Integrare l'autenticazione RADIUS da sito a sito con Server dei criteri di rete per l'autenticazione a più fattori

L'articolo illustra come integrare Server dei criteri di rete (NPS) con l'autenticazione RADIUS di Azure Gateway VPN per distribuire l'autenticazione a più fattori (MFA) per le connessioni VPN da punto a sito (P2S).

Prerequisiti

• Microsoft Entra ID: per abilitare l'autenticazione a più fattori, gli utenti devono trovarsi in Microsoft Entra ID, che deve essere sincronizzato dall'ambiente locale o dall'ambiente cloud.

  • L'utente deve aver completato il processo di registrazione automatica per MFA. Per altre informazioni, vedere Configurare l'account per la verifica in due passaggi.

  • Se l'autenticazione a più fattori è basata su testo (SMS, codice di verifica dell'app per dispositivi mobili e così via) e richiede all'utente di immettere un codice o un testo nell'interfaccia utente del client VPN, l'autenticazione non riesce e non è uno scenario supportato.

• Gateway VPN basato su route: è necessario avere già un gateway VPN basato su route. Per la procedura per creare un gateway VPN basato su route, vedere Esercitazione: Creare e gestire un gateway VPN.

• Server dei criteri di rete: è necessario aver già installato il server dei criteri di rete e aver configurato i criteri VPN per RADIUS.

  • Per la procedura per installare il server dei criteri di rete, vedere Installare il server dei criteri di rete.

  • Per la procedura per creare criteri VPN per RADIUS, vedere Creare criteri VPN per RADIUS.

Creare un client RADIUS

1. Creare il client RADIUS specificando le impostazioni seguenti:
   • Nome descrittivo: digitare qualsiasi nome.
   • Indirizzo (IP o DNS): usare il valore specificato per la subnet del gateway VPN. Ad esempio, 10.1.255.0/27.
   • Segreto condiviso: digitare qualsiasi chiave privata e ricordarla per usarla in un secondo momento.
2. Nella scheda Avanzate impostare il nome del fornitore su RADIUS Standard e assicurarsi che la casella di controllo Opzioni aggiuntive non sia selezionata. Quindi selezionare OK.
3. Passare a Criteri>di rete. Fare doppio clic su Connessioni ai criteri del server di routing e accesso remoto Microsoft. Selezionare Concedi accesso e quindi ok.

Configurare il gateway VPN

1. Nella portale di Azure aprire il gateway di rete virtuale (gateway VPN).

2. Nella pagina Panoramica verificare che il tipo di gateway sia impostato su VPN e che il tipo di VPN sia basato su route.

3. Nel riquadro sinistro espandere Impostazioni e selezionare Configurazione da punto a sito>Configura ora.

4. Visualizzare la pagina di configurazione da punto a sito.

   

5. Nella pagina configurazione da punto a sito configurare le impostazioni seguenti:

   • Pool di indirizzi: questo valore specifica il pool di indirizzi client da cui i client VPN ricevono un indirizzo IP quando si connettono al gateway VPN. Il pool di indirizzi deve essere un intervallo di indirizzi IP privato che non si sovrappone all'intervallo di indirizzi della rete virtuale. Ad esempio, 172.16.201.0/24.
   • Tipo di tunnel: selezionare il tipo di tunnel. Ad esempio, selezionare IKEv2 e OpenVPN (SSL).
   • Tipo di autenticazione: selezionare Autenticazione RADIUS.
   • Se si dispone di un gateway VPN attivo-attivo, è necessario un terzo indirizzo IP pubblico. Puoi creare un nuovo indirizzo IP pubblico usando il valore di esempio VNet1GWpip3.
   • Indirizzo IP del server primario: digitare l'indirizzo IP del server dei criteri di rete.Primary Server IP address: type the IP address of the Network Policy Server (NPS).
   • Segreto server primario: digitare il segreto condiviso specificato al momento della creazione del client RADIUS nel server dei criteri di rete.

6. Nella parte superiore della pagina salvare le impostazioni di configurazione.

Dopo aver salvato le impostazioni, è possibile fare clic su Scarica client VPN per scaricare il pacchetto di configurazione del client VPN e usare le impostazioni per configurare il client VPN. Per altre informazioni sulla configurazione del client VPN da punto a sito, vedere la tabella dei requisiti di configurazione client da punto a sito.

Integrare Server dei criteri di rete con Microsoft Entra MFA

Usare i collegamenti seguenti per integrare l'infrastruttura nps con l'autenticazione a più fattori Microsoft Entra:

• Funzionamento: Autenticazione a più fattori di Microsoft Entra
• Integrare l'infrastruttura nps esistente con l'autenticazione a più fattori Microsoft Entra

Passaggi successivi

Per la procedura per configurare il client VPN, vedere la tabella dei requisiti di configurazione client da punto a sito.