Akses berskal untuk konektivitas VPN menggunakan MICROSOFT Entra ID

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, Windows 10

Dalam panduan cara ini, Anda akan mempelajari cara memberi pengguna VPN akses sumber daya Anda menggunakan Akses Bersyar Microsoft Entra. Dengan Microsoft Entra Conditional Access untuk konektivitas jaringan privat virtual (VPN), Anda dapat membantu melindungi koneksi VPN. Akses Bersyar adalah mesin evaluasi berbasis kebijakan yang memungkinkan Anda membuat aturan akses untuk aplikasi yang terhubung dengan Microsoft Entra apa pun.

Prasyarat

Sebelum mulai mengonfigurasi Akses Bersyarat untuk VPN, Anda harus telah menyelesaikan prasyarat berikut:

• Akses berskal di ID Microsoft Entra

• VPN dan akses bersyarah

• Anda telah menyelesaikan Tutorial: Menyebarkan Always On VPN - Menyiapkan infrastruktur untuk AlwaysOn VPN atau Anda sudah menyiapkan infrastruktur AlwaysOn VPN di lingkungan Anda.

• Komputer klien Windows Anda telah dikonfigurasi dengan koneksi VPN menggunakan Intune. Jika Anda tidak tahu cara mengonfigurasi dan menyebarkan Profil VPN dengan Intune, lihat Menyebarkan profil VPN AlwaysOn ke Windows 10 atau klien yang lebih baru dengan Microsoft Intune.

Mengonfigurasi EAP-TLS untuk mengabaikan pemeriksaan Daftar Pencabutan Sertifikat (CRL)

Klien EAP-TLS tidak dapat tersambung kecuali server NPS menyelesaikan pemeriksaan pencabutan rantai sertifikat (termasuk sertifikat akar). Sertifikat cloud yang dikeluarkan untuk pengguna oleh MICROSOFT Entra ID tidak memiliki CRL karena merupakan sertifikat berumur pendek dengan masa pakai satu jam. EAP pada NPS perlu dikonfigurasi untuk mengabaikan tidak adanya CRL. Karena metode autentikasi adalah EAP-TLS, nilai registri ini hanya diperlukan di bawah EAP\13. Jika metode autentikasi EAP lainnya digunakan, maka nilai registri juga harus ditambahkan di bawah metode tersebut.

Di bagian ini, Anda akan menambahkan IgnoreNoRevocationCheck dan NoRevocationCheck. Secara default, IgnoreNoRevocationCheck dan NoRevocationCheck diatur ke 0 (dinonaktifkan).

Untuk mempelajari selengkapnya tentang pengaturan registri NPS CRL, lihat Mengonfigurasi pengaturan registri pemeriksaan Daftar Pencabutan Sertifikat Server Kebijakan Jaringan.

Penting

Jika Windows Routing dan Remote Access Server (RRAS) menggunakan NPS untuk mem-proxy panggilan RADIUS ke NPS kedua, maka Anda harus mengatur IgnoreNoRevocationCheck=1 di kedua server.

Kegagalan untuk menerapkan perubahan registri ini akan menyebabkan koneksi IKEv2 menggunakan sertifikat cloud dengan PEAP gagal, tetapi koneksi IKEv2 menggunakan sertifikat Autentikasi Klien yang dikeluarkan dari CA lokal akan terus berfungsi.

1. Buka regedit.exe di server NPS.

2. Navigasi ke HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.

3. Pilih Edit > Baru dan pilih Nilai DWORD (32-bit) dan masukkan IgnoreNoRevocationCheck.

4. Klik ganda IgnoreNoRevocationCheck dan atur Data nilai ke 1.

5. Pilih Edit > Baru dan pilih Nilai DWORD (32-bit) dan masukkan NoRevocationCheck.

6. Klik ganda NoRevocationCheck dan atur Data nilai ke 1.

7. Pilih OK dan mulai ulang server. Memulai ulang layanan RRAS dan NPS tidak cukup.

Jalur Registri	Ekstensi EAP
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13	EAP-TLS
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\25	PEAP

Membuat sertifikat akar untuk autentikasi VPN dengan ID Microsoft Entra

Di bagian ini, Anda mengonfigurasi sertifikat akar akses bersuhidan untuk autentikasi VPN dengan ID Microsoft Entra, yang secara otomatis membuat aplikasi Cloud yang disebut VPN Server di penyewa. Untuk mengonfigurasi akses bersuhidan untuk konektivitas VPN, Anda perlu:

1. Buat sertifikat VPN di portal Azure.
2. Unduh sertifikat VPN.
3. Sebarkan sertifikat ke server VPN dan NPS Anda.

Penting

Setelah sertifikat VPN dibuat di portal Azure, ID Microsoft Entra akan segera mulai menggunakannya untuk mengeluarkan sertifikat berumur pendek ke klien VPN. Sangat penting bahwa sertifikat VPN segera disebarkan ke server VPN untuk menghindari masalah dengan validasi kredensial klien VPN.

Ketika pengguna mencoba koneksi VPN, klien VPN melakukan panggilan ke Manajer Akun Web (WAM) pada klien Windows 10. WAM melakukan panggilan ke aplikasi cloud VPN Server. Ketika Kondisi dan Kontrol dalam kebijakan Akses Bersyarkat terpenuhi, ID Microsoft Entra mengeluarkan token dalam bentuk sertifikat berumur pendek (1 jam) ke WAM. WAM menempatkan sertifikat di penyimpanan sertifikat pengguna dan meneruskan kontrol ke klien VPN. 

Klien VPN kemudian mengirim sertifikat yang dikeluarkan oleh MICROSOFT Entra ID ke VPN untuk validasi kredensial. 

Catatan

MICROSOFT Entra ID menggunakan sertifikat yang terakhir dibuat di bilah konektivitas VPN sebagai Penerbit. Sertifikat daun koneksi VPN Akses Bersyarat Microsoft Entra sekarang mendukung pemetaan sertifikat yang kuat, persyaratan autentikasi berbasis sertifikat yang diperkenalkan oleh KB5014754. Sertifikat daun koneksi VPN sekarang menyertakan ekstensi SID (1.3.6.1.4.1.311.25.2), yang berisi versi SID pengguna yang dikodekan yang diperoleh dari atribut onPremisesSecurityIdentifier.

Untuk membuat sertifikat akar:

1. Masuk ke portal Microsoft Azure Anda sebagai Administrator Global.
2. Di menu sebelah kiri, klik ID Microsoft Entra.
3. Pada halaman ID Microsoft Entra, di bagian Kelola , klik Keamanan.
4. Pada halaman Keamanan , di bagian Lindungi , klik Akses Bersyar.
5. Pada Akses Bersyar | Halaman Kebijakan, di bagian Kelola, klik VPN Koneksi ivity.
6. Pada halaman konektivitas VPN, klik Sertifikat baru.
7. Pada halaman Baru , lakukan langkah-langkah berikut: a. Untuk Pilih durasi, pilih 1, 2, atau 3 tahun. b. Pilih Buat.

Mengonfigurasi kebijakan akses bersyarah

Di bagian ini, Anda mengonfigurasi kebijakan akses bersyarkat untuk konektivitas VPN. Ketika sertifikat akar pertama dibuat di bilah 'konektivitas VPN', sertifikat akar secara otomatis membuat aplikasi cloud 'VPN Server' di penyewa.

Buat kebijakan Akses Bersyar yang ditetapkan ke grup pengguna VPN dan cakupan aplikasi Cloud ke VPN Server:

• Pengguna: Pengguna VPN
• Aplikasi Cloud: VPN Server
• Grant (kontrol akses): 'Memerlukan autentikasi multifaktor'. Kontrol lain dapat digunakan jika diinginkan.

Prosedur: Langkah ini mencakup pembuatan kebijakan Akses Bersyar yang paling mendasar.  Jika diinginkan, Kondisi dan Kontrol tambahan dapat digunakan.

1. Pada halaman Akses Bersyar, di toolbar di bagian atas, pilih Tambahkan.

   

2. Pada halaman Baru , dalam kotak Nama , masukkan nama untuk kebijakan Anda. Misalnya, masukkan kebijakan VPN.

   

3. Di bagian Penugasan , pilih Pengguna dan grup.

   

4. Pada halaman Pengguna dan grup , lakukan langkah-langkah berikut:

   

   a. Pilih Pilih pengguna dan grup.

   b. Pilih Pilih.

   c. Pada halaman Pilih , pilih grup pengguna VPN, lalu pilih Pilih.

   d. Pada halaman Pengguna dan grup , pilih Selesai.

5. Pada halaman Baru , lakukan langkah-langkah berikut ini:

   

   a. Di bagian Penugasan , pilih Aplikasi cloud.

   b. Pada halaman Aplikasi cloud , pilih Pilih aplikasi.

   d. Pilih Vpn Server.

6. Pada halaman Baru , untuk membuka halaman Hibah , di bagian Kontrol , pilih Berikan.

   

7. Pada halaman Grant , lakukan langkah-langkah berikut:

   

   a. Pilih Wajibkan autentikasi multifaktor.

   b. Pilih Pilih.

8. Pada halaman Baru , di bawah Aktifkan kebijakan, pilih Aktif.

   

9. Pada halaman Baru , pilih Buat.

Menyebarkan sertifikat akar akses bersyar ke AD lokal

Di bagian ini, Anda menyebarkan sertifikat akar tepercaya untuk autentikasi VPN ke AD lokal Anda.

1. Pada halaman konektivitas VPN, pilih Unduh sertifikat.

   Catatan

   Opsi Unduh sertifikat base64 tersedia untuk beberapa konfigurasi yang memerlukan sertifikat base64 untuk penyebaran.

2. Masuk ke komputer yang bergabung dengan domain dengan hak Admin Perusahaan dan jalankan perintah ini dari perintah Administrator untuk menambahkan sertifikat akar cloud ke penyimpanan Enterprise NTauth :

   Catatan

   Untuk lingkungan di mana server VPN tidak bergabung ke domain Direktori Aktif, sertifikat akar cloud harus ditambahkan ke penyimpanan Otoritas Sertifikasi Akar Tepercaya secara manual.

   Perintah	Deskripsi
   certutil -dspublish -f VpnCert.cer RootCA	Membuat dua kontainer MICROSOFT VPN root CA gen 1 di bawah kontainer CN=AIA dan CN=Certification Authorities , dan menerbitkan setiap sertifikat akar sebagai nilai pada atribut cACertificate dari kedua kontainer CA gen 1 akar VPN Microsoft.
   certutil -dspublish -f VpnCert.cer NTAuthCA	Membuat satu kontainer CN=NTAuthCertificates di bawah kontainer CN=AIA dan CN=Certification Authorities , dan menerbitkan setiap sertifikat akar sebagai nilai pada atribut cACertificate kontainer CN=NTAuthCertificates .
   gpupdate /force	Mempercepat penambahan sertifikat akar ke server Windows dan komputer klien.

3. Verifikasi bahwa sertifikat akar ada di penyimpanan Enterprise NTauth dan tampilkan sebagai tepercaya:

   1. Masuk ke server dengan hak Admin Perusahaan yang telah menginstal Alat Manajemen Otoritas Sertifikat.

   Catatan

   Secara default , Alat Manajemen Otoritas Sertifikat diinstal server Otoritas Sertifikat. Mereka dapat diinstal di server anggota lain sebagai bagian dari Alat Administrasi Peran di Manajer Server.

   1. Di server VPN, di menu Mulai, masukkan pkiview.msc untuk membuka dialog Enterprise PKI.
   2. Dari menu Mulai, masukkan pkiview.msc untuk membuka dialog Enterprise PKI.
   3. Klik kanan Enterprise PKI dan pilih Kelola Kontainer AD.
   4. Verifikasi bahwa setiap sertifikat CA gen 1 akar VPN Microsoft ada di bawah:
      • NTAuthCertificates
      • Kontainer AIA
      • Kontainer Otoritas Sertifikat

Membuat profil VPNv2 berbasis OMA-DM ke perangkat Windows 10

Di bagian ini, Anda akan membuat profil VPNv2 berbasis OMA-DM menggunakan Intune untuk menyebarkan kebijakan Konfigurasi Perangkat VPN.

1. Di portal Azure, pilih Profil Konfigurasi>Perangkat Intune>dan pilih profil VPN yang Anda buat di Konfigurasi klien VPN dengan menggunakan Intune.

2. Di editor kebijakan, pilih Properti> Pengaturan> Base VPN. Perluas Xml EAP yang ada untuk menyertakan filter yang memberi klien VPN logika yang diperlukan untuk mengambil sertifikat Akses Bersyar Microsoft Entra dari penyimpanan sertifikat pengguna alih-alih membiarkannya untuk memungkinkannya menggunakan sertifikat pertama yang ditemukan.

   Catatan

   Tanpa ini, klien VPN dapat mengambil sertifikat pengguna yang dikeluarkan dari otoritas sertifikat lokal, menghasilkan koneksi VPN yang gagal.

   

3. Temukan bagian yang diakhir dengan </AcceptServerName></EapType> dan masukkan string berikut di antara kedua nilai ini untuk memberi klien VPN logika untuk memilih Sertifikat Akses Bersyarkat Microsoft Entra:

   <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUList Enabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions>
   

4. Pilih bilah Akses Bersyar dan alihkan Akses bersyarah untuk koneksi VPN ini ke Diaktifkan.

   Mengaktifkan pengaturan ini mengubah <pengaturan DeviceCompliance><Enabled>true</Enabled> di XML Profil VPNv2.

   

5. Pilih OK.

6. Pilih Penugasan, di bawah Sertakan, pilih Pilih grup untuk disertakan.

7. Pilih grup yang benar yang menerima kebijakan ini dan pilih Simpan.

   

Paksa Sinkronisasi Kebijakan MDM pada Klien

Jika profil VPN tidak muncul di perangkat klien, di bawah Pengaturan\Jaringan & Internet\VPN, Anda dapat memaksa kebijakan MDM untuk disinkronkan.

1. Masuk ke komputer klien yang bergabung dengan domain sebagai anggota grup Pengguna VPN.

2. Pada menu Mulai, masukkan akun, dan tekan Enter.

3. Di panel navigasi kiri, pilih Akses kantor atau sekolah.

4. Di bawah Akses kantor atau sekolah, pilih Koneksi ke <\domain> MDM, lalu pilih Info.

5. Pilih Sinkronkan dan verifikasi profil VPN muncul di bawah Pengaturan\Jaringan & Internet\VPN.

Langkah berikutnya

Anda selesai mengonfigurasi profil VPN untuk menggunakan Microsoft Entra Conditional Access.

• Untuk mempelajari selengkapnya tentang cara kerja akses bersyarat dengan VPN, lihat VPN dan akses bersyarat.

• Untuk mempelajari selengkapnya tentang fitur VPN tingkat lanjut, lihat Fitur VPN Tingkat Lanjut.

• Untuk melihat gambaran umum VPNv2 CSP, lihat VPNv2 CSP: Topik ini memberi Anda gambaran umum tentang VPNv2 CSP.