Integrowanie infrastruktury sieci VPN z uwierzytelnianiem wieloskładnikowym firmy Microsoft przy użyciu rozszerzenia serwera zasad sieciowych dla platformy Azure
Rozszerzenie serwera zasad sieciowych (NPS) dla platformy Azure umożliwia organizacjom zabezpieczenie uwierzytelniania klienta usługi telefonicznej (RADIUS) zdalnego uwierzytelniania za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft opartego na chmurze, które zapewnia weryfikację dwuetapową.
Ten artykuł zawiera instrukcje dotyczące integrowania infrastruktury serwera NPS z usługą MFA przy użyciu rozszerzenia serwera NPS dla platformy Azure. Ten proces umożliwia bezpieczną weryfikację dwuetapową dla użytkowników próbujących nawiązać połączenie z siecią przy użyciu sieci VPN.
Uwaga
Mimo że rozszerzenie MFA serwera NPS obsługuje hasło jednorazowe oparte na czasie (TOTP), niektórzy klienci sieci VPN, tacy jak Windows VPN, nie. Przed włączeniem go w rozszerzeniu SERWERA NPS upewnij się, że klienci sieci VPN, których używasz, obsługują funkcję TOTP jako metodę uwierzytelniania.
Zasady sieciowe i Usługi programu Access umożliwiają organizacjom:
Przypisz centralną lokalizację do zarządzania i kontroli żądań sieciowych, aby określić:
Kto może nawiązać połączenie
Jakie godziny połączeń dnia są dozwolone
Czas trwania połączeń
Poziom zabezpieczeń, którego klienci muszą używać do nawiązywania połączenia
Zamiast określać zasady na każdym serwerze sieci VPN lub bramy usług pulpitu zdalnego, zrób to po ich lokalizacji centralnej. Protokół RADIUS służy do zapewnienia scentralizowanego uwierzytelniania, autoryzacji i księgowości (AAA).
Ustanów i wymuś zasady kondycji klienta ochrony dostępu do sieci ,które określają, czy urządzenia mają nieograniczony lub ograniczony dostęp do zasobów sieciowych.
Zapewnienie sposobu wymuszania uwierzytelniania i autoryzacji dostępu do punktów dostępu bezprzewodowego z obsługą standardu 802.1x i przełączników Ethernet. Aby uzyskać więcej informacji, zobacz Serwer zasad sieciowych.
Aby zwiększyć bezpieczeństwo i zapewnić wysoki poziom zgodności, organizacje mogą zintegrować serwer NPS z uwierzytelnianiem wieloskładnikowym firmy Microsoft w celu zapewnienia, że użytkownicy korzystają z weryfikacji dwuetapowej w celu nawiązania połączenia z portem wirtualnym na serwerze sieci VPN. Aby użytkownicy mieli dostęp, muszą podać kombinację nazwy użytkownika i hasła oraz inne informacje, które kontrolują. Te informacje muszą być zaufane i nie można ich łatwo duplikować. Może zawierać numer telefonu komórkowego, numer telefonu stacjonarnego lub aplikację na urządzeniu przenośnym.
Jeśli Twoja organizacja używa sieci VPN, a użytkownik jest zarejestrowany dla kodu TOTP wraz z powiadomieniami wypychanymi Authenticator, użytkownik nie może sprostać wyzwaniu uwierzytelniania wieloskładnikowego i logowanie zdalne kończy się niepowodzeniem. W takim przypadku można ustawić wartość OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE, aby uruchomić powiadomienia wypychane na wartość Zatwierdź/Odmów z wystawcą Authenticator.
Aby rozszerzenie serwera NPS nadal działało dla użytkowników sieci VPN, ten klucz rejestru musi zostać utworzony na serwerze NPS. Na serwerze NPS otwórz edytor rejestru. Przejdź do:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa
Utwórz następującą parę Ciąg/Wartość:
Nazwa: OVERRIDE_NUMBER_MATCHING_WITH_OTP
Wartość = FAŁSZ
Przed udostępnieniem rozszerzenia serwera NPS dla platformy Azure klienci, którzy chcieli zaimplementować weryfikację dwuetapową dla zintegrowanych środowisk NPS i MFA, musieli skonfigurować i obsługiwać oddzielny serwer MFA w środowisku lokalnym. Ten typ uwierzytelniania jest oferowany przez bramę usług pulpitu zdalnego i serwer usługi Azure Multi-Factor Authentication przy użyciu usługi RADIUS.
Dzięki rozszerzeniu serwera NPS dla platformy Azure organizacje mogą zabezpieczyć uwierzytelnianie klienta usługi RADIUS, wdrażając lokalne rozwiązanie MFA lub oparte na chmurze rozwiązanie MFA.
Przepływ uwierzytelniania
Gdy użytkownicy łączą się z portem wirtualnym na serwerze sieci VPN, muszą najpierw uwierzytelnić się przy użyciu różnych protokołów. Protokoły umożliwiają korzystanie z kombinacji nazw użytkowników i haseł oraz metod uwierzytelniania opartych na certyfikatach.
Oprócz uwierzytelniania i weryfikowania tożsamości użytkownicy muszą mieć odpowiednie uprawnienia do wybierania numerów. W prostych implementacjach uprawnienia wybierania numerów, które zezwalają na dostęp, są ustawiane bezpośrednio w obiektach użytkownika usługi Active Directory.
W prostych implementacjach każdy serwer sieci VPN przyznaje lub odmawia dostępu na podstawie zasad zdefiniowanych na każdym lokalnym serwerze sieci VPN.
W przypadku większych i bardziej skalowalnych implementacji zasady, które udzielają lub odmawiają dostępu do sieci VPN, są scentralizowane na serwerach RADIUS. W takich przypadkach serwer sieci VPN działa jako serwer dostępu (klient RADIUS), który przekazuje żądania połączeń i komunikaty konta do serwera RADIUS. Aby nawiązać połączenie z portem wirtualnym na serwerze sieci VPN, użytkownicy muszą być uwierzytelniani i spełniać warunki zdefiniowane centralnie na serwerach RADIUS.
Gdy rozszerzenie serwera NPS dla platformy Azure jest zintegrowane z serwerem NPS, wyniki pomyślnego przepływu uwierzytelniania są następujące:
- Serwer sieci VPN odbiera żądanie uwierzytelnienia od użytkownika sieci VPN, który zawiera nazwę użytkownika i hasło do nawiązywania połączenia z zasobem, na przykład sesji pulpitu zdalnego.
- Działając jako klient RADIUS, serwer sieci VPN konwertuje żądanie na żądanie dostępu usługi RADIUS i wysyła go (z zaszyfrowanym hasłem) do serwera RADIUS, na którym zainstalowano rozszerzenie SERWERA NPS.
- Kombinacja nazwy użytkownika i hasła jest weryfikowana w usłudze Active Directory. Jeśli nazwa użytkownika lub hasło jest niepoprawne , serwer RADIUS wysyła komunikat Access-Reject .
- Jeśli wszystkie warunki określone w żądaniu połączenia serwera NPS i zasadach sieci są spełnione (na przykład ograniczenia dotyczące dnia lub członkostwa w grupach), rozszerzenie NPS wyzwala żądanie uwierzytelniania pomocniczego za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft.
- Uwierzytelnianie wieloskładnikowe firmy Microsoft komunikuje się z identyfikatorem Entra firmy Microsoft, pobiera szczegóły użytkownika i wykonuje uwierzytelnianie pomocnicze przy użyciu metody skonfigurowanej przez użytkownika (połączenie telefoniczne, wiadomość SMS lub aplikacja mobilna).
- Gdy wyzwanie uwierzytelniania wieloskładnikowego usługi MFA zakończy się pomyślnie, uwierzytelnianie wieloskładnikowe firmy Microsoft przekaże wynik rozszerzeniu serwera NPS.
- Po próbie nawiązania połączenia zarówno uwierzytelniony, jak i autoryzowany serwer NPS, na którym zainstalowano rozszerzenie, wysyła komunikat RADIUS Access-Accept do serwera sieci VPN (klienta RADIUS).
- Użytkownik otrzymuje dostęp do portu wirtualnego na serwerze sieci VPN i ustanawia zaszyfrowany tunel VPN.
Wymagania wstępne
W tej sekcji szczegółowo poznać wymagania wstępne, które należy spełnić przed zintegrowaniem uwierzytelniania wieloskładnikowego z siecią VPN. Przed rozpoczęciem należy spełnić następujące wymagania wstępne:
- Infrastruktura sieci VPN
- Zasady sieci i rola Usługi programu Access
- Licencja uwierzytelniania wieloskładnikowego firmy Microsoft Entra
- Oprogramowanie systemu Windows Server
- Biblioteki
- Identyfikator entra firmy Microsoft zsynchronizowany z lokalna usługa Active Directory
- Identyfikator GUID entra firmy Microsoft
Infrastruktura sieci VPN
W tym artykule założono, że masz działającą infrastrukturę sieci VPN korzystającą z systemu Microsoft Windows Server 2016 i że serwer sieci VPN nie jest obecnie skonfigurowany do przekazywania żądań połączeń do serwera RADIUS. W tym artykule skonfigurujesz infrastrukturę sieci VPN tak, aby korzystała z centralnego serwera RADIUS.
Jeśli nie masz działającej infrastruktury sieci VPN, możesz je szybko utworzyć, postępując zgodnie ze wskazówkami w wielu samouczkach dotyczących konfiguracji sieci VPN, które można znaleźć w witrynach firmy Microsoft i innych firm.
Zasady sieci i rola Usługi programu Access
Zasady sieciowe i Usługi programu Access udostępniają serwer RADIUS i funkcjonalność klienta. W tym artykule przyjęto założenie, że zainstalowano zasady sieciowe i rolę Usługi programu Access na serwerze członkowskim lub kontrolerze domeny w środowisku. W tym przewodniku skonfigurujesz usługę RADIUS dla konfiguracji sieci VPN. Zainstaluj zasady sieciowe i rolę Usługi programu Access na serwerze innym niż serwer sieci VPN.
Aby uzyskać informacje na temat instalowania zasad sieciowych i usługi roli Usługi programu Access systemu Windows Server 2012 lub nowszego, zobacz Instalowanie serwera zasad kondycji ochrony dostępu do sieci. Ochrona dostępu do sieci jest przestarzała w systemie Windows Server 2016. Aby uzyskać opis najlepszych rozwiązań dotyczących serwera NPS, w tym zalecenie dotyczące instalowania serwera NPS na kontrolerze domeny, zobacz Najlepsze rozwiązania dotyczące serwera NPS.
Oprogramowanie systemu Windows Server
Rozszerzenie serwera NPS wymaga systemu Windows Server 2008 R2 z dodatkiem SP1 lub nowszym z zainstalowaną rolą zasady sieci i Usługi programu Access. Wszystkie kroki opisane w tym przewodniku zostały wykonane z systemem Windows Server 2016.
Biblioteki
Następująca biblioteka jest instalowana automatycznie z rozszerzeniem serwera NPS:
Jeśli moduł programu Microsoft Graph PowerShell nie jest jeszcze obecny, jest on zainstalowany za pomocą skryptu konfiguracji uruchamianego w ramach procesu instalacji. Nie ma potrzeby wcześniejszego instalowania programu Graph PowerShell.
Identyfikator entra firmy Microsoft zsynchronizowany z lokalna usługa Active Directory
Aby korzystać z rozszerzenia serwera NPS, użytkownicy lokalni muszą być zsynchronizowani z identyfikatorem Entra firmy Microsoft i włączonym dla uwierzytelniania wieloskładnikowego. W tym przewodniku założono, że użytkownicy lokalni są synchronizowani z identyfikatorem Microsoft Entra ID za pośrednictwem programu Microsoft Entra Connect. Poniżej podano instrukcje dotyczące włączania użytkowników usługi MFA.
Aby uzyskać informacje o programie Microsoft Entra Connect, zobacz Integrowanie katalogów lokalnych z identyfikatorem Entra firmy Microsoft.
Identyfikator GUID entra firmy Microsoft
Aby zainstalować rozszerzenie NPS, musisz znać identyfikator GUID identyfikatora Entra firmy Microsoft. Instrukcje dotyczące znajdowania identyfikatora GUID identyfikatora Entra firmy Microsoft znajdują się w następnej sekcji.
Konfigurowanie usługi RADIUS dla połączeń sieci VPN
Jeśli rola serwera NPS została zainstalowana na serwerze członkowskim, należy skonfigurować ją do uwierzytelniania i autoryzacji klienta sieci VPN, który żąda połączeń sieci VPN.
W tej sekcji przyjęto założenie, że zainstalowano rolę zasady sieci i Usługi programu Access, ale nie skonfigurowano jej do użycia w infrastrukturze.
Uwaga
Jeśli masz już działający serwer sieci VPN, który używa scentralizowanego serwera RADIUS do uwierzytelniania, możesz pominąć tę sekcję.
Rejestrowanie serwera w usłudze Active Directory
Aby działał prawidłowo w tym scenariuszu, serwer NPS musi być zarejestrowany w usłudze Active Directory.
Otwórz Menedżera serwera.
W Menedżer serwera wybierz pozycję Narzędzia, a następnie wybierz pozycję Serwer zasad sieciowych.
W konsoli serwera zasad sieciowych kliknij prawym przyciskiem myszy serwer NPS (lokalny), a następnie wybierz polecenie Zarejestruj serwer w usłudze Active Directory. Kliknij dwa razy przycisk OK.
Pozostaw konsolę otwartą dla następnej procedury.
Konfigurowanie serwera RADIUS przy użyciu kreatora
Do skonfigurowania serwera RADIUS można użyć standardowej (opartej na kreatorze) lub zaawansowanej konfiguracji. W tej sekcji założono, że używasz opcji konfiguracji standardowej opartej na kreatorze.
W konsoli serwera zasad sieciowych wybierz pozycję NPS (lokalny)..
W obszarze Konfiguracja Standardowa wybierz pozycję Serwer RADIUS dla opcji Połączenia telefoniczne lub VPN, a następnie wybierz pozycję Konfiguruj sieć VPN lub Dial-Up.
W oknie Wybieranie wybierania typu połączeń telefonicznych lub wirtualnych połączeń sieci prywatnej wybierz pozycję Połączenia wirtualnej sieci prywatnej, a następnie wybierz przycisk Dalej.
W oknie Określanie połączenia telefonicznego lub serwera sieci VPN wybierz pozycję Dodaj.
W oknie Nowy klient radius podaj przyjazną nazwę, wprowadź rozpoznawalną nazwę lub adres IP serwera sieci VPN, a następnie wprowadź hasło udostępnionego wpisu tajnego. Utwórz długie i złożone hasło udostępnionego wpisu tajnego. Zapisz go, ponieważ będzie on potrzebny w następnej sekcji.
Wybierz OK, a następnie wybierz Dalej.
W oknie Konfigurowanie metod uwierzytelniania zaakceptuj wybór domyślny (uwierzytelnianie Microsoft Encrypted w wersji 2 [MS-CHAPv2]) lub wybierz inną opcję, a następnie wybierz przycisk Dalej.
Uwaga
W przypadku skonfigurowania protokołu EAP (Extensible Authentication Protocol) należy użyć protokołu uwierzytelniania MICROSOFT Challenge-Handshake Protocol (CHAPv2) lub chronionego protokołu PEAP (Extensible Authentication Protocol). Nie jest obsługiwany żaden inny protokół EAP.
W oknie Określanie grup użytkowników wybierz pozycję Dodaj, a następnie wybierz odpowiednią grupę. Jeśli żadna grupa nie istnieje, pozostaw zaznaczenie puste, aby udzielić dostępu wszystkim użytkownikom.
Wybierz Dalej.
W oknie Określanie filtrów adresów IP wybierz pozycję Dalej.
W oknie Określanie ustawień szyfrowania zaakceptuj ustawienia domyślne, a następnie wybierz przycisk Dalej.
W oknie Określanie nazwy obszaru pozostaw pustą nazwę obszaru, zaakceptuj ustawienie domyślne, a następnie wybierz przycisk Dalej.
W oknie Kończenie nowych połączeń telefonicznych lub wirtualnych sieci prywatnych i klientów radius wybierz pozycję Zakończ.
Weryfikowanie konfiguracji usługi RADIUS
Ta sekcja zawiera szczegółowe informacje o konfiguracji utworzonej przy użyciu kreatora.
Na serwerze zasad sieciowych w konsoli serwera NPS (lokalnego) rozwiń węzeł Klienci USŁUGI RADIUS, a następnie wybierz pozycję Klienci RADIUS.
W okienku szczegółów kliknij prawym przyciskiem myszy utworzonego klienta USŁUGI RADIUS, a następnie wybierz pozycję Właściwości. Właściwości klienta RADIUS (serwera sieci VPN) powinny być podobne do tych pokazanych tutaj:
Wybierz pozycję Anuluj.
Na serwerze zasad sieciowych w konsoli serwera ZASAD sieciowych (lokalnego) rozwiń węzeł Zasady, a następnie wybierz pozycję Zasady żądania połączenia. Zasady połączeń sieci VPN są wyświetlane, jak pokazano na poniższej ilustracji:
W obszarze Zasady wybierz pozycję Zasady sieciowe. Powinny zostać wyświetlone zasady połączeń wirtualnej sieci prywatnej (VPN), które przypominają zasady pokazane na poniższej ilustracji:
Konfigurowanie serwera sieci VPN do korzystania z uwierzytelniania usługi RADIUS
W tej sekcji skonfigurujesz serwer sieci VPN do korzystania z uwierzytelniania usługi RADIUS. W instrukcjach przyjęto założenie, że masz działającą konfigurację serwera sieci VPN, ale nie skonfigurowano jej do korzystania z uwierzytelniania usługi RADIUS. Po skonfigurowaniu serwera sieci VPN upewnij się, że konfiguracja działa zgodnie z oczekiwaniami.
Uwaga
Jeśli masz już działającą konfigurację serwera sieci VPN korzystającą z uwierzytelniania usługi RADIUS, możesz pominąć tę sekcję.
Konfigurowanie dostawcy uwierzytelniania
Na serwerze sieci VPN otwórz Menedżer serwera.
W Menedżer serwera wybierz pozycję Narzędzia, a następnie wybierz pozycję Routing i dostęp zdalny.
W oknie Routing i dostęp zdalny kliknij prawym przyciskiem myszy <nazwę> serwera (lokalnie), a następnie wybierz polecenie Właściwości.
<W oknie Właściwości serwera> (lokalne) wybierz kartę Zabezpieczenia.
Na karcie Zabezpieczenia w obszarze Dostawca uwierzytelniania wybierz pozycję Uwierzytelnianie usługi RADIUS, a następnie wybierz pozycję Konfiguruj.
W oknie Uwierzytelnianie usługi RADIUS wybierz pozycję Dodaj.
W oknie Dodawanie serwera RADIUS wykonaj następujące czynności:
W polu Nazwa serwera wprowadź nazwę lub adres IP serwera RADIUS skonfigurowanego w poprzedniej sekcji.
W polu Wspólny wpis tajny wybierz pozycję Zmień, a następnie wprowadź utworzone i zarejestrowane wcześniej hasło udostępnionego wpisu tajnego.
W polu Limit czasu (sekundy) wprowadź wartość 60. Aby zminimalizować odrzucone żądania, zalecamy skonfigurowanie serwerów sieci VPN z limitem czasu co najmniej 60 sekund. W razie potrzeby lub, aby zmniejszyć liczbę odrzuconych żądań w dziennikach zdarzeń, możesz zwiększyć limit czasu serwera sieci VPN do 90 lub 120 sekund.
Wybierz przycisk OK.
Testowanie łączności sieci VPN
W tej sekcji potwierdzisz, że klient sieci VPN jest uwierzytelniony i autoryzowany przez serwer RADIUS podczas próby nawiązania połączenia z portem wirtualnym sieci VPN. W instrukcjach założono, że używasz systemu Windows 10 jako klienta sieci VPN.
Uwaga
Jeśli skonfigurowano już klienta sieci VPN w celu nawiązania połączenia z serwerem sieci VPN i zapisano ustawienia, możesz pominąć kroki związane z konfigurowaniem i zapisywaniem obiektu połączenia sieci VPN.
Na komputerze klienckim sieci VPN wybierz przycisk Uruchom , a następnie wybierz przycisk Ustawienia .
W oknie Ustawienia systemu Windows wybierz pozycję Sieć i Internet.
wybierz pozycję VPN.
Wybierz pozycję Dodaj połączenie sieci VPN.
W oknie Dodawanie połączenia sieci VPN w polu Dostawca sieci VPN wybierz pozycję Windows (wbudowane), wypełnij pozostałe pola odpowiednio, a następnie wybierz pozycję Zapisz.
Przejdź do Panel sterowania, a następnie wybierz pozycję Centrum sieci i udostępniania.
Wybierz pozycję Zmień ustawienia karty.
Kliknij prawym przyciskiem myszy połączenie sieciowe sieci VPN, a następnie wybierz polecenie Właściwości.
W oknie właściwości sieci VPN wybierz kartę Zabezpieczenia .
Na karcie Zabezpieczenia upewnij się, że wybrano tylko protokół Microsoft CHAP w wersji 2 (MS-CHAP v2), a następnie wybierz przycisk OK.
Kliknij prawym przyciskiem myszy połączenie sieci VPN, a następnie wybierz pozycję Połącz.
W oknie Ustawienia wybierz pozycję Połącz.
Pomyślne połączenie jest wyświetlane w dzienniku zabezpieczeń na serwerze RADIUS jako zdarzenie o identyfikatorze 6272, jak pokazano poniżej:
Rozwiązywanie problemów z usługą RADIUS
Załóżmy, że konfiguracja sieci VPN działała przed skonfigurowaniem serwera sieci VPN do używania scentralizowanego serwera RADIUS na potrzeby uwierzytelniania i autoryzacji. Jeśli konfiguracja działała, prawdopodobnie problem jest spowodowany błędną konfiguracją serwera RADIUS lub użyciem nieprawidłowej nazwy użytkownika lub hasła. Jeśli na przykład użyjesz alternatywnego sufiksu nazwy UPN w nazwie użytkownika, próba logowania może zakończyć się niepowodzeniem. Użyj tej samej nazwy konta, aby uzyskać najlepsze wyniki.
Aby rozwiązać te problemy, idealnym miejscem do uruchomienia jest sprawdzenie dzienników zdarzeń zabezpieczeń na serwerze RADIUS. Aby zaoszczędzić czas wyszukiwania zdarzeń, możesz użyć niestandardowego widoku zasad sieciowych i serwera dostępu opartego na rolach w Podgląd zdarzeń, jak pokazano tutaj. "Identyfikator zdarzenia 6273" wskazuje zdarzenia, w których serwer NPS odmówił dostępu do użytkownika.
Konfiguracja uwierzytelniania wieloskładnikowego
Aby uzyskać pomoc dotyczącą konfigurowania użytkowników na potrzeby uwierzytelniania wieloskładnikowego, zobacz artykuły Planowanie wdrożenia uwierzytelniania wieloskładnikowego firmy Microsoft opartego na chmurze i Konfigurowanie konta na potrzeby weryfikacji dwuetapowej
Instalowanie i konfigurowanie rozszerzenia serwera NPS
Ta sekcja zawiera instrukcje dotyczące konfigurowania sieci VPN do używania uwierzytelniania wieloskładnikowego na potrzeby uwierzytelniania klienta z serwerem sieci VPN.
Uwaga
Klucz rejestru REQUIRE_USER_MATCH uwzględnia wielkość liter. Wszystkie wartości muszą być ustawione w formacie UPPER CASE.
Po zainstalowaniu i skonfigurowaniu rozszerzenia serwera NPS wszystkie uwierzytelnianie klienta oparte na usłudze RADIUS przetwarzane przez ten serwer jest wymagane do korzystania z uwierzytelniania wieloskładnikowego. Jeśli wszyscy użytkownicy sieci VPN nie są zarejestrowani w uwierzytelnianiu wieloskładnikowym firmy Microsoft, możesz wykonać jedną z następujących czynności:
Skonfiguruj inny serwer RADIUS, aby uwierzytelnić użytkowników, którzy nie są skonfigurowani do korzystania z uwierzytelniania wieloskładnikowego.
Utwórz wpis rejestru, który umożliwia użytkownikom uzyskanie drugiego współczynnika uwierzytelniania, jeśli są one zarejestrowane w uwierzytelnianiu wieloskładnikowym firmy Microsoft Entra.
Utwórz nową wartość ciągu o nazwie REQUIRE_USER_MATCH w HKLM\SOFTWARE\Microsoft\AzureMfa i ustaw wartość TRUE lub FALSE.
Jeśli wartość ma wartość TRUE lub jest pusta, wszystkie żądania uwierzytelniania podlegają wyzwaniu uwierzytelniania wieloskładnikowego. Jeśli wartość jest ustawiona na FAŁSZ, wyzwania uwierzytelniania wieloskładnikowego są wystawiane tylko użytkownikom, którzy są zarejestrowani w uwierzytelnianiu wieloskładnikowym firmy Microsoft. Użyj ustawienia FALSE tylko w testach lub w środowiskach produkcyjnych w okresie dołączania.
Uzyskiwanie identyfikatora dzierżawy katalogu
W ramach konfiguracji rozszerzenia serwera NPS należy podać poświadczenia administratora i identyfikator dzierżawy firmy Microsoft Entra. Aby uzyskać identyfikator dzierżawy, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
Przejdź do pozycji Ustawienia tożsamości>.
Instalowanie rozszerzenia serwera NPS
Rozszerzenie serwera NPS musi być zainstalowane na serwerze z zainstalowaną rolą zasad sieciowych i Usługi programu Access, która działa jako serwer RADIUS w projekcie. Nie należy instalować rozszerzenia serwera NPS na serwerze sieci VPN.
Pobierz rozszerzenie NPS z Centrum pobierania Microsoft.
Skopiuj plik wykonywalny instalatora (NpsExtnForAzureMfaInstaller.exe) na serwer NPS.
Na serwerze NPS kliknij dwukrotnie NpsExtnForAzureMfaInstaller.exe , a jeśli zostanie wyświetlony monit, wybierz pozycję Uruchom.
W oknie Instalacja uwierzytelniania wieloskładnikowego rozszerzenia SERWERA NPS dla firmy Microsoft przejrzyj postanowienia licencyjne dotyczące oprogramowania, zaznacz pole wyboru Zgadzam się z postanowieniami licencyjnymi i postanowieniami, a następnie wybierz pozycję Zainstaluj.
W oknie Rozszerzenie serwera NPS dla uwierzytelniania wieloskładnikowego firmy Microsoft wybierz pozycję Zamknij.
Konfigurowanie certyfikatów do użycia z rozszerzeniem serwera NPS przy użyciu skryptu programu PowerShell programu Graph
Aby zapewnić bezpieczną komunikację i pewność, skonfiguruj certyfikaty do użycia przez rozszerzenie serwera NPS. Składniki serwera NPS zawierają skrypt programu PowerShell programu Graph, który konfiguruje certyfikat z podpisem własnym do użycia z serwerem NPS.
Skrypt wykonuje następujące akcje:
- Tworzy certyfikat z podpisem własnym.
- Kojarzy klucz publiczny certyfikatu z jednostką usługi w identyfikatorze Entra firmy Microsoft.
- Przechowuje certyfikat w magazynie komputera lokalnego.
- Przyznaje użytkownikowi sieciowemu dostęp do klucza prywatnego certyfikatu.
- Uruchamia ponownie usługę NPS.
Jeśli chcesz używać własnych certyfikatów, musisz skojarzyć klucz publiczny certyfikatu z jednostką usługi w usłudze Microsoft Entra ID itd.
Aby użyć skryptu, podaj rozszerzenie z poświadczeniami administracyjnymi firmy Microsoft Entra i skopiowanymi wcześniej identyfikatorami dzierżawy firmy Microsoft Entra. Konto musi znajdować się w tej samej dzierżawie firmy Microsoft Entra, dla której chcesz włączyć rozszerzenie. Uruchom skrypt na każdym serwerze NPS, na którym jest instalowane rozszerzenie serwera NPS.
Uruchom program PowerShell programu Graph jako administrator.
W wierszu polecenia programu PowerShell wprowadź ciąg cd "c:\Program Files\Microsoft\AzureMfa\Config", a następnie wybierz Enter.
W następnym wierszu polecenia wprowadź ciąg .\AzureMfaNpsExtnConfigSetup.ps1, a następnie wybierz Enter. Skrypt sprawdza, czy program Graph PowerShell jest zainstalowany. Jeśli nie jest zainstalowany, skrypt zainstaluje program Graph PowerShell.
Jeśli wystąpi błąd zabezpieczeń spowodowany protokołem TLS, włącz protokół TLS 1.2 przy użyciu
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
polecenia w wierszu polecenia programu PowerShell.Po zweryfikowaniu przez skrypt instalacji modułu programu PowerShell zostanie wyświetlone okno logowania modułu Programu PowerShell dla programu Graph.
Wprowadź poświadczenia i hasło administratora firmy Microsoft Entra, a następnie wybierz pozycję Zaloguj.
W wierszu polecenia wklej skopiowany wcześniej identyfikator dzierżawy, a następnie wybierz Enter.
Skrypt tworzy certyfikat z podpisem własnym i wykonuje inne zmiany konfiguracji. Dane wyjściowe są podobne do tych na poniższej ilustracji:
Uruchom serwer ponownie.
Sprawdzanie konfiguracji
Aby zweryfikować konfigurację, należy ustanowić nowe połączenie sieci VPN z serwerem sieci VPN. Po pomyślnym wprowadzeniu poświadczeń do uwierzytelniania podstawowego połączenie sieci VPN czeka na pomyślne uwierzytelnienie pomocnicze przed nawiązaniem połączenia, jak pokazano poniżej.
Jeśli pomyślnie uwierzytelniono się przy użyciu pomocniczej metody weryfikacji, która została wcześniej skonfigurowana w uwierzytelnianiu wieloskładnikowym firmy Microsoft, masz połączenie z zasobem. Jeśli jednak uwierzytelnianie pomocnicze nie powiedzie się, odmowa dostępu do zasobu.
W poniższym przykładzie aplikacja Microsoft Authenticator w systemie Windows Phone zapewnia uwierzytelnianie pomocnicze:
Po pomyślnym uwierzytelnieniu przy użyciu metody pomocniczej uzyskujesz dostęp do portu wirtualnego na serwerze sieci VPN. Ponieważ konieczne było użycie pomocniczej metody uwierzytelniania przy użyciu aplikacji mobilnej na zaufanym urządzeniu, proces logowania jest bezpieczniejszy niż w przypadku używania tylko kombinacji nazwy użytkownika i hasła.
Wyświetlanie dzienników Podgląd zdarzeń pod kątem pomyślnych zdarzeń logowania
Aby wyświetlić zdarzenia pomyślnego logowania w Podgląd zdarzeń systemu Windows, możesz wyświetlić dziennik zabezpieczeń lub zasady sieciowe i Usługi programu Access widoku niestandardowego, jak pokazano na poniższej ilustracji:
Na serwerze, na którym zainstalowano rozszerzenie SERWERA NPS dla uwierzytelniania wieloskładnikowego firmy Microsoft, można znaleźć Podgląd zdarzeń dzienniki aplikacji specyficzne dla rozszerzenia w obszarze Dzienniki aplikacji i usług\Microsoft\AzureMfa.
Przewodnik po rozwiązywaniu problemów
Jeśli konfiguracja nie działa zgodnie z oczekiwaniami, rozpocznij rozwiązywanie problemów, sprawdzając, czy użytkownik jest skonfigurowany do korzystania z uwierzytelniania wieloskładnikowego. Zaloguj się do centrum administracyjnego firmy Microsoft Entra. Jeśli użytkownik jest monitowany o uwierzytelnianie pomocnicze i może zostać pomyślnie uwierzytelniony, możesz wyeliminować nieprawidłową konfigurację uwierzytelniania wieloskładnikowego jako problem.
Jeśli uwierzytelnianie wieloskładnikowe działa dla użytkownika, przejrzyj odpowiednie dzienniki Podgląd zdarzeń. Dzienniki obejmują zdarzenia zabezpieczeń, operacje bramy i dzienniki uwierzytelniania wieloskładnikowego firmy Microsoft, które zostały omówione w poprzedniej sekcji.
Przykład dziennika zabezpieczeń, który wyświetla zdarzenie logowania, które nie powiodło się (zdarzenie o identyfikatorze 6273) jest pokazane tutaj:
W tym miejscu pokazano powiązane zdarzenie z dziennika uwierzytelniania wieloskładnikowego firmy Microsoft:
Aby przeprowadzić zaawansowane rozwiązywanie problemów, zapoznaj się z plikami dziennika formatu bazy danych NPS, w których zainstalowano usługę NPS. Pliki dziennika są tworzone w folderze %SystemRoot%\System32\Logs jako pliki tekstowe rozdzielane przecinkami. Opis plików dziennika można znaleźć w temacie Interpret NPS Database Format Files (Interpretowanie plików dziennika formatu bazy danych SERWERA NPS).
Wpisy w tych plikach dziennika są trudne do zinterpretowania, chyba że zostaną wyeksportowane do arkusza kalkulacyjnego lub bazy danych. Wiele narzędzi do analizowania internetowych usług uwierzytelniania (IAS) można znaleźć w trybie online, aby ułatwić interpretowanie plików dziennika. Dane wyjściowe jednej z takich aplikacji shareware do pobrania są wyświetlane tutaj:
Aby wykonać dodatkowe rozwiązywanie problemów, możesz użyć analizatora protokołów, takiego jak Wireshark lub Microsoft Message Analyzer. Na poniższej ilustracji z programu Wireshark przedstawiono komunikaty RADIUS między serwerem sieci VPN i serwerem NPS.
Aby uzyskać więcej informacji, zobacz Integrowanie istniejącej infrastruktury serwera NPS z uwierzytelnianiem wieloskładnikowymi firmy Microsoft.
Następne kroki
Uzyskiwanie uwierzytelniania wieloskładnikowego firmy Microsoft Entra
Brama usług pulpitu zdalnego i serwer Azure Multi-Factor Authentication korzystające z usługi RADIUS
Integrowanie katalogów lokalnych z identyfikatorem Entra firmy Microsoft