Integrare l'infrastruttura VPN con l'autenticazione a più fattori Di Microsoft Entra usando l'estensione Server dei criteri di rete per Azure

  • Articolo

L'estensione Server dei criteri di rete (NPS) per Azure consente alle organizzazioni di proteggere l'autenticazione client RADIUS (Remote Authentication Dial-In User Service) usando l'autenticazione a più fattori Microsoft Entra basata sul cloud, che fornisce la verifica in due passaggi.

Questo articolo contiene istruzioni dettagliate per l'integrazione dell'infrastruttura Server dei criteri di rete con Multi-Factor Authentication tramite l'estensione Server dei criteri di rete per Azure. Questo processo consente di proteggere la verifica in due passaggi per gli utenti che tentano di connettersi alla rete tramite una VPN.

Nota

Anche se l'estensione MFA nps supporta la password monouso basata sul tempo (TOTP), alcuni client VPN come LA VPN di Windows non lo fanno. Assicurarsi che i client VPN usati supportino TOTP come metodo di autenticazione prima di abilitarlo nell'estensione NPS.

Servizi di accesso e criteri di rete consente alle organizzazioni di:

  • Assegnare una posizione centrale per la gestione e il controllo delle richieste di rete per specificare:

    • quali utenti possono connettersi

    • in quali ore del giorno è consentito connettersi

    • la durata delle connessioni

    • il livello di sicurezza che i client devono usare per la connessione

      Invece di specificare subito i criteri in ogni VPN o server Gateway Desktop remoto, è possibile farlo dopo averli collocati in una posizione centrale. Il protocollo RADIUS viene usato per offrire servizi centralizzati di autenticazione, autorizzazione e accounting.

  • Stabilire e applicare criteri di integrità client di Protezione accesso alla rete che determinano se ai dispositivi viene concesso l'accesso alle risorse di rete con o senza restrizioni.

  • Indicare un modo per imporre l'autenticazione e l'autorizzazione per l'accesso a commutatori Ethernet e punti di accesso wireless che supportano 802.1x. Per altre informazioni, vedere Network Policy Server (Server dei criteri di rete).

Per migliorare la sicurezza e garantire un livello elevato di conformità, le organizzazioni possono integrare Server dei criteri di rete con l'autenticazione a più fattori Di Microsoft Entra per garantire che gli utenti usino la verifica in due passaggi per connettersi alla porta virtuale nel server VPN. Affinché venga concesso loro l'accesso, gli utenti devono specificare la combinazione di nome utente e password con informazioni sotto il controllo dell'utente. Queste informazioni devono essere attendibili e non facilmente duplicabili. Possono includere un numero di cellulare, un numero di rete fissa o un'applicazione su un dispositivo mobile.

Se l'organizzazione usa una VPN e l'utente è registrato per un codice TOTP insieme alle notifiche push di Authenticator, l'utente non può soddisfare la richiesta di autenticazione a più fattori e l'accesso remoto ha esito negativo. In tal caso, è possibile impostare OVERRIDE_NUMBER_MATCHING_WITH_OTP = FAL edizione Standard per eseguire il fallback per eseguire il push delle notifiche su Approva/Nega con Authenticator.

Affinché un'estensione nps continui a funzionare per gli utenti VPN, è necessario creare questa chiave del Registro di sistema nel server dei criteri di rete. Nel server dei criteri di rete aprire l'editor del Registro di sistema. Passare a:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

Creare la coppia Stringa/Valore seguente:

Nome: OVERRIDE_NUMBER_MATCHING_WITH_OTP

Valore = FAL edizione Standard

Prima che fosse disponibile l'estensione Server dei criteri di rete per Azure, i clienti che volevano implementare la verifica in due passaggi per ambienti Server dei criteri di rete e Multi-Factor Authentication integrati dovevano configurare e gestire un server Multi-Factor Authentication distinto nell'ambiente locale. Questo tipo di autenticazione viene offerta da Gateway Desktop remoto e server Azure Multi-Factor Authentication tramite RADIUS.

Con l'estensione Server dei criteri di rete per Azure, le organizzazioni possono proteggere l'autenticazione client RADIUS distribuendo una soluzione Multi-Factor Authentication locale o una soluzione Multi-Factor Authentication basata sul cloud.

Flusso di autenticazione

Quando gli utenti si connettono a una porta virtuale su un server VPN, devono prima autenticarsi usando diversi protocolli. I protocolli consentono di usare una combinazione di nome utente e password e i metodi di autenticazione basata sui certificati.

Oltre all'autenticazione e alla verifica dell'identità, gli utenti devono avere le autorizzazioni appropriate per l'accesso. Nelle implementazioni semplici queste autorizzazioni di accesso vengono impostate direttamente negli oggetti utente di Active Directory.

Dial-in tab in Active Directory Users and Computers user properties

Per le implementazioni semplici, ogni server VPN concede o nega l'accesso in base a criteri definiti in ogni server VPN locale.

Nelle implementazioni più grandi e più scalabili i criteri che concedono o negano l'accesso VPN sono centralizzati nei server RADIUS. In questi casi il server VPN funge da server di accesso, come client RADIUS, che inoltra le richieste di connessione e i messaggi degli account a un server RADIUS. Per connettersi alla porta virtuale nel server VPN, gli utenti devono essere autenticati e soddisfare le condizioni definite in modo centralizzato nei server RADIUS.

Quando l'estensione Server dei criteri di rete per Azure è integrata con Server dei criteri di rete, si crea un corretto flusso di autenticazione, come illustrato di seguito:

  1. Il server VPN riceve da un utente VPN una richiesta di autenticazione che include il nome utente e la password per la connessione a una risorsa, ad esempio una sessione Desktop remoto.
  2. Fungendo da client RADIUS, il server VPN converte la richiesta in un messaggio di richiesta di accesso RADIUS e invia il messaggio, con password crittografata, al server RADIUS in cui è installata l'estensione Server dei criteri di rete.
  3. La combinazione di nome utente e password viene verificata in Active Directory. Se il nome di utente o la password sono errati, il server RADIUS invia un messaggio di rifiuto di accesso.
  4. Se tutte le condizioni, come specificato nel server dei criteri di rete Connessione richiesta e criteri di rete, vengono soddisfatte (ad esempio, l'ora del giorno o le restrizioni di appartenenza ai gruppi), l'estensione NPS attiva una richiesta di autenticazione secondaria con l'autenticazione a più fattori Di Microsoft Entra.
  5. L'autenticazione a più fattori Microsoft Entra comunica con Microsoft Entra ID, recupera i dettagli dell'utente ed esegue l'autenticazione secondaria usando il metodo configurato dall'utente (chiamata telefonica cellulare, SMS o app per dispositivi mobili).
  6. Quando la richiesta di autenticazione a più fattori ha esito positivo, l'autenticazione a più fattori Microsoft Entra comunica il risultato all'estensione NPS.
  7. Dopo che il tentativo di connessione è stato autenticato e autorizzato, il Server dei criteri di rete in cui è installata l'estensione invia un messaggio di autorizzazione di accesso RADIUS al server VPN, ovvero al client RADIUS.
  8. All'utente viene concesso l'accesso alla porta virtuale nel server VPN e viene stabilito un tunnel VPN crittografato.

Prerequisiti

Questa sezione illustra in dettaglio i prerequisiti da soddisfare per poter integrare MFA con la VPN. Prima di iniziare, è necessario che siano soddisfatti i prerequisiti seguenti:

  • Infrastruttura VPN
  • Ruolo Servizi di accesso e criteri di rete
  • Licenza di autenticazione a più fattori Di Microsoft Entra
  • Software Windows Server
  • Librerie
  • ID Microsoft Entra sincronizzato con Active Directory locale
  • Microsoft Entra GUID ID

Infrastruttura VPN

Questo articolo presuppone la presenza di un'infrastruttura VPN funzionante che usa Microsoft Windows Server 2016 e che il server VPN non sia attualmente configurato per inoltrare le richieste di connessione a un server RADIUS. In questo articolo si configurerà l'infrastruttura VPN per l'uso di un server RADIUS centrale.

Se non si dispone di un'infrastruttura VPN funzionante, è possibile crearne rapidamente una seguendo le indicazioni presenti nelle numerose esercitazioni sulla configurazione di una rete VPN disponibili nei siti Microsoft e di terze parti.

Ruolo di Servizi di accesso e criteri di rete

Servizi di accesso e criteri di rete offre le funzionalità di client e server RADIUS. Questo articolo presuppone che sia stato installato il ruolo Servizi di accesso e criteri di rete in un server membro o un controller di dominio nell'ambiente in uso. In questa guida si configurerà il protocollo RADIUS per una configurazione VPN. Installare il ruolo Servizi di accesso e criteri di rete in un server diverso dal server VPN.

Per informazioni sull'installazione del servizio ruolo Servizi di accesso e criteri di rete di Windows Server 2012 o versioni successive, vedere Install a NAP Health Policy Server (Installare un server criteri di integrità Protezione accesso alla rete). Lo strumento Protezione accesso alla rete è deprecato in Windows Server 2016. Per una descrizione delle procedure consigliate per Server dei criteri di rete, inclusi i consigli sull'installazione di Server dei criteri di rete in un controller di dominio, vedere Best Practices for NPS (Procedure consigliate per Server dei criteri di rete).

Software Windows Server

L'estensione Server dei criteri di rete richiede Windows Server 2008 R2 SP1 o versione successiva, con il ruolo Servizi di accesso e criteri di rete installato. Tutti i passaggi in questa guida sono stati eseguiti con Windows Server 2016.

Librerie

La libreria seguente viene installata automaticamente con l'estensione NPS:

Se il modulo PowerShell di Microsoft Graph non è già presente, viene installato con uno script di configurazione eseguito come parte del processo di installazione. Non è necessario installare Graph PowerShell in anticipo.

ID Microsoft Entra sincronizzato con Active Directory locale

Per usare l'estensione NPS, gli utenti locali devono essere sincronizzati con Microsoft Entra ID e abilitati per MFA. Questa guida presuppone che gli utenti locali siano sincronizzati con Microsoft Entra ID tramite Microsoft Entra Connessione. Le istruzioni per abilitare gli utenti per MFA sono disponibili più avanti.

Per informazioni su Microsoft Entra Connessione, vedere Integrare le directory locali con Microsoft Entra ID.

Microsoft Entra GUID ID

Per installare l'estensione NPS, è necessario conoscere il GUID dell'ID Microsoft Entra. Le istruzioni per trovare il GUID dell'ID Microsoft Entra sono disponibili nella sezione successiva.

Configurare RADIUS per le connessioni VPN

Se è stato installato il ruolo Server dei criteri di rete in un server membro, è necessario eseguirne la configurazione per autenticare e autorizzare il client VPN che richiede le connessioni VPN.

Questa sezione presuppone che il ruolo Servizi di accesso e criteri di rete sia stato installato ma non configurato per l'uso nell'infrastruttura.

Nota

Se si ha già un server VPN funzionante che usa un server RADIUS centralizzato per l'autenticazione, è possibile ignorare questa sezione.

Registrare il server in Active Directory

Per il corretto funzionamento in questo scenario, è necessario registrare Server dei criteri di rete in Active Directory.

  1. Aprire Gestione server.

  2. In Gestione server fare clic su Strumenti e quindi su Server dei criteri di rete.

  3. Nella console di Server dei criteri di rete fare clic con il pulsante destro del mouse su Server dei criteri di rete (locale) e quindi scegliere Registra server in Active Directory. Selezionare OK due volte.

    Register server in Active Directory menu option

  4. Lasciare aperta la console per la procedura successiva.

Usare la procedura guidata per configurare il server RADIUS

Per configurare il server RADIUS, è possibile usare un'opzione di configurazione standard (basata su procedura guidata) o avanzata. Questa sezione presuppone l'uso dell'opzione di configurazione standard basata su procedura guidata.

  1. Nella console di Server dei criteri di rete selezionare Server dei criteri di rete (locale).

  2. In Configurazione standard selezionare Server RADIUS per connessioni remote o VPN e quindi scegliere Configurazione VPN o connessioni remote.

    Configure RADIUS Server for Dial-Up or VPN Connections

  3. Nella pagina Selezione tipo di connessioni remote o a reti private virtuali selezionare Virtual Private Network Connections (Connessioni a reti private virtuali) e quindi fare clic su Avanti.

    Configure Virtual private network connections

  4. Nella finestra Specifica server di connessione remota o VPN selezionare Aggiungi.

  5. Nella finestra Nuovo client RADIUS specificare un nome descrittivo, immettere un nome o un indirizzo IP risolvibile del server VPN e quindi immettere una password segreta condivisa. Creare una password segreta condivisa lunga e complessa. Annotarla, poiché sarà necessaria nella sezione successiva.

    Create a New RADIUS client window

  6. Seleziona OK e quindi Avanti.

  7. Nella finestra Configurazione metodi di autenticazione accettare l'opzione predefinita, ovvero Autenticazione crittografata Microsoft versione 2 (MS-CHAP v2), oppure scegliere un'altra opzione e selezionare Avanti.

    Nota

    Se si configura il protocollo Extensible Authentication Protocol, è necessario usare Microsoft Challenge Handshake Authentication Protocol (CHAPv2) o PEAP Protected Extensible Authentication Protocol. Non sono supportate altre opzioni EAP.

  8. Nella finestra Specifica gruppi di utenti selezionare Aggiungi e quindi scegliere un gruppo appropriato. Se non esiste alcun gruppo, lasciare vuota l'opzione per concedere l'accesso a tutti gli utenti.

    Specify User Groups window to allow or deny access

  9. Selezionare Avanti.

  10. Nella finestra Specifica filtri IP selezionare Avanti.

  11. Nella finestra Specifica impostazioni di crittografia accettare le impostazioni predefinite e fare clic su Avanti.

    The Specify Encryption Settings window

  12. Nella finestra Impostazione del nome dell'area di autenticazione lasciare vuoto il nome dell'area di autenticazione, accettare l'impostazione predefinita e fare clic su Avanti.

    The Specify a Realm Name window

  13. Nella finestra Completamento Nuove connessioni remote o a reti private virtuali e client RADIUS selezionare Fine.

    Completed configuration window

Verificare la configurazione RADIUS

Questa sezione descrive in modo dettagliato la configurazione creata usando la procedura guidata.

  1. Nel Server dei criteri di rete, nella console Server dei criteri di rete (locale) espandere Client RADIUS e selezionare Client RADIUS.

  2. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul client RADIUS creato e scegliere Proprietà. Le proprietà del client RADIUS, ovvero del server VPN, dovrebbero essere simili a quelle mostrate qui:

    Verify the VPN properties and configuration

  3. Selezionare Annulla.

  4. In Server dei criteri di rete, nella console Server dei criteri di rete (locale) espandere Criteri e selezionare Criteri di richiesta di connessione. Vengono mostrati i criteri delle connessioni VPN come illustrato nella figura seguente:

    Connection request policy showing VPN connection policy

  5. In Criteri selezionare Criteri di rete. Vengono visualizzati criteri di connessioni della rete privata virtuale simili a quelli illustrati nell'immagine seguente:

    Network Policies showing Virtual Private Network Connections policy

Configurare il server VPN per l'uso dell'autenticazione RADIUS

In questa sezione si configura il server VPN per l'uso dell'autenticazione RADIUS. Le istruzioni presuppongono che ci sia una configurazione funzionante del server VPN, ma che il server VPN non sia stato configurato per l'uso dell'autenticazione RADIUS. Dopo aver configurato il server VPN, verificare che la configurazione funzioni come previsto.

Nota

Se si ha già una configurazione del server VPN funzionante che usa l'autenticazione RADIUS, è possibile ignorare questa sezione.

Configurare il provider di autenticazione

  1. Nel server VPN aprire Server Manager.

  2. In Gestione server selezionare Strumenti e quindi scegliere Routing e Accesso remoto.

  3. Nella finestra Routing e accesso remoto fare clic con il pulsante destro del mouse sul <nome> del server (locale) e quindi scegliere Proprietà.

  4. <Nella finestra Proprietà nome> server (locale) selezionare la scheda Sicurezza.

  5. Nella scheda Sicurezza, in Provider di autenticazione selezionare Autenticazione RADIUS e quindi Configura.

    Configure RADIUS Authentication provider

  6. Nella finestra Autenticazione RADIUS selezionare Aggiungi.

  7. Nella finestra Aggiungi server RADIUS eseguire le operazioni seguenti:

    1. Nella casella Nome del server immettere il nome o l'indirizzo IP del server RADIUS configurato nella sezione precedente.

    2. Per Segreto condiviso selezionare Cambia e immettere la password segreta condivisa creata e registrata in precedenza.

    3. Nella casella Timeout (secondi) immettere il valore 60. Per ridurre al minimo le richieste eliminate, è consigliabile configurare i server VPN con un timeout di almeno 60 secondi. Se necessario, o per ridurre le richieste eliminate nei registri eventi, è possibile aumentare il valore di timeout del server VPN a 90 o 120 secondi.

  8. Seleziona OK.

Testare la connettività VPN

In questa sezione si verifica che il client VPN sia autenticato e autorizzato dal server RADIUS quando si cerca di connettersi alla porta virtuale nella rete VPN. Le istruzioni presuppongono che si usi Windows 10 come client VPN.

Nota

Se è già stato configurato un client VPN per connettersi al server VPN e sono state salvate le impostazioni, è possibile ignorare i passaggi relativi alla configurazione e al salvataggio di un oggetto connessione VPN.

  1. Nel computer del client VPN selezionare il pulsante Start e quindi selezionare il pulsante Impostazioni.

  2. Nella finestra Impostazioni di Windows selezionare Rete e Internet.

  3. Selezionare VPN.

  4. Selezionare Aggiungi una connessione VPN.

  5. Nella finestra Aggiungi una connessione VPN della casella Provider VPN selezionare Windows (predefinito), completare i campi rimanenti in base alle esigenze e quindi fare clic su Salva.

    The

  6. Passare a Pannello di controllo, quindi selezionare Centro connessioni di rete e condivisione.

  7. Fare clic su Modifica impostazioni scheda.

    Network and Sharing Center - Change adapter settings

  8. Fare clic con il pulsante destro del mouse sulla connessione di rete VPN e scegliere Proprietà.

  9. Nella finestra delle proprietà VPN selezionare la scheda Sicurezza.

  10. Nella scheda Sicurezza verificare che sia selezionata solo l'opzione Microsoft CHAP Versione 2 (MS-CHAP v2) e fare clic su OK.

    The

  11. Fare clic con il pulsante destro del mouse sulla connessione VPN e scegliere Connetti.

  12. Nella finestra Impostazioni selezionare Connetti.
    Una connessione riuscita viene riportata nel log di sicurezza del server RADIUS con l'ID evento 6272, come illustrato di seguito:

    Event Properties window showing a successful connection

Risoluzione dei problemi nel server RADIUS

Si supponga che la configurazione VPN funzionasse prima della configurazione del server VPN per l'uso di un server RADIUS centralizzato per l'autenticazione e l'autorizzazione. In questo caso, è probabile che il problema sia causato da un errore di configurazione del server RADIUS o dall'uso di una password o un nome utente non valido. Ad esempio, se si usa il suffisso alternativo UPN nel nome utente, il tentativo di accesso potrebbe non riuscire. Usare lo stesso nome di account per ottenere risultati ottimali.

Per risolvere questi problemi, è consigliabile iniziare esaminando i log eventi di sicurezza nel server RADIUS. Per risparmiare tempo nella ricerca degli eventi, è possibile usare la visualizzazione personalizzata basata sui ruoli del server di accesso e dei criteri di rete nel Visualizzatore eventi, come illustrato di seguito. L'"ID evento 6273" indica gli eventi in cui Server dei criteri di rete ha negato l'accesso a un utente.

Event Viewer showing NPAS events

Configurare l'autenticazione a più fattori

Per assistenza sulla configurazione degli utenti per l'autenticazione a più fattori, vedere gli articoli Pianificazione della distribuzione dell'autenticazione a più fattori Microsoft Entra basata sul cloud e Configurare l'account per la verifica in due passaggi

Installare e configurare l'estensione Server dei criteri di rete

Questa sezione contiene istruzioni per configurare la rete VPN al fine di usare Multi-Factor Authentication per l'autenticazione client con il server VPN.

Nota

La chiave del Registro di sistema REQUIRE_U edizione Standard R_MATCH fa distinzione tra maiuscole e minuscole. Tutti i valori devono essere impostati nel formato UPPER CA edizione Standard.

Dopo aver installato e configurato l'estensione Server dei criteri di rete, tutte le autenticazioni client basate su RADIUS elaborate da questo server devono usare Multi-Factor Authentication. Se tutti gli utenti VPN non sono registrati nell'autenticazione a più fattori Microsoft Entra, è possibile eseguire una delle operazioni seguenti:

  • Configurare un altro server RADIUS per autenticare gli utenti che non sono configurati al fine di usare Multi-Factor Authentication.

  • Creare una voce del Registro di sistema che consenta agli utenti con richiesta di fornire un secondo fattore di autenticazione se sono registrati nell'autenticazione a più fattori Di Microsoft Entra.

Creare un nuovo valore stringa denominato REQUIRE_U edizione Standard R_MATCH in HKLM\SOFTWARE\Microsoft\AzureMfa e impostare il valore su TRUE o FAL edizione Standard.

The

Se il valore è impostato su TRUE o è vuoto, tutte le richieste di autenticazione sono soggette a una richiesta di autenticazione a più fattori. Se il valore è impostato su FAL edizione Standard, le sfide MFA vengono rilasciate solo agli utenti registrati nell'autenticazione a più fattori Di Microsoft Entra. Usare l'impostazione FAL edizione Standard solo nei test o negli ambienti di produzione durante un periodo di onboarding.

Ottenere l'ID tenant della directory

Come parte della configurazione dell'estensione NPS, è necessario fornire le credenziali di amministratore e l'ID del tenant di Microsoft Entra. Per ottenere l'ID tenant, completare la procedura seguente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come global Amministrazione istrator.

  2. Passare a Identità> Impostazioni.

    Getting the Tenant ID from the Microsoft Entra admin center

Installare l'estensione di Server dei criteri di rete

L'estensione Server dei criteri di rete deve essere installata in un server con il ruolo Servizi di accesso e criteri di rete installato e che funzioni come server RADIUS nella progettazione. Non installare l'estensione NPS nel server VPN.

  1. Scaricare l'estensione di Server dei criteri di rete dall'Area download Microsoft.

  2. Copiare il file eseguibile di configurazione, NpsExtnForAzureMfaInstaller.exe nel Server dei criteri di rete.

  3. In Server dei criteri di rete fare doppio clic su NpsExtnForAzureMfaInstaller.exe e, se viene richiesto, selezionare Esegui.

  4. Nella finestra Nps Extension For Microsoft Entra multifactor authentication Setup (Estensione NPS per l'installazione dell'autenticazione a più fattori) esaminare le condizioni di licenza, selezionare la casella di controllo Accetto le condizioni di licenza e quindi selezionare Installa.

    The

  5. Nella finestra Di installazione dell'estensione NPS per l'autenticazione a più fattori Microsoft Entra selezionare Chiudi.

    The

Configurare i certificati per l'uso con l'estensione NPS usando uno script di Graph PowerShell

Per garantire comunicazioni protette e sicure, configurare i certificati che l'estensione Server dei criteri di rete può usare. I componenti nps includono uno script di Graph PowerShell che configura un certificato autofirmato da usare con Server dei criteri di rete.

Lo script esegue le azioni seguenti:

  • Crea un certificato autofirmato.
  • Associa la chiave pubblica del certificato all'entità servizio in Microsoft Entra ID.
  • Archivia il certificato nell'archivio del computer locale.
  • Concede l'accesso alla chiave privata del certificato all'utente di rete.
  • Riavvia il servizio Server dei criteri di rete.

Se si vogliono usare certificati personalizzati, è necessario associare la chiave pubblica del certificato all'entità servizio in Microsoft Entra ID e così via.

Per usare lo script, specificare l'estensione con le credenziali amministrative di Microsoft Entra e l'ID tenant di Microsoft Entra copiato in precedenza. L'account deve trovarsi nello stesso tenant di Microsoft Entra per cui si vuole abilitare l'estensione. Eseguire lo script in ogni server NPS in cui si installa l'estensione NPS.

  1. Eseguire Graph PowerShell come amministratore.

  2. Nel prompt dei comandi di PowerShell digitare cd "c:\Programmi\Microsoft\AzureMfa\Config" e premere Invio.

  3. Al prompt dei comandi successivo immettere .\AzureMfaNpsExtnConfigSetup.ps1 e quindi premere INVIO. Lo script verifica se Graph PowerShell è installato. Se non è installato, lo script installa Automaticamente Graph PowerShell.

    Running the AzureMfsNpsExtnConfigSetup.ps1 configuration script

    Se viene visualizzato un errore di sicurezza causato da TLS, abilitare TLS 1.2 usando il comando [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 dal prompt di PowerShell.

    Dopo aver verificato l'installazione del modulo PowerShell, lo script visualizza la finestra di accesso al modulo Graph PowerShell.

  4. Immettere le credenziali e la password dell'amministratore di Microsoft Entra e quindi selezionare Accedi.

  5. Nel prompt dei comandi incollare l'ID tenant copiato in precedenza e quindi premere Invio.

    Input the Microsoft Entra tenant ID copied before

    Lo script crea un certificato autofirmato e apporta altre modifiche alla configurazione. L'output è simile a quello mostrato nella figura seguente:

    PowerShell window showing Self-signed certificate

  6. Riavviare il server.

Verificare la configurazione

Per verificare la configurazione, è necessario stabilire una nuova connessione VPN con il server VPN. Dopo aver inserito correttamente le credenziali per l'autenticazione primaria, la connessione VPN attende il completamento dell'autenticazione secondaria prima di stabilire la connessione, come illustrato di seguito.

The Windows Settings VPN window

Se l'autenticazione viene eseguita correttamente con il metodo di verifica secondario configurato in precedenza nell'autenticazione a più fattori Di Microsoft Entra, si è connessi alla risorsa. Se invece l'autenticazione secondaria non ha esito positivo, l'accesso alla risorsa viene negato.

Nell'esempio seguente viene usata l'app Microsoft Authenticator su un dispositivo Windows Phone per eseguire l'autenticazione secondaria:

Example MFA prompt on Windows Phone

Dopo aver eseguito correttamente l'autenticazione con il metodo secondario, viene concesso l'accesso alla porta virtuale nel server VPN. Poiché è stato richiesto di usare un metodo di autenticazione secondaria tramite un'app per dispositivi mobili in un dispositivo attendibile, il processo di accesso è più sicuro di quanto sarebbe stato usando solo una combinazione di nome utente e password.

Visualizzare i log del Visualizzatore eventi per individuare gli eventi di accesso riusciti

Per visualizzare gli eventi di accesso riusciti in Windows Visualizzatore eventi, è possibile visualizzare il log di sicurezza o la visualizzazione personalizzata Servizi di accesso e criteri di rete, come illustrato nell'immagine seguente:

Example Network Policy Server log

Nel server in cui è stata installata l'estensione NPS per l'autenticazione a più fattori Microsoft Entra, è possibile trovare Visualizzatore eventi registri applicazioni specifici dell'estensione in Registri applicazioni e servizi\Microsoft\AzureMfa.

Example Event Viewer AuthZ logs pane

Guida alla risoluzione dei problemi

Se la configurazione non funziona come previsto, iniziare la risoluzione dei problemi verificando che l'utente sia configurato per l'uso di Azure MFA. Chiedere all'utente di accedere all'interfaccia di amministrazione di Microsoft Entra. Se viene richiesta l'autenticazione secondaria ed possibile eseguire correttamente l'autenticazione, è possibile eliminare una configurazione errata di Multi-Factor Authentication come un problema.

Se Multi-Factor Authentication funziona correttamente, esaminare i log del Visualizzatore eventi pertinenti. I log includono l'evento di sicurezza, il gateway operativo e i log di autenticazione a più fattori Microsoft Entra descritti nella sezione precedente.

Di seguito è riportato un esempio di registro di protezione che consente di visualizzare un evento di accesso non riuscito, ID evento 6273:

Security log showing a failed sign-in event

Di seguito è riportato un evento correlato del log di autenticazione a più fattori Di Microsoft Entra:

Microsoft Entra multifactor authentication logs

Per la risoluzione dei problemi avanzata, consultare i file di log in formato database di Server dei criteri di rete nella posizione in cui è installato il servizio Server dei criteri di rete. I file di log vengono creati nella cartella %SystemRoot%\System32\Logs come file di testo con valori delimitati da virgole. Per una descrizione dei file di log, vedere Interpret NPS Database Format Log Files (Interpretare i file di log in formato database di Server dei criteri di rete).

Le voci di questi file di log sono difficili da interpretare senza esportarle in un foglio di calcolo o in un database. È possibile trovare molti strumenti di analisi Servizio Autenticazione Internet online per semplificare l'interpretazione dei file di log. Di seguito è riportato l'output di una di queste applicazioni shareware che è possibile scaricare:

Sample Shareware app IAS parser

Per altre opzioni di risoluzione dei problemi, è possibile usare uno strumento di analisi di protocolli, ad esempio Wireshark o Microsoft Message Analyzer. L'immagine seguente relativa a Wireshark mostra i messaggi RADIUS tra il server VPN e il Server dei criteri di rete.

Microsoft Message Analyzer showing filtered traffic

Per altre informazioni, vedere Integrare l'infrastruttura nps esistente con l'autenticazione a più fattori Di Microsoft Entra.

Passaggi successivi

Ottenere l'autenticazione a più fattori di Microsoft Entra

Gateway Desktop remoto e server Azure Multi-Factor Authentication utilizzando RADIUS

Integrare le directory locali con Microsoft Entra ID