Integre sua infraestrutura VPN com a autenticação multifator do Microsoft Entra usando a extensão do Servidor de Políticas de Rede para Azure

  • Artigo

A extensão NPS (Servidor de Políticas de Rede) para Azure permite que as organizações protejam a autenticação de cliente RADIUS (Remote Authentication Dial-In User Service) usando a autenticação multifator Microsoft Entra baseada em nuvem, que fornece verificação em duas etapas.

Este artigo fornece instruções para integrar a infraestrutura do NPS com o MFA usando a extensão NPS para o Azure. Esse processo permite a verificação segura em duas etapas para usuários que tentam se conectar à sua rede usando uma VPN.

Nota

Embora a extensão MFA do NPS ofereça suporte a TOTP (senha única) baseada no tempo, certos clientes VPN, como o Windows VPN, não. Verifique se os clientes VPN que você está usando suportam TOTP como um método de autenticação antes de ativá-lo na extensão NPS.

Os Serviços de Acesso e Política de Rede dão às organizações a capacidade de:

  • Atribua um local central para o gerenciamento e controle de solicitações de rede para especificar:

    • Quem pode se conectar

    • Que horas do dia as ligações são permitidas

    • A duração das conexões

    • O nível de segurança que os clientes devem usar para se conectar

      Em vez de especificar políticas em cada servidor VPN ou Gateway de Área de Trabalho Remota, faça-o depois que elas estiverem em um local central. O protocolo RADIUS é usado para fornecer autenticação, autorização e contabilidade centralizadas (AAA).

  • Estabeleça e aplique políticas de integridade do cliente NAP (Proteção de Acesso à Rede) que determinem se os dispositivos recebem acesso irrestrito ou restrito aos recursos da rede.

  • Forneça uma maneira de impor autenticação e autorização para acesso a pontos de acesso sem fio compatíveis com 802.1x e switches Ethernet. Para obter mais informações, consulte Servidor de políticas de rede.

Para melhorar a segurança e fornecer um alto nível de conformidade, as organizações podem integrar o NPS com a autenticação multifator do Microsoft Entra para garantir que os usuários usem a verificação em duas etapas para se conectar à porta virtual no servidor VPN. Para que os usuários tenham acesso, eles devem fornecer sua combinação de nome de usuário e senha e outras informações que controlam. Estas informações devem ser fidedignas e não devem ser facilmente duplicadas. Pode incluir um número de telefone celular, um número de telefone fixo ou um aplicativo em um dispositivo móvel.

Se sua organização usa uma VPN e o usuário está registrado para um código TOTP junto com notificações push do Authenticator, o usuário não pode atender ao desafio de MFA e o login remoto falha. Nesse caso, você pode definir OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE como fallback para notificações por push para Aprovar/Negar com Autenticador.

Para que uma extensão NPS continue funcionando para usuários VPN, essa chave do Registro deve ser criada no servidor NPS. No servidor NPS, abra o editor do Registro. Navegue para:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

Crie o seguinte par String/Value:

Designação: OVERRIDE_NUMBER_MATCHING_WITH_OTP

Valor = FALSO

Antes da disponibilidade da extensão NPS para o Azure, os clientes que queriam implementar a verificação em duas etapas para ambientes NPS e MFA integrados tinham que configurar e manter um servidor MFA separado em um ambiente local. Esse tipo de autenticação é oferecido pelo Gateway de Área de Trabalho Remota e pelo Servidor Azure Multi-Factor Authentication usando RADIUS.

Com a extensão NPS para Azure, as organizações podem proteger a autenticação de cliente RADIUS implantando uma solução de MFA baseada no local ou uma solução de MFA baseada em nuvem.

Fluxo de autenticação

Quando os usuários se conectam a uma porta virtual em um servidor VPN, eles devem primeiro autenticar usando uma variedade de protocolos. Os protocolos permitem o uso de uma combinação de nome de usuário e senha e métodos de autenticação baseados em certificado.

Além de autenticar e verificar sua identidade, os usuários devem ter as permissões de discagem apropriadas. Em implementações simples, as permissões de discagem que permitem acesso são definidas diretamente nos objetos de usuário do Ative Directory.

Dial-in tab in Active Directory Users and Computers user properties

Em implementações simples, cada servidor VPN concede ou nega acesso com base em políticas definidas em cada servidor VPN local.

Em implementações maiores e mais escaláveis, as políticas que concedem ou negam acesso VPN são centralizadas em servidores RADIUS. Nesses casos, o servidor VPN atua como um servidor de acesso (cliente RADIUS) que encaminha solicitações de conexão e mensagens de conta para um servidor RADIUS. Para se conectar à porta virtual no servidor VPN, os usuários devem ser autenticados e atender às condições definidas centralmente nos servidores RADIUS.

Quando a extensão do NPS para o Azure é integrada ao NPS, um fluxo de autenticação bem-sucedido resulta, da seguinte maneira:

  1. O servidor VPN recebe uma solicitação de autenticação de um usuário VPN que inclui o nome de usuário e a senha para se conectar a um recurso, como uma sessão de Área de Trabalho Remota.
  2. Atuando como um cliente RADIUS, o servidor VPN converte a solicitação em uma mensagem de solicitação de acesso RADIUS e a envia (com uma senha criptografada) para o servidor RADIUS onde a extensão NPS está instalada.
  3. A combinação de nome de usuário e senha é verificada no Ative Directory. Se o nome de usuário ou a senha estiverem incorretos, o servidor RADIUS enviará uma mensagem de rejeição de acesso.
  4. Se todas as condições, conforme especificado na Solicitação de Conexão NPS e nas Diretivas de Rede, forem atendidas (por exemplo, hora do dia ou restrições de associação ao grupo), a extensão NPS acionará uma solicitação de autenticação secundária com a autenticação multifator do Microsoft Entra.
  5. A autenticação multifator do Microsoft Entra se comunica com o Microsoft Entra ID, recupera os detalhes do usuário e executa a autenticação secundária usando o método configurado pelo usuário (chamada de celular, mensagem de texto ou aplicativo móvel).
  6. Quando o desafio MFA é bem-sucedido, a autenticação multifator do Microsoft Entra comunica o resultado à extensão NPS.
  7. Depois que a tentativa de conexão é autenticada e autorizada, o NPS onde a extensão está instalada envia uma mensagem RADIUS Access-Accept para o servidor VPN (cliente RADIUS).
  8. O usuário recebe acesso à porta virtual no servidor VPN e estabelece um túnel VPN criptografado.

Pré-requisitos

Esta seção detalha os pré-requisitos que devem ser concluídos antes que você possa integrar o MFA à VPN. Antes de começar, você deve ter os seguintes pré-requisitos em vigor:

  • Infraestrutura VPN
  • Função Serviços de Acesso e Política de Rede
  • Licença de autenticação multifator Microsoft Entra
  • Software do Windows Server
  • Bibliotecas
  • ID do Microsoft Entra sincronizado com o Ative Directory local
  • Microsoft Entra GUID ID

Infraestrutura VPN

Este artigo pressupõe que você tenha uma infraestrutura VPN funcional que usa o Microsoft Windows Server 2016 e que seu servidor VPN não esteja configurado no momento para encaminhar solicitações de conexão para um servidor RADIUS. No artigo, você configura a infraestrutura VPN para usar um servidor RADIUS central.

Se você não tiver uma infraestrutura VPN em funcionamento, poderá criar rapidamente uma seguindo as orientações em vários tutoriais de configuração de VPN que você pode encontrar nos sites da Microsoft e de terceiros.

A função Serviços de Acesso e Política de Rede

Os Serviços de Acesso e Política de Rede fornecem a funcionalidade de servidor e cliente RADIUS. Este artigo pressupõe que você tenha instalado a função Serviços de Acesso e Diretiva de Rede em um servidor membro ou controlador de domínio em seu ambiente. Neste guia, você configura o RADIUS para uma configuração de VPN. Instale a função Serviços de Acesso e Política de Rede em um servidor diferente do servidor VPN.

Para obter informações sobre como instalar o serviço de função Serviços de Acesso e Política de Rede Windows Server 2012 ou posterior, consulte Instalar um servidor de diretivas de integridade NAP. A NAP foi preterida no Windows Server 2016. Para obter uma descrição das práticas recomendadas para o NPS, incluindo a recomendação de instalar o NPS em um controlador de domínio, consulte Práticas recomendadas para o NPS.

Software do Windows Server

A extensão NPS requer o Windows Server 2008 R2 SP1 ou posterior, com a função Serviços de Acesso e Diretiva de Rede instalada. Todas as etapas deste guia foram executadas com o Windows Server 2016.

Bibliotecas

A seguinte biblioteca é instalada automaticamente com a extensão NPS:

Se o módulo do Microsoft Graph PowerShell ainda não estiver presente, ele será instalado com um script de configuração que você executará como parte do processo de instalação. Não há necessidade de instalar o Graph PowerShell com antecedência.

ID do Microsoft Entra sincronizado com o Ative Directory local

Para usar a extensão NPS, os usuários locais devem ser sincronizados com o Microsoft Entra ID e habilitados para MFA. Este guia pressupõe que os usuários locais sejam sincronizados com o ID do Microsoft Entra por meio do Microsoft Entra Connect. As instruções para habilitar usuários para MFA são fornecidas abaixo.

Para obter informações sobre o Microsoft Entra Connect, consulte Integrar seus diretórios locais com o Microsoft Entra ID.

Microsoft Entra GUID ID

Para instalar a extensão NPS, você precisa saber o GUID do Microsoft Entra ID. As instruções para localizar o GUID do ID do Microsoft Entra são fornecidas na próxima seção.

Configurar o RADIUS para conexões VPN

Se você tiver instalado a função NPS em um servidor membro, precisará configurá-la para autenticar e autorizar o cliente VPN que solicita conexões VPN.

Esta seção pressupõe que você tenha instalado a função Serviços de Acesso e Diretiva de Rede, mas não a tenha configurado para uso em sua infraestrutura.

Nota

Se você já tiver um servidor VPN em funcionamento que usa um servidor RADIUS centralizado para autenticação, poderá ignorar esta seção.

Registrar servidor no Ative Directory

Para funcionar corretamente nesse cenário, o servidor NPS deve ser registrado no Ative Directory.

  1. Abra o Gestor de Servidor.

  2. No Gerenciador do Servidor, selecione Ferramentas e, em seguida, selecione Servidor de Políticas de Rede.

  3. No console do Servidor de Diretivas de Rede, clique com o botão direito do mouse em NPS (Local) e selecione Registrar servidor no Ative Directory. Selecione OK duas vezes.

    Register server in Active Directory menu option

  4. Deixe o console aberto para o próximo procedimento.

Usar o assistente para configurar o servidor RADIUS

Você pode usar uma opção de configuração padrão (baseada em assistente) ou avançada para configurar o servidor RADIUS. Esta seção pressupõe que você esteja usando a opção de configuração padrão baseada em assistente.

  1. No console do Servidor de Diretivas de Rede, selecione NPS (Local).

  2. Em Configuração padrão, selecione Servidor RADIUS para conexões dial-up ou VPN e, em seguida, selecione Configurar VPN ou dial-up.

    Configure RADIUS Server for Dial-Up or VPN Connections

  3. Na janela Selecionar Tipo de Conexões de Rede Privada Dial-up ou Virtual, selecione Conexões de Rede Privada Virtual e selecione Avançar.

    Configure Virtual private network connections

  4. Na janela Especificar servidor dial-up ou VPN, selecione Adicionar.

  5. Na janela Novo cliente RADIUS, forneça um nome amigável, digite o nome resolúvel ou o endereço IP do servidor VPN e insira uma senha de segredo compartilhado. Torne a senha de segredo compartilhado longa e complexa. Grave-o, porque você precisará dele na próxima seção.

    Create a New RADIUS client window

  6. Selecione OK e, em seguida, selecione Avançar.

  7. Na janela Configurar Métodos de Autenticação , aceite a seleção padrão (Microsoft Encrypted Authentication versão 2 [MS-CHAPv2]) ou escolha outra opção e selecione Avançar.

    Nota

    Se você configurar o EAP (Extensible Authentication Protocol), deverá usar o Microsoft Challenge-Handshake Authentication Protocol (CHAPv2) ou o PEAP (Protected Extensible Authentication Protocol). Nenhum outro EAP é suportado.

  8. Na janela Especificar Grupos de Utilizadores, selecione Adicionar e, em seguida, selecione um grupo adequado. Se nenhum grupo existir, deixe a seleção em branco para conceder acesso a todos os usuários.

    Specify User Groups window to allow or deny access

  9. Selecione Seguinte.

  10. Na janela Especificar filtros IP, selecione Avançar.

  11. Na janela Especificar configurações de criptografia, aceite as configurações padrão e selecione Avançar.

    The Specify Encryption Settings window

  12. Na janela Especificar um nome de território, deixe o nome do território em branco, aceite a configuração padrão e selecione Avançar.

    The Specify a Realm Name window

  13. Na janela Concluindo novas conexões dial-up ou de rede virtual privada e clientes RADIUS, selecione Concluir.

    Completed configuration window

Verifique a configuração do RADIUS

Esta seção detalha a configuração que você criou usando o assistente.

  1. No Servidor de Políticas de Rede, na consola NPS (local), expanda Clientes RADIUS e, em seguida, selecione Clientes RADIUS.

  2. No painel de detalhes, clique com o botão direito do rato no cliente RADIUS que criou e, em seguida, selecione Propriedades. As propriedades do seu cliente RADIUS (o servidor VPN) devem ser como as mostradas aqui:

    Verify the VPN properties and configuration

  3. Selecione Cancelar.

  4. No Servidor de Diretivas de Rede, no console NPS (local), expanda Diretivas e selecione Diretivas de Solicitação de Conexão. A política de Conexões VPN é exibida conforme mostrado na imagem a seguir:

    Connection request policy showing VPN connection policy

  5. Em Políticas, selecione Políticas de Rede. Você verá uma política de Conexões de Rede Privada Virtual (VPN) semelhante à política mostrada na imagem a seguir:

    Network Policies showing Virtual Private Network Connections policy

Configure seu servidor VPN para usar a autenticação RADIUS

Nesta seção, você configura seu servidor VPN para usar a autenticação RADIUS. As instruções pressupõem que você tenha uma configuração de trabalho de um servidor VPN, mas não a tenha configurado para usar a autenticação RADIUS. Depois de configurar o servidor VPN, confirme se a configuração está funcionando conforme o esperado.

Nota

Se você já tiver uma configuração de servidor VPN em funcionamento que usa autenticação RADIUS, poderá ignorar esta seção.

Configurar provedor de autenticação

  1. No servidor VPN, abra o Gerenciador do Servidor.

  2. No Gerenciador do Servidor, selecione Ferramentas e, em seguida, selecione Roteamento e Acesso Remoto.

  3. Na janela Roteamento e Acesso Remoto, clique com o botão direito do mouse no< nome> do servidor (local) e selecione Propriedades.

  4. Na janela Propriedades do nome> do <servidor (local), selecione a guia Segurança.

  5. No separador Segurança, em Fornecedor de autenticação, selecione Autenticação RADIUS e, em seguida, selecione Configurar.

    Configure RADIUS Authentication provider

  6. Na janela Autenticação RADIUS, selecione Adicionar.

  7. Na janela Adicionar Servidor RADIUS, faça o seguinte:

    1. Na caixa Nome do servidor , digite o nome ou endereço IP do servidor RADIUS que você configurou na seção anterior.

    2. Para o Segredo partilhado, selecione Alterar e, em seguida, introduza a palavra-passe do segredo partilhado que criou e registou anteriormente.

    3. Na caixa Tempo limite (segundos), insira um valor de 60. Para minimizar solicitações descartadas, recomendamos que os servidores VPN sejam configurados com um tempo limite de pelo menos 60 segundos. Se necessário, ou para reduzir solicitações descartadas nos logs de eventos, você pode aumentar o valor de tempo limite do servidor VPN para 90 ou 120 segundos.

  8. Selecione OK.

Testar a conectividade VPN

Nesta seção, você confirma que o cliente VPN está autenticado e autorizado pelo servidor RADIUS quando tenta se conectar à porta virtual VPN. As instruções pressupõem que você está usando o Windows 10 como um cliente VPN.

Nota

Se você já configurou um cliente VPN para se conectar ao servidor VPN e salvou as configurações, pode ignorar as etapas relacionadas à configuração e salvamento de um objeto de conexão VPN.

  1. No computador cliente VPN, selecione o botão Iniciar e, em seguida, selecione o botão Configurações .

  2. Na janela Configurações do Windows, selecione Rede & Internet.

  3. Selecione VPN.

  4. Selecione Adicionar uma conexão VPN.

  5. Na janela Adicionar uma conexão VPN, na caixa Provedor de VPN, selecione Windows (interno), preencha os campos restantes, conforme apropriado, e selecione Salvar.

    The

  6. Aceda ao Painel de Controlo e, em seguida, selecione Centro de Rede e Partilha.

  7. Selecione Alterar configurações do adaptador.

    Network and Sharing Center - Change adapter settings

  8. Clique com o botão direito do mouse na conexão de rede VPN e selecione Propriedades.

  9. Na janela de propriedades da VPN, selecione a guia Segurança .

  10. No separador Segurança, certifique-se de que apenas Microsoft CHAP Versão 2 (MS-CHAP v2) está selecionado e, em seguida, selecione OK.

    The

  11. Clique com o botão direito do mouse na conexão VPN e selecione Conectar.

  12. Na janela Configurações, selecione Conectar.
    Uma conexão bem-sucedida aparece no log de segurança, no servidor RADIUS, como ID de Evento 6272, conforme mostrado aqui:

    Event Properties window showing a successful connection

Solução de problemas do RADIUS

Suponha que sua configuração VPN estava funcionando antes de configurar o servidor VPN para usar um servidor RADIUS centralizado para autenticação e autorização. Se a configuração estava funcionando, é provável que o problema seja causado por uma configuração incorreta do servidor RADIUS ou pelo uso de um nome de usuário ou senha inválidos. Por exemplo, se utilizar o sufixo UPN alternativo no nome de utilizador, a tentativa de início de sessão poderá falhar. Use o mesmo nome de conta para obter melhores resultados.

Para solucionar esses problemas, um local ideal para começar é examinar os logs de eventos de segurança no servidor RADIUS. Para poupar tempo na pesquisa de eventos, pode utilizar a vista personalizada do Servidor de Acesso e Política de Rede baseada na função no Visualizador de Eventos, conforme mostrado aqui. "ID de Evento 6273" indica eventos em que o NPS negou acesso a um usuário.

Event Viewer showing NPAS events

Configurar a autenticação multifator

Para obter assistência na configuração de usuários para autenticação multifator, consulte os artigos Planejando uma implantação de autenticação multifator do Microsoft Entra baseada em nuvem e Configurar minha conta para verificação em duas etapas

Instalar e configurar a extensão NPS

Esta seção fornece instruções para configurar a VPN para usar MFA para autenticação de cliente com o servidor VPN.

Nota

A chave do Registro REQUIRE_USER_MATCH diferencia maiúsculas de minúsculas. Todos os valores devem ser definidos no formato UPPER CASE.

Depois de instalar e configurar a extensão NPS, toda a autenticação de cliente baseada em RADIUS processada por este servidor é necessária para usar o MFA. Se todos os seus usuários de VPN não estiverem inscritos na autenticação multifator do Microsoft Entra, você poderá fazer o seguinte:

  • Configure outro servidor RADIUS para autenticar usuários que não estão configurados para usar MFA.

  • Crie uma entrada do Registro que permita que os usuários desafiados forneçam um segundo fator de autenticação se estiverem inscritos na autenticação multifator do Microsoft Entra.

Crie um novo valor de cadeia de caracteres chamado REQUIRE_USER_MATCH em HKLM\SOFTWARE\Microsoft\AzureMfa e defina o valor como TRUE ou FALSE.

The

Se o valor estiver definido como TRUE ou estiver em branco, todas as solicitações de autenticação estarão sujeitas a um desafio de MFA. Se o valor for definido como FALSE, os desafios de MFA serão emitidos somente para usuários registrados na autenticação multifator do Microsoft Entra. Use a configuração FALSE somente em ambientes de teste ou de produção durante um período de integração.

Obter o ID do locatário do diretório

Como parte da configuração da extensão NPS, você deve fornecer credenciais de administrador e a ID do locatário do Microsoft Entra. Para obter o ID do locatário, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como Administrador Global.

  2. Navegue até Configurações de identidade>.

    Getting the Tenant ID from the Microsoft Entra admin center

Instalar a extensão NPS

A extensão NPS deve ser instalada em um servidor que tenha a função Serviços de Acesso e Diretiva de Rede instalada e que funcione como o servidor RADIUS em seu design. Não instale a extensão NPS no seu servidor VPN.

  1. Baixe a extensão NPS do Centro de Download da Microsoft.

  2. Copie o arquivo executável de instalação (NpsExtnForAzureMfaInstaller.exe) para o servidor NPS.

  3. No servidor NPS, clique duas vezes em NpsExtnForAzureMfaInstaller.exe e, se solicitado, selecione Executar.

  4. Na janela Instalação da Extensão NPS para autenticação multifator do Microsoft Entra, revise os termos de licença de software, marque a caixa de seleção Concordo com os termos e condições da licença e selecione Instalar.

    The

  5. Na janela NPS Extension For Microsoft Entra multifactor authentication Setup (Extensão NPS para Microsoft Entra multifactor authentication setup ), selecione Fechar.

    The

Configurar certificados para uso com a extensão NPS usando um script do Graph PowerShell

Para garantir comunicações e garantias seguras, configure certificados para uso pela extensão NPS. Os componentes do NPS incluem um script do Graph PowerShell que configura um certificado autoassinado para uso com o NPS.

O script executa as seguintes ações:

  • Cria um certificado autoassinado.
  • Associa a chave pública do certificado à entidade de serviço no Microsoft Entra ID.
  • Armazena o certificado no armazenamento da máquina local.
  • Concede ao usuário da rede acesso à chave privada do certificado.
  • Reinicia o serviço NPS.

Se você quiser usar seus próprios certificados, você deve associar a chave pública do seu certificado com a entidade de serviço no Microsoft Entra ID e assim por diante.

Para usar o script, forneça a extensão com suas credenciais administrativas do Microsoft Entra e a ID de locatário do Microsoft Entra copiada anteriormente. A conta deve estar no mesmo locatário do Microsoft Entra para o qual você deseja habilitar a extensão. Execute o script em cada servidor NPS onde você instala a extensão NPS.

  1. Execute o Graph PowerShell como administrador.

  2. No prompt de comando do PowerShell, digite cd "c:\Program Files\Microsoft\AzureMfa\Config" e selecione Enter.

  3. No próximo prompt de comando, digite .\AzureMfaNpsExtnConfigSetup.ps1 e selecione Enter. O script verifica se o Graph PowerShell está instalado. Se não estiver instalado, o script instalará o Graph PowerShell para você.

    Running the AzureMfsNpsExtnConfigSetup.ps1 configuration script

    Se você receber um erro de segurança devido ao TLS, habilite o TLS 1.2 usando o [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 comando do prompt do PowerShell.

    Depois que o script verifica a instalação do módulo PowerShell, ele exibe a janela de entrada do módulo Graph PowerShell.

  4. Introduza as suas credenciais e palavra-passe de administrador do Microsoft Entra e, em seguida, selecione Iniciar sessão.

  5. No prompt de comando, cole o ID do locatário copiado anteriormente e selecione Enter.

    Input the Microsoft Entra tenant ID copied before

    O script cria um certificado autoassinado e executa outras alterações de configuração. A saída é assim na imagem a seguir:

    PowerShell window showing Self-signed certificate

  6. Reinicialize o servidor.

Verificar a configuração

Para verificar a configuração, você deve estabelecer uma nova conexão VPN com o servidor VPN. Depois de inserir com êxito suas credenciais para autenticação primária, a conexão VPN aguarda que a autenticação secundária seja bem-sucedida antes que a conexão seja estabelecida, conforme mostrado abaixo.

The Windows Settings VPN window

Se você autenticar com êxito com o método de verificação secundária que você configurou anteriormente na autenticação multifator do Microsoft Entra, você está conectado ao recurso. No entanto, se a autenticação secundária não for bem-sucedida, o acesso ao recurso será negado.

No exemplo a seguir, o aplicativo Microsoft Authenticator em um Windows Phone fornece a autenticação secundária:

Example MFA prompt on Windows Phone

Depois de autenticar com êxito usando o método secundário, você terá acesso à porta virtual no servidor VPN. Como foi necessário usar um método de autenticação secundário usando um aplicativo móvel em um dispositivo confiável, o processo de entrada é mais seguro do que se estivesse usando apenas uma combinação de nome de usuário e senha.

Exibir logs do Visualizador de Eventos para eventos de entrada bem-sucedidos

Para exibir eventos de entrada bem-sucedidos no Visualizador de Eventos do Windows, você pode exibir o log de Segurança ou o modo de exibição personalizado Serviços de Acesso e Política de Rede, conforme mostrado na imagem a seguir:

Example Network Policy Server log

No servidor onde você instalou a extensão NPS para autenticação multifator do Microsoft Entra, você pode encontrar logs de aplicativos do Visualizador de Eventos específicos para a extensão em Logs de Aplicativos e Serviços\Microsoft\AzureMfa.

Example Event Viewer AuthZ logs pane

Guia de resolução de problemas

Se a configuração não estiver funcionando conforme o esperado, comece a solucionar problemas verificando se o usuário está configurado para usar MFA. Faça com que o usuário entre no centro de administração do Microsoft Entra. Se o usuário for solicitado para autenticação secundária e puder autenticar com êxito, você poderá eliminar uma configuração incorreta de MFA como um problema.

Se o MFA estiver funcionando para o usuário, revise os logs relevantes do Visualizador de Eventos. Os logs incluem o evento de segurança, o Gateway operacional e os logs de autenticação multifator do Microsoft Entra que são discutidos na seção anterior.

Um exemplo de um log de segurança que exibe um evento de entrada com falha (ID de evento 6273) é mostrado aqui:

Security log showing a failed sign-in event

Um evento relacionado do log de autenticação multifator do Microsoft Entra é mostrado aqui:

Microsoft Entra multifactor authentication logs

Para fazer a solução de problemas avançada, consulte os arquivos de log no formato de banco de dados NPS onde o serviço NPS está instalado. Os arquivos de log são criados na pasta %SystemRoot%\System32\Logs como arquivos de texto delimitados por vírgula. Para obter uma descrição dos arquivos de log, consulte Interpretar arquivos de log de formato de banco de dados NPS.

As entradas nesses arquivos de log são difíceis de interpretar, a menos que você as exporte para uma planilha ou um banco de dados. Você pode encontrar muitas ferramentas de análise do Serviço de Autenticação da Internet (IAS) on-line para ajudá-lo a interpretar os arquivos de log. A saída de um desses aplicativos shareware para download é mostrada aqui:

Sample Shareware app IAS parser

Para solucionar problemas adicionais, você pode usar um analisador de protocolo, como o Wireshark ou o Microsoft Message Analyzer. A imagem a seguir do Wireshark mostra as mensagens RADIUS entre o servidor VPN e o NPS.

Microsoft Message Analyzer showing filtered traffic

Para obter mais informações, consulte Integrar sua infraestrutura NPS existente com a autenticação multifator do Microsoft Entra.

Próximos passos

Obter a autenticação multifator do Microsoft Entra

Gateway de Ambiente de Trabalho Remoto e Servidor Multi-Factor Authentication do Azure com o RADIUS

Integre seus diretórios locais com o Microsoft Entra ID