Mengintegrasikan infrastruktur VPN Anda dengan autentikasi multifaktor Microsoft Entra dengan menggunakan ekstensi Server Kebijakan Jaringan untuk Azure

Ekstensi Server Kebijakan Jaringan (NPS) untuk Azure memungkinkan organisasi untuk melindungi autentikasi klien Layanan Pengguna Dial-In Autentikasi Jarak Jauh (RADIUS) menggunakan autentikasi multifaktor Microsoft Entra berbasis cloud, yang menyediakan verifikasi dua langkah.

Artikel ini menyediakan instruksi untuk mengintegrasikan infrastruktur NPS dengan MFA menggunakan ekstensi NPS untuk Azure. Proses ini memungkinkan verifikasi dua langkah yang aman bagi pengguna yang mencoba terhubung ke jaringan Anda menggunakan VPN.

Catatan

Meskipun ekstensi MFA NPS mendukung kata sandi satu kali berbasis waktu (TOTP), klien VPN tertentu seperti Windows VPN tidak. Pastikan klien VPN yang Anda gunakan mendukung TOTP sebagai metode autentikasi sebelum Anda mengaktifkannya di ekstensi NPS.

Kebijakan Jaringan dan Layanan Akses memberi organisasi kemampuan untuk:

  • Menetapkan lokasi pusat untuk manajemen dan kontrol permintaan jaringan untuk menentukan:

    • Siapa yang bisa terhubung

    • Jam berapa koneksi diperbolehkan

    • Durasi koneksi

    • Tingkat keamanan yang harus digunakan klien untuk menyambungkan

      Daripada menentukan kebijakan di setiap VPN atau server Gateway Desktop Jarak Jauh, lakukan setelah kebijakan berada di lokasi pusat. Protokol RADIUS digunakan untuk menyediakan Autentikasi, Otorisasi, dan Akuntansi (AAA) terpusat.

  • Tetapkan dan berlakukan kebijakan kesehatan klien Network Access Protection (NAP) yang menentukan apakah perangkat diberikan akses tidak terbatas atau terbatas ke sumber daya jaringan.

  • Sediakan cara untuk memberlakukan autentikasi dan otorisasi untuk akses ke titik akses nirkabel berkemampuan 802.1x dan switch Ethernet. Untuk informasi selengkapnya, lihat Server Kebijakan Jaringan.

Untuk meningkatkan keamanan dan memberikan tingkat kepatuhan yang tinggi, organisasi dapat mengintegrasikan NPS dengan autentikasi multifaktor Microsoft Entra untuk memastikan bahwa pengguna menggunakan verifikasi dua langkah untuk terhubung ke port virtual di server VPN. Agar pengguna diberikan akses, mereka harus memberikan kombinasi nama pengguna dan kata sandi mereka dan informasi lain yang mereka kontrol. Informasi ini harus dipercaya dan tidak mudah diduplikatkan. Ini dapat mencakup nomor ponsel, nomor telepon rumah, atau aplikasi di perangkat seluler.

Jika organisasi Anda menggunakan VPN dan pengguna terdaftar untuk kode TOTP bersama dengan pemberitahuan push Authenticator, pengguna tidak dapat memenuhi tantangan MFA dan proses masuk jarak jauh gagal. Dalam hal ini, Anda dapat mengatur OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE ke fallback ke pemberitahuan push ke Setujui/Tolak dengan Authenticator.

Agar ekstensi NPS terus berfungsi untuk pengguna VPN, kunci registri ini harus dibuat di server NPS. Di server NPS, buka editor registri. Navigasi ke:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

Buat pasangan String/Nilai berikut:

Nama: OVERRIDE_NUMBER_MATCHING_WITH_OTP

Nilai = FALSE

Sebelum ketersediaan ekstensi NPS untuk Azure, pelanggan yang ingin menerapkan verifikasi dua langkah untuk lingkungan NPS dan MFA terintegrasi harus mengonfigurasi dan memelihara server MFA terpisah di lingkungan lokal. Jenis autentikasi ini ditawarkan oleh Gateway Desktop Jarak Jauh dan Azure Multi-Factor Authentication Server menggunakan RADIUS.

Dengan ekstensi NPS untuk Azure, organisasi dapat mengamankan autentikasi klien RADIUS dengan menyebarkan solusi MFA berbasis lokal atau solusi MFA berbasis cloud.

Alur autentikasi

Ketika pengguna terhubung ke port virtual di server VPN, mereka harus terlebih dahulu mengautentikasi menggunakan berbagai protokol. Protokol ini memperbolehkan penggunaan kombinasi nama pengguna dan kata sandi serta metode autentikasi berbasis sertifikat.

Selain mengautentikasi dan memverifikasi identitas mereka, pengguna harus memiliki izin dial-in yang sesuai. Dalam penerapan sederhana, izin dial-in yang memungkinkan akses diatur langsung di objek pengguna Active Directory.

Dial-in tab in Active Directory Users and Computers user properties

Dalam penerapan sederhana, setiap server VPN memberikan atau menolak akses berdasarkan kebijakan yang ditentukan di setiap server VPN lokal.

Dalam penerapan yang lebih besar dan lebih terukur, kebijakan yang memberikan atau menolak akses VPN terpusat di server RADIUS. Dalam kasus ini, server VPN bertindak sebagai server akses (klien RADIUS) yang meneruskan permintaan koneksi dan pesan akun ke server RADIUS. Untuk terhubung ke port virtual di server VPN, pengguna harus diautentikasi dan memenuhi kondisi yang didefinisikan secara terpusat di server RADIUS.

Saat ekstensi NPS untuk Azure terintegrasi dengan NPS, hasil alur autentikasi yang berhasil, sebagai berikut:

  1. Server VPN menerima permintaan autentikasi dari pengguna VPN yang menyertakan nama pengguna dan kata sandi untuk menyambungkan ke sumber daya, seperti sesi Desktop Jarak Jauh.
  2. Bertindak sebagai klien RADIUS, server VPN mengubah permintaan ke pesan Access-Request RADIUS dan mengirimkannya (dengan kata sandi terenkripsi) ke server RADIUS tempat ekstensi NPS diinstal.
  3. Kombinasi nama pengguna dan kata sandi diverifikasi di Direktori Aktif. Jika nama pengguna atau kata sandi salah, Server RADIUS akan mengirim pesan Access-Reject.
  4. Jika semua kondisi, seperti yang ditentukan dalam Permintaan Koneksi NPS dan Kebijakan Jaringan, terpenuhi (misalnya, batasan waktu hari atau keanggotaan grup), ekstensi NPS memicu permintaan untuk autentikasi sekunder dengan autentikasi multifaktor Microsoft Entra.
  5. Autentikasi multifaktor Microsoft Entra berkomunikasi dengan ID Microsoft Entra, mengambil detail pengguna, dan melakukan autentikasi sekunder dengan menggunakan metode yang dikonfigurasi oleh pengguna (panggilan telepon seluler, pesan teks, atau aplikasi seluler).
  6. Ketika tantangan MFA berhasil, autentikasi multifaktor Microsoft Entra mengkomunikasikan hasilnya ke ekstensi NPS.
  7. Setelah upaya koneksi diautentikasi dan diotorisasi, NPS tempat ekstensi diinstal mengirim pesan Access-Accept RADIUS ke server VPN (klien RADIUS).
  8. Pengguna diberikan akses ke port virtual di server VPN dan membuat terowongan VPN terenkripsi.

Prasyarat

Bagian ini memperinci prasyarat yang harus diselesaikan sebelum Anda dapat mengintegrasikan MFA dengan VPN. Sebelum memulai, Anda harus memiliki prasyarat berikut:

  • Infrastruktur VPN
  • Peran Kebijakan Jaringan dan Layanan Akses
  • Lisensi autentikasi multifaktor Microsoft Entra
  • Perangkat lunak Windows Server
  • Pustaka
  • ID Microsoft Entra disinkronkan dengan Active Directory lokal
  • Microsoft Entra GUID ID

Infrastruktur VPN

Artikel ini mengasumsikan bahwa Anda memiliki infrastruktur VPN yang berfungsi yang menggunakan Microsoft Windows Server 2016 dan bahwa server VPN Anda saat ini tidak dikonfigurasi untuk meneruskan permintaan koneksi ke server RADIUS. Dalam artikel, Anda mengonfigurasi infrastruktur VPN untuk menggunakan server RADIUS pusat.

Jika Anda tidak memiliki infrastruktur VPN yang berfungsi, Anda dapat cepat membuatnya dengan mengikuti panduan dalam berbagai tutorial pengaturan VPN yang dapat Anda temukan di Microsoft dan situs pihak ketiga.

Peran Kebijakan Jaringan dan Layanan Akses

Kebijakan Jaringan dan Layanan Akses menyediakan fungsionalitas server dan klien RADIUS. Artikel ini mengasumsikan bahwa Anda telah menginstal peran Kebijakan Jaringan dan Layanan Akses di server anggota atau pengontrol domain di lingkungan Anda. Dalam panduan ini, Anda mengonfigurasi RADIUS untuk konfigurasi VPN. Instal peran Kebijakan Jaringan dan Layanan Akses di server selain server VPN Anda.

Untuk informasi tentang menginstal layanan peran Kebijakan Jaringan dan Layanan Akses Windows Server 2012 atau yang lebih baru, lihat Menginstal Server Kebijakan Kesehatan NAP. NAP tidak digunakan lagi di Windows Server 2016. Untuk deskripsi praktik terbaik untuk NPS, termasuk rekomendasi untuk menginstal NPS di pengontrol domain, lihat Praktik terbaik untuk NPS.

Perangkat lunak Windows Server

Ekstensi NPS memerlukan Windows Server 2008 R2 SP1 atau yang lebih baru, dengan peran Kebijakan Jaringan dan Layanan Akses diinstal. Semua langkah dalam panduan ini dilakukan dengan Windows Server 2016.

Pustaka

Pustaka berikut diinstal secara otomatis dengan ekstensi NPS:

Jika modul Microsoft Graph PowerShell belum ada, modul tersebut diinstal dengan skrip konfigurasi yang Anda jalankan sebagai bagian dari proses penyiapan. Tidak perlu menginstal Graph PowerShell terlebih dahulu.

ID Microsoft Entra disinkronkan dengan Active Directory lokal

Untuk menggunakan ekstensi NPS, pengguna lokal harus disinkronkan dengan ID Microsoft Entra dan diaktifkan untuk MFA. Panduan ini mengasumsikan bahwa pengguna lokal disinkronkan dengan ID Microsoft Entra melalui Microsoft Entra Koneksi. Petunjuk untuk mengaktifkan pengguna untuk MFA disediakan di bawah ini.

Untuk informasi tentang Microsoft Entra Koneksi, lihat Mengintegrasikan direktori lokal Anda dengan ID Microsoft Entra.

Microsoft Entra GUID ID

Untuk menginstal ekstensi NPS, Anda perlu mengetahui GUID ID Microsoft Entra. Instruksi untuk menemukan GUID ID Microsoft Entra disediakan di bagian berikutnya.

Mengonfigurasi RADIUS untuk koneksi VPN

Jika Anda telah menginstal peran NPS di server anggota, Anda perlu mengonfigurasinya untuk mengautentikasi dan mengotorisasi klien VPN yang meminta koneksi VPN.

Bagian ini mengasumsikan bahwa Anda telah menginstal peran Kebijakan Jaringan dan Layanan Akses tetapi belum mengonfigurasinya untuk digunakan dalam infrastruktur.

Catatan

Jika Anda sudah memiliki server VPN yang berfungsi yang menggunakan server RADIUS terpusat untuk autentikasi, Anda dapat melewati bagian ini.

Mendaftarkan Server di Direktori Aktif

Agar berfungsi dengan baik dalam skenario ini, server NPS harus terdaftar di Direktori Aktif.

  1. Buka Manajer Server.

  2. Di Manajer Server, pilih Alat, lalu pilih Server Kebijakan Jaringan.

  3. Di konsol Server Kebijakan Jaringan, klik kanan NPS (Lokal), lalu pilih Daftarkan server di Direktori Aktif. Pilih OK dua kali.

    Register server in Active Directory menu option

  4. Biarkan konsol terbuka untuk prosedur berikutnya.

Menggunakan wizard untuk mengonfigurasi server RADIUS

Anda bisa menggunakan opsi standar (berbasis wizard) atau konfigurasi tingkat lanjut untuk mengonfigurasi server RADIUS. Bagian ini mengasumsikan bahwa Anda menggunakan opsi konfigurasi standar berbasis wizard.

  1. Di konsol Server Kebijakan Jaringan, pilih NPS (Lokal).

  2. Di bagian Konfigurasi Standar, pilih Server RADIUS untuk Koneksi Dial-Up atau VPN, lalu pilih Konfigurasi VPN atau Dial-Up.

    Configure RADIUS Server for Dial-Up or VPN Connections

  3. Di jendela Pilih Jenis Koneksi Jaringan Dial-Up atau Jaringan Privat Maya, pilih Koneksi Jaringan Privat Maya, lalu pilih Berikutnya.

    Configure Virtual private network connections

  4. Di jendela Tentukan Server Dial-Up atau VPN, pilih Tambahkan.

  5. Di jendela Klien RADIUS baru, berikan nama yang ramah, masukkan nama atau alamat IP server VPN yang dapat diselesaikan, lalu masukkan kata sandi rahasia bersama. Buat kata sandi rahasia bersama panjang dan kompleks. Catat, karena Anda akan membutuhkannya di bagian berikutnya.

    Create a New RADIUS client window

  6. Pilih OK, lalu pilih Berikutnya.

  7. Di jendela Konfigurasi Metode Autentikasi, terima pilihan default (Microsoft Encrypted Authentication versi 2 [MS-CHAPv2]) atau pilih opsi lain, dan pilih Berikutnya.

    Catatan

    Jika Anda mengonfigurasi Extensible Authentication Protocol (EAP), Anda harus menggunakan Microsoft Challenge-Handshake Authentication Protocol (CHAPv2) atau Protected Extensible Authentication Protocol (PEAP). Tidak ada EAP lain yang didukung.

  8. Di jendela Tentukan Grup Pengguna, pilih Tambahkan, lalu pilih grup yang sesuai. Jika tidak ada grup, biarkan pilihan kosong untuk memberikan akses ke semua pengguna.

    Specify User Groups window to allow or deny access

  9. Pilih Selanjutnya.

  10. Di jendela Tentukan Filter IP, pilih Berikutnya.

  11. Di jendela Tentukan Pengaturan Enkripsi, terima pengaturan default, lalu pilih Berikutnya.

    The Specify Encryption Settings window

  12. Di jendela Tentukan Nama Asli, biarkan nama dunia kosong, terima pengaturan default, lalu pilih Berikutnya.

    The Specify a Realm Name window

  13. Di jendela Menyelesaikan Koneksi Jaringan Dial-up atau Privat Maya dan klien RADIUS, pilih Selesai.

    Completed configuration window

Memverifikasi konfigurasi RADIUS

Bagian ini memperinci konfigurasi yang Anda buat menggunakan wizard.

  1. Di Server Kebijakan Jaringan, di konsol NPS (lokal), perluas Klien RADIUS, lalu pilih Klien RADIUS.

  2. Di panel detail, klik kanan klien RADIUS yang Anda buat, lalu pilih Properti. Properti klien RADIUS (server VPN) harus seperti yang ditunjukkan di sini:

    Verify the VPN properties and configuration

  3. Pilih Batalkan.

  4. Di Server Kebijakan Jaringan, di konsol NPS (lokal), perluas Kebijakan, lalu pilih Kebijakan Permintaan Koneksi. Kebijakan Koneksi VPN ditampilkan seperti pada gambar berikut:

    Connection request policy showing VPN connection policy

  5. Di bagian Kebijakan, pilih Kebijakan Jaringan. Anda akan melihat kebijakan Koneksi Jaringan Privat Maya (VPN) yang menyerupai kebijakan yang diperlihatkan dalam gambar berikut:

    Network Policies showing Virtual Private Network Connections policy

Mengonfigurasi server VPN untuk menggunakan autentikasi RADIUS

Di bagian ini, Anda mengonfigurasi server VPN untuk menggunakan autentikasi RADIUS. Instruksi mengasumsikan bahwa Anda memiliki konfigurasi kerja server VPN tetapi belum mengonfigurasinya untuk menggunakan autentikasi RADIUS. Setelah Anda mengonfigurasi server VPN, konfirmasikan bahwa konfigurasi berfungsi sebagaimana mestinya.

Catatan

Jika Anda sudah memiliki konfigurasi server VPN yang berfungsi yang menggunakan autentikasi RADIUS, Anda dapat melewati bagian ini.

Mengonfigurasi penyedia autentikasi

  1. Di server VPN, buka Manajer Server.

  2. Di Manajer Server, pilih Alat, lalu pilih Perutean dan Akses Jarak Jauh.

  3. Di jendela Perutean dan Akses Jarak Jauh, klik kanan < nama server>(lokal), lalu pilih Properti.

  4. Di jendela <nama server> (lokal) Properti, pilih tab Keamanan.

  5. Di tab Keamanan, di bagian Penyedia Autentikasi, pilih Autentikasi RADIUS, lalu pilih Konfigurasikan.

    Configure RADIUS Authentication provider

  6. Di jendela Autentikasi RADIUS, pilih Tambahkan.

  7. Di jendela Tambahkan SERVER RADIUS, lakukan hal berikut ini:

    1. Di kotak Nama server, masukkan nama atau alamat IP server RADIUS yang Anda konfigurasi di bagian sebelumnya.

    2. Untuk Rahasia bersama, pilih Ubah, lalu masukkan kata sandi rahasia bersama yang Anda buat dan rekam sebelumnya.

    3. Di kotak Waktu habis (detik), masukkan nilai 60. Untuk meminimalkan permintaan yang dibuang, kami menyarankan agar server VPN dikonfigurasi dengan batas waktu setidaknya 60 detik. Jika diperlukan, atau untuk mengurangi permintaan yang dibuang dalam log kejadian, Anda dapat meningkatkan nilai batas waktu server VPN menjadi 90 atau 120 detik.

  8. Pilih OK.

Menguji konektivitas VPN

Di bagian ini, Anda mengonfirmasi bahwa klien VPN diautentikasi dan diotorisasi oleh server RADIUS ketika Anda mencoba terhubung ke port virtual VPN. Instruksi mengasumsikan bahwa Anda menggunakan Windows 10 sebagai klien VPN.

Catatan

Jika Anda sudah mengonfigurasi klien VPN untuk terhubung ke server VPN dan telah menyimpan pengaturan, Anda dapat melewati langkah-langkah yang terkait dengan mengonfigurasi dan menyimpan objek koneksi VPN.

  1. Di komputer klien VPN, pilih tombol Mulai, lalu pilih tombol Pengaturan.

  2. Di jendela Pengaturan Jendela, pilih Jaringan & Internet.

  3. Pilih VPN.

  4. Pilih Tambahkan koneksi VPN.

  5. Di jendela Tambahkan koneksi VPN, di kotak Penyedia VPN, pilih Windows (bawaan), selesaikan bidang yang tersisa, sesuai kebutuhan, lalu pilih Simpan.

    The

  6. Buka Panel Kontrol, lalu pilih Jaringan dan Pusat Berbagi.

  7. Pilih Ubah pengaturan adaptor.

    Network and Sharing Center - Change adapter settings

  8. Klik kanan koneksi jaringan VPN, lalu pilih Properti.

  9. Di jendela properti VPN, pilih tab Keamanan.

  10. Di tab Keamanan, pastikan bahwa hanya Microsoft CHAP Versi 2 (MS-CHAP v2) yang dipilih, lalu pilih OK.

    The

  11. Klik kanan koneksi VPN, lalu pilih Sambungkan.

  12. Di jendela Pengaturan, pilih Sambungkan.
    Koneksi yang berhasil muncul di log Keamanan, di server RADIUS, sebagai ID Peristiwa 6272, seperti yang diperlihatkan di sini:

    Event Properties window showing a successful connection

Pemecahan masalah RADIUS

Misalnya konfigurasi VPN berfungsi sebelum Anda mengonfigurasi server VPN untuk menggunakan server RADIUS terpusat untuk autentikasi dan otorisasi. Jika konfigurasi berfungsi, kemungkinan masalah ini disebabkan oleh kesalahan konfigurasi server RADIUS atau penggunaan nama pengguna atau kata sandi yang tidak valid. Misalnya, jika Anda menggunakan akhiran UPN alternatif dalam nama pengguna, upaya masuk mungkin gagal. Gunakan nama akun yang sama untuk hasil terbaik.

Untuk memecahkan masalah ini, tempat yang ideal untuk memulai adalah memeriksa log peristiwa Keamanan di server RADIUS. Untuk menghemat waktu mencari peristiwa, Anda bisa menggunakan kebijakan jaringan berbasis peran dan tampilan kustom Server Akses di Pemantau Peristiwa, seperti yang diperlihatkan di sini. "ID Peristiwa 6273" menunjukkan peristiwa di mana NPS menolak akses ke pengguna.

Event Viewer showing NPAS events

Mengonfigurasi autentikasi multifaktor

Untuk bantuan mengonfigurasi pengguna untuk autentikasi multifaktor, lihat artikel Merencanakan penyebaran autentikasi multifaktor Microsoft Entra berbasis cloud dan Menyiapkan akun saya untuk verifikasi dua langkah

Menginstal dan mengonfigurasi ekstensi NPS

Bagian ini menyediakan instruksi untuk mengonfigurasi VPN untuk menggunakan MFA untuk autentikasi klien dengan server VPN.

Catatan

Kunci registri REQUIRE_USER_MATCH peka huruf besar/kecil. Semua nilai harus diatur dalam format HURUF BESAR.

Setelah Anda menginstal dan mengonfigurasi ekstensi NPS, semua autentikasi klien berbasis RADIUS yang diproses oleh server ini diperlukan untuk menggunakan MFA. Jika semua pengguna VPN Anda tidak terdaftar di autentikasi multifaktor Microsoft Entra, Anda dapat melakukan salah satu hal berikut:

  • Siapkan server RADIUS lain untuk mengautentikasi pengguna yang tidak dikonfigurasi untuk menggunakan MFA.

  • Buat entri registri yang memungkinkan pengguna yang ditantang untuk memberikan faktor autentikasi kedua jika mereka terdaftar di autentikasi multifaktor Microsoft Entra.

Buat nilai string baru bernama REQUIRE_USER_MATCH di HKLM\SOFTWARE\Microsoft\AzureMfa, dan atur nilainya ke TRUE atau FALSE.

The

Jika nilai diatur ke TRUE atau kosong, semua permintaan autentikasi tunduk pada tantangan MFA. Jika nilai diatur ke FALSE, tantangan MFA hanya dikeluarkan untuk pengguna yang terdaftar di autentikasi multifaktor Microsoft Entra. Gunakan pengaturan FALSE hanya dalam pengujian atau di lingkungan produksi selama periode orientasi.

Mendapatkan ID penyewa direktori

Sebagai bagian dari konfigurasi ekstensi NPS, Anda harus memberikan info masuk administrator dan ID penyewa Microsoft Entra Anda. Untuk mendapatkan ID penyewa, selesaikan langkah-langkah berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Global.

  2. Telusuri identitas> Pengaturan.

    Getting the Tenant ID from the Microsoft Entra admin center

Instal ekstensi NPS

Ekstensi NPS harus diinstal di server yang menginstal peran Kebijakan Jaringan dan Layanan Akses dan yang berfungsi sebagai server RADIUS dalam desain Anda. Jangan instal ekstensi NPS di server VPN Anda.

  1. Unduh ekstensi NPS dari Pusat Unduh Microsoft.

  2. Salin file yang dapat dieksekusi persiapan (NpsExtnForAzureMfaInstaller.exe) ke server NPS.

  3. Di server NPS, klik dua kali NpsExtnForAzureMfaInstaller.exe dan, jika Anda diminta, pilih Jalankan.

  4. Di jendela Penyiapan autentikasi multifaktor Ekstensi NPS Untuk Microsoft Entra, tinjau ketentuan lisensi perangkat lunak, pilih kotak centang Saya menyetujui syarat dan ketentuan lisensi, lalu pilih Instal.

    The

  5. Di jendela Penyiapan autentikasi multifaktor Ekstensi NPS Untuk Microsoft Entra, pilih Tutup.

    The

Mengonfigurasi sertifikat untuk digunakan dengan ekstensi NPS dengan menggunakan skrip Graph PowerShell

Untuk memastikan komunikasi dan jaminan yang aman, konfigurasikan sertifikat untuk digunakan oleh ekstensi NPS. Komponen NPS menyertakan skrip Graph PowerShell yang mengonfigurasi sertifikat yang ditandatangani sendiri untuk digunakan dengan NPS.

Skrip melakukan tindakan berikut:

  • Membuat sertifikat yang ditandatangani sendiri.
  • Mengaitkan kunci publik sertifikat ke perwakilan layanan di ID Microsoft Entra.
  • Menyimpan sertifikat di penyimpanan komputer lokal.
  • Memberi pengguna akses jaringan ke kunci privat sertifikat.
  • Memulai ulang layanan NPS.

Jika Anda ingin menggunakan sertifikat Anda sendiri, Anda harus mengaitkan kunci publik sertifikat Anda dengan perwakilan layanan di ID Microsoft Entra, dan sebagainya.

Untuk menggunakan skrip, berikan ekstensi dengan kredensial administratif Microsoft Entra dan ID penyewa Microsoft Entra yang Anda salin sebelumnya. Akun harus berada di penyewa Microsoft Entra yang sama dengan yang Anda inginkan untuk mengaktifkan ekstensi. Jalankan skrip di setiap server NPS tempat Anda menginstal ekstensi NPS.

  1. Jalankan Graph PowerShell sebagai administrator.

  2. Di prompt perintah PowerShell, masukkan cd "c:\Program Files\Microsoft\AzureMfa\Config", lalu pilih Masukkan.

  3. Di prompt perintah berikutnya, masukkan .\AzureMfaNpsExtnConfigSetup.ps1, lalu pilih Masukkan. Skrip memeriksa untuk melihat apakah Graph PowerShell diinstal. Jika tidak diinstal, skrip menginstal Graph PowerShell untuk Anda.

    Running the AzureMfsNpsExtnConfigSetup.ps1 configuration script

    Jika Anda mendapatkan kesalahan keamanan karena TLS, aktifkan TLS 1.2 menggunakan perintah [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 dari prompt PowerShell.

    Setelah skrip memverifikasi penginstalan modul PowerShell, skrip menampilkan jendela masuk modul Graph PowerShell.

  4. Masukkan kredensial dan kata sandi administrator Microsoft Entra Anda, lalu pilih Masuk.

  5. Di prompt perintah, tempelkan ID penyewa yang Anda salin sebelumnya, lalu pilih Masukkan.

    Input the Microsoft Entra tenant ID copied before

    Skrip membuat sertifikat yang ditandatangani sendiri dan melakukan perubahan konfigurasi lainnya. Outputnya seperti pada gambar berikut:

    PowerShell window showing Self-signed certificate

  6. Reboot server.

Verifikasi konfigurasi

Untuk memverifikasi konfigurasi, Anda harus membuat koneksi VPN baru dengan server VPN. Setelah berhasil memasukkan kredensial Anda untuk autentikasi utama, koneksi VPN menunggu autentikasi sekunder berhasil sebelum koneksi dibuat, seperti yang ditunjukkan di bawah ini.

The Windows Settings VPN window

Jika Anda berhasil mengautentikasi dengan metode verifikasi sekunder yang sebelumnya Anda konfigurasi di autentikasi multifaktor Microsoft Entra, Anda tersambung ke sumber daya. Namun, jika autentikasi sekunder tidak berhasil, akses Anda ke sumber daya ditolak.

Pada contoh berikut, aplikasi Microsoft Authenticator di Windows Phone menyediakan autentikasi sekunder:

Example MFA prompt on Windows Phone

Setelah berhasil diautentikasi menggunakan metode sekunder, Anda diberikan akses ke port virtual di server VPN. Karena Anda harus menggunakan metode autentikasi sekunder menggunakan aplikasi ponsel di perangkat tepercaya, proses masuk lebih aman daripada jika hanya menggunakan kombinasi nama pengguna dan kata sandi.

Menampilkan log Pemantau Peristiwa untuk peristiwa masuk yang berhasil

Untuk melihat peristiwa masuk yang berhasil di windows Pemantau Peristiwa, Anda dapat melihat log Keamanan atau Kebijakan Jaringan dan tampilan kustom Layanan Access, seperti yang ditunjukkan pada gambar berikut:

Example Network Policy Server log

Di server tempat Anda menginstal ekstensi NPS untuk autentikasi multifaktor Microsoft Entra, Anda dapat menemukan log aplikasi Pemantau Peristiwa yang khusus untuk ekstensi di Log Aplikasi dan Layanan\Microsoft\AzureMfa.

Example Event Viewer AuthZ logs pane

Panduan pemecahan masalah

Jika konfigurasi tidak berfungsi sebagaimana mestinya, mulailah pemecahan masalah dengan memverifikasi bahwa pengguna dikonfigurasi untuk menggunakan MFA. Minta pengguna masuk ke pusat admin Microsoft Entra. Jika pengguna diminta untuk autentikasi sekunder dan dapat berhasil mengautentikasi, Anda dapat menghilangkan konfigurasi MFA yang salah sebagai masalah.

Jika MFA berfungsi untuk pengguna, tinjau log Pemantau Peristiwa yang relevan. Log mencakup peristiwa keamanan, Operasional gateway, dan log autentikasi multifaktor Microsoft Entra yang dibahas di bagian sebelumnya.

Contoh log keamanan yang menampilkan peristiwa masuk yang gagal (ID peristiwa 6273) diperlihatkan di sini:

Security log showing a failed sign-in event

Peristiwa terkait dari log autentikasi multifaktor Microsoft Entra diperlihatkan di sini:

Microsoft Entra multifactor authentication logs

Untuk melakukan pemecahan masalah tingkat lanjut, lihat file log format database NPS tempat layanan NPS diinstal. File log dibuat di folder %SystemRoot%\System32\Logs sebagai file teks dipisahkan koma. Untuk deskripsi file log, lihat Menafsirkan File Log Format Database NPS.

Entri dalam file log ini sulit ditafsirkan kecuali Anda mengekspornya ke spreadsheet atau database. Anda dapat menemukan banyak alat penguraian Internet Authentication Service (IAS) secara online untuk membantu Anda dalam menafsirkan file log. Output dari salah satu aplikasi shareware yang dapat diunduh seperti ditampilkan di sini:

Sample Shareware app IAS parser

Untuk melakukan pemecahan masalah tambahan, Anda dapat menggunakan penganalisis protokol seperti Wireshark atau Microsoft Message Analyzer. Gambar berikut dari Wireshark menunjukkan pesan RADIUS antara server VPN dan NPS.

Microsoft Message Analyzer showing filtered traffic

Untuk informasi selengkapnya, lihat Mengintegrasikan infrastruktur NPS yang ada dengan autentikasi multifaktor Microsoft Entra.

Langkah berikutnya

Mendapatkan autentikasi multifaktor Microsoft Entra

Gateway Desktop Jarak Jauh dan Server Autentikasi Multifaktor Azure menggunakan RADIUS

Mengintegrasikan direktori lokal Anda dengan ID Microsoft Entra