Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Zusätzlich zu älteren und weniger sicheren kennwortbasierten Authentifizierungsmethoden (die vermieden werden sollten) verwendet die integrierte VPN-Lösung zertifikatbasierte Methoden sowie das Extensible Authentication-Protokoll (EAP), um eine sichere Authentifizierung mithilfe von Benutzername und Kennwort bereitzustellen. Sie können die EAP-basierte Authentifizierung nur konfigurieren, wenn Sie einen integrierten VPN-Typ (IKEv2, L2TP, PPTP oder Automatisch) auswählen.
Windows unterstützt eine Reihe von EAP-Authentifizierungsmethoden.
EAP-Microsoft Challenge Handshake Authentication Protocol Version 2 (EAP-MSCHAPv2):
- Authentifizierung mit Benutzername und Kennwort
- Anmeldeinformationen für die Windows-Anmeldung: Kann die Authentifizierung mit Computeranmeldeinformationen angeben.
EAP-Transport Layer Security (EAP-TLS):
Unterstützt die folgenden Arten der Zertifikatauthentifizierung:
- Zertifikat mit Schlüsseln im Software-Schlüsselspeicheranbieter (Key Storage Provider, KSP)
- Zertifikat mit Schlüsseln im TPM-KSP (Trusted Platform Module)
- Smart Karte-Zertifikate
- Windows Hello for Business-Zertifikat
Zertifikatfilterung:
- Die Zertifikatfilterung kann aktiviert werden, um nach einem bestimmten Zertifikat für die Authentifizierung zu suchen.
- Die Filterung kann auf ausstellerbasierter oder erweiterter Schlüsselverwendung (Extended Key Usage, EKU) basieren.
Serverüberprüfung: Mit TLS kann die Servervalidierung aktiviert oder deaktiviert werden:
- Servername: Geben Sie den zu überprüfenden Server an.
- Serverzertifikat: Vertrauenswürdiges Stammzertifikat zur Überprüfung des Servers
- Benachrichtigung: Geben Sie an, ob der Benutzer in einer Benachrichtigung gefragt werden soll, ob der Server als vertrauenswürdig eingestuft werden soll.
Protected Extensible Authentication Protocol (PEAP):
Serverüberprüfung: Mit PEAP kann die Servervalidierung aktiviert oder deaktiviert werden:
- Servername: Geben Sie den zu überprüfenden Server an.
- Serverzertifikat: Vertrauenswürdiges Stammzertifikat zur Überprüfung des Servers
- Benachrichtigung: Geben Sie an, ob der Benutzer in einer Benachrichtigung gefragt werden soll, ob der Server als vertrauenswürdig eingestuft werden soll.
Innere Methode: Die äußere Methode erstellt einen sicheren Tunnel im Inneren, während die innere Methode verwendet wird, um die Authentifizierung abzuschließen:
- EAP-MSCHAPv2
- EAP-TLS
Schnelle Wiederherstellung der Verbindung: Verringert die Verzögerung zwischen einer Authentifizierungsanforderung von einem Client und der Antwort des Netzwerkrichtlinienservers (Network Policy Server, NPS) oder einem anderen RADIUS-Server (Remote Authentication Dial-in User Service). Dadurch werden Ressourcenanforderungen für Client und Server verringert, und die Häufigkeit, mit der Benutzer zur Eingabe von Anmeldeinformationen aufgefordert werden, wird minimiert.
Cryptobinding: Durch Ableiten und Austauschen von Werten aus dem PEAP Phase 1-Schlüsselmaterial (Tunnelschlüssel) und aus dem inneren EAP-Methodenschlüsselmaterial der PEAP-Phase 2 (InnerEr Sitzungsschlüssel) ist es möglich, nachzuweisen, dass die beiden Authentifizierungen bei den gleichen beiden Entitäten (PEAP-Peer und PEAP-Server) enden. Dieser als Kryptografiebindung bezeichnete Prozess wird zum Schutz der PEAP-Aushandlung vor Man-in-the-Middle-Angriffen verwendet.
Tunneled Transport Layer Security (TTLS)
- Innere Methode
- Nicht EAP
- Password Authentication-Protokoll (PAP)
- CHAP
- MSCHAP
- MSCHAPv2
- EAP
- MSCHAPv2
- TLS
- Nicht EAP
- Serverüberprüfung: Bei TTLS muss der Server überprüft werden. Folgendes kann konfiguriert werden:
- Servername
- Vertrauenswürdiges Stammzertifikat für Serverzertifikat
- Senden von Benachrichtigungen zur Serverüberprüfung
- Innere Methode
Bei einem UWP-VPN-Plug-In steuert der App-Anbieter die zu verwendende Authentifizierungsmethode. Die folgenden Arten von Anmeldeinformationen können verwendet werden:
- Smartcard
- Zertifikat
- Windows Hello for Business
- Benutzername und Kennwort
- Einmalkennwort
- Benutzerdefinierter Typ von Anmeldeinformationen
Konfigurieren der Authentifizierung
Informationen zum Netzwerkzugriff für die EAP-XML-Konfiguration finden Sie unter EAP-Konfiguration und Extensible Authentication Protocol (EAP).
Hinweis
Führen Sie zum Konfigurieren der Windows Hello for Business-Authentifizierung die Schritte unter EAP-Konfiguration aus, um ein Smartcardzertifikat zu erstellen. Erfahren Sie mehr über Windows Hello for Business.
Die folgende Abbildung zeigt das Feld für EAP-XML in einem Microsoft Intune-VPN-Profil. Das Feld für EAP-XML wird nur angezeigt, wenn Sie als Typ die integrierte Verbindung (Automatisch, IKEv2, L2TP, PPTP) auswählen.
