Konfigurieren des bedingten VPN-Zugriffs auf den Netzwerkrichtlinienserver (Network Policy Server, NPS)

Bedingter Zugriff und Gerätekonformität können erfordern, dass verwaltete Geräte Standards erfüllen, bevor sie eine Verbindung mit dem VPN herstellen können. Der bedingte VPN-Zugriff ermöglicht es Ihnen, die VPN-Verbindungen auf die Geräte zu beschränken, deren Clientauthentifizierungszertifikat die Microsoft Entra-OID für bedingten Zugriff 1.3.6.1.4.1.311.87 enthält. Bei VPN-Clients, die versuchen, eine Verbindung mit einem anderen Zertifikat als dem kurzlebigen Cloudzertifikat 1.3.6.1.4.1.311.87 herzustellen, ist die Verbindungsherstellung nicht erfolgreich.

In diesem Artikel erfahren Sie, wie Sie den bedingten VPN-Zugriff direkt auf dem NPS konfigurieren. Wie Sie die VPN-Verbindungen mit Microsoft Entra bedingtem Zugriff einschränken können, erfahren Sie unter Bedingter Zugriff für VPN-Verbindungen mit Microsoft Entra ID.

Einschränken der VPN-Verbindungen

So schränken Sie VPN-Verbindungen ein

1. Öffnen Sie auf dem NPS das Snap-In Netzwerkrichtlinienserver.

2. Erweitern Sie Richtlinien>Netzwerkrichtlinien. Klicken Sie mit der rechten Maustaste auf die Netzwerkrichtlinie Virtuelles privates Netzwerk (VPN), und wählen Sie Eigenschaften aus.

3. Wählen Sie die Registerkarte Einstellungen aus.

4. Wählen Sie Herstellerspezifisch und dann Hinzufügen aus.

5. Wählen Sie die Option Allowed-Certificate-OID und dann Hinzufügen aus.

6. Fügen Sie die Microsoft Entra-OID für bedingten Zugriff 1.3.6.1.4.1.311.87 als Attributwert ein, und wählen Sie dann OK aus.

7. Wählen Sie erneut OK aus.

8. Wählen Sie Schließen und dann Übernehmen aus.

Bei VPN-Clients, die versuchen, eine Verbindung mit einem anderen Zertifikat als dem kurzlebigen Cloudzertifikat 1.3.6.1.4.1.311.87 herzustellen, ist die Verbindungsherstellung jetzt nicht erfolgreich.

Zugehörige Themen

• VPN und bedingter Zugriff

• Bedingter Microsoft Entra-Zugriff