Freigeben über

Integrieren Sie Ihre Remotedesktopgateway-Infrastruktur mithilfe der Netzwerkrichtlinienserver-Erweiterung (Network Policy Server, NPS) und Microsoft Entra ID.

Dieser Artikel bietet weitere Informationen zur Integration Ihrer Remotedesktopgateway-Infrastruktur mithilfe der Netzwerkrichtlinienserver-Erweiterung (Network Policy Server, NPS) für Microsoft Azure in die Microsoft Entra-Multi-Faktor-Authentifizierung.

Die NPS-Erweiterung (Network Policy Server) für Azure ermöglicht es den Kunden, die Remote-Authentifizierung des Dial-In User Service (RADIUS) Clients mit der cloudbasierten Multi-Faktor-Authentifizierung von Azure zu schützen. Diese Lösung ermöglicht die zweistufige Überprüfung, um eine zweite Sicherheitsebene für Benutzeranmeldungen und Transaktionen hinzuzufügen.

Dieser Artikel enthält ausführliche Anleitungen zum Integrieren der NPS-Infrastruktur in die Microsoft Entra-Multi-Faktor-Authentifizierung mithilfe der NPS-Erweiterung für Azure. Dies ermöglicht eine sichere Überprüfung von Benutzern, die sich bei einem Remotedesktopgateway anmelden.

Hinweis

Dieser Artikel sollte nicht für Bereitstellungen von MFA-Server verwendet werden, sondern nur für (cloudbasierte) Bereitstellungen der Microsoft Entra-Multi-Faktor-Authentifizierung.

Die Netzwerkrichtlinien- und Zugriffsdienste (Network Policy and Access Services, NPS) bieten Organisationen folgende Möglichkeiten:

  • Definieren zentraler Orte für die Verwaltung und Steuerung von Netzwerkanforderungen, um Folgendes anzugeben: wer eine Verbindung herstellen kann, zu welchen Tageszeiten Verbindungen zugelassen sind, die Dauer der Verbindungen und die Sicherheitsstufe, die Clients verwenden müssen, um eine Verbindung herstellen zu können usw. Anstatt diese Richtlinien auf jedem VPN oder Remotedesktopgateway-Server (RD) anzugeben, können diese Richtlinien einmal an einem zentralen Ort angegeben werden. Das RADIUS-Protokoll ermöglicht die zentralisierte Authentifizierung, Autorisierung und Ressourcenerfassung (Authentication, Authorization, Accounting – AAA).
  • Richten Sie Netzwerkzugriffsschutz-Clientintegritätsrichtlinien (Network Access Protection, NAP) ein, die bestimmen, ob Geräten uneingeschränkter oder eingeschränkter Zugriff auf Netzwerkressourcen gewährt wird, und erzwingen Sie deren Durchsetzung.
  • Bieten Sie eine Möglichkeit zum Erzwingen der Authentifizierung und Autorisierung für den Zugriff auf 802.1x-fähige Drahtloszugriffspunkte und Ethernet-Switches.

In der Regel verwenden Organisationen NPS (RADIUS) zur Vereinfachung und Zentralisierung der Verwaltung von VPN-Richtlinien. Viele Organisationen verwenden NPS jedoch auch zur Vereinfachung und Zentralisierung der Verwaltung der RD-Verbindungsautorisierungsrichtlinien (RD-CAPs, Remote Desktop Connection Authorization Policies).

Organisationen können NPS auch in die Microsoft Entra-Multi-Faktor-Authentifizierung integrieren, um die Sicherheit zu erhöhen und ein hohes Maß an Konformität bereitzustellen. Dadurch wird sichergestellt, dass Benutzer die zweistufige Überprüfung zur Anmeldung beim Remotedesktopgateway einrichten. Damit Benutzern Zugriff gewährt wird, müssen sie die von ihnen festgelegte Kombination aus Benutzername und Kennwort angeben. Diese Informationen müssen vertrauenswürdig und dürfen nicht problemlos duplizierbar sein, z.B. eine Mobiltelefonnummer, Festnetznummer, Anwendung auf einem mobilen Gerät usw. RDG unterstützt derzeit Telefonanrufe und Genehmigen/Ablehnen-Pushbenachrichtigungen aus der Microsoft Authenticator-App für 2FA. Weitere Informationen zu unterstützten Authentifizierungsmethoden finden Sie im Abschnitt "Bestimmen, welche Authentifizierungsmethoden Ihre Benutzer verwenden können.

Wenn Ihr Unternehmen Remotedesktopgateway verwendet und die Benutzer*innen für einen TOTP-Code zusammen mit Authenticator-Pushbenachrichtigungen registriert sind, können sie die MFA-Abfrage nicht erfüllen, und die Anmeldung beim Remotedesktopgateway schlägt fehl. In diesem Fall können Sie dieses Verhalten außer Kraft setzen, indem Sie einen neuen Registrierungsschlüssel (OVERRIDE_NUMBER_MATCHING_WITH_OTP) erstellen, um Pushbenachrichtigungen zu verwenden und Genehmigungen/Ablehnungen mit Authenticator zu bestätigen. Um dies auszuführen, befolgen Sie die Prozedur zum Überschreiben der NPS-Nummernübereinstimmung, vorausgesetzt, der endgültige Wert ist OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE.

Vor der Verfügbarkeit der NPS-Erweiterung für Azure mussten Kunden, die die Überprüfung in zwei Schritten für integrierte NPS- und Microsoft Entra-Authentifizierungsumgebungen implementieren wollten, einen separaten MFA-Server in der lokalen Umgebung konfigurieren und verwalten, wie in Remotedesktopgateway und Azure Multi-Factor Authentication Server mit RADIUS dokumentiert.

Die Verfügbarkeit der NPS-Erweiterung für Azure bietet Organisationen jetzt die Möglichkeit, entweder eine lokal basierte oder eine cloudbasierte MFA-Lösung zum Schützen der RADIUS-Clientauthentifizierung bereitzustellen.

Authentifizierungsablauf

Damit Benutzern der Zugriff auf Netzwerkressourcen über ein Remotedesktopgateway erteilt wird, müssen sie die in einer Remotedesktop-Verbindungsautorisierungsrichtlinie (RD-CAP) und einer Remotedesktop-Ressourcenautorisierungsrichtlinie (RD Resource Authorization Policy, RD-RAP) angegebenen Bedingungen erfüllen. RD-CAPs geben an, wer zum Herstellen einer Verbindung mit RD-Gateways autorisiert ist. RD-RAPs geben die Netzwerkressourcen an, wie z.B. Remotedesktops oder Remote-Apps, mit denen der Benutzer über das RD-Gateway eine Verbindung mit zulässig ist.

Ein RD-Gateway kann konfiguriert werden, um einen zentralen Richtlinienspeicher für RD-CAPs zu verwenden. RD-RAPs können keine zentrale Richtlinie verwenden, da sie auf dem RD-Gateway verarbeitet werden. Ein Beispiel eines RD-Gateways, das zur Verwendung eines zentralen Richtlinienspeichers für RD-CAPs konfiguriert ist, ist ein RADIUS-Client einer anderen NPS-Serverinstanz, die als zentraler Richtlinienspeicher dient.

Wenn die NPS-Erweiterung für Azure in NPS und Remotedesktopgateway integriert ist, lautet der erfolgreiche Authentifizierungsablauf wie folgt:

  1. Der Remotedesktopgateway-Server empfängt eine Authentifizierungsanforderung von einem Remotedesktop-Benutzer zum Herstellen der Verbindung mit einer Ressource, z.B. einer Remotedesktopsitzung. Als RADIUS-Client fungierend konvertiert der Remotedesktopgateway-Server die Anforderung in eine RADIUS-Zugriffsanforderungsnachricht und sendet die Nachricht an den RADIUS-Server (NPS), auf dem die NPS-Erweiterung installiert ist.
  2. Die Kombination aus Benutzername und Kennwort wird in Active Directory überprüft, und der Benutzer ist authentifiziert.
  3. Wenn alle Bedingungen gemäß den Angaben in der NPS-Verbindungsanforderung und in den Netzwerkrichtlinien erfüllt sind (z. B. Uhrzeit- oder Gruppenmitgliedschaftseinschränkungen), löst die NPS-Erweiterung eine Anforderung zur sekundären Authentifizierung über die Microsoft Entra-Multi-Faktor-Authentifizierung aus.
  4. Microsoft Entra-Multi-Faktor-Authentifizierung kommuniziert mit Microsoft Entra ID, um die Details des Benutzers abzurufen, und führt die sekundäre Authentifizierung mithilfe unterstützter Methoden.
  5. Bei erfolgreicher MFA-Überprüfung übermittelt die Microsoft Entra-Multi-Faktor-Authentifizierung das Ergebnis an die NPS-Erweiterung.
  6. Der NPS-Server, auf dem die Erweiterung installiert ist, sendet eine RADIUS-Zugriffsakzeptierungsnachricht für die RD-CAP-Richtlinie an den Remotedesktopgateway-Server.
  7. Der Benutzer erhält über das RD-Gateway Zugriff auf die angeforderte Netzwerkressource.

Voraussetzungen

In diesem Abschnitt werden die erforderlichen Voraussetzungen zur Integration der Microsoft Entra-Multi-Faktor-Authentifizierung mit dem Remotedesktopgateway erörtert. Bevor Sie beginnen, müssen folgende Voraussetzungen erfüllt sein:

  • Remotedesktopdienste-Infrastruktur (Remote Desktop Services, RDS)
  • Lizenz für die Microsoft Entra-Multi-Faktor-Authentifizierung
  • Windows Server-Software
  • Netzwerkrichtlinien- und Zugriffsdienste-Rolle (Network Policy and Access Services, NPS)
  • Microsoft Entra synchronisiert mit lokalem Active Directory
  • Microsoft Entra-GUID-ID

Remotedesktopdienste-Infrastruktur (Remote Desktop Services, RDS)

Eine funktionsfähige Remotedesktopdienste-Infrastruktur (RDS) muss vorhanden sein. Wenn dies nicht der Fall ist, können Sie diese Infrastruktur in Azure schnell mithilfe der folgenden Schnellstartvorlage erstellen: Bereitstellung einer Remotedesktop-Sitzungssammlung.

Wenn Sie eine lokale RDS-Infrastruktur schnell manuell zu Testzwecken erstellen möchten, führen Sie die Schritte zu deren Bereitstellung aus. Weitere Informationen: Bereitstellen von RDS mit Azure-Schnellstart und bereitstellung der grundlegenden RDS-Infrastruktur.

Windows Server-Software

Die NPS-Erweiterung erfordert Windows Server 2008 R2 SP1 oder höher mit installiertem NPS-Rollendienst. Alle Schritte in diesem Abschnitt wurden mit Windows Server 2016 ausgeführt.

Netzwerkrichtlinien- und Zugriffsdienste-Rolle (Network Policy and Access Services, NPS)

Der NPS-Rollendienst bietet sowohl die Funktionalität von RADIUS-Servern und -Clients als auch den Netzwerkzugriffsrichtlinien-Integritätsdienst. Diese Rolle muss auf mindestens zwei Computern in Ihrer Infrastruktur installiert werden: Das Remotedesktopgateway und ein weiterer Mitgliedsserver oder Domänencontroller. Standardmäßig ist die Rolle bereits auf dem Computer vorhanden, der als Remotedesktopgateway konfiguriert ist. Sie müssen auch die NPS-Rolle auf mindestens einem anderen Computer installieren, z.B. einen Domänencontroller oder Mitgliedsserver.

Informationen zum Installieren des NPS-Rollendiensts für Windows Server 2012 oder älter finden Sie unter Installieren eines NAP-Integritätsrichtlinienservers. Eine Beschreibung der bewährten Methoden für NPS, einschließlich der Empfehlung zum Installieren von NPS auf einem Domänencontroller, finden Sie unter Bewährte Methoden für NPS.

Microsoft Entra synchronisiert mit lokalem Active Directory

Um die NPS-Erweiterung zu verwenden, müssen lokale Benutzer mit Microsoft Entra ID synchronisiert und für MFA aktiviert werden. Dieser Abschnitt setzt voraus, dass lokale Benutzer mithilfe von AD Connect mit Microsoft Entra ID synchronisiert werden. Informationen zu Microsoft Entra Connect finden Sie unter Integrieren Ihrer lokalen Verzeichnisse mit Microsoft Entra ID.

Microsoft Entra-GUID-ID

Um die NPS-Erweiterung zu installieren, müssen Sie die GUID der Microsoft Entra ID-Instanz kennen. Im Anschluss finden Sie Anweisungen zum Ermitteln der GUID der Microsoft Entra ID-Instanz.

Konfigurieren der mehrstufigen Authentifizierung

Dieser Abschnitt enthält Anweisungen zur Integration der Microsoft Entra-Multi-Faktor-Authentifizierung mit dem Remotedesktopgateway. Als Administrator müssen Sie den Microsoft Entra-Multi-Faktor-Authentifizierungsdienst konfigurieren, bevor Benutzer ihre Multi-Faktor-Geräte oder -Anwendungen selbst registrieren können.

Führen Sie die Schritte in den ersten Schritten mit der mehrstufigen Microsoft Entra-Authentifizierung in der Cloud aus, um MFA für Ihre Microsoft Entra-Benutzer zu aktivieren.

Konfigurieren von Konten für die zweistufige Überprüfung

Nachdem ein Konto für MFA aktiviert wurde, können Sie sich nicht bei Ressourcen anmelden, die von der MFA-Richtlinie gesteuert werden, bis Sie erfolgreich ein vertrauenswürdiges Gerät für die Nutzung als zweiten Authentifizierungsfaktor konfiguriert und sich mittels der Zwei-Schritt-Verifizierung authentifiziert haben.

Führen Sie die Schritte unter Was bedeutet die mehrstufige Microsoft Entra-Authentifizierung für mich? aus, um die Prinzipien von MFA zu verstehen und Ihre Geräte ordnungsgemäß unter Verwendung Ihres Benutzerkontos zu konfigurieren.

Wichtig

Das Anmeldeverhalten für das Remotedesktopgateway umfasst keine Option zum Eingeben eines Prüfcodes über die Microsoft Entra-Multi-Faktor-Authentifizierung. Ein Benutzerkonto muss für die Telefonüberprüfung oder die Microsoft Authenticator-App mit Genehmigen/ und Ablehnen Push-Benachrichtigungen konfiguriert werden.

Wenn weder die Telefonüberprüfung noch die Microsoft Authenticator-App mit "Genehmigen"- und "Ablehnen"-Pushbenachrichtigungen für einen Benutzer konfiguriert sind, kann der Benutzer die mehrstufige Microsoft Entra-Authentifizierungsabfrage nicht abschließen und sich beim Remote Desktop Gateway anmelden.

Die SMS-Textmethode funktioniert bei Remotedesktopgateway nicht, weil Remotedesktopgateway keine Option zum Eingeben eines Prüfcodes bietet.

Installieren und Konfigurieren der NPS-Erweiterung

Dieser Abschnitt enthält Anweisungen zum Konfigurieren der RDS-Infrastruktur zur Verwendung der Microsoft Entra-Multi-Faktor-Authentifizierung für die Clientauthentifizierung mit dem Remotedesktopgateway.

Abrufen der Verzeichnismandanten-ID

Im Rahmen der Konfiguration der NPS-Erweiterung müssen Sie Administratoranmeldeinformationen und die ID Ihres Microsoft Entra-Mandanten angeben. Führen Sie die folgenden Schritte aus, um die Mandanten-ID abzurufen:

  1. Melden Sie sich beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>Übersicht>Eigenschaften.

    Abrufen der Mandanten-ID aus dem Microsoft Entra Verwaltungszentrum

Installieren der NPS-Erweiterung

Installieren Sie die NPS-Erweiterung auf einem Server, auf dem die Netzwerkrichtlinien- und Zugriffsdienste-Rolle (NPS) installiert ist. Diese fungiert als RADIUS-Server für den Entwurf.

Wichtig

Installieren Sie die NPS-Erweiterung nicht auf Ihrem Remotedesktop-Gatewayserver. Der Remotedesktop-Gatewayserver verwendet mit seinem Client das RADIUS-Protokoll nicht und kann daher die Erweiterung weder interpretieren noch die mehrstufige Authentifizierung (MFA) ausführen.

Auch wenn der Remotedesktop-Gatewayserver und der NPS-Server mit NPS-Erweiterung unterschiedliche Server sind, verwendet der Remotedesktop-Gatewayserver doch intern die Netzwerkrichtlinien- und Zugriffsdienste-Rolle (NPS) für die Kommunikation mit anderen NPS-Servern und RADIUS als Protokoll für die ordnungsgemäße Kommunikation.

  1. Laden Sie die NPS-Erweiterung herunter.
  2. Kopieren Sie die ausführbare Setupdatei (NpsExtnForAzureMfaInstaller.exe) auf den NPS-Server.
  3. Doppelklicken Sie auf dem NPS-Server NpsExtnForAzureMfaInstaller.exe. Wenn Sie dazu aufgefordert werden, wählen Sie "Ausführen" aus.
  4. Überprüfen Sie im Dialogfeld "NPS-Erweiterung für die mehrstufige Authentifizierung von Microsoft Entra" die Bedingungen der Softwarelizenz. Aktivieren Sie das Kontrollkästchen Ich stimme den Lizenzbedingungen zu und wählen Sie Installieren aus.
  5. Wählen Sie im Dialogfeld "NPS-Erweiterung für Microsoft Entra Multifactor Authentication Setup" die Option "Schließen" aus.

Konfigurieren von Zertifikaten für die Verwendung mit der NPS-Erweiterung mithilfe eines PowerShell-Skripts

Als Nächstes müssen Sie Zertifikate für die Verwendung durch die NPS-Erweiterung konfigurieren, um die sichere Kommunikation zu gewährleisten. Die NPS-Komponenten umfassen ein PowerShell-Skript, das ein selbstsigniertes Zertifikat zur Verwendung mit NPS konfiguriert.

Dieses Skript führt folgende Aktionen aus:

  • Erstellen eines selbstsignierten Zertifikats
  • Zuordnen des öffentlichen Schlüssels des Zertifikats zum Dienstprinzipal in Microsoft Entra ID
  • Speichern des Zertifikats im Speicher des lokalen Computers
  • Gewähren des Zugriffs auf den privaten Zertifikatschlüssel für den Netzwerkbenutzer
  • Neustart des Netzwerkrichtlinienserver-Diensts

Wenn Sie Ihre eigenen Zertifikate verwenden möchten, müssen Sie den öffentlichen Schlüssel Ihres Zertifikats dem Dienstprinzipal in Microsoft Entra ID zuordnen usw.

Um das Skript zu verwenden, geben Sie der Erweiterung Ihre Microsoft Entra-Administratoranmeldeinformationen und die zuvor kopierte Microsoft Entra-Mandanten-ID an. Führen Sie das Skript auf jedem NPS-Server aus, auf dem Sie die NPS-Erweiterung installiert haben. Gehen Sie wie folgt vor:

  1. Öffnen Sie eine administrative Windows PowerShell-Eingabeaufforderung.

  2. Geben Sie cd 'c:\Program Files\Microsoft\AzureMfa\Config' an der PowerShell-Eingabeaufforderung ein, und drücken Sie ENTER.

  3. Geben Sie .\AzureMfaNpsExtnConfigSetup.ps1 ein und drücken Sie die EINGABETASTE. Das Skript überprüft, ob das PowerShell-Modul installiert ist. Wenn es nicht installiert ist, installiert das Skript das Modul für Sie.

    Ausführen von AzureMfaNpsExtnConfigSetup.ps1 in PowerShell

  4. Nachdem das Skript die Installation des PowerShell-Moduls überprüft hat, wird das Dialogfeld des PowerShell-Moduls angezeigt. Geben Sie im Dialogfeld Ihre Microsoft Entra-Administratoranmeldeinformationen und Ihr Kennwort ein, und wählen Sie "Anmelden" aus.

  5. Wenn Sie dazu aufgefordert werden, fügen Sie die Mandanten-ID ein, die Sie zuvor in die Zwischenablage kopiert haben, und drücken Sie die EINGABETASTE.

    Eingeben der Mandanten-ID in PowerShell

  6. Das Skript erstellt ein selbstsigniertes Zertifikat und führt andere Änderungen an der Konfiguration durch.

Konfigurieren von NPS-Komponenten auf dem Remotedesktopgateway

In diesem Abschnitt konfigurieren Sie die Verbindungsautorisierungsrichtlinien für das Remotedesktopgateway und andere RADIUS-Clienteinstellungen.

Der Authentifizierungsablauf erfordert, dass RADIUS-Nachrichten zwischen dem Remotedesktopgateway und dem NPS-Server ausgetauscht werden, auf dem die NPS-Erweiterung installiert ist. Dies bedeutet, dass Sie RADIUS-Clienteinstellungen sowohl auf dem Remotedesktopgateway als auch dem NPS-Server, auf dem die NPS-Erweiterung installiert ist, konfigurieren müssen.

Konfigurieren von Verbindungsautorisierungsrichtlinien für das Remotedesktopgateway zur Verwendung im zentralen Speicher

Verbindungsautorisierungsrichtlinien für Remotedesktop (RD-CAPs) geben die Anforderungen für das Herstellen einer Verbindung mit einem Remotedesktopgateway-Server an. RD-CAPs können lokal gespeichert werden (Standard) oder in einem zentralen RD-CAP-Speicher, wo NPS ausgeführt wird. Um die Integration der Microsoft Entra-Multi-Faktor-Authentifizierung mit RDS zu konfigurieren, müssen Sie die Verwendung eines zentralen Speichers angeben.

  1. Öffnen Sie auf dem RD-Gatewayserver den Server-Manager.

  2. Wählen Sie im Menü "Extras", zeigen Sie auf "Remote Desktop-Dienste", und wählen Sie dann den Remote Desktop Gateway-Manager aus.

  3. Wählen Sie im RD-Gateway-Manager mit der rechten Maustaste [Servername] (lokal) aus, und wählen Sie "Eigenschaften" aus.

  4. Wählen Sie im Dialogfeld Eigenschaften die Registerkarte "RD CAP Store " aus.

  5. Wählen Sie auf der Registerkarte "RD CAP Store" den zentralen Server aus, auf dem NPS ausgeführt wird.

  6. Geben Sie im Feld "Geben Sie einen Namen oder eine IP-Adresse für den Server ein, auf dem NPS ausgeführt wird" die IP-Adresse oder den Servernamen des Servers ein, auf dem Sie die NPS-Erweiterung installiert haben.

    Geben Sie den Namen oder die IP-Adresse Ihres NPS-Servers ein.

  7. Wählen Sie "Hinzufügen" aus.

  8. Geben Sie im Dialogfeld "Freigegebener geheimer Schlüssel " einen freigegebenen geheimen Schlüssel ein, und wählen Sie dann "OK" aus. Denken Sie daran, diesen gemeinsamen geheimen Schlüssel zu notieren und die Notiz an einem sicheren Ort aufzubewahren.

    Hinweis

    Mit dem gemeinsamen geheimen Schlüssel wird eine Vertrauensstellung zwischen den RADIUS-Servern und -Clients hergestellt. Erstellen Sie ein langes und komplexes Geheimnis.

    Erstellen eines gemeinsamen Geheimnisses zur Vertrauensbildung

  9. Wählen Sie 'OK' aus, um das Dialogfeld zu schließen.

Konfigurieren des RADIUS-Timeoutwerts für Remotedesktopgateway-NPS

Um sicherzustellen, dass genügend Zeit zum Überprüfen der Anmeldeinformationen der benutzenden Person, zum Ausführen der zweistufigen Überprüfung, zum Empfangen von Antworten und Antworten auf RADIUS-Nachrichten zur Verfügung steht, müssen Sie den RADIUS-Timeoutwert anpassen.

  1. Öffnen Sie auf dem RD-Gatewayserver den Server-Manager. Wählen Sie im Menü "Extras" und dann " Netzwerkrichtlinienserver" aus.

  2. Erweitern Sie in der NPS-Konsole (Lokal)RADIUS-Clients und -Server, und wählen Sie remote RADIUS-Server aus.

    Netzwerkrichtlinienserver-Verwaltungskonsole zeigt Remote-RADIUS-Server

  3. Doppelklicken Sie im Detailbereich auf TS GATEWAY SERVER GROUP.

    Hinweis

    Diese RADIUS-Server-Gruppe wurde erstellt, als Sie den zentralen Server für die NPS-Richtlinien konfigurierten. Das RD-Gateway leitet RADIUS-Nachrichten an diesen Server weiter, bzw. an eine Gruppe von Servern, wenn mehrere Server vorhanden sind.

  4. Wählen Sie im Dialogfeld EIGENSCHAFTEN der TS-GATEWAY-SERVERGRUPPE die IP-Adresse oder den Namen des NPS-Servers aus, den Sie zum Speichern von RD-CAPs konfiguriert haben, und wählen Sie dann Bearbeiten aus.

    Wählen Sie die IP oder den Namen des zuvor konfigurierten NPS-Servers aus.

  5. Wählen Sie im Dialogfeld "RADIUS-Server bearbeiten " die Registerkarte " Lastenausgleich " aus.

  6. Ändern Sie im Tab "Lastenausgleich", im Feld "Anzahl der Sekunden ohne Antwort, bevor eine Anfrage als abgebrochen gilt", den Standardwert von 3 auf einen Wert zwischen 30 und 60 Sekunden.

  7. Ändern Sie im Feld Anzahl der Sekunden zwischen Anfragen, wenn der Server als nicht verfügbar identifiziert wird den Standardwert von 30 Sekunden zu einem Wert, der gleich oder größer ist als der Wert, den Sie im vorherigen Schritt angegeben haben.

    Bearbeiten Sie die Timeout-Einstellungen des RADIUS-Servers auf der Registerkarte "Lastenausgleich".

  8. Wählen Sie zweimal OK aus, um die Dialogfelder zu schließen.

Überprüfen der Verbindungsanforderungsrichtlinien

Wenn Sie das RD-Gateway zur Verwendung eines zentralen Richtlinienspeichers für Verbindungsautorisierungsrichtlinien konfigurieren, wird standardmäßig das RD-Gateway zum Weiterleiten von CAP-Anforderungen an den NPS-Server konfiguriert. Der NPS-Server, auf dem die Microsoft Entra-Multi-Faktor-Authentifizierungserweiterung installiert ist, verarbeitet die RADIUS-Zugriffsanforderung. In den folgenden Schritten lernen Sie das Überprüfen der Standard-Verbindungsanforderungsrichtlinie.

  1. Erweitern Sie auf dem RD-Gateway in der NPS-Konsole (Lokal) Richtlinien, und wählen Sie Verbindungsanforderungsrichtlinien aus.

  2. Doppelklicken Sie auf DIE TS-GATEWAY-AUTORISIERUNGSRICHTLINIE.

  3. Wählen Sie im Dialogfeld " TS GATEWAY AUTHORIZATION POLICY properties " die Registerkarte "Einstellungen " aus.

  4. Wählen Sie auf der Registerkarte "Einstellungen " unter "Verbindungsanforderung weiterleiten" die Option "Authentifizierung" aus. Der RADIUS-Client ist zum Weiterleiten von Anforderungen für die Authentifizierung konfiguriert.

    Konfigurieren von Authentifizierungseinstellungen, die die Servergruppe angeben

  5. Wählen Sie "Abbrechen" aus.

Hinweis

Weitere Informationen zum Erstellen einer Verbindungsanforderungsrichtlinie finden Sie im Artikel Dokumentation zu Verbindungsanforderungsrichtlinien konfigurieren.

Konfigurieren von NPS auf dem Server, auf dem die NPS-Erweiterung installiert ist

Der NPS-Server, auf dem die NPS-Erweiterung installiert ist, muss die RADIUS-Nachrichten mit dem NPS-Server auf dem Remotedesktopgateway austauschen können. Um diesen Nachrichtenaustausch zu aktivieren, müssen Sie die NPS-Komponenten auf dem Server konfigurieren, auf dem der NPS-Erweiterungsdienst installiert ist.

Registrieren des Servers in Active Directory

Die ordnungsgemäße Funktionsweise des NPS-Servers in diesem Szenario setzt seine Registrierung in Active Directory voraus.

  1. Öffnen Sie auf dem NPS-Server den Server-Manager.

  2. Wählen Sie im Server-Manager Werkzeuge und dann Netzwerk Richtlinien Server aus.

  3. Wählen Sie in der Konsole des Netzwerkrichtlinienservers npS (lokal) mit der rechten Maustaste aus, und wählen Sie dann " Server registrieren" in Active Directory aus.

  4. Wählen Sie zweimal OK aus.

    Registrieren des NPS-Servers in Active Directory

  5. Lassen Sie die Konsole für den nächsten Vorgang geöffnet.

Erstellen und Konfigurieren des RADIUS-Clients

Das Remotedesktopgateway muss als RADIUS-Client des NPS-Servers konfiguriert werden.

  1. Wählen Sie auf dem NPS-Server, auf dem die NPS-Erweiterung installiert ist, in der NPS-Konsole (lokal)RADIUS-Clients mit der rechten Maustaste aus, und wählen Sie "Neu" aus.

    Erstellen eines neuen RADIUS-Clients in der NPS-Konsole

  2. Geben Sie im Dialogfeld "Neuer RADIUS-Client" einen Anzeigenamen wie Gateway und die IP-Adresse oder den DNS-Namen des Remotedesktop-Gatewayservers an.

  3. Geben Sie in den Feldern "Freigegebener Geheimer Schlüssel " und "Freigegebenen geheimen Schlüssel bestätigen" denselben geheimen Schlüssel ein, den Sie zuvor verwendet haben.

    Konfigurieren Sie einen freundlichen Namen und die IP- oder DNS-Adresse

  4. Wählen Sie "OK " aus, um das Dialogfeld "Neuer RADIUS-Client" zu schließen.

Konfigurieren der Netzwerkrichtlinie

Denken Sie daran, dass der NPS-Server mit der Microsoft Entra-Multi-Faktor-Authentifizierungserweiterung der angegebene zentrale Richtlinienspeicher für die Verbindungsautorisierungsrichtlinie (CAP) ist. Aus diesem Grund müssen Sie auf dem NPS-Server eine CAP zum Autorisieren gültiger Verbindungsanforderungen implementieren.

  1. Öffnen Sie auf dem NPS-Server die NPS-Konsole (lokal), erweitern Sie Richtlinien, und wählen Sie "Netzwerkrichtlinien" aus.

  2. Wählen Sie "Verbindungen mit anderen Zugriffsservern" mit der rechten Maustaste aus, und wählen Sie "Richtlinie duplizieren" aus.

    Duplizieren der Verbindung mit anderen Zugriffsserverrichtlinien

  3. Wählen Sie mit der rechten Maustaste "Verbindungen kopieren" mit anderen Zugriffsservern aus, und wählen Sie "Eigenschaften" aus.

  4. Geben Sie im Dialogfeld "Verbindungen mit anderen Zugriffsservern " unter "Richtlinienname" einen geeigneten Namen ein, z. B. RDG_CAP. Aktivieren Sie die Richtlinie, und wählen Sie Zugriff gewähren aus. Wählen Sie optional im Typ des NetzwerkzugriffsserversRemotedesktopgateway aus, oder Sie können es als nicht angegeben belassen.

    Benennen der Richtlinie, Aktivieren und Gewähren des Zugriffs

  5. Wählen Sie die Registerkarte "Einschränkungen " aus, und aktivieren Sie "Clients erlauben, eine Verbindung herzustellen, ohne eine Authentifizierungsmethode auszuhandeln".

    Ändern von Authentifizierungsmethoden, damit Clients eine Verbindung herstellen können

  6. Wählen Sie optional die Registerkarte "Bedingungen " aus, und fügen Sie Bedingungen hinzu, die erfüllt sein müssen, damit die Verbindung autorisiert werden muss, z. B. die Mitgliedschaft in einer bestimmten Windows-Gruppe.

    Optionales Angeben von Verbindungsbedingungen

  7. Wählen Sie "OK" aus. Wenn Sie aufgefordert werden, das entsprechende Hilfethema anzuzeigen, wählen Sie "Nein" aus.

  8. Stellen Sie sicher, dass Ihre neue Richtlinie am oberen Rand der Liste angezeigt wird, dass die Richtlinie aktiviert ist und Zugriff gewährt.

    Verschieben Sie die Richtlinie an den Anfang der Liste

Überprüfen der Konfiguration

Um die Konfiguration zu überprüfen, müssen Sie sich mit einem geeigneten RDP-Client beim Remotedesktopgateway anmelden. Achten Sie darauf, ein Konto zu verwenden, das von Ihren Verbindungsautorisierungsrichtlinien zugelassen und für die Microsoft Entra-Multi-Faktor-Authentifizierung aktiviert ist.

Wie in der folgenden Abbildung dargestellt, können Sie die Remotedesktopwebzugriffsseite verwenden.

Testen im Remotedesktop-Webzugriff

Nach erfolgreicher Eingabe Ihrer Anmeldeinformationen für die primäre Authentifizierung zeigt das Dialogfeld „Remotedesktopverbindung“ wie im folgenden Abschnitt dargestellt den Status „Remoteverbindung wird initiiert“ an.

Wenn Sie sich erfolgreich mit der sekundären Authentifizierungsmethode authentifizieren, die Sie zuvor in der mehrstufigen Microsoft Entra-Authentifizierung konfiguriert haben, sind Sie mit der Ressource verbunden. Wenn die sekundäre Authentifizierung jedoch nicht erfolgreich ist, wird der Zugriff auf die Ressource verweigert.

Remotedesktopverbindung, die eine Verbindung zu einem Remote-Computer initiiert

Im folgenden Beispiel wird die Authenticator-App auf einem Windows-Smartphone verwendet, um die sekundäre Authentifizierung bereitzustellen.

Beispiel für windows Phone Authenticator-App mit Überprüfung

Nachdem Sie sich erfolgreich mit der sekundären Authentifizierungsmethode authentifiziert haben, werden Sie wie gewohnt beim Remotedesktopgateway angemeldet. Da Sie jedoch eine sekundäre Authentifizierungsmethode mit einer mobilen App auf einem vertrauenswürdigen Gerät verwenden müssen, ist der Anmeldevorgang sicherer als andernfalls.

Anzeigen der Protokolle der Ereignisanzeige für erfolgreiche Anmeldeereignisse

Um die erfolgreichen Anmeldeereignisse in den Protokollen der Windows-Ereignisanzeige anzuzeigen, können Sie den folgenden PowerShell-Befehl zum Abfragen der Windows-Terminaldienste und Windows-Sicherheitsprotokolle ausgeben.

Verwenden Sie die folgenden PowerShell-Befehle, um erfolgreiche Anmeldeereignisse in den Gateway-Betriebsprotokollen abzufragen (Ereignisanzeige\Anwendungs- und Dienstprotokolle\Microsoft\Windows\TerminalServices-Gateway\Operational):

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '300'} | FL
  • Dieser Befehl zeigt Windows-Ereignisse an, die belegen, dass der Benutzer die Anforderungen der Ressourcenautorisierungsrichtlinie (RD-RAP) erfüllt hat und ihm Zugriff erteilt wurde.

Anzeigen von Ereignissen mithilfe von PowerShell

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '200'} | FL
  • Dieser Befehl zeigt Ereignisse an, die belegen, dass der Benutzer die Anforderungen der Verbindungsautorisierungsrichtlinie erfüllt hat.

Anzeigen der Verbindungsautorisierungsrichtlinie mithilfe von PowerShell

Sie können bei der Anzeige dieses Protokolls auch nach den Ereignis-IDs 300 und 200 filtern. Verwenden Sie zum Abfragen erfolgreicher Anmeldeereignisse in den Protokollen der Sicherheitsereignisanzeige den folgenden Befehl:

  • Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL
  • Dieser Befehl kann entweder auf dem zentralen NPS oder dem RD-Gatewayserver ausgeführt werden.

Beispiel für erfolgreiche Anmeldeereignisse

Sie können auch das Sicherheitsprotokoll oder die benutzerdefinierte Ansicht "Netzwerkrichtlinie und Zugriffsdienste" anzeigen:

Ereignisanzeige für Netzwerkrichtlinien und Access Services

Auf dem Server, auf dem Sie die NPS-Erweiterung für die mehrstufige Microsoft Entra-Authentifizierung installiert haben, finden Sie Anwendungsprotokolle der Ereignisanzeige, die speziell für die Erweiterung unter Anwendungs- und Dienstprotokolle\Microsoft\AzureMfa spezifisch sind.

Anwendungsprotokolle der Ereignisanzeige AuthZ

Leitfaden zur Problembehandlung

Wenn die Konfiguration nicht wie erwartet funktioniert, besteht der erste Ausgangspunkt für die Problembehandlung darin, zu überprüfen, ob der Benutzer für die Verwendung der mehrstufigen Microsoft Entra-Authentifizierung konfiguriert ist. Melden Sie sich beim Microsoft Entra Admin Center an. Wenn der Benutzer zur sekundären Überprüfung aufgefordert wird und sich erfolgreich authentifizieren kann, können Sie eine fehlerhafte Konfiguration der Microsoft Entra-Multi-Faktor-Authentifizierung ausschließen.

Wenn die Microsoft Entra-Multi-Faktor-Authentifizierung funktioniert, sollten Sie die entsprechenden Ereignisprotokolle überprüfen. Dazu gehören die Sicherheitsereignis-, Gatewaybetriebs- und Microsoft Entra-Multi-Faktor-Authentifizierungsprotokolle, die im vorherigen Abschnitt erläutert wurden.

Die folgende Beispielausgabe des Sicherheitsprotokolls zeigt ein fehlgeschlagenes Anmeldeereignis (Ereignis-ID 6273).

Beispiel für ein Fehlgeschlagenes Anmeldeereignis

Es folgt ein verwandtes Ereignis aus den AzureMFA-Protokollen:

Beispiel für ein mehrstufiges Microsoft Entra-Authentifizierungsprotokoll in der Ereignisanzeige

Zum Ausführen erweiterter Problembehandlungsoptionen nutzen Sie die NPS-Datenbankformat-Protokolldateien dort, wo der NPS-Dienst installiert ist. Diese Protokolldateien werden in %SystemRoot%Ordner \System32\Logs als durch Trennzeichen getrennte Textdateien erstellt.

Eine Beschreibung dieser Protokolldateien finden Sie unter Interpretieren von NPS-Datenbankformat-Protokolldateien. Die Einträge in diesen Protokolldateien können schwierig zu interpretieren sein, ohne sie in eine Tabelle oder eine Datenbank zu importieren. Sie finden online mehrere IAS-Parser, die Ihnen die Interpretation der Protokolldateien erleichtern.

Die folgende Abbildung zeigt die Ausgabe einer solchen herunterladbaren Shareware-Anwendung.

Beispiel für shareware-App IAS-Parser

Nächste Schritte

So erhalten Sie die mehrstufige Microsoft Entra-Authentifizierung

Remote-Desktop-Gateway und Azure Multi-Factor Authentication Server mit RADIUS

Integrieren Ihrer lokalen Verzeichnisse in die Microsoft Entra-ID