Configurare i criteri di rete

• Si applica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

È possibile usare questo argomento per configurare i criteri di rete in NPS.

Aggiungere un criterio di rete

Server dei criteri di rete (NPS) utilizza i criteri di rete e le proprietà di accesso remoto degli account utente per stabilire se una richiesta di connessione è autorizzata a connettersi alla rete.

È possibile usare questa procedura per configurare un nuovo criterio di rete nella console nps o nella console di Accesso remoto.

Esecuzione dell'autorizzazione

Se il server NPS esegue l'autorizzazione di una richiesta di connessione, confronta la richiesta con tutti i criteri di rete presenti nell'elenco ordinato dei criteri, a partire dal primo e passando via via ai criteri configurati successivi. Se il server NPS rileva dei criteri alle cui condizioni corrisponde la richiesta di connessione, NPS usa i criteri di corrispondenza e le proprietà di connessione dell'account utente per eseguire l'autorizzazione. Se le proprietà di accesso remoto dell'account utente sono configurate per concedere o controllare l'accesso tramite i criteri di rete e la richiesta di connessione è autorizzata, il server NPS applica le impostazioni configurate nei criteri di rete alla connessione.

Se NPS non trova un criterio di rete corrispondente alla richiesta di connessione, la richiesta viene rifiutata, a meno che le proprietà di accesso remoto nell'account utente non siano impostate per concedere l'accesso.

Se le proprietà di connessione dell'account utente sono impostate in modo da negare l'accesso, la richiesta di connessione viene rifiutata da NPS.

Impostazioni chiave

Quando si usa la nuova Creazione guidata per i criteri di rete per creare un criterio di rete, il valore specificato in Metodo di connessione di rete viene usato per configurare automaticamente la condizione Tipo di criterio:

• Se si mantiene il valore predefinito "Unspecified", i criteri di rete creati vengono valutati dal NPS (Network Policy Server) per tutti i tipi di connessione di rete che usano qualsiasi tipo di server di accesso alla rete (NAS).
• Se si specifica un metodo di connessione di rete, NPS (Server dei criteri di rete) valuta i criteri di rete solo se la richiesta di connessione proviene dal tipo di server di accesso alla rete specificato.

Nella pagina Autorizzazione di accesso, è necessario selezionare Accesso concesso se si desidera che i criteri consentano agli utenti di connettersi alla rete. Se si desidera che il criterio impedisca agli utenti di connettersi alla rete, selezionare Accesso negato.

Se si desidera determinare l'autorizzazione di accesso in base alle proprietà di accesso esterno dell'account utente in Active Directory® Domain Services (AD DS), è possibile selezionare la casella di controllo Accesso determinato dalle proprietà di connessione remota utente.

L'appartenenza a Domain Admins, o equivalente è il requisito minimo necessario per completare questa procedura.

Per aggiungere un criterio di rete

1. Aprire la console NPS e quindi fare doppio clic su Criteri.

2. Nell'albero della console, fare clic con il pulsante destro del mouse su Criteri di rete e fare clic su Nuovo. Verrà visualizzata la procedura guidata nuovo criterio di rete.

3. Utilizzare la procedura guidata Nuovi criteri di rete per creare un criterio.

Creare criteri di rete per la connessione remota o VPN con una procedura guidata

È possibile utilizzare questa procedura per creare criteri di richiesta di connessione e criteri di rete necessari per distribuire i server di connessione remota o i server di rete privata virtuale (VPN) come client Remote Authentication Dial-In User Service (RADIUS) al server RADIUS NPS.

Nota

I computer client, ad esempio computer laptop e altri computer che eseguono sistemi operativi client, non sono client RADIUS. I client RADIUS sono server di accesso alla rete, ad esempio punti di accesso wireless, commutatori 802.1X per l'autenticazione, server di rete privata virtuale (VPN) e i server di accesso remoto, perché utilizzano il protocollo RADIUS per comunicare con server RADIUS, come i server dei criteri di rete (NPS).

Questa procedura illustra come aprire la procedura guidata Nuova connessione remota o Connessioni alla rete privata virtuale in NPS.

Dopo aver eseguito la procedura guidata, vengono creati i criteri seguenti:

• Un criterio di richiesta di connessione
• Un criterio di rete

È possibile eseguire la procedura guidata Nuova connessione remota o Connessioni alla rete privata virtuale ogni volta che si necessita di creare nuovi criteri per server di connessione remota e server VPN.

L'esecuzione della procedura guidata Nuova connessione remota o della rete privata virtuale non è l'unico passaggio necessario per distribuire i server VPN o i server di connessione remota come client RADIUS al NPS. Entrambi i metodi di accesso alla rete richiedono la distribuzione di componenti hardware e software aggiuntivi.

L'appartenenza a Domain Admins, o equivalente è il requisito minimo necessario per completare questa procedura.

Per creare criteri per connessione remota o VPN con procedura guidata

1. Aprire la console NPS. Se non è già selezionato, fare clic su NPS (locale). Se si desidera creare criteri in un NPS remoto, selezionare il server.

2. In Introduzione e Configurazione Standard, selezionare Server RADIUS per connessioni remote o VPN. Il testo e i collegamenti sotto il testo cambiano per riflettere la selezione.

3. Fare clic su Configura VPN o Connessione remota con procedura guidata. Si aprirà la procedura guidata Nuova connessione remota o Connessioni rete privata virtuale.

4. Seguire le istruzioni della procedura guidata per completare la creazione delle nuove politiche.

Creare criteri di rete per 802.1X cablata o wireless con una procedura guidata

È possibile utilizzare questa procedura per creare i criteri di richiesta di connessione e i criteri di rete necessari per distribuire switch di autenticazione 802.1X o punti di accesso wireless 802.1X come client RADIUS (Remote Authentication Dial-In User Service) al server RADIUS NPS.

Questa procedura illustra come avviare la procedura guidata Nuove connessioni IEEE 802.1X con cablaggio sicuro e wireless in NPS.

Dopo aver eseguito la procedura guidata, vengono creati i criteri seguenti:

• Un criterio di richiesta di connessione
• Un criterio di rete

È possibile eseguire la procedura guidata per le nuove connessioni IEEE 802.1X con cablaggio sicuro e wireless ogni volta che è necessario creare nuovi criteri per l'accesso 802.1X.

Eseguire la nuova procedura guidata Connessioni sicure IEEE 802.1X cablate e wireless non è l'unico passaggio necessario per distribuire i commutatori di autenticazione 802.1X e i punti di accesso wireless come client RADIUS per il NPS. Entrambi i metodi di accesso alla rete richiedono la distribuzione di componenti hardware e software aggiuntivi.

L'appartenenza a Domain Admins, o equivalente è il requisito minimo necessario per completare questa procedura.

Per creare i criteri per 802.1X cablato o wireless con procedura guidata

1. Su NPS, in Server Manager, fare clic su Strumenti quindi fare clic su Server criteri di rete. Si apre la NPS console.

2. Se non è già selezionato, fare clic su NPS (Locale). Se si desidera creare criteri in un NPS remoto, selezionare il server.

3. In Introduzione e Configurazione Standard, selezionare server RADIUS per connessioni cablate o Wireless 802.1 X. Il testo e i collegamenti sotto il testo cambiano per riflettere la selezione.

4. Fare clic su Configura 802.1X con procedura guidata. Verrà visualizzata la procedura guidata per nuove connessioni IEEE 802.1X cablate e wireless sicure.

5. Segui le istruzioni della procedura guidata per completare la creazione delle tue nuove politiche.

Configurare i Servizi di criteri di rete per ignorare le proprietà di accesso remoto dell'account utente

Utilizzare questa procedura per configurare criteri di rete NPS per ignorare le proprietà di accesso esterno degli account utente in Active Directory durante il processo di autorizzazione. Gli account utente in Utenti e computer di Active Directory dispongono di proprietà di accesso esterno valutate da NPS durante il processo di autorizzazione, a meno che la proprietà Autorizzazione accesso alla rete dell'account utente non sia impostata su Controllare accesso tramite Criteri di rete NPS.

Esistono due circostanze in cui potrebbe essere opportuno configurare NPS per ignorare le proprietà di accesso remoto degli account utente in Active Directory:

• Quando si desidera semplificare l'autorizzazione NPS tramite criteri di rete, ma non tutti gli account utente hanno la proprietà Autorizzazione di accesso alla rete impostata su Controllare l'accesso tramite criteri di rete NPS. Ad esempio, alcuni account utente potrebbero avere la proprietà Autorizzazione accesso rete dell'account utente impostata su Nega accesso o Concedi accesso.

• Quando altre proprietà di accesso esterno degli account utente non sono applicabili al tipo di connessione configurato nei criteri di rete. Ad esempio, le proprietà diverse dall'impostazione Autorizzazione accesso rete sono applicabili solo alle connessioni con accesso esterno o VPN, ma i criteri di rete creati sono per connessioni wireless o autenticate.

È possibile utilizzare questa procedura per configurare NPS in modo che ignori le proprietà di connessione dell'account utente. Se una richiesta di connessione corrisponde ai criteri di rete in cui è selezionata questa casella di controllo, NPS non utilizza le proprietà di accesso esterno dell'account utente per determinare se l'utente o il computer è autorizzato ad accedere alla rete; vengono utilizzate solo le impostazioni nei criteri di rete per stabilire l'autorizzazione.

L'appartenenza a amministratori, o equivalente è il requisito minimo necessario per completare questa procedura.

1. Su NPS, in Server Manager, fare clic su Strumenti, quindi fare clic su Server criteri di rete. La console NPS si apre.

2. Fare doppio clic su Criteri, fare clic su Criteri di rete, quindi, nel riquadro dei dettagli, fare doppio clic sui criteri da configurare.

3. Nella finestra di dialogo dei criteri Proprietà, nella scheda Panoramica, in Autorizzazione accesso, selezionare la casella Ignora proprietà connessione remota account utente e fare clic su OK.

Per configurare NPS per ignorare le proprietà di accesso remoto dell'account utente

Configurare NPS per VLAN

Usando server di accesso alla rete compatibile con VLAN e NPS in Windows Server 2016, è possibile fornire ai gruppi di utenti l'accesso solo alle risorse di rete appropriate per le autorizzazioni di sicurezza. Ad esempio, è possibile fornire ai visitatori l'accesso wireless a Internet senza consentire loro l'accesso alla rete dell'organizzazione.

Inoltre, le VLAN consentono di raggruppare logicamente le risorse di rete presenti in posizioni fisiche diverse o in subnet fisiche diverse. Ad esempio, i membri del reparto vendite e le relative risorse di rete, ad esempio computer client, server e stampanti, potrebbero trovarsi in diversi edifici dell'organizzazione, ma è possibile inserire tutte queste risorse in una VLAN che usa lo stesso intervallo di indirizzi IP. La VLAN funziona quindi, dal punto di vista dell'utente finale, come una singola subnet.

È inoltre possibile usare la VLAN quando si desidera separare una rete tra gruppi diversi di utenti. Una volta determinato come definire i gruppi, è possibile creare gruppi di sicurezza nello snap-in Utenti e computer di Active Directory e aggiungere membri ai gruppi.

Configurare criteri di rete per le VLAN

È possibile usare questa procedura per configurare un criterio di rete che assegna gli utenti a una VLAN. Quando si usano hardware di rete compatibili con le VLAN, ad esempio router, commutatori e controller di accesso, è possibile configurare i criteri di rete per indicare ai server di accesso di posizionare i membri di gruppi di Active Directory specifici in VLAN specifiche. Questa possibilità di raggruppare le risorse di rete in modo logico con le VLAN offre flessibilità durante la progettazione e l'implementazione di soluzioni di rete.

Quando si configurano le impostazioni di un criterio di rete NPS da usare con VLAN, è necessario configurare gli attributi Tunnel-Medium-Type, Tunnel-Pvt-Group-ID, Tunnel-Type e Tunnel-Tag.

Questa procedura viene fornita come linea guida; la configurazione di rete potrebbe richiedere impostazioni diverse rispetto a quelle descritte di seguito.

L'appartenenza a amministratori, o equivalente è il requisito minimo necessario per completare questa procedura.

Per configurare un criterio di rete per le VLAN

1. Su NPS, in Server Manager, fare clic su Strumenti quindi fare clic su Server criteri di rete. La console NPS si apre.

2. Fare doppio clic su Criteri, fare clic su Criteri di rete, quindi, nel riquadro dei dettagli, fare doppio clic sui criteri da configurare.

3. Nella finestra di dialogo Proprietà, fare clic sulla scheda Impostazioni.

4. Nel criterio Proprietà, in Impostazioni, in Attributi RADIUS, assicurarsi che sia selezionato Standard.

5. Nel riquadro dei dettagli, in Attributi, l'attributo Service-Type è configurato con un valore predefinito Framed. Per impostazione predefinita, per i criteri con metodi di accesso VPN e connessione remota, l'attributo Framed-Protocol viene configurato con un valore PPP. Per specificare attributi di connessione aggiuntivi necessari per le VLAN, fare clic su Aggiungi. Verrà visualizzata la finestra di dialogo Aggiungi attributo RADIUS standard.

6. In Aggiungi attributo RADIUS standard, in Attributi, scorrere verso il basso e aggiungere gli attributi seguenti:

   • Tunnel-Medium-Type. Selezionare un valore appropriato in base alle selezioni precedenti effettuate per la politica. Ad esempio, se i criteri di rete che si sta configurando sono criteri wireless, selezionare Valore: 802 (Include tutti i supporti 802 e il formato canonico Ethernet).

   • Tunnel-Pvt-Group-ID. Immettere l'intero che rappresenta il numero VLAN a cui verranno assegnati i membri del gruppo.

   • Tipo di Tunnel. Selezionare LAN virtuali (VLAN).

7. In Aggiungi attributo RADIUS standard, fare clic su Chiudi.

8. Se il server di accesso alla rete (NAS) richiede l'uso dell'attributo Tunnel-Tag, seguire questa procedura per aggiungere l'attributo Tunnel-Tag ai criteri di rete. Se la documentazione NAS non menziona questo attributo, non aggiungerlo ai criteri. Se necessario, aggiungere gli attributi come indicato di seguito:

   • Nel criterio Proprietà, in Impostazioni, in Attributi RADIUS, fare clic su Fornitore specifico.

   • Nel riquadro dei dettagli, fare clic su Aggiungi. Verrà visualizzata la finestra di dialogo Aggiungi attributo specifico fornitore.

   • In Attributi, scorrere verso il basso e selezionare Tunnel-Tag, quindi fare clic su Aggiungi. Si aprirà la finestra di dialogo Informazioni attributo.

   • In Valore attributo, digitare il valore ottenuto dalla documentazione hardware.

Configurare la dimensione del payload EAP

In alcuni casi, i router o i firewall eliminano i pacchetti perché sono configurati per eliminare i pacchetti che richiedono la frammentazione.

Quando si distribuisce NPS (Server dei criteri di rete) con criteri di rete che utilizzano il Protocollo di Autenticazione Estensibile (EAP, Extensible Authentication Protocol) con la Sicurezza del Livello di Trasporto (TLS, Transport Layer Security) o EAP-TLS come metodo di autenticazione, l'unità di trasmissione massima predefinita (MTU) utilizzata dal NPS per i payload EAP è di 1500 byte.

Questa dimensione massima per il payload EAP può creare messaggi RADIUS che richiedono la frammentazione da parte di un router o firewall tra l'NPS (Server dei criteri di rete) e un client RADIUS. In questo caso, un router o un firewall posizionato tra il client RADIUS e NPS potrebbero rimuovere automaticamente alcuni frammenti, causando un errore di autenticazione e l'impossibilità del client di accesso di connettersi alla rete.

Utilizzare la procedura seguente per ridurre le dimensioni massime che NPS utilizza per i payload EAP modificando l'attributo Framed-MTU in un criterio di rete a un valore non superiore a 1344.

L'appartenenza a amministratori, o equivalente è il requisito minimo necessario per completare questa procedura.

Per configurare l'attributo Framed-MTU

1. Su NPS, in Server Manager, fare clic su Strumenti, quindi fare clic su Server criteri di rete. Si apre la console NPS.

2. Fare doppio clic su Criteri, fare clic su Criteri di rete, quindi, nel riquadro dei dettagli, fare doppio clic sui criteri da configurare.

3. Nella finestra di dialogo Proprietà, fare clic sulla scheda Impostazioni.

4. In Impostazioni, in Attributi RADIUS, fare clic su Standard. Nel riquadro dei dettagli, fare clic su Aggiungi. Verrà visualizzata la finestra di dialogo Aggiungi attributo RADIUS standard.

5. In Attributi, scorrere verso il basso e fare clic su Framed-MTU, fare clic su Aggiungi. La finestra di dialogo Informazioni sull'attributo si apre.

6. In Valore attributo, digitare un valore pari a o minore di 1344. Fare clic su OK, poi su Chiudi e poi fare clic su OK.

Per maggiori informazioni sui criteri di rete, consultare la sezione Criteri di rete.

Per esempi di sintassi di corrispondenza di modelli per specificare gli attributi dei criteri di rete, consultare Usare espressioni regolari in NPS.

Per maggiori informazioni su NPS, consultare la sezione Server dei criteri di rete (NPS).