Udostępnij za pośrednictwem

Integrowanie infrastruktury sieci VPN z uwierzytelnianiem wieloskładnikowym firmy Microsoft przy użyciu rozszerzenia serwera zasad sieciowych dla platformy Azure

  • Artykuł

Rozszerzenie serwera zasad sieciowych (NPS) dla platformy Azure umożliwia organizacjom zabezpieczenie uwierzytelniania klienta usługi telefonicznej (RADIUS) zdalnego uwierzytelniania za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft opartego na chmurze, które zapewnia weryfikację dwuetapową.

Ten artykuł zawiera instrukcje dotyczące integrowania infrastruktury serwera NPS z usługą MFA przy użyciu rozszerzenia serwera NPS dla platformy Azure. Ten proces umożliwia bezpieczną weryfikację dwuetapową dla użytkowników próbujących nawiązać połączenie z siecią przy użyciu sieci VPN.

Uwaga

Mimo że rozszerzenie MFA serwera NPS obsługuje hasło jednorazowe oparte na czasie (TOTP), niektórzy klienci sieci VPN, tacy jak Windows VPN, nie. Przed włączeniem go w rozszerzeniu SERWERA NPS upewnij się, że klienci sieci VPN, których używasz, obsługują funkcję TOTP jako metodę uwierzytelniania.

Zasady sieciowe i Usługi programu Access umożliwiają organizacjom:

  • Przypisz centralną lokalizację do zarządzania i kontroli żądań sieciowych, aby określić:

    • Kto może nawiązać połączenie

    • Jakie godziny połączeń dnia są dozwolone

    • Czas trwania połączeń

    • Poziom zabezpieczeń, którego klienci muszą używać do nawiązywania połączenia

      Zamiast określać zasady na każdym serwerze sieci VPN lub bramy usług pulpitu zdalnego, zrób to, gdy znajdują się w centralnej lokalizacji. Protokół RADIUS służy do zapewnienia scentralizowanego uwierzytelniania, autoryzacji i księgowości (AAA).

  • Ustanów i wymuś zasady kondycji klienta ochrony dostępu do sieci, które określają, czy urządzenia mają nieograniczony dostęp lub ograniczony dostęp do zasobów sieciowych.

  • Zapewnienie sposobu wymuszania uwierzytelniania i autoryzacji dostępu do punktów dostępu bezprzewodowego z obsługą standardu 802.1x i przełączników Ethernet. Aby uzyskać więcej informacji, zobacz Serwer zasad sieciowych.

Aby zwiększyć bezpieczeństwo i zapewnić wysoki poziom zgodności, organizacje mogą zintegrować serwer NPS z uwierzytelnianiem wieloskładnikowym firmy Microsoft w celu zapewnienia, że użytkownicy korzystają z weryfikacji dwuetapowej w celu nawiązania połączenia z portem wirtualnym na serwerze sieci VPN. Aby użytkownicy mieli dostęp, muszą podać kombinację nazwy użytkownika i hasła oraz inne informacje, które kontrolują. Te informacje muszą być zaufane i nie można ich łatwo duplikować. Może zawierać numer telefonu komórkowego, numer telefonu stacjonarnego lub aplikację na urządzeniu przenośnym.

Jeśli Twoja organizacja używa sieci VPN, a użytkownik jest zarejestrowany do kodu TOTP wraz z powiadomieniami push aplikacji Authenticator, użytkownik nie może sprostać wyzwaniu MFA, a logowanie zdalne kończy się niepowodzeniem. W takim przypadku można ustawić wartość OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE, aby przejść do powiadomień typu push, pozwalających na zatwierdzanie lub odrzucanie przy użyciu aplikacji Authenticator.

Aby rozszerzenie serwera NPS nadal działało dla użytkowników sieci VPN, ten klucz rejestru musi zostać utworzony na serwerze NPS. Na serwerze NPS otwórz edytor rejestru. Przejdź do:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

Utwórz następującą parę Łańcuch/Wartość:

Nazwa: OVERRIDE_NUMBER_MATCHING_WITH_OTP

Wartość = FAŁSZ

Przed udostępnieniem rozszerzenia serwera NPS dla platformy Azure klienci, którzy chcieli zaimplementować weryfikację dwuetapową dla zintegrowanych środowisk NPS i MFA, musieli skonfigurować i obsługiwać oddzielny serwer MFA w środowisku lokalnym. Brama Pulpitu Zdalnego i Serwer usługi Azure Multi-Factor Authentication oferują ten typ uwierzytelniania przy użyciu usługi RADIUS.

Dzięki rozszerzeniu serwera NPS dla platformy Azure organizacje mogą zabezpieczyć uwierzytelnianie klienta usługi RADIUS, wdrażając lokalne rozwiązanie MFA lub oparte na chmurze rozwiązanie MFA.

Przepływ uwierzytelniania

Gdy użytkownicy łączą się z portem wirtualnym na serwerze sieci VPN, muszą najpierw uwierzytelnić się przy użyciu różnych protokołów. Protokoły umożliwiają korzystanie z kombinacji nazw użytkowników i haseł oraz metod uwierzytelniania opartych na certyfikatach.

Oprócz uwierzytelniania i weryfikowania tożsamości użytkownicy muszą mieć odpowiednie uprawnienia do połączeń przychodzących. W prostych implementacjach uprawnienia wybierania numerów, które zezwalają na dostęp, są ustawiane bezpośrednio w obiektach użytkownika usługi Active Directory.

Karta Dial-in we właściwościach użytkownika w Użytkownikach i komputerach usługi Active Directory

W prostych implementacjach każdy serwer sieci VPN przyznaje lub odmawia dostępu na podstawie zasad zdefiniowanych na każdym lokalnym serwerze sieci VPN.

W przypadku większych i bardziej skalowalnych implementacji zasady, które udzielają lub odmawiają dostępu do sieci VPN, są scentralizowane na serwerach RADIUS. W takich przypadkach serwer sieci VPN działa jako serwer dostępu (klient RADIUS), który przekazuje żądania połączeń i komunikaty konta do serwera RADIUS. Aby nawiązać połączenie z portem wirtualnym na serwerze sieci VPN, użytkownicy muszą być uwierzytelniani i spełniać warunki zdefiniowane centralnie na serwerach RADIUS.

Gdy rozszerzenie serwera NPS dla platformy Azure jest zintegrowane z serwerem NPS, wyniki pomyślnego przepływu uwierzytelniania są następujące:

  1. Serwer sieci VPN odbiera żądanie uwierzytelnienia od użytkownika sieci VPN, który zawiera nazwę użytkownika i hasło do nawiązywania połączenia z zasobem, na przykład sesji pulpitu zdalnego.
  2. Działając jako klient RADIUS, serwer sieci VPN konwertuje żądanie na żądanie dostępu usługi RADIUS i wysyła go (z zaszyfrowanym hasłem) do serwera RADIUS, na którym zainstalowano rozszerzenie SERWERA NPS.
  3. Kombinacja nazwy użytkownika i hasła jest weryfikowana w usłudze Active Directory. Jeśli nazwa użytkownika lub hasło jest niepoprawne , serwer RADIUS wysyła komunikat Access-Reject .
  4. Jeśli warunki w żądaniu połączenia NPS i zasady sieciowe są spełnione (takie jak ograniczenia dotyczące czasu dnia lub członkostwa w grupach), rozszerzenie NPS zażąda dodatkowego uwierzytelniania przy użyciu uwierzytelniania wieloskładnikowego Microsoft Entra.
  5. Uwierzytelnianie wieloskładnikowe firmy Microsoft komunikuje się z identyfikatorem Entra firmy Microsoft, pobiera szczegóły użytkownika i używa metody skonfigurowanej przez użytkownika (połączenie telefoniczne, wiadomość SMS lub aplikacja mobilna) w celu przeprowadzenia uwierzytelniania pomocniczego.
  6. Gdy wyzwanie uwierzytelniania wieloskładnikowego Microsoft Entra zakończy się pomyślnie, przekazuje wynik do rozszerzenia NPS.
  7. Po próbie nawiązania połączenia zarówno uwierzytelniony, jak i autoryzowany serwer NPS, na którym zainstalowano rozszerzenie, wysyła komunikat RADIUS Access-Accept do serwera sieci VPN (klienta RADIUS).
  8. Użytkownik otrzymuje dostęp do portu wirtualnego na serwerze sieci VPN i ustanawia zaszyfrowany tunel VPN.

Wymagania wstępne

W tej sekcji przedstawia szczegółowo wymagania wstępne, które muszą być spełnione przed zintegrowaniem uwierzytelniania wieloskładnikowego z siecią VPN. Przed rozpoczęciem należy spełnić następujące wymagania wstępne:

  • Infrastruktura sieci VPN
  • Rola zasad sieci i usług dostępu
  • Licencja uwierzytelniania wieloskładnikowego firmy Microsoft Entra
  • Oprogramowanie systemu Windows Server
  • Biblioteki
  • Microsoft Entra ID zsynchronizowany z lokalną usługą Active Directory
  • Identyfikator GUID entra firmy Microsoft

Infrastruktura sieci VPN

W tym artykule założono, że masz działającą infrastrukturę sieci VPN korzystającą z systemu Microsoft Windows Server 2016 i że serwer sieci VPN nie jest obecnie skonfigurowany do przekazywania żądań połączeń do serwera RADIUS. W tym artykule skonfigurujesz infrastrukturę sieci VPN tak, aby korzystała z centralnego serwera RADIUS.

Jeśli nie masz działającej infrastruktury sieci VPN, możesz je szybko utworzyć, postępując zgodnie ze wskazówkami w wielu samouczkach dotyczących konfiguracji sieci VPN, które można znaleźć w witrynach firmy Microsoft i innych firm.

Rola zasad sieci i usług dostępu

Usługi zasad sieci i dostępu udostępniają serwer RADIUS i funkcjonalność klienta. W tym artykule przyjęto założenie, że zainstalowano zasady sieciowe i rolę Usługi programu Access na serwerze członkowskim lub kontrolerze domeny w środowisku. W tym przewodniku skonfigurujesz usługę RADIUS dla konfiguracji sieci VPN. Zainstaluj zasady sieciowe i rolę Usługi programu Access na serwerze innym niż serwer sieci VPN.

Aby uzyskać informacje na temat instalowania roli usługi zasad sieciowych i dostępu w systemie Windows Server 2012 lub nowszym, zobacz Instalowanie serwera zasad kondycji NAP. NAP jest wycofywane w systemie Windows Server 2016. Aby uzyskać opis najlepszych rozwiązań dotyczących serwera NPS, w tym zalecenie dotyczące instalowania serwera NPS na kontrolerze domeny, zobacz Najlepsze rozwiązania dotyczące serwera NPS.

Oprogramowanie systemu Windows Server

Rozszerzenie serwera NPS wymaga systemu Windows Server 2008 R2 SP1 lub nowszego z zainstalowaną rolą Usługi Zasad Sieci i Dostępu. Wszystkie kroki opisane w tym przewodniku zostały wykonane z systemem Windows Server 2016.

Biblioteki

Następująca biblioteka jest instalowana automatycznie z rozszerzeniem serwera NPS:

Jeśli moduł programu Microsoft Graph PowerShell nie jest jeszcze obecny, jest on zainstalowany za pomocą skryptu konfiguracji uruchamianego w ramach procesu instalacji. Nie ma potrzeby wcześniejszego instalowania programu Graph PowerShell.

Microsoft Entra ID zsynchronizowany z lokalnym Active Directory

Aby korzystać z rozszerzenia NPS, użytkownicy lokalni muszą być zsynchronizowani z Microsoft Entra ID i mieć włączone uwierzytelnianie wieloskładnikowe (MFA). W tym przewodniku założono, że użytkownicy lokalni są synchronizowani z identyfikatorem Microsoft Entra ID za pośrednictwem programu Microsoft Entra Connect. Instrukcje dotyczące włączania użytkowników usługi MFA znajdują się w poniższej sekcji.

Aby uzyskać informacje o programie Microsoft Entra Connect, zobacz Integrowanie katalogów lokalnych z identyfikatorem Entra firmy Microsoft.

Identyfikator GUID entra firmy Microsoft

Aby zainstalować rozszerzenie NPS, musisz znać identyfikator GUID Microsoft Entra ID. Instrukcje dotyczące znajdowania identyfikatora GUID Entra firmy Microsoft znajdują się w następnej sekcji.

Konfigurowanie usługi RADIUS dla połączeń sieci VPN

Jeśli rola serwera NPS została zainstalowana na serwerze członkowskim, należy skonfigurować ją tak, aby uwierzytelniła i autoryzowała klienta sieci VPN, który żąda połączeń sieci VPN.

W tej sekcji założono, że zainstalowano rolę Usługi zasad sieciowych i dostępu, ale nie skonfigurowano jej do użycia w infrastrukturze.

Uwaga

Jeśli masz już działający serwer sieci VPN, który używa scentralizowanego serwera RADIUS do uwierzytelniania, możesz pominąć tę sekcję.

Rejestrowanie serwera w usłudze Active Directory

Aby działał prawidłowo w tym scenariuszu, serwer NPS musi być zarejestrowany w usłudze Active Directory.

  1. Otwórz Menedżera serwera.

  2. W Menedżer serwera wybierz pozycję Narzędzia, a następnie wybierz pozycję Serwer zasad sieciowych.

  3. W konsoli serwera zasad sieciowych kliknij prawym przyciskiem myszy serwer NPS (lokalny), a następnie wybierz polecenie Zarejestruj serwer w usłudze Active Directory. Kliknij dwa razy przycisk OK.

    Opcja menu Rejestrowanie serwera w usłudze Active Directory

  4. Pozostaw konsolę otwartą dla następnej procedury.

Użyj kreatora do skonfigurowania serwera RADIUS

Aby skonfigurować serwer RADIUS, można użyć konfiguracji standardowej (opartej na kreatorze) lub zaawansowanej. W tej sekcji założono, że używasz opcji konfiguracji standardowej opartej na kreatorze.

  1. W konsoli serwera zasad sieciowych wybierz pozycję NPS (lokalny)..

  2. W obszarze Konfiguracja Standardowa wybierz pozycję Serwer RADIUS dla opcji Połączenia telefoniczne lub VPN, a następnie wybierz pozycję Konfiguruj sieć VPN lub Dial-Up.

    Konfigurowanie serwera RADIUS na potrzeby połączeń telefonicznych lub sieci VPN

  3. W oknie Wybierz Typ Połączenia Dial-up lub Wirtualnej Sieci Prywatnej wybierz Połączenia Wirtualnej Sieci Prywatnej, a następnie kliknij Dalej.

    Konfigurowanie wirtualnych połączeń sieci prywatnej

  4. W oknie Określanie serwera Dial-Up lub VPN wybierz Dodaj.

  5. W oknie Nowy klient RADIUS podaj przyjazną nazwę, wprowadź rozpoznawalną nazwę lub adres IP serwera VPN, a następnie wprowadź wspólny sekret. Utwórz długie i złożone udostępnione hasło tajne. Zapisz go, ponieważ będzie on potrzebny w następnej sekcji.

    Tworzenie nowego okna klienta usługi RADIUS

  6. Wybierz OK, a następnie wybierz Dalej.

  7. W oknie Konfigurowanie metod uwierzytelniania zaakceptuj wybór domyślny (uwierzytelnianie Microsoft Encrypted w wersji 2 [MS-CHAPv2]) lub wybierz inną opcję, a następnie wybierz przycisk Dalej.

    Uwaga

    W przypadku skonfigurowania protokołu EAP (Extensible Authentication Protocol) należy użyć protokołu uwierzytelniania MICROSOFT Challenge-Handshake Protocol (CHAPv2) lub chronionego protokołu PEAP (Extensible Authentication Protocol). Żaden inny protokół EAP nie jest obsługiwany.

  8. W oknie Określanie grup użytkowników wybierz pozycję Dodaj, a następnie wybierz odpowiednią grupę. Jeśli żadna grupa nie istnieje, pozostaw zaznaczenie puste, aby udzielić dostępu wszystkim użytkownikom.

    Określ okno Grupy użytkowników, aby zezwolić na dostęp lub go zablokować

  9. Wybierz Dalej.

  10. W oknie Określanie filtrów adresów IP wybierz pozycję Dalej.

  11. W oknie Określanie ustawień szyfrowania zaakceptuj ustawienia domyślne, a następnie wybierz przycisk Dalej.

    Okno Określanie ustawień szyfrowania

  12. W oknie Określanie nazwy obszaru pozostaw pustą nazwę obszaru, zaakceptuj ustawienie domyślne, a następnie wybierz przycisk Dalej.

    Okno Określanie nazwy obszaru

  13. W oknie Zakończenie nowych połączeń telefonicznych lub Wirtualnych Sieci Prywatnych i klientów RADIUS wybierz pozycję Zakończ.

    Ukończono okno konfiguracji

Weryfikowanie konfiguracji usługi RADIUS

Ta sekcja zawiera szczegółowe informacje o konfiguracji utworzonej przy użyciu kreatora.

  1. Na serwerze zasad sieciowych w konsoli NPS (lokalny) rozwiń Klienci RADIUS, a następnie wybierz Klienci RADIUS.

  2. W panelu szczegółów kliknij prawym przyciskiem myszy utworzonego klienta RADIUS, a następnie wybierz pozycję Właściwości. Właściwości klienta RADIUS (serwera sieci VPN) powinny być podobne do tych pokazanych tutaj:

    Weryfikowanie właściwości i konfiguracji sieci VPN

  3. Wybierz pozycję Anuluj.

  4. Na serwerze Polityk Sieciowych w konsoli NPS (lokalnej) rozwiń węzeł Zasady, a następnie wybierz pozycję Zasady Żądań Połączeń. Zasady połączeń sieci VPN są wyświetlane, jak pokazano na poniższej ilustracji:

    Zasady żądania połączenia pokazujące zasady połączenia VPN

  5. W obszarze Zasady wybierz pozycję Zasady sieciowe. Powinny zostać wyświetlone zasady połączeń wirtualnej sieci prywatnej (VPN), które przypominają zasady pokazane na poniższej ilustracji:

    Zasady sieci pokazujące zasady połączeń wirtualnej sieci prywatnej

Konfigurowanie serwera sieci VPN do korzystania z uwierzytelniania usługi RADIUS

W tej sekcji skonfigurujesz serwer sieci VPN do korzystania z uwierzytelniania usługi RADIUS. W instrukcjach założono, że masz działającą konfigurację serwera sieci VPN, ale nie skonfigurowano go do korzystania z uwierzytelniania usługi RADIUS. Po skonfigurowaniu serwera sieci VPN upewnij się, że konfiguracja działa zgodnie z oczekiwaniami.

Uwaga

Jeśli masz już działającą konfigurację serwera sieci VPN korzystającą z uwierzytelniania usługi RADIUS, możesz pominąć tę sekcję.

Konfigurowanie dostawcy uwierzytelniania

  1. Na serwerze sieci VPN otwórz Menedżer serwera.

  2. W Menedżer serwera wybierz pozycję Narzędzia, a następnie wybierz pozycję Routing i dostęp zdalny.

  3. W oknie Routing i dostęp zdalny kliknij prawym przyciskiem myszy <nazwę> serwera (lokalnie), a następnie wybierz polecenie Właściwości.

  4. > serwera (lokalne) wybierz kartę Zabezpieczenia.

  5. Na karcie Zabezpieczenia w obszarze Dostawca uwierzytelniania wybierz pozycję Uwierzytelnianie usługi RADIUS, a następnie wybierz pozycję Konfiguruj.

    Konfigurowanie dostawcy uwierzytelniania usługi RADIUS

  6. W oknie Uwierzytelnianie usługi RADIUS wybierz pozycję Dodaj.

  7. W oknie Dodawanie serwera RADIUS wykonaj następujące czynności:

    1. W polu Nazwa serwera wprowadź nazwę lub adres IP serwera RADIUS skonfigurowanego w poprzedniej sekcji.

    2. W polu Wspólny wpis tajny wybierz pozycję Zmień, a następnie wprowadź utworzone i zarejestrowane wcześniej hasło udostępnionego wpisu tajnego.

    3. W polu Limit czasu (sekundy) wprowadź wartość 60. Aby zminimalizować odrzucone żądania, zalecamy skonfigurowanie serwerów sieci VPN z limitem czasu co najmniej 60 sekund. W razie potrzeby lub, aby zmniejszyć liczbę odrzuconych żądań w dziennikach zdarzeń, możesz zwiększyć limit czasu serwera sieci VPN do 90 lub 120 sekund.

  8. Wybierz przycisk OK.

Testowanie łączności sieci VPN

W tej sekcji potwierdzisz, że serwer RADIUS uwierzytelnia i autoryzuje klienta sieci VPN podczas próby nawiązania połączenia z portem wirtualnym sieci VPN. W instrukcjach założono, że używasz systemu Windows 10 jako klienta sieci VPN.

Uwaga

Jeśli skonfigurowano już klienta sieci VPN w celu nawiązania połączenia z serwerem sieci VPN i zapisano ustawienia, możesz pominąć kroki związane z konfigurowaniem i zapisywaniem obiektu połączenia sieci VPN.

  1. Na komputerze klienckim sieci VPN wybierz przycisk Uruchom , a następnie wybierz przycisk Ustawienia .

  2. W oknie Ustawienia systemu Windows wybierz pozycję Sieć i Internet.

  3. wybierz pozycję VPN.

  4. Wybierz pozycję Dodaj połączenie sieci VPN.

  5. W oknie Dodawanie połączenia sieci VPN w polu Dostawca sieci VPN wybierz pozycję Windows (wbudowane), wypełnij pozostałe pola odpowiednio, a następnie wybierz pozycję Zapisz.

    Okno

  6. Przejdź do Panel sterowania, a następnie wybierz Centrum sieci i udostępniania.

  7. Wybierz pozycję Zmień ustawienia adaptera sieciowego.

    Centrum sieci i udostępniania — zmień ustawienia karty

  8. Kliknij prawym przyciskiem myszy połączenie sieciowe sieci VPN, a następnie wybierz polecenie Właściwości.

  9. W oknie właściwości sieci VPN wybierz kartę Zabezpieczenia .

  10. Na karcie Zabezpieczenia upewnij się, że wybrano tylko protokół Microsoft CHAP w wersji 2 (MS-CHAP v2), a następnie wybierz przycisk OK.

    Opcja

  11. Kliknij prawym przyciskiem myszy połączenie sieci VPN, a następnie wybierz pozycję Połącz.

  12. W oknie Ustawienia wybierz pozycję Połącz.
    Pomyślne połączenie jest wyświetlane w dzienniku zabezpieczeń na serwerze RADIUS jako zdarzenie o identyfikatorze 6272, jak pokazano poniżej:

    Okno Właściwości zdarzenia z pomyślnym połączeniem

Rozwiązywanie problemów z usługą RADIUS

Załóżmy, że konfiguracja sieci VPN działała przed skonfigurowaniem serwera sieci VPN do używania scentralizowanego serwera RADIUS na potrzeby uwierzytelniania i autoryzacji. Jeśli konfiguracja działała, prawdopodobnie przyczyną problemu jest błędna konfiguracja serwera RADIUS lub użycie nieprawidłowej nazwy użytkownika lub hasła. Jeśli na przykład użyjesz alternatywnego sufiksu nazwy UPN w nazwie użytkownika, próba logowania może zakończyć się niepowodzeniem. Użyj tej samej nazwy konta, aby uzyskać najlepsze wyniki.

Aby rozwiązać te problemy, idealnym miejscem, aby zacząć, jest sprawdzenie dzienników zdarzeń dotyczących zabezpieczeń na serwerze RADIUS. Aby zaoszczędzić czas na wyszukiwaniu zdarzeń, możesz skorzystać z niestandardowego widoku zasad sieciowych i serwera dostępu opartych na rolach w narzędziu Podgląd zdarzeń, jak pokazano tutaj. "Identyfikator zdarzenia 6273" wskazuje zdarzenia, w których serwer NPS odmówił dostępu do użytkownika.

Podgląd zdarzeń pokazujące zdarzenia NPAS

Konfiguracja uwierzytelniania wieloskładnikowego

Aby uzyskać pomoc dotyczącą konfigurowania użytkowników na potrzeby uwierzytelniania wieloskładnikowego, zobacz artykuły Planowanie wdrożenia uwierzytelniania wieloskładnikowego firmy Microsoft w chmurze i Konfigurowanie konta na potrzeby weryfikacji dwuetapowej

Instalowanie i konfigurowanie rozszerzenia serwera NPS

Ta sekcja zawiera instrukcje dotyczące konfigurowania sieci VPN do używania uwierzytelniania wieloskładnikowego na potrzeby uwierzytelniania klienta z serwerem sieci VPN.

Uwaga

Klucz rejestru REQUIRE_USER_MATCH uwzględnia wielkość liter. Wszystkie wartości muszą być ustawione w formacie UPPER CASE.

Po zainstalowaniu i skonfigurowaniu rozszerzenia NPS ten serwer wymaga, aby całe uwierzytelnianie klientów RADIUS odbywało się przy użyciu uwierzytelniania wieloskładnikowego. Jeśli wszyscy użytkownicy sieci VPN nie są zarejestrowani w uwierzytelnianiu wieloskładnikowym firmy Microsoft, możesz wykonać jedną z następujących czynności:

  • Skonfiguruj inny serwer RADIUS, aby uwierzytelnić użytkowników, którzy nie są skonfigurowani do korzystania z uwierzytelniania wieloskładnikowego.

  • Utwórz wpis rejestru, który umożliwia użytkownikom, którzy są wezwani do weryfikacji, dostarczenie drugiego czynnika uwierzytelniania, jeśli są oni zarejestrowani w usłudze uwierzytelniania wieloskładnikowego Microsoft Entra.

Utwórz nową wartość ciągu o nazwie REQUIRE_USER_MATCH w HKLM\SOFTWARE\Microsoft\AzureMfa i ustaw wartość TRUE lub FALSE.

Ustawienie

Jeśli wartość ma wartość TRUE lub jest pusta, wszystkie żądania uwierzytelniania podlegają wyzwaniu uwierzytelniania wieloskładnikowego. Jeśli wartość jest ustawiona na FAŁSZ, wyzwania uwierzytelniania wieloskładnikowego są wystawiane tylko użytkownikom, którzy są zarejestrowani w uwierzytelnianiu wieloskładnikowym firmy Microsoft. Użyj ustawienia FALSE tylko w testach lub w środowiskach produkcyjnych w okresie wdrożenia.

Uzyskiwanie identyfikatora dzierżawy katalogu

W ramach konfiguracji rozszerzenia NPS należy podać poświadczenia administratora i identyfikator dzierżawcy Microsoft Entra. Aby uzyskać identyfikator dzierżawy, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

  2. Przejdź do Tożsamości>Ustawienia.

    Pobieranie identyfikatora dzierżawy z centrum administracyjnego firmy Microsoft Entra

Instalowanie rozszerzenia serwera NPS

Rozszerzenie NPS musi być zainstalowane na serwerze z zainstalowaną rolą Usługi zasad sieci i dostępu, który działa jako serwer RADIUS w projekcie. Nie instaluj rozszerzenia NPS na serwerze VPN.

  1. Pobierz rozszerzenie NPS z Microsoft Centrum Pobierania.

  2. Skopiuj plik wykonywalny instalatora (NpsExtnForAzureMfaInstaller.exe) na serwer NPS.

  3. Na serwerze NPS kliknij dwukrotnie NpsExtnForAzureMfaInstaller.exe, a jeśli zostanie wyświetlony monit, wybierz Uruchom.

  4. W oknie Rozszerzenie NPS dla Microsoft Entra ustawienia wieloskładnikowego uwierzytelniania, przejrzyj warunki licencji oprogramowania, zaznacz pole wyboru Zgadzam się z warunkami licencji, a następnie wybierz pozycję Zainstaluj.

    Okno

  5. W oknie konfiguracji Rozszerzenia NPS dla uwierzytelniania wieloskładnikowego Microsoft Entra wybierz Zamknij.

    Okno potwierdzenia

Konfigurowanie certyfikatów do użycia z rozszerzeniem serwera NPS przy użyciu skryptu programu PowerShell programu Graph

Aby zapewnić bezpieczną komunikację i pewność, skonfiguruj certyfikaty do użycia przez rozszerzenie serwera NPS. Składniki serwera NPS zawierają skrypt programu PowerShell programu Graph, który konfiguruje certyfikat z podpisem własnym do użycia z serwerem NPS.

Skrypt wykonuje następujące akcje:

  • Tworzy certyfikat z podpisem własnym.
  • Kojarzy klucz publiczny certyfikatu z jednostką usługi w identyfikatorze Entra firmy Microsoft.
  • Przechowuje certyfikat w lokalnym magazynie maszyny.
  • Przyznaje użytkownikowi sieciowemu dostęp do klucza prywatnego certyfikatu.
  • Uruchamia ponownie usługę NPS.

Jeśli chcesz używać własnych certyfikatów, musisz skojarzyć klucz publiczny certyfikatu z jednostką usługi w usłudze Microsoft Entra ID itd.

Aby użyć skryptu, podaj skryptowi swoje poświadczenia administracyjne Microsoft Entra oraz wcześniej skopiowany identyfikator dzierżawy Microsoft Entra. Konto musi znajdować się w tej samej dzierżawie firmy Microsoft Entra, dla której chcesz włączyć rozszerzenie. Uruchom skrypt na każdym serwerze NPS, na którym jest instalowane rozszerzenie serwera NPS.

  1. Uruchom program PowerShell programu Graph jako administrator.

  2. W wierszu polecenia programu PowerShell wprowadź ciąg cd "c:\Program Files\Microsoft\AzureMfa\Config", a następnie wybierz Enter.

  3. W następnym wierszu polecenia wprowadź ciąg .\AzureMfaNpsExtnConfigSetup.ps1, a następnie wybierz Enter. Skrypt sprawdza, czy program Graph PowerShell jest zainstalowany. Jeśli nie jest zainstalowany, skrypt zainstaluje program Graph PowerShell.

    Uruchamianie skryptu konfiguracji AzureMfsNpsExtnConfigSetup.ps1

    Jeśli wystąpi błąd zabezpieczeń spowodowany protokołem TLS, włącz protokół TLS 1.2 przy użyciu [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 polecenia w wierszu polecenia programu PowerShell.

    Po zweryfikowaniu przez skrypt instalacji modułu programu PowerShell zostanie wyświetlone okno logowania modułu Programu PowerShell dla programu Graph.

  4. Wprowadź poświadczenia i hasło administratora firmy Microsoft Entra, a następnie wybierz pozycję Zaloguj.

  5. W wierszu polecenia wklej skopiowany wcześniej identyfikator dzierżawy, a następnie wybierz Enter.

    Wprowadź wcześniej skopiowany identyfikator dzierżawy usługi Microsoft Entra

    Skrypt tworzy certyfikat z podpisem własnym i wykonuje inne zmiany konfiguracji. Dane wyjściowe są podobne do tych na poniższej ilustracji:

    Okno programu PowerShell z wyświetlonym certyfikatem z podpisem własnym

  6. Uruchom serwer ponownie.

Sprawdzanie konfiguracji

Aby zweryfikować konfigurację, należy ustanowić nowe połączenie sieci VPN z serwerem sieci VPN. Po pomyślnym wprowadzeniu poświadczeń na potrzeby uwierzytelniania podstawowego połączenie sieci VPN czeka na pomyślne uwierzytelnienie pomocnicze przed nawiązaniem połączenia, jak pokazano w poniższej sekcji.

Okno VPN w ustawieniach systemu Windows

Jeśli pomyślnie uwierzytelniono się przy użyciu pomocniczej metody weryfikacji, która została wcześniej skonfigurowana w uwierzytelnianiu wieloskładnikowym firmy Microsoft, masz połączenie z zasobem. Jeśli jednak uwierzytelnianie pomocnicze nie powiedzie się, zostanie odmówiony Ci dostęp do zasobu.

W poniższym przykładzie aplikacja Microsoft Authenticator w systemie Windows Phone zapewnia uwierzytelnianie pomocnicze:

Przykładowy monit uwierzytelniania wieloskładnikowego w systemie Windows Phone

Po pomyślnym uwierzytelnieniu przy użyciu metody pomocniczej uzyskujesz dostęp do portu wirtualnego na serwerze sieci VPN. Ponieważ konieczne było użycie pomocniczej metody uwierzytelniania przy użyciu aplikacji mobilnej na zaufanym urządzeniu, proces logowania jest bezpieczniejszy niż w przypadku używania tylko kombinacji nazwy użytkownika i hasła.

Wyświetl dzienniki Podglądu zdarzeń dla pomyślnych zdarzeń logowania

Aby wyświetlić zdarzenia pomyślnego logowania w Podglądzie zdarzeń systemu Windows, możesz przejrzeć dziennik zabezpieczeń lub widok niestandardowy Sieciowych zasad i usług dostępu, jak pokazano na poniższej ilustracji.

Przykładowy dziennik serwera zasad sieciowych

Na serwerze, na którym zainstalowano rozszerzenie NPS dla uwierzytelniania wieloskładnikowego firmy Microsoft, można znaleźć dzienniki aplikacji w Podglądzie zdarzeń dotyczące rozszerzenia w obszarze Dzienniki aplikacji i usług\Microsoft\AzureMfa.

Przykładowe okienko dzienników AuthZ Podgląd zdarzeń

Przewodnik po rozwiązywaniu problemów

Jeśli konfiguracja nie działa zgodnie z oczekiwaniami, rozpocznij rozwiązywanie problemów, sprawdzając, czy użytkownik jest skonfigurowany do korzystania z uwierzytelniania wieloskładnikowego. Zaloguj się do centrum administracyjnego firmy Microsoft Entra. Jeśli użytkownik jest proszony o uwierzytelnianie pomocnicze i może się pomyślnie uwierzytelnić, możesz wyeliminować nieprawidłową konfigurację uwierzytelniania wieloskładnikowego jako problem.

Jeśli uwierzytelnianie wieloskładnikowe działa dla użytkownika, przejrzyj odpowiednie dzienniki Podgląd Zdarzeń. Dzienniki obejmują zdarzenia zabezpieczeń, operacyjność bramy oraz dzienniki uwierzytelniania wieloskładnikowego Microsoft Entra, które zostały omówione w poprzedniej sekcji.

Przykład dziennika zabezpieczeń, który wyświetla zdarzenie logowania, które nie powiodło się (zdarzenie o identyfikatorze 6273) jest pokazane tutaj:

Dziennik zabezpieczeń przedstawiający zdarzenie logowania, które zakończyło się niepowodzeniem

W tym miejscu pokazano powiązane zdarzenie z dziennika uwierzytelniania wieloskładnikowego firmy Microsoft:

Dzienniki uwierzytelniania wieloskładnikowego Microsoft Entra

Aby przeprowadzić zaawansowane rozwiązywanie problemów, zapoznaj się z plikami dziennika formatu bazy danych NPS, w których zainstalowano usługę NPS. Pliki dziennika są tworzone w folderze %SystemRoot%\System32\Logs jako pliki tekstowe rozdzielane przecinkami. Opis plików dziennika można znaleźć w temacie Interpretowanie plików dziennika w formacie bazy danych NPS.

Wpisy w tych plikach dziennika są trudne do zinterpretowania, chyba że zostaną wyeksportowane do arkusza kalkulacyjnego lub bazy danych. Wiele narzędzi do analizowania internetowych usług uwierzytelniania (IAS) można znaleźć w trybie online, aby ułatwić interpretowanie plików dziennika. Wynik działania jednej z takich dostępnych do pobrania aplikacji typu shareware jest wyświetlony tutaj.

Przykładowa aplikacja shareware, analizator IAS

Aby wykonać dodatkowe rozwiązywanie problemów, możesz użyć analizatora protokołów, takiego jak Wireshark lub Microsoft Message Analyzer. Na poniższej ilustracji z programu Wireshark przedstawiono komunikaty RADIUS między serwerem sieci VPN i serwerem NPS.

Program Microsoft Message Analyzer przedstawiający przefiltrowany ruch

Aby uzyskać więcej informacji, zobacz Integrowanie istniejącej infrastruktury serwera NPS z wieloskładnikowym uwierzytelnianiem firmy Microsoft.

Następne kroki

Zdobądź uwierzytelnianie wieloskładnikowe Microsoft Entra

Brama usług pulpitu zdalnego i serwer Azure Multi-Factor Authentication korzystające z usługi RADIUS

Integrowanie katalogów lokalnych z identyfikatorem Entra firmy Microsoft