Condividi tramite

Integrare l'infrastruttura VPN con l'autenticazione a più fattori di Microsoft Entra utilizzando l'estensione del Server dei criteri di rete per Azure.

  • Articolo

L'estensione Server dei criteri di rete (NPS) per Azure consente alle organizzazioni di proteggere l'autenticazione client RADIUS (Remote Authentication Dial-In User Service) usando l'autenticazione a più fattori Microsoft Entra basata sul cloud, che fornisce la verifica in due passaggi.

Questo articolo fornisce istruzioni per l'integrazione dell'infrastruttura NPS con l'autenticazione a più fattori tramite l'estensione NPS per Azure. Questo processo consente di proteggere la verifica in due passaggi per gli utenti che tentano di connettersi alla rete tramite una VPN.

Nota

Anche se l'estensione MFA nps supporta la password monouso basata sul tempo (TOTP), alcuni client VPN come LA VPN di Windows non lo fanno. Assicurarsi che i client VPN usati supportino TOTP come metodo di autenticazione prima di abilitarlo nell'estensione NPS.

Servizi di accesso e criteri di rete consente alle organizzazioni di:

  • Assegnare una posizione centrale per la gestione e il controllo delle richieste di rete per specificare:

    • quali utenti possono connettersi

    • in quali ore del giorno è consentito connettersi

    • la durata delle connessioni

    • il livello di sicurezza che i client devono usare per la connessione

      Piuttosto che specificare i criteri su ogni server VPN o Gateway Desktop remoto, fallo dopo averli collocati in una posizione centrale. Il protocollo RADIUS viene usato per offrire servizi centralizzati di autenticazione, autorizzazione e accounting.

  • Stabilire e applicare politiche di protezione dell'accesso alla rete (NAP) per la salute del client che determinano se ai dispositivi viene concesso l'accesso alle risorse di rete senza restrizioni o con restrizioni.

  • Indicare un modo per imporre l'autenticazione e l'autorizzazione per l'accesso a commutatori Ethernet e punti di accesso wireless che supportano 802.1x. Per altre informazioni, vedere Network Policy Server (Server dei criteri di rete).

Per migliorare la sicurezza e garantire un livello elevato di conformità, le organizzazioni possono integrare NPS con l'autenticazione multifattore di Microsoft Entra per assicurarsi che gli utenti utilizzino la verifica in due passaggi per connettersi alla porta virtuale sul server VPN. Affinché venga concesso loro l'accesso, gli utenti devono specificare la combinazione di nome utente e password e altre informazioni sotto il loro controllo. Queste informazioni devono essere attendibili e non facilmente duplicabili. Possono includere un numero di cellulare, un numero di rete fissa o un'applicazione su un dispositivo mobile.

Se l'organizzazione usa una VPN e l'utente è registrato per un codice TOTP insieme alle notifiche push di Authenticator, l'utente non può soddisfare la richiesta di autenticazione a più fattori e l'accesso remoto ha esito negativo. In tal caso, è possibile impostare OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE per passare alle notifiche push per l'azione di Approva/Nega con Authenticator.

Affinché un'estensione NPS continui a funzionare per gli utenti VPN, è necessario creare questa chiave del Registro di sistema sul server NPS. Aprire l'editor del Registro di sistema nel server NPS. Passare a:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

Creare la coppia Stringa/Valore seguente:

Nome: DISATTIVAZIONE_ABBINAMENTO_NUMERO_CON_OTP

Valore = FALSO

Prima della disponibilità dell'estensione NPS per Azure, i clienti che volevano implementare la verifica in due passaggi per ambienti con NPS e MFA integrati dovevano configurare e gestire un server MFA separato in un ambiente locale. Gateway Desktop remoto e server Azure Multi-Factor Authentication offrono questo tipo di autenticazione tramite RADIUS.

Con l'estensione NPS per Azure, le organizzazioni possono proteggere l'autenticazione dei client RADIUS distribuendo una soluzione di autenticazione a più fattori locale o basata su cloud.

Flusso di autenticazione

Quando gli utenti si connettono a una porta virtuale su un server VPN, devono prima autenticarsi usando diversi protocolli. I protocolli consentono di usare una combinazione di nome utente e password e i metodi di autenticazione basata sui certificati.

Oltre all'autenticazione e alla verifica dell'identità, gli utenti devono avere le autorizzazioni appropriate per l'accesso. Nelle implementazioni semplici queste autorizzazioni di accesso vengono impostate direttamente negli oggetti utente di Active Directory.

Scheda Chiamate in ingresso nelle proprietà dell'utente in Utenti e computer di Active Directory

Per le implementazioni semplici, ogni server VPN concede o nega l'accesso in base a criteri definiti in ogni server VPN locale.

Nelle implementazioni più grandi e più scalabili i criteri che concedono o negano l'accesso VPN sono centralizzati nei server RADIUS. In questi casi il server VPN funge da server di accesso, come client RADIUS, che inoltra le richieste di connessione e i messaggi degli account a un server RADIUS. Per connettersi alla porta virtuale nel server VPN, gli utenti devono essere autenticati e soddisfare le condizioni definite in modo centralizzato nei server RADIUS.

Quando l'estensione Server dei criteri di rete per Azure è integrata con Server dei criteri di rete, risulta un flusso di autenticazione riuscito, come illustrato di seguito:

  1. Il server VPN riceve da un utente VPN una richiesta di autenticazione che include il nome utente e la password per la connessione a una risorsa, ad esempio una sessione Desktop remoto.
  2. Fungendo da client RADIUS, il server VPN converte la richiesta in un messaggio di RADIUS Access-Request e lo invia, con la password crittografata, al server RADIUS su cui è installata l'estensione NPS.
  3. La combinazione di nome utente e password viene verificata in Active Directory. Se il nome di utente o la password sono errati, il server RADIUS invia un messaggio di rifiuto di accesso.
  4. Se vengono soddisfatte le condizioni nella richiesta di connessione nps e nei criteri di rete (ad esempio l'ora del giorno o le restrizioni di appartenenza ai gruppi), l'estensione NPS richiederà l'autenticazione secondaria con l'autenticazione a più fattori Microsoft Entra.
  5. L'autenticazione a più fattori Microsoft Entra comunica con Microsoft Entra ID, recupera i dettagli dell'utente e usa il metodo configurato dall'utente (chiamata telefonica cellulare, SMS o app per dispositivi mobili) per eseguire l'autenticazione secondaria.
  6. Quando la sfida di autenticazione multifattoriale ha esito positivo, Microsoft Entra Autenticazione Multifattoriale comunica il risultato all'estensione NPS.
  7. Dopo che il tentativo di connessione è stato autenticato e autorizzato, l'NPS in cui è installata l'estensione invia un messaggio RADIUS di Access-Accept al server VPN (client RADIUS).
  8. All'utente viene concesso l'accesso alla porta virtuale nel server VPN e viene stabilito un tunnel VPN crittografato.

Prerequisiti

Questa sezione illustra in dettaglio i prerequisiti da soddisfare per poter integrare MFA con la VPN. Prima di iniziare, è necessario che siano soddisfatti i prerequisiti seguenti:

  • Infrastruttura VPN
  • Ruolo Servizi di accesso e criteri di rete
  • Licenza di autenticazione multifattore di Microsoft Entra
  • Software Windows Server
  • Librerie
  • ID Microsoft Entra sincronizzato con Active Directory locale
  • GUID ID Microsoft Entra

Infrastruttura VPN

Questo articolo presuppone la presenza di un'infrastruttura VPN funzionante che usa Microsoft Windows Server 2016 e che il server VPN non sia attualmente configurato per inoltrare le richieste di connessione a un server RADIUS. In questo articolo si configurerà l'infrastruttura VPN per l'uso di un server RADIUS centrale.

Se non si dispone di un'infrastruttura VPN funzionante, è possibile crearne una rapidamente seguendo le indicazioni riportate in numerose esercitazioni sulla configurazione vpn disponibili nei siti Microsoft e di terze parti.

Ruolo dei Servizi di criteri di rete e accesso

Servizi di accesso e criteri di rete offre le funzionalità di server e client RADIUS. Questo articolo presuppone che sia stato installato il ruolo Servizi di accesso e criteri di rete su un server membro o un controller di dominio della vostra rete. In questa guida si configurerà il protocollo RADIUS per una configurazione VPN. Installare il ruolo Servizi di accesso e criteri di rete in un server diverso dal server VPN.

Per informazioni sull'installazione del servizio ruolo Servizi di accesso e criteri di rete di Windows Server 2012 o versioni successive, vedere Install a NAP Health Policy Server (Installare un server criteri di integrità Protezione accesso alla rete). NAP è obsoleto in Windows Server 2016. Per una descrizione delle procedure consigliate per NPS, inclusi i consigli sull'installazione di NPS in un controller di dominio, vedere Best practices for NPS.

Software Windows Server

L'estensione NPS richiede Windows Server 2008 R2 SP1 o versione successiva, con il ruolo Servizi di accesso e criteri di rete installato. Tutti i passaggi in questa guida sono stati eseguiti con Windows Server 2016.

Librerie

La libreria seguente viene installata automaticamente con l'estensione NPS:

Se il modulo Microsoft Graph PowerShell non è già presente, viene installato con uno script di configurazione eseguito come parte del processo di installazione. Non è necessario installare Graph PowerShell in anticipo.

ID Microsoft Entra sincronizzato con Active Directory locale

Per usare l'estensione NPS, gli utenti locali devono essere sincronizzati con Microsoft Entra ID e abilitati per MFA. Questa guida presuppone che gli utenti locali siano sincronizzati con Microsoft Entra ID tramite Microsoft Entra Connect. Le istruzioni per abilitare gli utenti per l'autenticazione a più fattori sono disponibili nella sezione seguente.

Per informazioni su Microsoft Entra Connect, vedere Integrare le directory locali con Microsoft Entra ID.

Microsoft Entra GUID ID

Per installare l'estensione NPS, è necessario conoscere il GUID dell'ID Microsoft Entra. Le istruzioni per trovare il GUID dell'ID Microsoft Entra sono disponibili nella sezione successiva.

Configurare RADIUS per le connessioni VPN

Se hai installato il ruolo NPS su un server membro, devi configurarlo per autenticare e autorizzare il client VPN che richiede connessioni VPN.

Questa sezione presuppone che abbiate installato il ruolo Servizi di rete e accesso, ma non lo abbiate configurato per l'uso nella vostra infrastruttura.

Nota

Se si ha già un server VPN funzionante che usa un server RADIUS centralizzato per l'autenticazione, è possibile ignorare questa sezione.

Registrare il server in Active Directory

Per funzionare correttamente in questo scenario, il server NPS deve essere registrato in Active Directory.

  1. Apri Server Manager.

  2. In Gestione server fare clic su Strumenti e quindi su Server dei criteri di rete.

  3. Nella console di Network Policy Server, fare clic con il pulsante destro del mouse su NPS (Locale) e quindi scegliere Registra server in Active Directory. Selezionare OK due volte.

    Opzione di menu Registra server in Active Directory

  4. Lasciare aperta la console per la procedura successiva.

Usare la procedura guidata per configurare il server RADIUS

Per configurare il server RADIUS, è possibile usare un'opzione di configurazione standard (basata su procedura guidata) o avanzata. Questa sezione presuppone l'uso dell'opzione di configurazione standard basata su procedura guidata.

  1. Nella console di Server dei criteri di rete selezionare NPS (Locale).

  2. In Configurazione standard selezionare Server RADIUS per connessioni remote o VPN e quindi scegliere Configurazione VPN o connessioni remote.

    Configurare Server RADIUS per connessioni remote o VPN

  3. Nella pagina Selezione tipo di connessioni remote o a reti private virtuali selezionare Virtual Private Network Connections (Connessioni a reti private virtuali) e quindi fare clic su Avanti.

    Configurare Connessioni a reti private virtuali (VPN)

  4. Nella finestra Specifica server di connessione remota o VPN selezionare Aggiungi.

  5. Nella finestra Nuovo client RADIUS specificare un nome descrittivo, immettere un nome o un indirizzo IP risolvibile del server VPN e quindi immettere una password segreta condivisa. Creare una password segreta condivisa lunga e complessa. Annotarla, poiché sarà necessaria nella sezione successiva.

    Finestra per la creazione di un nuovo client RADIUS

  6. Seleziona OK e quindi Avanti.

  7. Nella finestra Configurazione metodi di autenticazione accettare l'opzione predefinita, ovvero Autenticazione crittografata Microsoft versione 2 (MS-CHAP v2), oppure scegliere un'altra opzione e selezionare Avanti.

    Nota

    Se si configura il protocollo Extensible Authentication Protocol, è necessario usare Microsoft Challenge Handshake Authentication Protocol (CHAPv2) o PEAP Protected Extensible Authentication Protocol. Non sono supportate altre opzioni EAP.

  8. Nella finestra Specifica gruppi di utenti selezionare Aggiungi e quindi scegliere un gruppo appropriato. Se non esiste alcun gruppo, lasciare vuota l'opzione per concedere l'accesso a tutti gli utenti.

    Finestra Specifica gruppi di utenti per consentire o negare l'accesso

  9. Selezionare Avanti.

  10. Nella finestra Specifica filtri IP selezionare Avanti.

  11. Nella finestra Specifica impostazioni di crittografia accettare le impostazioni predefinite e fare clic su Avanti.

    Finestra di specifica delle impostazioni di crittografia

  12. Nella finestra Impostazione del nome dell'area di autenticazione lasciare vuoto il nome dell'area di autenticazione, accettare l'impostazione predefinita e fare clic su Avanti.

    Finestra Specifica il nome di un dominio

  13. Nella finestra Completamento delle Nuove connessioni remote o di rete privata virtuale e client RADIUS, selezionare Fine.

    Finestra di completamento della configurazione

Verificare la configurazione RADIUS

Questa sezione descrive in modo dettagliato la configurazione creata usando la procedura guidata.

  1. Nel Server dei criteri di rete, nella console Server dei criteri di rete (locale), espandere Client RADIUS e selezionare Client RADIUS.

  2. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul client RADIUS creato e scegliere Proprietà. Le proprietà del client RADIUS, ovvero del server VPN, dovrebbero essere simili a quelle mostrate qui:

    Verificare le proprietà e la configurazione della VPN

  3. Selezionare Annulla.

  4. Nel Server dei criteri di rete, nella console NPS (locale), espandere Criteri e selezionare Criteri di richiesta di connessione. Vengono mostrati i criteri delle connessioni VPN come illustrato nella figura seguente:

    Politica di richiesta di connessione che mostra la politica di connessione VPN

  5. In Criteri selezionare Criteri di rete. Vengono visualizzati criteri di connessioni della rete privata virtuale simili a quelli illustrati nell'immagine seguente:

    Criteri di rete che mostrano il criterio delle connessioni alla rete privata virtuale

Configurare il server VPN per l'uso dell'autenticazione RADIUS

In questa sezione si configura il server VPN per l'uso dell'autenticazione RADIUS. Le istruzioni presuppongono che si disponga di una configurazione funzionante di un server VPN ma che non sia stata configurata per l'uso dell'autenticazione RADIUS. Dopo aver configurato il server VPN, verificare che la configurazione funzioni come previsto.

Nota

Se si ha già una configurazione del server VPN funzionante che usa l'autenticazione RADIUS, è possibile ignorare questa sezione.

Configurare il provider di autenticazione

  1. Nel server VPN aprire Server Manager.

  2. In Gestione server selezionare Strumenti e quindi scegliere Routing e Accesso remoto.

  3. Nella finestra di Routing e Accesso Remoto, fare clic con il pulsante destro del mouse su <nome del server> (locale) e quindi scegliere Proprietà.

  4. Nella finestra Proprietà di <nome server> (locale), selezionare la scheda Sicurezza.

  5. Nella scheda Sicurezza, in Provider di autenticazione selezionare Autenticazione RADIUS e quindi Configura.

    Configurare il provider di autenticazione RADIUS

  6. Nella finestra Autenticazione RADIUS selezionare Aggiungi.

  7. Nella finestra Aggiungi server RADIUS eseguire le operazioni seguenti:

    1. Nella casella Nome del server immettere il nome o l'indirizzo IP del server RADIUS configurato nella sezione precedente.

    2. Per Segreto condiviso selezionare Cambia e immettere la password segreta condivisa creata e registrata in precedenza.

    3. Nella casella Timeout (secondi) immettere il valore 60. Per ridurre al minimo le richieste rimosse, è consigliabile configurare i server VPN con un timeout di almeno 60 secondi. Se necessario, o per ridurre le richieste rimosse nei registri eventi, è possibile aumentare il valore di timeout del server VPN a 90 o 120 secondi.

  8. Seleziona OK.

Testare la connettività VPN

In questa sezione viene verificato che il server RADIUS esegue l'autenticazione e autorizza il client VPN quando si tenta di connettersi alla porta virtuale VPN. Le istruzioni presuppongono che si usi Windows 10 come client VPN.

Nota

Se è già stato configurato un client VPN per connettersi al server VPN e sono state salvate le impostazioni, è possibile ignorare i passaggi relativi alla configurazione e al salvataggio di un oggetto connessione VPN.

  1. Nel computer del client VPN selezionare il pulsante Start e quindi selezionare il pulsante Impostazioni.

  2. Nella finestra Impostazioni di Windows selezionare Rete e Internet.

  3. Selezionare VPN.

  4. Selezionare Aggiungi una connessione VPN.

  5. Nella finestra Aggiungi una connessione VPN della casella Provider VPN selezionare Windows (predefinito), completare i campi rimanenti in base alle esigenze e quindi fare clic su Salva.

    Finestra

  6. Passare a Pannello di controllo, quindi selezionare Centro connessioni di rete e condivisione.

  7. Seleziona Cambia impostazioni dell'adattatore.

    Centro connessioni di rete e condivisione - Modifica impostazioni adattatore

  8. Fare clic con il pulsante destro del mouse sulla connessione di rete VPN e scegliere Proprietà.

  9. Nella finestra delle proprietà VPN selezionare la scheda Sicurezza.

  10. Nella scheda Sicurezza verificare che sia selezionata solo l'opzione Microsoft CHAP Versione 2 (MS-CHAP v2) e fare clic su OK.

    Opzione

  11. Fare clic con il pulsante destro del mouse sulla connessione VPN e scegliere Connetti.

  12. Nella finestra Impostazioni selezionare Connetti.
    Una connessione riuscita viene riportata nel log di sicurezza del server RADIUS con l'ID evento 6272, come illustrato di seguito:

    Connessione riuscita nella finestra Proprietà evento

Risoluzione dei problemi nel server RADIUS

Si supponga che la configurazione VPN funzionasse prima della configurazione del server VPN per l'uso di un server RADIUS centralizzato per l'autenticazione e l'autorizzazione. Se la configurazione funzionava, è probabile che un errore di configurazione del server RADIUS o l'uso di un nome utente o una password non validi abbia causato il problema. Ad esempio, se si usa il suffisso alternativo UPN nel nome utente, il tentativo di accesso potrebbe non riuscire. Usare lo stesso nome di account per ottenere risultati ottimali.

Per risolvere questi problemi, è consigliabile iniziare esaminando i log eventi di sicurezza nel server RADIUS. Per risparmiare tempo nella ricerca degli eventi, è possibile usare la visualizzazione personalizzata basata sui ruoli del server di accesso e dei criteri di rete nel Visualizzatore eventi, come illustrato di seguito. "ID evento 6273" indica gli eventi in cui NPS ha negato l'accesso a un utente.

Visualizzatore eventi che mostra eventi NPAS

Configurare l'autenticazione a più fattori

Per assistenza sulla configurazione degli utenti per l'autenticazione a più fattori, vedere gli articoli Planning a cloud-based Microsoft Entra multifactor authentication deployment e Configurare l'account per la verifica in due passaggi

Installare e configurare l'estensione NPS

Questa sezione contiene istruzioni per configurare la rete VPN al fine di usare Multi-Factor Authentication per l'autenticazione client con il server VPN.

Nota

La chiave del Registro di sistema REQUIRE_USER_MATCH fa distinzione tra maiuscole e minuscole. Tutti i valori devono essere impostati in formato MAIUSCOLO.

Dopo aver installato e configurato l'estensione NPS, questo server richiede che l'autenticazione client basata su RADIUS utilizzi MFA. Se tutti gli utenti VPN non sono registrati nell'autenticazione a più fattori Microsoft Entra, è possibile eseguire una delle operazioni seguenti:

  • Configurare un altro server RADIUS per autenticare gli utenti che non sono configurati al fine di usare Multi-Factor Authentication.

  • Creare una voce del Registro di sistema che consenta agli utenti richiesti di fornire un secondo fattore di autenticazione se sono registrati per l'autenticazione multifattoriale di Microsoft Entra.

Creare un nuovo valore stringa denominato REQUIRE_USER_MATCH in HKLM\SOFTWARE\Microsoft\AzureMfa e impostare il valore su TRUE o FALSE.

Impostazione

Se il valore è impostato su TRUE o è vuoto, tutte le richieste di autenticazione sono soggette a una richiesta di autenticazione a più fattori. Se il valore è impostato su FALSE, i problemi di autenticazione a più fattori vengono generati solo agli utenti registrati nell'autenticazione a più fattori Di Microsoft Entra. Usare l'impostazione FALSE solo nei test o negli ambienti di produzione durante un periodo di onboarding.

Ottenere l'ID tenant della directory

Come parte della configurazione dell'estensione NPS, è necessario fornire le credenziali di amministratore e l'ID per il tenant di Microsoft Entra. Per ottenere l'ID tenant, completare i seguenti passaggi:

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

  2. Passa a Identità>Impostazioni.

    Recupero dell'ID tenant dall'interfaccia di amministrazione di Microsoft Entra

Installare l'estensione NPS

L'estensione NPS deve essere installata su un server che ha il ruolo Servizi di accesso e criteri di rete installato e che funzioni come server RADIUS nella progettazione. Non installare l'estensione NPS nel server VPN.

  1. Scaricare l'estensione NPS dall'Area download Microsoft.

  2. Copiare il file eseguibile di configurazione, NpsExtnForAzureMfaInstaller.exe, nel server NPS.

  3. Nel server NPS, fare doppio clic su NpsExtnForAzureMfaInstaller.exe e, se richiesto, selezionare Esegui.

  4. Nella finestra Nps Extension For Microsoft Entra multifactor authentication Setup (Estensione NPS per l'installazione dell'autenticazione a più fattori) esaminare le condizioni di licenza, selezionare la casella di controllo Accetto le condizioni di licenza e quindi selezionare Installa.

    Finestra

  5. Nella finestra NPS Extension For Microsoft Entra multifactor authentication Setup, selezionare Chiudi.

    Finestra di conferma

Configurare i certificati per l'uso con l'estensione NPS usando uno script di Graph PowerShell

Per garantire comunicazioni sicure e affidabilità, configurare i certificati per l'uso dall'estensione NPS. I componenti NPS includono uno script di Graph PowerShell che configura un certificato autofirmato da usare con NPS.

Lo script esegue le azioni seguenti:

  • Crea un certificato autofirmato
  • Associa la chiave pubblica del certificato all'entità servizio in Microsoft Entra ID.
  • Archivia il certificato nell'archivio del computer locale.
  • Concede l'accesso alla chiave privata del certificato all'utente di rete.
  • Riavvia il servizio NPS (Server dei criteri di rete).

Se si vogliono usare certificati personalizzati, è necessario associare la chiave pubblica del certificato all'entità servizio in Microsoft Entra ID e così via.

Per usare lo script, fornire l'estensione con le credenziali amministrative di Microsoft Entra e l'ID tenant di Microsoft Entra copiato in precedenza. L'account deve trovarsi nello stesso tenant di Microsoft Entra per cui si vuole abilitare l'estensione. Eseguire lo script in ogni server NPS in cui si installa l'estensione NPS.

  1. Eseguire Graph PowerShell come amministratore.

  2. Nel prompt dei comandi di PowerShell digitare cd "c:\Programmi\Microsoft\AzureMfa\Config" e premere Invio.

  3. Al prompt dei comandi successivo immettere .\AzureMfaNpsExtnConfigSetup.ps1 e quindi premere INVIO. Lo script verifica se Graph PowerShell è installato. Se non è installato, lo script installa Automaticamente Graph PowerShell.

    Esecuzione dello script di configurazione AzureMfsNpsExtnConfigSetup.ps1

    Se viene visualizzato un errore di sicurezza causato da TLS, abilitare TLS 1.2 usando il comando [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 dal prompt di PowerShell.

    Dopo aver verificato l'installazione del modulo PowerShell, lo script visualizza la finestra di accesso al modulo Graph PowerShell.

  4. Immettere le credenziali e la password dell'amministratore di Microsoft Entra e quindi selezionare Accedi.

  5. Nel prompt dei comandi incollare l'ID tenant copiato in precedenza e quindi premere Invio.

    Immettere l'ID tenant di Microsoft Entra copiato in precedenza

    Lo script crea un certificato autofirmato e apporta altre modifiche alla configurazione. L'output è simile a quello mostrato nella figura seguente:

    Certificato autofirmato nella finestra di PowerShell

  6. Riavviare il server.

Verificare la configurazione

Per verificare la configurazione, è necessario stabilire una nuova connessione VPN con il server VPN. Dopo aver immesso le credenziali per l'autenticazione primaria, la connessione VPN attende che l'autenticazione secondaria abbia esito positivo prima che venga stabilita la connessione, come illustrato nella sezione seguente.

Finestra delle Impostazioni VPN di Windows

Se l'autenticazione viene eseguita correttamente con il metodo di verifica secondario configurato in precedenza nell'autenticazione a più fattori Di Microsoft Entra, si è connessi alla risorsa. Tuttavia, se l'autenticazione secondaria non riesce, viene negato l'accesso alla risorsa.

Nell'esempio seguente viene usata l'app Microsoft Authenticator su un dispositivo Windows Phone per eseguire l'autenticazione secondaria:

Richiesta MFA di esempio in Windows Phone

Dopo aver eseguito l'autenticazione usando il metodo secondario, viene concesso l'accesso alla porta virtuale nel server VPN. Poiché è stato richiesto di usare un metodo di autenticazione secondaria tramite un'app per dispositivi mobili in un dispositivo attendibile, il processo di accesso è più sicuro di quanto sarebbe stato usando solo una combinazione di nome utente e password.

Visualizzare i log del Visualizzatore eventi per individuare gli eventi di accesso riusciti

Per visualizzare gli eventi di accesso riusciti nel Visualizzatore eventi di Windows, è possibile visualizzare il Registro sicurezza o la visualizzazione personalizzata dei Servizi criteri di rete e accesso, come illustrato nell'immagine seguente.

Esempio di log del server criteri di rete

Nel server in cui hai installato l'estensione NPS per l'autenticazione a più fattori Microsoft Entra, puoi trovare i registri delle applicazioni relativi all'estensione nel Visualizzatore eventi in Registri applicazioni e servizi\Microsoft\AzureMfa.

Riquadro dei log di AuthZ di esempio nel Visualizzatore eventi

Guida alla risoluzione dei problemi

Se la configurazione non funziona come previsto, iniziare la risoluzione dei problemi verificando che l'utente sia configurato per l'uso dell'autenticazione a più fattori. Richiedere all’utente di accedere all'Interfaccia di amministrazione di Microsoft Entra. Se all'utente viene richiesta l'autenticazione secondaria e è possibile eseguire correttamente l'autenticazione, è possibile eliminare una configurazione errata di Multi-Factor Authentication come causa del problema.

Se l'Autenticazione a due fattori funziona correttamente per l'utente, esaminare i log pertinenti del Visualizzatore eventi. I log includono l'evento di sicurezza, il gateway operativo e i log di autenticazione a più fattori Microsoft Entra descritti nella sezione precedente.

Di seguito è riportato un esempio di registro di protezione che consente di visualizzare un evento di accesso non riuscito, ID evento 6273:

Registro di protezione che mostra un evento di accesso non riuscito

Di seguito è riportato un evento correlato del log di autenticazione a più fattori Di Microsoft Entra:

Log di autenticazione a più fattori Di Microsoft Entra

Per la risoluzione dei problemi avanzata, consultare i file di log in formato database di NPS nel luogo in cui è installato il servizio NPS. I file di log vengono creati nella cartella %SystemRoot%\System32\Logs come file di testo con valori delimitati da virgole. Per una descrizione dei file di log, vedere Interpret NPS Database Format Log Files.

Le voci di questi file di log sono difficili da interpretare senza esportarle in un foglio di calcolo o in un database. È possibile trovare molti strumenti di parsing per il Servizio di Autenticazione Internet in linea per semplificare l'interpretazione dei file di log. Di seguito è riportato l'output di una di queste applicazioni shareware che è possibile scaricare:

Parser IAS dell'app shareware di esempio

Per altre opzioni di risoluzione dei problemi, è possibile usare uno strumento di analisi di protocolli, ad esempio Wireshark o Microsoft Message Analyzer. L'immagine seguente di Wireshark mostra i messaggi RADIUS tra il server VPN e il NPS.

Visualizzazione del traffico filtrato in Microsoft Message Analyzer

Per ulteriori informazioni, vedere Integrare l'infrastruttura NPS esistente con l'autenticazione multifattoriale di Microsoft Entra.

Passaggi successivi

Ottenere l'autenticazione a più fattori di Microsoft Entra

Gateway Desktop Remoto e Server di Autenticazione Multifattoriale di Azure utilizzando RADIUS

Integrare le directory locali con Microsoft Entra ID