Freigeben über

Integrieren Sie Ihre VPN-Infrastruktur mithilfe der Netzwerkrichtlinienserver-Erweiterung für  Azure in die Microsoft Entra-Multi-Faktor-Authentifizierung

Mit der NPS-Erweiterung (Network Policy Server) für Azure können Organisationen die Authentifizierung von Remote-Clients im Dial-In User Service (RADIUS) mithilfe der cloudbasierten Microsoft Entra-Multifaktor-Authentifizierung schützen, die eine zweistufige Überprüfung bietet.

Dieser Artikel enthält Anweisungen zum Integrieren der NPS-Infrastruktur in MFA mithilfe der NPS-Erweiterung für Azure. Dieser Vorgang ermöglicht eine sichere zweistufige Überprüfung für Benutzer, die versuchen, über ein VPN eine Verbindung mit Ihrem Netzwerk herzustellen.

Hinweis

Obwohl die NPS MFA-Erweiterung zeitbasierte Einmalkennwörter (TOTP) unterstützt, tun dies bestimmte VPN-Clients wie Windows VPN nicht. Stellen Sie sicher, dass die VPN-Clients, die Sie verwenden, TOTP als Authentifizierungsmethode unterstützen, bevor Sie sie in der NPS-Erweiterung aktivieren.

Die Netzwerkrichtlinien- und Zugriffsdienste bieten Organisationen folgende Möglichkeiten:

  • Zuweisen eines zentralen Orts für die Verwaltung und Steuerung von Netzwerkanforderungen, um Folgendes anzugeben:

    • Wer kann eine Verbindung herstellen

    • Zu welchen Tageszeiten sind Verbindungen zulässig

    • Dauer der Verbindungen

    • Sicherheitsstufe, die Clients für die Verbindungsherstellung verwenden müssen

      Anstatt Richtlinien in jedem VPN oder auf jedem Remotedesktopgateway-Server anzugeben, kann dies erfolgen, nachdem diese einem zentralen Ort zugewiesen wurden. Das RADIUS-Protokoll wird verwendet, um die zentralisierte Authentifizierung, Autorisierung und Ressourcenerfassung (Authentication, Authorization, Accounting – AAA) bereitzustellen.

  • Richten Sie Clientintegritätsrichtlinien für den Netzwerkzugriffsschutz (Network Access Protection, NAP) ein, die bestimmen, ob Geräten uneingeschränkter oder eingeschränkter Zugriff auf Netzwerkressourcen gewährt wird, und erzwingen Sie deren Durchsetzung.

  • Möglichkeit zum Erzwingen der Authentifizierung und Autorisierung für den Zugriff auf 802.1X-fähige Funkzugriffspunkte und Ethernet-Switches Weitere Informationen finden Sie unter Netzwerkrichtlinienserver.

Um die Sicherheit zu erhöhen und ein hohes Maß an Konformität zu bieten, können Organisationen NPS in die Microsoft Entra-Multi-Faktor-Authentifizierung integrieren, um sicherzustellen, dass Benutzer*innen beim Herstellen einer Verbindung mit dem virtuellen Port auf dem VPN-Server die zweistufige Verifizierung verwenden. Damit Benutzern Zugriff gewährt wird, müssen sie die von ihnen festgelegte Kombination aus Benutzername und Kennwort und andere Informationen angeben. Diese Informationen müssen vertrauenswürdig und dürfen nicht problemlos duplizierbar sein. Dazu gehören z.B. eine Mobiltelefonnummer, eine Festnetznummer oder eine Anwendung auf einem mobilen Gerät.

Wenn Ihr Unternehmen ein VPN verwendet und die Benutzer*innen für einen TOTP-Code zusammen mit Authenticator-Pushbenachrichtigungen registriert sind, können sie die MFA-Abfrage nicht erfüllen, und die Remoteameldung schlägt fehl. In diesem Fall können Sie OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE festlegen, um Pushbenachrichtigungen mit „Genehmigen/Ablehnen“ durch Authenticator als Fallback zu verwenden.

Damit eine NPS-Erweiterung weiterhin für VPN-Benutzer*innen funktioniert, muss dieser Registrierungsschlüssel auf dem NPS-Server erstellt werden. Öffnen Sie auf dem NPS-Server den Registrierungs-Editor. Navigieren Sie zu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

Erstellen Sie das folgende Zeichenfolge/Wert-Paar:

Name: OVERRIDE_NUMBER_MATCHING_WITH_OTP

Wert = FALSE

Vor der Verfügbarkeit der NPS-Erweiterung für Azure mussten Kunden, die die zweistufige Überprüfung für integrierte NPS- und MFA-Umgebungen implementieren wollten, einen separaten MFA-Server in einer lokalen Umgebung konfigurieren und verwalten. Remotedesktopgateway und Azure Multi-Factor Authentication Server bieten diesen Authentifizierungstyp mit RADIUS.

Mit der NPS-Erweiterung für Azure können Organisationen entweder eine lokal basierte oder eine cloudbasierte MFA-Lösung zum Schützen der RADIUS-Clientauthentifizierung bereitstellen.

Authentifizierungsfluss

Wenn Benutzer eine Verbindung mit einem virtuellen Port auf einem VPN-Server herstellen, müssen sie sich zunächst mit verschiedensten Protokollen authentifizieren. Die Protokolle ermöglichen die Verwendung einer Kombination aus Benutzername und Kennwort sowie zertifikatbasierte Authentifizierungsmethoden.

Zusätzlich zur Authentifizierung und Identitätsüberprüfung müssen Benutzer über die entsprechenden Einwahlberechtigungen verfügen. In einfachen Implementierungen werden Einwahlberechtigungen, die Zugriff gewährleisten, direkt in den Active Directory-Benutzerobjekten festgelegt.

Registerkarte „Einwahl“ in den Benutzereigenschaften von Active Directory-Benutzer und-Computer

In einfachen Implementierungen gewährt oder verweigert jeder VPN-Server den Zugriff basierend auf Richtlinien, die auf jedem lokalen VPN-Server definiert werden.

In größeren und besser skalierbaren Implementierungen befinden sich die Richtlinien, die VPN-Zugriff gewähren oder verweigern, zentral auf RADIUS-Servern. In diesen Fällen fungiert der VPN-Server als Zugriffsserver (RADIUS-Client), der Verbindungsanforderungen und Ressourcenerfassungsnachrichten an einen RADIUS-Server weiterleitet. Um eine Verbindung mit dem virtuellen Port auf dem VPN-Server herzustellen, müssen Benutzer authentifiziert werden und die zentral auf RADIUS-Servern definierten Bedingungen erfüllen.

Wenn die NPS-Erweiterung für Azure im NPS integriert ist, gestaltet sich ein erfolgreicher Authentifizierungsablauf wie folgt:

  1. Der VPN-Server empfängt von einem VPN-Benutzer eine Authentifizierungsanforderung, die den Benutzernamen und das Kennwort zum Herstellen der Verbindung mit einer Ressource (z.B. einer Remotedesktopsitzung) enthält.
  2. Als RADIUS-Client konvertiert der VPN-Server die Anforderung in eine RADIUS-Zugriffsanforderungsnachricht und sendet sie (mit einem verschlüsselten Kennwort) an den RADIUS-Server, auf dem die NPS-Erweiterung installiert ist.
  3. Die Kombination aus Benutzername und Kennwort wird in Active Directory überprüft. Wenn der Benutzername oder das Kennwort falsch ist, sendet der RADIUS-Server eine Access-Reject-Nachricht .
  4. Wenn die Bedingungen in der NPS-Verbindungsanforderung und netzwerkrichtlinien erfüllt sind (z. B. Tages- oder Gruppenmitgliedschaftseinschränkungen), fordert die NPS-Erweiterung die sekundäre Authentifizierung mit der mehrstufigen Microsoft Entra-Authentifizierung an.
  5. Die mehrstufige Microsoft Entra-Authentifizierung kommuniziert mit der Microsoft Entra-ID, ruft die Details des Benutzers ab und verwendet die vom Benutzer konfigurierte Methode (Mobiltelefonanruf, Sms oder mobile App), um die sekundäre Authentifizierung auszuführen.
  6. Bei erfolgreicher MFA-Überprüfung übermittelt die Microsoft Entra-Multi-Faktor-Authentifizierung das Ergebnis an die NPS-Erweiterung.
  7. Nachdem der Verbindungsversuch sowohl authentifiziert als auch autorisiert wurde, sendet der NPS, auf dem die Erweiterung installiert ist, eine RADIUS-Zugriffszusagenachricht an den VPN-Server (RADIUS-Client).
  8. Der Benutzer erhält Zugriff auf den virtuellen Port des VPN-Servers und richtet einen verschlüsselten VPN-Tunnel ein.

Voraussetzungen

In diesem Abschnitt werden die erforderlichen Voraussetzungen zur Integration von MFA in das VPN ausführlich beschrieben. Bevor Sie beginnen, müssen folgende Voraussetzungen erfüllt und eingerichtet sein:

  • VPN-Infrastruktur
  • Rolle „Netzwerkrichtlinien- und Zugriffsdienste“
  • Lizenz für die Microsoft Entra-Multi-Faktor-Authentifizierung
  • Windows Server-Software
  • Bibliotheken
  • Microsoft Entra ID synchronisiert mit lokalem Active Directory
  • Microsoft Entra-GUID-ID

VPN-Infrastruktur

In diesem Artikel wird davon ausgegangen, dass Sie über eine funktionierende VPN-Infrastruktur mit Microsoft Windows Server 2016 verfügen und dass der VPN-Server aktuell nicht zum Weiterleiten von Verbindungsanforderungen an einen RADIUS-Server konfiguriert ist. In diesem Artikel konfigurieren Sie die VPN-Infrastruktur zur Verwendung eines zentralen RADIUS-Servers.

Wenn Sie nicht über eine funktionierende VPN-Infrastruktur verfügen, können Sie schnell eine erstellen, indem Sie die Anleitungen zur Einrichtung in zahlreichen VPN-Einrichtungen befolgen, die Sie auf den Microsoft- und Drittanbieterwebsites finden können.

Rolle „Netzwerkrichtlinien- und Zugriffsdienste“

Die Rolle „Netzwerkrichtlinien- und Zugriffsdienste“ bietet die RADIUS-Funktionen für Server und Client. In diesem Artikel wird davon ausgegangen, dass Sie die Rolle „Netzwerkrichtlinien- und Zugriffsdienste“ auf einem Mitgliedsserver oder Domänencontroller in Ihrer Umgebung installiert haben. In dieser Anleitung konfigurieren Sie RADIUS für eine VPN-Konfiguration. Installieren Sie die Rolle "Netzwerkrichtlinie" und "Access Services" auf einem anderen Server als Ihrem VPN-Server.

Informationen zum Installieren des Rollendiensts „Netzwerkrichtlinie und Zugriffsdienste“ für Windows Server 2012 oder höher finden Sie unter Installieren eines NAP-Integritätsrichtlinienservers. Der Netzwerkzugriffsschutz (Network Access Protection, NAP) ist in Windows Server 2016 veraltet. Eine Beschreibung der bewährten Methoden für NPS, einschließlich der Empfehlung zum Installieren von NPS auf einem Domänencontroller, finden Sie unter Bewährte Methoden für NPS.

Windows Server-Software

Die NPS-Erweiterung erfordert Windows Server 2008 R2 SP1 oder höher mit installierter Rolle „Netzwerkrichtlinien- und Zugriffsdienste“. Alle Schritte in dieser Anleitung wurden unter Windows Server 2016 ausgeführt.

Bibliotheken

Die folgende Bibliothek wird automatisch mit der NPS-Erweiterung installiert:

Wenn das Microsoft Graph PowerShell-Modul noch nicht vorhanden ist, wird es mit einem Konfigurationsskript installiert, das Sie als Teil des Setupprozesses ausführen. Es ist nicht erforderlich, Graph PowerShell im Voraus zu installieren.

Microsoft Entra ID synchronisiert mit lokalem Active Directory

Um die NPS-Erweiterung zu verwenden, müssen lokale Benutzer*innen mit Microsoft Entra ID synchronisiert und für MFA aktiviert werden. In diesem Leitfaden wird davon ausgegangen, dass lokale Benutzer*innen über Microsoft Entra Connect mit Microsoft Entra ID synchronisiert werden. Anweisungen zum Aktivieren von Benutzern für MFA finden Sie im folgenden Abschnitt.

Informationen zu Microsoft Entra Connect finden Sie unter Integrieren Ihrer lokalen Verzeichnisse mit Microsoft Entra ID.

Microsoft Entra-GUID-ID

Um die NPS-Erweiterung zu installieren, müssen Sie die GUID der Microsoft Entra ID-Instanz kennen. Anweisungen zum Ermitteln der GUID der Microsoft Entra ID-Instanz finden Sie im nächsten Abschnitt.

Konfigurieren von RADIUS für VPN-Verbindungen

Wenn Sie die NPS-Rolle auf einem Mitgliedsserver installiert haben, müssen Sie sie so konfigurieren, dass der VPN-Client authentifiziert und autorisiert wird, der VPN-Verbindungen anfordert.

In diesem Abschnitt wird davon ausgegangen, dass Sie die Rolle "Netzwerkrichtlinie und Access Services" installiert haben, sie jedoch nicht für die Verwendung in Ihrer Infrastruktur konfiguriert haben.

Hinweis

Wenn Sie bereits über einen funktionierenden VPN-Server verfügen, der einen zentralisierten RADIUS-Server für die Authentifizierung verwendet, können Sie diesen Abschnitt überspringen.

Registrieren des Servers in Active Directory

Die ordnungsgemäße Funktionsweise des NPS-Servers in diesem Szenario setzt seine Registrierung in Active Directory voraus.

  1. Öffnen Sie den Server-Manager.

  2. Wählen Sie im Server-Manager Werkzeuge und dann Netzwerkrichtlinienserver aus.

  3. Klicken Sie in der Netzwerkrichtlinienserver-Konsole mit der rechten Maustaste auf NPS (lokal), und wählen Sie dann " Server registrieren" in Active Directory aus. Wählen Sie zweimal OK aus.

    Menüoption

  4. Lassen Sie die Konsole für den nächsten Vorgang geöffnet.

Verwenden des Assistenten zum Konfigurieren des RADIUS-Servers

Sie können eine standardmäßige (assistentenbasierte) oder die erweiterte Konfigurationsoption zum Konfigurieren des RADIUS-Servers verwenden. In diesem Abschnitt wird davon ausgegangen, dass Sie die Option zur assistentengestützten Standardkonfiguration verwenden.

  1. Wählen Sie in der Netzwerkrichtlinienserver-Konsole NPS (lokal) aus.

  2. Wählen Sie unter "Standardkonfiguration" DEN RADIUS-Server für DFÜ- oder VPN-Verbindungen und dann "VPN- oder DFÜ-Konfiguration konfigurieren" aus.

    RADIUS-Server für Einwähl- oder VPN-Verbindungen konfigurieren

  3. Wählen Sie im Fenster Auswählen des Einwähl- oder VPN-Verbindungstyps die Option Verbindungen für virtuelles privates Netzwerk (VPN) und dann Weiter aus.

    Konfigurieren virtueller privater Netzwerkverbindungen

  4. Wählen Sie im Fenster Angeben des Einwähl- oder VPN-Servers die Option Hinzufügen aus.

  5. Geben Sie im Fenster Neuer RADIUS-Client einen Anzeigenamen an, und geben Sie den auflösbaren Namen oder die IP-Adresse des VPN-Servers und dann ein gemeinsames geheimes Kennwort ein. Das gemeinsame geheime Kennwort sollte lang und komplex sein. Notieren Sie es, da Sie es im nächsten Abschnitt benötigen.

    Erstellen eines neuen RADIUS-Clientfensters

  6. Wählen Sie "OK" und dann "Weiter" aus.

  7. Übernehmen Sie im Fenster "Authentifizierungsmethoden konfigurieren " die Standardauswahl (Microsoft Encrypted Authentication Version 2 [MS-CHAPv2]), oder wählen Sie eine andere Option aus, und wählen Sie "Weiter" aus.

    Hinweis

    Wenn Sie das Extensible Authentication-Protokoll (EAP) konfigurieren, müssen Sie entweder das Microsoft Challenge Handshake Authentication-Protokoll (CHAPv2) oder das Protected Extensible Authentication-Protokoll (PEAP) verwenden. Kein anderes EAP wird unterstützt.

  8. Wählen Sie im Fenster "Benutzergruppen angeben" "Hinzufügen" und dann eine entsprechende Gruppe aus. Wenn keine Gruppe vorhanden ist, lassen Sie die Auswahl leer, um allen Benutzern Zugriff zu gewähren.

    Fenster

  9. Wählen Sie "Weiter" aus.

  10. Wählen Sie im Fenster "IP-Filter angeben " die Option "Weiter" aus.

  11. Übernehmen Sie im Fenster " Verschlüsselungseinstellungen angeben " die Standardeinstellungen, und wählen Sie dann "Weiter" aus.

    Das Fenster

  12. Lassen Sie im Fenster " Bereichsname angeben " den Bereichsnamen leer, übernehmen Sie die Standardeinstellung, und wählen Sie dann "Weiter" aus.

    Das Fenster

  13. Wählen Sie im Fenster "Abschluss neuer DFÜ- oder VPN-Verbindungen und RADIUS-Clients" die Option "Fertig stellen" aus.

    Abgeschlossenes Konfigurationsfenster

Überprüfen der RADIUS-Konfiguration

In diesem Abschnitt wird die Konfiguration erörtert, die Sie mithilfe des Assistenten erstellt haben.

  1. Erweitern Sie auf dem Netzwerkrichtlinienserver in der NPS-Konsole (lokal) RADIUS-Clients, und wählen Sie dann RADIUS-Clients aus.

  2. Klicken Sie im Detailbereich mit der rechten Maustaste auf den von Ihnen erstellten RADIUS-Client, und wählen Sie dann "Eigenschaften" aus. Die Eigenschaften des RADIUS-Clients (der VPN-Server) sollten denen hier dargestellten entsprechen:

    Überprüfen der VPN-Eigenschaften und -Konfiguration

  3. Wählen Sie "Abbrechen" aus.

  4. Erweitern Sie auf dem Netzwerkrichtlinienserver in der NPS-Konsole (lokal) Richtlinien, und wählen Sie dann Verbindungsanforderungsrichtlinien aus. Die Richtlinie für VPN-Verbindungen wird angezeigt, wie in der folgenden Abbildung dargestellt:

    Verbindungsanforderungsrichtlinie mit VPN-Verbindungsrichtlinie

  5. Wählen Sie unter "Richtlinien" die Option "Netzwerkrichtlinien" aus. Eine Richtlinie für VPN-Verbindungen sollte angezeigt werden, die der Richtlinie in der folgenden Abbildung ähnelt:

    Netzwerkrichtlinien mit Richtlinie für virtuelle private Netzwerkverbindungen

Konfigurieren des VPN-Servers zur Verwendung der RADIUS-Authentifizierung

In diesem Abschnitt konfigurieren Sie Ihren VPN-Server zur Verwendung der RADIUS-Authentifizierung. In den Anweisungen wird davon ausgegangen, dass Sie über eine funktionierende Konfiguration eines VPN-Servers verfügen, sie jedoch nicht für die Verwendung der RADIUS-Authentifizierung konfiguriert haben. Prüfen Sie nach dem Konfigurieren des VPN-Servers, ob die Konfiguration wie erwartet funktioniert.

Hinweis

Wenn Sie bereits über eine funktionierende VPN-Serverkonfiguration verfügen, die die RADIUS-Authentifizierung verwendet, können Sie diesen Abschnitt überspringen.

Konfigurieren des Authentifizierungsanbieters

  1. Öffnen Sie auf dem VPN-Server den Server-Manager.

  2. Wählen Sie im Server-Manager "Extras" und dann "Routing" und "Remotezugriff" aus.

  3. Klicken Sie im Fenster "Routing" und "Remotezugriff " mit der rechten Maustaste auf <den Servernamen> (lokal), und wählen Sie dann "Eigenschaften" aus.

  4. Wählen Sie im <Fenster "Servername> (lokale) Eigenschaften " die Registerkarte "Sicherheit " aus.

  5. Wählen Sie auf der Registerkarte "Sicherheit" unter "Authentifizierungsanbieter" die OPTION RADIUS-Authentifizierung und dann "Konfigurieren" aus.

    Konfigurieren des RADIUS-Authentifizierungsanbieters

  6. Wählen Sie im FENSTER RADIUS-Authentifizierung"Hinzufügen" aus.

  7. Gehen Sie im Fenster "RADIUS-Server hinzufügen " wie folgt vor:

    1. Geben Sie im Feld "Servername " den Namen oder die IP-Adresse des RADIUS-Servers ein, den Sie im vorherigen Abschnitt konfiguriert haben.

    2. Wählen Sie für den freigegebenen geheimen Schlüssel"Ändern" aus, und geben Sie dann das freigegebene Kennwort ein, das Sie erstellt und zuvor aufgezeichnet haben.

    3. Geben Sie im Feld "Timeout (Sekunden)" einen Wert von 60 ein. Um die Anzahl verworfener Anforderungen zu minimieren, empfiehlt es sich, VPN-Server mit einem Timeout von mindestens 60 Sekunden zu konfigurieren. Wenn es erforderlich ist oder Sie die Anzahl verworfener Anforderungen in den Ereignisprotokollen reduzieren möchten, können Sie den Timeoutwert für VPN-Server auf 90 oder 120 Sekunden erhöhen.

  8. Wählen Sie "OK" aus.

Testen der VPN-Konnektivität

In diesem Abschnitt bestätigen Sie, dass der RADIUS-Server den VPN-Client authentifiziert und autorisiert, wenn Sie versuchen, eine Verbindung mit dem virtuellen VPN-Port herzustellen. In den Anweisungen wird davon ausgegangen, dass Sie Windows 10 als VPN-Client verwenden.

Hinweis

Wenn Sie bereits einen VPN-Client für die Verbindung mit dem VPN-Server konfiguriert und die Einstellungen gespeichert haben, können Sie die Schritte zum Konfigurieren und Speichern eines VPN-Verbindungsobjekts überspringen.

  1. Wählen Sie auf Ihrem VPN-Clientcomputer die Schaltfläche " Start " und dann die Schaltfläche " Einstellungen " aus.

  2. Wählen Sie im Fenster "Windows-Einstellungen " die Option "Netzwerk und Internet" aus.

  3. Wählen Sie VPN aus.

  4. Wählen Sie "VPN-Verbindung hinzufügen" aus.

  5. Wählen Sie im Fenster "VPN-Verbindung hinzufügen" im Feld "VPN-Anbieter""Windows (integriert)" aus, füllen Sie die verbleibenden Felder nach Bedarf aus, und wählen Sie dann "Speichern" aus.

    Das Fenster

  6. Wechseln Sie zur Systemsteuerung, und wählen Sie Netzwerk- und Freigabecenter aus.

  7. Wählen Sie "Adaptereinstellungen ändern" aus.

    Netzwerk- und Freigabecenter – Adaptereinstellungen ändern

  8. Klicken Sie mit der rechten Maustaste auf die VPN-Netzwerkverbindung, und wählen Sie dann "Eigenschaften" aus.

  9. Wählen Sie im Fenster "VPN-Eigenschaften" die Registerkarte "Sicherheit " aus.

  10. Stellen Sie auf der Registerkarte "Sicherheit " sicher, dass nur Microsoft CHAP Version 2 (MS-CHAP v2) ausgewählt ist, und wählen Sie dann "OK" aus.

    Die Option

  11. Klicken Sie mit der rechten Maustaste auf die VPN-Verbindung, und wählen Sie dann "Verbinden" aus.

  12. Wählen Sie im Fenster "Einstellungen " die Option "Verbinden" aus.
    Eine erfolgreiche Verbindung wird im Sicherheitsprotokoll auf dem RADIUS-Server als Ereignis-ID 6272 angezeigt, wie hier dargestellt:

    Das Ereigniseigenschaftenfenster zeigt eine erfolgreiche Verbindung

Problembehandlung für RADIUS

Angenommen, Ihre VPN-Konfiguration funktionierte vor der Konfiguration des VPN-Servers zur Verwendung eines zentralisierten RADIUS-Servers für die Authentifizierung und Autorisierung ordnungsgemäß. Wenn die Konfiguration funktionierte, ist es wahrscheinlich, dass eine Fehlkonfiguration des RADIUS-Servers oder die Verwendung eines ungültigen Benutzernamens oder Kennworts das Problem verursacht hat. Wenn Sie beispielsweise das alternative UPN-Suffix im Benutzernamen verwenden, kann beim Anmeldeversuch ein Fehler auftreten. Verwenden Sie den gleichen Kontonamen, um beste Ergebnisse zu erzielen.

Um diese Probleme zu beheben, ist die Untersuchung der Sicherheitsereignisprotokolle auf dem RADIUS-Server ein idealer Ausgangspunkt. Um bei der Suche nach Ereignissen Zeit zu sparen, können Sie, wie hier gezeigt, die rollenbasierte benutzerdefinierte Netzwerkrichtlinien- und Zugriffsserveransicht in der Ereignisanzeige verwenden. Ereignis-ID 6273 zeigt Ereignisse an, bei denen der Netzwerkrichtlinienserver einem Benutzer den Zugriff verweigert hat.

Ereignisanzeige mit NPAS-Ereignissen

Konfigurieren der mehrstufigen Authentifizierung

Unterstützung bei der Konfiguration von Benutzern für die mehrstufige Authentifizierung finden Sie in den Artikeln Zur Planung einer cloudbasierten Bereitstellung der mehrstufigen Microsoft Entra-Authentifizierung und zum Einrichten meines Kontos für die Überprüfung in zwei Schritten

Installieren und Konfigurieren der NPS-Erweiterung

Dieser Abschnitt enthält Anweisungen zum Konfigurieren von VPN zur Verwendung der MFA für die Clientauthentifizierung mit dem VPN-Server.

Hinweis

Beim Registrierungsschlüssel REQUIRE_USER_MATCH wird die Groß-/Kleinschreibung beachtet. Alle Werte müssen in GROSSBUCHSTABEN angegeben werden.

Nachdem Sie die NPS-Erweiterung installiert und konfiguriert haben, erfordert dieser Server die GESAMTE RADIUS-basierte Clientauthentifizierung, um MFA zu verwenden. Wenn nicht alle VPN-Benutzer*innen bei der Microsoft Entra-Multi-Faktor-Authentifizierung registriert sind, haben Sie folgende Möglichkeiten:

  • Einrichten eines anderen RADIUS-Servers zum Authentifizieren von Benutzern, die nicht zur Verwendung von MFA konfiguriert sind

  • Erstellen Sie einen Registrierungseintrag, der den Benutzer*innen die Angabe eines zweiten Authentifizierungsfaktors ermöglicht, wenn sie bei der Microsoft Entra-Multi-Faktor-Authentifizierung registriert sind.

Erstellen Sie einen neuen Zeichenfolgenwert namens REQUIRE_USER_MATCH in HKLM\SOFTWARE\Microsoft\AzureMfa, und legen Sie den Wert auf WAHR oder FALSCH fest.

Einstellung „Benutzerabgleich erfordern“

Wenn der Wert auf TRUE festgelegt ist oder leer ist, unterliegen alle Authentifizierungsanforderungen einer MFA-Abfrage. Wenn der Wert auf FALSE festgelegt ist, werden MFA-Herausforderungen nur für Benutzer ausgegeben, die bei der mehrstufigen Authentifizierung von Microsoft Entra registriert sind. Verwenden Sie die FALSE-Einstellung nur in Test- oder Produktionsumgebungen während eines Onboardingzeitraums.

Abrufen der Verzeichnismandanten-ID

Im Rahmen der Konfiguration der NPS-Erweiterung müssen Sie Administratoranmeldeinformationen und die ID Ihres Microsoft Entra-Mandanten angeben. Führen Sie die folgenden Schritte aus, um die Mandanten-ID abzurufen:

  1. Melden Sie sich beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>Übersicht>Eigenschaften.

    Abrufen der Mandanten-ID über das Microsoft Entra Admin Center

Installieren der NPS-Erweiterung

Die NPS-Erweiterung muss auf einem Server installiert sein, auf dem die Rolle „Netzwerkrichtlinien- und Zugriffsdienste“ installiert ist und der in Ihrem Entwurf als RADIUS-Server dient. Installieren Sie die NPS-Erweiterung nicht auf Ihrem VPN-Server.

  1. Laden Sie die NPS-Erweiterung aus dem Microsoft Download Center herunter.

  2. Kopieren Sie die ausführbare Setup-Datei (NpsExtnForAzureMfaInstaller.exe) auf den NPS-Server.

  3. Doppelklicken Sie auf dem NPS-Server auf NpsExtnForAzureMfaInstaller.exe , und wählen Sie bei Aufforderung "Ausführen" aus.

  4. Überprüfen Sie im Fenster zum Einrichten der mehrstufigen NPS-Erweiterung für Microsoft Entra die Softwarelizenzbedingungen, aktivieren Sie das Kontrollkästchen "Ich stimme den Lizenzbedingungen zu " zu, und wählen Sie dann "Installieren" aus.

    Das Fenster „NPS-Erweiterung für Microsoft Entra Multi-Faktor-Authentifizierung einrichten“

  5. Wählen Sie im Fenster "NPS-Erweiterung für Microsoft Entra Multifactor Authentication Setup" die Option "Schließen" aus.

    Bestätigungsfenster

Konfigurieren von Zertifikaten für die Verwendung mit der NPS-Erweiterung mithilfe eines Graph PowerShell-Skripts

Um die sichere Kommunikation zu gewährleisten, konfigurieren Sie Zertifikate für die Verwendung durch die NPS-Erweiterung. Die NPS-Komponenten umfassen ein Graph PowerShell-Skript, das ein selbstsigniertes Zertifikat zur Verwendung mit NPS konfiguriert.

Dieses Skript führt folgende Aktionen aus:

  • Erstellen eines selbstsignierten Zertifikats
  • Ordnet den öffentlichen Schlüssel des Zertifikats zum Dienstprinzipal in Microsoft Entra ID zu.
  • Speichern des Zertifikats im Speicher des lokalen Computers
  • Gewähren des Zugriffs auf den privaten Schlüssel des Zertifikats für den Netzwerkbenutzer
  • Neustarten des NPS-Diensts

Wenn Sie Ihre eigenen Zertifikate verwenden möchten, müssen Sie den öffentlichen Schlüssel Ihres Zertifikats dem Dienstprinzipal in Microsoft Entra ID zuordnen usw.

Um das Skript zu verwenden, geben Sie der Erweiterung Ihre Microsoft Entra-Administratoranmeldeinformationen und die zuvor kopierte Microsoft Entra-Mandanten-ID an. Das Konto muss demselben Microsoft Entra-Mandanten angehören, für den Sie die Erweiterung aktivieren möchten. Führen Sie das Skript auf jedem NPS-Server aus, auf dem Sie die NPS-Erweiterung installieren.

  1. Führen Sie Graph PowerShell als Administrator aus.

  2. Geben Sie an der PowerShell-Eingabeaufforderung "c:\Programme\Microsoft\AzureMfa\Config" ein, und drücken Sie dann die EINGABETASTE.

  3. Geben Sie an der nächsten Eingabeaufforderung .\AzureMfaNpsExtnConfigSetup.ps1ein, und wählen Sie dann die EINGABETASTE aus. Das Skript überprüft, ob das Graph PowerShell-Modul installiert ist. Wenn es nicht installiert ist, installiert das Skript Graph PowerShell für Sie.

    Ausführen des AzureMfsNpsExtnConfigSetup.ps1 Konfigurationsskripts

    Wenn aufgrund von TLS ein Sicherheitsfehler auftritt, aktivieren Sie TLS 1.2 mithilfe des Befehls [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 in Ihrer PowerShell-Eingabeaufforderung.

    Nachdem das Skript die Installation des PowerShell-Moduls überprüft hat, wird das Anmeldefenster des Graph PowerShell-Moduls angezeigt.

  4. Geben Sie Ihre Microsoft Entra-Administratoranmeldeinformationen und Ihr Kennwort ein, und wählen Sie dann " Anmelden" aus.

  5. Fügen Sie an der Eingabeaufforderung die zuvor von Ihnen kopierte Mandanten-ID ein, und drücken Sie die EINGABETASTE.

    Eingabe der Microsoft Entra-Mandanten-ID, die zuvor kopiert wurde

    Das Skript erstellt ein selbstsigniertes Zertifikat und führt andere Änderungen an der Konfiguration durch. Die Ausgabe ähnelt der in der folgenden Abbildung:

    PowerShell-Fenster mit selbstsigniertem Zertifikat

  6. Starten Sie den Server neu.

Überprüfen der Konfiguration

Um die Konfiguration zu überprüfen, müssen Sie eine neue VPN-Verbindung mit dem VPN-Server herstellen. Nachdem Sie Ihre Anmeldeinformationen für die primäre Authentifizierung erfolgreich eingegeben haben, wartet die VPN-Verbindung, bis die sekundäre Authentifizierung erfolgreich war, bevor die Verbindung hergestellt wird, wie im folgenden Abschnitt gezeigt.

Das Windows-Einstellungs-VPN-Fenster

Wenn Sie sich erfolgreich mit der sekundären Überprüfungsmethode authentifizieren, die Sie zuvor in der mehrstufigen Microsoft Entra-Authentifizierung konfiguriert haben, sind Sie mit der Ressource verbunden. Wenn die sekundäre Authentifizierung jedoch nicht erfolgreich ist, wird der Zugriff auf die Ressource verweigert.

Im folgenden Beispiel wird die sekundäre Authentifizierung über die Microsoft Authenticator-App auf einem Windows Phone bereitgestellt:

Beispiel für eine MFA-Eingabeaufforderung unter Windows Phone

Nachdem Sie die sekundäre Methode erfolgreich authentifiziert haben, erhalten Sie Zugriff auf den virtuellen Port auf dem VPN-Server. Da Sie aufgefordert wurden, eine sekundäre Authentifizierungsmethode mit einer mobilen App auf einem vertrauenswürdigen Gerät zu verwenden, ist der Anmeldevorgang sicherer als nur bei Verwendung einer Kombination aus Benutzernamen und Kennwort.

Anzeigen der Ereignisanzeigeprotokolle für erfolgreiche Anmeldeereignisse

Um erfolgreiche Anmeldeereignisse in der Windows Ereignisanzeige anzuzeigen, können Sie das Sicherheitsprotokoll oder die benutzerdefinierte Ansicht "Netzwerkrichtlinie und Access Services" anzeigen, wie in der folgenden Abbildung dargestellt:

Beispielprotokoll für Netzwerkrichtlinienserver

Auf dem Server, auf dem Sie die NPS-Erweiterung für die mehrstufige Microsoft Entra-Authentifizierung installiert haben, finden Sie Anwendungsprotokolle der Ereignisanzeige, die spezifisch für die Erweiterung sind, unter Anwendungs- und Dienstprotokolle\Microsoft\AzureMfa.

Ereignisanzeige mit einem Beispiel für den Bereich für AuthZ-Protokolle

Leitfaden zur Problembehandlung

Wenn die Konfiguration nicht wie erwartet funktioniert, beginnen Sie mit der Problembehandlung, indem Sie überprüfen, ob der Benutzer für die Verwendung von MFA konfiguriert ist. Melden Sie sich beim Microsoft Entra Admin Center an. Wenn der Benutzer zur sekundären Authentifizierung aufgefordert wird und sich erfolgreich authentifizieren kann, können Sie eine fehlerhafte MFA-Konfiguration ausschließen.

Wenn MFA für den Benutzer funktioniert, prüfen Sie die relevanten Protokolle der Ereignisanzeige. Zu den Protokollen gehören die Sicherheitsereignis-, Gateway-Betriebs- und Microsoft Entra-Multi-Faktor-Authentifizierungsprotokolle, die im vorherigen Abschnitt beschrieben wurden.

Es folgt ein Beispiel für ein Sicherheitsprotokoll mit einem fehlerhaften Anmeldeereignis (Ereignis-ID 6273):

Sicherheitsprotokoll mit einem fehlgeschlagenen Anmeldeereignis

Ein zugehöriges Ereignis aus dem Protokoll der Microsoft Entra-Multi-Faktor-Authentifizierung wird hier gezeigt:

Mehrstufige Authentifizierungsprotokolle von Microsoft Entra

Zur erweiterten Problembehandlung nutzen Sie die NPS-Datenbankformat-Protokolldateien dort, wo der NPS-Dienst installiert ist. Die Protokolldateien werden im Ordner %SystemRoot%\System32\Logs als durch Trennzeichen getrennte Textdateien erstellt. Eine Beschreibung der Protokolldateien finden Sie unter Interpretieren von NPS-Datenbankformat-Protokolldateien.

Die Einträge in diesen Protokolldateien sind schwierig zu interpretieren, es sei denn, Sie importieren sie in eine Tabelle oder Datenbank. Sie finden online viele IAS-Analysetools (Internet Authentication Service), die Sie zur Interpretation der Protokolldateien verwenden können. Die Ausgabe einer solchen herunterladbaren Shareware-Anwendung wird hier gezeigt:

Beispiel für shareware-App IAS-Parser

Um weitere Problembehandlungen durchzuführen, können Sie einen Protokollanalysator wie Wireshark oder Microsoft Message Analyzer verwenden. Die folgende Abbildung aus Wireshark zeigt die zwischen dem VPN-Server und Netzwerkrichtlinienserver gesendeten RADIUS-Nachrichten.

Microsoft Message Analyzer zeigt gefilterten Netzwerkverkehr

Weitere Informationen finden Sie unter Integrieren Ihrer vorhandenen NPS-Infrastruktur in die mehrstufige Microsoft Entra-Authentifizierung.

Nächste Schritte

Erhalten Sie die multifaktorielle Authentifizierung von Microsoft Entra

Remote-Desktop-Gateway und Azure Multi-Factor Authentication Server, mit RADIUS

Integrieren Ihrer lokalen Verzeichnisse in die Microsoft Entra-ID