Opzioni di autenticazione VPN

• Si applica a:

  ✅ Windows 11, ✅ Windows 10

Oltre ai metodi di autenticazione meno recenti e meno sicuri basati sulle password (che è consigliabile evitare), la soluzione VPN predefinita usa il protocollo EAP (Extensible Authentication Protocol) per offrire l'autenticazione sicura sia con metodi basati su nome utente e password che su certificati. Puoi configurare l'autenticazione basata su EAP solo se selezioni un tipo di VPN predefinito (IKEv2, L2TP, PPTP o Automatic).

Windows supporta vari metodi di autenticazione EAP.

• EAP-Microsoft Challenge Handshake Authentication Protocol versione 2 (EAP-MSCHAPv2):

  • Autenticazione con nome utente e password.
  • Credenziali Winlogon - puoi specificare l'autenticazione con credenziali di accesso al computer

• EAP-Transport Layer Security (EAP-TLS):

  • Supporta i tipi di autenticazione dei certificati seguenti:

    • Certificato con chiavi nel provider di archiviazione chiavi software
    • Certificati con chiavi nel provider di archiviazione chiavi TPM (Trusted Platform Module)
    • Certificati smart card
    • Certificato di Windows Hello for Business

  • Filtro dei certificati:

    • Il filtro dei certificati può essere abilitato per cercare un particolare certificato da usare per l'autenticazione
    • Il filtro può essere basato sull'autorità di certificazione o sull'utilizzo esteso delle chiavi (EKU)

  • Convalida del server: con TLS, la convalida del server può essere attivata o disattivata:

    • Nome del server - specificare il server da convalidare
    • Certificato del server - certificato radice attendibile per la convalida del server
    • Notifica - specificare se l'utente deve ricevere una notifica che richiede se considerare o meno attendibile il server

• PEAP (Protected Extensible Authentication Protocol):

  • Convalida del server: con PEAP, la convalida del server può essere attivata o disattivata:

    • Nome del server - specificare il server da convalidare
    • Certificato del server - certificato radice attendibile per la convalida del server
    • Notifica - specificare se l'utente deve ricevere una notifica che richiede se considerare o meno attendibile il server

  • Metodo interno: il metodo esterno crea un tunnel sicuro all'interno mentre il metodo interno viene usato per completare l'autenticazione:

    • EAP-MSCHAPv2
    • EAP-TLS

  • Riconnessione rapida: riduce l'intervallo di tempo tra una richiesta di autenticazione da un client e la risposta dal Server dei criteri di rete (NPS) o da un altro server RADIUS (Remote Authentication Dial-in User Service). Diventano così minori i requisiti di risorse sia per il client che per il server e viene ridotto al minimo il numero di richieste delle credenziali agli utenti.

  • Cryptobinding: derivando e scambiando valori dal materiale chiave peap fase 1 (chiave tunnel) e dal materiale della chiave del metodo EAP interno della fase 2 PEAP (Inner Session Key), è possibile dimostrare che le due autenticazioni terminano nelle stesse due entità (peer PEAP e server PEAP). Questo processo, denominato "cryptobinding", viene usato per proteggere la negoziazione PEAP da attacchi man-in-the-middle.

• Tunneled Transport Layer Security (TTLS)

  • Metodo interno
    • Non EAP
      • Password Authentication Protocol (PAP)
      • CHAP
      • MSCHAP
      • MSCHAPv2
    • EAP
      • MSCHAPv2
      • TLS
  • Convalida del server: in TTLS, il server deve essere convalidato. È possibile configurare gli elementi seguenti:
    • Nome del server
    • Certificato radice attendibile per il certificato del server
    • Se deve esserci una notifica di convalida del server

Per un plug-in VPN UWP, il fornitore dell'app controlla il metodo di autenticazione da usare. È possibile usare i tipi di credenziali seguenti:

• Smart card
• Certificato
• Windows Hello for Business
• Nome utente e password
• Password monouso
• Tipo di credenziali personalizzate

Configurare l'autenticazione

Vedi configurazione EAP per la configurazione XML EAP.

Nota

Per configurare l'autenticazione di Windows Hello for Business segui i passaggi descritti in Configurazione EAP per creare un certificato smart card. Altre informazioni su Windows Hello for Business.

L'immagine seguente mostra il campo per il codice XML EAP in un profilo VPN di Microsoft Intune. Il campo XML EAP viene visualizzato solo quando selezioni un tipo di connessione predefinito (Automatic, IKEv2, L2TP, PPTP).

Argomenti correlati

• Guida tecnica alle reti VPN
• Tipi di connessione VPN
• Decisioni per il routing VPN
• VPN e accesso condizionale
• Risoluzione dei nomi VPN
• Opzioni del profilo ad attivazione automatica VPN
• Funzionalità di sicurezza della rete VPN
• Opzioni del profilo VPN
• EAP (Extensible Authentication Protocol) per l'accesso alla rete