Mengintegrasikan infrastruktur VPN dengan Azure AD MFA menggunakan ekstensi Server Kebijakan Jaringan untuk Azure

Ekstensi Server Kebijakan Jaringan (NPS) untuk Azure memungkinkan organisasi melindungi autentikasi klien Layanan Pengguna Dial-In Autentikasi Jarak Jauh (RADIUS) menggunakan Azure AD Multi-Factor Authentication (MFA) berbasis cloud, yang menyediakan verifikasi dua langkah.

Artikel ini menyediakan instruksi untuk mengintegrasikan infrastruktur NPS dengan MFA menggunakan ekstensi NPS untuk Azure. Proses ini memungkinkan verifikasi dua langkah yang aman bagi pengguna yang mencoba terhubung ke jaringan Anda menggunakan VPN.

Kebijakan Jaringan dan Layanan Akses memberi organisasi kemampuan untuk:

  • Menetapkan lokasi pusat untuk manajemen dan kontrol permintaan jaringan untuk menentukan:

    • Siapa yang bisa terhubung

    • Jam berapa koneksi diperbolehkan

    • Durasi koneksi

    • Tingkat keamanan yang harus digunakan klien untuk menyambungkan

      Daripada menentukan kebijakan di setiap VPN atau server Gateway Desktop Jarak Jauh, lakukan setelah kebijakan berada di lokasi pusat. Protokol RADIUS digunakan untuk menyediakan Autentikasi, Otorisasi, dan Akuntansi (AAA) terpusat.

  • Tetapkan dan berlakukan kebijakan kesehatan klien Network Access Protection (NAP) yang menentukan apakah perangkat diberikan akses tidak terbatas atau terbatas ke sumber daya jaringan.

  • Sediakan cara untuk memberlakukan autentikasi dan otorisasi untuk akses ke titik akses nirkabel berkemampuan 802.1x dan switch Ethernet. Untuk informasi selengkapnya, lihat Server Kebijakan Jaringan.

Untuk meningkatkan keamanan dan memberikan tingkat kepatuhan yang tinggi, organisasi dapat mengintegrasikan NPS dengan Azure AD Multi-Factor Authentication untuk memastikan pengguna menggunakan verifikasi dua langkah untuk terhubung ke port virtual di server VPN. Agar pengguna diberikan akses, mereka harus memberikan kombinasi nama pengguna dan kata sandi mereka dan informasi lain yang mereka kontrol. Informasi ini harus dipercaya dan tidak mudah diduplikatkan. Ini dapat mencakup nomor ponsel, nomor telepon rumah, atau aplikasi di perangkat seluler.

Sebelum ketersediaan ekstensi NPS untuk Azure, pelanggan yang ingin menerapkan verifikasi dua langkah untuk lingkungan NPS dan MFA terintegrasi harus mengonfigurasi dan memelihara server MFA terpisah di lingkungan lokal. Jenis autentikasi ini ditawarkan oleh Gateway Desktop Jarak Jauh dan Azure Multi-Factor Authentication Server menggunakan RADIUS.

Dengan ekstensi NPS untuk Azure, organisasi dapat mengamankan autentikasi klien RADIUS dengan menyebarkan solusi MFA berbasis lokal atau solusi MFA berbasis cloud.

Aliran autentikasi

Ketika pengguna terhubung ke port virtual di server VPN, mereka harus terlebih dahulu mengautentikasi menggunakan berbagai protokol. Protokol ini memperbolehkan penggunaan kombinasi nama pengguna dan kata sandi serta metode autentikasi berbasis sertifikat.

Selain mengautentikasi dan memverifikasi identitas mereka, pengguna harus memiliki izin dial-in yang sesuai. Dalam penerapan sederhana, izin dial-in yang memungkinkan akses diatur langsung di objek pengguna Active Directory.

Dial-in tab in Active Directory Users and Computers user properties

Dalam penerapan sederhana, setiap server VPN memberikan atau menolak akses berdasarkan kebijakan yang ditentukan di setiap server VPN lokal.

Dalam penerapan yang lebih besar dan lebih terukur, kebijakan yang memberikan atau menolak akses VPN terpusat di server RADIUS. Dalam kasus ini, server VPN bertindak sebagai server akses (klien RADIUS) yang meneruskan permintaan koneksi dan pesan akun ke server RADIUS. Untuk terhubung ke port virtual di server VPN, pengguna harus diautentikasi dan memenuhi kondisi yang didefinisikan secara terpusat di server RADIUS.

Saat ekstensi NPS untuk Azure terintegrasi dengan NPS, hasil alur autentikasi yang berhasil, sebagai berikut:

  1. Server VPN menerima permintaan autentikasi dari pengguna VPN yang menyertakan nama pengguna dan kata sandi untuk menyambungkan ke sumber daya, seperti sesi Desktop Jarak Jauh.
  2. Bertindak sebagai klien RADIUS, server VPN mengubah permintaan ke pesan Access-Request RADIUS dan mengirimkannya (dengan kata sandi terenkripsi) ke server RADIUS tempat ekstensi NPS diinstal.
  3. Kombinasi nama pengguna dan kata sandi diverifikasi di Direktori Aktif. Jika nama pengguna atau kata sandi salah, Server RADIUS akan mengirim pesan Access-Reject.
  4. Jika semua kondisi, sebagaimana ditentukan dalam Kebijakan Permintaan Koneksi dan Jaringan NPS, terpenuhi (misalnya, pembatasan saat ini atau keanggotaan grup), ekstensi NPS memicu permintaan autentikasi sekunder dengan Azure AD Multi-Factor Authentication.
  5. Azure AD Multi-Factor Authentication berkomunikasi dengan Azure Active Directory, mengambil detail pengguna, dan melakukan autentikasi sekunder menggunakan metode yang dikonfigurasi oleh pengguna (panggilan telepon seluler, pesan teks, atau aplikasi seluler).
  6. Ketika tantangan MFA berhasil, Azure AD Multi-Factor Authentication mengomunikasikan hasilnya ke ekstensi NPS.
  7. Setelah upaya koneksi diautentikasi dan diotorisasi, NPS tempat ekstensi diinstal mengirim pesan Access-Accept RADIUS ke server VPN (klien RADIUS).
  8. Pengguna diberikan akses ke port virtual di server VPN dan membuat terowongan VPN terenkripsi.

Prasyarat

Bagian ini memperinci prasyarat yang harus diselesaikan sebelum Anda dapat mengintegrasikan MFA dengan VPN. Sebelum memulai, Anda harus memiliki prasyarat berikut:

  • Infrastruktur VPN
  • Peran Kebijakan Jaringan dan Layanan Akses
  • Azure AD Multi-Factor Authentication
  • Perangkat lunak Windows Server
  • Pustaka
  • Azure Active Directory (Azure AD) disinkronkan dengan Direktori Aktif lokal
  • ID GUID Azure Active Directory

Infrastruktur VPN

Artikel ini mengasumsikan bahwa Anda memiliki infrastruktur VPN yang berfungsi yang menggunakan Microsoft Windows Server 2016 dan bahwa server VPN Anda saat ini tidak dikonfigurasi untuk meneruskan permintaan koneksi ke server RADIUS. Dalam artikel, Anda mengonfigurasi infrastruktur VPN untuk menggunakan server RADIUS pusat.

Jika Anda tidak memiliki infrastruktur VPN yang berfungsi, Anda dapat cepat membuatnya dengan mengikuti panduan dalam berbagai tutorial pengaturan VPN yang dapat Anda temukan di Microsoft dan situs pihak ketiga.

Peran Kebijakan Jaringan dan Layanan Akses

Kebijakan Jaringan dan Layanan Akses menyediakan fungsionalitas server dan klien RADIUS. Artikel ini mengasumsikan bahwa Anda telah menginstal peran Kebijakan Jaringan dan Layanan Akses di server anggota atau pengontrol domain di lingkungan Anda. Dalam panduan ini, Anda mengonfigurasi RADIUS untuk konfigurasi VPN. Instal peran Kebijakan Jaringan dan Layanan Akses di server selain server VPN Anda.

Untuk informasi tentang menginstal layanan peran Kebijakan Jaringan dan Layanan Akses Windows Server 2012 atau yang lebih baru, lihat Menginstal Server Kebijakan Kesehatan NAP. NAP tidak digunakan lagi di Windows Server 2016. Untuk deskripsi praktik terbaik untuk NPS, termasuk rekomendasi untuk menginstal NPS di pengontrol domain, lihat Praktik terbaik untuk NPS.

Lisensi MFA Azure AD

Lisensi diperlukan untuk Azure AD Multi-Factor Authentication, dan tersedia melalui Azure AD Premium, Enterprise Mobility + Security, atau lisensi mandiri Autentikasi Multifaktor. Lisensi berbasis pemakaian untuk MFA Azure AD seperti lisensi per pengguna atau per autentikasi tidak kompatibel dengan ekstensi NPS. Untuk informasi selengkapnya, lihat Cara mendapatkan Azure AD Multi-Factor Authentication. Untuk tujuan pengujian, Anda dapat menggunakan langganan percobaan.

Perangkat lunak Windows Server

Ekstensi NPS memerlukan Windows Server 2008 R2 SP1 atau yang lebih baru, dengan peran Kebijakan Jaringan dan Layanan Akses diinstal. Semua langkah dalam panduan ini dilakukan dengan Windows Server 2016.

Pustaka

Pustaka berikut diinstal secara otomatis dengan ekstensi NPS:

Jika Microsoft Azure Active Directory PowerShell belum ada, modul ini diinstal dengan skrip konfigurasi yang Anda jalankan sebagai bagian dari proses persiapan. Tidak perlu menginstal modul sebelumnya jika belum diinstal.

Azure Active Directory (Azure AD) disinkronkan dengan Direktori Aktif lokal

Untuk menggunakan ekstensi NPS, pengguna lokal harus disinkronkan dengan Azure Active Directory dan diaktifkan untuk MFA. Panduan ini mengasumsikan bahwa pengguna lokal disinkronkan dengan Azure Active Directory melalui Azure AD Connect. Petunjuk untuk mengaktifkan pengguna untuk MFA disediakan di bawah ini.

Untuk informasi tentang Azure AD Connect, lihat Mengintegrasikan direktori lokal dengan Azure Active Directory.

ID GUID Azure Active Directory

Untuk menginstal ekstensi NPS, Anda perlu mengetahui GUID Azure Active Directory. Instruksi untuk menemukan GUID Azure Active Directory disediakan di bagian berikutnya.

Mengonfigurasi RADIUS untuk koneksi VPN

Jika Anda telah menginstal peran NPS di server anggota, Anda perlu mengonfigurasinya untuk mengautentikasi dan mengotorisasi klien VPN yang meminta koneksi VPN.

Bagian ini mengasumsikan bahwa Anda telah menginstal peran Kebijakan Jaringan dan Layanan Akses tetapi belum mengonfigurasinya untuk digunakan dalam infrastruktur.

Catatan

Jika Anda sudah memiliki server VPN yang berfungsi yang menggunakan server RADIUS terpusat untuk autentikasi, Anda dapat melewati bagian ini.

Mendaftarkan Server di Direktori Aktif

Agar berfungsi dengan baik dalam skenario ini, server NPS harus terdaftar di Direktori Aktif.

  1. Buka Manajer Server.

  2. Di Manajer Server, pilih Alat, lalu pilih Server Kebijakan Jaringan.

  3. Di konsol Server Kebijakan Jaringan, klik kanan NPS (Lokal) , lalu pilih Daftarkan server di Direktori Aktif. Pilih OK dua kali.

    Register server in Active Directory menu option

  4. Biarkan konsol terbuka untuk prosedur berikutnya.

Menggunakan wizard untuk mengonfigurasi server RADIUS

Anda bisa menggunakan opsi standar (berbasis wizard) atau konfigurasi tingkat lanjut untuk mengonfigurasi server RADIUS. Bagian ini mengasumsikan bahwa Anda menggunakan opsi konfigurasi standar berbasis wizard.

  1. Di konsol Server Kebijakan Jaringan, pilih NPS (Lokal) .

  2. Di bagian Konfigurasi Standar, pilih Server RADIUS untuk Koneksi Dial-Up atau VPN, lalu pilih Konfigurasi VPN atau Dial-Up.

    Configure RADIUS Server for Dial-Up or VPN Connections

  3. Di jendela Pilih Jenis Koneksi Jaringan Dial-Up atau Jaringan Privat Maya, pilih Koneksi Jaringan Privat Maya, lalu pilih Berikutnya.

    Configure Virtual private network connections

  4. Di jendela Tentukan Server Dial-Up atau VPN, pilih Tambahkan.

  5. Di jendela Klien RADIUS baru, berikan nama yang ramah, masukkan nama atau alamat IP server VPN yang dapat diselesaikan, lalu masukkan kata sandi rahasia bersama. Buat kata sandi rahasia bersama panjang dan kompleks. Catat, karena Anda akan membutuhkannya di bagian berikutnya.

    Create a New RADIUS client window

  6. Pilih OK, lalu pilih Buat.

  7. Di jendela Konfigurasi Metode Autentikasi, terima pilihan default (Microsoft Encrypted Authentication versi 2 [MS-CHAPv2]) atau pilih opsi lain, dan pilih Berikutnya.

    Catatan

    Jika Anda mengonfigurasi Extensible Authentication Protocol (EAP), Anda harus menggunakan Microsoft Challenge-Handshake Authentication Protocol (CHAPv2) atau Protected Extensible Authentication Protocol (PEAP). Tidak ada EAP lain yang didukung.

  8. Di jendela Tentukan Grup Pengguna, pilih Tambahkan, lalu pilih grup yang sesuai. Jika tidak ada grup, biarkan pilihan kosong untuk memberikan akses ke semua pengguna.

    Specify User Groups window to allow or deny access

  9. Pilih Selanjutnya.

  10. Di jendela Tentukan Filter IP, pilih Berikutnya.

  11. Di jendela Tentukan Pengaturan Enkripsi, terima pengaturan default, lalu pilih Berikutnya.

    The Specify Encryption Settings window

  12. Di jendela Tentukan Nama Asli, biarkan nama dunia kosong, terima pengaturan default, lalu pilih Berikutnya.

    The Specify a Realm Name window

  13. Di jendela Menyelesaikan Koneksi Jaringan Dial-up atau Privat Maya dan klien RADIUS, pilih Selesai.

    Completed configuration window

Memverifikasi konfigurasi RADIUS

Bagian ini memperinci konfigurasi yang Anda buat menggunakan wizard.

  1. Di Server Kebijakan Jaringan, di konsol NPS (lokal), perluas Klien RADIUS, lalu pilih Klien RADIUS.

  2. Di panel detail, klik kanan klien RADIUS yang Anda buat, lalu pilih Properti. Properti klien RADIUS (server VPN) harus seperti yang ditunjukkan di sini:

    Verify the VPN properties and configuration

  3. Pilih Batalkan.

  4. Di Server Kebijakan Jaringan, di konsol NPS (lokal), perluas Kebijakan, lalu pilih Kebijakan Permintaan Koneksi. Kebijakan Koneksi VPN ditampilkan seperti pada gambar berikut:

    Connection request policy showing VPN connection policy

  5. Di bagian Kebijakan, pilih Kebijakan Jaringan. Anda akan melihat kebijakan Koneksi Jaringan Privat Maya (VPN) yang menyerupai kebijakan yang diperlihatkan dalam gambar berikut:

    Network Policies showing Virtual Private Network Connections policy

Mengonfigurasi server VPN untuk menggunakan autentikasi RADIUS

Di bagian ini, Anda mengonfigurasi server VPN untuk menggunakan autentikasi RADIUS. Instruksi mengasumsikan bahwa Anda memiliki konfigurasi kerja server VPN tetapi belum mengonfigurasinya untuk menggunakan autentikasi RADIUS. Setelah Anda mengonfigurasi server VPN, konfirmasikan bahwa konfigurasi berfungsi sebagaimana mestinya.

Catatan

Jika Anda sudah memiliki konfigurasi server VPN yang berfungsi yang menggunakan autentikasi RADIUS, Anda dapat melewati bagian ini.

Mengonfigurasi penyedia autentikasi

  1. Di server VPN, buka Manajer Server.

  2. Di Manajer Server, pilih Alat, lalu pilih Perutean dan Akses Jarak Jauh.

  3. Di jendela Perutean dan Akses Jarak Jauh, klik kanan < nama server>(lokal), lalu pilih Properti.

  4. Di jendela <nama server> (lokal) Properti, pilih tab Keamanan.

  5. Di tab Keamanan, di bagian Penyedia Autentikasi, pilih Autentikasi RADIUS, lalu pilih Konfigurasikan.

    Configure RADIUS Authentication provider

  6. Di jendela Autentikasi RADIUS, pilih Tambahkan.

  7. Di jendela Tambahkan SERVER RADIUS, lakukan hal berikut ini:

    a. Di kotak Nama server, masukkan nama atau alamat IP server RADIUS yang Anda konfigurasi di bagian sebelumnya.

    b. Untuk Rahasia bersama, pilih Ubah, lalu masukkan kata sandi rahasia bersama yang Anda buat dan rekam sebelumnya.

    c. Di kotak Waktu habis (detik) , masukkan nilai 60.
    Untuk meminimalkan permintaan yang dibuang, kami menyarankan agar server VPN dikonfigurasi dengan batas waktu setidaknya 60 detik. Jika diperlukan, atau untuk mengurangi permintaan yang dibuang dalam log kejadian, Anda dapat meningkatkan nilai batas waktu server VPN menjadi 90 atau 120 detik.

  8. PilihOK.

Menguji konektivitas VPN

Di bagian ini, Anda mengonfirmasi bahwa klien VPN diautentikasi dan diotorisasi oleh server RADIUS ketika Anda mencoba terhubung ke port virtual VPN. Instruksi mengasumsikan bahwa Anda menggunakan Windows 10 sebagai klien VPN.

Catatan

Jika Anda sudah mengonfigurasi klien VPN untuk terhubung ke server VPN dan telah menyimpan pengaturan, Anda dapat melewati langkah-langkah yang terkait dengan mengonfigurasi dan menyimpan objek koneksi VPN.

  1. Di komputer klien VPN, pilih tombol Mulai, lalu pilih tombol Pengaturan.

  2. Di jendela Pengaturan Windows, pilih Jaringan & Internet.

  3. Pilih VPN.

  4. Pilih Tambahkan koneksi VPN.

  5. Di jendela Tambahkan koneksi VPN, di kotak Penyedia VPN, pilih Windows (bawaan) , selesaikan bidang yang tersisa, sesuai kebutuhan, lalu pilih Simpan.

    The

  6. Buka Panel Kontrol, lalu pilih Jaringan dan Pusat Berbagi.

  7. Pilih Ubah pengaturan adaptor.

    Network and Sharing Center - Change adapter settings

  8. Klik kanan koneksi jaringan VPN, lalu pilih Properti.

  9. Di jendela properti VPN, pilih tab Keamanan.

  10. Di tab Keamanan, pastikan bahwa hanya Microsoft CHAP Versi 2 (MS-CHAP v2) yang dipilih, lalu pilih OK.

    The

  11. Klik kanan koneksi VPN, lalu pilih Sambungkan.

  12. Di jendela Pengaturan, pilih Sambungkan.
    Koneksi yang berhasil muncul di log Keamanan, di server RADIUS, sebagai ID Peristiwa 6272, seperti yang diperlihatkan di sini:

    Event Properties window showing a successful connection

Pemecahan masalah RADIUS

Misalnya konfigurasi VPN berfungsi sebelum Anda mengonfigurasi server VPN untuk menggunakan server RADIUS terpusat untuk autentikasi dan otorisasi. Jika konfigurasi berfungsi, kemungkinan masalah ini disebabkan oleh kesalahan konfigurasi server RADIUS atau penggunaan nama pengguna atau kata sandi yang tidak valid. Misalnya, jika Anda menggunakan akhiran UPN alternatif dalam nama pengguna, upaya masuk mungkin gagal. Gunakan nama akun yang sama untuk hasil terbaik.

Untuk memecahkan masalah ini, tempat yang ideal untuk memulai adalah memeriksa log peristiwa Keamanan di server RADIUS. Untuk menghemat waktu mencari peristiwa, Anda bisa menggunakan kebijakan jaringan berbasis peran dan tampilan kustom Server Akses di Pemantau Peristiwa, seperti yang diperlihatkan di sini. "ID Peristiwa 6273" menunjukkan peristiwa di mana NPS menolak akses ke pengguna.

Event Viewer showing NPAS events

Mengonfigurasi Autentikasi Multifaktor

Untuk bantuan mengonfigurasi pengguna untuk Autentikasi Multifaktor lihat artikel Merencanakan penyebaran Azure AD Multi-Factor Authentication berbasis cloud dan Menyiapkan akun saya untuk verifikasi dua langkah

Menginstal dan mengonfigurasi ekstensi NPS

Bagian ini menyediakan instruksi untuk mengonfigurasi VPN untuk menggunakan MFA untuk autentikasi klien dengan server VPN.

Catatan

Kunci registri REQUIRE_USER_MATCH peka huruf besar/kecil. Semua nilai harus diatur dalam format HURUF BESAR.

Setelah Anda menginstal dan mengonfigurasi ekstensi NPS, semua autentikasi klien berbasis RADIUS yang diproses oleh server ini diperlukan untuk menggunakan MFA. Jika semua pengguna VPN tidak terdaftar di Azure AD Multi-Factor Authentication, Anda dapat melakukan salah satu hal berikut ini:

  • Siapkan server RADIUS lain untuk mengautentikasi pengguna yang tidak dikonfigurasi untuk menggunakan MFA.

  • Buat entri registri yang memungkinkan pengguna yang ditantang untuk memberikan faktor autentikasi kedua jika mereka terdaftar di Azure AD Multi-Factor Authentication.

Buat nilai string baru bernama REQUIRE_USER_MATCH di HKLM\SOFTWARE\Microsoft\AzureMfa, dan atur nilainya ke TRUE atau FALSE.

The

Jika nilai diatur ke TRUE atau kosong, semua permintaan autentikasi tunduk pada tantangan MFA. Jika nilai diatur ke FALSE, tantangan MFA hanya dikeluarkan untuk pengguna yang terdaftar di Azure AD Multi-Factor Authentication. Gunakan pengaturan FALSE hanya dalam pengujian atau di lingkungan produksi selama periode orientasi.

Mendapatkan ID penyewa Azure Active Directory

Sebagai bagian dari konfigurasi ekstensi NPS, Anda harus menyediakan kredensial administrator dan ID penyewa Azure AD Anda. Untuk mendapatkan ID penyewa, selesaikan langkah-langkah berikut:

  1. Masuk ke portal Microsoft Azure sebagai administrator global penyewa Azure.

  2. Di menu portal Microsoft Azure, pilih Azure Active Directory, atau cari dan pilih Azure Active Directory dari halaman mana pun.

  3. Pada halaman Gambaran Umum, informasi Penyewa ditampilkan. Di samping ID Penyewa, pilih ikon Salin, seperti yang diperlihatkan dalam contoh tangkapan layar berikut:

    Getting the Tenant ID from the Azure portal

Menginstal ekstensi NPS

Ekstensi NPS harus diinstal di server yang menginstal peran Kebijakan Jaringan dan Layanan Akses dan yang berfungsi sebagai server RADIUS dalam desain Anda. Jangan instal ekstensi NPS di server VPN Anda.

  1. Unduh ekstensi NPS dari Pusat Unduh Microsoft.

  2. Salin file yang dapat dieksekusi persiapan (NpsExtnForAzureMfaInstaller.exe) ke server NPS.

  3. Di server NPS, klik dua kali NpsExtnForAzureMfaInstaller.exe dan, jika Anda diminta, pilih Jalankan.

  4. Di jendela Ekstensi NPS Untuk Persiapan Azure AD MFA, tinjau ketentuan lisensi perangkat lunak, pilih kotak centang Saya menyetujui syarat dan ketentuan lisensi, lalu pilih Instal.

    The

  5. Di jendela Ekstensi NPS untuk Persiapan Azure AD MFA, pilih Tutup.

    The

Mengonfigurasi sertifikat untuk digunakan dengan ekstensi NPS menggunakan skrip PowerShell

Untuk memastikan komunikasi dan jaminan yang aman, konfigurasikan sertifikat untuk digunakan oleh ekstensi NPS. Komponen NPS menyertakan skrip Windows PowerShell yang mengonfigurasi sertifikat yang ditandatangani sendiri untuk digunakan dengan NPS.

Skrip melakukan tindakan berikut:

  • Membuat sertifikat yang ditandatangani sendiri.
  • Mengaitkan kunci publik sertifikat dengan perwakilan layanan di Azure AD.
  • Menyimpan sertifikat di penyimpanan komputer lokal.
  • Memberi pengguna akses jaringan ke kunci privat sertifikat.
  • Memulai ulang layanan NPS.

Jika Anda ingin menggunakan sertifikat sendiri, Anda harus mengaitkan kunci publik sertifikat dengan perwakilan layanan di Azure AD, dan sebagainya.

Untuk menggunakan skrip, berikan ekstensi dengan kredensial administratif Azure Active Directory dan ID penyewa Azure Active Directory yang Anda salin sebelumnya. Akun harus berada di penyewa Azure AD yang sama seperti yang Anda inginkan untuk mengaktifkan ekstensi. Jalankan skrip di setiap server NPS tempat Anda menginstal ekstensi NPS.

  1. Jalankan Windows PowerShell sebagai administrator.

  2. Di prompt perintah PowerShell, masukkan cd "c:\Program Files\Microsoft\AzureMfa\Config" , lalu pilih Masukkan.

  3. Di prompt perintah berikutnya, masukkan .\AzureMfaNpsExtnConfigSetup.ps1, lalu pilih Masukkan. Skrip memeriksa untuk melihat apakah modul Azure AD PowerShell diinstal. Jika tidak diinstal, skrip akan menginstal modul untuk Anda.

    Running the AzureMfsNpsExtnConfigSetup.ps1 configuration script

    Jika Anda mendapatkan kesalahan keamanan karena TLS, aktifkan TLS 1.2 menggunakan perintah [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 dari prompt PowerShell.

    Setelah skrip memverifikasi penginstalan modul PowerShell, skrip akan menampilkan jendela masuk modul Azure Active Directory PowerShell.

  4. Masukkan kredensial dan kata sandi administrator Azure AD Anda, lalu pilih Masuk.

    Authenticate to Azure AD PowerShell

  5. Di prompt perintah, tempelkan ID penyewa yang Anda salin sebelumnya, lalu pilih Masukkan.

    Input the Azure AD Tenant ID copied before

    Skrip membuat sertifikat yang ditandatangani sendiri dan melakukan perubahan konfigurasi lainnya. Outputnya seperti pada gambar berikut:

    PowerShell window showing Self-signed certificate

  6. Mulai ulang server.

Memverifikasi konfigurasi

Untuk memverifikasi konfigurasi, Anda harus membuat koneksi VPN baru dengan server VPN. Setelah berhasil memasukkan kredensial Anda untuk autentikasi utama, koneksi VPN menunggu autentikasi sekunder berhasil sebelum koneksi dibuat, seperti yang ditunjukkan di bawah ini.

The Windows Settings VPN window

Jika Anda berhasil mengautentikasi dengan metode verifikasi sekunder yang sebelumnya Anda konfigurasi di Azure AD MFA, Anda tersambung ke sumber daya. Namun, jika autentikasi sekunder tidak berhasil, akses Anda ke sumber daya ditolak.

Pada contoh berikut, aplikasi Microsoft Authenticator di Windows Phone menyediakan autentikasi sekunder:

Example MFA prompt on Windows Phone

Setelah berhasil diautentikasi menggunakan metode sekunder, Anda diberikan akses ke port virtual di server VPN. Karena Anda harus menggunakan metode autentikasi sekunder menggunakan aplikasi ponsel di perangkat tepercaya, proses masuk lebih aman daripada jika hanya menggunakan kombinasi nama pengguna dan kata sandi.

Menampilkan log Pemantau Peristiwa untuk peristiwa masuk yang berhasil

Untuk menampilkan peristiwa masuk yang berhasil di log Pemantau Peristiwa Windows kueri log Keamanan Windows, di server NPS, dengan memasukkan perintah PowerShell berikut ini:

Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL

PowerShell security Event Viewer

Anda juga bisa menampilkan log keamanan atau tampilan kustom Kebijakan Jaringan dan Layanan Akses, seperti yang diperlihatkan di sini:

Example Network Policy Server log

Di server tempat Anda menginstal ekstensi NPS untuk Azure AD Multi-Factor Authentication, Anda dapat menemukan log aplikasi Pemantau Peristiwa yang spesifik untuk ekstensi di Log Aplikasi dan Layanan\Microsoft\AzureMfa.

Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL

Example Event Viewer AuthZ logs pane

Panduan pemecahan masalah

Jika konfigurasi tidak berfungsi sebagaimana mestinya, mulailah pemecahan masalah dengan memverifikasi bahwa pengguna dikonfigurasi untuk menggunakan MFA. Sambungkan pengguna ke portal Microsoft Azure. Jika pengguna diminta untuk autentikasi sekunder dan dapat berhasil mengautentikasi, Anda dapat menghilangkan konfigurasi MFA yang salah sebagai masalah.

Jika MFA berfungsi untuk pengguna, tinjau log Pemantau Peristiwa yang relevan. Log termasuk peristiwa keamanan, operasional Gateway, dan log Azure AD Multi-Factor Authentication yang dibahas di bagian sebelumnya.

Contoh log keamanan yang menampilkan peristiwa masuk yang gagal (ID peristiwa 6273) diperlihatkan di sini:

Security log showing a failed sign-in event

Peristiwa terkait dari log Azure AD Multi-Factor Authentication diperlihatkan di sini:

Azure AD Multi-Factor Authentication logs

Untuk melakukan pemecahan masalah tingkat lanjut, lihat file log format database NPS tempat layanan NPS diinstal. File log dibuat di folder %SystemRoot%\System32\Logs sebagai file teks dipisahkan koma. Untuk deskripsi file log, lihat Menafsirkan File Log Format Database NPS.

Entri dalam file log ini sulit ditafsirkan kecuali Anda mengekspornya ke spreadsheet atau database. Anda dapat menemukan banyak alat penguraian Internet Authentication Service (IAS) secara online untuk membantu Anda dalam menafsirkan file log. Output dari salah satu aplikasi shareware yang dapat diunduh seperti ditampilkan di sini:

Sample Shareware app IAS parser

Untuk melakukan pemecahan masalah tambahan, Anda dapat menggunakan penganalisis protokol seperti Wireshark atau Microsoft Message Analyzer. Gambar berikut dari Wireshark menunjukkan pesan RADIUS antara server VPN dan NPS.

Microsoft Message Analyzer showing filtered traffic

Untuk informasi selengkapnya, lihat Mengintegrasikan infrastruktur NPS yang ada dengan Azure AD Multi-Factor Authentication.

Langkah berikutnya

Mendapatkan Azure AD Multi-Factor Authentication

Gateway Desktop Jarak Jauh dan Azure Multi-Factor Authentication Server menggunakan RADIUS

Mengintegrasikan direktori lokal dengan Azure Active Directory