Zintegruj swoją infrastrukturę Bram Usług Pulpitu Zdalnego przy użyciu rozszerzenia serwera zasad sieciowych (NPS) i Microsoft Entra ID

Ten artykuł zawiera szczegółowe informacje dotyczące integracji infrastruktury bramy usług pulpitu zdalnego z uwierzytelnianiem wieloskładnikowym firmy Microsoft przy użyciu rozszerzenia serwera zasad sieciowych (NPS) dla platformy Microsoft Azure.

Rozszerzenie serwera zasad sieciowych (NPS) dla platformy Azure umożliwia klientom zabezpieczenie uwierzytelniania klienta usługi dial-in (RADIUS) zdalnego uwierzytelniania za pomocą uwierzytelniania wieloskładnikowego opartego na chmurze platformy Azure. To rozwiązanie zapewnia weryfikację dwuetapową w celu dodania drugiej warstwy zabezpieczeń do logowania i transakcji użytkownika.

Ten artykuł zawiera instrukcje krok po kroku dotyczące integrowania infrastruktury nps z uwierzytelnianiem wieloskładnikowym firmy Microsoft przy użyciu rozszerzenia NPS dla platformy Azure. Umożliwia to bezpieczną weryfikację dla użytkowników próbujących zalogować się do bramy usług pulpitu zdalnego.

Uwaga

Ten artykuł nie powinien być używany z wdrożeniami serwera MFA i powinien być używany tylko z wdrożeniami uwierzytelniania wieloskładnikowego firmy Microsoft (opartego na chmurze).

Zasady sieciowe i Usługi programu Access (NPS) umożliwiają organizacjom wykonywanie następujących czynności:

• Zdefiniuj centralne lokalizacje na potrzeby zarządzania i kontroli żądań sieciowych, określając, kto może nawiązać połączenie, jakie są dozwolone czasy połączeń, czas trwania połączeń i poziom zabezpieczeń, których klienci muszą używać do nawiązywania połączenia itd. Zamiast określać te zasady na każdym serwerze bramy usług pulpitu zdalnego lub sieci VPN, te zasady można określić raz w centralnej lokalizacji. Protokół RADIUS zapewnia scentralizowane uwierzytelnianie, autoryzację i księgowość (AAA).
• Ustanów i wymuś zasady kondycji klienta w zakresie ochrony dostępu do sieci, które określają, czy urządzenia mają dostęp nieograniczony lub ograniczony do zasobów sieciowych.
• Podaj metodę wymuszania uwierzytelniania i autoryzacji dostępu do punktów dostępu bezprzewodowego z obsługą standardu 802.1x i przełączników Ethernet.

Zazwyczaj organizacje używają serwera NPS (RADIUS), aby uprościć i scentralizować zarządzanie zasadami sieci VPN. Jednak wiele organizacji korzysta również z NPS, aby uprościć i scentralizować zarządzanie zasadami autoryzacji połączeń pulpitu zdalnego (RD CAPs).

Organizacje mogą również zintegrować serwer NPS z uwierzytelnianiem wieloskładnikowym firmy Microsoft, aby zwiększyć bezpieczeństwo i zapewnić wysoki poziom zgodności. Dzięki temu użytkownicy ustanowią weryfikację dwuetapową w celu zalogowania się do bramy usług pulpitu zdalnego. Aby użytkownicy mieli dostęp, muszą podać kombinację nazwy użytkownika/hasła wraz z informacjami, które użytkownik ma w swojej kontroli. Te informacje muszą być zaufane i nie są łatwo duplikowane, takie jak numer telefonu komórkowego, numer telefonu stacjonarnego, aplikacja na urządzeniu przenośnym itd. Usługa RDG obecnie obsługuje połączenia telefoniczne oraz powiadomienia wypychane "zatwierdź/odrzuć" z aplikacji Microsoft Authenticator dla 2FA. Aby uzyskać więcej informacji na temat obsługiwanych metod uwierzytelniania, zobacz sekcję Określanie metod uwierzytelniania, których użytkownicy mogą używać.

Jeśli Twoja organizacja używa bramy pulpitu zdalnego, a użytkownik jest zarejestrowany do kodu TOTP wraz z powiadomieniami wypychanymi przez aplikację Authenticator, użytkownik nie może sprostać wymogom MFA, a logowanie do bramy pulpitu zdalnego kończy się niepowodzeniem. W takim przypadku można zastąpić to zachowanie, tworząc nowy klucz rejestru (OVERRIDE_NUMBER_MATCHING_WITH_OTP), aby w razie potrzeby użyć powiadomień push do zatwierdzenia/odrzucenia za pomocą Authenticator. Aby wykonać to zadanie, postępuj zgodnie z procedurą dopasowywania numerów nadpisania rozszerzenia NPS, zakładając, że ostateczna wartość będzie OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE.

Przed udostępnieniem rozszerzenia serwera NPS dla platformy Azure klienci, którzy chcieli zaimplementować weryfikację dwuetapową dla zintegrowanych środowisk NPS i Microsoft Entra multifactor authentication, musieli skonfigurować i zachować oddzielny serwer MFA w środowisku lokalnym, zgodnie z opisem w artykule Remote Desktop Gateway i Azure Multi-Factor Authentication Server using RADIUS.

Dostępność rozszerzenia serwera NPS dla platformy Azure umożliwia teraz organizacjom wdrożenie lokalnego rozwiązania MFA lub opartego na chmurze rozwiązania MFA w celu zabezpieczenia uwierzytelniania klienta usługi RADIUS.

Przepływ uwierzytelniania

Aby użytkownicy mieli dostęp do zasobów sieciowych za pośrednictwem bramy usług pulpitu zdalnego, muszą spełniać warunki określone w jednej zasadzie autoryzacji połączeń usług pulpitu zdalnego (RD CAP) i jednej zasadzie autoryzacji zasobów usług pulpitu zdalnego (RD RAP). Dostawcy usług pulpitu zdalnego określają, kto ma uprawnienia do łączenia się z bramami usług pulpitu zdalnego. RD RAPs określają zasoby sieciowe, takie jak pulpity zdalne lub aplikacje zdalne, z którymi użytkownik może nawiązać połączenie za pośrednictwem bramy RD.

Bramę usług pulpitu zdalnego można skonfigurować do używania centralnego magazynu zasad dla dostawców usług pulpitu zdalnego. Zasady autoryzacji zasobów usług pulpitu zdalnego (RD RAP) nie mogą używać centralnych zasad, ponieważ są przetwarzane na bramie usług pulpitu zdalnego. Przykładem bramy usług pulpitu zdalnego skonfigurowanej do używania centralnego repozytorium zasad dla zasad autoryzacji połączeń RD jest klient RADIUS na innym serwerze NPS, który służy jako centralne repozytorium zasad.

Gdy rozszerzenie serwera NPS dla platformy Azure jest zintegrowane z serwerem NPS i bramą usług pulpitu zdalnego, pomyślny przepływ uwierzytelniania jest następujący:

1. Serwer bramy usług pulpitu zdalnego odbiera żądanie uwierzytelnienia od użytkownika pulpitu zdalnego w celu nawiązania połączenia z zasobem, takim jak sesja pulpitu zdalnego. Działając jako klient RADIUS, brama Pulpitu Zdalnego konwertuje żądanie na komunikat RADIUS Access-Request i wysyła ten komunikat do serwera RADIUS (NPS), na którym zainstalowano rozszerzenie serwera NPS.
2. Kombinacja nazwy użytkownika i hasła jest weryfikowana w usłudze Active Directory, a użytkownik jest uwierzytelniany.
3. Jeśli wszystkie warunki określone w żądaniu połączenia NPS i zasadach sieciowych są spełnione (na przykład ograniczenia dotyczące pory dnia lub członkostwa w grupach), rozszerzenie NPS wyzwala żądanie uwierzytelniania pomocniczego za pomocą uwierzytelniania wieloskładnikowego Microsoft Entra.
4. Uwierzytelnianie wieloskładnikowe firmy Microsoft komunikuje się z identyfikatorem Entra firmy Microsoft, pobiera szczegóły użytkownika i wykonuje uwierzytelnianie pomocnicze przy użyciu obsługiwanych metod.
5. Po pomyślnym zakończeniu wyzwania wieloskładnikowego uwierzytelniania Microsoft Entra przekazuje wynik do rozszerzenia NPS.
6. Serwer NPS, na którym zainstalowano rozszerzenie, wysyła komunikat RADIUS Access-Accept w ramach polityki RD CAP do serwera bramy Pulpitu Zdalnego.
7. Użytkownik uzyskuje dostęp do żądanego zasobu sieciowego za pośrednictwem Bramy RD.

Wymagania wstępne

Ta sekcja zawiera szczegółowe informacje o wymaganiach wstępnych niezbędnych przed zintegrowaniem uwierzytelniania wieloskładnikowego firmy Microsoft z bramą usług pulpitu zdalnego. Przed rozpoczęciem należy dysponować następującymi wymaganiami wstępnymi.

• Infrastruktura usług pulpitu zdalnego (RDS)
• Licencja uwierzytelniania wieloskładnikowego firmy Microsoft Entra
• Oprogramowanie systemu Windows Server
• Rola zasad sieciowych i usług dostępu (NPS)
• Microsoft Entra zsynchronizowana z lokalnym Active Directory
• Identyfikator GUID entra firmy Microsoft

Infrastruktura usług pulpitu zdalnego (RDS)

Musisz mieć działającą infrastrukturę usług pulpitu zdalnego (RDS). Jeśli tego nie zrobisz, możesz szybko utworzyć tę infrastrukturę na platformie Azure, korzystając z następującego szablonu Quickstart: Utworzenie wdrożenia kolekcji sesji Pulpitu Zdalnego.

Jeśli chcesz szybko ręcznie utworzyć lokalną infrastrukturę usług pulpitu zdalnego na potrzeby testowania, wykonaj poniższe kroki, aby ją wdrożyć. Dowiedz się więcej: Wdrażanie usług pulpitu zdalnego za pomocą Szybki Start platformy Azure i Podstawowe wdrożenie infrastruktury usług pulpitu zdalnego.

Oprogramowanie systemu Windows Server

Rozszerzenie NPS wymaga systemu Windows Server 2008 R2 SP1 lub nowszego z zainstalowaną usługą roli NPS. Wszystkie kroki opisane w tej sekcji zostały wykonane przy użyciu systemu Windows Server 2016.

Rola zasad sieciowych i usług dostępu (NPS)

Usługa roli serwera NPS udostępnia funkcje serwera i klienta RADIUS oraz usługę kontroli kondycji zasad dostępu do sieci. Ta rola musi być zainstalowana na co najmniej dwóch komputerach w infrastrukturze: brama usług pulpitu zdalnego i inny serwer członkowski lub kontroler domeny. Domyślnie rola jest już obecna na komputerze skonfigurowanym jako brama usług pulpitu zdalnego. Należy również zainstalować rolę NPS na co najmniej innym komputerze, takim jak kontroler domeny lub serwer członkowski.

Aby uzyskać informacje na temat instalowania roli serwera NPS w systemie Windows Server 2012 lub starszym, patrz Instalacja serwera zasad kondycji NAP. Opis najlepszych rozwiązań dotyczących serwera NPS, w tym zalecenie dotyczące instalowania serwera NPS na kontrolerze domeny, zawiera artykuł Best Practices for NPS (Najlepsze rozwiązania dotyczące serwera NPS).

Microsoft Entra zsynchronizowana z lokalnym Active Directory

Aby korzystać z rozszerzenia NPS, użytkownicy lokalni muszą być zsynchronizowani z Microsoft Entra ID i obsługiwani dla MFA. W tej sekcji założono, że użytkownicy lokalni są synchronizowani z identyfikatorem Entra firmy Microsoft przy użyciu programu AD Connect. Aby uzyskać informacje na temat programu Microsoft Entra Connect, zobacz Integrowanie katalogów lokalnych z identyfikatorem Entra firmy Microsoft.

Identyfikator GUID entra firmy Microsoft

Aby zainstalować rozszerzenie NPS, musisz znać identyfikator GUID Microsoft Entra ID. Poniżej znajdują się instrukcje dotyczące znajdowania identyfikatora GUID Microsoft Entra ID.

Konfiguracja uwierzytelniania wieloskładnikowego

Ta sekcja zawiera instrukcje dotyczące integrowania uwierzytelniania wieloskładnikowego firmy Microsoft z bramą usług pulpitu zdalnego. Jako administrator musisz skonfigurować usługę uwierzytelniania wieloskładnikowego firmy Microsoft, zanim użytkownicy będą mogli samodzielnie rejestrować swoje urządzenia lub aplikacje wieloskładnikowe.

Wykonaj kroki opisane w artykule Wprowadzenie do uwierzytelniania wieloskładnikowego firmy Microsoft w chmurze, aby włączyć uwierzytelnianie wieloskładnikowe dla użytkowników firmy Microsoft Entra.

Konfigurowanie kont na potrzeby weryfikacji dwuetapowej

Po włączeniu konta dla uwierzytelniania wieloskładnikowego nie można zalogować się do zasobów podlegających zasadom uwierzytelniania wieloskładnikowego, dopóki nie zostanie pomyślnie skonfigurowane zaufane urządzenie do użycia na potrzeby drugiego czynnika uwierzytelniania i uwierzytelnione przy użyciu weryfikacji dwuetapowej.

Wykonaj kroki opisane w temacie Co oznacza uwierzytelnianie wieloskładnikowe firmy Microsoft? aby zrozumieć i prawidłowo skonfigurować urządzenia na potrzeby uwierzytelniania wieloskładnikowego przy użyciu konta użytkownika.

Ważne

Zachowanie logowania dla Bramy Pulpitu Zdalnego nie zapewnia opcji wprowadzenia kodu weryfikacyjnego przy użyciu wieloskładnikowego uwierzytelniania firmy Microsoft Entra. Konto użytkownika musi być skonfigurowane dla weryfikacji telefonicznej lub aplikacji Microsoft Authenticator z powiadomieniami typu Zatwierdź/Odrzuć.

Jeśli dla użytkownika nie skonfigurowano weryfikacji telefonu ani aplikacji Microsoft Authenticator z powiadomieniami wypychanymi Zaakceptuj/Odrzuć, użytkownik nie będzie mógł ukończyć procesu uwierzytelniania wieloskładnikowego Microsoft Entra ani zalogować się do Remote Desktop Gateway.

Metoda tekstowa programu SMS nie działa z bramą usług pulpitu zdalnego, ponieważ nie udostępnia opcji wprowadzenia kodu weryfikacyjnego.

Instalowanie i konfigurowanie rozszerzenia serwera NPS

Ta sekcja zawiera instrukcje dotyczące konfigurowania infrastruktury RDS do użycia uwierzytelniania wieloskładnikowego Microsoft Entra na potrzeby uwierzytelniania klienta za pomocą bramy usług pulpitu zdalnego.

Uzyskiwanie identyfikatora dzierżawy katalogu

W ramach konfiguracji rozszerzenia NPS należy podać poświadczenia administratora i identyfikator dzierżawy Microsoft Entra. Aby uzyskać identyfikator dzierżawy, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra.

2. Przejdź do Entra ID>Przegląd>Właściwości.

   

Instalowanie rozszerzenia serwera NPS

Zainstaluj rozszerzenie NPS na serwerze z zainstalowaną rolą zasad sieciowych i dostępu (NPS). To działa jako serwer RADIUS dla projektu.

Ważne

Nie instaluj rozszerzenia NPS na serwerze bramy usług pulpitu zdalnego (RDG). Serwer RDG nie używa protokołu RADIUS z klientem, więc rozszerzenie nie może interpretować i wykonywać uwierzytelniania wieloskładnikowego.

Gdy serwer RDG i serwer NPS z rozszerzeniem NPS są różnymi serwerami, RDG używa serwera NPS wewnętrznie do komunikacji z innymi serwerami NPS i używa protokołu RADIUS do poprawnej komunikacji.

1. Pobierz rozszerzenie serwera NPS.
2. Skopiuj plik wykonywalny instalatora (NpsExtnForAzureMfaInstaller.exe) na serwer NPS.
3. Na serwerze NPS wybierz dwukrotnie NpsExtnForAzureMfaInstaller.exe. Jeśli zostanie wyświetlony monit, wybierz pozycję Uruchom.
4. W oknie dialogowym Konfiguracja rozszerzenia NPS dla uwierzytelniania wieloskładnikowego Microsoft Entra zapoznaj się z warunkami licencji oprogramowania, zaznacz Akceptuję warunki licencji i wybierz Zainstaluj.
5. W oknie dialogowym NPS Extension For Microsoft Entra multifactor authentication Setup wybierz pozycję Zamknij.

Konfigurowanie certyfikatów do użycia z rozszerzeniem serwera NPS przy użyciu skryptu programu PowerShell

Następnie należy skonfigurować certyfikaty do użycia przez rozszerzenie serwera NPS, aby zapewnić bezpieczną komunikację i pewność. Składniki serwera NPS zawierają skrypt programu PowerShell, który konfiguruje certyfikat z podpisem własnym do użycia z serwerem NPS.

Skrypt wykonuje następujące akcje:

• Tworzy certyfikat z podpisem własnym
• Kojarzy klucz publiczny certyfikatu z jednostką usługi w identyfikatorze Entra firmy Microsoft
• Przechowuje certyfikat w magazynie komputera lokalnego
• Udziela dostępu do klucza prywatnego certyfikatu użytkownikowi sieciowemu
• Uruchamia ponownie usługę serwera zasad sieciowych

Jeśli chcesz użyć własnych certyfikatów, musisz skojarzyć klucz publiczny certyfikatu z jednostką usługi w identyfikatorze Entra firmy Microsoft itd.

Aby użyć skryptu, udostępnij rozszerzeniu swoje poświadczenia administratora Microsoft Entra oraz skopiowany wcześniej identyfikator dzierżawy Microsoft Entra. Uruchom skrypt na każdym serwerze NPS, na którym zainstalowano rozszerzenie serwera NPS. Następnie wykonaj poniższe czynności:

1. Otwórz administracyjny monit programu Windows PowerShell.

2. W wierszu polecenia programu PowerShell wpisz cd 'c:\Program Files\Microsoft\AzureMfa\Config', a następnie naciśnij ENTER.

3. Wpisz .\AzureMfaNpsExtnConfigSetup.ps1, a następnie naciśnij ENTER. Skrypt sprawdza, czy moduł programu PowerShell jest zainstalowany. Jeśli nie zostanie zainstalowany, skrypt zainstaluje moduł.

   

4. Po zweryfikowaniu instalacji modułu programu PowerShell przez skrypt zostanie wyświetlone okno dialogowe modułu programu PowerShell. W oknie dialogowym wprowadź swoje poświadczenia administratora i hasło firmy Microsoft Entra, a następnie wybierz pozycję Zaloguj.

5. Po wyświetleniu monitu wklej wcześniej skopiowany identyfikator dzierżawy do schowka i naciśnij ENTER.

   

6. Skrypt tworzy certyfikat z podpisem własnym i wykonuje inne zmiany konfiguracji.

Konfigurowanie składników serwera NPS w bramie usług pulpitu zdalnego

W tej sekcji skonfigurujesz polityki autoryzacji połączenia Bram Pulpitu Zdalnego i inne ustawienia usługi RADIUS.

Proces uwierzytelniania wymaga wymiany komunikatów RADIUS między bramą Pulpitu Zdalnego a serwerem NPS, na którym zainstalowano rozszerzenie NPS. Oznacza to, że należy skonfigurować ustawienia klienta usługi RADIUS zarówno na bramie usług pulpitu zdalnego, jak i na serwerze NPS, na którym zainstalowano rozszerzenie serwera NPS.

Skonfiguruj zasady autoryzacji połączeń w Bramie Usług Pulpitu Zdalnego, aby korzystały z centralnego magazynu

Zasady autoryzacji połączeń usług pulpitu zdalnego (RDPS) określają wymagania dotyczące nawiązywania połączenia z serwerem bramy usług pulpitu zdalnego. Zasady dostępu do Pulpitu zdalnego (RD CAP) mogą być przechowywane lokalnie (domyślnie) lub w centralnym magazynie zasad RD CAP, gdzie działa serwer NPS. Aby skonfigurować integrację usługi Microsoft Entra multifactor authentication z usługą RDS, należy określić użycie centralnego magazynu.

1. Na serwerze bramy usług pulpitu zdalnego otwórz Menedżera serwera.

2. W menu wybierz pozycję Narzędzia, wskaż pozycję Usługi pulpitu zdalnego, a następnie wybierz pozycję Menedżer bramy usług pulpitu zdalnego.

3. W Menedżerze bramy RD kliknij prawym przyciskiem myszy [Nazwa serwera] (lokalna) i wybierz opcję Właściwości.

4. W oknie dialogowym Właściwości wybierz kartę Magazyn CAP RD.

5. Na karcie Sklep RD CAP wybierz pozycję centralny serwer działający z NPS.

6. W polu Wprowadź nazwę lub adres IP serwera z uruchomionym serwerem NPS wpisz adres IP lub nazwę serwera serwera, na którym zainstalowano rozszerzenie serwera NPS.

   

7. Wybierz pozycję Dodaj.

8. W oknie dialogowym Klucz tajny wprowadź wspólny klucz tajny, a następnie wybierz OK. Upewnij się, że zapisujesz ten wspólny sekret i przechowujesz go bezpiecznie.

   Uwaga

   Wspólny sekret służy do ustanawiania zaufania między serwerami RADIUS a klientami. Utwórz długą i złożoną tajemnicę.

   

9. Wybierz przycisk OK , aby zamknąć okno dialogowe.

Konfigurowanie wartości limitu czasu usługi RADIUS na serwerze NPS bramy usług pulpitu zdalnego

Aby upewnić się, że istnieje czas na zweryfikowanie poświadczeń użytkowników, przeprowadzenie weryfikacji dwuetapowej, odbieranie odpowiedzi i reagowanie na komunikaty usługi RADIUS, należy dostosować wartość limitu czasu usługi RADIUS.

1. Na serwerze RD Gateway otwórz Server Manager. W menu wybierz pozycję Narzędzia, a następnie wybierz pozycję Serwer zasad sieciowych.

2. rozwiń Klienci i serwery RADIUS, a następnie wybierz Zdalny serwer RADIUS.

   

3. W okienku szczegółów wybierz dwukrotnie pozycję GRUPA SERWERÓW BRAMY TS.

   Uwaga

   Ta grupa serwerów RADIUS została utworzona podczas konfigurowania serwera głównego dla zasad NPS. Brama usług pulpitu zdalnego przekazuje komunikaty RADIUS do tego serwera lub grupy serwerów, jeśli w grupie znajduje się więcej niż jeden.

4. W oknie dialogowym Właściwości GRUPY SERWERA BRAMY TS wybierz adres IP lub nazwę serwera NPS skonfigurowanego do przechowywania zasad dostępności RD, a następnie wybierz pozycję Edytuj.

   

5. W oknie dialogowym Edytowanie serwera RADIUS wybierz kartę Równoważenie obciążenia .

6. Na karcie Równoważenie obciążenia w polu Liczba sekund bez odpowiedzi, zanim żądanie zostanie uznane za porzucone , zmień wartość domyślną z 3 na wartość z zakresu od 30 do 60 sekund.

7. W polu Liczba sekund między żądaniami, gdy serwer jest identyfikowany jako niedostępne pole, zmień wartość domyślną 30 sekund na wartość, która jest równa lub większa niż wartość określona w poprzednim kroku.

   

8. Wybierz przycisk OK dwa razy, aby zamknąć okna dialogowe.

Weryfikowanie zasad żądań połączeń

Domyślnie, gdy konfiguruje się bramę RD do używania centralnego magazynu zasad dla polityk autoryzacji połączeń, brama RD jest skonfigurowana do przekazywania żądań CAP do serwera NPS. Serwer NPS z zainstalowanym rozszerzeniem uwierzytelniania wieloskładnikowego firmy Microsoft przetwarza żądanie dostępu usługi RADIUS. W poniższych krokach pokazano, jak zweryfikować domyślne zasady żądań połączenia.

1. W bramie usług pulpitu zdalnego, w konsoli NPS (lokalnej), rozwiń sekcję Zasady i wybierz pozycję Zasady żądań połączeń.

2. Wybierz dwukrotnie ZASADY AUTORYZACJI BRAMY TS.

3. W oknie dialogowym właściwości ZASAD AUTORYZACJI BRAMY TS przejdź do karty Ustawienia.

4. Na karcie Ustawienia w obszarze Przekazywanie żądania połączenia wybierz pozycję Uwierzytelnianie. Klient radius jest skonfigurowany do przekazywania żądań na potrzeby uwierzytelniania.

   

5. Wybierz pozycję Anuluj.

Uwaga

Aby uzyskać więcej informacji na temat tworzenia zasad żądania połączenia, zobacz artykuł Konfigurowanie zasad żądań połączeń dla tego samego.

Konfigurowanie serwera NPS na serwerze, na którym zainstalowano rozszerzenie serwera NPS

Serwer NPS, na którym zainstalowano rozszerzenie serwera NPS, musi mieć możliwość wymiany komunikatów RADIUS z serwerem NPS na bramie usług pulpitu zdalnego. Aby włączyć tę wymianę komunikatów, należy skonfigurować składniki serwera NPS na serwerze, na którym zainstalowano usługę rozszerzenia serwera NPS.

Rejestrowanie serwera w usłudze Active Directory

Aby działać prawidłowo w tym scenariuszu, serwer NPS musi być zarejestrowany w usłudze Active Directory.

1. Na serwerze NPS otwórz Menedżera serwera.

2. W Menedżerze serwera wybierz pozycję Narzędzia, a następnie wybierz pozycję Serwer zasad sieciowych.

3. W konsoli serwera zasad sieciowych wybierz prawym przyciskiem pozycję NPS (lokalny), a następnie wybierz pozycję Zarejestruj serwer w usłudze Active Directory.

4. Wybierz przycisk OK dwa razy.

   

5. Pozostaw konsolę otwartą dla następnej procedury.

Tworzenie i konfigurowanie klienta usługi RADIUS

Brama usług pulpitu zdalnego musi być skonfigurowana jako klient RADIUS na serwerze NPS.

1. Na serwerze NPS, na którym zainstalowano rozszerzenie serwera NPS, w konsoli serwera NPS (lokalnego) wybierz prawym przyciskiem myszy pozycję Klienci radius i wybierz pozycję Nowy.

   

2. W oknie dialogowym Nowy klient RADIUS podaj przyjazną nazwę, taką jak brama, oraz adres IP lub nazwę DNS serwera bramy usług pulpitu zdalnego.

3. W polach Wspólny wpis tajny i Potwierdź wspólny klucz tajny wprowadź ten sam wpis tajny, który był wcześniej używany.

   

4. Wybierz przycisk OK , aby zamknąć okno dialogowe Nowy klient RADIUS.

Konfigurowanie zasad sieciowych

Pamiętaj, że serwer NPS z rozszerzeniem uwierzytelniania wieloskładnikowego firmy Microsoft jest wyznaczonym centralnym magazynem zasad dla zasad autoryzacji połączeń (CAP). W związku z tym należy zaimplementować cap na serwerze NPS, aby autoryzować prawidłowe żądania połączeń.

1. Na serwerze NPS otwórz konsolę NPS (lokalną), rozwiń Zasady i wybierz pozycję Zasady sieciowe.

2. Wybierz prawym przyciskiem pozycję Połączenia z innymi serwerami dostępu, a następnie wybierz pozycję Duplikuj zasady.

   

3. Wybierz prawym przyciskiem pozycję Kopiuj połączenia do innych serwerów dostępu, a następnie wybierz pozycję Właściwości.

4. W oknie dialogowym Kopiowanie połączeń z innymi serwerami dostępu, w polu Nazwa zasad, wprowadź odpowiednią nazwę, taką jak RDG_CAP. Zaznacz pozycję Zasady włączone i wybierz pozycję Udziel dostępu. Opcjonalnie w polu Typ serwera dostępu do sieci wybierz pozycję Brama usług pulpitu zdalnego lub możesz pozostawić go jako nieokreślony.

   

5. Wybierz kartę Ograniczenia i zaznacz pole wyboru Zezwalaj klientom na nawiązywanie połączenia bez negocjowania metody uwierzytelniania.

   

6. Opcjonalnie wybierz kartę warunki i dodaj warunki, które muszą zostać spełnione, aby połączenie było autoryzowane, na przykład członkostwo w określonej grupie systemu Windows.

   

7. Wybierz przycisk OK. Po wyświetleniu monitu o wyświetlenie odpowiedniego tematu Pomocy wybierz pozycję Nie.

8. Upewnij się, że nowe zasady znajdują się w górnej części listy, że zasady są włączone i że udzielają dostępu.

   

Weryfikowanie konfiguracji

Aby zweryfikować konfigurację, musisz zalogować się do bramy usług pulpitu zdalnego przy użyciu odpowiedniego klienta RDP. Pamiętaj, aby użyć konta, które jest dozwolone przez zasady autoryzacji połączeń i z włączonym uwierzytelnianiem wieloskładnikowym firmy Microsoft Entra.

Jak pokazano na poniższej ilustracji, możesz użyć strony Dostęp do sieci Web pulpitu zdalnego .

Po pomyślnym wprowadzeniu poświadczeń do uwierzytelniania podstawowego, okno dialogowe Podłączanie pulpitu zdalnego wyświetla stan "Inicjowanie połączenia zdalnego", jak pokazano w poniższej sekcji.

Jeśli pomyślnie uwierzytelniono się przy użyciu pomocniczej metody uwierzytelniania, która została wcześniej skonfigurowana w usłudze Microsoft Entra multifactor authentication, masz połączenie z zasobem. Jeśli jednak uwierzytelnianie pomocnicze nie powiedzie się, odmówiono ci dostępu do zasobu.

W poniższym przykładzie aplikacja Authenticator na telefonie z systemem Windows jest używana do zapewnienia uwierzytelniania pomocniczego.

Po pomyślnym uwierzytelnieniu przy użyciu dodatkowej metody uwierzytelniania zostaniesz zalogowany do bramy Pulpitu Zdalnego jak zwykle. Jednak ponieważ wymagane jest użycie pomocniczej metody uwierzytelniania przy użyciu aplikacji mobilnej na zaufanym urządzeniu, proces logowania jest bezpieczniejszy niż w przeciwnym razie.

Wyświetlanie dzienników Podglądu zdarzeń dla pomyślnych logowań

Aby wyświetlić pomyślne zdarzenia logowania w dziennikach Podglądu zdarzeń systemu Windows, możesz wydać następujące polecenie programu PowerShell, aby sprawdzić Usługi terminalowe systemu Windows i dzienniki zabezpieczeń systemu Windows.

Aby wykonywać zapytania dotyczące zdarzeń logowania zakończonych powodzeniem w dziennikach operacyjnych bramy (Podgląd zdarzeń\Dzienniki aplikacji i usług\Microsoft\Windows\TerminalServices-Gateway\Operational), użyj następujących poleceń programu PowerShell:

• Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '300'} | FL
• To polecenie wyświetla zdarzenia systemu Windows, które pokazują, że użytkownik spełnił wymagania zasad autoryzacji zasobów (RD RAP) i otrzymał dostęp.

• Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '200'} | FL
• To polecenie wyświetla zdarzenia, które są wyświetlane, gdy użytkownik spełnia wymagania zasad autoryzacji połączenia.

Możesz również wyświetlić ten dziennik i filtrować według identyfikatorów zdarzeń: 300 i 200. Aby wysłać zapytanie dotyczące zdarzeń logowania zakończonych powodzeniem w dziennikach podglądu zdarzeń zabezpieczeń, użyj następującego polecenia:

• Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL
• To polecenie można uruchomić na centralnym serwerze NPS lub na serwerze bramy usług pulpitu zdalnego.

Możesz również wyświetlić dziennik zabezpieczeń lub widok niestandardowy usług zasad sieciowych i dostępu:

Na serwerze, na którym zainstalowano rozszerzenie NPS dla uwierzytelniania wieloskładnikowego Microsoft Entra, możesz znaleźć dzienniki aplikacji Podgląd Zdarzeń specyficzne dla tego rozszerzenia w obszarze Dzienniki aplikacji i usług\Microsoft\AzureMfa.

Przewodnik rozwiązywania problemów

Jeśli konfiguracja nie działa zgodnie z oczekiwaniami, pierwszym miejscem do rozpoczęcia rozwiązywania problemów jest sprawdzenie, czy użytkownik jest skonfigurowany do korzystania z uwierzytelniania wieloskładnikowego firmy Microsoft Entra. Zaloguj się do centrum administracyjnego firmy Microsoft Entra. Jeśli użytkownicy są monitowani o pomocniczą weryfikację i mogą pomyślnie uwierzytelnić się, możesz wyeliminować nieprawidłową konfigurację uwierzytelniania wieloskładnikowego firmy Microsoft Entra.

Jeśli uwierzytelnianie wieloskładnikowe firmy Microsoft działa dla użytkowników, należy przejrzeć odpowiednie dzienniki zdarzeń. Obejmują one Zdarzenia zabezpieczeń, operacyjność bramy oraz dzienniki uwierzytelniania wieloskładnikowego Microsoft Entra omówione w poprzedniej sekcji.

Zobacz następujące przykładowe dane wyjściowe dziennika zabezpieczeń z wyświetlonym zdarzeniem logowania, które zakończyło się niepowodzeniem (zdarzenie o identyfikatorze 6273).

Poniżej przedstawiono powiązane zdarzenie z dzienników usługi AzureMFA:

Aby wykonać zaawansowane opcje rozwiązywania problemów, zapoznaj się z plikami dziennika formatu bazy danych NPS, w których zainstalowano usługę NPS. Te pliki dziennika są tworzone w folderze%SystemRoot%\System32\Logs jako pliki tekstowe rozdzielane przecinkami.

Opis tych plików dziennika można znaleźć w temacie Interpretowanie plików dziennika formatu bazy danych NPS. Wpisy w tych plikach dziennika mogą być trudne do zinterpretowania bez importowania ich do arkusza kalkulacyjnego lub bazy danych. Kilka analizatorów IAS można znaleźć w trybie online, aby ułatwić interpretowanie plików dziennika.

Na poniższej ilustracji przedstawiono dane wyjściowe jednej z takich aplikacji typu shareware.

Następne kroki

Jak uzyskać uwierzytelnianie wieloskładnikowe firmy Microsoft

Brama Pulpitu Zdalnego i Serwer Azure Multi-Factor Authentication przy użyciu RADIUS

Integrowanie katalogów lokalnych z identyfikatorem Entra firmy Microsoft