Delen via

Uw Remote Desktop Gateway-infrastructuur integreren met behulp van de NPS-extensie (Network Policy Server) en Microsoft Entra ID

  • Artikel

Dit artikel bevat informatie over het integreren van uw Remote Desktop Gateway-infrastructuur met Microsoft Entra-meervoudige verificatie met behulp van de NPS-extensie (Network Policy Server) voor Microsoft Azure.

Met de NPS-extensie (Network Policy Server) voor Azure kunnen klanten de RADIUS-clientverificatie (Remote Authentication Dial-In User Service) beveiligen met behulp van meervoudige verificatie in de cloud van Azure. Deze oplossing biedt verificatie in twee stappen voor het toevoegen van een tweede beveiligingslaag aan aanmeldingen en transacties van gebruikers.

Dit artikel bevat stapsgewijze instructies voor het integreren van de NPS-infrastructuur met Microsoft Entra-meervoudige verificatie met behulp van de NPS-extensie voor Azure. Dit maakt beveiligde verificatie mogelijk voor gebruikers die zich proberen aan te melden bij een extern bureaublad-gateway.

Notitie

Dit artikel mag niet worden gebruikt met MFA-serverimplementaties en mag alleen worden gebruikt met Microsoft Entra-implementaties met meervoudige verificatie (cloudimplementatie).

NpS (Network Policy and Access Services) biedt organisaties de mogelijkheid om het volgende te doen:

  • Definieer centrale locaties voor het beheer en beheer van netwerkaanvragen door op te geven wie verbinding kan maken, welke tijden van de dagverbindingen zijn toegestaan, de duur van verbindingen en het beveiligingsniveau dat clients moeten gebruiken om verbinding te maken, enzovoort. In plaats van deze beleidsregels op te geven op elke VPN- of RD-gatewayserver (Extern bureaublad), kunnen deze beleidsregels eenmaal op een centrale locatie worden opgegeven. Het RADIUS-protocol biedt de gecentraliseerde verificatie, autorisatie en accounting (AAA).
  • Stel NAP-clientstatusbeleid (Network Access Protection) in en dwing dit beleid af om te bepalen of apparaten onbeperkte of beperkte toegang tot netwerkbronnen krijgen.
  • Bied een middel om verificatie en autorisatie af te dwingen voor toegang tot draadloze toegangspunten met 802.1x-functionaliteit en Ethernet-switches.

Normaal gesproken gebruiken organisaties NPS (RADIUS) om het beheer van VPN-beleid te vereenvoudigen en te centraliseren. Veel organisaties maken echter ook gebruik van NPS om het beheer van RD Desktop Connection Authorization Policies (RD CAPs) te vereenvoudigen en te centraliseren.

Organisaties kunnen NPS ook integreren met Meervoudige Verificatie van Microsoft Entra om de beveiliging te verbeteren en een hoog nalevingsniveau te bieden. Dit helpt ervoor te zorgen dat gebruikers verificatie in twee stappen tot stand brengen om zich aan te melden bij de Extern bureaublad-gateway. Gebruikers die toegang moeten krijgen, moeten hun combinatie van gebruikersnaam en wachtwoord opgeven, samen met informatie die de gebruiker in zijn beheer heeft. Deze informatie moet worden vertrouwd en niet eenvoudig gedupliceerd, zoals een mobiel telefoonnummer, vaste nummer, toepassing op een mobiel apparaat, enzovoort. RDG biedt momenteel ondersteuning voor telefoongesprekken en weigeren/ van pushmeldingen van Microsoft Authenticator-app-methoden voor 2FA. Zie de sectie Bepalen welke verificatiemethoden uw gebruikers kunnen gebruikenvoor meer informatie over ondersteunde verificatiemethoden.

Als uw organisatie extern bureaublad-gateway gebruikt en de gebruiker is geregistreerd voor een TOTP-code, samen met Authenticator-pushmeldingen, kan de gebruiker niet voldoen aan de MFA-uitdaging en mislukt de aanmelding van de Extern bureaublad-gateway. In dat geval kunt u OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE instellen om terug te vallen op pushmeldingen om goed te keuren/weigeren met Authenticator.

Als u wilt dat een NPS-extensie blijft werken voor gebruikers van Extern bureaublad-gateway, moet deze registersleutel worden gemaakt op de NPS-server. Open de registereditor op de NPS-server. Ga naar:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

Maak het volgende tekenreeks-/waardepaar:

Naam: OVERRIDE_NUMBER_MATCHING_WITH_OTP

Waarde = ONWAAR

Vóór de beschikbaarheid van de NPS-extensie voor Azure moesten klanten die verificatie in twee stappen wilden implementeren voor geïntegreerde NPS- en Microsoft Entra-omgevingen voor meervoudige verificatie een afzonderlijke MFA-server configureren en onderhouden in de on-premises omgeving, zoals beschreven in Extern bureaublad-gateway en Azure Multi-Factor Authentication-server met BEHULP van RADIUS.

De beschikbaarheid van de NPS-extensie voor Azure biedt organisaties nu de keuze om een on-premises MFA-oplossing of een cloudgebaseerde MFA-oplossing te implementeren om RADIUS-clientverificatie te beveiligen.

Verificatiestroom

Gebruikers die toegang moeten krijgen tot netwerkresources via een Extern bureaublad-gateway, moeten voldoen aan de voorwaarden die zijn opgegeven in één RD CAP (RD Connection Authorization Policy) en één RD Resource Authorization Policy (RD RAP). RD-CAPs geven aan wie gemachtigd is om verbinding te maken met RD-gateways. RD-RAP's geven de netwerkbronnen op, zoals externe bureaubladen of externe apps, waarmee de gebruiker verbinding mag maken via de RD-gateway.

Een RD-gateway kan worden geconfigureerd voor het gebruik van een centraal beleidsarchief voor RD-CA's. RD-RAPs kunnen geen centraal beleid gebruiken, omdat ze worden verwerkt op de RD-gateway. Een voorbeeld van een RD Gateway die is geconfigureerd voor het gebruik van een centraal beleidsarchief voor RD-CAPs is een RADIUS-client naar een andere NPS-server die fungeert als het centrale beleidsarchief.

Wanneer de NPS-extensie voor Azure is geïntegreerd met de NPS- en Extern bureaublad-gateway, is de geslaagde verificatiestroom als volgt:

  1. De Extern bureaublad-gatewayserver ontvangt een verificatieaanvraag van een extern bureaubladgebruiker om verbinding te maken met een resource, zoals een Extern bureaublad-sessie. Als RADIUS-client fungeert, converteert de extern bureaublad-gatewayserver de aanvraag naar een RADIUS-toegangsaanvraagbericht en verzendt het bericht naar de RADIUS-server (NPS) waarop de NPS-extensie is geïnstalleerd.
  2. De combinatie van gebruikersnaam en wachtwoord wordt geverifieerd in Active Directory en de gebruiker wordt geverifieerd.
  3. Als aan alle voorwaarden zoals opgegeven in de NPS-verbindingsaanvraag en aan het netwerkbeleid wordt voldaan (bijvoorbeeld op het tijdstip van de dag of groepslidmaatschapsbeperkingen), activeert de NPS-extensie een aanvraag voor secundaire verificatie met Microsoft Entra-meervoudige verificatie.
  4. Microsoft Entra multifactor authentication communiceert met Microsoft Entra ID, haalt de details van de gebruiker op en voert de secundaire verificatie uit met behulp van ondersteunde methoden.
  5. Bij succes van de MFA-uitdaging communiceert Microsoft Entra multifactor-verificatie het resultaat met de NPS-extensie.
  6. De NPS-server, waarop de extensie is geïnstalleerd, verzendt een RADIUS Access-Accept-bericht voor het RD CAP-beleid naar de extern bureaublad-gatewayserver.
  7. De gebruiker krijgt toegang tot de aangevraagde netwerkresource via de RD-gateway.

Vereisten

In deze sectie worden de vereisten beschreven die nodig zijn voordat u meervoudige verificatie van Microsoft Entra integreert met de Extern bureaublad-gateway. Voordat u begint, moet u aan de volgende vereisten voldoen.

  • RdS-infrastructuur (Remote Desktop Services)
  • Licentie voor meervoudige verificatie van Microsoft Entra
  • Windows Server-software
  • NpS-rol (Network Policy and Access Services)
  • Microsoft Entra gesynchroniseerd met on-premises Active Directory
  • GUID-id van Microsoft Entra

RdS-infrastructuur (Remote Desktop Services)

U moet beschikken over een werkende RDS-infrastructuur (Remote Desktop Services). Als u dit niet doet, kunt u deze infrastructuur snel maken in Azure met behulp van de volgende quickstartsjabloon: Implementatie van extern bureaublad-sessieverzameling maken.

Als u handmatig een on-premises RDS-infrastructuur wilt maken voor testdoeleinden, volgt u de stappen om er een te implementeren. Meer informatie: RDS implementeren met azure-quickstart en implementatie van basis-RDS-infrastructuur.

Windows Server-software

Voor de NPS-extensie is Windows Server 2008 R2 SP1 of hoger vereist, waarbij de NPS-functieservice is geïnstalleerd. Alle stappen in deze sectie zijn uitgevoerd met Windows Server 2016.

NpS-rol (Network Policy and Access Services)

De NPS rolservice biedt de functionaliteit van de RADIUS-server en -client en de gezondheidsservice voor netwerktoegangsbeleid. Deze rol moet worden geïnstalleerd op ten minste twee computers in uw infrastructuur: De Extern bureaublad-gateway en een andere lidserver of domeincontroller. Standaard is de rol al aanwezig op de computer die is geconfigureerd als de Extern bureaublad-gateway. U moet de NPS-functie ook installeren op ten minste een andere computer, zoals een domeincontroller of lidserver.

Zie Een NAP-statusbeleidsserver installeren voor informatie over het installeren van de NPS-functieservice Windows Server 2012 of ouder. Zie Best Practices voor NPS voor een beschrijving van aanbevolen procedures voor NPS, inclusief de aanbeveling om NPS te installeren op een domeincontroller.

Microsoft Entra gesynchroniseerd met on-premises Active Directory

Als u de NPS-extensie wilt gebruiken, moeten on-premises gebruikers worden gesynchroniseerd met Microsoft Entra-id en zijn ingeschakeld voor MFA. In deze sectie wordt ervan uitgegaan dat on-premises gebruikers worden gesynchroniseerd met Microsoft Entra-id met behulp van AD Connect. Zie Uw on-premises directory's integreren met Microsoft Entra ID voor meer informatie over Microsoft Entra Connect.

GUID-id van Microsoft Entra

Als u de NPS-extensie wilt installeren, moet u de GUID van de Microsoft Entra-id kennen. Hieronder vindt u instructies voor het vinden van de GUID van de Microsoft Entra-id.

Meervoudige verificatie configureren

Deze sectie bevat instructies voor het integreren van Microsoft Entra-meervoudige verificatie met de Extern bureaublad-gateway. Als beheerder moet u de Microsoft Entra-service voor meervoudige verificatie configureren voordat gebruikers hun meervoudige apparaten of toepassingen zelf kunnen registreren.

Volg de stappen in Aan de slag met Meervoudige Verificatie van Microsoft Entra in de cloud om MFA in te schakelen voor uw Microsoft Entra-gebruikers.

Accounts configureren voor verificatie in twee stappen

Zodra een account is ingeschakeld voor MFA, kunt u zich pas aanmelden bij resources die worden beheerd door het MFA-beleid totdat u een vertrouwd apparaat hebt geconfigureerd dat moet worden gebruikt voor de tweede verificatiefactor en is geverifieerd met verificatie in twee stappen.

Volg de stappen in Wat betekent meervoudige verificatie voor Microsoft Entra voor mij? om uw apparaten voor MFA te begrijpen en correct te configureren met uw gebruikersaccount.

Belangrijk

Het aanmeldingsgedrag voor Extern bureaublad-gateway biedt niet de optie om een verificatiecode in te voeren met Meervoudige Verificatie van Microsoft Entra. Een gebruikersaccount moet worden geconfigureerd voor telefoonverificatie of de Microsoft Authenticator-app met pushmeldingen weigeren goedkeuren/.

Als geen van beide telefoonverificaties of de Microsoft Authenticator-app met Pushmeldingen goedkeuren/is geconfigureerd voor een gebruiker, kan de gebruiker de meervoudige verificatievraag van Microsoft Entra niet voltooien en zich aanmelden bij Remote Desktop Gateway.

De sms-tekstmethode werkt niet met Extern bureaublad-gateway omdat deze geen optie biedt om een verificatiecode in te voeren.

NPS-extensie installeren en configureren

Deze sectie bevat instructies voor het configureren van de RDS-infrastructuur voor het gebruik van Meervoudige Verificatie van Microsoft Entra voor clientverificatie met de Extern bureaublad-gateway.

De tenant-id van de map ophalen

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Als onderdeel van de configuratie van de NPS-extensie moet u beheerdersreferenties en de id van uw Microsoft Entra-tenant opgeven. Voer de volgende stappen uit om de tenant-id op te halen:

  1. Meld u aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar Identity>Overview.

    De tenant-id ophalen uit het Microsoft Entra-beheercentrum

De NPS-extensie installeren

Installeer de NPS-extensie op een server waarop de NPS-functie (Network Policy and Access Services) is geïnstalleerd. Dit fungeert als de RADIUS-server voor uw ontwerp.

Belangrijk

Installeer de NPS-extensie niet op uw RDG-server (Remote Desktop Gateway). De RDG-server gebruikt het RADIUS-protocol niet met de client, zodat de extensie de MFA niet kan interpreteren en uitvoeren.

Wanneer de RDG-server en NPS-server met de NPS-extensie verschillende servers zijn, gebruikt RDG intern NPS om te communiceren met andere NPS-servers en gebruikt RADIUS als protocol om correct te communiceren.

  1. Download de NPS-extensie.
  2. Kopieer het uitvoerbare installatiebestand (NpsExtnForAzureMfaInstaller.exe) naar de NPS-server.
  3. Dubbelselecteer op de NPS-server NpsExtnForAzureMfaInstaller.exe. Als u hierom wordt gevraagd, selecteert u uitvoeren.
  4. Controleer de licentievoorwaarden voor softwarelicenties in het dialoogvenster NPS-extensie voor Het instellen van meervoudige verificatie van Microsoft Entra, controleer ik ga akkoord met de licentievoorwaardenen selecteer Installeren.
  5. Selecteer sluiten in het dialoogvenster NPS-extensie voor het instellen van meervoudige verificatie voor Microsoft Entra.

Certificaten configureren voor gebruik met de NPS-extensie met behulp van een PowerShell-script

Vervolgens moet u certificaten configureren voor gebruik door de NPS-extensie om veilige communicatie en zekerheid te garanderen. De NPS-onderdelen bevatten een PowerShell-script waarmee een zelfondertekend certificaat wordt geconfigureerd voor gebruik met NPS.

Met het script worden de volgende taken uitgevoerd:

  • Een zelfondertekend certificaat maken
  • Hiermee koppelt u de openbare sleutel van het certificaat aan de service-principal in Microsoft Entra-id
  • Slaat het certificaat op in het archief van de lokale computer
  • Verleent toegang tot de persoonlijke sleutel van het certificaat aan de netwerkgebruiker
  • Network Policy Server-service opnieuw opstarten

Als u uw eigen certificaten wilt gebruiken, moet u de openbare sleutel van uw certificaat koppelen aan de service-principal op Microsoft Entra-id, enzovoort.

Als u het script wilt gebruiken, geeft u de extensie op met uw Microsoft Entra-beheerdersreferenties en de Microsoft Entra-tenant-id die u eerder hebt gekopieerd. Voer het script uit op elke NPS-server waarop u de NPS-extensie hebt geïnstalleerd. Ga daarna als volgt te werk:

  1. Open een Windows PowerShell-prompt met beheerdersrechten.

  2. Typ cd 'c:\Program Files\Microsoft\AzureMfa\Config'en druk op Enter bij de PowerShell-prompt.

  3. Typ .\AzureMfaNpsExtnConfigSetup.ps1en druk op Enter. Het script controleert of de PowerShell-module is geïnstalleerd. Als dit niet is geïnstalleerd, installeert het script de module voor u.

    AzureMfaNpsExtnConfigSetup.ps1 uitvoeren in PowerShell

  4. Nadat het script de installatie van de PowerShell-module heeft gecontroleerd, wordt het dialoogvenster van de PowerShell-module weergegeven. Voer in het dialoogvenster uw microsoft Entra-beheerdersreferenties en -wachtwoord in en selecteer Aanmelden.

  5. Wanneer u hierom wordt gevraagd, plakt u de tenant-id die u eerder naar het klembord hebt gekopieerd en drukt u op Enter.

    De tenant-id invoeren in PowerShell

  6. Het script maakt een zelfondertekend certificaat en voert andere configuratiewijzigingen uit.

NPS-onderdelen configureren op Extern bureaublad-gateway

In deze sectie configureert u het autorisatiebeleid voor extern bureaublad-gatewayverbindingen en andere RADIUS-instellingen.

Voor de verificatiestroom moeten RADIUS-berichten worden uitgewisseld tussen de Extern bureaublad-gateway en de NPS-server waarop de NPS-extensie is geïnstalleerd. Dit betekent dat u RADIUS-clientinstellingen moet configureren op zowel Extern bureaublad-gateway als de NPS-server waarop de NPS-extensie is geïnstalleerd.

Autorisatiebeleid voor Extern bureaublad-gatewayverbindingen configureren voor het gebruik van central store

Autorisatiebeleid voor extern bureaublad-verbindingen (RD-CAPs) geven de vereisten op voor het maken van verbinding met een Extern bureaublad-gatewayserver. RD-CA's kunnen lokaal worden opgeslagen (standaard) of ze kunnen worden opgeslagen in een centraal RD CAP-archief waarop NPS wordt uitgevoerd. Als u de integratie van Microsoft Entra-meervoudige verificatie met RDS wilt configureren, moet u het gebruik van een centraal archief opgeven.

  1. Open Serverbeheer op de RD Gateway-server.

  2. Selecteer Extrain het menu, wijs Remote Desktop Servicesaan en selecteer Remote Desktop Gateway Manager.

  3. Selecteer in RD Gateway Manager met de rechtermuisknop [Servernaam] (Lokaal)en selecteer Eigenschappen.

  4. Selecteer in het dialoogvenster Eigenschappen het tabblad RD CAP Store .

  5. Selecteer op het tabblad RD CAP Store de optie Central-server waarop NPS wordt uitgevoerd.

  6. Typ in het veld Voer een naam of IP-adres in voor de server waarop NPS wordt uitgevoerd, het IP-adres of de servernaam van de server waarop u de NPS-extensie hebt geïnstalleerd.

    Voer de naam of het IP-adres van uw NPS-server in

  7. Selecteer toevoegen.

  8. Voer in het dialoogvenster Gedeeld geheim een gedeeld geheim in en selecteer OK. Zorg ervoor dat u dit gedeelde geheim opneemt en de record veilig opslaat.

    Notitie

    Gedeeld geheim wordt gebruikt om een vertrouwensrelatie tot stand te brengen tussen de RADIUS-servers en -clients. Maak een lang en complex geheim.

    Een gedeeld geheim maken om een vertrouwensrelatie tot stand te brengen

  9. Selecteer OK- om het dialoogvenster te sluiten.

RADIUS-time-outwaarde configureren in NPS van extern bureaublad-gateway

Om ervoor te zorgen dat er tijd is om de referenties van gebruikers te valideren, verificatie in twee stappen uit te voeren, antwoorden te ontvangen en te reageren op RADIUS-berichten, is het nodig om de radius-time-outwaarde aan te passen.

  1. Open Serverbeheer op de RD Gateway-server. Selecteer in het menu Extraen selecteer vervolgens Network Policy Server.

  2. Vouw in de NPS-console (Lokaal) RADIUS-clients en -servers uit en selecteer Externe RADIUS-server.

    Beheerconsole van netwerkbeleidsserver met externe RADIUS-server

  3. Dubbelklik op het detailvenster TS GATEWAY SERVER GROUP.

    Notitie

    Deze RADIUS-servergroep is gemaakt toen u de centrale server voor NPS-beleid hebt geconfigureerd. De RD-gateway stuurt RADIUS-berichten door naar deze server of groep servers, indien meer dan één in de groep.

  4. Selecteer in het dialoogvenster eigenschappen van TS GATEWAY-SERVERGROEP het IP-adres of de naam van de NPS-server die u hebt geconfigureerd voor het opslaan van RD-CAPs en selecteer vervolgens Bewerken.

    Selecteer het IP-adres of de naam van de NPS-server die eerder is geconfigureerd

  5. Selecteer in het dialoogvenster RADIUS-server bewerken het tabblad Taakverdeling .

  6. Wijzig op het tabblad Taakverdeling , in het aantal seconden zonder reactie voordat de aanvraag als verwijderd veld wordt beschouwd, de standaardwaarde van 3 in een waarde tussen 30 en 60 seconden.

  7. Wijzig in het aantal seconden tussen aanvragen wanneer de server wordt geïdentificeerd als niet beschikbaar veld, de standaardwaarde van 30 seconden in een waarde die gelijk is aan of groter is dan de waarde die u in de vorige stap hebt opgegeven.

    Time-outinstellingen voor Radius Server bewerken op het tabblad Taakverdeling

  8. Selecteer OK twee keer om de dialoogvensters te sluiten.

Beleid voor verbindingsaanvragen controleren

Wanneer u de RD-gateway configureert voor het gebruik van een centraal beleidsarchief voor verbindingsautorisatiebeleid, wordt de RD-gateway standaard geconfigureerd voor het doorsturen van CAP-aanvragen naar de NPS-server. De NPS-server waarop de Multifactor Authentication-extensie van Microsoft Entra is geïnstalleerd, verwerkt de RADIUS-toegangsaanvraag. In de volgende stappen ziet u hoe u het standaardbeleid voor verbindingsaanvragen controleert.

  1. Vouw op de RD-gateway in de NPS-console (lokaal) beleidsregels uit en selecteer Beleid voor verbindingsaanvragen.

  2. Dubbelklik TS GATEWAY AUTHORIZATION POLICY.

  3. Selecteer in het dialoogvenster eigenschappen van TS GATEWAY AUTHORIZATION POLICY het tabblad Instellingen.

  4. Selecteer op tabblad Instellingen onder Verbindingsaanvraag doorsturen Verificatie. RADIUS-client is geconfigureerd voor het doorsturen van aanvragen voor verificatie.

    Verificatie-instellingen configureren die de servergroep opgeven

  5. Selecteer Annuleren.

Notitie

Zie voor meer informatie over het maken van een beleid voor verbindingsaanvragen de documentatie in het artikel Beleid voor verbindingsaanvragen configureren.

NPS configureren op de server waarop de NPS-extensie is geïnstalleerd

De NPS-server waarop de NPS-extensie is geïnstalleerd, moet RADIUS-berichten kunnen uitwisselen met de NPS-server op de extern bureaublad-gateway. Als u deze berichtuitwisseling wilt inschakelen, moet u de NPS-onderdelen configureren op de server waarop de NPS-extensieservice is geïnstalleerd.

Server registreren in Active Directory

Als u in dit scenario goed wilt functioneren, moet de NPS-server worden geregistreerd in Active Directory.

  1. Open Serverbeheer op de NPS-server.

  2. Selecteer in Serverbeheer Toolsen selecteer vervolgens Network Policy Server.

  3. Selecteer in de console Network Policy Server met de rechtermuisknop NPS (Local)en selecteer vervolgens Server registreren in Active Directory.

  4. Selecteer OK twee keer.

    De NPS-server registreren in Active Directory

  5. Laat de console geopend voor de volgende procedure.

RADIUS-client maken en configureren

De Extern bureaublad-gateway moet worden geconfigureerd als een RADIUS-client voor de NPS-server.

  1. Klik op de NPS-server waarop de NPS-extensie is geïnstalleerd in de NPS (Lokaal) console met de rechtermuisknop op RADIUS-clients en selecteer Nieuw.

    Een nieuwe RADIUS-client maken in de NPS-console

  2. Geef in het dialoogvenster Nieuwe RADIUS-client een beschrijvende naam op, zoals gateway en het IP-adres of de DNS-naam van de extern bureaublad-gatewayserver.

  3. Voer in het gedeelde geheim en de velden Gedeeld geheim bevestigen hetzelfde geheim in dat u eerder hebt gebruikt.

    Een beschrijvende naam en het IP- of DNS-adres configureren

  4. Selecteer OK- om het dialoogvenster Nieuwe RADIUS-client te sluiten.

Netwerkbeleid configureren

Zoals u weet, is de NPS-server met de Multifactor Authentication-extensie van Microsoft Entra het aangewezen centrale beleidsarchief voor het CAP (Connection Authorization Policy). Daarom moet u een CAP implementeren op de NPS-server om geldige verbindingsaanvragen te autoriseren.

  1. Open op de NPS-server de NPS-console (Lokaal), vouw beleiduit en selecteer netwerkbeleid.

  2. Rechtsklik op Verbindingen met andere toegangsserversen selecteer Dupliceren beleid.

    De verbinding met ander toegangsserverbeleid dupliceren

  3. Selecteer met de rechtermuisknop Kopie van verbindingen met andere toegangsserversen selecteer Eigenschappen.

  4. Voer in het dialoogvenster Verbindingen met andere toegangsservers in het dialoogvenster Beleidsnaam een geschikte naam in, zoals RDG_CAP. Schakel Beleid ingeschakeld in en selecteer Toegang verlenen. Selecteer optioneel in het type netwerktoegangsserver de optie Extern bureaublad-gateway of u kunt deze op Niet opgegeven laten staan.

    Het beleid een naam geven, inschakelen en toegang verlenen

  5. Selecteer het tabblad Beperkingen en controleer Toestaan dat clients verbinding maken zonder een verificatiemethode te onderhandelen.

    Verificatiemethoden wijzigen zodat clients verbinding kunnen maken

  6. Selecteer desgewenst het tabblad Voorwaarden en voeg voorwaarden toe waaraan moet worden voldaan om de verbinding te kunnen machtigen, bijvoorbeeld lidmaatschap van een specifieke Windows-groep.

    Optioneel verbindingsvoorwaarden opgeven

  7. Kies OK. Wanneer u wordt gevraagd om het bijbehorende Help-onderwerp weer te geven, selecteert u Geen.

  8. Zorg ervoor dat uw nieuwe beleid boven aan de lijst staat, dat het beleid is ingeschakeld en dat het toegang verleent.

    Uw beleid naar het begin van de lijst verplaatsen

Configuratie controleren

Als u de configuratie wilt controleren, moet u zich aanmelden bij de Extern bureaublad-gateway met een geschikte RDP-client. Zorg ervoor dat u een account gebruikt dat is toegestaan door uw beleid voor verbindingsautorisatie en is ingeschakeld voor meervoudige verificatie van Microsoft Entra.

Zoals getoond in de onderstaande afbeelding, kunt u de pagina Extern bureaublad-webtoegang gebruiken.

Testen in Extern bureaublad-webtoegang

Wanneer u uw referenties met succes hebt ingevoerd voor primaire verificatie, toont het dialoogvenster Extern bureaublad verbinden de status 'Initiatie van de externe verbinding', zoals te zien is in de volgende sectie.

Als u bent geverifieerd met de secundaire verificatiemethode die u eerder hebt geconfigureerd in Meervoudige Verificatie van Microsoft Entra, bent u verbonden met de resource. Als de secundaire verificatie echter niet lukt, hebt u geen toegang tot de resource.

Verbinding met extern bureaublad initiëren van een externe verbinding

In het volgende voorbeeld wordt de Authenticator-app op een Windows Phone gebruikt om de secundaire verificatie te bieden.

Voorbeeld van windows Phone Authenticator-app met verificatie

Zodra u bent geverifieerd met behulp van de secundaire verificatiemethode, bent u als normaal aangemeld bij de Extern bureaublad-gateway. Omdat u echter een secundaire verificatiemethode moet gebruiken met behulp van een mobiele app op een vertrouwd apparaat, is het aanmeldingsproces veiliger dan anders.

Logboeken logboeken weergeven voor geslaagde aanmeldingsevenementen

Als u de geslaagde aanmeldingsgebeurtenissen in de Windows Logboeken-logboeken wilt bekijken, kunt u de volgende PowerShell-opdracht uitvoeren om een query uit te voeren op de Windows Terminal Services- en Windows-beveiliging-logboeken.

Als u een query wilt uitvoeren op geslaagde aanmeldingsgebeurtenissen in de operationele logboeken van de gateway (Logboeken\Applications and Services Logs\Microsoft\Windows\TerminalServices-Gateway\Operational), gebruikt u de volgende PowerShell-opdrachten:

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '300'} | FL
  • Met deze opdracht worden Windows-gebeurtenissen weergegeven waarin de gebruiker wordt weergegeven die voldoet aan de vereisten voor het resourceautorisatiebeleid (RD RAP) en toegang heeft gekregen.

Gebeurtenissen weergeven met Behulp van PowerShell

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '200'} | FL
  • Met deze opdracht worden de gebeurtenissen weergegeven die worden weergegeven wanneer de gebruiker voldoet aan de vereisten voor het autorisatiebeleid voor verbindingen.

Het autorisatiebeleid voor verbindingen weergeven met behulp van PowerShell

U kunt dit logboek ook bekijken en filteren op gebeurtenis-id's, 300 en 200. Gebruik de volgende opdracht om een query uit te voeren op geslaagde aanmeldingsevenementen in de logboeken van beveiligingslogboeken:

  • Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL
  • Deze opdracht kan worden uitgevoerd op de centrale NPS of de RD-gatewayserver.

Voorbeeld van geslaagde aanmeldingsgebeurtenissen

U kunt ook het beveiligingslogboek of de aangepaste weergave Netwerkbeleid en Toegangsservices weergeven:

Services voor netwerkbeleid en -toegang Logboeken

Op de server waarop u de NPS-extensie voor meervoudige verificatie van Microsoft Entra hebt geïnstalleerd, vindt u Logboeken toepassingslogboeken die specifiek zijn voor de extensie in Application and Services Logs\Microsoft\AzureMfa.

Logboeken AuthZ-toepassingslogboeken

Gids voor probleemoplossing

Als de configuratie niet werkt zoals verwacht, moet u eerst controleren of de gebruiker is geconfigureerd voor het gebruik van meervoudige verificatie van Microsoft Entra. Laat de gebruiker zich aanmelden bij het Microsoft Entra-beheercentrum. Als gebruikers om secundaire verificatie worden gevraagd en kunnen worden geverifieerd, kunt u een onjuiste configuratie van Microsoft Entra-meervoudige verificatie elimineren.

Als Microsoft Entra-meervoudige verificatie werkt voor de gebruiker(en), controleert u de relevante gebeurtenislogboeken. Dit zijn onder andere de beveiligingsgebeurtenis, de operationele gateway en de logboeken voor meervoudige verificatie van Microsoft Entra die in de vorige sectie worden besproken.

Zie de volgende voorbeelduitvoer van het beveiligingslogboek met een mislukte aanmeldingsgebeurtenis (gebeurtenis-id 6273).

Voorbeeld van een mislukte aanmeldingsgebeurtenis

Dit is een gerelateerde gebeurtenis uit de AzureMFA-logboeken:

Voorbeeldlogboek voor meervoudige verificatie van Microsoft Entra in Logboeken

Raadpleeg de logboekbestanden van de NPS-databaseindeling waarop de NPS-service is geïnstalleerd om geavanceerde probleemoplossingsopties uit te voeren. Deze logboekbestanden worden gemaakt in de map %SystemRoot%\System32\Logs als door komma's gescheiden tekstbestanden.

Zie NpS Database Format Log Files interpreteren voor een beschrijving van deze logboekbestanden. De vermeldingen in deze logboekbestanden kunnen moeilijk te interpreteren zijn zonder ze in een spreadsheet of database te importeren. U vindt verschillende IAS-parsers online om u te helpen bij het interpreteren van de logboekbestanden.

In de volgende afbeelding ziet u de uitvoer van een dergelijke downloadbare sharewaretoepassing .

Voorbeeld van IAS-parsering van Shareware-app

Volgende stappen

Meervoudige verificatie van Microsoft Entra verkrijgen

Extern bureaublad-gateway en Azure Multi-Factor Authentication-server met behulp van RADIUS

Uw on-premises mappen integreren met Microsoft Entra ID