Integración de la autenticación RADIUS de Azure VPN Gateway con el servidor NPS para la autenticación multifactor
En el artículo se describe cómo integrar el servidor de directivas de redes (NPS) con la autenticación RADIUS de Azure VPN Gateway a fin de ofrecer la autenticación multifactor a las conexiones VPN de punto a sitio.
Requisito previo
Para habilitar la autenticación multifactor, los usuarios deben estar en Microsoft Entra ID, que debe sincronizarse desde el entorno local o de nube. Además, el usuario ya debe haber completado el proceso de inscripción automática para MFA. Si la MFA está basada en texto (SMS, código de verificación de aplicaciones móviles, etc.) y requiere que el usuario escriba un código o texto en la interfaz de usuario del cliente VPN, la autenticación no se realizará correctamente y no es un escenario admitido. Para obtener más información, consulte Configuración de mi cuenta para la comprobación en dos pasos
Pasos detallados
Paso 1: Creación de una puerta de enlace de red virtual
Inicie sesión en Azure Portal.
En la red virtual que hospedará la puerta de enlace de red virtual, seleccione Subredes y, a continuación, Subred de puerta de enlace para crear una subred.
Cree una puerta de enlace de red virtual especificando la siguiente configuración:
Tipo de puerta de enlace: seleccione VPN.
Tipo de VPN: seleccione Basada en rutas.
SKU: seleccione un tipo de SKU basada en sus requisitos.
Red virtual: seleccione la red virtual en la que creó la subred de puerta de enlace.
Paso 2: Configuración de NPS para la autenticación multifactor de Microsoft Entra
En el servidor NPS, instale la extensión NPS para la autenticación multifactor de Microsoft Entra.
Abra la consola de NPS, haga clic con el botón derecho en Clientes RADIUS y seleccione Nuevo. Cree el cliente RADIUS especificando la siguiente configuración:
Nombre descriptivo: escriba cualquier nombre.
Dirección (IP o DNS) : escriba la subred de puerta de enlace que creó en el Paso 1.
Secreto compartido: escriba cualquier clave secreta y recuérdela para su uso posterior.
En la pestaña Avanzado, establezca el nombre del proveedor en RADIUS estándar y asegúrese de que la casilla Opciones adicionales no está activada.
Vaya a Directivas>Directivas de red, haga doble clic en la directiva Conexiones al servidor de enrutamiento y acceso remoto de Microsoft, seleccione Conceder acceso y, a continuación, haga clic en Aceptar.
Paso 3: Configuración de la puerta de enlace de red virtual
Inicie sesión en Azure Portal.
Abra la puerta de enlace de red virtual que creó. Asegúrese de que el tipo de puerta de enlace se establece en VPN y de que el tipo de VPN está basado en rutas.
Haga clic en Configuración de punto a sitio>Configurar ahora y, a continuación, especifique la siguiente configuración:
Grupo de direcciones: escriba la subred de puerta de enlace que creó en el paso 1.
Tipo de autenticación: seleccione Autenticación RADIUS.
Dirección IP del servidor: escriba la dirección IP del servidor NPS.