Compartilhar via

Integrar a autenticação P2S RADIUS ao NPS para a autenticação multifator

  • Artigo

Este artigo ajuda você a integrar o NPS (Servidor de Políticas de Rede) à autenticação de RADIUS do Gateway de VPN do Azure para fornecer MFA (autenticação multifator) para conexões VPN de P2S (ponto a site).

Pré-requisitos

  • Microsoft Entra ID: para habilitar a MFA, os usuários devem estar no Microsoft Entra ID, que deve ser sincronizado do ambiente local ou do ambiente de nuvem.

    • O usuário deve ter concluído o processo de registro automático para a MFA. Para obter mais informações, confira Configurar minha conta para verificação em duas etapas.

    • Se a MFA for baseada em texto (SMS, código de verificação de aplicativo móvel etc.) e exigir que o usuário insira um código ou texto na interface do usuário do cliente VPN, a autenticação não terá êxito e não será um cenário com suporte.

  • Gateway de VPN baseado em rota: você deve usar um gateway de VPN baseado em rota. Para obter etapas para criar um gateway de VPN baseado em rota, confira Tutorial: criar e gerenciar um gateway de VPN.

  • NPS: você já deve ter instalado o Servidor de Políticas de Rede e configurado a política de VPN para RADIUS.

Criar cliente RADIUS

  1. Criar o cliente RADIUS especificando as seguintes configurações:
    • Nome Amigável: digite um nome qualquer.
    • Endereço (IP ou DNS): use o valor especificado para a sub-rede do gateway de VPN. Por exemplo, 10.1.255.0/27.
    • Segredo compartilhado: digite qualquer chave secreta e lembre-se dela para uso posterior.
  2. Na guia Avançado, defina o nome do fornecedor para RADIUS Standard e certifique-se de que a caixa de seleção Opções Adicionais não está selecionada. Depois, selecione OK.
  3. Acesse Políticas>Políticas de Rede. Clique duas vezes na política Conexões com o servidor de roteamento e acesso remoto da Microsoft. Selecione Conceder acesso e OK.

Configurar o gateway de VPN

  1. No portal do Azure, abra seu gateway de rede virtual (gateway de VPN).

  2. Na página Visão geral, verifique se o tipo de Gateway está definido como VPN e se o tipo de VPN é baseado em rota.

  3. No painel esquerdo, expanda Configurações e selecione Configuração ponto a site>Configurar agora.

  4. Exiba a página Configuração ponto a site.

    Captura de tela que mostra a página de configuração ponto a site.

  5. Na página Configuração ponto a site, defina as seguintes configurações:

    • Pool de endereços: esse valor especifica o pool de endereços do cliente do qual os clientes VPN recebem um endereço IP quando se conectam ao gateway de VPN. O pool de endereços deve ser um intervalo de endereços IP privados que não se sobreponha ao intervalo de endereços de rede virtual. Por exemplo: 172.16.201.0/24.
    • Tipo de túnel: selecione o tipo de túnel. Por exemplo, selecione IKEv2 e OpenVPN (SSL).
    • Tipo de autenticação: selecione Autenticação RADIUS.
    • Se você tiver um gateway de VPN ativo-ativo, será necessário um terceiro endereço IP público. Você pode criar um novo endereço IP público usando o valor de exemplo VNet1GWpip3.
    • Endereço IP do servidor primário: digite o endereço IP do NPS (Servidor de Políticas de Rede).
    • Segredo do servidor primário: digite o segredo compartilhado que você especificou ao criar o cliente RADIUS no NPS.

  6. Na parte superior da página, Salve as configurações.

Depois que as configurações forem salvas, você poderá clicar em Baixar Cliente VPN para baixar o pacote de configuração do cliente VPN e usar as configurações para definir o cliente VPN. Para obter mais informações sobre a configuração do cliente VPN de P2S, confira tabela Requisitos de configuração de cliente ponto a site.

Integrar o NPS ao MFA do Microsoft Entra

Use os seguintes links para integrar sua infraestrutura do NPS à autenticação multifator do Microsoft Entra:

Próximas etapas

Para obter etapas para configurar seu cliente VPN, confira a tabela Requisitos de configuração de cliente ponto a site.