Étape 7. (Facultatif) Accès conditionnel pour la connectivité VPN à l’aide d’Azure AD

Dans cette étape facultative, vous pouvez affiner la façon dont les utilisateurs VPN accèdent à vos ressources à l’aide de l’accès conditionnel Azure Active Directory (Azure AD). Avec l’accès conditionnel Azure AD pour la connectivité de réseau privé virtuel (VPN), vous pouvez protéger les connexions VPN. L’accès conditionnel est un moteur d’évaluation basé sur les stratégies qui vous permet de créer des règles d’accès pour n’importe quelle application connectée Azure Active Directory (Azure AD).

Prérequis

Vous êtes familiarisé avec les rubriques suivantes :

Pour configurer l’accès conditionnel Azure Active Directory pour la connectivité VPN, vous devez configurer les éléments suivants :

Étape 7.1. Configurer EAP-TLS pour ignorer la vérification de la liste de révocation de certificats (CRL)

Dans cette étape, vous pouvez ajouter IgnoreNoRevocationCheck et le définir pour autoriser l’authentification des clients lorsque le certificat n’inclut pas de points de distribution de liste de révocation de certificats. Par défaut, IgnoreNoRevocationCheck est défini sur 0 (désactivé).

Un client EAP-TLS ne peut pas se connecter, sauf si le serveur NPS termine une vérification de révocation de la chaîne de certificats (y compris le certificat racine). Les certificats cloud émis à l’utilisateur par Azure AD n’ont pas de liste de révocation de certificats, car ils sont des certificats de courte durée de vie d’une heure. EAP sur NPS doit être configuré pour ignorer l’absence d’une liste de révocation de certificats. Étant donné que la méthode d’authentification est EAP-TLS, cette valeur de Registre est nécessaire uniquement sous EAP\13. Si d’autres méthodes d’authentification EAP sont utilisées, la valeur de Registre doit également être ajoutée sous celles-ci.

Étape 7.2. Créer des certificats racine pour l’authentification VPN avec Azure AD

Dans cette étape, vous configurez les certificats racines pour l’authentification VPN avec Azure AD, ce qui crée automatiquement une application cloud de serveur VPN dans le locataire.

Pour configurer l’accès conditionnel pour la connectivité VPN, vous devez :

  1. Créer un certificat VPN dans le portail Azure
  2. Télécharger le certificat VPN
  3. Déployer le certificat sur votre serveur VPN

Important

Une fois qu’un certificat VPN est créé dans le portail Azure, Azure AD commence à l’utiliser immédiatement pour émettre des certificats de courte durée au client VPN. Il est essentiel que le certificat VPN soit déployé immédiatement sur le serveur VPN pour éviter tout problème lié à la validation des informations d’identification du client VPN.

Notes

Pour créer un certificat VPN dans le portail Azure, vous devez vous connecter en tant qu’administrateur général. Les informations de certificat VPN, telles que l’empreinte de certificat et les informations d’expiration de certificat, sont stockées en tant que principal de service nommé « Serveur VPN » dans Azure AD. Un utilisateur disposant d’un rôle avec des privilèges minimum peut afficher, mais pas modifier les informations du principal de service. Seuls les rôles suivants : Administrateur général, Administrateur d’application, Administrateur d’application cloud, Administrateur d’identité hybride, Comptes de synchronisation d’annuaires et propriétaires de principal de service sont prédéfinis pour mettre à jour ou supprimer des informations sur le principal de service, notamment « Serveur VPN ».

Étape 7.3. Configurer la stratégie d’accès conditionnel

Dans cette étape, vous configurez la stratégie d’accès conditionnel pour la connectivité VPN.

Pour configurer la stratégie d’accès conditionnel, vous devez :

  1. Créez une stratégie d’accès conditionnel affectée aux utilisateurs VPN.
  2. Définissez l’application cloud sur le serveur VPN.
  3. Définissez l’octroi (contrôle d’accès) sur Exiger l’authentification multifacteur. Vous pouvez utiliser d’autres contrôles si nécessaire.

Étape 7.4. Déployer des certificats racines d’accès conditionnel sur AD local

Dans cette étape, vous déployez un certificat racine approuvé pour l’authentification VPN sur votre ad local.

Pour déployer le certificat racine approuvé, vous devez :

  1. Ajoutez le certificat téléchargé en tant qu’autorité de certification racine approuvée pour l’authentification VPN.
  2. Importez le certificat racine sur le serveur VPN et le client VPN.
  3. Vérifiez que les certificats sont présents et affichés comme approuvés.

Étape 7.5. Créer des profils VPNv2 basés sur OMA-DM sur les appareils Windows 10

Dans cette étape, vous pouvez créer des profils VPNv2 basés sur OMA-DM à l’aide d’Intune pour déployer une stratégie de configuration d’appareil VPN. Si vous souhaitez utiliser Configuration Manager ou un script PowerShell pour créer des profils VPNv2, consultez les paramètres CSP VPNv2 pour plus d’informations.

Étapes suivantes

Étape 7.1. Configurez EAP-TLS pour ignorer la vérification de la liste de révocation de certificats : dans cette étape, vous devez ajouter IgnoreNoRevocationCheck et le définir pour autoriser l’authentification des clients lorsque le certificat n’inclut pas de points de distribution de liste de révocation de certificats. Par défaut, IgnoreNoRevocationCheck est défini sur 0 (désactivé).

  • Configurer des profils VPNv2 : le client VPN peut désormais s’intégrer à la plateforme d’accès conditionnel basée sur le cloud pour fournir une option de conformité des appareils pour les clients distants. Dans cette étape, vous configurez les profils VPNv2 avec <DeviceCompliance><Enabled true</Enabled>>.

  • Amélioration de l’accès à distance dans Windows 10 avec un profil VPN automatique : découvrez comment Microsoft implémente l’accès conditionnel pour la connectivité VPN. Les profils VPN contiennent toutes les informations requises par un appareil pour se connecter au réseau d’entreprise, y compris les méthodes d’authentification prises en charge et le serveur VPN auquel l’appareil doit se connecter. Les modifications apportées à la mise à jour anniversaire Windows 10, notamment l’accès conditionnel et l’authentification unique, nous avons permis de créer notre profil de connexion VPN Always-On.

  • Accès conditionnel dans Azure Active Directory : la sécurité est une préoccupation majeure pour les organisations qui utilisent le cloud. L’un des aspects clés de la sécurité en matière de gestion des ressources du cloud est l’identité et l’accès. Dans les environnements mobiles et cloud, les utilisateurs peuvent accéder aux ressources de votre organisation en utilisant différents appareils et applications, n’importe où. Il en suffit donc plus de contrôler les personnes autorisées à accéder à une ressource. Afin de maîtriser l’équilibre entre sécurité et productivité, les professionnels de l’informatique doivent aussi prendre en compte les moyens d’accès à une ressource dans leur décision du contrôle d’accès.

  • VPN et accès conditionnel : le client VPN peut désormais s’intégrer à la plateforme d’accès conditionnel basée sur le cloud pour fournir une option de conformité des appareils pour les clients distants. L’accès conditionnel est un moteur d’évaluation basé sur les stratégies qui vous permet de créer des règles d’accès pour n’importe quelle application connectée Azure Active Directory (Azure AD).