Integrare l'infrastruttura VPN con l'autenticazione a più fattori di Microsoft Entra utilizzando l'estensione del Server dei criteri di rete per Azure.

L'estensione Server dei criteri di rete (NPS) per Azure consente alle organizzazioni di proteggere l'autenticazione client RADIUS (Remote Authentication Dial-In User Service) usando l'autenticazione a più fattori Microsoft Entra basata sul cloud, che fornisce la verifica in due passaggi.

Questo articolo fornisce istruzioni per l'integrazione dell'infrastruttura NPS con l'autenticazione a più fattori tramite l'estensione NPS per Azure. Questo processo consente di proteggere la verifica in due passaggi per gli utenti che tentano di connettersi alla rete tramite una VPN.

Nota

Anche se l'estensione MFA nps supporta la password monouso basata sul tempo (TOTP), alcuni client VPN come LA VPN di Windows non lo fanno. Assicurarsi che i client VPN usati supportino TOTP come metodo di autenticazione prima di abilitarlo nell'estensione NPS.

Servizi di accesso e criteri di rete consente alle organizzazioni di:

• Assegnare una posizione centrale per la gestione e il controllo delle richieste di rete per specificare:

  • quali utenti possono connettersi

  • in quali ore del giorno è consentito connettersi

  • la durata delle connessioni

  • il livello di sicurezza che i client devono usare per la connessione

    Piuttosto che specificare i criteri su ogni server VPN o Gateway Desktop remoto, fallo dopo averli collocati in una posizione centrale. Il protocollo RADIUS viene usato per offrire servizi centralizzati di autenticazione, autorizzazione e accounting.

• Stabilire e applicare politiche di protezione dell'accesso alla rete (NAP) per la salute del client che determinano se ai dispositivi viene concesso l'accesso alle risorse di rete senza restrizioni o con restrizioni.

• Indicare un modo per imporre l'autenticazione e l'autorizzazione per l'accesso a commutatori Ethernet e punti di accesso wireless che supportano 802.1x. Per altre informazioni, vedere Server dei criteri di rete.

Per migliorare la sicurezza e garantire un livello elevato di conformità, le organizzazioni possono integrare NPS con l'autenticazione multifattore di Microsoft Entra per assicurarsi che gli utenti utilizzino la verifica in due passaggi per connettersi alla porta virtuale sul server VPN. Affinché venga concesso loro l'accesso, gli utenti devono specificare la combinazione di nome utente e password e altre informazioni sotto il loro controllo. Queste informazioni devono essere attendibili e non facilmente duplicabili. Possono includere un numero di cellulare, un numero di rete fissa o un'applicazione su un dispositivo mobile.

Se l'organizzazione usa una VPN e l'utente è registrato per un codice TOTP insieme alle notifiche push di Authenticator, l'utente non può soddisfare la richiesta di autenticazione a più fattori e l'accesso remoto ha esito negativo. In tal caso, è possibile impostare OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE per passare alle notifiche push per l'azione di Approva/Nega con Authenticator.

Affinché un'estensione NPS continui a funzionare per gli utenti VPN, è necessario creare questa chiave del Registro di sistema sul server NPS. Aprire l'editor del Registro di sistema nel server NPS. Passare a:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

Creare la coppia Stringa/Valore seguente:

Nome: DISATTIVAZIONE_ABBINAMENTO_NUMERO_CON_OTP

Valore = FALSO

Prima della disponibilità dell'estensione NPS per Azure, i clienti che volevano implementare la verifica in due passaggi per ambienti con NPS e MFA integrati dovevano configurare e gestire un server MFA separato in un ambiente locale. Gateway Desktop remoto e server Azure Multi-Factor Authentication offrono questo tipo di autenticazione tramite RADIUS.

Con l'estensione NPS per Azure, le organizzazioni possono proteggere l'autenticazione dei client RADIUS distribuendo una soluzione di autenticazione a più fattori locale o basata su cloud.

Flusso di autenticazione

Quando gli utenti si connettono a una porta virtuale su un server VPN, devono prima autenticarsi usando diversi protocolli. I protocolli consentono di usare una combinazione di nome utente e password e i metodi di autenticazione basata sui certificati.

Oltre all'autenticazione e alla verifica dell'identità, gli utenti devono avere le autorizzazioni appropriate per l'accesso. Nelle implementazioni semplici queste autorizzazioni di accesso vengono impostate direttamente negli oggetti utente di Active Directory.

Per le implementazioni semplici, ogni server VPN concede o nega l'accesso in base a criteri definiti in ogni server VPN locale.

Nelle implementazioni più grandi e più scalabili i criteri che concedono o negano l'accesso VPN sono centralizzati nei server RADIUS. In questi casi il server VPN funge da server di accesso, come client RADIUS, che inoltra le richieste di connessione e i messaggi degli account a un server RADIUS. Per connettersi alla porta virtuale nel server VPN, gli utenti devono essere autenticati e soddisfare le condizioni definite in modo centralizzato nei server RADIUS.

Quando l'estensione Server dei criteri di rete per Azure è integrata con Server dei criteri di rete, risulta un flusso di autenticazione riuscito, come illustrato di seguito:

1. Il server VPN riceve da un utente VPN una richiesta di autenticazione che include il nome utente e la password per la connessione a una risorsa, ad esempio una sessione Desktop remoto.
2. Fungendo da client RADIUS, il server VPN converte la richiesta in un messaggio RADIUS Access-Request e la invia (con una password crittografata) al server RADIUS in cui è installata l'estensione NPS.
3. La combinazione di nome utente e password viene verificata in Active Directory. Se il nome utente o la password non sono corretti, il server RADIUS invia un messaggio access-reject .
4. Se vengono soddisfatte le condizioni nella richiesta di connessione nps e nei criteri di rete (ad esempio l'ora del giorno o le restrizioni di appartenenza ai gruppi), l'estensione NPS richiederà l'autenticazione secondaria con l'autenticazione a più fattori Microsoft Entra.
5. L'autenticazione a più fattori Microsoft Entra comunica con Microsoft Entra ID, recupera i dettagli dell'utente e usa il metodo configurato dall'utente (chiamata telefonica cellulare, SMS o app per dispositivi mobili) per eseguire l'autenticazione secondaria.
6. Quando la sfida di autenticazione multifattoriale ha esito positivo, Microsoft Entra Autenticazione Multifattoriale comunica il risultato all'estensione NPS.
7. Dopo che il tentativo di connessione è stato autenticato e autorizzato, il server dei criteri di rete in cui è installata l'estensione invia un messaggio RADIUS Access-Accept al server VPN (client RADIUS).
8. All'utente viene concesso l'accesso alla porta virtuale nel server VPN e viene stabilito un tunnel VPN crittografato.

Prerequisiti

Questa sezione illustra in dettaglio i prerequisiti da soddisfare per poter integrare MFA con la VPN. Prima di iniziare, è necessario che siano soddisfatti i prerequisiti seguenti:

• Infrastruttura VPN
• Ruolo Servizi di accesso e criteri di rete
• Licenza di autenticazione multifattore di Microsoft Entra
• Software Windows Server
• Librerie
• ID Microsoft Entra sincronizzato con Active Directory locale
• GUID ID Microsoft Entra

Infrastruttura VPN

Questo articolo presuppone la presenza di un'infrastruttura VPN funzionante che usa Microsoft Windows Server 2016 e che il server VPN non sia attualmente configurato per inoltrare le richieste di connessione a un server RADIUS. In questo articolo si configurerà l'infrastruttura VPN per l'uso di un server RADIUS centrale.

Se non si dispone di un'infrastruttura VPN funzionante, è possibile crearne una rapidamente seguendo le indicazioni riportate in numerose esercitazioni sulla configurazione vpn disponibili nei siti Microsoft e di terze parti.

Ruolo dei Servizi di criteri di rete e accesso

Servizi di accesso e criteri di rete offre le funzionalità di server e client RADIUS. Questo articolo presuppone che sia stato installato il ruolo Servizi di accesso e criteri di rete su un server membro o un controller di dominio della vostra rete. In questa guida si configurerà il protocollo RADIUS per una configurazione VPN. Installare il ruolo Servizi di accesso e criteri di rete su un server che non sia il server VPN.

Per informazioni sull'installazione del servizio ruolo Servizi di criteri di rete e accesso in Windows Server 2012 o versione successiva, vedere Installare un Server dei Criteri di Integrità NAP. NAP è obsoleto in Windows Server 2016. Per una descrizione delle procedure consigliate per il Server dei criteri di rete (NPS), inclusa la raccomandazione di installarlo su un controller di dominio, vedere Procedure consigliate per il Server dei criteri di rete.

Software Windows Server

L'estensione NPS richiede Windows Server 2008 R2 SP1 o versione successiva, con il ruolo Servizi di accesso e criteri di rete installato. Tutti i passaggi in questa guida sono stati eseguiti con Windows Server 2016.

Librerie

La libreria seguente viene installata automaticamente con l'estensione NPS:

• Pacchetti ridistribuibili di Visual C++ per Visual Studio 2013 (X64)

Se il modulo Microsoft Graph PowerShell non è già presente, viene installato con uno script di configurazione eseguito come parte del processo di installazione. Non è necessario installare Graph PowerShell in anticipo.

ID Microsoft Entra sincronizzato con Active Directory locale

Per usare l'estensione NPS, gli utenti locali devono essere sincronizzati con Microsoft Entra ID e abilitati per MFA. Questa guida presuppone che gli utenti locali siano sincronizzati con Microsoft Entra ID tramite Microsoft Entra Connect. Le istruzioni per abilitare gli utenti per l'autenticazione a più fattori sono disponibili nella sezione seguente.

Per informazioni su Microsoft Entra Connect, vedere Integrare le directory locali con Microsoft Entra ID.

GUID ID Microsoft Entra

Per installare l'estensione NPS, è necessario conoscere il GUID dell'ID Microsoft Entra. Le istruzioni per trovare il GUID dell'ID Microsoft Entra sono disponibili nella sezione successiva.

Configurare RADIUS per le connessioni VPN

Se hai installato il ruolo NPS su un server membro, devi configurarlo per autenticare e autorizzare il client VPN che richiede connessioni VPN.

Questa sezione presuppone che abbiate installato il ruolo Servizi di rete e accesso, ma non lo abbiate configurato per l'uso nella vostra infrastruttura.

Nota

Se si ha già un server VPN funzionante che usa un server RADIUS centralizzato per l'autenticazione, è possibile ignorare questa sezione.

Registrare il server in Active Directory

Per funzionare correttamente in questo scenario, il server NPS deve essere registrato in Active Directory.

1. Apri Server Manager.

2. In Server Manager selezionare Strumenti e quindi Server dei criteri di rete.

3. Nella console Server dei criteri di rete, clic con il pulsante destro del mouse su NPS (locale) e quindi selezionare Registra server in Active Directory. Selezionare OK due volte.

   

4. Lasciare aperta la console per la procedura successiva.

Usare la procedura guidata per configurare il server RADIUS

Per configurare il server RADIUS, è possibile usare un'opzione di configurazione standard (basata su procedura guidata) o avanzata. Questa sezione presuppone l'uso dell'opzione di configurazione standard basata su procedura guidata.

1. Nella console del Server dei criteri di rete, selezionare NPS (locale).

2. In Configurazione standard selezionare Server RADIUS per Connessioni remote o VPN e quindi selezionare Configura VPN o Connessione remota.

   

3. Nella finestra Select Dial-up or Virtual Private Network Connections Type (Seleziona connessioni di rete privata virtuale) selezionare Virtual Private Network Connections (Connessioni di rete privata virtuale) e quindi selezionare Next (Avanti).

   

4. Nella finestra Specificare la connessione remota o il server VPN selezionare Aggiungi.

5. Nella finestra Nuovo client RADIUS specificare un nome descrittivo, immettere il nome risolvibile o l'indirizzo IP del server VPN e quindi immettere una password privata condivisa. Creare una password segreta condivisa lunga e complessa. Annotarla, poiché sarà necessaria nella sezione successiva.

   

6. Selezionare OK e quindi avanti.

7. Nella finestra Configura metodi di autenticazione accettare la selezione predefinita (Microsoft Encrypted Authentication versione 2 [MS-CHAPv2]) o scegliere un'altra opzione e selezionare Avanti.

   Nota

   Se si configura il protocollo Extensible Authentication Protocol, è necessario usare Microsoft Challenge Handshake Authentication Protocol (CHAPv2) o PEAP Protected Extensible Authentication Protocol. Non sono supportate altre opzioni EAP.

8. Nella finestra Specifica gruppi di utenti selezionare Aggiungi e quindi selezionare un gruppo appropriato. Se non esiste alcun gruppo, lasciare vuota l'opzione per concedere l'accesso a tutti gli utenti.

   

9. Selezionare Avanti.

10. Nella finestra Specifica filtri IP selezionare Avanti.

11. Nella finestra Specifica impostazioni di crittografia accettare le impostazioni predefinite e quindi selezionare Avanti.

    

12. Nella finestra Specificare un nome dell'area di autenticazione lasciare vuoto il nome dell'area di autenticazione, accettare l'impostazione predefinita e quindi selezionare Avanti.

    

13. Nella finestra Completamento nuove connessioni dial-up o di rete privata virtuale e client RADIUS, selezionare Fine.

    

Verificare la configurazione RADIUS

Questa sezione descrive in modo dettagliato la configurazione creata usando la procedura guidata.

1. Sul server dei criteri di rete, nella console NPS (locale), espandere Client RADIUS e quindi selezionare Client RADIUS.

2. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul client RADIUS creato e quindi scegliere Proprietà. Le proprietà del client RADIUS, ovvero del server VPN, dovrebbero essere simili a quelle mostrate qui:

   

3. Selezionare Annulla.

4. Nel server dei criteri di rete, nella console server dei criteri di rete (locale) espandere Criteri e quindi selezionare Criteri di richiesta di connessione. Vengono mostrati i criteri delle connessioni VPN come illustrato nella figura seguente:

   

5. In Criteri selezionare Criteri di rete. Vengono visualizzati criteri di connessioni della rete privata virtuale simili a quelli illustrati nell'immagine seguente:

   

Configurare il server VPN per l'uso dell'autenticazione RADIUS

In questa sezione si configura il server VPN per l'uso dell'autenticazione RADIUS. Le istruzioni presuppongono che si disponga di una configurazione funzionante di un server VPN ma che non sia stata configurata per l'uso dell'autenticazione RADIUS. Dopo aver configurato il server VPN, verificare che la configurazione funzioni come previsto.

Nota

Se si ha già una configurazione del server VPN funzionante che usa l'autenticazione RADIUS, è possibile ignorare questa sezione.

Configurare il provider di autenticazione

1. Nel server VPN aprire Server Manager.

2. In Server Manager selezionare Strumenti e quindi Routing e Accesso remoto.

3. Nella finestra Routing e accesso remoto fare clic con il pulsante destro del mouse sul <nome> del server (locale) e quindi scegliere Proprietà.

4. Nella finestra Proprietà nome< server (locale) selezionare la scheda Sicurezza.>

5. Nella scheda Sicurezza , in Provider di autenticazione selezionare Autenticazione RADIUS e quindi selezionare Configura.

   

6. Nella finestra Autenticazione RADIUS selezionare Aggiungi.

7. Nella finestra Aggiungi server RADIUS eseguire le operazioni seguenti:

   1. Nella casella Nome server immettere il nome o l'indirizzo IP del server RADIUS configurato nella sezione precedente.

   2. Per Segreto condiviso selezionare Cambia e quindi immettere la password privata condivisa creata e registrata in precedenza.

   3. Nella casella Timeout (secondi) immettere il valore 60. Per ridurre al minimo le richieste rimosse, è consigliabile configurare i server VPN con un timeout di almeno 60 secondi. Se necessario, o per ridurre le richieste rimosse nei registri eventi, è possibile aumentare il valore di timeout del server VPN a 90 o 120 secondi.

8. Selezionare OK.

Testare la connettività VPN

In questa sezione viene verificato che il server RADIUS esegue l'autenticazione e autorizza il client VPN quando si tenta di connettersi alla porta virtuale VPN. Le istruzioni presuppongono che si usi Windows 10 come client VPN.

Nota

Se è già stato configurato un client VPN per connettersi al server VPN e sono state salvate le impostazioni, è possibile ignorare i passaggi relativi alla configurazione e al salvataggio di un oggetto connessione VPN.

1. Nel computer client VPN selezionare il pulsante Start e quindi selezionare il pulsante Impostazioni .

2. Nella finestra Impostazioni di Windows selezionare Rete e Internet.

3. Selezionare VPN.

4. Selezionare Aggiungi una connessione VPN.

5. Nella finestra Aggiungi una connessione VPN , nella casella Provider VPN selezionare Windows (predefinito), completare i campi rimanenti, in base alle esigenze e quindi selezionare Salva.

   

6. Passare al Pannello di controllo e quindi selezionare Centro connessioni di rete e condivisione.

7. Selezionare Modifica impostazioni adattatore.

   

8. Fare clic con il pulsante destro del mouse sulla connessione di rete VPN e quindi scegliere Proprietà.

9. Nella finestra Proprietà VPN selezionare la scheda Sicurezza .

10. Nella scheda Sicurezza assicurarsi che sia selezionato solo Microsoft CHAP Versione 2 (MS-CHAP v2) e quindi selezionare OK.

    

11. Fare clic con il pulsante destro del mouse sulla connessione VPN e quindi scegliere Connetti.

12. Nella finestra Impostazioni selezionare Connetti.
    Una connessione riuscita viene riportata nel log di sicurezza del server RADIUS con l'ID evento 6272, come illustrato di seguito:

    

Risoluzione dei problemi nel server RADIUS

Si supponga che la configurazione VPN funzionasse prima della configurazione del server VPN per l'uso di un server RADIUS centralizzato per l'autenticazione e l'autorizzazione. Se la configurazione funzionava, è probabile che un errore di configurazione del server RADIUS o l'uso di un nome utente o una password non validi abbia causato il problema. Ad esempio, se si usa il suffisso alternativo UPN nel nome utente, il tentativo di accesso potrebbe non riuscire. Usare lo stesso nome di account per ottenere risultati ottimali.

Per risolvere questi problemi, è consigliabile iniziare esaminando i log eventi di sicurezza nel server RADIUS. Per risparmiare tempo nella ricerca degli eventi, è possibile usare la visualizzazione personalizzata basata sui ruoli del server di accesso e dei criteri di rete nel Visualizzatore eventi, come illustrato di seguito. "ID evento 6273" indica gli eventi in cui NPS ha negato l'accesso a un utente.

Configurare l'autenticazione a più fattori

Per assistenza sulla configurazione degli utenti per l'autenticazione a più fattori, vedere gli articoli Pianificazione della distribuzione dell'autenticazione a più fattori Microsoft Entra basata sul cloud e Configurare l'account per la verifica in due passaggi

Installare e configurare l'estensione NPS

Questa sezione contiene istruzioni per configurare la rete VPN al fine di usare Multi-Factor Authentication per l'autenticazione client con il server VPN.

Nota

La chiave del Registro di sistema REQUIRE_USER_MATCH fa distinzione tra maiuscole e minuscole. Tutti i valori devono essere impostati in formato MAIUSCOLO.

Dopo aver installato e configurato l'estensione NPS, questo server richiede che l'autenticazione client basata su RADIUS utilizzi MFA. Se tutti gli utenti VPN non sono registrati nell'autenticazione a più fattori Microsoft Entra, è possibile eseguire una delle operazioni seguenti:

• Configurare un altro server RADIUS per autenticare gli utenti che non sono configurati al fine di usare Multi-Factor Authentication.

• Creare una voce del Registro di sistema che consenta agli utenti richiesti di fornire un secondo fattore di autenticazione se sono registrati per l'autenticazione multifattoriale di Microsoft Entra.

Creare un nuovo valore stringa denominato REQUIRE_USER_MATCH in HKLM\SOFTWARE\Microsoft\AzureMfa e impostare il valore su TRUE o FALSE.

Se il valore è impostato su TRUE o è vuoto, tutte le richieste di autenticazione sono soggette a una richiesta di autenticazione a più fattori. Se il valore è impostato su FALSE, i problemi di autenticazione a più fattori vengono generati solo agli utenti registrati nell'autenticazione a più fattori Di Microsoft Entra. Usare l'impostazione FALSE solo nei test o negli ambienti di produzione durante un periodo di onboarding.

Ottenere l'ID tenant della directory

Come parte della configurazione dell'estensione NPS, è necessario fornire le credenziali di amministratore e l'ID per il tenant di Microsoft Entra. Per ottenere l'ID tenant, completare i seguenti passaggi:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra.

2. Accedere a Entra ID, Panoramica, Proprietà.

   

Installare l'estensione NPS

L'estensione NPS deve essere installata su un server che ha il ruolo Servizi di accesso e criteri di rete installato e che funzioni come server RADIUS nella progettazione. Non installare l'estensione NPS nel server VPN.

1. Scaricare l'estensione NPS dal Microsoft Download Center.

2. Copiare il file eseguibile di installazione (NpsExtnForAzureMfaInstaller.exe) nel server NPS.

3. Nel server NPS fare doppio clic su NpsExtnForAzureMfaInstaller.exe e, se richiesto, selezionare Esegui.

4. Nella finestra Nps Extension For Microsoft Entra multifactor authentication Setup (Estensione NPS per l'installazione dell'autenticazione a più fattori ) esaminare le condizioni di licenza, selezionare la casella di controllo Accetto le condizioni di licenza e quindi selezionare Installa.

   

5. Nella finestra Di installazione dell'estensione NPS per l'autenticazione a più fattori Microsoft Entra selezionare Chiudi.

   

Configurare i certificati per l'uso con l'estensione NPS usando uno script di Graph PowerShell

Per garantire comunicazioni sicure e affidabilità, configurare i certificati per l'uso dall'estensione NPS. I componenti NPS includono uno script di Graph PowerShell che configura un certificato autofirmato da usare con NPS.

Lo script esegue le azioni seguenti:

• Crea un certificato autofirmato
• Associa la chiave pubblica del certificato all'entità servizio in Microsoft Entra ID.
• Archivia il certificato nell'archivio del computer locale.
• Concede l'accesso alla chiave privata del certificato all'utente di rete.
• Riavvia il servizio NPS (Server dei criteri di rete).

Se si vogliono usare certificati personalizzati, è necessario associare la chiave pubblica del certificato all'entità servizio in Microsoft Entra ID e così via.

Per usare lo script, fornire l'estensione con le credenziali amministrative di Microsoft Entra e l'ID tenant di Microsoft Entra copiato in precedenza. L'account deve trovarsi nello stesso tenant di Microsoft Entra per cui si vuole abilitare l'estensione. Eseguire lo script in ogni server NPS in cui si installa l'estensione NPS.

1. Eseguire Graph PowerShell come amministratore.

2. Al prompt dei comandi di PowerShell immettere cd "c:\Programmi\Microsoft\AzureMfa\Config" e quindi selezionare Invio.

3. Al prompt dei comandi successivo immettere .\AzureMfaNpsExtnConfigSetup.ps1e quindi premere INVIO. Lo script verifica se Graph PowerShell è installato. Se non è installato, lo script installa Automaticamente Graph PowerShell.

   

   Se viene visualizzato un errore di sicurezza causato da TLS, abilitare TLS 1.2 usando il comando [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 dal prompt di PowerShell.

   Dopo aver verificato l'installazione del modulo PowerShell, lo script visualizza la finestra di accesso al modulo Graph PowerShell.

4. Immettere le credenziali e la password dell'amministratore di Microsoft Entra e quindi selezionare Accedi.

5. Nel prompt dei comandi incollare l'ID tenant copiato in precedenza e quindi premere Invio.

   

   Lo script crea un certificato autofirmato e apporta altre modifiche alla configurazione. L'output è simile a quello mostrato nella figura seguente:

   

6. Riavviare il server.

Verificare la configurazione

Per verificare la configurazione, è necessario stabilire una nuova connessione VPN con il server VPN. Dopo aver immesso le credenziali per l'autenticazione primaria, la connessione VPN attende che l'autenticazione secondaria abbia esito positivo prima che venga stabilita la connessione, come illustrato nella sezione seguente.

Se l'autenticazione viene eseguita correttamente con il metodo di verifica secondario configurato in precedenza nell'autenticazione a più fattori Di Microsoft Entra, si è connessi alla risorsa. Tuttavia, se l'autenticazione secondaria non riesce, viene negato l'accesso alla risorsa.

Nell'esempio seguente viene usata l'app Microsoft Authenticator su un dispositivo Windows Phone per eseguire l'autenticazione secondaria:

Dopo aver eseguito l'autenticazione usando il metodo secondario, viene concesso l'accesso alla porta virtuale nel server VPN. Poiché è stato richiesto di usare un metodo di autenticazione secondaria tramite un'app per dispositivi mobili in un dispositivo attendibile, il processo di accesso è più sicuro di quanto sarebbe stato usando solo una combinazione di nome utente e password.

Visualizzare i log del Visualizzatore eventi per individuare gli eventi di accesso riusciti

Per visualizzare gli eventi di accesso riusciti nel Visualizzatore eventi di Windows, è possibile visualizzare il Registro sicurezza o la visualizzazione personalizzata dei Servizi criteri di rete e accesso, come illustrato nell'immagine seguente.

Nel server in cui è stata installata l'estensione NPS per l'autenticazione multifattore Microsoft Entra, è possibile trovare i log delle applicazioni del Visualizzatore eventi specifici per l'estensione nel percorso Registri applicazioni e servizi\Microsoft\AzureMfa.

Guida alla risoluzione dei problemi

Se la configurazione non funziona come previsto, iniziare la risoluzione dei problemi verificando che l'utente sia configurato per l'uso dell'autenticazione a più fattori. Chiedere all'utente di accedere all'interfaccia di amministrazione di Microsoft Entra. Se all'utente viene richiesta l'autenticazione secondaria e è possibile eseguire correttamente l'autenticazione, è possibile eliminare una configurazione errata di Multi-Factor Authentication come causa del problema.

Se l'Autenticazione a due fattori funziona correttamente per l'utente, esaminare i log pertinenti del Visualizzatore eventi. I log includono l'evento di sicurezza, il gateway operativo e i log di autenticazione a più fattori Microsoft Entra descritti nella sezione precedente.

Di seguito è riportato un esempio di registro di protezione che consente di visualizzare un evento di accesso non riuscito, ID evento 6273:

Di seguito è riportato un evento correlato del log di autenticazione a più fattori Di Microsoft Entra:

Per la risoluzione dei problemi avanzata, consultare i file di log in formato database di NPS nel luogo in cui è installato il servizio NPS. I file di log vengono creati nella cartella %SystemRoot%\System32\Logs come file di testo delimitati da virgole. Per una descrizione dei file di log, vedere Interpretare i file di log in formato database NPS.

Le voci di questi file di log sono difficili da interpretare senza esportarle in un foglio di calcolo o in un database. È possibile trovare molti strumenti di parsing per il Servizio di Autenticazione Internet in linea per semplificare l'interpretazione dei file di log. L'output di un'applicazione shareware scaricabile è illustrata di seguito:

Per eseguire ulteriori operazioni di risoluzione dei problemi, è possibile usare un analizzatore di protocolli, ad esempio Wireshark o Microsoft Message Analyzer. L'immagine seguente di Wireshark mostra i messaggi RADIUS tra il server VPN e il NPS.

Per altre informazioni, vedere Integrare l'infrastruttura NPS esistente con l'autenticazione a più fattori di Microsoft Entra.

Passaggi successivi

Ottenere l'autenticazione a più fattori di Microsoft Entra

Gateway Desktop Remoto e Server di Autenticazione Multi-Factor di Azure con RADIUS

Integrare le directory locali con Microsoft Entra ID