Integración de la infraestructura de VPN con la autenticación multifactor de Microsoft Entra ID mediante la extensión Servidor de directivas de redes para Azure

La extensión Servidor de directivas de red (NPS) para Azure permite a las organizaciones proteger la autenticación de cliente del servicio de acceso telefónico local de autenticación remota (RADIUS) mediante la autenticación multifactor de Microsoft Entra basada en la nube, que proporciona verificación en dos pasos.

En este artículo se proporcionan instrucciones para la integración de la infraestructura NPS con Azure MFA con la extensión NPS para Azure. Este proceso permite la verificación en dos pasos segura para los usuarios que intentan conectarse a la red mediante una VPN.

Nota

Aunque la extensión de MFA NPS admite la contraseña de un solo uso y duración definida (TOTP), determinados clientes VPN como VPN de Windows no lo hacen. Asegúrese de que los clientes VPN que usa admiten TOTP como método de autenticación antes de habilitarlos en la extensión NPS.

El rol Servicios de acceso y directivas de redes da a las organizaciones la posibilidad de hacer lo siguiente:

• Asignar una ubicación central para la administración y el control de las solicitudes de red para especificar:

  • Quién puede conectarse

  • A qué horas del día se permiten las conexiones

  • La duración de las conexiones

  • El nivel de seguridad que los clientes deben usar para conectarse

    En lugar de especificar las directivas en cada servidor VPN o de puerta de enlace de Escritorio remoto, debe hacerlo una vez que se encuentren en una ubicación central. El protocolo RADIUS se usa para proporcionar autenticación, autorización y contabilización de cuentas (AAA) centralizadas.

• Establecer y aplicar directivas de mantenimiento de cliente de Protección de acceso a redes (NAP) que determinan si los dispositivos tienen acceso restringido o sin restricciones a los recursos de la red.

• Proporcionar una forma de aplicar la autenticación y autorización para el acceso a puntos de acceso inalámbricos 802.1x y conmutadores Ethernet. Para obtener más información, consulte Servidor de directivas de red.

Para mejorar la seguridad y proporcionar un nivel elevado de cumplimiento, las organizaciones pueden integrar NPS con la autenticación multifactor de Microsoft Entra para asegurarse de que los usuarios utilizan la verificación en dos pasos para conectarse al puerto virtual en el servidor VPN. Para tener acceso, los usuarios deben proporcionar su combinación de nombre de usuario y contraseña y otra información que tengan bajo su control. Esta información debe ser de confianza y difícil de duplicar. Puede incluir un número de teléfono móvil, un número de teléfono fijo o una aplicación en un dispositivo móvil.

Si su organización usa una VPN y el usuario está registrado para un código TOTP junto con las notificaciones push de Authenticator, el usuario no puede cumplir el desafío de MFA y se produce un error en el inicio de sesión remoto. En ese caso, puede establecer OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE para revertir a las notificaciones de inserción en Aprobar o denegar con Authenticator.

Para que una extensión NPS siga funcionando para los usuarios VPN, esta clave del registro debe crearse en el servidor NPS. En el servidor NPS, abra el editor del registro. Vaya a:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

Cree el siguiente par cadena/valor:

Nombre: OVERRIDE_NUMBER_MATCHING_WITH_OTP

Valor = FALSE

Antes de la disponibilidad de la extensión NPS para Azure, los clientes que querían implementar la verificación en dos pasos para entornos integrados de NPS y MFA tenían que configurar y mantener un servidor independiente de MFA en un entorno local tal. La Puerta de Enlace de Escritorio Remoto y el Servidor de Autenticación Multifactor de Azure ofrecen este tipo de autenticación mediante RADIUS.

Con la extensión NPS para Azure, las organizaciones pueden proteger la autenticación de clientes RADIUS con la implementación de una solución MFA basada en el entorno local o de una solución MFA basada en la nube.

Flujo de autenticación

Cuando los usuarios se conectan a un puerto virtual en un servidor VPN, primero deben autenticarse mediante una variedad de protocolos. Los protocolos permiten usar una combinación de nombre de usuario y contraseña y métodos de autenticación basada en certificados.

Además de la autenticación y verificación de identidad, los usuarios deben tener los permisos adecuados de acceso telefónico. En implementaciones sencillas, los permisos de acceso telefónico que permiten tener acceso se establecen directamente en los objetos de usuario de Active Directory.

En implementaciones sencillas, cada servidor VPN concede o deniega el acceso en función de las directivas definidas en cada servidor VPN local.

En implementaciones más grandes y escalables, las directivas que conceden o deniegan el acceso a la VPN están centralizadas en servidores RADIUS. En estos casos, el servidor VPN actúa como un servidor de acceso (cliente RADIUS) que reenvía las solicitudes de conexión y mensajes de la cuenta a un servidor RADIUS. Para conectarse al puerto virtual en el servidor VPN, los usuarios deben autenticarse y cumplir las condiciones definidas de forma centralizada en servidores RADIUS.

Cuando la extensión NPS para Azure está integrada con NPS, el flujo de una autenticación correcta es el siguiente:

1. El servidor VPN recibe una solicitud de autenticación de un usuario de VPN que incluye el nombre de usuario y la contraseña para conectarse a un recurso, como una sesión de Escritorio remoto.
2. Actuando como cliente RADIUS, el servidor VPN convierte la solicitud en un mensaje de solicitud de acceso RADIUS y lo envía (con una contraseña cifrada) al servidor RADIUS donde está instalada la extensión NPS.
3. La combinación de nombre de usuario y contraseña se verifica en Active Directory. Si el nombre de usuario o la contraseña son incorrectos, el servidor RADIUS envía un mensaje Access-Reject .
4. Si se cumplen las condiciones de la solicitud de conexión NPS y las directivas de red (como la hora del día o las restricciones de pertenencia a grupos), la extensión NPS solicitará la autenticación secundaria con la autenticación multifactor de Microsoft Entra.
5. La autenticación multifactor de Microsoft Entra se comunica con el identificador de Microsoft Entra, recupera los detalles del usuario y usa el método configurado por el usuario (llamada de teléfono móvil, mensaje de texto o aplicación móvil) para realizar la autenticación secundaria.
6. Cuando el desafío de MFA se supera correctamente, la autenticación multifactor de Microsoft Entra comunica el resultado a la extensión NPS.
7. Después de autenticar y autorizar el intento de conexión, el NPS donde se instala la extensión envía un mensaje radius Access-Accept al servidor VPN (cliente RADIUS).
8. Se concede acceso al usuario al puerto virtual en el servidor VPN y se establece un túnel VPN cifrado.

Requisitos previos

En esta sección se detallan los requisitos previos que hay que cumplir antes de integrar MFA con la VPN. Antes de comenzar, debe cumplir los siguientes requisitos previos:

• Infraestructura de VPN
• Rol Servicios de acceso y directivas de redes
• Licencia de autenticación multifactor de Microsoft Entra
• Software de Windows Server
• Bibliotecas
• Microsoft Entra ID sincronizado con Active Directory local
• Identificador de GUID de Microsoft Entra

Infraestructura de VPN

En este artículo se da por supuesto que tiene una infraestructura de VPN en funcionamiento con Microsoft Windows Server 2016 y que el servidor VPN actualmente no está configurado para reenviar solicitudes de conexión a un servidor RADIUS. En este artículo, se va a configurar la infraestructura de VPN para usar un servidor RADIUS central.

Si no tiene una infraestructura de VPN en funcionamiento, puede crearla rápidamente siguiendo las instrucciones de numerosos tutoriales de configuración de VPN que puede encontrar en los sitios de Microsoft y de terceros.

El rol Servicios de acceso y directivas de redes

El rol Servicios de acceso y directivas de redes proporciona la funcionalidad de cliente y servidor RADIUS. En este artículo se da por supuesto que ha instalado el rol Servicios de acceso y directivas de redes en un servidor miembro o en un controlador de dominio en su entorno. En esta guía configurará RADIUS para una configuración de VPN. Instale el rol Servicios de acceso y directivas de redes en un servidor distinto del servidor VPN.

Para obtener información sobre cómo instalar el servicio de rol Servicios de acceso y directivas de redes en Windows Server 2012 o posterior, vea Install a NAP Health Policy Server (Instalación de un servidor de directivas de mantenimiento de NAP). NAP está en desuso en Windows Server 2016. Para obtener una descripción de los procedimientos recomendados para NPS, incluida la recomendación de instalar NPS en un controlador de dominio, consulte Procedimientos recomendados para NPS.

Software de Windows Server

La extensión NPS requiere Windows Server 2008 R2 SP1 o posterior, con el rol Servicios de acceso y directivas de redes instalado. Todos los pasos de esta guía se han realizado con Windows Server 2016.

Bibliotecas

La siguiente biblioteca se instala automáticamente con la extensión NPS:

• Paquetes redistribuibles de Visual C++ para Visual Studio 2013 (X64)

Si el módulo de PowerShell de Microsoft Graph aún no está presente, se instala con un script de configuración que se ejecuta como parte del proceso de instalación. No es necesario instalar PowerShell de Graph con antelación.

Microsoft Entra ID sincronizado con Active Directory local

Para usar la extensión NPS, los usuarios locales deben estar sincronizados con Microsoft Entra ID y estar habilitados para MFA. En esta guía se asume que los usuarios locales se sincronizan con Microsoft Entra ID a través de Microsoft Entra Connect. En la sección siguiente se proporcionan instrucciones para habilitar usuarios para MFA.

Para obtener información sobre Microsoft Entra Connect, consulte Integración de los directorios locales con el identificador de Microsoft Entra.

Identificador de GUID de Microsoft Entra

Para instalar la extensión NPS, debe conocer el GUID de Microsoft Entra ID. En la siguiente sección se proporcionan instrucciones para buscar el GUID de Microsoft Entra ID.

Configuración de RADIUS para conexiones VPN

Si instaló el rol NPS en un servidor miembro, debe configurarlo para autenticar y autorizar al cliente VPN que solicita conexiones VPN.

En esta sección se supone que ha instalado el rol Directiva de red y Servicios de acceso, pero no lo ha configurado para su uso en la infraestructura.

Nota

Si ya tiene un servidor VPN en funcionamiento que usa un servidor RADIUS centralizado para la autenticación, puede omitir esta sección.

Registro del servidor en Active Directory

Para que funcione correctamente en este escenario, el servidor NPS debe estar registrado en Active Directory.

1. Abra el Administrador de servidores.

2. En Administrador del servidor, seleccione Herramientas y, a continuación, seleccione Servidor de directivas de red.

3. En la consola del servidor de directivas de red, haga clic con el botón derecho en NPS (local) y, a continuación, seleccione Registrar servidor en Active Directory. Seleccione Aceptar dos veces.

   

4. Deje la consola abierta para el siguiente procedimiento.

Uso del asistente para configurar el servidor RADIUS

Puede usar la opción de configuración estándar (basada en asistente) o la opción avanzada para configurar el servidor RADIUS. En esta sección se supone que usa la opción de configuración estándar con el asistente.

1. En la consola del servidor de directivas de red, seleccione NPS (local) .

2. En Configuración estándar, seleccione Servidor RADIUS para conexiones de acceso telefónico o VPN y, a continuación, seleccione Configurar VPN o Acceso telefónico.

   

3. En la ventana Seleccionar tipo de conexiones de acceso telefónico o de red privada virtual, seleccione Conexiones de red privada virtual y, a continuación, seleccione Siguiente.

   

4. En la ventana Especificar servidor de acceso telefónico o VPN, elija Agregar.

5. En la ventana Nuevo cliente RADIUS , proporcione un nombre descriptivo, escriba el nombre que se puede resolver o la dirección IP del servidor VPN y, a continuación, escriba una contraseña secreta compartida. Elija una contraseña secreta compartida larga y compleja. Anótela, porque la necesitará en esta sección.

   

6. Seleccione Aceptar y, a continuación, seleccione Siguiente.

7. En la ventana Configurar métodos de autenticación , acepte la selección predeterminada (Microsoft Encrypted Authentication versión 2 [MS-CHAPv2]) o elija otra opción y seleccione Siguiente.

   Nota

   Si configura el protocolo de autenticación extensible (EAP), debe utilizar el protocolo de autenticación por desafío mutuo de Microsoft (CHAPv2) o el protocolo de autenticación extensible protegido (PEAP). No se admite ningún otro tipo de EAP.

8. En la ventana Especificar grupos de usuarios , seleccione Agregar y, a continuación, seleccione un grupo adecuado. Si no existe ningún grupo, deje la selección en blanco para conceder acceso a todos los usuarios.

   

9. Seleccione Siguiente.

10. En la ventana Especificar filtros IP , seleccione Siguiente.

11. En la ventana Especificar configuración de cifrado , acepte la configuración predeterminada y, a continuación, seleccione Siguiente.

    

12. En la ventana Especificar un nombre de dominio , deje el nombre del dominio en blanco, acepte la configuración predeterminada y, a continuación, seleccione Siguiente.

    

13. En la ventana Finalización de nuevas conexiones de acceso telefónico o red privada virtual y clientes RADIUS, seleccione Finalizar.

    

Verificación de la configuración de RADIUS

En esta sección se detalla la configuración creada con el asistente.

1. En el servidor de directivas de red, en la consola NPS (local), expanda Clientes RADIUS y, a continuación, seleccione Clientes RADIUS.

2. En el panel de detalles, haga clic con el botón derecho en el cliente RADIUS que creó y, a continuación, seleccione Propiedades. Las propiedades del cliente RADIUS (el servidor VPN) deben ser similares a las que se muestran a continuación:

   

3. Seleccione Cancelar.

4. En el servidor de directivas de red, en la consola NPS (local), expanda Directivas y, a continuación, seleccione Directivas de solicitud de conexión. La directiva Conexiones VPN aparece tal como se muestra en la siguiente imagen:

   

5. En Directivas, seleccione Directivas de red. Debería ver una directiva de conexiones de red privada virtual (VPN), parecida a la directiva que aparece en la imagen siguiente:

   

Configuración del servidor VPN para que utilice la autenticación RADIUS

En esta sección, configurará el servidor VPN para utilizar la autenticación RADIUS. En las instrucciones se supone que tiene una configuración de trabajo de un servidor VPN, pero no la ha configurado para usar la autenticación RADIUS. Después de configurar el servidor VPN, confirme que la configuración funciona según lo previsto.

Nota

Si ya tiene una configuración de servidor VPN en funcionamiento que usa autenticación RADIUS, puede omitir esta sección.

Configuración del proveedor de autenticación

1. En el servidor VPN, abra el Administrador del servidor.

2. En el Administrador del servidor, seleccione Herramientas y, a continuación, seleccione Enrutamiento y acceso remoto.

3. En la ventana Enrutamiento y acceso remoto , haga clic con el botón derecho en <nombre> de servidor (local) y, a continuación, seleccione Propiedades.

4. En la ventana Propiedades del nombre< del> servidor (local), seleccione la pestaña Seguridad.

5. En la pestaña Seguridad , en Proveedor de autenticación, seleccione Autenticación RADIUS y, a continuación, seleccione Configurar.

   

6. En la ventana Autenticación RADIUS , seleccione Agregar.

7. En la ventana Agregar servidor RADIUS , haga lo siguiente:

   1. En el cuadro Nombre del servidor, escriba el nombre o la dirección IP del servidor RADIUS que configuró en la sección anterior.

   2. En Secreto compartido, seleccione Cambiar y, a continuación, escriba la contraseña del secreto compartido que creó y registró anteriormente.

   3. En el cuadro Tiempo de espera (segundos), escriba un valor de 60. Para minimizar las solicitudes descartadas, se recomienda que los servidores VPN estén configurados con un tiempo de espera de al menos 60 segundos. Si es necesario, o para reducir las solicitudes descartadas en los registros de eventos, puede aumentar el valor de tiempo de espera del servidor VPN a 90 o 120 segundos.

8. Seleccione Aceptar.

Probar la conectividad VPN

En esta sección, confirmará que el servidor RADIUS se autentica y autoriza al cliente VPN al intentar conectarse al puerto virtual de VPN. En las instrucciones se supone que usa Windows 10 como cliente VPN.

Nota

Si ya configuró un cliente VPN para conectarse al servidor VPN y guardó la configuración, puede omitir los pasos relacionados con la configuración y el guardado de un objeto de conexión VPN.

1. En el equipo cliente VPN, seleccione el botón Inicio y, a continuación, seleccione el botón Configuración .

2. En la ventana Configuración de Windows , seleccione Red e Internet.

3. Seleccione VPN.

4. Seleccione Agregar una conexión VPN.

5. En la ventana Agregar una conexión VPN , en el cuadro Proveedor de VPN , seleccione Windows (integrado), complete los campos restantes, según corresponda, y seleccione Guardar.

   

6. Vaya al Panel de control y, a continuación, seleccione Centro de redes y uso compartido.

7. Seleccione Cambiar configuración del adaptador.

   

8. Haga clic con el botón derecho en la conexión de red VPN y seleccione Propiedades.

9. En la ventana propiedades de VPN, seleccione la pestaña Seguridad .

10. En la pestaña Seguridad , asegúrese de que solo está seleccionada la versión 2 de Microsoft CHAP (MS-CHAP v2) y, a continuación, seleccione Aceptar.

    

11. Haga clic con el botón derecho en la conexión VPN y seleccione Conectar.

12. En la ventana Configuración , seleccione Conectar.
    Aparece una conexión correcta en el registro de seguridad en el servidor RADIUS con el identificador de evento 6272, como se muestra a continuación:

    

Solución de problemas de RADIUS

Se supone que la configuración de VPN funcionaba correctamente antes de configurar el servidor VPN para que utilice un servidor RADIUS centralizado para la autenticación y autorización. Si la configuración funcionaba, es probable que se produzca un error de configuración del servidor RADIUS o el uso de un nombre de usuario o contraseña no válidos. Por ejemplo, si usa el sufijo UPN alternativo en el nombre de usuario, el intento de inicio de sesión podría producir errores. Utilice el mismo nombre de cuenta para obtener los mejores resultados.

Para solucionar estos problemas, un lugar ideal para comenzar es examinar los registros de eventos de seguridad en el servidor RADIUS. Para ahorrar tiempo buscando eventos, puede utilizar la vista personalizada basada en roles Servidor de directivas de red y acceso en el Visor de eventos, como se muestra a continuación. El "identificador de evento 6273" indica eventos en los que el servidor NPS deniega el acceso a un usuario.

Configuración de la autenticación multifactor

Para obtener ayuda para configurar usuarios para la autenticación multifactor, consulte los artículos Planeación de una implementación de autenticación multifactor de Microsoft Entra basada en la nube y Configuración de mi cuenta para la verificación en dos pasos.

Instalación y configuración de la extensión NPS

Esta sección proporciona instrucciones para configurar la VPN para usar MFA para la autenticación de cliente con el servidor VPN.

Nota

La clave del registro REQUIRE_USER_MATCH distingue mayúsculas de minúsculas. Todos los valores se deben expresar en mayúsculas.

Después de instalar y configurar la extensión NPS, este servidor requiere que toda la autenticación de cliente basada en RADIUS use MFA. Si todos los usuarios de VPN no están inscritos en la autenticación multifactor de Microsoft Entra, puede realizar una de las siguientes acciones:

• Configurar otro servidor RADIUS para autenticar a usuarios que no están configurados para usar MFA.

• Cree una entrada del registro que permita a los usuarios proporcionar un segundo factor de autenticación si están inscritos en la autenticación multifactor de Microsoft Entra.

Cree un nuevo valor de cadena denominado REQUIRE_USER_MATCH en HKLM\SOFTWARE\Microsoft\AzureMfa y establezca el valor en TRUE o FALSE.

Si el valor se establece en TRUE o está en blanco, todas las solicitudes de autenticación están sujetas a un desafío de MFA. Si el valor se establece en FALSE, los desafíos de MFA solo se emiten a los usuarios inscritos en la autenticación multifactor de Microsoft Entra. Use la configuración FALSE solo en entornos de prueba o de producción durante un período de incorporación.

Obtención del id. de inquilino del directorio

Como parte de la configuración de la extensión NPS, debe proporcionar las credenciales de administrador y el identificador del inquilino de Microsoft Entra. Para obtener el identificador de inquilino, complete los pasos siguientes:

1. Inicie sesión en el Centro de administración de Microsoft Entra.

2. Vaya a Entra ID>Visión general>Propiedades.

   

Instalación de la extensión de NPS

La extensión NPS debe instalarse en un servidor que tenga el rol Servicios de acceso y directivas de redes instalado y que funcione como servidor RADIUS en el diseño. No instale la extensión NPS en el servidor VPN.

1. Descargue la extensión NPS del Centro de descarga de Microsoft.

2. Copie el archivo ejecutable de instalación (NpsExtnForAzureMfaInstaller.exe) en el servidor NPS.

3. En el servidor NPS, haga doble clic enNpsExtnForAzureMfaInstaller.exe y, si se le pide, seleccione Ejecutar.

4. En la ventana De instalación de la extensión NPS para la autenticación multifactor de Microsoft Entra , revise los términos de licencia de software, active la casilla Acepto los términos y condiciones de licencia y, a continuación, seleccione Instalar.

   

5. En la ventana Extensión NPS para Microsoft Entra configuración de autenticación multifactor, seleccione Cerrar.

   

Configuración de los certificados para su uso con la extensión NPS mediante un script de PowerShell de Graph

Configure los certificados para su uso con la extensión NPS para garantizar la seguridad de las comunicaciones. Los componentes de NPS incluyen un script de PowerShell de Graph que configura un certificado autofirmado para su uso con NPS.

Este script realiza las acciones siguientes:

• Crea un certificado autofirmado.
• Asocia la clave pública del certificado a la entidad de servicio en Microsoft Entra ID.
• Almacena el certificado en el almacén del equipo local.
• Concede acceso a la clave privada del certificado al usuario de red.
• Reinicia el servicio NPS.

Si desea utilizar sus propios certificados, debe asociar la clave pública de su certificado con la entidad de servicio en Microsoft Entra ID, etc.

Para usar el script, proporcione la extensión con las credenciales administrativas de Microsoft Entra y el identificador de inquilino de Microsoft Entra que copió anteriormente. La cuenta debe estar en el mismo inquilino de Microsoft Entra para el que desea habilitar la extensión. Ejecute el script en cada servidor NPS donde instaló la extensión NPS.

1. Ejecute PowerShell de Graph como administrador.

2. En el símbolo del sistema de PowerShell, escriba cd "c:\Program Files\Microsoft\AzureMfa\Config" y presione ENTRAR.

3. En la siguiente ventana del símbolo del sistema, escriba .\AzureMfaNpsExtnConfigSetup.ps1 y presione ENTRAR. El script comprueba si está instalado PowerShell de Graph. Si no está instalado, el script instala Graph PowerShell automáticamente.

   

   Si recibe un error de seguridad debido a TLS, habilite TLS 1.2 con el comando [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 desde el símbolo del sistema de PowerShell.

   Una vez que el script verifica la instalación del módulo de PowerShell, muestra la ventana de inicio de sesión del módulo de PowerShell de Graph.

4. Escriba sus credenciales y contraseñas de administrador de Microsoft Entra y, a continuación, seleccione Iniciar sesión.

5. En el símbolo del sistema, pegue el identificador del inquilino que copió anteriormente y después presione ENTRAR.

   

   El script crea un certificado autofirmado y realiza otros cambios en la configuración. La salida debe ser similar a la que se muestra en la imagen siguiente:

   

6. Reinicie el servidor.

Comprobar la configuración

Para verificar la configuración, debe establecer una conexión VPN nueva con el servidor VPN. Después de escribir correctamente las credenciales para la autenticación principal, la conexión VPN espera a que la autenticación secundaria se realice correctamente antes de establecer la conexión, como se muestra en la sección siguiente.

Si se autentica correctamente con el método de verificación secundario que configuró anteriormente en la autenticación multifactor de Microsoft Entra, está conectado al recurso. Sin embargo, si la autenticación secundaria no se realiza correctamente, se le deniega el acceso al recurso.

En el ejemplo siguiente, la aplicación Microsoft Authenticator en un dispositivo Windows Phone proporciona la autenticación secundaria:

Después de autenticarse correctamente mediante el método secundario, se le concede acceso al puerto virtual en el servidor VPN. Como ha sido necesario usar un método de autenticación secundario con una aplicación móvil en un dispositivo de confianza, el proceso de inicio de sesión es más seguro que utilizando solo una combinación de nombre de usuario y contraseña.

Visualización de los registros del Visor de eventos para eventos de inicio de sesión correcto

Para ver los eventos de inicio de sesión correctos en el Visor de eventos de Windows, puede ver el registro de seguridad o la vista personalizada Directiva de red y Access Services, como se muestra en la siguiente imagen:

En el servidor donde instaló la extensión NPS para la autenticación multifactor de Microsoft Entra, puede encontrar los registros del Visor de eventos específicos de la extensión en Registros de aplicaciones y servicios\Microsoft\AzureMfa.

Guía de solución de problemas

Si la configuración no funciona según lo previsto, empiece a solucionar problemas comprobando que el usuario está configurado para usar MFA. Haga que el usuario inicie sesión en el Centro de administración de Microsoft Entra. Si al usuario se le solicita la autenticación secundaria y se puede autenticar correctamente, puede descartar una configuración incorrecta de MFA.

Si MFA funciona para el usuario, debe revisar los registros pertinentes del Visor de eventos. Se incluyen los registros de eventos de seguridad, los registros operativos de la puerta de enlace y los registros de la autenticación multifactor de Microsoft Entra descritos en la sección anterior.

A continuación, se muestra un ejemplo de un registro de seguridad que muestra un evento de inicio de sesión con errores (identificador de evento 6273):

Aquí se muestra un evento relacionado del registro de autenticación multifactor de Microsoft Entra:

Para realizar opciones avanzadas de solución de problemas, consulte los archivos de registro de formato de la base de datos de NPS donde está instalado el servicio NPS. Los archivos de registro se crean en la carpeta %SystemRoot%\System32\Logs como archivos de texto delimitados por comas. Para obtener una descripción de los archivos de registro, consulte Interpret NPS Database Format Log Files.

Las entradas de estos archivos de registro son difíciles de interpretar, a menos que los exporte en una hoja de cálculo o una base de datos. Puede encontrar muchas herramientas de análisis del Servicio de autenticación de Internet en línea para facilitar la interpretación de los archivos de registro. La salida de una aplicación de shareware descargable se muestra aquí:

Para solucionar problemas adicionales, puede usar un analizador de protocolos como Wireshark o Microsoft Message Analyzer. La siguiente imagen de Wireshark muestra los mensajes RADIUS entre el servidor VPN y el servidor NPS.

Para obtener más información, consulte Integración de la infraestructura NPS existente con la autenticación multifactor de Microsoft Entra.

Pasos siguientes

Obtención de la autenticación multifactor de Microsoft Entra

Puerta de enlace de Escritorio remoto y Servidor Azure Multi-Factor Authentication con RADIUS

Integración de los directorios locales con microsoft Entra ID