Integrieren Sie Ihre Remotedesktopgateway-Infrastruktur mit der Netzwerkrichtlinienserver-Erweiterung (Network Policy Server, NPS) und Azure AD

  • Artikel

Dieser Artikel bietet weitere Informationen zur Integration Ihrer Remotedesktopgateway-Infrastruktur mit Azure AD Multi-Factor Authentication (MFA) mit der Netzwerkrichtlinienserver-Erweiterung (Network Policy Server, NPS) für Microsoft Azure.

Die Netzwerkrichtlinienserver-Erweiterung (NPS) für Azure ermöglicht Kunden, ihre RADIUS-Clientauthentifizierung (Remote Authentication Dial-in User Service) mit der cloudbasierten Multi-Factor Authentication (MFA) von Azure zu schützen. Diese Lösung ermöglicht die zweistufige Überprüfung, um eine zweite Sicherheitsebene für Benutzeranmeldungen und Transaktionen hinzuzufügen.

Dieser Artikel enthält ausführliche Anleitungen zum Integrieren der NPS-Infrastruktur in Azure AD MFA mithilfe der NPS-Erweiterung für Azure. Dies ermöglicht eine sichere Überprüfung von Benutzern, die sich bei einem Remotedesktopgateway anmelden.

Hinweis

Dieser Artikel sollte nicht für Bereitstellungen von MFA Server verwendet werden, sondern nur für (cloudbasierte) Azure AD MFA-Bereitstellungen.

Die Netzwerkrichtlinien- und Zugriffsdienste (Network Policy and Access Services, NPS) bieten Organisationen folgende Möglichkeiten:

  • Definieren zentraler Orte für die Verwaltung und Steuerung von Netzwerkanforderungen, um Folgendes anzugeben: wer eine Verbindung herstellen kann, zu welchen Tageszeiten Verbindungen zugelassen sind, die Dauer der Verbindungen und die Sicherheitsstufe, die Clients verwenden müssen, um eine Verbindung herstellen zu können usw. Anstatt diese Richtlinien auf jedem VPN oder Remotedesktopgateway-Server (RD) anzugeben, können diese Richtlinien einmal an einem zentralen Ort angegeben werden. Das RADIUS-Protokoll ermöglicht die zentralisierte Authentifizierung, Autorisierung und Ressourcenerfassung (Authentication, Authorization, Accounting – AAA).
  • Richten Sie Netzwerkzugriffsschutz-Clientintegritätsrichtlinien (Network Access Protection, NAP) ein, die bestimmen, ob Geräten uneingeschränkter oder eingeschränkter Zugriff auf Netzwerkressourcen gewährt wird, und erzwingen Sie deren Durchsetzung.
  • Bieten Sie eine Möglichkeit zum Erzwingen der Authentifizierung und Autorisierung für den Zugriff auf 802.1x-fähige Drahtloszugriffspunkte und Ethernet-Switches.

In der Regel verwenden Organisationen NPS (RADIUS) zur Vereinfachung und Zentralisierung der Verwaltung von VPN-Richtlinien. Viele Organisationen verwenden NPS jedoch auch zur Vereinfachung und Zentralisierung der Verwaltung der RD-Verbindungsautorisierungsrichtlinien (RD-CAPs, Remote Desktop Connection Authorization Policies).

Organisationen können NPS auch mit Azure AD MFA integrieren, um die Sicherheit zu erhöhen und ein hohes Maß an Konformität bereitzustellen. Dadurch wird sichergestellt, dass Benutzer die zweistufige Überprüfung zur Anmeldung beim Remotedesktopgateway einrichten. Damit Benutzern Zugriff gewährt wird, müssen sie die von ihnen festgelegte Kombination aus Benutzername und Kennwort angeben. Diese Informationen müssen vertrauenswürdig und dürfen nicht problemlos duplizierbar sein, z.B. eine Mobiltelefonnummer, Festnetznummer, Anwendung auf einem mobilen Gerät usw. RDG unterstützt derzeit Telefonanrufe sowie Pushbenachrichtigungen zum Genehmigen/Ablehnen in der Microsoft Authenticator-App für die Zwei-Faktor-Authentifizierung (2FA). Weitere Informationen zu unterstützten Authentifizierungsmethoden finden Sie im Abschnitt Bestimmen Sie die Authentifizierungsmethoden, die Ihre Benutzer verwenden können.

Vor der Verfügbarkeit der NPS-Erweiterung für Azure mussten Kunden, die die zweistufige Überprüfung für integrierte NPS- und Azure AD MFA-Umgebungen implementieren wollten, einen separaten MFA-Server in der lokalen Umgebung konfigurieren und verwalten, wie in Remotedesktopgateway und Azure Multi-Factor Authentication-Server mithilfe von RADIUS dokumentiert.

Die Verfügbarkeit der NPS-Erweiterung für Azure bietet Organisationen jetzt die Möglichkeit, entweder eine lokal basierte oder eine cloudbasierte MFA-Lösung zum Schützen der RADIUS-Clientauthentifizierung bereitzustellen.

Authentifizierungsablauf

Damit Benutzern der Zugriff auf Netzwerkressourcen über ein Remotedesktopgateway erteilt wird, müssen sie die in einer Remotedesktop-Verbindungsautorisierungsrichtlinie (RD-CAP) und einer Remotedesktop-Ressourcenautorisierungsrichtlinie (RD Resource Authorization Policy, RD-RAP) angegebenen Bedingungen erfüllen. RD-CAPs geben an, wer zum Herstellen einer Verbindung mit RD-Gateways autorisiert ist. RD-RAPs geben die Netzwerkressourcen an, wie z.B. Remotedesktops oder Remote-Apps, mit denen der Benutzer über das RD-Gateway eine Verbindung mit zulässig ist.

Ein RD-Gateway kann konfiguriert werden, um einen zentralen Richtlinienspeicher für RD-CAPs zu verwenden. RD-RAPs können keine zentrale Richtlinie verwenden, da sie auf dem RD-Gateway verarbeitet werden. Ein Beispiel eines RD-Gateways, das zur Verwendung eines zentralen Richtlinienspeichers für RD-CAPs konfiguriert ist, ist ein RADIUS-Client einer anderen NPS-Serverinstanz, die als zentraler Richtlinienspeicher dient.

Wenn die NPS-Erweiterung für Azure in NPS und Remotedesktopgateway integriert ist, lautet der erfolgreiche Authentifizierungsablauf wie folgt:

  1. Der Remotedesktopgateway-Server empfängt eine Authentifizierungsanforderung von einem Remotedesktop-Benutzer zum Herstellen der Verbindung mit einer Ressource, z.B. einer Remotedesktopsitzung. Als RADIUS-Client fungierend konvertiert der Remotedesktopgateway-Server die Anforderung in eine RADIUS-Zugriffsanforderungsnachricht und sendet die Nachricht an den RADIUS-Server (NPS), auf dem die NPS-Erweiterung installiert ist.
  2. Die Kombination aus Benutzername und Kennwort wird in Active Directory überprüft, und der Benutzer ist authentifiziert.
  3. Wenn alle Bedingungen entsprechend den Angaben in der NPS-Verbindungsanforderung und den Netzwerkrichtlinien erfüllt sind (z. B. Uhrzeit- oder Gruppenmitgliedschaftseinschränkungen), löst die NPS-Erweiterung eine Anforderung der sekundären Authentifizierung mit Azure AD MFA aus.
  4. Azure AD MFA kommuniziert mit Azure AD, ruft die Details des Benutzers ab und führt die sekundäre Authentifizierung mit unterstützten Methoden aus.
  5. Bei erfolgreicher Authentifizierung durch MFA kommuniziert Azure AD MFA das Ergebnis an die NPS-Erweiterung.
  6. Der NPS-Server, auf dem die Erweiterung installiert ist, sendet eine RADIUS-Zugriffsakzeptierungsnachricht für die RD-CAP-Richtlinie an den Remotedesktopgateway-Server.
  7. Der Benutzer erhält über das RD-Gateway Zugriff auf die angeforderte Netzwerkressource.

Voraussetzungen

In diesem Abschnitt werden die erforderlichen Voraussetzungen zur Integration von Azure AD MFA mit dem Remotedesktopgateway erörtert. Bevor Sie beginnen, müssen folgende Voraussetzungen erfüllt sein:

  • Remotedesktopdienste-Infrastruktur (Remote Desktop Services, RDS)
  • Azure AD MFA-Lizenz
  • Windows Server-Software
  • Netzwerkrichtlinien- und Zugriffsdienste-Rolle (Network Policy and Access Services, NPS)
  • Azure Active Directory synchronisiert mit der lokalen Active Directory-Instanz
  • GUID-ID von Azure Active Directory

Remotedesktopdienste-Infrastruktur (Remote Desktop Services, RDS)

Eine funktionsfähige Remotedesktopdienste-Infrastruktur (RDS) muss vorhanden sein. Wenn dies nicht der Fall ist, können Sie diese Infrastruktur mithilfe der folgenden Schnellstartvorlage schnell in Azure erstellen: Erstellen der Bereitstellung einer Remotedesktopsitzungs-Sammlung.

Wenn Sie eine lokale RDS-Infrastruktur schnell manuell zu Testzwecken erstellen möchten, führen Sie die Schritte zu deren Bereitstellung aus. Weitere Informationen:Nahtlose RDS-Bereitstellung mit ARM und Azure Marketplace und Bereitstellen Ihrer Remotedesktopumgebung.

Azure AD MFA-Lizenz

Es wird eine Lizenz für Azure AD MFA benötigt, die über Azure AD Premium oder andere Pakete verfügbar ist. Verbrauchsbasierte Lizenzen für Azure AD MFA, z. B. pro Benutzer oder pro Authentifizierungslizenz, sind mit der NPS-Erweiterung nicht kompatibel. Weitere Informationen finden Sie unter Beziehen von Azure AD Multi-Factor Authentication. Zu Testzwecken können Sie ein Testabonnement verwenden.

Windows Server-Software

Die NPS-Erweiterung erfordert Windows Server 2008 R2 SP1 oder höher mit installiertem NPS-Rollendienst. Alle Schritte in diesem Abschnitt wurden mit Windows Server 2016 ausgeführt.

Netzwerkrichtlinien- und Zugriffsdienste-Rolle (Network Policy and Access Services, NPS)

Der NPS-Rollendienst bietet sowohl die RADIUS-Server- und -Clientfunktionalität als auch den Netzwerkzugriffsrichtlinien-Integritätsdienst. Diese Rolle muss auf mindestens zwei Computern in Ihrer Infrastruktur installiert werden: Das Remotedesktopgateway und ein weiterer Mitgliedsserver oder Domänencontroller. Standardmäßig ist die Rolle bereits auf dem Computer vorhanden, der als Remotedesktopgateway konfiguriert ist. Sie müssen auch die NPS-Rolle auf mindestens einem anderen Computer installieren, z.B. einen Domänencontroller oder Mitgliedsserver.

Informationen zum Installieren des NPS-Rollendiensts für Windows Server 2012 oder älter finden Sie unter Install a NAP Health Policy Server (Installieren eines NAP-Integritätsrichtlinienservers). Eine Beschreibung der bewährten Methoden für NPS einschließlich der Empfehlung zum Installieren von NPS auf einem Domänencontroller finden Sie unter Best Practices for NPS (Bewährte Methoden für NPS).

Azure Active Directory synchronisiert mit der lokalen Active Directory-Instanz

Um die NPS-Erweiterung zu verwenden, müssen lokale Benutzer mit Azure AD synchronisiert und für MFA aktiviert werden. Dieser Abschnitt setzt voraus, dass lokale Benutzer mithilfe von AD Connect mit Azure AD synchronisiert werden. Informationen zu Azure AD Connect finden Sie unter Integrieren Ihrer lokalen Identitäten in Azure Active Directory.

GUID-ID von Azure Active Directory

Um die NPS-Erweiterung zu installieren, müssen Sie die GUID von Azure AD kennen. Nachfolgend sind die Anweisungen für die Suche nach der GUID von Azure AD aufgeführt.

Konfigurieren der Multi-Factor Authentication

Dieser Abschnitt enthält Anweisungen für die Integration von Azure AD MFA mit Remotedesktopgateway. Als Administrator müssen Sie den Azure AD MFA-Dienst konfigurieren, bevor Benutzer selbst ihre Geräte oder Anwendungen für die mehrstufige Authentifizierung registrieren können.

Führen Sie die Schritte in Erste Schritte mit Azure AD Multi-Factor Authentication in der Cloud aus, um MFA für Ihre Azure AD-Benutzer zu aktivieren.

Konfigurieren von Konten für die zweistufige Überprüfung

Nachdem ein Konto für MFA aktiviert wurde, können Sie sich erst dann bei Ressourcen anmelden, die der MFA-Richtlinie unterliegen, wenn Sie erfolgreich ein vertrauenswürdiges Gerät für den zweiten Authentifizierungsfaktor konfiguriert und die Authentifizierung mit der zweistufigen Überprüfung durchgeführt haben.

Führen Sie die Schritte in Was ist Azure AD Multi-Factor Authentication? aus, um Ihre Geräte ordnungsgemäß mit Ihrem Benutzerkonto für MFA zu konfigurieren.

Wichtig

Das Anmeldeverhalten für Remotedesktopgateway umfasst keine Option zum Eingeben eines Prüfcodes über Azure AD Multi-Factor Authentication. Benutzerkonten müssen für die Verifizierung per Telefon oder die Microsoft Authenticator-App mit Pushbenachrichtigungen zum Genehmigen/Ablehnen konfiguriert sein.

Wenn weder die Verifizierung per Telefon noch die Microsoft Authenticator-App mit Pushbenachrichtigungen zum Genehmigen/Ablehnen konfiguriert ist, können Benutzer*innen den Vorgang der Azure AD-Multi-Faktor-Authentifizierung nicht abschließen und sich nicht bei Remotedesktopgateway anmelden.

Die SMS-Textmethode funktioniert bei Remotedesktopgateway nicht, weil Remotedesktopgateway keine Option zum Eingeben eines Prüfcodes bietet.

Installieren und Konfigurieren der NPS-Erweiterung

Dieser Abschnitt enthält Anweisungen zum Konfigurieren der RDS-Infrastruktur zur Verwendung von Azure AD MFA für die Clientauthentifizierung mit dem Remotedesktopgateway.

Abrufen der Verzeichnismandanten-ID

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Im Rahmen der Konfiguration der NPS-Erweiterung müssen Sie Administratoranmeldeinformationen und die ID Ihres Azure AD-Mandanten angeben. Führen Sie die folgenden Schritte aus, um die Mandanten-ID abzurufen:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Globaler Administrator an.

  2. Navigieren Sie zu Identität>Einstellungen.

    Abrufen der Mandanten-ID über das Microsoft Entra Admin Center

Installieren der NPS-Erweiterung

Installieren Sie die NPS-Erweiterung auf einem Server, auf dem die Netzwerkrichtlinien- und Zugriffsdienste-Rolle (NPS) installiert ist. Diese fungiert als RADIUS-Server für den Entwurf.

Wichtig

Installieren Sie die NPS-Erweiterung nicht auf Ihrem Remotedesktop-Gatewayserver. Der Remotedesktop-Gatewayserver verwendet mit seinem Client das RADIUS-Protokoll nicht und kann daher die Erweiterung weder interpretieren noch die mehrstufige Authentifizierung (MFA) ausführen.

Auch wenn der Remotedesktop-Gatewayserver und der NPS-Server mit NPS-Erweiterung unterschiedliche Server sind, verwendet der Remotedesktop-Gatewayserver doch intern die Netzwerkrichtlinien- und Zugriffsdienste-Rolle (NPS) für die Kommunikation mit anderen NPS-Servern und RADIUS als Protokoll für die ordnungsgemäße Kommunikation.

  1. Laden Sie die NPS-Erweiterung herunter.
  2. Kopieren Sie die ausführbare Setupdatei (NpsExtnForAzureMfaInstaller.exe) auf den NPS-Server.
  3. Doppelklicken Sie auf dem NPS-Server auf NpsExtnForAzureMfaInstaller.exe. Klicken Sie nach Aufforderung auf Ausführen.
  4. Überprüfen Sie im Dialogfeld der NPS-Erweiterung für das Azure AD MFA-Setup die Softwarelizenzbedingungen, aktivieren Sie Ich stimme den Lizenzbedingungen zu, und klicken Sie auf Installieren.
  5. Klicken Sie im Dialogfeld der NPS-Erweiterung für das Azure AD MFA-Setup auf Schließen.

Konfigurieren von Zertifikaten für die Verwendung mit der NPS-Erweiterung mithilfe eines PowerShell-Skripts

Als Nächstes müssen Sie Zertifikate für die Verwendung durch die NPS-Erweiterung konfigurieren, um die sichere Kommunikation zu gewährleisten. Die NPS-Komponenten umfassen ein Windows PowerShell-Skript, das ein selbstsigniertes Zertifikat zur Verwendung mit NPS konfiguriert.

Dieses Skript führt folgende Aktionen aus:

  • Erstellen eines selbstsignierten Zertifikats
  • Zuordnen des öffentlichen Schlüssels des Zertifikats zum Dienstprinzipal in Azure AD
  • Speichern des Zertifikats im Speicher des lokalen Computers
  • Gewähren des Zugriffs auf den privaten Zertifikatschlüssel für den Netzwerkbenutzer
  • Neustart des Netzwerkrichtlinienserver-Diensts

Wenn Sie Ihre eigenen Zertifikate verwenden möchten, müssen Sie den öffentlichen Schlüssel Ihres Zertifikats dem Dienstprinzipal in Azure AD zuordnen usw.

Um das Skript zu verwenden, geben Sie die Erweiterung mit Ihren Azure AD-Administratoranmeldeinformationen und die Azure AD-Mandanten-ID ein, die Sie zuvor kopiert haben. Führen Sie das Skript auf jedem NPS-Server aus, auf dem Sie die NPS-Erweiterung installiert haben. Gehen Sie wie folgt vor:

  1. Öffnen Sie eine administrative Windows PowerShell-Eingabeaufforderung.

  2. Geben Sie an der PowerShell-Eingabeaufforderung cd 'c:\Program Files\Microsoft\AzureMfa\Config' ein, und drücken Sie die EINGABETASTE.

  3. Geben Sie .\AzureMfaNpsExtnConfigSetup.ps1 ein, und drücken Sie die EINGABETASTE. Das Skript überprüft, ob das Azure Active Directory PowerShell-Modul installiert ist. Wenn es nicht installiert ist, installiert das Skript das Modul für Sie.

    Ausführen von „AzureMfaNpsExtnConfigSetup.ps1“ in Azure AD PowerShell

  4. Nachdem das Skript die Installation des PowerShell-Moduls überprüft hat, wird das Dialogfeld des Azure Active Directory PowerShell-Moduls angezeigt. Geben Sie im Dialogfeld Ihre Azure AD-Administratoranmeldeinformationen und das Kennwort ein, und klicken Sie auf Anmelden.

    Authentifizieren bei Azure AD in PowerShell

  5. Wenn Sie aufgefordert werden, fügen Sie die Mandanten-ID ein, die Sie vorher in die Zwischenablage kopiert haben, und drücken Sie die EINGABETASTE.

    Eingeben der Mandanten-ID in PowerShell

  6. Das Skript erstellt ein selbstsigniertes Zertifikat und führt andere Änderungen an der Konfiguration durch. Die Ausgabe sollte dem folgenden Bild ähneln.

    PowerShell-Ausgabe mit selbstsigniertem Zertifikat

Konfigurieren von NPS-Komponenten auf dem Remotedesktopgateway

In diesem Abschnitt konfigurieren Sie die Verbindungsautorisierungsrichtlinien für das Remotedesktopgateway und andere RADIUS-Clienteinstellungen.

Der Authentifizierungsablauf erfordert, dass RADIUS-Nachrichten zwischen dem Remotedesktopgateway und dem NPS-Server ausgetauscht werden, auf dem die NPS-Erweiterung installiert ist. Dies bedeutet, dass Sie RADIUS-Clienteinstellungen sowohl auf dem Remotedesktopgateway als auch dem NPS-Server, auf dem die NPS-Erweiterung installiert ist, konfigurieren müssen.

Konfigurieren von Verbindungsautorisierungsrichtlinien für das Remotedesktopgateway zur Verwendung im zentralen Speicher

Verbindungsautorisierungsrichtlinien für Remotedesktop (RD-CAPs) geben die Anforderungen für das Herstellen einer Verbindung mit einem Remotedesktopgateway-Server an. RD-CAPs können lokal gespeichert werden (Standard) oder in einem zentralen RD-CAP-Speicher, wo NPS ausgeführt wird. Um die Integration von Azure AD MFA mit RDS zu konfigurieren, müssen Sie die Verwendung eines zentralen Speichers angeben.

  1. Öffnen Sie auf dem RD-Gatewayserver den Server-Manager.

  2. Klicken Sie auf der Menüleiste auf Tools, zeigen Sie auf Remotedesktopdienste, und klicken Sie dann auf Remotedesktopgateway-Manager.

  3. Klicken Sie im RD-Gateway-Manager mit der rechten Maustaste auf [Servername] (Lokal), und klicken Sie auf Eigenschaften.

  4. Wählen Sie im Dialogfeld „Eigenschaften“ die Registerkarte RD-CAP-Speicher aus.

  5. Wählen Sie auf der Registerkarte „RD-CAP-Speicher“ die Option Zentraler NPS-Server.

  6. Geben Sie in das Feld Name oder IP-Adresse für den Server mit NPS eingeben: die IP-Adresse bzw. den Servernamen des Servers ein, auf dem Sie die NPS-Erweiterung installiert haben.

    Den Namen oder die IP-Adresse Ihres NPS-Servers eingeben

  7. Klicken Sie auf Hinzufügen.

  8. Geben Sie im Dialogfeld Gemeinsamer geheimer Schlüssel einen gemeinsamen geheimen Schlüssel ein, und klicken Sie dann auf OK. Denken Sie daran, diesen gemeinsamen geheimen Schlüssel zu notieren und die Notiz an einem sicheren Ort aufzubewahren.

    Hinweis

    Mit dem gemeinsamen geheimen Schlüssel wird eine Vertrauensstellung zwischen den RADIUS-Servern und -Clients hergestellt. Erstellen Sie ein langes und komplexes Geheimnis.

    Erstellen eines gemeinsamen geheimen Schlüssels zum Herstellen einer Vertrauensstellung

  9. Klicken Sie auf OK , um das Dialogfeld zu schließen.

Konfigurieren des RADIUS-Timeoutwerts für Remotedesktopgateway-NPS

Um sicherzustellen, dass genügend Zeit zum Überprüfen der Anmeldeinformationen des Benutzers, Ausführen der zweistufigen Überprüfung, Empfangen von Antworten und Antworten auf RADIUS-Nachrichten zur Verfügung steht, müssen Sie den RADIUS-Timeoutwert anpassen.

  1. Öffnen Sie auf dem RD-Gatewayserver den Server-Manager. Klicken Sie im Menü auf Extras und dann auf Netzwerkrichtlinienserver.

  2. Erweitern Sie in der Konsole NPS (Lokal)RADIUS-Clients und Server, und wählen Sie Remote-RADIUS-Server.

    Fenster der Netzwerkrichtlinienserver-Verwaltungskonsole mit dem Bereich für RADIUS-Remoteservergruppen

  3. Doppelklicken Sie im Detailbereich auf TS-GATEWAYSERVERGRUPPE.

    Hinweis

    Diese RADIUS-Server-Gruppe wurde erstellt, als Sie den zentralen Server für die NPS-Richtlinien konfigurierten. Das RD-Gateway leitet RADIUS-Nachrichten an diesen Server weiter, bzw. an eine Gruppe von Servern, wenn mehrere Server vorhanden sind.

  4. Wählen Sie im Dialogfeld TS-GATEWAYSERVERGRUPPEN-Eigenschaften die IP-Adresse oder den Namen des NPS-Servers, den Sie zum Speichern von RD-CAPs konfiguriert haben, und klicken Sie dann auf Bearbeiten.

    Auswählen der IP-Adresse oder des Namens des zuvor konfigurierten NPS-Servers

  5. Wählen Sie im Dialogfeld RADIUS-Server bearbeiten die Registerkarte Lastenausgleich.

  6. Ändern Sie in der Registerkarte Lastenausgleich im Feld Sekunden ohne Antwort, bevor eine Anforderung als verworfen gilt den Standardwert von 3 in einen Wert zwischen 30 und 60 Sekunden.

  7. Ändern Sie im Feld Sekunden zwischen Anforderungen, nach denen der Server als nicht verfügbar identifiziert wird den Standardwert von 30 Sekunden in einen Wert, der mindestens so groß ist wie der Wert, den Sie im vorherigen Schritt angegeben haben.

    Bearbeiten der Timeouteinstellungen im Dialogfeld „RADIUS-Server bearbeiten“ auf der Registerkarte „Lastenausgleich“

  8. Klicken Sie zweimal auf OK, um die Dialogfelder zu schließen.

Überprüfen der Verbindungsanforderungsrichtlinien

Wenn Sie das RD-Gateway zur Verwendung eines zentralen Richtlinienspeichers für Verbindungsautorisierungsrichtlinien konfigurieren, wird standardmäßig das RD-Gateway zum Weiterleiten von CAP-Anforderungen an den NPS-Server konfiguriert. Der NPS-Server, auf dem die Azure AD MFA-Erweiterung installiert ist, verarbeitet die RADIUS-Zugriffsanforderung. In den folgenden Schritten lernen Sie das Überprüfen der Standard-Verbindungsanforderungsrichtlinie.

  1. Erweitern Sie auf dem RD-Gateway in der Konsole „NPS (Lokal)“ Richtlinien, und wählen Sie Verbindungsanforderungsrichtlinien.

  2. Doppelklicken Sie auf TS-GATEWAYAUTORISIERUNGSRICHTLINIE.

  3. Klicken Sie im Dialogfeld TS-GATEWAYAUTORISIERUNGSRICHTLINIE-Eigenschaften auf die Registerkarte Einstellungen.

  4. Klicken Sie auf der Registerkarte Einstellungen unter „Weiterleitungsverbindungsanforderung“ auf Authentifizierung. Der RADIUS-Client ist zum Weiterleiten von Anforderungen für die Authentifizierung konfiguriert.

    Konfigurieren der Authentifizierungseinstellungen zum Angeben der Servergruppe

  5. Klicken Sie auf Abbrechen.

Hinweis

Weitere Informationen zum Erstellen einer Verbindungsanforderungsrichtlinie finden im Artikel „Konfigurieren von Verbindungsanforderungsrichtlinien“ unter Hinzufügen einer Verbindungsanforderungsrichtlinie.

Konfigurieren von NPS auf dem Server, auf dem die NPS-Erweiterung installiert ist

Der NPS-Server, auf dem die NPS-Erweiterung installiert ist, muss die RADIUS-Nachrichten mit dem NPS-Server auf dem Remotedesktopgateway austauschen können. Um diesen Nachrichtenaustausch zu aktivieren, müssen Sie die NPS-Komponenten auf dem Server konfigurieren, auf dem der NPS-Erweiterungsdienst installiert ist.

Registrieren des Servers in Active Directory

Die ordnungsgemäße Funktionsweise des NPS-Servers in diesem Szenario setzt seine Registrierung in Active Directory voraus.

  1. Öffnen Sie auf dem NPS-Server den Server-Manager.

  2. Klicken Sie im Server-Manager auf Tools und dann auf Netzwerkrichtlinienserver.

  3. Klicken Sie in der Netzwerkrichtlinienserver-Konsole mit der rechten Maustaste auf NPS (Lokal) , und klicken Sie dann auf Server in Active Directory registrieren.

  4. Klicken Sie zweimal auf OK.

    Registrieren des NPS-Servers in Active Directory

  5. Lassen Sie die Konsole für den nächsten Vorgang geöffnet.

Erstellen und Konfigurieren des RADIUS-Clients

Das Remotedesktopgateway muss als RADIUS-Client des NPS-Servers konfiguriert werden.

  1. Klicken Sie auf dem NPS-Server, wo die NPS-Erweiterung installiert ist, in der NPS (Lokal) -Konsole mit der rechten Maustaste auf RADIUS-Clients, und klicken Sie auf Neu.

    Erstellen eines neuen RADIUS-Clients in der NPS-Konsole

  2. Geben Sie im Dialogfeld Neuer RADIUS-Client einen Anzeigenamen wie z.B. Gateway und die IP-Adresse oder den DNS-Namen des Remotedesktopgateway-Servers an.

  3. Geben Sie in den Feldern Gemeinsamer geheimer Schlüssel und Gemeinsamen geheimen Schlüssel bestätigen: den gleichen geheimen Schlüssel ein, den Sie zuvor verwendet haben.

    Eingeben eines Anzeigenamens und der IP- oder DNS-Adresse

  4. Klicken Sie auf OK, um das Dialogfeld „Neuer RADIUS-Client“ zu schließen.

Konfigurieren der Netzwerkrichtlinie

Denken Sie daran, dass der NPS-Server mit der Azure AD MFA-Erweiterung der angegebene zentrale Richtlinienspeicher für die Verbindungsautorisierungsrichtlinie (CAP) ist. Aus diesem Grund müssen Sie auf dem NPS-Server eine CAP zum Autorisieren gültiger Verbindungsanforderungen implementieren.

  1. Öffnen Sie auf dem NPS-Server die Konsole „NPS (Lokal)“, erweitern Sie Richtlinien, und klicken Sie auf Netzwerkrichtlinien.

  2. Klicken Sie mit der rechten Maustaste auf Verbindungen mit anderen Zugriffsservern, und klicken Sie auf Duplizieren der Richtlinie.

    Richtlinie „Verbindungen mit anderen Zugriffsservern“ duplizieren

  3. Klicken Sie mit der rechten Maustaste auf Kopie von Verbindungen mit anderen Zugriffsservern, und klicken Sie auf Eigenschaften.

  4. Geben Sie im Dialogfeld Kopie der Verbindungen mit anderen Zugriffsservern unter Richtlinienname einen geeigneten Namen ein, z.B. RDG_CAP. Aktivieren Sie Richtlinie aktiviert, und wählen Sie Zugriff gewähren aus. Wählen Sie optional unter Typ des Netzwerkzugriffs die Option Remotedesktopgateway aus, oder behalten Sie Nicht angegeben bei.

    Richtliniennamen eingeben, „Richtlinie aktiviert“ aktivieren und „Zugriff gewähren“ auswählen

  5. Klicken Sie auf die Registerkarte Einschränkungen, und aktivieren Sie Clientverbindungen ohne Aushandlung einer Authentifizierungsmethode zulassen.

    Ändern der Authentifizierungsmethoden zum Zulassen von Clientverbindungen

  6. Klicken Sie optional auf die Registerkarte Bedingungen, und fügen Sie Bedingungen hinzu, die für die Autorisierung der Verbindung erfüllt werden müssen, z.B. die Mitgliedschaft in einer bestimmten Windows-Gruppe.

    Optional Verbindungsbedingungen angeben

  7. Klicken Sie auf OK. Wenn Sie gefragt werden, ob Sie das entsprechende Hilfethema anzeigen möchten, klicken Sie auf Nein.

  8. Stellen Sie sicher, dass Ihre neue Richtlinie am oberen Rand der Liste angezeigt wird, dass die Richtlinie aktiviert ist und Zugriff gewährt.

    Richtlinie an den Anfang der Liste verschieben

Überprüfen der Konfiguration

Um die Konfiguration zu überprüfen, müssen Sie sich mit einem geeigneten RDP-Client beim Remotedesktopgateway anmelden. Achten Sie darauf, ein Konto zu verwenden, das von Ihren Verbindungsautorisierungsrichtlinien zugelassen und für Azure AD MFA aktiviert ist.

Wie im folgenden Bild gezeigt, können Sie die Seite Web Access für Remotedesktop verwenden.

Überprüfung in Web Access für Remotedesktop

Nach erfolgreicher Eingabe Ihrer Anmeldeinformationen für die primäre Authentifizierung zeigt das Dialogfeld „Remotedesktopverbindung“ wie unten dargestellt den Status „Remoteverbindung wird initiiert“ an.

Nach Ihrer erfolgreichen Authentifizierung mit der sekundären Authentifizierungsmethode, die Sie zuvor in Azure AD MFA konfiguriert haben, werden Sie mit der Ressource verbunden. Wenn die sekundäre Authentifizierung jedoch nicht erfolgreich ist, wird Ihnen der Zugriff auf die Ressource verweigert.

Remotedesktopverbindung: Remoteverbindung wird initiiert

Im folgenden Beispiel wird die Authenticator-App auf einem Windows Phone verwendet, um die sekundäre Authentifizierung bereitzustellen.

Beispiel: Option „Überprüfen“ in Windows Phone-Authenticator-App

Nachdem Sie erfolgreich mit der sekundären Authentifizierungsmethode authentifiziert wurden, werden Sie wie gewohnt beim Remotedesktopgateway angemeldet. Weil Sie eine sekundäre Authentifizierungsmethode mit einer mobilen App auf einem vertrauenswürdigen Gerät verwenden müssen, ist der Anmeldeprozess jedoch sicherer als sonst.

Anzeigen der Protokolle der Ereignisanzeige für erfolgreiche Anmeldeereignisse

Um die erfolgreichen Anmeldeereignisse in den Protokollen der Windows-Ereignisanzeige anzuzeigen, können Sie den folgenden Windows PowerShell-Befehl zum Abfragen der Windows-Terminaldienste und Windows-Sicherheitsprotokolle ausgeben.

Verwenden Sie zur Abfrage erfolgreicher Anmeldungsereignisse in den Gatewaybetriebsprotokollen (Ereignisanzeige\Anwendungs- und Dienstprotokolle\Microsoft\Windows\TerminalServices-Gateway\Operational) die folgenden PowerShell-Befehle:

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '300'} | FL
  • Dieser Befehl zeigt Windows-Ereignisse an, die belegen, dass der Benutzer die Anforderungen der Ressourcenautorisierungsrichtlinie (RD-RAP) erfüllt hat und ihm Zugriff erteilt wurde.

Anzeigen von Ereignissen mithilfe von PowerShell

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '200'} | FL
  • Dieser Befehl zeigt Ereignisse an, die belegen, dass der Benutzer die Anforderungen der Verbindungsautorisierungsrichtlinie erfüllt hat.

Anzeigen der Verbindungsautorisierungsrichtlinie mithilfe von PowerShell

Sie können bei der Anzeige dieses Protokolls auch nach den Ereignis-IDs 300 und 200 filtern. Verwenden Sie zum Abfragen erfolgreicher Anmeldeereignisse in den Protokollen der Sicherheitsereignisanzeige den folgenden Befehl:

  • Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL
  • Dieser Befehl kann entweder auf dem zentralen NPS oder dem RD-Gatewayserver ausgeführt werden.

Beispiel für erfolgreiche Anmeldeereignisse

Sie können auch das Sicherheitsprotokoll oder die benutzerdefinierte Ansicht der Netzwerkrichtlinien- und Zugriffsdienste anzeigen, wie unten dargestellt:

Ereignisanzeige: Netzwerkrichtlinien- und Zugriffsdienste

Auf dem Server, auf dem Sie die NPS-Erweiterung für Azure AD MFA installiert haben, finden Sie spezifische Ereignisanzeige-Anwendungsprotokolle für die Erweiterung unter Anwendungs- und Dienstprotokolle\Microsoft\AzureMfa.

Ereignisanzeige: AuthZ-Anwendungsprotokolle

Leitfaden zur Problembehandlung

Wenn die Konfiguration nicht wie erwartet funktioniert, sollten Sie die Problembehandlung idealerweise mit der Überprüfung beginnen, ob der Benutzer für die Verwendung von Azure AD MFA konfiguriert ist. Lassen Sie den/die Benutzer*in sich beim Microsoft Entra Admin Center anmelden. Wenn der Benutzer zur sekundären Überprüfung aufgefordert wird und sich erfolgreich authentifizieren kann, können Sie eine fehlerhafte Azure AD MFA-Konfiguration ausschließen.

Wenn Azure AD MFA für den Benutzer funktioniert, prüfen Sie die relevanten Ereignisprotokolle. Dazu gehören Sicherheitsereignis-, Gatewaybetriebs- und Azure AD MFA-Protokolle, die im vorherigen Abschnitt erläutert wurden.

Es folgt eine Beispielausgabe des Sicherheitsprotokolls mit einem fehlerhaften Anmeldeereignis (Ereignis-ID 6273):

Beispiel für ein fehlerhaftes Anmeldeereignis

Es folgt ein verwandtes Ereignis aus den Azure MFA-Protokollen:

Beispiel für ein Azure AD MFA-Protokoll in der Ereignisanzeige

Zum Ausführen erweiterter Problembehandlungsoptionen nutzen Sie die NPS-Datenbankformat-Protokolldateien dort, wo der NPS-Dienst installiert ist. Diese Protokolldateien werden im Ordner %SystemRoot%\System32\Logs als durch Trennzeichen getrennte Textdateien erstellt.

Eine Beschreibung dieser Protokolldateien finden Sie unter Interpret NPS Database Format Log Files (Interpretieren von NPS-Datenbankformat-Protokolldateien). Die Einträge in diesen Protokolldateien können schwierig zu interpretieren sein, ohne sie in eine Tabelle oder eine Datenbank zu importieren. Sie finden online mehrere IAS-Parser, die Ihnen die Interpretation der Protokolldateien erleichtern.

Das folgende Bild zeigt die Ausgabe einer solchen herunterladbaren Sharewareanwendung.

Beispiel für eine IAS-Analyse einer Shareware-App

Schließlich können Sie für zusätzliche Problembehandlungsoptionen ein Protokollanalyseprogramm wie Microsoft Message Analyzer verwenden.

Die Abbildung unten aus der Microsoft-Nachrichtenanalyse (Microsoft Message Analyzer) zeigt den Netzwerkdatenverkehr, der mit dem RADIUS-Protokoll gefiltert ist, das den Benutzernamen CONTOSO\AliceC enthält.

Gefilterter Datenverkehr in Microsoft Message Analyzer

Nächste Schritte

Beziehen von Azure AD Multi-Factor Authentication

Remotedesktop-Gateway und Azure Multi-Factor Authentication-Server mithilfe von RADIUS

Integrieren Ihrer lokalen Verzeichnisse in Azure Active Directory