Интеграция инфраструктуры VPN с многофакторной проверкой подлинности Microsoft Entra с помощью расширения сервера политики сети для Azure

  • Статья

Расширение сервера политики сети (NPS) для Azure позволяет организациям защищать проверку подлинности клиента службы пользователей удаленной проверки подлинности (RADIUS) с помощью облачной многофакторной проверки подлинности Microsoft Entra, которая обеспечивает двухфакторную проверку подлинности.

В этой статье приведены инструкции по интеграции инфраструктуры NPS с Azure MFA с помощью расширения NPS для Azure. Этот процесс обеспечивает безопасную двухфакторную проверку подлинности пользователей, которые пытаются подключиться к вашей сети с помощью VPN.

Примечание.

Хотя расширение NPS MFA поддерживает одноразовый пароль на основе времени (TOTP), некоторые VPN-клиенты, такие как VPN Windows, не поддерживают. Убедитесь, что VPN-клиенты, которые вы используете в качестве метода проверки подлинности, прежде чем включить его в расширении NPS.

Службы политики сети и доступа дают организациям следующие возможности.

  • Назначение центрального расположения для управления сетевыми запросами и их контроля, позволяющего указать:

    • кто может подключаться;

    • в какое время дня подключения разрешены;

    • длительность подключений;

    • уровень безопасности, который клиенты должны использовать для подключения.

      Вместо того, чтобы указывать политики на каждом VPN-сервере или сервере шлюза удаленных рабочих столов, их можно указать в центральном расположении. Протокол RADIUS обеспечивает централизованную аутентификацию, авторизацию и учет.

  • Можно устанавливать и применять политики работоспособности клиента защиты доступа к сети (NAP), которые определяют, предоставляется ли устройствам неограниченный или ограниченный доступ к сетевым ресурсам.

  • Можно внедрить средства аутентификации и авторизации для доступа к точкам беспроводного доступа и коммутаторам Ethernet, поддерживающим протокол 802.1x. Дополнительную информацию см. в разделе Сервер политики сети (NPS).

Чтобы повысить безопасность и обеспечить высокий уровень соответствия требованиям, организации могут интегрировать NPS с многофакторной проверкой подлинности Microsoft Entra, чтобы пользователи могли использовать двухфакторную проверку подлинности для подключения к виртуальному порту на VPN-сервере. Чтобы получить доступ, пользователю необходимо предоставить свои имя пользователя и пароль, а также другие сведения, которыми он управляет. Эти сведения должны быть надежными и их должно быть сложно скопировать. Это может быть номер мобильного телефона, номер стационарного телефона или приложение на мобильном устройстве.

Если в вашей организации используется VPN и пользователь зарегистрирован для кода TOTP вместе с push-уведомлениями Authenticator, пользователь не может выполнить задачу MFA, а удаленный вход завершается ошибкой. В этом случае можно задать OVERRIDE_NU МБ ER_MATCHING_WITH_OTP = FALSE, чтобы вернуться к push-уведомлениям, чтобы утвердить или запретить с помощью Authenticator.

Чтобы расширение NPS продолжалось работать для VPN-пользователей, этот раздел реестра должен быть создан на сервере NPS. На сервере NPS откройте редактор реестра. Перейдите в раздел:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

Создайте следующую пару String/Value:

Имя: OVERRIDE_NU МБ ER_MATCHING_WITH_OTP

Значение = FALSE

До появления расширения NPS для Azure клиентам, желавшим внедрить двухфакторную проверку подлинности для интегрированных сред NPS и MFA, приходилось настраивать и обслуживать отдельный сервер MFA в локальной среде. Аутентификацию такого типа обеспечивают шлюз удаленных рабочих столов и сервер Многофакторной идентификации Azure, использующие RADIUS.

Используя расширение NPS для Azure, организации имеют возможность развернуть локальное или облачное решение MFA для защиты аутентификации клиентов RADIUS.

Поток аутентификации

Когда пользователи подключаются к виртуальному порту на VPN-сервере, они должны сначала пройти аутентификацию с помощью различных протоколов. Протоколы позволяют использовать сочетание имени пользователя и пароля, а также методы проверки подлинности на основе сертификатов.

Помимо выполнения аутентификации и проверки удостоверения, пользователи должны иметь соответствующие разрешения на входящее подключение. В простых реализациях эти разрешения на входящее подключение, которые обеспечивают доступ, задаются непосредственно в объектах-пользователях Active Directory.

Dial-in tab in Active Directory Users and Computers user properties

В простых реализациях каждый VPN-сервер предоставляет или запрещает доступ на основе политик, определенных на каждом локальном VPN-сервере.

В крупных и более масштабных реализациях политики, предоставляющие или запрещающие доступ через VPN, сосредоточены на серверах RADIUS. В этих случаях VPN-сервер действует как сервер доступа (клиент RADIUS), который перенаправляет запросы на подключение и сообщения учетной записи на сервер RADIUS. Чтобы подключиться к виртуальному порту на VPN-сервере, пользователи должны пройти аутентификацию и выполнить условия, определенные централизованно на серверах RADIUS.

Когда расширение NPS для Azure интегрировано с сервером политики сети, успешная аутентификация выглядит следующим образом:

  1. VPN-сервер получает запрос на аутентификацию от пользователя VPN, содержащий имя пользователя и пароль, для подключения к ресурсу (например, к сеансу удаленного рабочего стола).
  2. Выступая в качестве клиента RADIUS, VPN-сервер преобразовывает этот запрос в сообщение Access-Request RADIUS (пароль при этом шифруется) и отправляет его на сервер RADIUS, на котором установлено расширение NPS.
  3. Сочетание имени пользователя и пароля проверяется в Active Directory. Если имя пользователя и пароль указаны неправильно, сервер RADIUS отправляет сообщение Access-Reject.
  4. Если выполняются все условия, указанные в NPS Подключение ion Request and Network Policies, выполняются (например, ограничения на членство в группах или времени дня), расширение NPS активирует запрос на вторичную проверку подлинности с помощью многофакторной проверки подлинности Microsoft Entra.
  5. Многофакторная проверка подлинности Microsoft Entra взаимодействует с идентификатором Microsoft Entra, извлекает сведения пользователя и выполняет дополнительную проверку подлинности с помощью метода, настроенного пользователем (мобильный звонок, текстовое сообщение или мобильное приложение).
  6. При успешном выполнении задачи MFA многофакторная проверка подлинности Microsoft Entra передает результат расширению NPS.
  7. После аутентификации и авторизации подключения сервер политики сети, на котором установлено расширение NPS, отправляет сообщение Access-Accept RADIUS на VPN-сервер (клиент RADIUS).
  8. Пользователю предоставляется доступ к виртуальному порту на VPN-сервере, и создается зашифрованный VPN-туннель.

Необходимые компоненты

В этом разделе описаны предварительные условия, которые необходимо выполнить перед началом интеграции MFA с VPN. Прежде чем приступить к работе, следует подготовить приведенные ниже необходимые компоненты:

  • Инфраструктура VPN
  • роль "Службы политики сети и доступа";
  • Лицензия многофакторной проверки подлинности Microsoft Entra
  • программное обеспечение Windows Server;
  • Библиотеки
  • Идентификатор Microsoft Entra, синхронизированный с локальная служба Active Directory
  • Идентификатор GUID Microsoft Entra

Инфраструктура VPN

В этой статье предполагается наличие рабочей инфраструктуры VPN на основе Microsoft Windows Server 2016. Также предполагается, что VPN-сервер не настроен для пересылки запросов на подключение на сервер RADIUS. В этой статье вы настроите инфраструктуру VPN для использования центрального сервера RADIUS.

Если у вас нет рабочей инфраструктуры VPN, можно быстро создать ее, следуя инструкциям в многочисленных руководствах по установке VPN, которые можно найти на сайтах корпорации Майкрософт и сайтах сторонних поставщиков.

Роль "Службы политики сети и доступа"

Роль "Службы политики сети и доступа" обеспечивает функциональные возможности сервера и клиента RADIUS. В этой статье предполагается, что вы установили роль "Службы политики сети и доступа" на рядовой сервер или контроллер домена в своей среде. Вы настроите RADIUS для использования конфигурации VPN в данном руководстве. Установите роль "Службы политики сети и доступа" на сервере, отличном от VPN-сервера.

Дополнительные сведения об установке службы роли "Службы политики сети и доступа" на платформе Windows Server 2012 или более поздней версии см. в разделе Install a NAP Health Policy Server (Установка сервера политики работоспособности NAP). Служба NAP объявлена нерекомендуемой в Windows Server 2016. Описание рекомендаций для сервера политики сети, включая рекомендации по установке сервера политики сети на контроллер домена, см. в разделе Best Practices for NPS (Рекомендации для сервера политики сети).

программное обеспечение Windows Server;

Для работы расширения NPS требуется Windows Server 2008 R2 с пакетом обновления 1 (SP1) или более поздней версии с установленной ролью "Службы политики сети и доступа". Все действия в этом руководстве были выполнены с помощью Windows Server 2016.

Библиотеки

Следующая библиотека устанавливается автоматически с расширением NPS:

Если модуль Microsoft Graph PowerShell еще не присутствует, он установлен с скриптом конфигурации, который выполняется в процессе установки. Заранее установить Graph PowerShell не нужно.

Идентификатор Microsoft Entra, синхронизированный с локальная служба Active Directory

Чтобы использовать расширение NPS, локальные пользователи должны быть синхронизированы с идентификатором Microsoft Entra и включены для MFA. В этом руководстве предполагается, что локальные пользователи синхронизируются с идентификатором Microsoft Entra с помощью Microsoft Entra Подключение. Ниже приведены инструкции по включению Многофакторной идентификации для пользователей.

Сведения о microsoft Entra Подключение см. в статье "Интеграция локальных каталогов с идентификатором Microsoft Entra".

Идентификатор GUID Microsoft Entra

Чтобы установить расширение NPS, необходимо знать GUID идентификатора Microsoft Entra. Инструкции по поиску GUID идентификатора Microsoft Entra id приведены в следующем разделе.

Настройка RADIUS для VPN-подключений

Если вы установили роль NPS на рядовой сервер, ее необходимо настроить для аутентификации и авторизации VPN-клиента, запрашивающего VPN-подключение.

В этом разделе предполагается, вы установили роль "Службы политики сети и доступа", но еще не настроили ее для использования в инфраструктуре.

Примечание.

Если у вас уже имеется рабочий VPN-сервер, использующий центральный сервер RADIUS для аутентификации, то этот раздел можно пропустить.

Регистрация сервера в Active Directory

Для правильной работы в этом сценарии NPS-сервер должен быть зарегистрирован в Active Directory.

  1. Откройте диспетчер сервера.

  2. В диспетчере сервера щелкните Средства, а затем щелкните Сервер политики сети.

  3. В консоли сервера политики сети щелкните правой кнопкой мыши Сервер сетевых политик (локальный), а затем щелкните Зарегистрировать сервер в Active Directory. Дважды нажмите кнопку ОК.

    Register server in Active Directory menu option

  4. Оставьте консоль открытой для выполнения следующей процедуры.

Использование мастера для настройки сервера RADIUS

Для настройки сервера RADIUS можно использовать стандартную (с помощью мастера) или расширенную настройку. В этом разделе предполагается использование стандартной настройки с помощью мастера.

  1. В консоли сервера политики сети щелкните Сервер сетевых политик (локальный).

  2. В разделе Стандартная конфигурация выберите RADIUS-сервер для подключений удаленного доступа или VPN, а затем щелкните Настройка VPN или удаленного доступа.

    Configure RADIUS Server for Dial-Up or VPN Connections

  3. В окне Выберите тип подключения - удаленный доступ или виртуальная частная сеть выберите Virtual Private Network Connections (Подключения к виртуальной частной сети) и нажмите кнопку Далее.

    Configure Virtual private network connections

  4. В окне Укажите сервер удаленного доступа или VPN-сервер щелкните Добавить.

  5. В окне Новый RADIUS-клиент введите понятное имя, разрешаемое имя или IP-адрес VPN-сервера и общий секретный пароль. Этот секретный пароль должен быть длинным и сложным. Запишите его, так как он понадобится в следующем разделе.

    Create a New RADIUS client window

  6. Выберите ОК, затем выберите Далее.

  7. В окне Настройка методов проверки подлинности примите параметр по умолчанию (Шифрованная проверка (Microsoft, версия 2, MS-CHAP v2)) или выберите другой параметр, после чего нажмите кнопку Далее.

    Примечание.

    При настройке протокола EAP необходимо использовать протокол проверки пароля CHAPv2 (Майкрософт) или протокол PEAP. Другие варианты EAP не поддерживаются.

  8. В окне Настройка групп пользователей щелкните Добавить и выберите соответствующую группу. Если группа не существует, оставьте поле пустым, чтобы предоставить доступ всем пользователям.

    Specify User Groups window to allow or deny access

  9. Выберите Далее.

  10. В окне Задайте IP-фильтры щелкните Далее.

  11. В окне Задайте параметры шифрования примите параметры по умолчанию и нажмите кнопку Далее.

    The Specify Encryption Settings window

  12. В окне Укажите имя сферы не указывайте имя, примите параметр по умолчанию и нажмите кнопку Далее.

    The Specify a Realm Name window

  13. В окне Завершение создания подключений удаленного доступа или виртуальной частной сети и RADIUS-клиентов нажмите кнопку Готово.

    Completed configuration window

Проверка конфигурации RADIUS

В этом разделе описана конфигурация, созданная с помощью мастера.

  1. На сервере политики сети в консоли "Сервер сетевых политик (локальный)" разверните элемент RADIUS-клиенты и выберите RADIUS-клиенты.

  2. В области сведений щелкните правой кнопкой мыши созданный вами клиент RADIUS и выберите Свойства. Свойства клиента RADIUS (VPN-сервера) должны быть аналогичны показанным ниже.

    Verify the VPN properties and configuration

  3. Выберите Отмена.

  4. На сервере политики сети в консоли "Сервер сетевых политик (локальный)" разверните элемент Политики и выберите Политики запросов на подключение. Отобразится политика VPN-подключений, как показано на следующем рисунке.

    Connection request policy showing VPN connection policy

  5. В разделе Политики выберите Сетевые политики. Вы должны увидеть политику VPN-подключений, напоминающую политику, показанную на рисунке ниже.

    Network Policies showing Virtual Private Network Connections policy

Настройка VPN-сервера для использования аутентификации RADIUS

В этом разделе вы настроите VPN-сервер для использования аутентификации RADIUS. В инструкциях предполагается, что у вас имеется рабочая конфигурация VPN-сервера, но вы не настроили его для использования аутентификации RADIUS. После настройки VPN-сервера убедитесь, что конфигурация работает надлежащим образом.

Примечание.

Если у вас уже имеется рабочая конфигурация VPN-сервера, использующего аутентификацию RADIUS, то этот раздел можно пропустить.

Настройка поставщика проверки подлинности

  1. На VPN-сервере откройте диспетчер сервера.

  2. В диспетчере сервера выберите Средства, а затем — Маршрутизация и удаленный доступ.

  3. В окне Маршрутизация и удаленный доступ щелкните правой кнопкой мыши <имя_сервера> (локальный), а затем выберите Свойства.

  4. В окне <имя_сервера> (локальный) – свойства щелкните вкладку Безопасность.

  5. На вкладке Безопасность в разделе Поставщик проверки подлинности щелкните Проверка подлинности RADIUS, а затем — Настройка.

    Configure RADIUS Authentication provider

  6. В окне Проверка подлинности RADIUS щелкните Добавить.

  7. В окне Добавление RADIUS-сервера выполните следующие действия.

    1. В поле Имя сервера добавьте имя или IP-адрес сервера RADIUS, настроенного в предыдущем разделе.

    2. В разделе Общий секрет щелкните Изменить и введите общий секретный пароль, который вы создали и записали ранее.

    3. В поле Время ожидания (с) введите значение 60. Чтобы сократить число отклоненных запросов, рекомендуется настроить для VPN-серверов время ожидания не менее 60 секунд. При необходимости, а также для уменьшения числа отклоненных запросов в журналах событий значение времени ожидания VPN-сервера можно увеличить до 90 или 120 секунд.

  8. Нажмите ОК.

Проверка VPN-подключения

В этом разделе вы убедитесь, что VPN-клиент проходит аутентификацию и авторизацию на сервере RADIUS при попытке подключения к виртуальному порту VPN. В инструкциях предполагается, что вы используете VPN-клиент на платформе Windows 10.

Примечание.

Если вы настроили VPN-клиент для подключения к VPN-серверу и сохранили параметры, то можете пропустить шаги, относящиеся к настройке и сохранению объекта VPN-подключения.

  1. На компьютере VPN-клиента нажмите кнопку Пуск, затем — кнопку Параметры.

  2. В окне Параметры Windows выберите Сеть и Интернет.

  3. Выберите VPN.

  4. Щелкните Добавить VPN-подключение.

  5. В окне Добавление VPN-подключения в поле Поставщик услуг VPN выберите Windows (встроенная), а затем заполните оставшиеся поля соответствующим образом и нажмите кнопку Сохранить.

    The

  6. Перейдите к панели управления, а затем щелкните Управление сетями и общим доступом.

  7. Щелкните Изменение параметров адаптера.

    Network and Sharing Center - Change adapter settings

  8. Щелкните правой кнопкой мыши VPN-подключение и выберите Свойства.

  9. В окне свойств VPN щелкните вкладку Безопасность.

  10. На вкладке Безопасность убедитесь, что установлен только флажок Протокол MS-CHAP, версия 2, и нажмите кнопку ОК.

    The

  11. Щелкните правой кнопкой мыши VPN-подключение и выберите Подключить.

  12. В окне Параметры выберите Подключить.
    Успешное подключение отобразится в журнале безопасности на сервере RADIUS в виде события с идентификатором 6272, как показано ниже.

    Event Properties window showing a successful connection

Устранение неполадок с RADIUS

Предположим, конфигурация VPN работала до того, как вы настроили VPN-сервер для использования центрального сервера RADIUS для аутентификации и авторизации. Если конфигурация работала, вероятнее всего, проблема заключается в неправильной настройке сервера RADIUS либо использовании недействительного имени пользователя или пароля. Например, если вы указали альтернативный суффикс имени участника-пользователя в имени пользователя, попытка входа может завершиться сбоем. Используйте одно и то же имя учетной записи для получения наилучших результатов.

Чтобы устранить эти неполадки, лучше всего начать с проверки журналов событий безопасности на сервере RADIUS. Чтобы сэкономить время при поиске событий, можно использовать настраиваемое представление политик сети и сервера доступа в службе "Просмотр событий", как показано на следующем рисунке. Идентификатор события 6273 обозначает события, в которых сервер политики сети отказал пользователю в доступе.

Event Viewer showing NPAS events

Настройка многофакторной проверки подлинности

Дополнительные сведения о настройке пользователей для многофакторной проверки подлинности см. в статьях о планировании развертывания многофакторной проверки подлинности Microsoft Entra и настройке учетной записи для двухфакторной проверки подлинности

Установка и настройка расширения NPS

Этот раздел содержит инструкции по настройке инфраструктуры VPN для использования MFA для аутентификации клиентов с помощью VPN-сервера.

Примечание.

В разделе реестра REQUIRE_USER_MATCH учитывается регистр. Все значения должны быть заданы в верхнем регистре.

После установки и настройки расширения NPS во всех операциях аутентификации клиентов RADIUS, обрабатываемых этим сервером, будет обязательно использование MFA. Если все пользователи VPN не зарегистрированы в многофакторной проверке подлинности Microsoft Entra, можно выполнить одно из следующих действий:

  • Настройте еще один сервер RADIUS для аутентификации пользователей, для которых не настроено использование MFA.

  • Создайте запись реестра, которая позволяет оспаривающим пользователям предоставлять второй фактор проверки подлинности, если они зарегистрированы в многофакторной проверке подлинности Microsoft Entra.

Создайте новый строковый параметр REQUIRE_USER_MATCH в разделе HKLM\SOFTWARE\Microsoft\AzureMfa и задайте для него значение TRUE или FALSE.

The

Если задано значение TRUE или значение не указано, то все запросы на аутентификацию обрабатываются с помощью запроса защиты MFA. Если для значения задано значение FALSE, проблемы MFA выдаются только пользователям, зарегистрированным в многофакторной проверке подлинности Microsoft Entra. Используйте параметр со значением FALSE в тестовой или рабочей средах только в период подключения.

Получение идентификатора клиента каталога

В рамках настройки расширения NPS необходимо указать учетные данные администратора и идентификатор клиента Microsoft Entra. Чтобы получить идентификатор клиента, выполните указанные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального Администратор istrator.

  2. Перейдите к удостоверению> Параметры.

    Getting the Tenant ID from the Microsoft Entra admin center

Установка расширения NPS

Расширение NPS должно быть установлено на сервере, на котором установлена роль "Службы политики сети и доступа" и который действует как сервер RADIUS в инфраструктуре. Не следует устанавливать расширение NPS на сервер VPN.

  1. Скачайте расширение NPS из Центра загрузки Майкрософт.

  2. Скопируйте исполняемый установочный файл (NpsExtnForAzureMfaInstaller.exe) на NPS-сервер.

  3. На NPS-сервере дважды щелкните файл NpsExtnForAzureMfaInstaller.exe и, если появится соответствующий запрос, выберите Запустить.

  4. В окне установки многофакторной проверки подлинности NPS для Microsoft Entra просмотрите условия лицензионного соглашения, выберите условия лицензионного соглашения проверка и нажмите кнопку "Установить".

    The

  5. В окне установки многофакторной проверки подлинности nPS для Microsoft Entra нажмите кнопку "Закрыть".

    The

Настройка сертификатов для использования с расширением NPS с помощью скрипта Graph PowerShell

Чтобы обеспечить безопасную связь и контроль, настройте сертификаты для расширения NPS. Компоненты NPS включают скрипт Graph PowerShell, который настраивает самозаверяющий сертификат для использования с NPS.

Этот сценарий выполняет следующие действия:

  • создает самозаверяющий сертификат;
  • Связывает открытый ключ сертификата с субъектом-службой в идентификаторе Microsoft Entra.
  • сохраняет сертификат в хранилище на локальном компьютере;
  • предоставляет сетевому пользователю доступ к закрытому ключу сертификата;
  • перезапускает службу NPS.

Если вы хотите использовать собственные сертификаты, необходимо связать открытый ключ сертификата с субъектом-службой на идентификаторе Microsoft Entra ID и т. д.

Чтобы использовать скрипт, укажите расширение с учетными данными администратора Microsoft Entra и идентификатором клиента Microsoft Entra, скопированным ранее. Учетная запись должна находиться в том же клиенте Microsoft Entra, для которой требуется включить расширение. Запустите сценарий на каждом NPS-сервере, на котором установлено расширение NPS.

  1. Запустите Graph PowerShell от имени администратора.

  2. В командной строке PowerShell введите команду cd "c:\Program Files\Microsoft\AzureMfa\Config" и нажмите клавишу ВВОД.

  3. В следующей командной строке введите .\AzureMfsNpsExtnConfigSetup.ps1 и нажмите клавишу ВВОД. Скрипт проверка, чтобы узнать, установлен ли Graph PowerShell. Если он не установлен, скрипт устанавливает Graph PowerShell для вас.

    Running the AzureMfsNpsExtnConfigSetup.ps1 configuration script

    Если возникла ошибка безопасности, связанная с TLS, включите TLS 1.2 с помощью команды [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 в командной строке PowerShell.

    После проверки установки модуля PowerShell в скрипте отобразится окно входа модуля Graph PowerShell.

  4. Введите учетные данные и пароль администратора Microsoft Entra, а затем нажмите кнопку "Войти".

  5. Вставьте идентификатор клиента, скопированный ранее, в командную строку и нажмите клавишу ВВОД.

    Input the Microsoft Entra tenant ID copied before

    Этот сценарий создает самозаверяющий сертификат и выполняет другие изменения конфигурация. Выходные данные должны иметь вид, как показано на рисунке ниже.

    PowerShell window showing Self-signed certificate

  6. Перезагрузите сервер.

Проверить конфигурацию

Чтобы проверить конфигурацию, необходимо установить новое VPN-подключение к VPN-серверу. После успешного ввода учетных данных для основной аутентификации VPN-подключение ожидает прохождения дополнительной аутентификации, прежде чем подключение будет установлено, как показано ниже.

The Windows Settings VPN window

При успешной проверке подлинности с помощью дополнительного метода проверки подлинности, настроенного ранее в многофакторной проверке подлинности Microsoft Entra, вы подключены к ресурсу. Однако если вы не пройдете дополнительную аутентификацию, доступ к ресурсу будет запрещен.

В следующем примере приложение Microsoft Authenticator в Windows Phone используется для дополнительной аутентификации.

Example MFA prompt on Windows Phone

После успешного прохождения аутентификации с помощью дополнительного метода вам предоставляется доступ к виртуальному порту на VPN-сервере. Так как вы должны были пройти дополнительную аутентификацию с помощью мобильного приложения на доверенном устройстве, процесс входа защищен лучше, чем при использовании только имени пользователя и пароля.

Просмотр событий успешного входа в журналах службы "Просмотр событий"

Чтобы просмотреть события успешного входа в Windows Просмотр событий, можно просмотреть журнал безопасности или сетевую политику и службы Access пользовательское представление, как показано на следующем рисунке:

Example Network Policy Server log

На сервере, на котором установлено расширение NPS для многофакторной проверки подлинности Microsoft Entra, можно найти Просмотр событий журналы приложений, относящиеся к расширению в журналах приложений и служб\Microsoft\AzureMfa.

Example Event Viewer AuthZ logs pane

Руководство по устранению неполадок

Если конфигурация не работает должным образом, то, чтобы устранить неполадку, в первую очередь следует убедиться, что пользователь настроен для использования MFA. Войдите в Центр администрирования Microsoft Entra. Если ему предлагается дополнительная аутентификация и он может успешно пройти ее, то можно исключить ошибку в конфигурации MFA.

Если пользователь успешно использует MFA, следует изучить соответствующие журналы службы "Просмотр событий". Журналы включают события безопасности, операционные шлюзы и журналы многофакторной проверки подлинности Microsoft Entra, которые рассматриваются в предыдущем разделе.

Ниже показан пример журнала безопасности, который содержит событие входа, завершившегося сбоем (идентификатор события 6273).

Security log showing a failed sign-in event

Ниже показано связанное событие из журнала многофакторной проверки подлинности Microsoft Entra:

Microsoft Entra multifactor authentication logs

Чтобы расширить возможности устранения неполадок, просмотрите файлы журнала в формате базы данных NPS в расположении, в котором установлена служба NPS. Эти файлы журналов создаются в папке %SystemRoot%\System32\Logs в виде текстовых файлов с разделителями-запятыми. Описание этих файлов журнала см. в разделе Interpret NPS Database Format Log Files (Интерпретация файлов журнала в формате базы данных NPS).

Записи в этих файлах журнала сложно интерпретировать, не импортировав их в электронную таблицу или базу данных. В Интернете можно найти множество инструментов анализа для службы проверки подлинности в Интернете (IAS), которые упростят интерпретацию файлов журнала. Ниже показаны выходные данные одной из таких скачиваемых условно бесплатных программ.

Sample Shareware app IAS parser

Чтобы еще больше расширить возможности устранения неполадок, можно использовать анализатор протокола, например Wireshark или Microsoft Message Analyzer. На следующем снимке экрана Wireshark показаны сообщения RADIUS, передаваемые между VPN-сервером и сервером политики сети.

Microsoft Message Analyzer showing filtered traffic

Дополнительные сведения см. в статье "Интеграция существующей инфраструктуры NPS с многофакторной проверкой подлинности Microsoft Entra".

Следующие шаги

Получение многофакторной проверки подлинности Microsoft Entra

Шлюз удаленных рабочих столов и сервер Многофакторной идентификации Azure, использующие проверку подлинности RADIUS

Интеграция локальных каталогов с идентификатором Microsoft Entra