2 SP1 oder höher mit installiertem NPS-Rollendienst. Alle Schritte in diesem Abschnitt wurden mit Windows Server 2016 ausgeführt.

Netzwerkrichtlinien- und Zugriffsdienste-Rolle (Network Policy and Access Services, NPS)

Der NPS-Rollendienst bietet sowohl die Funktionalität von RADIUS-Servern und -Clients als auch den Netzwerkzugriffsrichtlinien-Integritätsdienst. Diese Rolle muss auf mindestens zwei Computern in Ihrer Infrastruktur installiert werden: Das Remotedesktopgateway und ein weiterer Mitgliedsserver oder Domänencontroller. Standardmäßig ist die Rolle bereits auf dem Computer vorhanden, der als Remotedesktopgateway konfiguriert ist. Sie müssen auch die NPS-Rolle auf mindestens einem anderen Computer installieren, z.B. einen Domänencontroller oder Mitgliedsserver.

Informationen zum Installieren des NPS-Rollendiensts für Windows Server 2012 oder älter finden Sie unter Install a NAP Health Policy Server (Installieren eines NAP-Integritätsrichtlinienservers). Eine Beschreibung der bewährten Methoden für NPS einschließlich der Empfehlung zum Installieren von NPS auf einem Domänencontroller finden Sie unter Best Practices for NPS (Bewährte Methoden für NPS).

Microsoft Entra synchronisiert mit lokalem Active Directory

Um die NPS-Erweiterung zu verwenden, müssen lokale Benutzer mit Microsoft Entra ID synchronisiert und für MFA aktiviert werden. Dieser Abschnitt setzt voraus, dass lokale Benutzer mithilfe von AD Connect mit Microsoft Entra ID synchronisiert werden. Informationen zu Microsoft Entra Connect finden Sie unter Integrieren Ihrer lokalen Verzeichnisse in Microsoft Entra ID.

Microsoft Entra-GUID-ID

Um die NPS-Erweiterung zu installieren, müssen Sie die GUID der Microsoft Entra ID-Instanz kennen. Im Anschluss finden Sie Anweisungen zum Ermitteln der GUID der Microsoft Entra ID-Instanz.

Konfigurieren der mehrstufigen Authentifizierung

Dieser Abschnitt enthält Anweisungen zur Integration der Microsoft Entra-Multi-Faktor-Authentifizierung mit dem Remotedesktopgateway. Als Administrator müssen Sie den Microsoft Entra-Multi-Faktor-Authentifizierungsdienst konfigurieren, bevor Benutzer ihre Multi-Faktor-Geräte oder -Anwendungen selbst registrieren können.

Führen Sie die Schritte unter Erste Schritte mit Microsoft Entra-Multi-Faktor-Authentifizierung in der Cloud aus, um MFA für Ihre Microsoft Entra-Benutzer zu aktivieren.

Konfigurieren von Konten für die zweistufige Überprüfung

Nachdem ein Konto für MFA aktiviert wurde, können Sie sich nicht bei Ressourcen anmelden, die von der MFA-Richtlinie gesteuert werden, bis Sie erfolgreich ein vertrauenswürdiges Gerät für die Nutzung als zweiten Authentifizierungsfaktor konfiguriert und sich mittels der Zwei-Schritt-Verifizierung authentifiziert haben.

Führen Sie die Schritte in Was ist die Microsoft Entra-Multi-Faktor-Authentifizierung? aus, um Ihre Geräte ordnungsgemäß mit Ihrem Benutzerkonto für MFA zu konfigurieren.

Wichtig

Das Anmeldeverhalten für das Remotedesktopgateway umfasst keine Option zum Eingeben eines Prüfcodes über die Microsoft Entra-Multi-Faktor-Authentifizierung. Benutzerkonten müssen für die Verifizierung per Telefon oder die Microsoft Authenticator-App mit Pushbenachrichtigungen zum Genehmigen/Ablehnen konfiguriert sein.

Wenn weder die Verifizierung per Telefon noch die Microsoft Authenticator-App mit Pushbenachrichtigungen zum Genehmigen/Ablehnen konfiguriert ist, können Benutzer die Überprüfung durch die Microsoft Entra-Multi-Faktor-Authentifizierung nicht abschließen und sich nicht beim Remotedesktopgateway anmelden.

Die SMS-Textmethode funktioniert bei Remotedesktopgateway nicht, weil Remotedesktopgateway keine Option zum Eingeben eines Prüfcodes bietet.

Installieren und Konfigurieren der NPS-Erweiterung

Dieser Abschnitt enthält Anweisungen zum Konfigurieren der RDS-Infrastruktur zur Verwendung der Microsoft Entra-Multi-Faktor-Authentifizierung für die Clientauthentifizierung mit dem Remotedesktopgateway.

Abrufen der Verzeichnismandanten-ID

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Im Rahmen der Konfiguration der NPS-Erweiterung müssen Sie Administratoranmeldeinformationen und die ID Ihres Microsoft Entra-Mandanten angeben. Führen Sie die folgenden Schritte aus, um die Mandanten-ID abzurufen:

  1. Melden Sie sich beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Identität>Übersicht.

    Abrufen der Mandanten-ID über das Microsoft Entra Admin Center

Installieren der NPS-Erweiterung

Installieren Sie die NPS-Erweiterung auf einem Server, auf dem die Netzwerkrichtlinien- und Zugriffsdienste-Rolle (NPS) installiert ist. Diese fungiert als RADIUS-Server für den Entwurf.

Wichtig

Installieren Sie die NPS-Erweiterung nicht auf Ihrem Remotedesktop-Gatewayserver. Der Remotedesktop-Gatewayserver verwendet mit seinem Client das RADIUS-Protokoll nicht und kann daher die Erweiterung weder interpretieren noch die mehrstufige Authentifizierung (MFA) ausführen.

Auch wenn der Remotedesktop-Gatewayserver und der NPS-Server mit NPS-Erweiterung unterschiedliche Server sind, verwendet der Remotedesktop-Gatewayserver doch intern die Netzwerkrichtlinien- und Zugriffsdienste-Rolle (NPS) für die Kommunikation mit anderen NPS-Servern und RADIUS als Protokoll für die ordnungsgemäße Kommunikation.

  1. Laden Sie die NPS-Erweiterung herunter.
  2. Kopieren Sie die ausführbare Setupdatei (NpsExtnForAzureMfaInstaller.exe) auf den NPS-Server.
  3. Doppelklicken Sie auf dem NPS-Server auf NpsExtnForAzureMfaInstaller.exe. Wählen Sie bei entsprechender Aufforderung Ausführen aus.
  4. Überprüfen Sie im Dialogfeld „NPS-Erweiterung für die Microsoft Entra-Multi-Faktor-Authentifizierung einrichten“ die Softwarelizenzbedingungen, aktivieren Sie Ich stimme den Lizenzbedingungen zu, und wählen Sie Installieren aus.
  5. Wählen Sie im Dialogfeld „NPS-Erweiterung für Microsoft Entra-Multi-Faktor-Authentifizierung einrichten“ die Option Schließen aus.

Konfigurieren von Zertifikaten für die Verwendung mit der NPS-Erweiterung mithilfe eines PowerShell-Skripts

Als Nächstes müssen Sie Zertifikate für die Verwendung durch die NPS-Erweiterung konfigurieren, um die sichere Kommunikation zu gewährleisten. Die NPS-Komponenten umfassen ein PowerShell-Skript, das ein selbstsigniertes Zertifikat zur Verwendung mit NPS konfiguriert.

Dieses Skript führt folgende Aktionen aus:

  • Erstellen eines selbstsignierten Zertifikats
  • Zuordnen des öffentlichen Schlüssels des Zertifikats zum Dienstprinzipal in Microsoft Entra ID
  • Speichern des Zertifikats im Speicher des lokalen Computers
  • Gewähren des Zugriffs auf den privaten Zertifikatschlüssel für den Netzwerkbenutzer
  • Neustart des Netzwerkrichtlinienserver-Diensts

Wenn Sie Ihre eigenen Zertifikate verwenden möchten, müssen Sie den öffentlichen Schlüssel Ihres Zertifikats dem Dienstprinzipal in Microsoft Entra ID zuordnen usw.

Um das Skript zu verwenden, geben Sie der Erweiterung Ihre Microsoft Entra-Administratoranmeldeinformationen und die zuvor kopierte Microsoft Entra-Mandanten-ID an. Führen Sie das Skript auf jedem NPS-Server aus, auf dem Sie die NPS-Erweiterung installiert haben. Gehen Sie wie folgt vor:

  1. Öffnen Sie eine administrative Windows PowerShell-Eingabeaufforderung.

  2. Geben Sie an der PowerShell-Eingabeaufforderung cd 'c:\Program Files\Microsoft\AzureMfa\Config' ein, und drücken Sie die EINGABETASTE.

  3. Geben Sie .\AzureMfaNpsExtnConfigSetup.ps1 ein, und drücken Sie die EINGABETASTE. Das Skript überprüft, ob das PowerShell-Modul installiert ist. Wenn es nicht installiert ist, installiert das Skript das Modul für Sie.

    Ausführen von „AzureMfaNpsExtnConfigSetup.ps1“ in PowerShell

  4. Nachdem das Skript die Installation des PowerShell-Moduls überprüft hat, wird das Dialogfeld des PowerShell-Moduls angezeigt. Geben Sie im Dialogfeld Ihre Microsoft Entra-Administratoranmeldeinformationen und das Kennwort ein, und wählen Sie Anmelden aus.

  5. Wenn Sie aufgefordert werden, fügen Sie die Mandanten-ID ein, die Sie vorher in die Zwischenablage kopiert haben, und drücken Sie die EINGABETASTE.

    Eingeben der Mandanten-ID in PowerShell

  6. Das Skript erstellt ein selbstsigniertes Zertifikat und führt andere Änderungen an der Konfiguration durch.

Konfigurieren von NPS-Komponenten auf dem Remotedesktopgateway

In diesem Abschnitt konfigurieren Sie die Verbindungsautorisierungsrichtlinien für das Remotedesktopgateway und andere RADIUS-Clienteinstellungen.

Der Authentifizierungsablauf erfordert, dass RADIUS-Nachrichten zwischen dem Remotedesktopgateway und dem NPS-Server ausgetauscht werden, auf dem die NPS-Erweiterung installiert ist. Dies bedeutet, dass Sie RADIUS-Clienteinstellungen sowohl auf dem Remotedesktopgateway als auch dem NPS-Server, auf dem die NPS-Erweiterung installiert ist, konfigurieren müssen.

Konfigurieren von Verbindungsautorisierungsrichtlinien für das Remotedesktopgateway zur Verwendung im zentralen Speicher

Verbindungsautorisierungsrichtlinien für Remotedesktop (RD-CAPs) geben die Anforderungen für das Herstellen einer Verbindung mit einem Remotedesktopgateway-Server an. RD-CAPs können lokal gespeichert werden (Standard) oder in einem zentralen RD-CAP-Speicher, wo NPS ausgeführt wird. Um die Integration der Microsoft Entra-Multi-Faktor-Authentifizierung mit RDS zu konfigurieren, müssen Sie die Verwendung eines zentralen Speichers angeben.

  1. Öffnen Sie auf dem RD-Gatewayserver den Server-Manager.

  2. Wählen Sie im Menü Tools aus, zeigen Sie auf Remotedesktopdienste, und wählen Sie dann Remotedesktopgateway-Manager aus.

  3. Klicken Sie im RD-Gateway-Manager mit der rechten Maustaste auf [Servername] (Lokal), und wählen Sie Eigenschaften aus.

  4. Wählen Sie im Dialogfeld „Eigenschaften“ die Registerkarte RD-CAP-Speicher aus.

  5. Wählen Sie auf der Registerkarte „RD-CAP-Speicher“ die Option Zentraler NPS-Server.

  6. Geben Sie in das Feld Name oder IP-Adresse für den Server mit NPS eingeben: die IP-Adresse bzw. den Servernamen des Servers ein, auf dem Sie die NPS-Erweiterung installiert haben.

    Den Namen oder die IP-Adresse Ihres NPS-Servers eingeben

  7. Wählen Sie Hinzufügen aus.

  8. Geben Sie im Dialogfeld Shared Secret einen gemeinsamen geheimen Schlüssel ein, und wählen Sie dann OKaus. Denken Sie daran, diesen gemeinsamen geheimen Schlüssel zu notieren und die Notiz an einem sicheren Ort aufzubewahren.

    Hinweis

    Mit dem gemeinsamen geheimen Schlüssel wird eine Vertrauensstellung zwischen den RADIUS-Servern und -Clients hergestellt. Erstellen Sie ein langes und komplexes Geheimnis.

    Erstellen eines gemeinsamen geheimen Schlüssels zum Herstellen einer Vertrauensstellung

  9. Wählen Sie OK aus, um das Dialogfeld zu schließen.

Konfigurieren des RADIUS-Timeoutwerts für Remotedesktopgateway-NPS

Um sicherzustellen, dass genügend Zeit zum Überprüfen der Anmeldeinformationen der benutzenden Person, zum Ausführen der zweistufigen Überprüfung, zum Empfangen von Antworten und Antworten auf RADIUS-Nachrichten zur Verfügung steht, müssen Sie den RADIUS-Timeoutwert anpassen.

  1. Öffnen Sie auf dem RD-Gatewayserver den Server-Manager. Wählen Sie im Menü Toolsund dann Netzwerkrichtlinienserver aus.

  2. Erweitern Sie in der Konsole NPS (Lokal)RADIUS-Clients und Server, und wählen Sie Remote-RADIUS-Server.

    Fenster der Netzwerkrichtlinienserver-Verwaltungskonsole mit dem Bereich für RADIUS-Remoteservergruppen

  3. Doppelklicken Sie im Detailbereich auf TS-GATEWAYSERVERGRUPPE.

    Hinweis

    Diese RADIUS-Server-Gruppe wurde erstellt, als Sie den zentralen Server für die NPS-Richtlinien konfigurierten. Das RD-Gateway leitet RADIUS-Nachrichten an diesen Server weiter, bzw. an eine Gruppe von Servern, wenn mehrere Server vorhanden sind.

  4. Wählen Sie im Dialogfeld TS GATEWAY SERVER GROUP Properties die IP-Adresse oder den Namen des NPS-Servers aus, den Sie für das Speichern von RD-CAPs konfiguriert haben, und wählen Sie dann Bearbeitenaus.

    Auswählen der IP-Adresse oder des Namens des zuvor konfigurierten NPS-Servers

  5. Wählen Sie im Dialogfeld RADIUS-Server bearbeiten die Registerkarte Lastenausgleich.

  6. Ändern Sie in der Registerkarte Lastenausgleich im Feld Sekunden ohne Antwort, bevor eine Anforderung als verworfen gilt den Standardwert von 3 in einen Wert zwischen 30 und 60 Sekunden.

  7. Ändern Sie im Feld Sekunden zwischen Anforderungen, nach denen der Server als nicht verfügbar identifiziert wird den Standardwert von 30 Sekunden in einen Wert, der mindestens so groß ist wie der Wert, den Sie im vorherigen Schritt angegeben haben.

    Bearbeiten der Timeouteinstellungen im Dialogfeld „RADIUS-Server bearbeiten“ auf der Registerkarte „Lastenausgleich“

  8. Wählen Sie OK zweimal aus, um die Dialogfelder zu schließen.

Überprüfen der Verbindungsanforderungsrichtlinien

Wenn Sie das RD-Gateway zur Verwendung eines zentralen Richtlinienspeichers für Verbindungsautorisierungsrichtlinien konfigurieren, wird standardmäßig das RD-Gateway zum Weiterleiten von CAP-Anforderungen an den NPS-Server konfiguriert. Der NPS-Server, auf dem die Microsoft Entra-Multi-Faktor-Authentifizierungserweiterung installiert ist, verarbeitet die RADIUS-Zugriffsanforderung. In den folgenden Schritten lernen Sie das Überprüfen der Standard-Verbindungsanforderungsrichtlinie.

  1. Erweitern Sie auf dem RD-Gateway in der Konsole „NPS (Lokal)“ Richtlinien, und wählen Sie Verbindungsanforderungsrichtlinien.

  2. Doppelklicken Sie auf TS-GATEWAYAUTORISIERUNGSRICHTLINIE.

  3. Wählen Sie im Dialogfeld Eigenschaften der TS-GATEWAYAUTORISIERUNGSRICHTLINIE die Registerkarte Einstellungen aus.

  4. Wählen Sie auf der Registerkarte Einstellungen unter „Weiterleitungsverbindungsanforderung“ die Option Authentifizierung aus. Der RADIUS-Client ist zum Weiterleiten von Anforderungen für die Authentifizierung konfiguriert.

    Konfigurieren der Authentifizierungseinstellungen zum Angeben der Servergruppe

  5. Wählen Sie Abbrechen aus.

Hinweis

Weitere Informationen zum Erstellen einer Verbindungsanforderungsrichtlinie finden im Artikel Konfigurieren von Verbindungsanforderungsrichtlinien.

Konfigurieren von NPS auf dem Server, auf dem die NPS-Erweiterung installiert ist

Der NPS-Server, auf dem die NPS-Erweiterung installiert ist, muss die RADIUS-Nachrichten mit dem NPS-Server auf dem Remotedesktopgateway austauschen können. Um diesen Nachrichtenaustausch zu aktivieren, müssen Sie die NPS-Komponenten auf dem Server konfigurieren, auf dem der NPS-Erweiterungsdienst installiert ist.

Registrieren des Servers in Active Directory

Die ordnungsgemäße Funktionsweise des NPS-Servers in diesem Szenario setzt seine Registrierung in Active Directory voraus.

  1. Öffnen Sie auf dem NPS-Server den Server-Manager.

  2. Wählen Sie im Server-Manager Tools und dann Netzwerkrichtlinienserver aus.

  3. Klicken Sie in der Netzwerkrichtlinienserver-Konsole mit der rechten Maustaste auf NPS (Lokal), und wählen Sie dann Server in Active Directory registrieren aus.

  4. Wählen Sie OK zweimal aus.

    Registrieren des NPS-Servers in Active Directory

  5. Lassen Sie die Konsole für den nächsten Vorgang geöffnet.

Erstellen und Konfigurieren des RADIUS-Clients

Das Remotedesktopgateway muss als RADIUS-Client des NPS-Servers konfiguriert werden.

  1. Klicken Sie auf dem NPS-Server, auf dem die NPS-Erweiterung installiert ist, in der Konsole NPS (Lokal) mit der rechten Maustaste auf RADIUS-Clients, und wählen Sie dann Neu aus.

    Erstellen eines neuen RADIUS-Clients in der NPS-Konsole

  2. Geben Sie im Dialogfeld Neuer RADIUS-Client einen Anzeigenamen wie z.B. Gateway und die IP-Adresse oder den DNS-Namen des Remotedesktopgateway-Servers an.

  3. Geben Sie in den Feldern Gemeinsamer geheimer Schlüssel und Gemeinsamen geheimen Schlüssel bestätigen: den gleichen geheimen Schlüssel ein, den Sie zuvor verwendet haben.

    Eingeben eines Anzeigenamens und der IP- oder DNS-Adresse

  4. Wählen Sie OK aus, um das Dialogfeld "Neuer RADIUS-Client" zu schließen.

Konfigurieren der Netzwerkrichtlinie

Denken Sie daran, dass der NPS-Server mit der Microsoft Entra-Multi-Faktor-Authentifizierungserweiterung der angegebene zentrale Richtlinienspeicher für die Verbindungsautorisierungsrichtlinie (CAP) ist. Aus diesem Grund müssen Sie auf dem NPS-Server eine CAP zum Autorisieren gültiger Verbindungsanforderungen implementieren.

  1. Öffnen Sie auf dem NPS-Server die Konsole „NPS (Lokal)“, erweitern Sie Richtlinien, und wählen Sie Netzwerkrichtlinien aus.

  2. Klicken Sie mit der rechten Maustaste auf Verbindungen mit anderen Zugriffsservern, und wählen SieRichtlinie duplizieren aus.

    Richtlinie „Verbindungen mit anderen Zugriffsservern“ duplizieren

  3. Klicken Sie mit der rechten Maustaste auf Kopie von Verbindungen mit anderen Zugriffsservern, und wählen SieEigenschaften aus.

  4. Geben Sie im Dialogfeld Kopie der Verbindungen mit anderen Zugriffsservern unter Richtlinienname einen geeigneten Namen ein, z.B. RDG_CAP. Aktivieren Sie Richtlinie aktiviert, und wählen Sie Zugriff gewähren aus. Wählen Sie optional unter Typ des Netzwerkzugriffs die Option Remotedesktopgateway aus, oder behalten Sie Nicht angegeben bei.

    Richtliniennamen eingeben, „Richtlinie aktiviert“ aktivieren und „Zugriff gewähren“ auswählen

  5. Wählen Sie die Registerkarte Einschränkungen aus, und aktivieren Sie die Option Clientverbindungen ohne Aushandlung einer Authentifizierungsmethode zulassen.

    Ändern der Authentifizierungsmethoden zum Zulassen von Clientverbindungen

  6. Wählen Sie optional die Registerkarte Bedingungen aus, und fügen Sie Bedingungen hinzu, die erfüllt sein müssen, damit die Verbindung autorisiert werden muss, z. B. die Mitgliedschaft in einer bestimmten Windows-Gruppe.

    Optional Verbindungsbedingungen angeben

  7. Wählen Sie OKaus. Wenn Sie gefragt werden, ob Sie das entsprechende Hilfethema anzeigen möchten, wählen Sie Nein aus.

  8. Stellen Sie sicher, dass Ihre neue Richtlinie am oberen Rand der Liste angezeigt wird, dass die Richtlinie aktiviert ist und Zugriff gewährt.

    Richtlinie an den Anfang der Liste verschieben

Überprüfen der Konfiguration

Um die Konfiguration zu überprüfen, müssen Sie sich mit einem geeigneten RDP-Client beim Remotedesktopgateway anmelden. Achten Sie darauf, ein Konto zu verwenden, das von Ihren Verbindungsautorisierungsrichtlinien zugelassen und für die Microsoft Entra-Multi-Faktor-Authentifizierung aktiviert ist.

Wie in der folgenden Abbildung gezeigt, können Sie die Seite Terminaldienste-Webzugriff verwenden.

Überprüfung in Web Access für Remotedesktop

Nach erfolgreicher Eingabe Ihrer Anmeldeinformationen für die primäre Authentifizierung zeigt das Dialogfeld „Remotedesktopverbindung“ wie im folgenden Abschnitt dargestellt den Status „Remoteverbindung wird initiiert“ an.

Wenn Sie sich erfolgreich mit der sekundären Authentifizierungsmethode authentifizieren, die Sie zuvor in der mehrstufigen Microsoft Entra-Authentifizierung konfiguriert haben, sind Sie mit der Ressource verbunden. Wenn die sekundäre Authentifizierung jedoch nicht erfolgreich ist, wird der Zugriff auf die Ressource verweigert.

Remotedesktopverbindung: Remoteverbindung wird initiiert

Im folgenden Beispiel wird die Authenticator-App auf einem Windows-Smartphone verwendet, um die sekundäre Authentifizierung bereitzustellen.

Beispiel: Option „Überprüfen“ in Windows Phone-Authenticator-App

Nachdem Sie sich erfolgreich mit der sekundären Authentifizierungsmethode authentifiziert haben, werden Sie wie gewohnt beim Remotedesktopgateway angemeldet. Da Sie jedoch eine sekundäre Authentifizierungsmethode mit einer mobilen App auf einem vertrauenswürdigen Gerät verwenden müssen, ist der Anmeldevorgang sicherer als andernfalls.

Anzeigen der Protokolle der Ereignisanzeige für erfolgreiche Anmeldeereignisse

Um die erfolgreichen Anmeldeereignisse in den Protokollen der Windows-Ereignisanzeige anzuzeigen, können Sie den folgenden PowerShell-Befehl zum Abfragen der Windows-Terminaldienste und Windows-Sicherheitsprotokolle ausgeben.

Verwenden Sie zur Abfrage erfolgreicher Anmeldungsereignisse in den Gatewaybetriebsprotokollen (Ereignisanzeige\Anwendungs- und Dienstprotokolle\Microsoft\Windows\TerminalServices-Gateway\Operational) die folgenden PowerShell-Befehle:

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '300'} | FL
  • Dieser Befehl zeigt Windows-Ereignisse an, die belegen, dass der Benutzer die Anforderungen der Ressourcenautorisierungsrichtlinie (RD-RAP) erfüllt hat und ihm Zugriff erteilt wurde.

Anzeigen von Ereignissen mithilfe von PowerShell

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '200'} | FL
  • Dieser Befehl zeigt Ereignisse an, die belegen, dass der Benutzer die Anforderungen der Verbindungsautorisierungsrichtlinie erfüllt hat.

Anzeigen der Verbindungsautorisierungsrichtlinie mithilfe von PowerShell

Sie können bei der Anzeige dieses Protokolls auch nach den Ereignis-IDs 300 und 200 filtern. Verwenden Sie zum Abfragen erfolgreicher Anmeldeereignisse in den Protokollen der Sicherheitsereignisanzeige den folgenden Befehl:

  • Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL
  • Dieser Befehl kann entweder auf dem zentralen NPS oder dem RD-Gatewayserver ausgeführt werden.

Beispiel für erfolgreiche Anmeldeereignisse

Sie können auch das Sicherheitsprotokoll oder die benutzerdefinierte Ansicht "Netzwerkrichtlinie und Zugriffsdienste" anzeigen:

Ereignisanzeige: Netzwerkrichtlinien- und Zugriffsdienste

Auf dem Server, auf dem Sie die NPS-Erweiterung für die Microsoft Entra-Multi-Faktor-Authentifizierung installiert haben, finden Sie im Verzeichnis Anwendungs- und Dienstprotokolle\Microsoft\AzureMfa spezifische Anwendungsprotokolle der Ereignisanzeige für die Erweiterung.

Ereignisanzeige: AuthZ-Anwendungsprotokolle

Leitfaden zur Problembehandlung

Wenn die Konfiguration nicht wie erwartet funktioniert, besteht der erste Ausgangspunkt für die Problembehandlung darin, zu überprüfen, ob der Benutzer für die Verwendung der mehrstufigen Microsoft Entra-Authentifizierung konfiguriert ist. Lassen Sie den/die Benutzer*in sich beim Microsoft Entra Admin Center anmelden. Wenn der Benutzer zur sekundären Überprüfung aufgefordert wird und sich erfolgreich authentifizieren kann, können Sie eine fehlerhafte Konfiguration der Microsoft Entra-Multi-Faktor-Authentifizierung ausschließen.

Wenn die Microsoft Entra-Multi-Faktor-Authentifizierung funktioniert, sollten Sie die entsprechenden Ereignisprotokolle überprüfen. Dazu gehören die Sicherheitsereignis-, Gatewaybetriebs- und Microsoft Entra-Multi-Faktor-Authentifizierungsprotokolle, die im vorherigen Abschnitt erläutert wurden.

Die folgende Beispielausgabe des Sicherheitsprotokolls zeigt ein fehlgeschlagenes Anmeldeereignis (Ereignis-ID 6273).

Beispiel für ein fehlerhaftes Anmeldeereignis

Es folgt ein verwandtes Ereignis aus den AzureMFA-Protokollen:

Beispiel eines Microsoft Entra-Multi-Faktor-Authentifizierungsprotokolls in der Ereignisanzeige

Zum Ausführen erweiterter Problembehandlungsoptionen nutzen Sie die NPS-Datenbankformat-Protokolldateien dort, wo der NPS-Dienst installiert ist. Diese Protokolldateien werden im Ordner %SystemRoot%\System32\Logs als durch Trennzeichen getrennte Textdateien erstellt.

Eine Beschreibung dieser Protokolldateien finden Sie unter Interpret NPS Database Format Log Files (Interpretieren von NPS-Datenbankformat-Protokolldateien). Die Einträge in diesen Protokolldateien können schwierig zu interpretieren sein, ohne sie in eine Tabelle oder eine Datenbank zu importieren. Sie finden online mehrere IAS-Parser, die Ihnen die Interpretation der Protokolldateien erleichtern.

Die folgende Abbildung zeigt die Ausgabe einer solchen herunterladbaren Sharewareanwendung.

Beispiel für eine IAS-Analyse einer Shareware-App

Nächste Schritte

Beziehen der Microsoft Entra-Multi-Faktor-Authentifizierung

Remotedesktop-Gateway und Azure Multi-Factor Authentication-Server mithilfe von RADIUS

Integrieren Ihrer lokalen Verzeichnisse in Microsoft Entra ID