A VPN-infrastruktúra integrálása többtényezős Microsoft Entra-hitelesítéssel az Azure-hoz készült Network Policy Server-bővítmény használatával

  • Cikk

Az Azure-hoz készült Hálózati házirend-kiszolgáló (NPS) bővítmény lehetővé teszi a szervezetek számára a távoli hitelesítés betárcsázós felhasználói szolgáltatás (RADIUS) ügyfélhitelesítésének védelmét felhőalapú Microsoft Entra többtényezős hitelesítéssel, amely kétlépéses ellenőrzést biztosít.

Ez a cikk útmutatást nyújt az NPS-infrastruktúra MFA-val való integrálásához az Azure-hoz készült NPS-bővítmény használatával. Ez a folyamat lehetővé teszi a biztonságos kétlépéses ellenőrzést azon felhasználók számára, akik VPN használatával próbálnak csatlakozni a hálózathoz.

Feljegyzés

Bár az NPS MFA bővítmény támogatja az egyszeri jelszó (TOTP) használatát, bizonyos VPN-ügyfelek, például a Windows VPN nem. Mielőtt engedélyezi az NPS-bővítményben, győződjön meg arról, hogy a támogatott TOTP-t hitelesítési módszerként használja.

A hálózati házirendek és az Access Services lehetővé teszi a szervezetek számára a következő képességeket:

  • Rendeljen hozzá egy központi helyet a hálózati kérések kezeléséhez és vezérléséhez a következő megadásával:

    • Ki tud csatlakozni?

    • Milyen napszakokban engedélyezettek a kapcsolatok?

    • A kapcsolatok időtartama

    • Az a biztonsági szint, amelyet az ügyfeleknek használniuk kell a csatlakozáshoz

      Ahelyett, hogy házirendeket adnának meg az egyes VPN-kiszolgálókon vagy távoli asztali átjárókiszolgálókon, ezt a központi helyen kell elvégezniük. A RADIUS protokoll a központosított hitelesítés, engedélyezés és könyvelés (AAA) biztosítására szolgál.

  • Hozzon létre és kényszerítse ki a Network Access Protection (NAP) ügyfélállapot-szabályzatokat, amelyek meghatározzák, hogy az eszközök korlátlan vagy korlátozott hozzáférést kapnak-e a hálózati erőforrásokhoz.

  • A 802.1x képes vezeték nélküli hozzáférési pontokhoz és Ethernet-kapcsolókhoz való hozzáférés hitelesítésének és engedélyezésének kényszerítése. További információ: Hálózati házirend-kiszolgáló.

A biztonság javítása és a magas szintű megfelelőség biztosítása érdekében a szervezetek integrálhatják az NPS-t a Microsoft Entra többtényezős hitelesítéssel, hogy a felhasználók kétlépéses ellenőrzéssel csatlakozzanak a VPN-kiszolgálón lévő virtuális porthoz. Ahhoz, hogy a felhasználók hozzáférést kapjanak, meg kell adniuk a felhasználónevet és a jelszókombinációt, valamint az általuk szabályozható egyéb információkat. Ezeket az információkat megbízhatónak és nem könnyen duplikáltnak kell lenniük. Tartalmazhat mobiltelefonszámot, vezetékes telefonszámot vagy mobileszközökön lévő alkalmazást.

Ha a szervezet VPN-t használ, és a felhasználó regisztrálva van egy TOTP-kódra az Authenticator leküldéses értesítéseivel együtt, a felhasználó nem tud megfelelni az MFA-feladatnak, és a távoli bejelentkezés meghiúsul. Ebben az esetben beállíthatja, hogy OVERRIDE_NUMBER_MATCHING_WITH_OTP = FAL Standard kiadás tartalékként küldjön értesítéseket az Authenticator használatával történő jóváhagyásra/elutasításra.

Ahhoz, hogy az NPS-bővítmény tovább működjön a VPN-felhasználók számára, ezt a beállításkulcsot létre kell hozni az NPS-kiszolgálón. Nyissa meg a beállításszerkesztőt az NPS-kiszolgálón. Lépjen a következőre:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

Hozza létre a következő sztring/érték párot:

Név: OVERRIDE_NUMBER_MATCHING_WITH_OTP

Érték = FAL Standard kiadás

Az Azure NPS-bővítményének rendelkezésre állása előtt az integrált NPS- és MFA-környezetekhez kétlépéses ellenőrzést implementálni kívánó ügyfeleknek külön MFA-kiszolgálót kellett konfigurálni és fenntartaniuk egy helyszíni környezetben. Ezt a hitelesítést a távoli asztali átjáró és az Azure Multi-Factor Authentication-kiszolgáló kínálja RADIUS használatával.

Az Azure NPS-bővítményével a szervezetek biztonságossá tehetik a RADIUS-ügyfélhitelesítést helyszíni MFA-megoldás vagy felhőalapú MFA-megoldás üzembe helyezésével.

Hitelesítési folyamat

Amikor a felhasználók egy VPN-kiszolgálón lévő virtuális porthoz csatlakoznak, először különböző protokollok használatával kell hitelesíteniük magukat. A protokollok lehetővé teszik a felhasználónév, a jelszó és a tanúsítványalapú hitelesítési módszerek kombinációjának használatát.

Az identitás hitelesítése és ellenőrzése mellett a felhasználóknak megfelelő betárcsázási engedélyekkel kell rendelkezniük. Az egyszerű implementációkban a hozzáférést engedélyező betárcsázós engedélyek közvetlenül az Active Directory felhasználói objektumaihoz vannak beállítva.

Dial-in tab in Active Directory Users and Computers user properties

Egyszerű implementációk esetén minden VPN-kiszolgáló az egyes helyi VPN-kiszolgálókon definiált szabályzatok alapján biztosít vagy tagad hozzáférést.

A nagyobb és skálázhatóbb implementációkban a VPN-hozzáférést biztosító vagy megtagadó szabályzatok RADIUS-kiszolgálókon vannak központosítva. Ezekben az esetekben a VPN-kiszolgáló hozzáférési kiszolgálóként (RADIUS-ügyfélként) működik, amely továbbítja a kapcsolatkéréseket és a fióküzeneteket egy RADIUS-kiszolgálónak. A VPN-kiszolgáló virtuális portjához való csatlakozáshoz a felhasználókat hitelesíteni kell, és meg kell felelniük a RADIUS-kiszolgálókon központilag meghatározott feltételeknek.

Ha az Azure-hoz készült NPS-bővítmény integrálva van az NPS-vel, a sikeres hitelesítési folyamat az alábbiak szerint jön létre:

  1. A VPN-kiszolgáló hitelesítési kérést kap egy VPN-felhasználótól, amely tartalmazza az erőforráshoz való csatlakozáshoz szükséges felhasználónevet és jelszót, például távoli asztali munkamenetet.
  2. A VPN-kiszolgáló RADIUS-ügyfélként alakítja át a kérést RADIUS Access-Request üzenetté, és elküldi (titkosított jelszóval) annak a RADIUS-kiszolgálónak, amelyen az NPS-bővítmény telepítve van.
  3. A felhasználónév és a jelszó kombinációja az Active Directoryban van ellenőrizve. Ha a felhasználónév vagy a jelszó helytelen, a RADIUS-kiszolgáló access-reject üzenetet küld.
  4. Ha az NPS-Csatlakozás ion-kérelemben és a hálózati házirendekben megadott feltételek teljesülnek (például a nap időpontja vagy a csoporttagság korlátozásai), az NPS-bővítmény a Microsoft Entra többtényezős hitelesítéssel történő másodlagos hitelesítésre vonatkozó kérést indít el.
  5. A Microsoft Entra többtényezős hitelesítés kommunikál a Microsoft Entra-azonosítóval, lekéri a felhasználó adatait, és a felhasználó által konfigurált módszerrel (mobiltelefonos hívás, szöveges üzenet vagy mobilalkalmazás) hajtja végre a másodlagos hitelesítést.
  6. Ha az MFA-feladat sikeres, a Microsoft Entra többtényezős hitelesítés közli az eredményt az NPS-bővítménysel.
  7. A csatlakozási kísérlet hitelesítése és engedélyezése után a bővítményt futtató hálózati házirend-kiszolgáló radius-hozzáférés-elfogadás üzenetet küld a VPN-kiszolgálónak (RADIUS-ügyfélnek).
  8. A felhasználó hozzáférést kap a VPN-kiszolgálón található virtuális porthoz, és létrehoz egy titkosított VPN-alagutat.

Előfeltételek

Ez a szakasz ismerteti azokat az előfeltételeket, amelyeket el kell végezni, mielőtt integrálhatja az MFA-t a VPN-vel. A kezdés előtt a következő előfeltételeknek kell teljesülniük:

  • VPN-infrastruktúra
  • Hálózati házirend és hozzáférési szolgáltatások szerepkör
  • Microsoft Entra többtényezős hitelesítési licenc
  • Windows Server-szoftver
  • Kódtárak
  • Microsoft Entra-azonosító szinkronizálva helyi Active Directory
  • Microsoft Entra GUID-azonosító

VPN-infrastruktúra

Ez a cikk feltételezi, hogy a Microsoft Windows Server 2016-ot használó működő VPN-infrastruktúrával rendelkezik, és a VPN-kiszolgáló jelenleg nincs konfigurálva a kapcsolatkérések RADIUS-kiszolgálóra való továbbítására. A cikkben a VPN-infrastruktúrát úgy konfigurálja, hogy központi RADIUS-kiszolgálót használjon.

Ha nem rendelkezik működő VPN-infrastruktúrával, gyorsan létrehozhat egyet a Microsoft és a külső webhelyeken található számos VPN-beállítási oktatóanyag útmutatását követve.

A Hálózati házirend és az Access Services szerepkör

A Hálózati házirend és az Access Services biztosítja a RADIUS-kiszolgáló és az ügyfél funkcióit. Ez a cikk feltételezi, hogy telepítette a Hálózati házirend és az Access Services szerepkört egy tagkiszolgálóra vagy tartományvezérlőre a környezetében. Ebben az útmutatóban vpn-konfigurációhoz konfigurálja a RADIUS-t. Telepítse a Hálózati házirend és az Access Services szerepkört a VPN-kiszolgálótól eltérő kiszolgálóra.

A Windows Server 2012 vagy újabb hálózati házirend és Access Services szerepkör-szolgáltatás telepítéséről további információt a NAP Health Policy Server telepítése című témakörben talál. A NAP elavult a Windows Server 2016-ban. Az NPS ajánlott eljárásainak leírását, beleértve az NPS tartományvezérlőre való telepítésére vonatkozó javaslatot, tekintse meg az NPS ajánlott eljárásait.

Windows Server-szoftver

Az NPS-bővítményhez Windows Server 2008 R2 SP1 vagy újabb verzió szükséges, és telepítve van a Hálózati házirend és az Access Services szerepkör. Az útmutató lépéseit a Windows Server 2016-ban hajtottuk végre.

Kódtárak

Az NPS-bővítmény automatikusan telepíti a következő kódtárat:

Ha a Microsoft Graph PowerShell-modul még nincs jelen, akkor egy konfigurációs szkripttel van telepítve, amelyet a telepítési folyamat részeként futtat. Nincs szükség a Graph PowerShell előzetes telepítésére.

Microsoft Entra-azonosító szinkronizálva helyi Active Directory

Az NPS-bővítmény használatához a helyszíni felhasználókat szinkronizálni kell a Microsoft Entra-azonosítóval, és engedélyezni kell az MFA-t. Ez az útmutató feltételezi, hogy a helyszíni felhasználók szinkronizálva vannak a Microsoft Entra-azonosítóval a Microsoft Entra Csatlakozás keresztül. A felhasználók MFA-hoz való engedélyezésére vonatkozó utasításokat alább találja.

A Microsoft Entra Csatlakozás a helyszíni címtárak integrálása a Microsoft Entra-azonosítóval című témakörben talál további információt.

Microsoft Entra GUID-azonosító

Az NPS-bővítmény telepítéséhez ismernie kell a Microsoft Entra-azonosító GUID azonosítóját. A Microsoft Entra-azonosító GUID azonosítójának megkeresésére vonatkozó utasításokat a következő szakaszban találja.

RADIUS konfigurálása VPN-kapcsolatokhoz

Ha telepítette az NPS-szerepkört egy tagkiszolgálóra, konfigurálnia kell a VPN-kapcsolatokat kérő VPN-ügyfél hitelesítésére és engedélyezésére.

Ez a szakasz feltételezi, hogy telepítette a Hálózati házirend és az Access Services szerepkört, de nem konfigurálta az infrastruktúrában való használatra.

Feljegyzés

Ha már rendelkezik egy működő VPN-kiszolgálóval, amely központi RADIUS-kiszolgálót használ a hitelesítéshez, kihagyhatja ezt a szakaszt.

Kiszolgáló regisztrálása az Active Directoryban

Ebben a forgatókönyvben a megfelelő működéshez az NPS-kiszolgálót regisztrálni kell az Active Directoryban.

  1. Nyissa meg a Kiszolgálókezelőt.

  2. A Kiszolgálókezelő válassza az Eszközök, majd a Hálózati házirend-kiszolgáló lehetőséget.

  3. A Hálózati házirend-kiszolgáló konzolon kattintson a jobb gombbal az NPS (Helyi) elemre, majd válassza a Kiszolgáló regisztrálása az Active Directoryban lehetőséget. Kattintson kétszer az OK gombra .

    Register server in Active Directory menu option

  4. Hagyja nyitva a konzolt a következő eljáráshoz.

A RADIUS-kiszolgáló konfigurálása varázslóval

A RADIUS-kiszolgáló konfigurálásához használhat szabványos (varázslóalapú) vagy speciális konfigurációs lehetőséget. Ez a szakasz feltételezi, hogy a varázslóalapú standard konfigurációs lehetőséget használja.

  1. A Hálózati házirend-kiszolgáló konzolján válassza az NPS (Helyi) lehetőséget.

  2. A Standard konfiguráció csoportban válassza a RADIUS-kiszolgálót a betárcsázási vagy VPN-Csatlakozás ionshoz, majd válassza a VPN vagy a betárcsázás konfigurálása lehetőséget.

    Configure RADIUS Server for Dial-Up or VPN Connections

  3. A Tárcsázás vagy a Virtuális magánhálózat Csatlakozás ions típus ablakában válassza a Virtuális magánhálózat Csatlakozás, majd a Tovább lehetőséget.

    Configure Virtual private network connections

  4. A Telefonos vagy VPN-kiszolgáló megadása ablakban válassza a Hozzáadás lehetőséget.

  5. Az Új RADIUS-ügyfélablakban adjon meg egy rövid nevet, adja meg a VPN-kiszolgáló feloldható nevét vagy IP-címét, majd adjon meg egy megosztott titkos jelszót. A megosztott titkos jelszó hosszú és összetett legyen. Jegyezze fel, mert a következő szakaszban szüksége lesz rá.

    Create a New RADIUS client window

  6. Kattintson az OK gombra, majd a Tovább gombra.

  7. A Hitelesítési módszerek konfigurálása ablakban fogadja el az alapértelmezett beállítást (Microsoft Encrypted Authentication 2. verzió [MS-CHAPv2]), vagy válasszon másik lehetőséget, és válassza a Tovább lehetőséget.

    Feljegyzés

    Ha az Extensible Authentication Protocol (EAP) protokollt konfigurálja, a Microsoft Challenge-Handshake Authentication Protocol (CHAPv2) vagy a Védett Extensible Authentication Protocol (PEAP) protokollt kell használnia. Más EAP nem támogatott.

  8. A Felhasználói csoportok megadása ablakban válassza a Hozzáadás, majd a megfelelő csoport kiválasztása lehetőséget. Ha nincs csoport, hagyja üresen a kijelölést, hogy hozzáférést biztosítson az összes felhasználónak.

    Specify User Groups window to allow or deny access

  9. Válassza a Tovább lehetőséget.

  10. Az IP-szűrők megadása ablakban válassza a Tovább gombot.

  11. A Titkosítás megadása Gépház ablakban fogadja el az alapértelmezett beállításokat, majd válassza a Tovább gombot.

    The Specify Encryption Settings window

  12. A Tartománynév megadása ablakban hagyja üresen a tartománynevet, fogadja el az alapértelmezett beállítást, majd válassza a Tovább gombot.

    The Specify a Realm Name window

  13. Az Új betárcsázási vagy virtuális magánhálózati Csatlakozás és RADIUS-ügyfelek ablakban válassza a Befejezés lehetőséget.

    Completed configuration window

A RADIUS-konfiguráció ellenőrzése

Ez a szakasz a varázslóval létrehozott konfigurációt ismerteti.

  1. A hálózati házirend-kiszolgálón, az NPS (helyi) konzolon bontsa ki a RADIUS-ügyfelek elemet, majd válassza a RADIUS-ügyfelek lehetőséget.

  2. A részletek panelen kattintson a jobb gombbal a létrehozott RADIUS-ügyfélre, majd válassza a Tulajdonságok lehetőséget. A RADIUS-ügyfél (a VPN-kiszolgáló) tulajdonságainak az alábbihoz hasonlónak kell lenniük:

    Verify the VPN properties and configuration

  3. Válassza a Mégse lehetőséget.

  4. A hálózati házirend-kiszolgálón, az NPS (helyi) konzolon bontsa ki a Házirendek elemet, majd válassza a Csatlakozás ion Request Policies elemet. A VPN Csatlakozás ions szabályzat az alábbi képen látható módon jelenik meg:

    Connection request policy showing VPN connection policy

  5. A Szabályzatok csoportban válassza a Hálózati házirendek lehetőséget. Egy virtuális magánhálózati (VPN-) Csatlakozás ions-szabályzatnak kell megjelennie, amely az alábbi képen látható szabályzathoz hasonlít:

    Network Policies showing Virtual Private Network Connections policy

A VPN-kiszolgáló konfigurálása RADIUS-hitelesítés használatára

Ebben a szakaszban a VPN-kiszolgálót radius-hitelesítés használatára konfigurálja. Az utasítások feltételezik, hogy rendelkezik egy VPN-kiszolgáló működő konfigurációval, de nem konfigurálta RADIUS-hitelesítés használatára. A VPN-kiszolgáló konfigurálása után ellenőrizze, hogy a konfiguráció a várt módon működik-e.

Feljegyzés

Ha már rendelkezik RADIUS-hitelesítést használó működő VPN-kiszolgálókonfigurációval, kihagyhatja ezt a szakaszt.

Hitelesítésszolgáltató konfigurálása

  1. A VPN-kiszolgálón nyissa meg a Kiszolgálókezelő.

  2. A Kiszolgálókezelő válassza az Eszközök, majd az Útválasztás és távelérés lehetőséget.

  3. Az Útválasztás és távelérés ablakban kattintson< a jobb gombbal a kiszolgáló nevére> (helyi), majd válassza a Tulajdonságok lehetőséget.

  4. <A kiszolgálónév> (helyi) Tulajdonságok ablakában válassza a Biztonság lapot.

  5. A Biztonság lap Hitelesítésszolgáltató területén válassza a RADIUS-hitelesítés, majd a Konfigurálás lehetőséget.

    Configure RADIUS Authentication provider

  6. A RADIUS-hitelesítés ablakban válassza a Hozzáadás lehetőséget.

  7. A RADIUS-kiszolgáló hozzáadása ablakban tegye a következőket:

    1. A Kiszolgálónév mezőbe írja be az előző szakaszban konfigurált RADIUS-kiszolgáló nevét vagy IP-címét.

    2. A megosztott titkos kód esetében válassza a Módosítás lehetőséget, majd adja meg a korábban létrehozott és rögzített megosztott titkos jelszót.

    3. Az Időtúllépés (másodperc) mezőbe írja be a 60 értéket. Az elvetett kérelmek minimalizálása érdekében javasoljuk, hogy a VPN-kiszolgálók legalább 60 másodperces időtúllépéssel legyenek konfigurálva. Ha szükséges, vagy az eseménynaplókban szereplő elvetett kérések csökkentése érdekében a VPN-kiszolgáló időtúllépési értékét 90 vagy 120 másodpercre növelheti.

  8. Kattintson az OK gombra.

VPN-kapcsolat tesztelése

Ebben a szakaszban megerősíti, hogy a VPN-ügyfelet a RADIUS-kiszolgáló hitelesíti és engedélyezi, amikor megpróbál csatlakozni a VPN virtuális porthoz. Az utasítások feltételezik, hogy a Windows 10-et VPN-ügyfélként használja.

Feljegyzés

Ha már konfigurált egy VPN-ügyfelet a VPN-kiszolgálóhoz való csatlakozáshoz, és mentette a beállításokat, kihagyhatja a VPN-kapcsolatobjektum konfigurálásával és mentésével kapcsolatos lépéseket.

  1. A VPN-ügyfélszámítógépen válassza a Start gombot, majd a Gépház gombot.

  2. A Windows Gépház ablakban válassza a Hálózat és internet lehetőséget.

  3. Válassza ki a VPN-t.

  4. Válassza a VPN-kapcsolat hozzáadása lehetőséget.

  5. A VPN-kapcsolat hozzáadása ablak VPN-szolgáltató mezőjében válassza a Windows (beépített) lehetőséget, töltse ki a fennmaradó mezőket a megfelelő módon, majd válassza a Mentés lehetőséget.

    The

  6. Nyissa meg a Vezérlőpult, majd válassza a Hálózat és megosztási központ lehetőséget.

  7. Válassza az Adapter beállításainak módosítása lehetőséget.

    Network and Sharing Center - Change adapter settings

  8. Kattintson a jobb gombbal a VPN-hálózati kapcsolatra, majd válassza a Tulajdonságok lehetőséget.

  9. A VPN tulajdonságok ablakában válassza a Biztonság lapot.

  10. A Biztonság lapon győződjön meg arról, hogy csak a Microsoft CHAP 2-es verziója (MS-CHAP v2) van kiválasztva, majd kattintson az OK gombra.

    The

  11. Kattintson a jobb gombbal a VPN-kapcsolatra, majd válassza a Csatlakozás.

  12. A Gépház ablakban válassza a Csatlakozás lehetőséget.
    Sikeres kapcsolat jelenik meg a BIZTONSÁGI naplóban a RADIUS-kiszolgálón, 6272-es eseményazonosítóként, az itt látható módon:

    Event Properties window showing a successful connection

RADIUS hibaelhárítása

Tegyük fel, hogy a VPN-konfiguráció működött, mielőtt a VPN-kiszolgálót központi RADIUS-kiszolgáló használatára konfigurálta a hitelesítéshez és engedélyezéshez. Ha a konfiguráció működött, valószínű, hogy a problémát a RADIUS-kiszolgáló helytelen konfigurációja vagy érvénytelen felhasználónév vagy jelszó használata okozza. Ha például a felhasználónévben a másodlagos UPN-utótagot használja, a bejelentkezési kísérlet meghiúsulhat. A legjobb eredmény érdekében használja ugyanazt a fióknevet.

A problémák elhárításához ideális kiindulópont a RADIUS-kiszolgálón található biztonsági eseménynaplók vizsgálata. Az események keresésével időt takaríthat meg, ha a szerepköralapú hálózati házirendet és az Access Server egyéni nézetét használja a Eseménynapló, ahogy az itt látható. Az "Eseményazonosító: 6273" olyan eseményeket jelöl, ahol az NPS megtagadta a hozzáférést egy felhasználóhoz.

Event Viewer showing NPAS events

Többfaktoros hitelesítés beállítása

Ha segítségre van szüksége a felhasználók többtényezős hitelesítéshez való konfigurálásához, olvassa el a Felhőalapú Microsoft Entra többtényezős hitelesítés üzembe helyezésének tervezése és a fiók beállítása kétlépéses ellenőrzéshez című cikket

Az NPS-bővítmény telepítése és konfigurálása

Ez a szakasz útmutatást nyújt annak konfigurálásához, hogy a VPN MFA-t használjon a VPN-kiszolgálóval való ügyfél-hitelesítéshez.

Feljegyzés

A REQUIRE_U Standard kiadás R_MATCH beállításkulcs megkülönbözteti a kis- és nagybetűt. Minden értéknek FELSŐ CA Standard kiadás formátumban kell lennie.

Az NPS-bővítmény telepítése és konfigurálása után a kiszolgáló által feldolgozott összes RADIUS-alapú ügyfélhitelesítésre szükség van az MFA használatához. Ha az összes VPN-felhasználója nincs regisztrálva a Microsoft Entra többtényezős hitelesítésben, az alábbiak egyikét teheti:

  • Állítson be egy másik RADIUS-kiszolgálót az MFA használatára nem konfigurált felhasználók hitelesítéséhez.

  • Hozzon létre egy beállításjegyzék-bejegyzést, amely lehetővé teszi a felhasználók számára, hogy második hitelesítési tényezőt adjanak meg, ha többtényezős Microsoft Entra-hitelesítésben regisztrálják őket.

Hozzon létre egy REQUIRE_U Standard kiadás R_MATCH nevű új sztringértéket a HKLM\SOFTWARE\Microsoft\AzureMfa fájlban, és állítsa az értéket IGAZ vagy FAL értékre Standard kiadás.

The

Ha az érték ÉRTÉKE IGAZ vagy üres, az összes hitelesítési kérés MFA-kihívásnak van kitéve. Ha az érték FAL Standard kiadás értékre van állítva, az MFA-kihívások csak a Microsoft Entra többtényezős hitelesítésben regisztrált felhasználók számára jelennek meg. A FAL Standard kiadás beállítást csak tesztelési vagy éles környezetben használja egy előkészítési időszakban.

A címtár-bérlő azonosítójának beszerzése

Az NPS-bővítmény konfigurációjának részeként meg kell adnia a rendszergazdai hitelesítő adatokat és a Microsoft Entra-bérlő azonosítóját. A bérlőazonosító lekéréséhez hajtsa végre a következő lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális Rendszergazda istratorként.

  2. Keresse meg az identitást> Gépház.

    Getting the Tenant ID from the Microsoft Entra admin center

Az NPS-bővítmény telepítése

Az NPS-bővítményt olyan kiszolgálón kell telepíteni, amelyen telepítve van a Hálózati házirend és az Access Services szerepkör, és amely RADIUS-kiszolgálóként működik a tervben. Ne telepítse az NPS-bővítményt a VPN-kiszolgálóra.

  1. Töltse le az NPS-bővítményt a Microsoft Letöltőközpontból.

  2. Másolja a telepítő végrehajtható fájlt (NpsExtnForAzureMfaInstaller.exe) az NPS-kiszolgálóra.

  3. Az NPS-kiszolgálón kattintson duplán a NpsExtnForAzureMfaInstaller.exe, és ha a rendszer kéri, válassza a Futtatás lehetőséget.

  4. A Microsoft Entra többtényezős hitelesítés beállítási ablakában tekintse át a szoftverlicencek feltételeit, jelölje be az Elfogadom a licencfeltételeket és feltételeket jelölőnégyzetet, majd válassza a Telepítés lehetőséget.

    The

  5. A Microsoft Entra többtényezős hitelesítés beállítási ablakának NPS-bővítményében válassza a Bezárás lehetőséget.

    The

Tanúsítványok konfigurálása az NPS-bővítménnyel való használatra Graph PowerShell-szkript használatával

A biztonságos kommunikáció és biztonság biztosítása érdekében konfigurálja a tanúsítványokat az NPS-bővítmény általi használatra. Az NPS-összetevők közé tartozik egy Graph PowerShell-szkript, amely önaláírt tanúsítványt konfigurál az NPS-hez való használatra.

A szkript a következő műveleteket hajtja végre:

  • Önaláírt tanúsítványt hoz létre.
  • A tanúsítvány nyilvános kulcsát a Microsoft Entra ID szolgáltatásnévhez társítja.
  • A tanúsítványt a helyi géptárolóban tárolja.
  • Hozzáférést biztosít a hálózati felhasználónak a tanúsítvány titkos kulcsához.
  • Újraindítja az NPS szolgáltatást.

Ha saját tanúsítványokat szeretne használni, a tanúsítvány nyilvános kulcsát a Microsoft Entra ID szolgáltatásnévhez kell társítania, és így tovább.

A szkript használatához adja meg a bővítményt a Microsoft Entra rendszergazdai hitelesítő adataival és a korábban másolt Microsoft Entra-bérlőazonosítóval. A fióknak ugyanabban a Microsoft Entra-bérlőben kell lennie, amelyben engedélyezni szeretné a bővítményt. Futtassa a szkriptet minden NPS-kiszolgálón, ahol telepíti az NPS-bővítményt.

  1. Futtassa a Graph PowerShellt rendszergazdaként.

  2. A PowerShell parancssorában adja meg a következő cd-t: "c:\Program Files\Microsoft\AzureMfa\Config", majd válassza az Enter lehetőséget.

  3. A következő parancssorba írja be az .\AzureMfaNpsExtnConfigSetup.ps1 parancsot, majd válassza az Enter elemet. A szkript ellenőrzi, hogy telepítve van-e a Graph PowerShell. Ha nincs telepítve, a szkript telepíti Önnek a Graph PowerShellt.

    Running the AzureMfsNpsExtnConfigSetup.ps1 configuration script

    Ha A TLS miatt biztonsági hiba jelenik meg, engedélyezze a TLS 1.2-t a [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 PowerShell-parancssor parancsával.

    Miután a szkript ellenőrizte a PowerShell-modul telepítését, megjelenik a Graph PowerShell-modul bejelentkezési ablaka.

  4. Adja meg a Microsoft Entra rendszergazdai hitelesítő adatait és jelszavát, majd válassza a Bejelentkezés lehetőséget.

  5. A parancssorban illessze be a korábban másolt bérlőazonosítót, majd válassza az Enter lehetőséget.

    Input the Microsoft Entra tenant ID copied before

    A szkript létrehoz egy önaláírt tanúsítványt, és más konfigurációs módosításokat hajt végre. A kimenet a következő képen láthatóhoz hasonló:

    PowerShell window showing Self-signed certificate

  6. Indítsa újra a kiszolgálót.

A konfiguráció ellenőrzése

A konfiguráció ellenőrzéséhez létre kell hoznia egy új VPN-kapcsolatot a VPN-kiszolgálóval. Miután sikeresen megadta a hitelesítő adatait az elsődleges hitelesítéshez, a VPN-kapcsolat megvárja, amíg a másodlagos hitelesítés sikeres lesz a kapcsolat létrehozása előtt, ahogy az alább látható.

The Windows Settings VPN window

Ha sikeresen hitelesít a Microsoft Entra többtényezős hitelesítésben korábban konfigurált másodlagos ellenőrzési módszerrel, csatlakozik az erőforráshoz. Ha azonban a másodlagos hitelesítés sikertelen, a rendszer megtagadja az erőforráshoz való hozzáférést.

Az alábbi példában a Microsoft Authenticator alkalmazás egy Windows Phone-telefon biztosítja a másodlagos hitelesítést:

Example MFA prompt on Windows Phone

Miután sikeresen hitelesítést végzett a másodlagos módszerrel, hozzáférést kap a VPN-kiszolgálón található virtuális porthoz. Mivel egy megbízható eszközön lévő mobilalkalmazás használatával másodlagos hitelesítési módszert kellett használnia, a bejelentkezési folyamat biztonságosabb, mint ha csak felhasználónév- és jelszókombinációt használ.

Sikeres bejelentkezési események Eseménynapló naplóinak megtekintése

Ha a Windows Eseménynapló szeretné megtekinteni a sikeres bejelentkezési eseményeket, megtekintheti a Biztonsági naplót, illetve a Hálózati házirend és az Access Services egyéni nézetét, ahogyan az alábbi képen látható:

Example Network Policy Server log

Azon a kiszolgálón, amelyen telepítette a Microsoft Entra többtényezős hitelesítés NPS-bővítményét, Eseménynapló alkalmazásnaplókat talál, amelyek a bővítményre vonatkoznak az Application and Services Logs\Microsoft\AzureMfa webhelyen.

Example Event Viewer AuthZ logs pane

Hibaelhárítási útmutató

Ha a konfiguráció nem a várt módon működik, kezdje el a hibaelhárítást annak ellenőrzésével, hogy a felhasználó az MFA használatára van-e konfigurálva. A felhasználó jelentkezzen be a Microsoft Entra felügyeleti központba. Ha a rendszer másodlagos hitelesítést kér a felhasználótól, és sikeresen hitelesíthet, az MFA helytelen konfigurációját elháríthatja problémaként.

Ha az MFA a felhasználó számára működik, tekintse át a vonatkozó Eseménynapló naplókat. A naplók tartalmazzák az előző szakaszban tárgyalt biztonsági eseményt, az átjáró működését és a Microsoft Entra többtényezős hitelesítési naplóit.

Itt látható egy példa egy sikertelen bejelentkezési eseményt megjelenítő biztonsági naplóra (6273-os eseményazonosító):

Security log showing a failed sign-in event

A Microsoft Entra többtényezős hitelesítési naplójának kapcsolódó eseménye itt látható:

Microsoft Entra multifactor authentication logs

A speciális hibaelhárításhoz tekintse meg az NPS adatbázisformátumú naplófájljait, ahol az NPS szolgáltatás telepítve van. A naplófájlok a %SystemRoot%\System32\Logs mappában jönnek létre vesszőkkel tagolt szövegfájlokként. A naplófájlok leírását az NPS-adatbázisformátum naplófájljainak értelmezése című témakörben talál.

A naplófájlok bejegyzéseit nehéz értelmezni, hacsak nem exportálja őket egy táblázatba vagy adatbázisba. Számos internetes hitelesítési szolgáltatás (IAS) elemzőeszközt találhat online, hogy segítsen a naplófájlok értelmezésében. Egy ilyen letölthető shareware-alkalmazás kimenete itt látható:

Sample Shareware app IAS parser

További hibaelhárításhoz használhat protokollelemzőt, például a Wiresharkot vagy a Microsoft Message Analyzert. A Wireshark alábbi képe a VPN-kiszolgáló és az NPS közötti RADIUS-üzeneteket jeleníti meg.

Microsoft Message Analyzer showing filtered traffic

További információ: Meglévő NPS-infrastruktúra integrálása a Microsoft Entra többtényezős hitelesítéssel.

Következő lépések

Többtényezős Microsoft Entra-hitelesítés lekérése

Távoli asztali átjáró és RADIUS-t használó Azure Multi-Factor Authentication-kiszolgáló

Helyszíni címtárak integrálása a Microsoft Entra-azonosítóval