Azure용 네트워크 정책 서버 확장을 사용하여 VPN 인프라를 Microsoft Entra 다단계 인증과 통합합니다.

Azure용 NPS(네트워크 정책 서버) 확장을 사용하면 조직에서 2단계 인증을 제공하는 클라우드 기반 Microsoft Entra 다단계 인증을 사용하여 RADIUS(Remote Authentication Dial-In User Service) 클라이언트 인증을 보호할 수 있습니다.

이 문서에서는 Azure용 NPS 확장을 사용하여 NPS 인프라를 MFA와 통합하기 위한 지침을 제공합니다. 이 프로세스에서는 VPN을 사용하여 네트워크에 연결하려고 하는 사용자를 위해 2단계 인증을 설정합니다.

참고 항목

NPS MFA 확장은 시간 기반 TOTP(일회성 암호)를 지원하지만 Windows VPN과 같은 특정 VPN 클라이언트는 지원하지 않습니다. NPS 확장에서 사용하도록 설정하기 전에 지원 TOTP를 인증 방법으로 사용하는 VPN 클라이언트가 있는지 확인합니다.

네트워크 정책 및 액세스 서비스는 조직에 다음과 같은 기능을 제공합니다.

• 네트워크 요청을 관리 및 제어하여 다음을 지정할 수 있는 중앙 위치를 할당합니다.

  • 연결할 수 있는 사용자

  • 1일에 허용되는 연결 횟수

  • 연결 기간

  • 클라이언트가 연결에 사용해야 하는 보안 수준

    각 VPN 또는 원격 데스크톱 게이트웨이 서버에 대해 정책을 지정하지 않고, 이러한 항목이 중앙 위치에 있을 때 지정합니다. RADIUS 프로토콜은 중앙 집중식 AAA(인증, 권한 부여 및 계정 관리)를 제공하는 데 사용됩니다.

• 디바이스가 허용되거나 제한되지 않는지 또는 네트워크 리소스에 대한 액세스가 제한되는지 여부를 결정하는 NAP(네트워크 액세스 보호) 클라이언트 상태 정책을 설정하고 적용합니다.

• 802.1x 지원 무선 액세스 지점 및 이더넷 스위치에 액세스하기 위한 인증 및 권한 부여를 적용할 수 있는 방법을 제공합니다. 자세한 내용은 네트워크 정책 서버를 참조하세요.

보안을 강화하고 높은 수준의 규정 준수를 제공하기 위해 조직은 NPS를 Microsoft Entra 다단계 인증과 통합하여 사용자가 2단계 인증을 통해 VPN 서버의 가상 포트에 연결하도록 할 수 있습니다. 사용자가 액세스 권한을 부여받으려면 자신이 제어할 수 있는 기타 정보와 함께 사용자 이름 및 암호 조합을 제공해야 합니다. 이 정보는 신뢰할 수 있어야 하고 복제하기 어려워야 합니다. 휴대폰 번호, 유선 전화 번호 또는 모바일 디바이스의 애플리케이션이 여기에 포함될 수 있습니다.

조직에서 VPN을 사용하고 사용자가 Authenticator 푸시 알림과 함께 TOTP 코드에 등록된 경우 사용자는 MFA 챌린지를 충족할 수 없으며 원격 로그인이 실패합니다. 이 경우 OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE를 설정하여 푸시 알림을 Authenticator를 사용하는 승인/거부로 대체할 수 있습니다.

NPS 확장이 VPN이 사용자에 대해 계속 작동하려면 이 레지스트리 키를 NPS 서버에 만들어야 합니다. NPS 서버에서 레지스트리 편집기를 엽니다. 다음으로 이동합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

다음 문자열/값 쌍을 만듭니다.

이름: OVERRIDE_NUMBER_MATCHING_WITH_OTP

값 = FALSE

Azure용 NPS 확장을 사용하기 전에 통합된 NPS 및 MFA 환경에 대한 2단계 인증을 구현하려는 고객은 온-프레미스 환경에서 별도의 MFA 서버를 구성하고 유지 관리해야 했습니다. 이 유형의 인증은 RADIUS를 사용하는 원격 데스크톱 게이트웨이 및 Azure Multi-Factor Authentication 서버에서 제공합니다.

조직에서는 Azure용 NPS 확장을 통해 온-프레미스 기반 MFA 솔루션 또는 클라우드 기반 MFA 솔루션을 배포하여 RADIUS 클라이언트 인증을 보호할 수 있습니다.

인증 흐름

사용자는 VPN 서버의 가상 포트에 연결할 때 먼저 다양한 프로토콜을 사용하여 인증을 받아야 합니다. 프로토콜은 사용자 이름 및 암호와 인증서 기반 인증 방법을 조합해서 사용하도록 허용합니다.

ID 인증 및 확인 외에도 사용자는 적절한 전화 접속 권한을 가지고 있어야 합니다. 간단한 구현에서 액세스를 허용하는 전화 접속 권한은 Active Directory 사용자 개체에 직접 설정됩니다.

간단한 구현에서 각 VPN 서버에서 각 로컬 VPN 서버에 정의된 정책에 따라 액세스를 허용하거나 거부합니다.

더 크고 확장성 있는 구현에서는 VPN 액세스를 허용하거나 거부하는 정책이 RADIUS 서버에 중앙 집중화됩니다. 이러한 경우 VPN 서버는 연결 요청 및 계정 메시지를 RADIUS 서버로 전달하는 액세스 서버(RADIUS 클라이언트) 역할을 합니다. VPN 서버의 가상 포트에 연결하려면 사용자를 인증하고 RADIUS 서버에서 중앙 집중식으로 정의된 조건을 충족해야 합니다.

Azure용 NPS 확장을 NPS와 통합한 경우 성공적인 인증 흐름 결과는 다음과 같습니다.

1. VPN 서버에서 원격 데스크톱 세션과 같은 리소스에 연결하기 위해 VPN 사용자로부터 사용자 이름과 암호가 포함된 인증 요청을 받습니다.
2. RADIUS 클라이언트 역할을 하는 VPN 서버에서 해당 요청을 RADIUS 액세스 요청 메시지로 변환하고 NPS 확장이 설치된 RADIUS 서버로 이 메시지(암호가 암호화됨)를 보냅니다.
3. Active Directory에서 사용자 이름과 암호 조합이 확인됩니다. 사용자 이름이나 암호가 올바르지 않으면 RADIUS 서버에서 액세스 거부 메시지를 보냅니다.
4. NPS 연결 요청 및 네트워크 정책에 지정된 모든 조건(예: 시간 또는 그룹 멤버 자격 제한)이 충족되는 경우 NPS 확장에서 Microsoft Entra 다단계 인증을 통한 보조 인증 요청을 트리거합니다.
5. Microsoft Entra 다단계 인증에서 Microsoft Entra ID와 통신하여 사용자의 세부 정보를 검색하고 사용자가 구성한 방법(휴대폰 통화, 문자 메시지 또는 모바일 앱)을 사용하여 보조 인증을 수행합니다.
6. MFA 챌린지가 성공할 경우 Microsoft Entra 다단계 인증은 NPS 확장에 해당 결과를 전달합니다.
7. 연결 시도가 인증되고 권한이 부여된 후에 확장이 설치된 NPS에서 RADIUS 액세스 허용 메시지를 VPN 서버(RADIUS 클라이언트)로 보냅니다.
8. 사용자가 VPN 서버의 가상 포트에 대한 액세스 권한을 부여받고 암호화된 VPN 터널을 설정합니다.

필수 조건

이 섹션에서는 MFA를 VPN과 통합하기 전에 완료해야 하는 필수 구성 요소에 대해 자세히 설명합니다. 이 문서를 시작하기 전에 다음과 같은 필수 조건이 있어야 합니다.

• VPN 인프라
• 네트워크 정책 및 액세스 서비스 역할
• Microsoft Entra 다단계 인증 라이선스
• Windows Server 소프트웨어
• 라이브러리
• 온-프레미스 Active Directory와 동기화된 Microsoft Entra ID
• Microsoft Entra GUID ID

VPN 인프라

이 문서에서는 Microsoft Windows Server 2016을 사용하여 작동 중인 VPN 인프라가 있으며 현재 VPN 서버가 연결 요청을 RADIUS 서버로 전달하도록 구성되지 않았다고 가정합니다. 이 문서에서는 중앙 RADIUS 서버를 사용하도록 VPN 인프라를 구성합니다.

작동 중인 VPN 인프라가 없는 경우 Microsoft 및 타사 사이트에서 찾을 수 있는 다양한 VPN 설정 자습서의 지침에 따라 이 인프라를 빠르게 만들 수 있습니다.

네트워크 정책 및 액세스 서비스 역할

네트워크 정책 및 액세스 서비스는 RADIUS 서버 및 클라이언트 기능을 제공합니다. 이 문서에서는 사용자 환경의 구성원 서버 또는 도메인 컨트롤러에 네트워크 정책 및 액세스 서비스 역할을 설치했다고 가정합니다. 이 가이드에서는 VPN 구성을 위해 RADIUS를 구성합니다. VPN 서버 이외의 서버에 네트워크 정책 및 액세스 서비스 역할을 설치합니다.

Windows Server 2012 이상에서 네트워크 정책 및 액세스 서비스 역할 서비스를 설치하는 방법에 대한 자세한 내용은 NAP 상태 정책 서버 설치를 참조하세요. Windows Server 2016에서는 NAP가 더 이상 사용되지 않습니다. 도메인 컨트롤러에 NPS를 설치하기 위한 권장 사항을 포함하여 NPS에 대한 모범 사례에 대한 자세한 내용은 NPS 모범 사례를 참조하세요.

Windows Server 소프트웨어

NPS 확장을 사용하려면 네트워크 정책 및 액세스 서비스 역할이 설치된 Windows Server 2008 R2 SP1 이상이 필요합니다. 이 가이드의 모든 단계는 Windows Server 2016을 사용하여 수행되었습니다.

라이브러리

다음 라이브러리는 NPS 확장과 함께 자동으로 설치됩니다.

• Visual Studio 2013(X64)용 Visual C++ 재배포 가능 패키지

Microsoft Graph PowerShell 모듈이 아직 없는 경우 설치 프로세스의 일부로 실행하는 구성 스크립트와 함께 설치됩니다. Graph PowerShell을 미리 설치할 필요가 없습니다.

온-프레미스 Active Directory와 동기화된 Microsoft Entra ID

NPS 확장을 사용하려면 온-프레미스 사용자가 Microsoft Entra ID와 동기화되고 MFA를 사용하도록 설정되어야 합니다. 이 가이드에서는 온-프레미스 사용자가 Microsoft Entra Connect를 통해 Microsoft Entra ID와 동기화된다고 가정합니다. 사용자가 MFA를 사용하도록 설정하기 위한 지침은 다음과 같습니다.

Microsoft Entra Connect에 대한 내용은 온-프레미스 디렉터리를 Microsoft Entra ID와 통합을 참조하세요.

Microsoft Entra GUID ID

NPS 확장을 설치하려면 Microsoft Entra ID의 GUID를 알고 있어야 합니다. Microsoft Entra ID의 GUID를 찾기 위한 지침은 다음 섹션에서 제공됩니다.

VPN 연결을 위한 RADIUS 구성

구성원 서버에 NPS 역할을 설치한 경우 VPN 연결을 요청하는 VPN 클라이언트를 인증하고 권한을 부여하도록 구성해야 합니다.

이 섹션에서는 네트워크 정책 및 액세스 서비스 역할을 설치했지만 인프라에서 사용할 수 있도록 구성하지 않았다고 가정합니다.

참고 항목

인증을 위해 중앙 집중식 RADIUS 서버를 통해 작동하는 VPN 서버가 이미 있는 경우 이 섹션을 건너뛸 수 있습니다.

Active Directory에 서버 등록

이 시나리오에서 제대로 작동하려면 NPS 서버를 Active Directory에 등록해야 합니다.

1. 서버 관리자를 엽니다.

2. 서버 관리자에서 도구를 선택하고 네트워크 정책 서버를 선택합니다.

3. 네트워크 정책 서버 콘솔에서 NPS(로컬)를 마우스 오른쪽 단추로 클릭한 다음 Active Directory에 서버 등록을 선택합니다. 확인을 두 번 선택합니다.

   

4. 다음 절차를 위해 콘솔을 열어 둡니다.

마법사를 사용하여 RADIUS 서버 구성

표준(마법사 기반) 또는 고급 구성 옵션을 사용하여 RADIUS 서버를 구성할 수 있습니다. 이 섹션에서는 마법사 기반 표준 구성 옵션을 사용한다고 가정합니다.

1. 네트워크 정책 서버 콘솔에서 NPS(로컬)를 선택합니다.

2. 표준 구성 아래에서 전화 접속 또는 VPN 연결을 위한 RADIUS 서버를 선택한 다음 VPN 또는 전화 접속 구성을 선택합니다.

   

3. 전화 접속 또는 가상 사설망 연결 형식 선택 창에서 가상 사설망 연결을 선택한 후, 다음을 선택합니다.

   

4. 전화 접속 또는 VPN 서버 지정 창에서 추가를 선택합니다.

5. 새 RADIUS 클라이언트 창에서 친숙한 이름을 제공하고, VPN 서버의 확인할 수 있는 이름 또는 IP 주소를 입력한 다음, 공유 비밀 암호를 입력합니다. 이 공유 비밀 암호는 길고 복잡하게 만들고, 다음 섹션에서 필요하므로 적어둡니다.

   

6. 확인을 선택하고 다음을 선택합니다.

7. 인증 방법 구성 창에서 기본 선택 사항(Microsoft 암호화 인증 버전 2(MS-CHAPv2))을 그대로 적용하거나 다른 옵션을 선택하고 다음을 선택합니다.

   참고 항목

   EAP(Extensible Authentication Protocol)를 구성하는 경우 Microsoft CHAPv2(Challenge Handshake Authentication Protocol) 또는 PEAP(Protected Extensible Authentication Protocol)를 사용해야 합니다. 다른 EAP는 지원되지 않습니다.

8. 사용자 그룹 지정 창에서 추가를 선택하고 해당 그룹을 선택합니다. 그룹이 없으면 선택 사항을 비워 두어 모든 사용자에게 액세스 권한을 부여합니다.

   

9. 다음을 선택합니다.

10. IP 필터 지정 창에서 다음을 선택합니다.

11. 암호화 설정 지정 창에서 기본 설정을 적용하고 다음을 선택합니다.

    

12. 영역 이름 지정 창에서 이름을 비워 두고, 기본 설정을 적용하고, 다음을 선택합니다.

    

13. 새 전화 접속 또는 가상 사설망 연결 및 RADIUS 클라이언트 완료 창에서 마침을 선택합니다.

    

RADIUS 구성 확인

이 섹션에서는 마법사를 사용하여 만든 구성에 대해 자세히 설명합니다.

1. 네트워크 정책 서버의 NPS(로컬) 콘솔에서 RADIUS 클라이언트를 펼치고 RADIUS 클라이언트를 선택합니다.

2. 세부 정보 창에서 만든 RADIUS 클라이언트를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. RADIUS 클라이언트(VPN 서버)의 속성은 아래와 같습니다.

   

3. 취소를 선택합니다.

4. 네트워크 정책 서버의 NPS(로컬) 콘솔에서 정책을 펼치고 연결 요청 정책을 선택합니다. 아래 이미지와 같이 VPN 연결 정책이 표시됩니다.

   

5. 정책 아래에서 네트워크 정책을 선택합니다. 아래 이미지의 정책과 비슷한 VPN(가상 사설망) 연결 정책이 표시됩니다.

   

RADIUS 인증을 사용하도록 VPN 서버 구성

이 섹션에서는 VPN 서버에서 RADIUS 인증을 사용하도록 구성합니다. 지침에서는 VPN 서버의 작동하는 구성이 있지만 RADIUS 인증을 사용하도록 구성하지 않았다고 가정합니다. VPN 서버를 구성한 후에 구성이 예상대로 작동하는지 확인합니다.

참고 항목

RADIUS 인증을 통해 작동하는 VPN 서버 구성이 이미 있는 경우 이 섹션을 건너뛸 수 있습니다.

인증 공급자 구성

1. VPN 서버에서 [서버 관리자]를 엽니다.

2. 서버 관리자에서 도구, 라우팅 및 원격 액세스를 차례로 선택합니다.

3. 라우팅 및 원격 액세스 창에서 <서버 이름>(로컬)을 오른쪽 단추로 클릭한 다음 속성을 선택합니다.

4. <서버 이름>(로컬) 속성 창에서 보안 탭을 선택합니다.

5. 보안 탭의 인증 공급자 아래에서 RADIUS 인증, 구성을 차례로 선택합니다.

   

6. RADIUS 인증 창에서 추가를 선택합니다.

7. RADIUS 서버 추가 창에서 다음을 수행합니다.

   1. 서버 이름 상자에서 이전 섹션에서 구성한 RADIUS 서버의 이름 또는 IP 주소를 입력합니다.

   2. 공유 비밀에서 변경을 선택하고 이전에 만들어 기록해 둔 공유 비밀 암호를 입력합니다.

   3. 시간 제한(초) 상자에 60 값을 입력합니다. 무시되는 요청을 최소화하려면 VPN 서버의 시간 제한을 60초 이상으로 구성하는 것이 좋습니다. 필요한 경우 이벤트 로그에서 무시되는 요청을 줄이기 위해 VPN 서버 제한 시간 값을 90초 또는 120초로 늘릴 수 있습니다.

8. 확인을 선택합니다.

VPN 연결 테스트

이 섹션에서는 VPN 가상 포트에 연결하려고 할 때 VPN 클라이언트가 RADIUS 서버에서 인증되고 권한을 부여받았는지 확인합니다. 지침에서는 Windows 10을 VPN 클라이언트로 사용하고 있다고 가정합니다.

참고 항목

이미 VPN 서버에 연결하도록 VPN 클라이언트를 구성하고 해당 설정을 저장한 경우 VPN 연결 개체의 구성 및 저장과 관련된 단계를 건너뛸 수 있습니다.

1. VPN 클라이언트 컴퓨터에서 시작 단추를 선택하고 설정 단추를 선택합니다.

2. Windows 설정 창에서 네트워크 및 인터넷을 선택합니다.

3. VPN을 선택합니다.

4. VPN 연결 추가를 선택합니다.

5. VPN 연결 추가 창의 VPN 공급자 상자에서 Windows(기본 제공)를 선택한 다음 나머지 필드를 적절히 완료하고 저장을 선택합니다.

   

6. 제어판으로 이동한 후 네트워크 및 공유 센터를 선택합니다.

7. 어댑터 설정 변경을 선택합니다.

   

8. VPN 네트워크 연결을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

9. VPN 속성 창에서 보안 탭을 선택합니다.

10. 보안 탭에서 Microsoft CHAP 버전 2(MS-CHAP v2)만 선택했는지 확인하고 확인을 선택합니다.

    

11. VPN 연결을 마우스 오른쪽 단추로 클릭하고 연결을 선택합니다.

12. 설정 창에서 연결을 선택합니다.
    성공적인 연결은 다음과 같이 RADIUS 서버의 보안 로그에 6272 이벤트 ID로 표시됩니다.

    

RADIUS 문제 해결

인증 및 권한 부여를 위해 중앙 집중식 RADIUS 서버를 사용하도록 VPN 서버를 구성하기 전에 VPN 구성이 작동하고 있다고 가정합니다. 구성이 작동하는 경우 RADIUS 서버의 잘못된 구성 또는 잘못된 사용자 이름 또는 암호의 사용으로 인해 문제가 발생한 것일 수 있습니다. 예를 들어 사용자 이름에 대체 UPN 접미사를 사용하는 경우 로그인 시도가 실패할 수 있습니다. 최상의 결과를 얻으려면 동일한 계정 이름을 사용합니다.

이러한 문제를 해결하려면 RADIUS 서버에서 보안 이벤트 로그를 검사하는 것이 가장 이상적입니다. 이벤트 검색 시간을 줄이기 위해 아래와 같이 이벤트 뷰어에서 역할 기반 네트워크 정책 및 액세스 서버 사용자 지정 보기를 사용할 수 있습니다. 6273 이벤트 ID는 NPS에서 사용자에 대한 액세스를 거부한 이벤트를 나타냅니다.

다단계 인증 구성

다단계 인증에 대한 사용자를 구성할 때 도움이 필요한 경우 클라우드 기반 Microsoft Entra 다단계 인증 배포 계획 및 2단계 인증에 내 계정 설정 문서를 참조하세요.

NPS 확장 설치 및 구성

이 섹션에서는 VPN 서버에서 클라이언트 인증에 MFA를 사용하도록 VPN을 구성하는 방법에 대해 설명합니다.

참고 항목

REQUIRE_USER_MATCH 레지스트리 키는 대/소문자를 구분합니다. 모든 값은 대문자 형식으로 설정해야 합니다.

NPS 확장을 설치하고 구성한 후에 MFA를 사용하려면 이 서버에서 모든 RADIUS 기반 클라이언트 인증을 처리해야 합니다. 모든 VPN 사용자가 Microsoft Entra 다단계 인증에 등록되어 있지 않을 경우에 다음 중 하나를 수행할 수 있습니다.

• MFA를 사용하도록 구성되지 않은 사용자를 인증하도록 다른 RADIUS 서버를 설정합니다.

• 챌린지를 받는 사용자가 Microsoft Entra 다단계 인증에 등록된 경우에만 두 번째 인증 요소를 제공할 수 있게 해주는 레지스트리 항목을 만듭니다.

HKLM\SOFTWARE\Microsoft\AzureMfa에 REQUIRE_USER_MATCH라는 새 문자열 값을 만들고 이 값을 TRUE 또는 FALSE로 설정합니다.

값이 TRUE로 설정되거나 비어 있으면 모든 인증 요청은 MFA 챌린지의 영향을 받습니다. 값을 FALSE로 설정하면 MFA 챌린지가 Microsoft Entra 다단계 인증에 등록된 사용자에게만 발급됩니다. 온보딩 기간 동안 테스트 환경 또는 프로덕션 환경에서만 FALSE 설정을 사용합니다.

디렉터리 테넌트 ID 가져오기

NPS 확장 구성의 일부로 관리자 자격 증명과 Microsoft Entra 테넌트의 ID를 제공해야 합니다. 테넌트 ID를 가져오려면 다음 단계를 완료합니다.

1. 전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>설정으로 이동합니다.

   

NPS 확장 설치

NPS 확장은 네트워크 정책 및 액세스 서비스 역할이 설치되고 설계상 RADIUS 서버로 작동하는 서버에 설치해야 합니다. VPN 서버에 NPS 확장을 설치하지 마세요.

1. Microsoft 다운로드 센터에서 NPS 확장을 다운로드합니다.

2. 설치 실행 파일(NpsExtnForAzureMfaInstaller.exe)을 NPS 서버에 복사합니다.

3. NPS 서버에서 NpsExtnForAzureMfaInstaller.exe를 두 번 클릭하고 확인 메시지가 표시되면 실행을 선택합니다.

4. Microsoft Entra 다단계 인증용 NPS 확장 설치 창에서 소프트웨어 사용 조건을 검토하고, 사용 약관에 동의함 확인란을 선택한 다음, 설치를 선택합니다.

   

5. Microsoft Entra 다단계 인증용 NPS 확장 설치 창에서 닫기를 선택합니다.

   

Graph PowerShell 스크립트를 사용하여 NPS 확장에 사용할 인증서 구성

보안 통신 및 보증을 보장하려면 NPS 확장에서 사용할 인증서를 구성합니다. NPS 구성 요소에는 NPS와 함께 사용할 자체 서명된 인증서를 구성하는 Graph PowerShell 스크립트가 포함됩니다.

이 스크립트에서는 다음 작업을 수행합니다.

• 자체 서명된 인증서를 만듭니다.
• 인증서의 공개 키를 Microsoft Entra ID의 서비스 주체에 연결합니다.
• 로컬 컴퓨터 저장소에 인증서를 저장합니다.
• 네트워크 사용자에게 인증서의 프라이빗 키에 대한 액세스 권한을 부여합니다.
• NPS 서비스를 다시 시작합니다.

사용자 고유의 인증서를 사용하려면 인증서의 공개 키를 Microsoft Entra ID의 서비스 주체 등에 연결해야 합니다.

스크립트를 사용하려면 확장에 Microsoft Entra 관리 자격 증명 및 이전에 복사한 Microsoft Entra 테넌트 ID를 제공합니다. 계정은 확장을 사용하도록 설정하려는 것과 동일한 Microsoft Entra 테넌트에 있어야 합니다. NPS 확장을 설치하는 각 NPS 서버에서 스크립트를 실행합니다.

1. 관리자 권한으로 Graph PowerShell을 실행합니다.

2. PowerShell 명령 프롬프트에서 cd "c:\Program Files\Microsoft\AzureMfa\Config"를 입력하고 Enter 키를 누릅니다.

3. 다음 명령 프롬프트에서 .\AzureMfaNpsExtnConfigSetup.ps1을 입력한 다음, Enter를 선택합니다. 스크립트는 Graph PowerShell이 설치되어 있는지 여부를 확인하는 검사. 설치되지 않은 경우 스크립트는 Graph PowerShell을 설치합니다.

   

   TLS로 인해 보안 오류가 발생하면 PowerShell 프롬프트에서 [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 명령을 사용하여 TLS 1.2를 활성화합니다.

   스크립트가 PowerShell 모듈의 설치를 확인한 후 Graph PowerShell 모듈 로그인 창이 표시됩니다.

4. Microsoft Entra 관리자 자격 증명 및 암호를 입력하고 로그인을 선택합니다.

5. 명령 프롬프트에서 이전에 복사한 테넌트 ID를 붙여넣고 Enter 키를 선택합니다.

   

   스크립트에서 자체 서명된 인증서를 만들고 다른 구성 변경 작업을 수행합니다. 다음 이미지와 비슷한 출력이 표시됩니다.

   

6. 서버를 재부팅합니다.

구성 확인

구성을 확인하려면 VPN 서버와의 새 VPN 연결을 설정해야 합니다. 기본 인증을 위한 자격 증명을 성공적으로 입력하면 아래와 같이 VPN 연결에서 연결이 설정되기 전에 보조 인증이 성공할 때까지 대기합니다.

Microsoft Entra 다단계 인증에서 이전에 구성한 보조 확인 방법으로 성공적으로 인증하면 해당 리소스에 연결됩니다. 그러나 보조 인증이 실패하면 리소스에 대한 액세스가 거부됩니다.

다음 예제에서 Windows Phone의 Microsoft Authenticator 앱은 보조 인증을 제공합니다.

보조 인증 방법을 사용하여 성공적으로 인증되면 VPN 서버의 가상 포트에 대한 액세스 권한이 부여됩니다. 신뢰할 수 있는 디바이스에서 모바일 앱을 사용하여 보조 인증 방법을 사용해야 하므로 로그인 프로세스가 사용자 이름 및 암호 조합을 사용하는 경우보다 더 안전합니다.

성공적인 로그인 이벤트에 대한 이벤트 뷰어 로그 보기

Windows 이벤트 뷰어 성공적인 로그인 이벤트를 보려면 다음 이미지와 같이 보안 로그 또는 네트워크 정책 및 Access Services 사용자 지정 보기를 볼 수 있습니다.

Microsoft Entra 다단계 인증용 NPS 확장을 설치한 서버에서 애플리케이션 및 서비스 로그\Microsoft\AzureMfa에 있는 확장과 관련된 이벤트 뷰어 애플리케이션 로그를 찾을 수 있습니다.

문제 해결 가이드

구성이 예상대로 작동하지 않는 경우 사용자가 MFA를 사용하도록 구성되어 있는지 확인하여 문제 해결을 시작합니다. 사용자가 Microsoft Entra 관리 센터에 로그인하도록 합니다. 보조 인증을 요청받았고 성공적으로 인증할 수 있으면 MFA의 잘못된 구성을 제거할 수 있습니다.

MFA가 해당 사용자에 적용되는 경우 관련 이벤트 뷰어 로그를 검토합니다. 로그에는 이전 섹션에서 설명한 보안 이벤트, 게이트웨이 작업 및 Microsoft Entra 다단계 인증 로그가 포함됩니다.

실패한 로그인 이벤트(이벤트 ID 6273)를 표시하는 보안 로그 예제는 다음과 같습니다.

Microsoft Entra 다단계 인증 로그의 관련 이벤트는 다음과 같습니다.

고급 문제 해결을 수행하려면 NPS 서비스가 설치된 NPS 데이터베이스 형식 로그 파일을 참조하세요. 이 로그 파일은 %SystemRoot%\System32\Logs 폴더에 쉼표로 구분된 텍스트 파일로 만들어집니다. 로그 파일에 대한 자세한 내용은 NPS 데이터베이스 형식 로그 파일 해석을 참조하세요.

이러한 로그 파일의 항목은 스프레드시트 또는 데이터베이스로 내보내지 않으면 해석하기 어렵습니다. 온라인에서 로그 파일을 해석하는 데 도움이 되는 많은 IAS(인터넷 인증 서비스) 구문 분석 도구를 찾을 수 있습니다. 다운로드할 수 있는 셰어웨어 애플리케이션의 출력은 다음과 같습니다.

추가적인 문제 해결을 수행하려면 Wireshark 또는 Microsoft Message Analyzer와 같은 프로토콜 분석기를 사용할 수 있습니다. 다음의 Wireshark 이미지에서는 VPN 서버와 NPS 간의 RADIUS 메시지를 보여줍니다.

자세한 내용은 기존 NPS 인프라를 Microsoft Entra 다단계 인증과 통합을 참조하세요.

다음 단계

Microsoft Entra 다단계 인증 받기

RADIUS를 사용한 원격 데스크톱 게이트웨이 및 Azure Multi-Factor Authentication 서버

온-프레미스 디렉터리를 Microsoft Entra ID와 통합합니다.