Voorwaardelijke toegang voor VPN-connectiviteit met behulp van Microsoft Entra-id

• Van toepassing op:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

In deze instructiegids leert u hoe u VPN-gebruikers toegang verleent tot uw resources met behulp van voorwaardelijke toegang van Microsoft Entra. Met voorwaardelijke toegang van Microsoft Entra voor VPN-connectiviteit (Virtual Private Network) kunt u helpen de VPN-verbindingen te beveiligen. Voorwaardelijke toegang is een evaluatie-engine op basis van beleid waarmee u toegangsregels kunt maken voor elke met Microsoft Entra verbonden toepassing.

Voorwaarden

Voordat u begint met het configureren van voorwaardelijke toegang voor uw VPN, moet u de volgende vereisten hebben voltooid:

• Voorwaardelijke toegang in Microsoft Entra ID

  • Beheerders die met voorwaardelijke toegang werken, moeten een van de volgende roltoewijzingen hebben, afhankelijk van de taken die ze uitvoeren. Als u het Zero Trust-principe van minimale bevoegdhedenwilt volgen, kunt u overwegen PIM- (Privileged Identity Management) te gebruiken om just-in-time bevoorrechte roltoewijzingen te activeren.
    • Beleid en configuraties voor voorwaardelijke toegang lezen
      • beveiligingslezer
    • Beleid voor voorwaardelijke toegang maken of wijzigen
      • administrator voor voorwaardelijke toegang

• VPN en voorwaardelijke toegang

• U hebt zelfstudie voltooid: AlwaysOn VPN implementeren - Infrastructuur instellen voor AlwaysOn VPN- of u hebt de AlwaysOn VPN-infrastructuur al in uw omgeving ingesteld.

• Uw Windows-clientcomputer is al geconfigureerd met een VPN-verbinding met Intune. Als u niet weet hoe u een VPN-profiel configureert en implementeert met Intune, raadpleegt u AlwaysOn VPN-profiel implementeren op Windows 10- of nieuwere clients met Microsoft Intune.

Configureren EAP-TLS om controle van certificaatintrekkingslijst (CRL) te negeren

Een EAP-TLS-client kan geen verbinding maken, tenzij de NPS-server een intrekkingscontrole van de certificaatketen voltooit (inclusief het basiscertificaat). Cloudcertificaten die zijn uitgegeven aan de gebruiker door Microsoft Entra ID hebben geen CRL omdat ze kortlevende certificaten zijn met een levensduur van één uur. EAP op NPS moet worden geconfigureerd om het ontbreken van een CRL te negeren. Omdat de verificatiemethode EAP-TLS is, is deze registerwaarde alleen nodig onder EAP\13. Als er andere EAP-verificatiemethoden worden gebruikt, moet ook de registerwaarde worden toegevoegd onder die methoden.

In deze sectie voegt u IgnoreNoRevocationCheck en NoRevocationChecktoe. Standaard zijn IgnoreNoRevocationCheck en NoRevocationCheck ingesteld op 0 (uitgeschakeld).

Zie voor meer informatie over NPS CRL-registerinstellingen Network Policy Server Certificate Revocation List registerinstellingen configureren.

Belangrijk

Als een Windows Routing and Remote Access Server (RRAS) NPS gebruikt om RADIUS-aanroepen naar een tweede NPS te proxyen, moet u IgnoreNoRevocationCheck=1 instellen op beide servers.

Als u deze registerwijziging niet implementeert, werken IKEv2-verbindingen met behulp van cloudcertificaten met PEAP niet, maar IKEv2-verbindingen die gebruikmaken van clientauth-certificaten die zijn uitgegeven vanuit de on-premises CA, blijven werken.

1. Open regedit.exe op de NPS-server.

2. Navigeer naar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.

3. Selecteer Bewerken > Nieuw en selecteer DWORD-waarde (32-bitswaarde) en voer IgnoreNoRevocationCheckin.

4. Dubbelklik op IgnoreNoRevocationCheck- en stel de waardegegevens in op 1.

5. Selecteer Bewerken > Nieuw en selecteer DWORD-waarde (32-bits) en voer NoRevocationCheckin.

6. Dubbelklik op NoRevocationCheck- en stel de waardegegevens in op 1.

7. Selecteer OK en start de server opnieuw op. Het opnieuw opstarten van de RRAS- en NPS-services volstaat niet.

Registerpad	EAP-extensie
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13	EAP-TLS
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\25	PEAP

Basiscertificaten maken voor VPN-verificatie met Microsoft Entra-id

In deze sectie configureert u basiscertificaten voor voorwaardelijke toegang voor VPN-verificatie met Microsoft Entra ID, waarmee automatisch een Cloud-app met de naam VPN Server in de tenant wordt gemaakt. Als u voorwaardelijke toegang wilt configureren voor VPN-connectiviteit, moet u het volgende doen:

1. Maak een VPN-certificaat in Azure Portal.
2. Download het VPN-certificaat.
3. Implementeer het certificaat op uw VPN- en NPS-servers.

Belangrijk

Zodra een VPN-certificaat is gemaakt in Azure Portal, wordt de Microsoft Entra-id onmiddellijk gebruikt om certificaten met korte levensduur uit te geven aan de VPN-client. Het is van cruciaal belang dat het VPN-certificaat onmiddellijk op de VPN-server wordt geïmplementeerd om problemen met referentievalidatie van de VPN-client te voorkomen.

Wanneer een gebruiker een VPN-verbinding probeert te maken, doet de VPN-client op de Windows 10-client een beroep op de Web Account Manager (WAM). WAM maakt een oproep naar de VPN Server-cloud-app. Wanneer aan de voorwaarden en besturingselementen in het beleid voor voorwaardelijke toegang wordt voldaan, geeft Microsoft Entra ID een token uit in de vorm van een kortlevend (1-uurs) certificaat aan de WAM. De WAM plaatst het certificaat in het certificaatarchief van de gebruiker en geeft het beheer door aan de VPN-client. 

De VPN-client verzendt vervolgens het certificaat dat is uitgegeven door Microsoft Entra-id naar de VPN voor referentievalidatie. 

Notitie

Microsoft Entra ID gebruikt het meest recent aangemaakte certificaat in de VPN connectivity blade als verstrekker. Certificaten voor vpn-verbindingen voor voorwaardelijke toegang van Microsoft Entra ondersteunen nu sterke certificaattoewijzingen, een verificatievereiste op basis van certificaten die door KB5014754is geïntroduceerd. Certificaten voor VPN-verbindingen bevatten nu een SID-extensie van (1.3.6.1.4.1.311.25.2), die een gecodeerde versie van de SID van de gebruiker bevat die is verkregen uit het kenmerk onPremisesSecurityIdentifier.

Basiscertificaten maken:

1. Meld u aan bij uw Azure Portal als globale beheerder.
2. Klik in het linkermenu op Microsoft Entra ID.
3. Klik op de pagina Microsoft Entra ID in de sectie Beheren op Beveiliging.
4. Klik op Conditional Accessop de Security pagina in de Protect sectie.
5. Op de pagina Voorwaardelijke toegang | Beleidsinstellingen klikt u in de sectie Beheren op VPN-connectiviteit.
6. Klik op de pagina VPN-connectiviteit op Nieuw certificaat.
7. Voer op de pagina Nieuw de volgende stappen uit: a. Selecteer voor Duurde optie 1, 2 of 3 jaar. b. Selecteer Maak.

Het beleid voor voorwaardelijke toegang configureren

In deze sectie configureert u het beleid voor voorwaardelijke toegang voor VPN-connectiviteit. Wanneer het eerste rootcertificaat wordt gemaakt in de blade 'VPN-connectiviteit', wordt er automatisch een VPN-server-cloudtoepassing in de tenant gemaakt.

Maak een beleid voor voorwaardelijke toegang dat is toegewezen aan de VPN-gebruikersgroep en beperk de Cloud-app tot VPN Server-:

• gebruikers: VPN-gebruikers
• Cloud App: VPN Server
• verlenen (toegangsbeheer): 'Meervoudige verificatie vereisen'. Andere besturingselementen kunnen desgewenst worden gebruikt.

Procedure: In deze stap wordt het maken van het meest elementaire beleid voor voorwaardelijke toegang behandeld.  Desgewenst kunnen aanvullende voorwaarden en besturingselementen worden gebruikt.

1. Selecteer op de pagina Voorwaardelijke toegang in de werkbalk bovenaan de optie toevoegen.

   

2. Voer op de pagina Nieuw in het vak Naam een naam in voor uw beleid. Voer bijvoorbeeld het VPN-beleid in.

   

3. Selecteer Gebruikers en groepenin de sectie Toewijzing.

   

4. Voer op de pagina Gebruikers en groepen de volgende stappen uit:

   

   een. Selecteer Gebruikers en groepen selecteren.

   b. Selecteer Selecteer.

   c. Selecteer op de pagina de groep VPN-gebruikers en selecteer vervolgens .

   d. Op de pagina Gebruikers en groepen selecteer Gereed.

5. Voer op de pagina Nieuwe de volgende stappen uit:

   

   een. Selecteer in de sectie Toewijzingen de optie Cloud-apps.

   b. Selecteer op de pagina Cloud-apps de optie Apps selecteren.

   d. Selecteer VPN Server-.

6. Ga op de pagina Nieuw naar de sectie Besturingselementen en selecteer Verlenenom de pagina Verlenen te openen.

   

7. Voer op de pagina Grant de volgende stappen uit:

   

   een. Selecteer Meervoudige verificatie vereisen.

   b. Selecteer en selecteer.

8. Selecteer op de pagina Nieuw onder Beleid inschakelenOp.

   

9. Op de pagina Nieuw, selecteer maken.

Basiscertificaten voor voorwaardelijke toegang implementeren in on-premises AD

In deze sectie implementeert u een vertrouwd basiscertificaat voor VPN-verificatie in uw on-premises AD.

1. Selecteer op de pagina VPN-connectiviteit de optie Certificaat downloaden.

   Notitie

   De optie Base64-certificaat downloaden is beschikbaar voor sommige configuraties waarvoor base64-certificaten nodig zijn voor implementatie.

2. Meld u aan bij een computer die lid is van een domein met ondernemingsbeheerdersrechten en voer deze opdrachten uit vanaf een beheerdersopdrachtprompt om het basiscertificaat(en) van de cloud toe te voegen aan de Enterprise NTauth store:

   Notitie

   Voor omgevingen waarin de VPN-server niet is gekoppeld aan het Active Directory-domein; moeten de cloudhoofdcertificaten handmatig worden toegevoegd aan de vertrouwde basiscertificeringsinstanties.

   Bevelen	Beschrijving
   certutil -dspublish -f VpnCert.cer RootCA	Hiermee maakt u twee Microsoft VPN-basis-CA gen 1-containers onder de CN=AIA en CN=Certificeringsinstanties containers en publiceert u elk basiscertificaat als een waarde op het cACertificate kenmerk van beide Microsoft VPN-basis-CA gen 1-containers.
   certutil -dspublish -f VpnCert.cer NTAuthCA	Hiermee maakt u één CN=NTAuthCertificates container onder de CN=AIA en CN=Certification Authorities containers en publiceert u elk basiscertificaat als een waarde op het cACertificate kenmerk van de CN=NTAuthCertificates container.
   gpupdate /force	Versnelt het toevoegen van basiscertificaten aan de Windows-server en clientcomputers.

3. Controleer of de basiscertificaten aanwezig zijn in het Enterprise NTAuth-archief en als vertrouwd worden weergegeven:

   1. Meld u aan bij een server met Enterprise Admin-rechten waarop de Hulpprogramma's voor certificeringsinstantiebeheer zijn geïnstalleerd.

   Notitie

   Standaard worden de hulpprogramma's voor certificeringsinstantiebeheer geïnstalleerd op certificeringsinstantieservers. Ze kunnen worden geïnstalleerd op andere ledenservers als onderdeel van de Hulpprogramma's voor functiebeheer in Serverbeheer.

   1. Voer op de VPN-server in het menu Start pkiview.msc in om het dialoogvenster Enterprise PKI te openen.
   2. Voer in het menu Start pkiview.msc in om het dialoogvenster Enterprise PKI te openen.
   3. Klik met de rechtermuisknop op Enterprise PKI- en selecteer AD-containers beheren.
   4. Controleer of elk MICROSOFT VPN-basis-CA gen 1-certificaat aanwezig is onder:
      • NTAuthCertificates
      • AIA-container
      • Container voor certificeringsinstanties

VPNv2-profielen op basis van OMA-DM maken op Windows 10-apparaten

In deze sectie maakt u VPNv2-profielen gebaseerd op OMA-DM met behulp van Intune om een VPN-apparaatconfiguratiebeleid uit te rollen.

1. Selecteer in Azure Portal Intune>Device Configuration>Profiles en selecteer het VPN-profiel dat u hebt gemaakt in De VPN-client configureren met behulp van Intune.

2. Selecteer in de beleidseditor Eigenschappen>Instellingen>Basis-VPN-. Breid de bestaande EAP XML- uit om een filter op te nemen waarmee de VPN-client de logica krijgt die nodig is om het Microsoft Entra-certificaat voor voorwaardelijke toegang op te halen uit het certificaatarchief van de gebruiker in plaats van het toe te staan het eerste gedetecteerde certificaat te gebruiken.

   Notitie

   Zonder dit kan de VPN-client het gebruikerscertificaat ophalen dat is uitgegeven door de on-premises certificeringsinstantie, wat resulteert in een mislukte VPN-verbinding.

   

3. Zoek de sectie die eindigt op </AcceptServerName></EapType> en voeg de volgende tekenreeks in tussen deze twee waarden om de VPN-client de logica te bieden om het Microsoft Entra-certificaat voor voorwaardelijke toegang te selecteren:

   <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUList Enabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions>
   

4. Selecteer de blade Voorwaardelijke toegang en schakel de voorwaardelijke toegang voor deze VPN-verbinding naar Ingeschakeld.

   Als u deze instelling inschakelt, wordt de instelling <DeviceCompliance><Enabled>true</Enabled> in de PROFIEL-XML van VPNv2 gewijzigd.

   

5. Selecteer OK-.

6. Selecteer Toewijzingenonder Opnemen Groepen selecteren diemoeten worden opgenomen.

7. Selecteer de juiste groep die dit beleid ontvangt en selecteer Opslaan.

   

MDM-beleidssynchronisatie afdwingen op de client

Als het VPN-profiel niet wordt weergegeven op het clientapparaat, kunt u onder Instellingen\Netwerk & Internet\VPN afdwingen dat MDM-beleid wordt gesynchroniseerd.

1. Meld u als lid van de VPN-gebruikers groep aan bij een clientcomputer die lid is van een domein.

2. Voer in het menu Start accountin en druk op Enter.

3. Selecteer in het linkernavigatiepaneel de optie Toegang tot werk of school.

4. Selecteer onder Toegang tot werk of school Verbonden met <\domain> MDMen selecteer vervolgens Info.

5. Selecteer Synchroniseren en controleer of het VPN-profiel wordt weergegeven onder Instellingen\Netwerk & Internet\VPN.

Volgende stappen

U bent klaar met het configureren van het VPN-profiel voor het gebruik van voorwaardelijke toegang van Microsoft Entra.

• Zie VPN en voorwaardelijke toegangvoor meer informatie over hoe voorwaardelijke toegang met VPN's werkt.

• Zie Geavanceerde VPN-functiesvoor meer informatie over de geavanceerde VPN-functies.

• Zie VPNv2 CSPvoor een overzicht van VPNv2 CSP: in dit onderwerp vindt u een overzicht van VPNv2 CSP.