Konfigurieren des bedingten Zugriffs für VPN-Konnektivität mithilfe von Microsoft Entra ID

In diesem Handbuch wird gezeigt, wie Sie VPN-Benutzern mithilfe von Microsoft Entra Conditional Access Zugriff auf Ihre Ressourcen gewähren. Mithilfe von Microsoft Entra Conditional Access für vpn-Konnektivität (Virtual Private Network) können Sie die VPN-Verbindungen schützen. Bedingter Zugriff ist ein richtlinienbasiertes Auswertungsmodul, mit dem Sie Zugriffsregeln für jede Microsoft Entra verbundene Anwendung erstellen können.

Prerequisites

Bevor Sie mit der Konfiguration des bedingten Zugriffs für Ihr VPN beginnen, führen Sie die folgenden Voraussetzungen aus:

• Überprüfen Sie Conditional Access in Microsoft Entra ID.
  • Administratoren, die mit bedingtem Zugriff interagieren, müssen je nach den aufgaben, die sie ausführen, über eine der folgenden Rollenzuweisungen verfügen. Um dem Zero Trust Prinzip der geringsten Rechte zu folgen, sollten Sie die Verwendung von Privileged Identity Management (PIM) in Betracht ziehen, um privilegierte Rollenzuweisungen just-in-time zu aktivieren.
    • Zugriff des Sicherheitslesers zum Lesen von Richtlinien und Konfigurationen für bedingten Zugriff.
    • Administratorzugriff für bedingten Zugriff, um Richtlinien für bedingten Zugriff zu erstellen oder zu ändern.
• Konfigurieren sie VPN und bedingten Zugriff.
• Richten Sie die Always On VPN-Infrastruktur in Ihrer Umgebung ein, oder folgen Sie dem vollständigen Tutorial: Deploy Always On VPN – Setup infrastructure for Always On VPN.
• Konfigurieren Sie Ihren Windows Clientcomputer mit einer VPN-Verbindung mithilfe von Intune. Ausführliche Informationen finden Sie unter Always On VPN-Profil für Windows-Clients mit Microsoft Intune bereitstellen.

Konfigurieren von EAP-TLS für das Ignorieren der Zertifikatssperrlisten-Überprüfung

Ein EAP-TLS Client kann keine Verbindung herstellen, es sei denn, der Netzwerkrichtlinienserver (NETWORK Policy Server, NPS) schließt eine Sperrüberprüfung der Zertifikatkette (einschließlich des Stammzertifikats) ab. Cloudzertifikate, die von Microsoft Entra ID für den Benutzer ausgestellt wurden, verfügen nicht über eine CRL, da sie kurzlebige Zertifikate mit einer Lebensdauer von einer Stunde sind. Sie müssen EAP auf NPS konfigurieren, um das Fehlen einer CRL zu ignorieren. Da die Authentifizierungsmethode EAP-TLS ist, müssen Sie diesen Registrierungswert nur unter EAP\13 hinzufügen. Wenn Sie andere EAP-Authentifizierungsmethoden verwenden, fügen Sie auch den Registrierungswert unter diesen Methoden hinzu.

In diesem Abschnitt fügen Sie hinzu IgnoreNoRevocationCheck und NoRevocationCheck. Standardmäßig sind IgnoreNoRevocationCheck und NoRevocationCheck auf 0 (deaktiviert) festgelegt.

Weitere Informationen zu den NPS-CRL-Registrierungseinstellungen finden Sie unter Konfigurieren der NPS-Zertifikatsperrliste zum Überprüfen der Registrierungseinstellungen.

Important

Wenn ein Windows Routing- und Remotezugriffsserver (RRAS) NPS verwendet, um RADIUS-Aufrufe für einen zweiten NPS weiterzuleiten, müssen Sie IgnoreNoRevocationCheck=1 auf beiden Servern konfigurieren.

Wenn Sie diese Registrierungsänderung nicht implementieren, funktionieren IKEv2-Verbindungen mit Cloudzertifikaten mit PEAP nicht, aber IKEv2-Verbindungen mit Clientauthentifizierungszertifikaten, die von der lokalen Zertifizierungsstelle ausgestellt wurden, funktionieren weiterhin.

1. Öffnen Sie regedit.exe im NPS.

2. Wechseln Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.

3. Wählen Sie "Neu bearbeiten" > und dann den DWORD-Wert (32-Bit) aus. Geben Sie IgnoreNoRevocationCheck ein.

4. Doppelklicken Sie auf IgnoreNoRevocationCheck , und legen Sie die Wertdaten auf 1 fest.

5. Wählen Sie "Neu bearbeiten" > und dann den DWORD-Wert (32-Bit) aus. Geben Sie "NoRevocationCheck" ein.

6. Doppelklicken Sie auf "NoRevocationCheck" , und legen Sie die Wertdaten auf 1 fest.

7. Wählen Sie "OK" aus, und starten Sie den Server neu. Das Neustarten der RRAS- und NPS-Dienste reicht nicht aus.

Registrierungspfad	EAP-Erweiterung
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13	EAP-TLS
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\25	PEAP

Erstellen von Stammzertifikaten für die VPN-Authentifizierung mit Microsoft Entra ID

In diesem Abschnitt konfigurieren Sie Stammzertifikate für bedingten Zugriff für die VPN-Authentifizierung mit Microsoft Entra ID. Wenn Sie das erste Zertifikat erstellen, erstellt Microsoft Entra ID automatisch eine Cloud-App namens VPN Server im Mandanten. Ein Administrator muss einmal eine Admin-Zustimmung für diese Anwendung erteilen, bevor die VPN-Konnektivität vollständig betriebsbereit ist. Führen Sie die folgenden Schritte aus, um den bedingten Zugriff für VPN-Konnektivität zu konfigurieren:

1. Erstellen Sie ein VPN-Zertifikat im Azure-Portal.

2. Herunterladen des VPN-Zertifikats

3. Stellen Sie das Zertifikat auf Ihren VPN- und NPS-Servern bereit.

Important

Wenn Sie ein VPN-Zertifikat im Azure-Portal erstellen, beginnt Microsoft Entra ID sofort damit, kurzlebige Zertifikate an den VPN-Client auszustellen. Um Probleme mit der Überprüfung von Anmeldeinformationen für den VPN-Client zu vermeiden, ist es wichtig, das VPN-Zertifikat sofort auf dem VPN-Server bereitzustellen.

Wenn ein Benutzer eine VPN-Verbindung versucht, führt der VPN-Client einen Aufruf an den Web Account Manager (WAM) auf dem Windows-Client durch. Der WAM ruft die VPN-Server-Cloud-App auf. Wenn die Bedingungen und Steuerelemente in der Richtlinie für bedingten Zugriff erfüllt sind, gibt Microsoft Entra ID ein Token in Form eines kurzlebigen Zertifikats (eine Stunde) an das WAM aus. Das WAM platziert das Zertifikat im Zertifikatspeicher des Benutzers und übergibt die Kontrolle an den VPN-Client.

Der VPN-Client sendet dann das von Microsoft Entra ID ausgestellte Zertifikat zur Überprüfung von Anmeldeinformationen an das VPN. 

Note

Microsoft Entra ID verwendet das zuletzt erstellte Zertifikat im VPN-Verbindungsbereich als Aussteller. Microsoft Entra Conditional Access VPN-Verbindungsblattzertifikate unterstützen jetzt starke Zertifikatzuordnungen, eine zertifikatbasierte Authentifizierungsanforderung, die von KB5014754 eingeführt wurde. VPN-Verbindungsblattzertifikate enthalten jetzt eine SID-Erweiterung von (1.3.6.1.4.1.311.25.2), die eine codierte Version der SID des Benutzers enthält, die aus dem onPremisesSecurityIdentifier-Attribut abgerufen wurde.

Erstellen von Stammzertifikaten

1. Melden Sie sich bei Ihrem Azure-Portal als Global Administrator an.

2. Wählen Sie im linken Menü Microsoft Entra ID aus.

3. Wählen Sie auf der Seite Microsoft Entra ID im Abschnitt ManageSecurity aus.

4. Wählen Sie auf der Seite "Sicherheit " im Abschnitt "Schützen " die Option "Bedingter Zugriff" aus.

5. Auf dem bedingten Zugriff | Seite "Richtlinien" im Abschnitt "Verwalten " die Option "VPN-Konnektivität" auswählen.

6. Wählen Sie auf der Seite "VPN-Konnektivität " die Option "Neues Zertifikat" aus.

7. Auf der Seite "Neu" :

   1. Wählen Sie unter "Dauer auswählen" 1, 2 oder 3 Jahre aus.
   2. Wählen Sie "Erstellen" aus.

8. Für das erste VPN-Zertifikat, das Sie in Ihrem Mandanten erstellen, wird ein Warnbanner angezeigt, das die Administratorzustimmung für die VPN-Serveranwendung anfordert. Wählen Sie " Administratorzustimmung erteilen" aus (erfordert die Rolle "Globaler Administrator ") und akzeptieren Sie die angeforderten Berechtigungen. Sie müssen diese Aktion nur einmal pro Mandant ausführen. Nachfolgende Zertifikatvorgänge erfordern keine erneute Zustimmung.

Note

Wenn das Zustimmungsbanner nicht angezeigt wird, verfügt die VPN-Serveranwendung über die erforderlichen Berechtigungen.

Konfigurieren der Richtlinie für bedingten Zugriff

In diesem Abschnitt konfigurieren Sie die Richtlinie für bedingten Zugriff für die VPN-Konnektivität. Wenn Sie das erste Stammzertifikat im Bereich VPN-Konnektivität erstellen, erstellen Sie automatisch eine VPN Server-Cloudanwendung im Mieter.

Erstellen Sie eine Richtlinie für bedingten Zugriff, um der GRUPPE der VPN-Benutzer zuzuweisen und die Cloud-App auf VPN-Server zu beschränken:

• Benutzer: VPN-Benutzer
• Cloud-App: VPN-Server
• Gewähren (Zugriffssteuerung):Mehrfaktor-Authentifizierung erforderlich. Sie können bei Bedarf andere Steuerelemente verwenden.

Verfahren: In diesem Schritt wird die Erstellung der grundlegendsten Richtlinie für bedingten Zugriff behandelt. Wenn gewünscht, können Sie weitere Bedingungen und Steuerelemente hinzufügen.

1. Wählen Sie auf der Seite "Bedingter Zugriff " auf der Symbolleiste oben "Hinzufügen" aus.

   

2. Geben Sie auf der Seite "Neu " im Feld "Name " einen Namen für Ihre Richtlinie ein. Geben Sie beispielsweise eine VPN-Richtlinie ein.

   

3. Wählen Sie im Abschnitt "Aufgaben" die Option "Benutzer und Gruppen" aus.

   

4. Auf der Seite Benutzer und Gruppen:

   

   1. Klicken Sie auf Benutzer und Gruppen auswählen.

   2. Wählen Sie Auswählen aus.

   3. Wählen Sie auf der Seite "Auswählen " die Gruppe "VPN-Benutzer " und dann "Auswählen" aus.

   4. Wählen Sie auf der Seite Benutzer und GruppenFertig aus.

5. Auf der Seite "Neu" :

   

   1. Wählen Sie im Abschnitt "Aufgaben " die Option "Cloud-Apps" aus.

   2. Wählen Sie auf der Seite "Cloud-Apps " die Option "Apps auswählen" aus.

   3. Wählen Sie Auswählen aus.

   4. Wählen Sie auf der Seite "Auswählen " den VPN-Server aus.

6. Wählen Sie auf der Seite "Neu" im Abschnitt "Steuerung" die Option "Grant" aus, um die Seite "Grant" zu öffnen.

   

7. Auf der Seite Grant: Folgende Schritte:

   

   1. Wählen Sie Mehrstufige Authentifizierung erforderlich aus.

   2. Wählen Sie Auswählen aus.

8. Legen Sie auf der Seite "Neu " " Richtlinie aktivieren " auf "Ein" fest.

   

9. Wählen Sie auf der Seite "Neu " die Option "Erstellen" aus.

Bereitstellen von Stammzertifikaten für bedingten Zugriff auf lokale AD

In diesem Abschnitt stellen Sie ein vertrauenswürdiges Stammzertifikat für die VPN-Authentifizierung auf Ihrer lokalen AD-Instanz bereit.

1. Wählen Sie auf der Seite "VPN-Konnektivität " die Option "Zertifikat herunterladen" aus.

   Note

   Die Option Base64-Zertifikat herunterladen ist für einige Konfigurationen verfügbar, für die Base64-Zertifikate für die Bereitstellung erforderlich sind.

2. Melden Sie sich bei einem computer, der einer Domäne beigetreten ist, mit Enterprise-Administratorrechten an, und führen Sie diese Befehle an einer Administrator-Eingabeaufforderung aus, um die Cloudstammzertifikate zum Enterprise NTauth-Speicher hinzuzufügen:

   Note

   Für Umgebungen, in denen der VPN-Server nicht mit der Active Directory-Domäne verbunden ist, müssen Sie die Wurzelzertifikate der Cloud dem Trusted Root Certification Authorities-Speicher manuell hinzufügen.

   Command	Description
   certutil -dspublish -f VpnCert.cer RootCA	Erstellt zwei Microsoft VPN Root CA Gen 1 Container unter den Containern CN=AIA und CN=Zertifizierungsstellen und veröffentlicht jedes Stammzertifikat als Wert für das cACertificate Attribut beider Microsoft VPN Root CA Gen 1 Container.
   certutil -dspublish -f VpnCert.cer NTAuthCA	Erstellt einen CN=NTAuthCertificates-Container unter den Containern CN=AIA und CN=Zertifizierungsstellen und veröffentlicht jedes Stammzertifikat als Wert im cACertificate-Attribut des CN=NTAuthCertificates-Containers .
   gpupdate /force	Beschleunigt das Hinzufügen der Stammzertifikate zu den Windows Server- und Clientcomputern.

3. Stellen Sie sicher, dass die Stammzertifikate im Enterprise NTauth-Speicher vorhanden sind und als vertrauenswürdig angezeigt werden:

   1. Melden Sie sich bei einem Server mit Enterprise-Administratorrechten an, auf dem die Zertifizierungsstellenverwaltungstools installiert sind.

      Note

      Standardmäßig sind die Zertifizierungsstellenverwaltungstools auf Zertifizierungsstellenservern installiert. Sie können sie im Rahmen der verwaltungstools für Role administration tools in Server-Manager auf den Servern anderer Mitglieder installieren.

   2. Geben Sie im Startmenü"pkiview.msc " ein, um das Dialogfeld "Enterprise PKI " zu öffnen.

   3. Klicken Sie mit der rechten Maustaste auf Unternehmens-PKI , und wählen Sie "AD-Container verwalten" aus.

   4. Stellen Sie sicher, dass jedes Microsoft VPN-Stammzertifikat der CA Gen 1 vorhanden ist unter:

      • NTAuthCertificates
      • AIA-Container
      • Container für Zertifizierungsstellen

Erstellen von OMA-DM basierten VPNv2-Profilen für Windows 10 Geräte

In diesem Abschnitt erstellen Sie ein OMA-DM-basiertes VPNv2-Profil mithilfe von Intune, um eine VPN-Gerätekonfigurationsrichtlinie bereitzustellen.

1. Wählen Sie im Azure-Portal Intune>Gerätekonfiguration>Profile und wählen Sie das VPN-Profil aus, das Sie in Konfigurieren des VPN-Clients mit Intune erstellt haben.

2. Wählen Sie im Richtlinien-Editor "Eigenschafteneinstellungen>>Base VPN" aus. Erweitern Sie die vorhandene EAP Xml um einen Filter einzuschließen, der dem VPN-Client die Logik gibt, die er zum Abrufen des Microsoft Entra Conditional Access Zertifikats aus dem Zertifikatspeicher des Benutzers benötigt, anstatt das erste ermittelte Zertifikat zu verwenden.

   Note

   Ohne diesen Filter kann der VPN-Client das von der lokalen Zertifizierungsstelle ausgestellte Benutzerzertifikat abrufen, was zu einer fehlgeschlagenen VPN-Verbindung führt.

   

3. Suchen Sie den Abschnitt, der mit /AcceptServerName/EapType und fügen Sie die folgende Zeichenfolge zwischen diesen beiden Werten ein, um den VPN-Client mit der Logik zum Auswählen des Microsoft Entra Conditional Access Zertifikats bereitzustellen:

   <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUList Enabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions>
   

4. Legen Sie im Bereich "Bedingter Zugriff " den bedingten Zugriff für diese VPN-Verbindung auf "Aktivieren" fest.

   Wenn Sie diese Einstellung aktivieren, wird die Einstellung <DeviceCompliance><Enabled>true</Enabled> in der VPNv2-Profil-XML geändert.

   

5. Wählen Sie OK aus.

6. Wählen Sie "Aufgaben" aus. Wählen Sie auf der Registerkarte "Einschließen " die Option " Gruppen auswählen" aus, die einbezogen werden sollen.

7. Wählen Sie die richtige Gruppe aus, die diese Richtlinie empfängt, und wählen Sie " Speichern" aus.

   

Erzwingen der MDM-Richtliniensynchronisierung auf dem Client

Wenn das VPN-Profil nicht auf dem Clientgerät angezeigt wird, können Sie unter EinstellungenNetzwerk & InternetVPN erzwingen, dass die MDM-Richtlinie synchronisiert wird.

1. Melden Sie sich als Mitglied der GRUPPE "VPN-Benutzer " bei einem in die Domäne eingebundenen Clientcomputer an.

2. Geben Sie im StartmenüKonto ein, und drücken Sie die EINGABETASTE.

3. Wählen Sie im linken Navigationsbereich Zugriff auf Arbeit oder Schule aus.

4. Wählen Sie unter "Geschäfts-, Schul- oder Unizugriff" die Option "Mit \Domäne< MDM verbunden>" und dann "Informationen" aus.

5. Wählen Sie "Synchronisieren" aus, und überprüfen Sie, ob das VPN-Profil unter "Netzwerkeinstellungen>" und ">" angezeigt wird.

Verwandte Inhalte

• Weitere Informationen zur Funktionsweise des bedingten Zugriffs mit VPNs finden Sie unter VPN und bedingter Zugriff.

• Weitere Informationen zu den erweiterten VPN-Features finden Sie unter Erweiterte VPN-Features.

• Eine Übersicht über VPNv2-CSP finden Sie unter VPNv2 CSP.