Delen via

P2S RADIUS-verificatie integreren met NPS voor meervoudige verificatie

  • Artikel

Het artikel helpt u bij het integreren van NPS (Network Policy Server) met RADIUS-verificatie van Azure VPN Gateway om meervoudige verificatie (MFA) te leveren voor punt-naar-site-VPN-verbindingen (P2S).

Vereisten

  • Microsoft Entra-id: als u MFA wilt inschakelen, moeten de gebruikers zich in Microsoft Entra-id bevinden, die moeten worden gesynchroniseerd vanuit de on-premises omgeving of de cloudomgeving.

    • De gebruiker moet het automatische inschrijvingsproces voor MFA hebben voltooid. Zie Mijn account instellen voor verificatie in twee stappen voor meer informatie.

    • Als uw MFA is gebaseerd op tekst (sms, verificatiecode voor mobiele apps, enzovoort) en de gebruiker een code of tekst moet invoeren in de gebruikersinterface van de VPN-client, slaagt de verificatie niet en is dit geen ondersteund scenario.

  • Op route gebaseerde VPN-gateway: U moet al een op route gebaseerde VPN-gateway hebben. Zie Zelfstudie: Een VPN-gateway maken en beheren voor stappen voor het maken van een op route gebaseerde VPN-gateway.

  • NPS: U moet de Netwerkbeleidsserver al hebben geïnstalleerd en het VPN-beleid voor RADIUS hebben geconfigureerd.

RADIUS-client maken

  1. Maak de RADIUS-client door de volgende instellingen op te geven:
    • Beschrijvende naam: typ een willekeurige naam.
    • Adres (IP of DNS):gebruik de waarde die is opgegeven voor het subnet van uw VPN-gatewaygateway. Bijvoorbeeld 10.1.255.0/27.
    • Gedeeld geheim: typ een geheime sleutel en onthoud deze voor later gebruik.
  2. Stel op het tabblad Geavanceerd de naam van de leverancier in op RADIUS Standard en zorg ervoor dat het selectievakje Aanvullende opties niet is ingeschakeld. Selecteer vervolgens OK.
  3. Ga naar Beleidsregels>voor netwerkbeleid. Dubbelklik op Verbindingen met microsoft-routerings- en RAS-serverbeleid . Selecteer Toegang verlenen en selecteer vervolgens OK.

De VPN-gateway configureren

  1. Open uw virtuele netwerkgateway (VPN-gateway) in Azure Portal.

  2. Controleer op de pagina Overzicht of het gatewaytype is ingesteld op VPN en of het VPN-type op route is gebaseerd.

  3. Vouw in het linkerdeelvenster Instellingen uit en selecteer Nu configureren voor punt-naar-site>.

  4. Bekijk de pagina punt-naar-site-configuratie .

    Schermopname van de pagina punt-naar-site-configuratie.

  5. Configureer op de pagina punt-naar-site-configuratie de volgende instellingen:

    • Adresgroep: Met deze waarde geeft u de clientadresgroep op van waaruit de VPN-clients een IP-adres ontvangen wanneer ze verbinding maken met de VPN-gateway. De adresgroep moet een privé-IP-adresbereik zijn dat niet overlapt met het adresbereik van het virtuele netwerk. Bijvoorbeeld 172.16.201.0/24.
    • Tunneltype: Selecteer het tunneltype. Selecteer bijvoorbeeld IKEv2 en OpenVPN (SSL).
    • Verificatietype: RADIUS-verificatie selecteren.
    • Als u een actief-actief VPN-gateway hebt, is een derde openbaar IP-adres vereist. U kunt een nieuw openbaar IP-adres maken met behulp van de voorbeeldwaarde VNet1GWpip3.
    • IP-adres van primaire server: typ het IP-adres van de NPS (Network Policy Server).
    • Primair servergeheim: typ het gedeelde geheim dat u hebt opgegeven bij het maken van de RADIUS-client op de NPS.

  6. Sla de configuratie-instellingen boven aan de pagina op.

Nadat de instellingen zijn opgeslagen, kunt u op VPN-client downloaden klikken om het configuratiepakket voor de VPN-client te downloaden en de instellingen gebruiken om de VPN-client te configureren. Zie de tabel met vereisten voor punt-naar-site-clientconfiguratie voor meer informatie over de configuratie van P2S VPN-clients.

NPS integreren met Microsoft Entra MFA

Gebruik de volgende koppelingen om uw NPS-infrastructuur te integreren met Meervoudige Verificatie van Microsoft Entra:

Volgende stappen

Zie de tabel met vereisten voor punt-naar-site-clientconfiguratie voor stappen voor het configureren van uw VPN-client.