Integre a sua infraestrutura Remote Desktop Gateway utilizando a extensão do Servidor de Política de Rede (NPS) e Azure AD

Este artigo fornece detalhes para integrar a sua infraestrutura Remote Desktop Gateway com Azure AD Autenticação Multi-Factor (MFA) utilizando a extensão do Servidor de Política de Rede (NPS) para Microsoft Azure.

A extensão do Servidor de Política de Rede (NPS) para o Azure permite que os clientes protejam a autenticação do cliente do Serviço de Acesso ao Utilizador (RADIUS) de Autenticação Remota usando a autenticação multi-factor (MFA) baseada na nuvem da Azure. Esta solução fornece uma verificação em duas etapas para adicionar uma segunda camada de segurança às entradas e transações do utilizador.

Este artigo fornece instruções passo a passo para a integração da infraestrutura NPS com Azure AD MFA utilizando a extensão NPS para Azure. Isto permite uma verificação segura para os utilizadores que tentam iniciar sing a um Gateway de Secretária remoto.

Nota

Este artigo não deve ser utilizado com implementações do MFA Server e deve ser utilizado apenas com Azure AD implementações MFA (baseadas em nuvem).

A Política de Rede e Serviços de Acesso (NPS) dá às organizações a capacidade de fazer o seguinte:

  • Defina as localizações centrais para a gestão e controlo de pedidos de rede, especificando quem pode ligar, que horas são permitidas as ligações do dia, a duração das ligações e o nível de segurança que os clientes devem utilizar para se conectarem, e assim por diante. Em vez de especificar estas políticas em cada servidor gateway VPN ou Remote Desktop (RD), estas políticas podem ser especificadas uma vez num local central. O protocolo RADIUS fornece a Autenticação Centralizada, Autorização e Contabilidade (AAA).
  • Estabeleça e aplique políticas de saúde do cliente (NAP) que determinam se os dispositivos são concedidos sem restrições ou acesso restrito aos recursos de rede.
  • Forneça um meio para impor a autenticação e autorização de acesso a pontos de acesso sem fios 802.1x e comutadores Ethernet.

Tipicamente, as organizações usam NPS (RADIUS) para simplificar e centralizar a gestão das políticas VPN. No entanto, muitas organizações também usam NPS para simplificar e centralizar a gestão das Políticas de Autorização de Ligação de Ambiente de Trabalho RD (CAPs RD).

As organizações também podem integrar NPS com Azure AD MFA para aumentar a segurança e fornecer um alto nível de conformidade. Isto ajuda a garantir que os utilizadores estabeleçam uma verificação em duas etapas para iniciar sinsus no Gateway de Ambiente de Trabalho Remoto. Para que os utilizadores tenham acesso, devem fornecer o seu nome de utilizador/combinação de palavra-passe, juntamente com as informações que o utilizador tem no seu controlo. Estas informações devem ser fidedignas e não facilmente duplicadas, tais como um número de telemóvel, número fixo, aplicação num dispositivo móvel, e assim por diante. A RDG suporta atualmente notificações de chamadas telefónicas e push de Microsoft métodos de aplicação de autenticação para 2FA. Para obter mais informações sobre métodos de autenticação suportados consulte a secção Determinar quais os métodos de autenticação que os seus utilizadores podem utilizar.

Antes da disponibilidade da extensão NPS para o Azure, os clientes que pretendiam implementar uma verificação em duas etapas para ambientes integrados de NPS e Azure AD MFA tiveram de configurar e manter um Servidor MFA separado no ambiente no local, conforme documentado no Remote Desktop Gateway e no Azure Multi-Factor Authentication Server utilizando o RADIUS.

A disponibilidade da extensão NPS para o Azure dá agora às organizações a opção de implementar uma solução MFA baseada no local ou uma solução MFA baseada na nuvem para garantir a autenticação do cliente RADIUS.

Fluxo de Autenticação

Para que os utilizadores tenham acesso aos recursos de rede através de um Gateway de Secretária remoto, devem satisfazer as condições especificadas numa Política de Autorização de Ligação RD (RD CAP) e numa Política de Autorização de Recursos RD (RD RAP). OS CAPs RD especificam quem está autorizado a ligar-se aos Gateways RD. RD RAPs especifica os recursos de rede, tais como desktops remotos ou aplicações remotas, a que o utilizador é autorizado a ligar através do Gateway RD.

Um Gateway RD pode ser configurado para usar uma loja de política central para CAPs RD. Os RAPs rd não podem utilizar uma política central, uma vez que são processados no Gateway RD. Um exemplo de um GATEWAY RD configurado para usar uma loja de política central para CAPs RD é um cliente RADIUS para outro servidor NPS que serve como a loja de política central.

Quando a extensão NPS para Azure é integrada com o NPS e o Gateway de Secretária Remoto, o fluxo de autenticação bem-sucedido é o seguinte:

  1. O servidor Remote Desktop Gateway recebe um pedido de autenticação de um utilizador de ambiente de trabalho remoto para se ligar a um recurso, como uma sessão de desktop remoto. Atuando como cliente RADIUS, o servidor Remote Desktop Gateway converte o pedido numa mensagem de Access-Request RADIUS e envia a mensagem para o servidor RADIUS (NPS) onde a extensão NPS está instalada.
  2. O nome de utilizador e a combinação de palavra-passe são verificados no Ative Directory e o utilizador é autenticado.
  3. Se todas as condições especificadas no Pedido de Ligação NPS e nas Políticas de Rede forem satisfeitas (por exemplo, restrições de data do dia ou de grupo), a extensão NPS desencadeia um pedido de autenticação secundária com Azure AD MFA.
  4. Azure AD MFA comunica com Azure AD, recupera os dados do utilizador e realiza a autenticação secundária utilizando métodos suportados.
  5. Após o sucesso do desafio MFA, Azure AD MFA comunica o resultado à extensão do NPS.
  6. O servidor NPS, onde a extensão está instalada, envia uma mensagem de Access-Accept RADIUS para a política DE CAP RD para o servidor Remote Desktop Gateway.
  7. O utilizador tem acesso ao recurso de rede solicitado através do Gateway RD.

Pré-requisitos

Esta secção detalha os pré-requisitos necessários antes de integrar Azure AD MFA com o Gateway de Ambiente de Trabalho Remoto. Antes de começar, deve ter os seguintes pré-requisitos no lugar.

  • Infraestrutura de Serviços remotos de Desktop (RDS)
  • Licença Azure AD MFA
  • Software windows server
  • Função política de rede e serviços de acesso (NPS)
  • Diretório Ativo Azure sincronizado com Ative Directory no local
  • Diretório Ativo Azure GUID ID

Infraestrutura de Serviços remotos de Desktop (RDS)

Deve ter uma infraestrutura de Serviços de Secretária Remota (RDS) em funcionamento. Caso contrário, poderá criar rapidamente esta infraestrutura em Azure utilizando o seguinte modelo de arranque rápido: Criar a implementação de Recolha de Sessão de Secretária remota.

Se desejar criar manualmente uma infraestrutura RDS no local rapidamente para efeitos de teste, siga os passos para implantar uma. Saiba mais: Implementar RDS com quickstart Azure e implantação de infraestruturas RDS Básicas.

Licença Azure AD MFA

É necessária uma licença para Azure AD MFA, que está disponível através de Azure AD Premium ou outros pacotes que o incluam. As licenças baseadas no consumo para Azure AD MFA, tais como por utilizador ou por licença de autenticação, não são compatíveis com a extensão NPS. Para mais informações, consulte Como obter Azure AD Autenticação Multi-Factor. Para efeitos de teste, pode utilizar uma subscrição experimental.

Software windows server

A extensão NPS requer o Windows Server 2008 R2 SP1 ou superior com o serviço de função NPS instalado. Todos os passos desta secção foram realizados com Windows Server 2016.

Função política de rede e serviços de acesso (NPS)

O serviço de função NPS fornece o servidor RADIUS e a funcionalidade do cliente, bem como o serviço de saúde Da Política de Acesso à Rede. Esta função deve ser instalada em pelo menos dois computadores na sua infraestrutura: O Gateway de Secretária Remota e outro servidor de membro ou controlador de domínio. Por predefinição, a função já está presente no computador configurado como O Gateway de Ambiente de Trabalho Remoto. Também deve instalar a função NPS em pelo menos noutro computador, como um controlador de domínio ou servidor de membros.

Para obter informações sobre a instalação do serviço de função NPS Windows Server 2012 ou mais, consulte instalar um Servidor de Política de Saúde NAP. Para uma descrição das melhores práticas para NPS, incluindo a recomendação de instalar NPS num controlador de domínio, consulte as Melhores Práticas para NPS.

Diretório Ativo Azure sincronizado com Ative Directory no local

Para utilizar a extensão NPS, os utilizadores no local devem ser sincronizados com Azure AD e habilitados para MFA. Esta secção pressupõe que os utilizadores no local estão sincronizados com Azure AD utilizando o AD Connect. Para obter informações sobre Azure AD ligar, consulte Integrar os seus diretórios no local com o Azure Ative Directory.

Diretório Ativo Azure GUID ID

Para instalar a extensão NPS, é necessário conhecer o GUID do Azure AD. Instruções para encontrar o GUID do Azure AD são fornecidas abaixo.

Configure a autenticação multi-factor

Esta secção fornece instruções para integrar Azure AD MFA com o Gateway de Secretária Remota. Como administrador, tem de configurar o serviço MFA Azure AD antes que os utilizadores possam auto-registar os seus dispositivos ou aplicações multi-factor.

Siga os passos em Começar com Azure AD Autenticação Multi-Factor na nuvem para ativar mFA para os seus Azure AD utilizadores.

Configure explica a verificação em duas etapas

Uma vez ativada uma conta para MFA, não pode iniciar seditação aos recursos regidos pela política de MFA até que tenha configurado com sucesso um dispositivo de confiança para utilizar para o segundo fator de autenticação e tenha autenticado usando a verificação em duas etapas.

Siga os passos em O que significa Azure AD Autenticação Multi-Factor para mim?

Importante

O comportamento de entrada para o Gateway de Desktop Remoto não oferece a opção de introduzir um código de verificação com Azure AD autenticação multi-factor. Uma conta de utilizador deve ser configurada para verificação de telefone ou para a App autenticador Microsoft com notificações push.

Se nem a verificação telefónica nem a App autenticador Microsoft com notificações push estiverem configuradas para um utilizador, o utilizador não poderá completar o desafio de autenticação multi-factor Azure AD e iniciar sação no Remote Desktop Gateway.

O método de texto SMS não funciona com o Remote Desktop Gateway porque não fornece a opção de introduzir um código de verificação.

Instalar e configurar extensão NPS

Esta secção fornece instruções para configurar a infraestrutura RDS para utilizar Azure AD MFA para autenticação do cliente com o Gateway de Secretária Remoto.

Adquirir ID do inquilino do Azure Ative Directory

Como parte da configuração da extensão NPS, você precisa fornecer credenciais de administração e o ID Azure AD para o seu inquilino Azure AD. Para obter a ID do inquilino, complete os seguintes passos:

  1. Inscreva-se no portal do Azure como administrador global do inquilino Azure.

  2. No menu portal do Azure, selecione Azure Ative Directory ou procure e selecione O Diretório Ativo Azure a partir de qualquer página.

  3. Na página geral , é mostrada a informação do Arrendatário . Ao lado do ID do inquilino, selecione o ícone Copy , como mostra o seguinte exemplo de imagem:

    Conseguir a 2.000 do inquilino do portal do Azure

Instale a extensão NPS

Instale a extensão NPS num servidor que tenha a função de Política de Rede e Serviços de Acesso (NPS) instalada. Isto funciona como o servidor RADIUS para o seu design.

Importante

Não instale a extensão NPS no seu servidor Remote Desktop Gateway (RDG). O servidor RDG não utiliza o protocolo RADIUS com o seu cliente, pelo que a extensão não pode interpretar e executar o MFA.

Quando o servidor RDG e o servidor NPS com extensão NPS são servidores diferentes, o RDG utiliza NPS internamente para falar com outros servidores NPS e utiliza o RADIUS como protocolo para comunicar corretamente.

  1. Descarregue a extensão NPS.
  2. Copie o ficheiro executável de configuração (NpsExtnForAzureMfaInstaller.exe) para o servidor NPS.
  3. No servidor NPS, clique duas vezesNpsExtnForAzureMfaInstaller.exe. Se solicitado, clique em Executar.
  4. Na extensão NPS Para Azure AD caixa de diálogo de configuração MFA, reveja os termos da licença de software, verifique se concordo com os termos e condições da licença e clique em Instalar.
  5. Na extensão NPS Para Azure AD caixa de diálogo de configuração MFA, clique em Fechar.

Configure certificados para utilização com a extensão NPS utilizando um script PowerShell

Em seguida, é necessário configurar certificados para utilização pela extensão NPS para garantir comunicações e garantias seguras. Os componentes NPS incluem um script Windows PowerShell que configura um certificado auto-assinado para uso com NPS.

O script executa as seguintes ações:

  • Cria um certificado auto-assinado
  • Associados chave de certificado público para o principal serviço em Azure AD
  • Armazena o certificado na loja de máquinas local
  • Concede acesso à chave privada do certificado ao utilizador da rede
  • Reinicia o serviço de servidor de política de rede

Se quiser utilizar os seus próprios certificados, tem de associar a chave pública do seu certificado ao principal do serviço em Azure AD, e assim por diante.

Para utilizar o script, forneça a extensão com as suas credenciais Azure AD Administração e a identificação do inquilino Azure AD que copiou anteriormente. Execute o script em cada servidor NPS onde instalou a extensão NPS. Em seguida, faça o seguinte:

  1. Abra um aviso de Windows PowerShell administrativo.

  2. Na prompt PowerShell, escreva cd 'c:\Program Files\Microsoft\AzureMfa\Config'e prima ENTER.

  3. Escreva .\AzureMfaNpsExtnConfigSetup.ps1e prima ENTER. O script verifica se o módulo PowerShell do Diretório Ativo Azure está instalado. Se não for instalado, o script instala o módulo para si.

    Executando AzureMfaNpsExtnConfigSetup.ps1 em Azure AD PowerShell

  4. Após o script verificar a instalação do módulo PowerShell, apresenta a caixa de diálogo do módulo powerShell do Azure Ative Directory. Na caixa de diálogo, introduza as suas credenciais de administração e palavra-passe de administração Azure AD e clique em Iniciar sôm.

    Autenticação para Azure AD em PowerShell

  5. Quando solicitado, cole a identificação do inquilino que copiou para a área de transferência mais cedo, e prima ENTER.

    Inserindo o ID do inquilino em PowerShell

  6. O script cria um certificado auto-assinado e executa outras alterações de configuração. A saída deve ser como a imagem mostrada abaixo.

    Saída do PowerShell mostrando certificado auto-assinado

Configure componentes NPS no Gateway de Desktop Remoto

Nesta secção, configura as políticas de autorização de ligação Remote Desktop Gateway e outras definições RADIUS.

O fluxo de autenticação requer que as mensagens RADIUS sejam trocadas entre o Gateway de Secretária Remoto e o servidor NPS onde a extensão NPS está instalada. Isto significa que deve configurar as definições do cliente RADIUS tanto no Gateway de Ambiente de Trabalho Remoto como no servidor NPS onde a extensão NPS está instalada.

Configure as políticas de autorização de ligação remote desktop Gateway para utilizar a loja central

As políticas de autorização de ligação ao ambiente de trabalho remoto (RD CAPs) especificam os requisitos para a ligação a um servidor Remote Desktop Gateway. Os CAPs RD podem ser armazenados localmente (padrão) ou podem ser armazenados numa loja central rd CAP que está a executar NPS. Para configurar a integração de Azure AD MFA com RDS, é necessário especificar a utilização de uma loja central.

  1. No servidor RD Gateway, abra Gestor de Servidor.

  2. No menu, clique em Ferramentas, aponte para Serviços remotos de Ambiente de Trabalho e, em seguida, clique em Remote Desktop Gateway Manager.

  3. No Gestor de Gateway RD, clique à direita [Nome do Servidor] (Local), e clique em Propriedades.

  4. Na caixa de diálogo Propriedades, selecione o separador RD CAP Store .

  5. No separador RD CAP Store, selecione Central server running NPS.

  6. No nome ou endereço IP do servidor que executa o campo NPS , digite o endereço IP ou o nome do servidor onde instalou a extensão NPS.

    Insira o nome ou endereço IP do seu Servidor NPS

  7. Clique em Adicionar.

  8. Na caixa de diálogo Shared Secret , insira um segredo partilhado e, em seguida, clique em OK. Certifique-se de que grava este segredo partilhado e guarde o disco de forma segura.

    Nota

    O segredo partilhado é usado para estabelecer confiança entre os servidores RADIUS e os clientes. Criar um segredo longo e complexo.

    Criar um segredo partilhado para estabelecer confiança

  9. Clique em OK para fechar a caixa de diálogo.

Configure o valor de tempo limite RADIUS no Remote Desktop Gateway NPS

Para garantir que há tempo para validar as credenciais dos utilizadores, realizar verificação em duas etapas, receber respostas e responder às mensagens RADIUS, é necessário ajustar o valor de tempo limite RADIUS.

  1. No servidor RD Gateway, abra Gestor de Servidor. No menu, clique em Ferramentas e, em seguida, clique em 'Servidor de Política de Rede'.

  2. Na consola NPS (Local), expanda clientes e servidores RADIUS e selecione O Servidor RADIUS Remoto.

    Consola de gestão de servidor de política de rede mostrando o servidor RADIUS Remoto

  3. No painel de detalhes, clique duas vezes no Grupo de SERVIDORES TS GATEWAY.

    Nota

    Este RADIUS Server Group foi criado quando configuraste o servidor central para as políticas de NPS. O GATEWAY RD encaminha mensagens RADIUS para este servidor ou grupo de servidores, se for mais do que um no grupo.

  4. Na caixa de diálogo do GRUPO TS GATEWAY SERVER Properties , selecione o endereço IP ou o nome do servidor NPS configurado para armazenar CAPs RD e, em seguida, clique em Editar.

    Selecione o IP ou o nome do Servidor NPS configurado anteriormente

  5. Na caixa de diálogo do servidor Editar RADIUS , selecione o separador de equilíbrio de carga .

  6. No separador Equilíbrio de Carga , no Número de segundos sem resposta antes de considerar o pedido, altere o valor predefinido de 3 para um valor entre 30 e 60 segundos.

  7. No Número de segundos entre pedidos quando o servidor é identificado como campo indisponível , altere o valor predefinido de 30 segundos para um valor igual ou superior ao valor especificado no passo anterior.

    Editar as definições de tempo limite do Servidor Radius no separador de equilíbrio de carga

  8. Clique em OK duas vezes para fechar as caixas de diálogo.

Verificar Políticas de Pedido de Ligação

Por predefinição, quando configurar o Gateway RD para utilizar uma loja de política central para políticas de autorização de ligação, o Gateway RD está configurado para encaminhar pedidos de CAP para o servidor NPS. O servidor NPS com a extensão MFA Azure AD instalada, processa o pedido de acesso RADIUS. Os seguintes passos mostram-lhe como verificar a política de pedido de ligação predefinido.

  1. No Gateway RD, na consola NPS (Local), expanda as políticas e selecione Políticas de Pedido de Ligação.

  2. Política de autorização de gateway de entrada de TS de duas cliques.

  3. Na caixa de diálogo de propriedades de propriedades de autorização TS GATEWAY , clique no separador Definições .

  4. No separador Definições , no Pedido de Ligação de Encaminhamento, clique em Autenticação. O cliente RADIUS está configurado para encaminhar pedidos de autenticação.

    Configurações de autenticação configurar o grupo de servidor

  5. Clique em Cancelar.

Nota

Para obter mais informações sobre a criação de uma política de pedido de ligação consulte o artigo, Configurar a documentação das políticas de pedido de conexão para o mesmo.

Configure NPS no servidor onde a extensão NPS é instalada

O servidor NPS onde está instalada a extensão NPS precisa de ser capaz de trocar mensagens RADIUS com o servidor NPS no Gateway de Ambiente de Trabalho Remoto. Para ativar esta troca de mensagens, é necessário configurar os componentes NPS no servidor onde o serviço de extensão NPS está instalado.

Registre o servidor no Diretório Ativo

Para funcionar corretamente neste cenário, o servidor NPS precisa de ser registado no Ative Directory.

  1. No servidor NPS, abra Gestor de Servidor.

  2. Em Gestor de Servidor, clique em Ferramentas e, em seguida, clique em 'Servidor de Política de Rede'.

  3. Na consola 'Servidor de Política de Rede', clique à direita em NPS (Local)) e, em seguida, clique no servidor Registar no Ative Directory.

  4. Clique ok duas vezes.

    Registar o servidor NPS no Ative Directory

  5. Deixe a consola aberta para o próximo procedimento.

Criar e configurar o cliente RADIUS

O Gateway de Ambiente de Trabalho Remoto precisa de ser configurado como um cliente RADIUS para o servidor NPS.

  1. No servidor NPS onde a extensão NPS está instalada, na consola NPS (Local), clique com o botão direito CLIENTES RADIUS e clique em Novo.

    Criar um novo cliente RADIUS na consola NPS

  2. Na caixa de diálogo do novo cliente RADIUS , forneça um nome amigável, como Gateway, e o endereço IP ou nome DNS do servidor Remote Desktop Gateway.

  3. No segredo partilhado e nos campos secretos partilhados, insira o mesmo segredo que usou antes.

    Configure um nome amigável e o endereço IP ou DNS

  4. Clique em OK para fechar a caixa de diálogo do novo cliente RADIUS.

Política de Rede Configure

Lembre-se que o servidor NPS com a extensão Azure AD MFA é a loja central designada para a Política de Autorização de Ligação (CAP). Portanto, é necessário implementar uma PAC no servidor NPS para autorizar pedidos de ligações válidos.

  1. No Servidor NPS, abra a consola NPS (Local), expanda políticas e clique em Políticas de Rede.

  2. Clique em conexões com o botão direito para outros servidores de acesso e clique em "Duplicar" Política.

    Duplicar a ligação a outras políticas de servidores de acesso

  3. Clique no botão direito Copiar as Ligações para outros servidores de acesso e clicar em Propriedades.

  4. Na Cópia de Ligações a outros servidores de acesso , a caixa de diálogo, em nome de Política, introduza um nome adequado, como RDG_CAP. Verifique a Política ativada e selecione o acesso ao Grant. Opcionalmente, no tipo de servidor de acesso à rede, selecione Remote Desktop Gateway, ou pode deixá-lo como Não Especificado.

    Nomeie a política, adisse e conceda acesso

  5. Clique no separador Restrições e verifique Se os clientes se conectem sem negociar um método de autenticação.

    Modificar métodos de autenticação para permitir aos clientes conectarem-se

  6. Opcionalmente, clique no separador Condições e adicione condições que devem ser satisfeitas para que a ligação seja autorizada, por exemplo, a aderir a um grupo windows específico.

    Especificar opcionalmente as condições de ligação

  7. Clique em OK. Quando solicitado para ver o tópico de Ajuda correspondente, clique em No.

  8. Certifique-se de que a sua nova política está no topo da lista, que a política está ativada e que concede acesso.

    Mova a sua política para o topo da lista

Verificar configuração

Para verificar a configuração, tem de iniciar sing no Remote Desktop Gateway com um cliente RDP adequado. Certifique-se de que utiliza uma conta que é permitida pelas suas Políticas de Autorização de Ligação e está ativada para Azure AD MFA.

Como mostra na imagem abaixo, pode utilizar a página de Acesso à Web do Ambiente de Trabalho Remoto .

Testes no Acesso Web de Desktop Remoto

Ao introduzir com sucesso as suas credenciais para a autenticação primária, a caixa de diálogo Remote Desktop Connect mostra um estado de iniciação da ligação remota, como mostrado abaixo.

Se autenticar com sucesso o método de autenticação secundária que configura previamente em Azure AD MFA, está ligado ao recurso. No entanto, se a autenticação secundária não for bem sucedida, é-lhe negado o acesso ao recurso.

Conexão de ambiente de trabalho remoto iniciando uma ligação remota

No exemplo abaixo, a aplicação Authenticator num telefone Windows é utilizada para fornecer a autenticação secundária.

Exemplo Windows Phone App Authenticator mostrando verificação

Depois de autenticado com sucesso utilizando o método de autenticação secundária, é normal iniciar sessão no Gateway de Ambiente de Trabalho Remoto. No entanto, uma vez que é obrigado a utilizar um método de autenticação secundária utilizando uma aplicação móvel num dispositivo de confiança, o sinal em curso é mais seguro do que seria de outra forma.

Ver Visualizador de Eventos registos para eventos de início de sessão bem-sucedidos

Para visualizar os eventos de login bem-sucedidos nos registos do Windows Visualizador de Eventos, pode emitir o seguinte comando Windows PowerShell para consultar os Serviços de Terminal do Windows e Segurança do Windows registos.

Para consultar eventos de login bem sucedidos nos registos operacionais gateway (Visualizador de Eventos\Aplicações e Registos de Serviços\Microsoft\Windows\TerminalServices-Gateway\Operacional), utilize os seguintes comandos PowerShell:

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '300'} | FL
  • Este comando exibe eventos do Windows que mostram que o utilizador cumpriu os requisitos da política de autorização de recursos (RD RAP) e teve acesso.

Visualização de eventos usando PowerShell

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '200'} | FL
  • Este comando exibe os eventos que mostram quando o utilizador cumpriu os requisitos da política de autorização de ligação.

visualizar a política de autorização de ligação utilizando o PowerShell

Também pode ver este registo e filtro nos IDs do evento, 300 e 200. Para consultar eventos de início de sessão bem sucedidos nos registos de visualização do evento de Segurança, utilize o seguinte comando:

  • Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL
  • Este comando pode ser executado no NPS central ou no Servidor RD Gateway.

Experimente eventos de início de são bem sucedidos

Também pode ver o registo de Segurança ou a visualização personalizada da Política de Rede e serviços de acesso, como mostrado abaixo:

Política de Rede e Serviços de Acesso Visualizador de Eventos

No servidor onde instalou a extensão NPS para Azure AD MFA, pode encontrar registos de Visualizador de Eventos de aplicações específicos da extensão em Registos de Aplicações e Serviços\Microsoft\AzureMfa.

registos de aplicações Visualizador de Eventos AuthZ

Guia de resolução de problemas

Se a configuração não estiver a funcionar como esperado, o primeiro lugar a começar a resolver problemas é verificar se o utilizador está configurado para utilizar Azure AD MFA. Tenha o utilizador ligado ao portal do Azure. Se os utilizadores forem solicitados para verificação secundária e puderem autenticar com sucesso, pode eliminar uma configuração incorreta de Azure AD MFA.

Se Azure AD MFA estiver a trabalhar para os utilizadores, deverá rever os registos de Eventos relevantes. Estes incluem o Evento de Segurança, Gateway operacional, e Azure AD registos MFA que são discutidos na secção anterior.

Abaixo está uma saída de exemplo do registo de segurança mostrando um evento de início de sessão falhado (Evento ID 6273).

Amostra de um evento de logon falhado

Abaixo está um evento relacionado a partir dos registos AzureMFA:

Visualizador de Eventos de registo de MFA de Azure AD amostra

Para executar opções avançadas de resolução de problemas, consulte os ficheiros de registo de formato de base de dados NPS onde o serviço NPS está instalado. Estes ficheiros de registo são criados em %SystemRoot%\System32\Logs pasta como ficheiros de texto delimitados por vírgula.

Para obter uma descrição destes ficheiros de registo, consulte os Ficheiros de Registo do Formato do Formato de Base de Dados do Interpret NPS. As entradas nestes ficheiros de registo podem ser difíceis de interpretar sem os importar numa folha de cálculo ou numa base de dados. Pode encontrar vários parsers da IAS online para ajudá-lo a interpretar os ficheiros de registo.

A imagem abaixo mostra a saída de uma dessas aplicações de shareware transferíveis.

Amostra Shareware app IAS parser

Finalmente, para opções adicionais de resolução de problemas, pode utilizar um analisador de protocolo, Microsoft Analisador de Mensagens.

A imagem abaixo do Microsoft Message Analyzer mostra o tráfego de rede filtrado no protocolo RADIUS que contém o nome de utilizador CONTOSO\AliceC.

analisador de mensagens Microsoft mostrando tráfego filtrado

Passos seguintes

Como obter Azure AD autenticação multi-factor

Gateway de Ambiente de Trabalho Remoto e Servidor Multi-Factor Authentication do Azure com o RADIUS

Integrar os diretórios no local com o Azure Active Directory