Integrare l'infrastruttura gateway Desktop remoto usando l'estensione Server dei criteri di rete e l'ID Microsoft Entra

  • Articolo

Questo articolo fornisce informazioni dettagliate per l'integrazione dell'infrastruttura gateway Desktop remoto con l'autenticazione a più fattori Di Microsoft Entra usando l'estensione Server dei criteri di rete (NPS) per Microsoft Azure.

L'estensione Server dei criteri di rete (NPS) per Azure consente ai clienti di proteggere l'autenticazione client RADIUS (Remote Authentication Dial-In User Service) usando l'autenticazione a più fattori basata sul cloud di Azure. Questa soluzione fornisce la verifica in due passaggi per l'aggiunta di un secondo livello di sicurezza agli accessi e alle transazioni degli utenti.

Questo articolo fornisce istruzioni dettagliate per l'integrazione dell'infrastruttura nps con l'autenticazione a più fattori Di Microsoft Entra usando l'estensione NPS per Azure. Questo consente la verifica sicura per gli utenti che tentano di accedere a Gateway Desktop remoto.

Nota

Questo articolo non deve essere usato con le distribuzioni del server MFA e deve essere usato solo con le distribuzioni di Autenticazione a più fattori Microsoft Entra (basata sul cloud).

Servizi di accesso e criteri di rete consente alle organizzazioni di eseguire le operazioni seguenti:

  • Definire posizioni centrali per la gestione e il controllo delle richieste di rete, indicando quali utenti possono connettersi, le ore del giorno in cui sono consentite le connessioni, la durata delle connessioni, il livello di sicurezza che i client devono usare per la connessione e così via. Invece che specificare questi criteri in ogni VPN o server Gateway Desktop remoto, è possibile specificarli una sola volta in una posizione centrale. Il protocollo RADIUS fornisce servizi centralizzati di autenticazione, autorizzazione e accounting.
  • Stabilire e applicare criteri di integrità client di Protezione accesso alla rete che determinano se ai dispositivi viene concesso l'accesso alle risorse di rete con o senza restrizioni.
  • Fornire un mezzo per imporre l'autenticazione e l'autorizzazione per l'accesso a commutatori Ethernet e punti di accesso wireless che supportano 802.1x.

In genere, le organizzazioni usano SERVER dei criteri di rete (RADIUS) per semplificare e centralizzare la gestione dei criteri VPN. Tuttavia, molte organizzazioni usano anche Server dei criteri di rete per semplificare e centralizzare la gestione di criteri di autorizzazione connessioni Desktop remoto.

Le organizzazioni possono anche integrare NPS con l'autenticazione a più fattori Di Microsoft Entra per migliorare la sicurezza e offrire un livello elevato di conformità. In questo modo si garantisce che gli utenti eseguano la verifica in due passaggi per accedere a Gateway Desktop remoto. Affinché venga concesso loro l'accesso, gli utenti devono specificare la combinazione di nome utente/password con informazioni sotto il controllo dell'utente. Queste informazioni devono essere attendibili e non facilmente duplicabili, ad esempio un numero di telefono cellulare, un numero di rete fissa, un'applicazione in un dispositivo mobile e così via. RDG supporta attualmente la chiamata telefonica e approva/le notifiche push negate dai metodi dell'app di autenticazione Microsoft per 2FA. Per altre informazioni sui metodi di autenticazione supportati, vedere la sezione Determinare i metodi di autenticazione che è possibile usare.

Se l'organizzazione usa Gateway Desktop remoto e l'utente è registrato per un codice TOTP insieme alle notifiche push di Authenticator, l'utente non può soddisfare la richiesta di autenticazione a più fattori e l'accesso al gateway Desktop remoto ha esito negativo. In tal caso, è possibile impostare OVERRIDE_NUMBER_MATCHING_WITH_OTP = FAL edizione Standard per eseguire il fallback per eseguire il push delle notifiche su Approva/Nega con Authenticator.

Affinché un'estensione nps continui a funzionare per gli utenti di Gateway Desktop remoto, è necessario creare questa chiave del Registro di sistema nel server dei criteri di rete. Nel server dei criteri di rete aprire l'editor del Registro di sistema. Passare a:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

Creare la coppia Stringa/Valore seguente:

Nome: OVERRIDE_NUMBER_MATCHING_WITH_OTP

Valore = FAL edizione Standard

Prima della disponibilità dell'estensione NPS per Azure, i clienti che desideravano implementare la verifica in due passaggi per gli ambienti di autenticazione a più fattori integrati e NpS Microsoft Entra dovevano configurare e gestire un server MFA separato nell'ambiente locale, come documentato in Gateway Desktop remoto e nel server Azure Multi-Factor Authentication tramite RADIUS.

La disponibilità dell'estensione NPS per Azure offre ora alle organizzazioni la possibilità di scegliere se distribuire una soluzione MFA locale o una soluzione MFA basata sul cloud per l'autenticazione sicura dei client RADIUS.

Flusso di autenticazione

Perché venga concesso loro l'accesso a risorse di rete tramite Gateway Desktop remoto, gli utenti devono soddisfare le condizioni specificate nei criteri di autorizzazione connessioni Desktop remoto e nei criteri di autorizzazione delle risorse di Desktop remoto. I criteri di autorizzazione connessioni Desktop remoto specificano gli utenti autorizzati a connettersi a Gateway Desktop remoto. I criteri di autorizzazione delle risorse di Desktop remoto specificano le risorse di rete, come desktop remoti o app remote, ai quali l'utente è autorizzato a connettersi tramite Gateway Desktop remoto.

Un'istanza di Gateway Desktop remoto può essere configurata per l'uso di un archivio centrale di criteri per i criteri di autorizzazione delle risorse di Desktop remoto. I criteri di autorizzazione delle risorse di Desktop remoto non possono usare criteri centrali, in quanto vengono elaborati da Gateway Desktop remoto. Un esempio di Gateway Desktop remoto configurato per l'uso di un archivio centrale di criteri per criteri di autorizzazione connessioni Desktop remoto è un client RADIUS connesso a un altro server NPS che funge da archivio centrale di criteri.

Quando l'estensione NPS per Azure è integrata con Server dei criteri di rete e Gateway Desktop remoto, il corretto flusso di autenticazione è quello illustrato di seguito:

  1. Il server Gateway Desktop remoto riceve da un utente Desktop remoto una richiesta di autenticazione per la connessione a una risorsa, ad esempio una sessione Desktop remoto. Fungendo da client RADIUS, il server Gateway Desktop remoto converte la richiesta in un messaggio di richiesta di accesso RADIUS e invia il messaggio al server RADIUS (Server dei criteri di rete) in cui è installata l'estensione NPS.
  2. La combinazione di nome utente e password viene verificata in Active Directory e l'utente viene autenticato.
  3. Se tutte le condizioni specificate nella richiesta di Connessione del server dei criteri di rete e i criteri di rete vengono soddisfatte (ad esempio, l'ora del giorno o le restrizioni di appartenenza ai gruppi), l'estensione NPS attiva una richiesta di autenticazione secondaria con l'autenticazione a più fattori Di Microsoft Entra.
  4. L'autenticazione a più fattori Microsoft Entra comunica con Microsoft Entra ID, recupera i dettagli dell'utente ed esegue l'autenticazione secondaria usando i metodi supportati.
  5. Al termine della sfida MFA, l'autenticazione a più fattori Microsoft Entra comunica il risultato all'estensione NPS.
  6. Il Server dei criteri di rete in cui è installata l'estensione invia un messaggio di autorizzazione di accesso RADIUS per i criteri di autorizzazione connessioni Desktop remoto al server Gateway Desktop remoto.
  7. All'utente viene concesso l'accesso alla risorsa di rete richiesta tramite Gateway Desktop remoto.

Prerequisiti

Questa sezione descrive in dettaglio i prerequisiti necessari prima di integrare l'autenticazione a più fattori Di Microsoft Entra con Gateway Desktop remoto. Prima di iniziare, è necessario che siano soddisfatti i prerequisiti seguenti.

  • Infrastruttura Servizi Desktop remoto
  • Licenza di autenticazione a più fattori Microsoft Entra
  • Software Windows Server
  • Ruolo Servizi di accesso e criteri di rete
  • Microsoft Entra si è sincronizzato con Active Directory locale
  • Microsoft Entra GUID ID

Infrastruttura Servizi Desktop remoto

Deve essere presente un'infrastruttura Servizi Desktop remoto funzionante. In caso contrario, è possibile creare rapidamente questa infrastruttura in Azure usando il modello di avvio rapido seguente: Creare la distribuzione della raccolta di sessioni desktop remoto.

Se si vuole creare manualmente un'infrastruttura Servizi Desktop remoto locale per scopi di test, completare i passaggi di distribuzione. Altre informazioni: Distribuire Servizi Desktop remoto con l'avvio rapido di Azure e la distribuzione dell'infrastruttura Servizi Desktop remoto di base.

Software Windows Server

L'estensione NPS richiede Windows Server 2008 R2 SP1 o versione successiva con il servizio ruolo NPS installato. Tutti i passaggi in questa sezione sono stati eseguiti usando Windows Server 2016.

Ruolo Servizi di accesso e criteri di rete

Il servizio ruolo NPS fornisce le funzionalità di client e server RADIUS, nonché il servizio di integrità Protezione accesso alla rete. Questo ruolo deve essere installato in almeno due computer dell'infrastruttura: il computer Gateway Desktop remoto e un altro server membro o controller di dominio. Per impostazione predefinita, il ruolo è già presente nel computer configurato come Gateway Desktop remoto. È necessario installare il ruolo NPS almeno anche in un altro computer, ad esempio un controller di dominio o un server membro.

Per informazioni sull'installazione del servizio ruolo NPS di Windows Server 2012 o versioni successive, vedere Install a NAP Health Policy Server (Installare un server criteri di integrità Protezione accesso alla rete). Per una descrizione delle procedure consigliate per Server dei criteri di rete, inclusi i consigli sull'installazione di Server dei criteri di rete in un controller di dominio, vedere Best Practices for NPS (Procedure consigliate per Server dei criteri di rete).

Microsoft Entra si è sincronizzato con Active Directory locale

Per usare l'estensione NPS, gli utenti locali devono essere sincronizzati con Microsoft Entra ID e abilitati per MFA. Questa sezione presuppone che gli utenti locali siano sincronizzati con Microsoft Entra ID usando AD Connessione. Per informazioni su Microsoft Entra Connessione, vedere Integrare le directory locali con Microsoft Entra ID.

Microsoft Entra GUID ID

Per installare l'estensione NPS, è necessario conoscere il GUID dell'ID Microsoft Entra. Di seguito sono riportate le istruzioni per trovare il GUID dell'ID Microsoft Entra.

Configurare l'autenticazione a più fattori

Questa sezione fornisce istruzioni per l'integrazione dell'autenticazione a più fattori Di Microsoft Entra con Gateway Desktop remoto. In qualità di amministratore, è necessario configurare il servizio di autenticazione a più fattori Di Microsoft Entra prima che gli utenti possano registrare automaticamente i propri dispositivi o applicazioni a più fattori.

Seguire la procedura descritta in Introduzione all'autenticazione a più fattori Di Microsoft Entra nel cloud per abilitare l'autenticazione a più fattori per gli utenti di Microsoft Entra.

Configurare gli account per la verifica in due passaggi

Dopo aver abilitato un account per MFA, è possibile accedere alle risorse governate dai criteri MFA solo dopo aver configurato correttamente un dispositivo attendibile da usare per il secondo fattore di autenticazione e averlo autenticato con la verifica in due passaggi.

Seguire i passaggi descritti in Che cosa significa l'autenticazione a più fattori di Microsoft Entra? per comprendere e configurare correttamente i dispositivi per MFA con l'account utente.

Importante

Il comportamento di accesso per Gateway Desktop remoto non offre l'opzione per immettere un codice di verifica con l'autenticazione a più fattori Di Microsoft Entra. Un account utente deve essere configurato per la verifica tramite telefono o l'app Microsoft Authenticator con Approva/notifiche push negate.

Se per un utente non è configurata né la verifica tramite telefono né l'app Microsoft Authenticator con Approva/notifiche push negate, l'utente non sarà in grado di completare la richiesta di autenticazione a più fattori Di Microsoft Entra e accedere a Gateway Desktop remoto.

Il metodo di testo SMS non funziona con Gateway Desktop remoto perché non fornisce l'opzione per immettere un codice di verifica.

Installare e configurare l'estensione NPS

Questa sezione fornisce istruzioni per la configurazione dell'infrastruttura Di Servizi Desktop remoto per l'uso dell'autenticazione a più fattori Microsoft Entra per l'autenticazione client con Gateway Desktop remoto.

Ottenere l'ID tenant della directory

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Come parte della configurazione dell'estensione NPS, è necessario fornire le credenziali di amministratore e l'ID del tenant di Microsoft Entra. Per ottenere l'ID tenant, completare la procedura seguente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator globale.

  2. Passare a Identità> Impostazioni.

    Recupero dell'ID tenant dall'interfaccia di amministrazione di Microsoft Entra

Installare l'estensione di Server dei criteri di rete

Installare l'estensione NPS in un server con il ruolo Servizi di accesso e criteri di rete installato. Questo funge da server RADIUS per la progettazione.

Importante

Non installare l'estensione NPS nel server Gateway Desktop remoto (RDG). Il server RDG non usa il protocollo RADIUS con il client, quindi l'estensione non può interpretare ed eseguire l'autenticazione a più fattori.

Quando il server RDG e il server NPS con estensione SERVER dei criteri di rete sono server diversi, RDG usa server dei criteri di rete internamente per comunicare con altri server dei criteri di rete e usa RADIUS come protocollo per comunicare correttamente.

  1. Scaricare l'estensione NPS.
  2. Copiare il file eseguibile di configurazione, NpsExtnForAzureMfaInstaller.exe nel Server dei criteri di rete.
  3. Nel server NPS fare doppio clic su NpsExtnForAzureMfaInstaller.exe. Se richiesto, fare clic su Esegui.
  4. Nella finestra di dialogo Installazione dell'estensione NPS per l'autenticazione a più fattori di Microsoft Entra esaminare le condizioni di licenza software, selezionare Accetto le condizioni e le condizioni di licenza e fare clic su Installa.
  5. Nella finestra di dialogo Installazione dell'autenticazione a più fattori nps per Microsoft Entra fare clic su Chiudi.

Configurare i certificati per l'uso con l'estensione NPS tramite uno script di PowerShell

Per garantire comunicazioni protette e sicure, è necessario configurare i certificati che l'estensione NPS può usare. I componenti nps includono uno script di PowerShell che configura un certificato autofirmato da usare con Server dei criteri di rete.

Lo script esegue le azioni seguenti:

  • Crea un certificato autofirmato
  • Associa la chiave pubblica del certificato all'entità servizio in Microsoft Entra ID
  • Archivia il certificato nell'archivio del computer locale
  • Concede l'accesso alla chiave privata del certificato all'utente di rete
  • Riavvia il servizio Server dei criteri di rete

Se si vogliono usare i propri certificati, è necessario associare la chiave pubblica del certificato all'entità servizio in Microsoft Entra ID e così via.

Per usare lo script, specificare l'estensione con le credenziali di Microsoft Entra Amministrazione e l'ID tenant di Microsoft Entra copiato in precedenza. Eseguire lo script in ogni server NPS in cui è stata installata l'estensione NPS. Eseguire quindi le operazioni seguenti:

  1. Aprire un prompt di Windows PowerShell come amministratore.

  2. Al prompt di PowerShell digitare cd 'c:\Program Files\Microsoft\AzureMfa\Config' e premere INVIO.

  3. Digitare .\AzureMfaNpsExtnConfigSetup.ps1 e premere INVIO. Lo script verifica se il modulo di PowerShell è installato. Se non è installato, lo installa.

    Esecuzione di AzureMfaNpsExtnConfigSetup.ps1 in PowerShell

  4. Dopo aver verificato l'installazione del modulo PowerShell, lo script visualizza la finestra di dialogo modulo di PowerShell. Nella finestra di dialogo immettere le credenziali e la password dell'amministratore di Microsoft Entra e fare clic su Accedi.

  5. Quando richiesto, incollare l'IDtenant copiato negli Appunti in precedenza e premere INVIO.

    Input dell'ID tenant in PowerShell

  6. Lo script crea un certificato autofirmato e apporta altre modifiche alla configurazione. L'output è come quello nell'immagine seguente.

    Output di PowerShell che mostra il certificato autofirmato

Configurare i componenti di Server dei criteri di rete in Gateway Desktop remoto

In questa sezione si configureranno i criteri di autorizzazione connessioni Gateway Desktop remoto e altre impostazioni RADIUS.

Il flusso di autenticazione richiede che i messaggi RADIUS vengano scambiati tra il gateway Desktop remoto e il server dei criteri di rete in cui è installata l'estensione NPS. Questo significa che è necessario configurare le impostazioni del client RADIUS sia su Gateway Desktop remoto sia sul server NPS in cui è installata l'estensione NPS.

Configurare criteri di autorizzazione connessioni per Gateway Desktop remoto per l'uso di un archivio centrale

I criteri di autorizzazione connessioni Desktop remoto specificano i requisiti per la connessione a un server Gateway Desktop remoto. I criteri di autorizzazione connessioni Desktop remoto possono essere archiviati in locale (impostazione predefinita) oppure in un archivio di criteri di autorizzazione connessioni Desktop remoto centrale che esegue Server dei criteri di rete. Per configurare l'integrazione dell'autenticazione a più fattori Di Microsoft Entra con Servizi Desktop remoto, è necessario specificare l'uso di un archivio centrale.

  1. Nel server Gateway Desktop remoto aprire Server Manager.

  2. Scegliere Strumenti dal menu, fare clic su Servizi Desktop remoto e quindi su Gestione Gateway Desktop remoto.

  3. In Gestione gateway Desktop remoto fare clic con il pulsante destro del mouse su [Nome server] (locale) e scegliere Proprietà.

  4. Nella finestra di dialogo Proprietà selezionare la scheda Archivio criteri di autorizzazione connessioni Desktop remoto.

  5. Nella scheda Archivio criteri di autorizzazione connessioni Desktop remoto selezionare Server dei criteri di rete centrale.

  6. Nel campo Immettere il nome o l'indirizzo IP del Server dei criteri di rete digitare l'indirizzo IP o il nome del server in cui è stata installata l'estensione NPS.

    Immettere il nome o l'indirizzo IP del server dei criteri di rete

  7. Fare clic su Aggiungi.

  8. Nella finestra di dialogo Segreto condiviso immettere un segreto condiviso e quindi fare clic su OK. Assicurarsi di registrare il segreto condiviso e di archiviare il record in modo sicuro.

    Nota

    Il segreto condiviso viene usato per stabilire un trust tra i server e i client RADIUS. Creare un segreto lungo e complesso.

    Creazione di un segreto condiviso per stabilire un trust

  9. Scegliere OK per chiudere la finestra di dialogo.

Configurare il valore di timeout RADIUS in Server dei criteri di rete per Gateway Desktop remoto

Per assicurarsi che sia necessario convalidare le credenziali degli utenti, eseguire la verifica in due passaggi, ricevere risposte e rispondere ai messaggi RADIUS, è necessario modificare il valore di timeout RADIUS.

  1. Nel server Gateway Desktop remoto aprire Gestione server. Nel menu fare clic su Strumenti e quindi su Server dei criteri di rete.

  2. Nella console Server dei criteri di rete (locale) espandere Client e server RADIUS e quindi selezionare Gruppi di server RADIUS remoti.

    Console di gestione server criteri di rete che mostra il server RADIUS remoto

  3. Nel riquadro dei dettagli fare doppio clic su GRUPPO DI SERVER GATEWAY DI SERVIZI TERMINAL.

    Nota

    Questo gruppo di server RADIUS è stato creato durante la configurazione del server centrale per i criteri NPS. Gateway Desktop remoto inoltra i messaggi RADIUS a questo server o gruppo di server, se il gruppo ne contiene più di uno.

  4. Nella finestra di dialogo Proprietà GRUPPO DI SERVER GATEWAY DI SERVIZI TERMINAL selezionare l'indirizzo IP o il nome del server NPS configurato per archiviare i criteri di autorizzazione connessioni Desktop remoto e quindi fare clic su Modifica.

    Selezionare l'INDIRIZZO IP o il nome del server dei criteri di rete configurato in precedenza

  5. Nella finestra di dialogo Modifica server RADIUS selezionare la scheda Bilanciamento del carico.

  6. Nella campo Numero di secondi senza risposta prima che la richiesta venga annullata della scheda Bilanciamento del carico modificare il valore predefinito da 3 a un valore compreso tra 30 e 60 secondi.

  7. Nel campo Numero di secondi tra le richieste quando il server viene identificato come non disponibile modificare il valore di 30 secondi in un valore uguale o maggiore del valore specificato nel passaggio precedente.

    Modificare le impostazioni di timeout del server Radius nella scheda bilanciamento del carico

  8. Fare clic su OK due volte per chiudere le finestre di dialogo.

Verificare i criteri di richiesta di connessione

Per impostazione predefinita, quando si configura Gateway Desktop remoto per l'uso di un archivio centrale di criteri per i criteri di autorizzazione connessioni, Gateway Desktop remoto viene configurato per inoltrare richieste di criteri di autorizzazione connessioni al server NPS. Il server NPS con l'estensione di autenticazione a più fattori Microsoft Entra installata elabora la richiesta di accesso RADIUS. I passaggi seguenti mostrano come verificare i criteri di richiesta di connessione predefiniti.

  1. Nella console Server dei criteri di rete (locale) in Gateway Desktop remoto espandere Criteri e selezionare Criteri di richiesta di connessione.

  2. Fare doppio clic su CRITERI DI AUTORIZZAZIONE GATEWAY DI SERVIZI TERMINAL.

  3. Nella finestra Proprietà CRITERI DI AUTORIZZAZIONE GATEWAY DI SERVIZI TERMINAL fare clic sulla scheda Impostazioni.

  4. Nella scheda Impostazioni fare clic su Autenticazione in Inoltro richiesta di connessione. Il client RADIUS è configurato per inoltrare le richieste di autenticazione.

    Configurare l'autenticazione Impostazioni specificando il gruppo di server

  5. Fare clic su Annulla.

Nota

Per altre informazioni sulla creazione di criteri di richiesta di connessione, vedere l'articolo Configurare i criteri di richiesta di connessione per lo stesso.

Configurare Server dei criteri di rete nel server in cui è installata l'estensione NPS

Il server NPS in cui è installata l'estensione NPS deve essere in grado di scambiare messaggi RADIUS con il server NPS in Gateway Desktop remoto. Per consentire questo scambio di messaggi, è necessario configurare i componenti di Server dei criteri di rete nel server in cui è installata l'estensione NPS.

Registrare il server in Active Directory

Per il corretto funzionamento in questo scenario, è necessario registrare il server NPS in Active Directory.

  1. Nel Server dei criteri di rete aprire Gestione server.

  2. In Server Manager, fare clic su strumenti, quindi fare clic su Server dei criteri di rete.

  3. Nella console di Server dei criteri di rete fare clic con il pulsante destro del mouse su Server dei criteri di rete (locale) e quindi scegliere Registra server in Active Directory.

  4. Fare due volte clic su OK.

    Registrare il server dei criteri di rete in Active Directory

  5. Lasciare aperta la console per la procedura successiva.

Creare e configurare il client RADIUS

Gateway Desktop remoto deve essere configurato come client RADIUS per il server NPS.

  1. Nel server NPS in cui è installata l'estensione NPS fare clic con il pulsante destro del mouse su Client RADIUS nella console Server dei criteri di rete (locale) e scegliere Nuovo.

    Creare un nuovo client RADIUS nella console nps

  2. Nella finestra di dialogo Nuovo client RADIUS immettere un nome descrittivo, ad esempio Gateway, e l'indirizzo IP o il nome DNS del server Gateway Desktop remoto.

  3. Nei campi Segreto condiviso e Conferma segreto condiviso immettere lo stesso segreto usato in precedenza.

    Configurare un nome descrittivo e l'indirizzo IP o DNS

  4. Fare clic su OK per chiudere la finestra di dialogo Nuovo client RADIUS.

Configurare i criteri di rete

Tenere presente che il server NPS con l'estensione di autenticazione a più fattori Microsoft Entra è l'archivio dei criteri centrale designato per i criteri di autorizzazione di Connessione ion . Di conseguenza, è necessario implementare criteri di autorizzazione connessioni nel server NPS per autorizzare richieste di connessione valide.

  1. Nel server di Server dei criteri di rete aprire la console Server dei criteri di rete (locale), espandere Criteri e fare clic su Criteri di rete.

  2. Fare clic con il pulsante destro del mouse su Connessioni ad altri server di accesso e scegliere Duplica criterio.

    Duplicare la connessione ad altri criteri dei server di accesso

  3. Fare clic con il pulsante destro del mouse su Copia di Connessioni ad altri server di accesso remoto e scegliere Proprietà.

  4. Nella finestra di dialogo Copia di Connessioni ad altri server di accesso immettere un nome appropriato, ad esempio RDG_CAP in Nome criterio. Selezionare Criterio attivato e fare clic su Concedi accesso. Facoltativamente, in Tipo di server di accesso alla rete selezionare Gateway Desktop remoto oppure lasciare l'impostazione Non specificato.

    Assegnare un nome al criterio, abilitare e concedere l'accesso

  5. Fare clic sulla scheda Vincoli e selezionare Consenti ai client di connettersi senza negoziare il metodo di autenticazione.

    Modificare i metodi di autenticazione per consentire ai client di connettersi

  6. Facoltativamente, è possibile fare clic sulla scheda Condizioni e aggiungere le condizioni che devono essere soddisfatte perché la connessione venga autorizzata, ad esempio l'appartenenza a un gruppo di Windows specifico.

    Facoltativamente, specificare le condizioni di connessione

  7. Fare clic su OK. Quando viene chiesto se visualizzare l'argomento della Guida corrispondente, fare clic su No.

  8. Assicurarsi che i nuovi criteri siano visualizzati all'inizio dell'elenco, che siano abilitati e che concedano l'accesso.

    Spostare il criterio all'inizio dell'elenco

Verificare la configurazione

Per verificare la configurazione è necessario accedere a Gateway Desktop remoto con un client RDP appropriato. Assicurarsi di usare un account consentito dai criteri di autorizzazione di Connessione ion ed è abilitato per l'autenticazione a più fattori Di Microsoft Entra.

Come mostrato nell'immagine seguente, è possibile usare la pagina Accesso Web Desktop remoto.

Test in Accesso Web Desktop remoto

Dopo aver immesso correttamente le credenziali per l'autenticazione primaria, la finestra di dialogo Connessione desktop remoto indica lo stato Avvio della connessione remota, come mostrato di seguito.

Se l'autenticazione viene eseguita correttamente con il metodo di autenticazione secondario configurato in precedenza nell'autenticazione a più fattori Di Microsoft Entra, si è connessi alla risorsa. Se invece l'autenticazione secondaria non ha esito positivo, l'accesso alla risorsa viene negato.

Remote Desktop Connessione ion che avvia una connessione remota

Nell'esempio seguente viene usata l'app Authenticator su un dispositivo Windows Phone per fornire l'autenticazione secondaria.

Esempio di windows Telefono'app Authenticator che mostra la verifica

Dopo aver eseguito correttamente l'autenticazione con il metodo secondario, viene effettuato l'accesso a Gateway Desktop remoto nel modo normale. Tuttavia, poiché è necessario usare un metodo di autenticazione secondario usando un'app per dispositivi mobili in un dispositivo attendibile, il processo di accesso è più sicuro del contrario.

Visualizzare i log del Visualizzatore eventi per individuare gli eventi di accesso riusciti

Per visualizzare gli eventi di accesso riusciti nei log di Windows Visualizzatore eventi, è possibile eseguire il comando di PowerShell seguente per eseguire una query sui log di Terminale Windows Services e Sicurezza di Windows.

Per eseguire correttamente una query per individuare gli eventi di accesso riusciti nei log operativi del gateway (Visualizzatore eventi\Registri applicazioni e servizi\Microsoft\Windows\TerminalServices-Gateway\Operational), usare i comandi di PowerShell seguenti:

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '300'} | FL
  • Questo comando visualizza gli eventi di Windows che mostrano che l'utente ha soddisfatto i requisiti dei criteri di autorizzazione risorse e gli è stato concesso l'accesso.

Visualizzazione di eventi con PowerShell

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '200'} | FL
  • Questo comando visualizza gli eventi che mostrano che l'utente ha soddisfatto i requisiti dei criteri di autorizzazione connessioni.

Visualizzazione dei criteri di autorizzazione della connessione tramite PowerShell

È anche possibile visualizzare questo log e filtrarlo in base agli ID evento 300 e 200. Per eseguire una query per individuare gli eventi di accesso riusciti nei log del visualizzatore eventi di sicurezza, usare il comando seguente:

  • Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL
  • Questo comando può essere eseguito nel server NPS centrale o nel server Gateway Desktop remoto.

Esempi di eventi di accesso riusciti

È anche possibile aprire la visualizzazione personalizzata del log di sicurezza o di Servizi di accesso e criteri di rete, come illustrato di seguito:

Visualizzatore eventi dei servizi di accesso e dei criteri di rete

Nel server in cui è stata installata l'estensione NPS per l'autenticazione a più fattori Di Microsoft Entra, è possibile trovare Visualizzatore eventi registri applicazioni specifici dell'estensione in Registri applicazioni e servizi\Microsoft\AzureMfa.

Visualizzatore eventi log dell'applicazione AuthZ

Guida per la risoluzione dei problemi

Se la configurazione non funziona come previsto, il primo punto in cui iniziare a risolvere i problemi consiste nel verificare che l'utente sia configurato per l'uso dell'autenticazione a più fattori Di Microsoft Entra. Chiedere all'utente di accedere all'interfaccia di amministrazione di Microsoft Entra. Se agli utenti viene richiesta la verifica secondaria e può essere eseguita correttamente l'autenticazione, è possibile eliminare una configurazione errata dell'autenticazione a più fattori Di Microsoft Entra.

Se l'autenticazione a più fattori Di Microsoft Entra funziona per gli utenti, è necessario esaminare i registri eventi pertinenti. Questi includono i log di autenticazione a più fattori Security Event, Gateway operational e Microsoft Entra descritti nella sezione precedente.

Di seguito è illustrato un esempio di output di un log di sicurezza che mostra un evento di accesso non riuscito (ID evento 6273).

Esempio di evento di accesso non riuscito

Di seguito è illustrato un evento correlato dei log di Azure MFA:

Esempio di log di autenticazione a più fattori di Microsoft Entra in Visualizzatore eventi

Per opzioni avanzate di risoluzione dei problemi, consultare i file di log in formato database di Server dei criteri di rete nella posizione in cui è installato il servizio Server dei criteri di rete. Questi file di log vengono creati nella cartella %SystemRoot%\System32\Logs come file di testo con valori delimitati da virgole.

Per una descrizione di questi file di log, vedere Interpret NPS Database Format Log Files (Interpretare i file di log in formato database di Server dei criteri di rete). Le voci di questi file di log sono difficili da interpretare senza importarle in un foglio di calcolo o in un database. Online sono disponibili diversi parser IAS che possono aiutare a interpretare i file di log.

L'immagine seguente mostra l'output di una di queste applicazioni shareware che è possibile scaricare.

Parser IAS dell'app shareware di esempio

Passaggi successivi

Come ottenere l'autenticazione a più fattori di Microsoft Entra

Gateway Desktop remoto e server Azure Multi-Factor Authentication utilizzando RADIUS

Integrare le directory locali con Microsoft Entra ID