Azure için Ağ İlkesi Sunucusu uzantısını kullanarak VPN altyapınızı Azure AD MFA ile tümleştirme

  • Makale

Azure için Ağ İlkesi Sunucusu (NPS) uzantısı, kuruluşların iki aşamalı doğrulama sağlayan bulut tabanlı Azure AD Multi-Factor Authentication (MFA) kullanarak Uzaktan Kimlik Doğrulama Arayarak Bağlanma Kullanıcı Hizmeti (RADIUS) istemci kimlik doğrulamasını korumasına olanak tanır.

Bu makalede, Azure için NPS uzantısını kullanarak NPS altyapısını MFA ile tümleştirme yönergeleri sağlanır. Bu işlem, vpn kullanarak ağınıza bağlanmaya çalışan kullanıcılar için güvenli iki aşamalı doğrulamayı etkinleştirir.

Ağ İlkesi ve Erişim Hizmetleri, kuruluşlara şu özellikleri sunar:

  • Ağ isteklerinin yönetimi ve denetimi için şunları belirtmek üzere merkezi bir konum atayın:

    • Kimler bağlanabilir?

    • Günün hangi saatleri bağlantılarına izin verilir?

    • Bağlantıların süresi

    • İstemcilerin bağlanmak için kullanması gereken güvenlik düzeyi

      Her VPN veya Uzak Masaüstü Ağ Geçidi sunucusunda ilke belirtmek yerine, bunu merkezi bir konumdan sonra yapın. RADIUS protokolü merkezi Kimlik Doğrulaması, Yetkilendirme ve Muhasebe (AAA) sağlamak için kullanılır.

  • Cihazlara ağ kaynaklarına sınırsız veya kısıtlı erişim verilip verilmediğini belirleyen Ağ Erişim Koruması (NAP) istemci sistem durumu ilkeleri oluşturun ve uygulayın.

  • 802.1x özellikli kablosuz erişim noktalarına ve Ethernet anahtarlarına erişim için kimlik doğrulamasını ve yetkilendirmeyi zorlamak için bir yol sağlayın. Daha fazla bilgi için bkz . Ağ İlkesi Sunucusu.

Kuruluşlar, güvenliği geliştirmek ve yüksek düzeyde uyumluluk sağlamak için NPS'yi Azure AD Multi-Factor Authentication ile tümleştirerek kullanıcıların VPN sunucusundaki sanal bağlantı noktasına bağlanmak için iki aşamalı doğrulama kullanmasını sağlayabilir. Kullanıcılara erişim verilmesi için kullanıcı adı ve parola birleşimlerini ve denetledikleri diğer bilgileri sağlamaları gerekir. Bu bilgilere güvenilmeli ve kolayca çoğaltılmamalıdır. Cep telefonu numarası, sabit hat numarası veya mobil cihazdaki bir uygulama içerebilir.

Azure için NPS uzantısının kullanılabilirliği öncesinde, tümleşik NPS ve MFA ortamları için iki aşamalı doğrulama uygulamak isteyen müşterilerin şirket içi ortamda ayrı bir MFA sunucusu yapılandırmaları ve korumaları gerekiyordu. Bu kimlik doğrulaması türü, RADIUS kullanılarak Uzak Masaüstü Ağ Geçidi ve Azure Multi-Factor Authentication Sunucusu tarafından sunulur.

Azure için NPS uzantısıyla kuruluşlar, şirket içi tabanlı bir MFA çözümü veya bulut tabanlı MFA çözümü dağıtarak RADIUS istemci kimlik doğrulamasının güvenliğini sağlayabilir.

Kimlik doğrulaması akışı

Kullanıcılar vpn sunucusundaki bir sanal bağlantı noktasına bağlandığında, önce çeşitli protokoller kullanarak kimlik doğrulaması yapmalıdır. Protokoller, kullanıcı adı ve parola ile sertifika tabanlı kimlik doğrulama yöntemlerinin bir bileşiminin kullanılmasına izin verir.

Kullanıcıların kimliklerini doğrulamaya ve kimliklerini doğrulamaya ek olarak uygun arayarak bağlanma izinlerine sahip olmaları gerekir. Basit uygulamalarda, erişime izin veren arayarak bağlanma izinleri doğrudan Active Directory kullanıcı nesnelerinde ayarlanır.

Active Directory Kullanıcıları ve Bilgisayarları kullanıcı özelliklerinde arayarak bağlanma sekmesi

Basit uygulamalarda her VPN sunucusu, her yerel VPN sunucusunda tanımlanan ilkelere göre erişim verir veya erişimi reddeder.

Daha büyük ve daha ölçeklenebilir uygulamalarda, VPN erişimi veren veya reddeden ilkeler RADIUS sunucularında merkezileştirilir. Böyle durumlarda VPN sunucusu, bağlantı isteklerini ve hesap iletilerini bir RADIUS sunucusuna ileden bir erişim sunucusu (RADIUS istemcisi) işlevi görür. VPN sunucusundaki sanal bağlantı noktasına bağlanmak için kullanıcıların kimliğinin doğrulanması ve RADIUS sunucularında merkezi olarak tanımlanan koşulları karşılaması gerekir.

Azure için NPS uzantısı NPS ile tümleştirildiğinde başarılı bir kimlik doğrulama akışı aşağıdaki gibi sonuçlanır:

  1. VPN sunucusu, bir VPN kullanıcısından Uzak Masaüstü oturumu gibi bir kaynağa bağlanmak için kullanıcı adını ve parolayı içeren bir kimlik doğrulama isteği alır.
  2. RADIUS istemcisi olarak davranan VPN sunucusu, isteği BIR RADIUS Erişim İsteği iletisine dönüştürür ve NPS uzantısının yüklendiği RADIUS sunucusuna (şifrelenmiş parolayla) gönderir.
  3. Kullanıcı adı ve parola bileşimi Active Directory'de doğrulanır. Kullanıcı adı veya parola yanlışsa, RADIUS Sunucusu bir Erişim Reddi iletisi gönderir.
  4. NPS Bağlantı İsteği ve Ağ İlkeleri'nde belirtilen tüm koşullar karşılanırsa (örneğin, günün saati veya grup üyeliği kısıtlamaları), NPS uzantısı Azure AD Multi-Factor Authentication ile ikincil kimlik doğrulaması isteği tetikler.
  5. Azure AD Multi-Factor Authentication Azure Active Directory ile iletişim kurar, kullanıcının ayrıntılarını alır ve kullanıcı tarafından yapılandırılan yöntemi (cep telefonu araması, kısa mesaj veya mobil uygulama) kullanarak ikincil kimlik doğrulamasını gerçekleştirir.
  6. MFA sınaması başarılı olduğunda, Azure AD Multi-Factor Authentication sonucu NPS uzantısına iletir.
  7. Bağlantı girişimi hem kimliği doğrulandıktan hem de yetkilendirildikten sonra, uzantının yüklendiği NPS, VPN sunucusuna (RADIUS istemcisi) bir RADIUS Erişimi-Kabul Et iletisi gönderir.
  8. Kullanıcıya VPN sunucusundaki sanal bağlantı noktasına erişim verilir ve şifrelenmiş bir VPN tüneli oluşturur.

Önkoşullar

Bu bölümde, MFA'yi VPN ile tümleştirebilmeniz için önce tamamlanması gereken önkoşullar ayrıntılı olarak anlatılacaktır. Başlamadan önce aşağıdaki önkoşullara sahip olmanız gerekir:

  • VPN altyapısı
  • Ağ İlkesi ve Erişim Hizmetleri rolü
  • Azure AD Multi-Factor Authentication lisansı
  • Windows Server yazılımı
  • Kitaplıklar
  • Azure Active Directory (Azure AD) şirket içi Active Directory ile eşitlendi
  • Azure Active Directory GUID Kimliği

VPN altyapısı

Bu makalede, Microsoft Windows Server 2016 kullanan çalışan bir VPN altyapınız olduğu ve VPN sunucunuzun şu anda bağlantı isteklerini bir RADIUS sunucusuna iletecek şekilde yapılandırılmadığı varsayılır. Makalede, VPN altyapısını merkezi bir RADIUS sunucusu kullanacak şekilde yapılandıracaksınız.

Çalışan bir VPN altyapınız yoksa, Microsoft ve üçüncü taraf sitelerinde bulabileceğiniz çok sayıda VPN kurulum öğreticisindeki yönergeleri izleyerek hızlı bir şekilde bir tane oluşturabilirsiniz.

Ağ İlkesi ve Erişim Hizmetleri rolü

Ağ İlkesi ve Erişim Hizmetleri, RADIUS sunucusu ve istemci işlevselliği sağlar. Bu makalede, ortamınızdaki bir üye sunucuya veya etki alanı denetleyicisine Ağ İlkesi ve Erişim Hizmetleri rolünü yüklediğiniz varsayılır. Bu kılavuzda, BIR VPN yapılandırması için RADIUS'yi yapılandıracaksınız. Vpn sunucunuz dışındaki bir sunucuya Ağ İlkesi ve Erişim Hizmetleri rolünü yükleyin.

Ağ İlkesi ve Erişim Hizmetleri rol hizmeti Windows Server 2012 veya üzerini yükleme hakkında bilgi için bkz. NAP Sistem Durumu İlkesi Sunucusu Yükleme. NAP, Windows Server 2016 kullanım dışıdır. NPS'yi bir etki alanı denetleyicisine yükleme önerisi de dahil olmak üzere NPS için en iyi yöntemlerin açıklaması için bkz. NPS için en iyi yöntemler.

Azure AD MFA Lisansı

Azure AD Multi-Factor Authentication için lisans gereklidir ve Azure AD Premium, Enterprise Mobility + Security veya Multi-Factor Authentication tek başına lisansı aracılığıyla kullanılabilir. Kullanıcı başına veya kimlik doğrulaması başına lisanslar gibi Azure AD MFA için tüketim tabanlı lisanslar NPS uzantısıyla uyumlu değildir. Daha fazla bilgi için bkz. Azure AD Multi-Factor Authentication'ı alma. Test amacıyla bir deneme aboneliği kullanabilirsiniz.

Windows Server yazılımı

NPS uzantısı, Ağ İlkesi ve Erişim Hizmetleri rolünün yüklü olduğu Windows Server 2008 R2 SP1 veya üzerini gerektirir. Bu kılavuzdaki tüm adımlar Windows Server 2016 ile gerçekleştirildi.

Kitaplıklar

Aşağıdaki kitaplıklar NPS uzantısıyla otomatik olarak yüklenir:

Microsoft Azure Active Directory PowerShell Modülü henüz yoksa, kurulum işleminin bir parçası olarak çalıştırdığınız bir yapılandırma betiğiyle birlikte yüklenir. Önceden yüklenmemişse modülü önceden yüklemeniz gerekmez.

Azure Active Directory şirket içi Active Directory ile eşitlendi

NPS uzantısını kullanmak için şirket içi kullanıcıların Azure Active Directory ile eşitlenmesi ve MFA için etkinleştirilmesi gerekir. Bu kılavuzda, şirket içi kullanıcıların Azure AD Connect aracılığıyla Azure Active Directory ile eşitlendiği varsayılır. MFA için kullanıcıları etkinleştirme yönergeleri aşağıda verilmiştir.

Azure AD Connect hakkında bilgi için bkz. Şirket içi dizinlerinizi Azure Active Directory ile tümleştirme.

Azure Active Directory GUID Kimliği

NPS uzantısını yüklemek için Azure Active Directory'nin GUID değerini bilmeniz gerekir. Azure Active Directory'nin GUID'sini bulma yönergeleri sonraki bölümde verilmiştir.

VPN bağlantıları için RADIUS yapılandırma

NPS rolünü bir üye sunucuya yüklediyseniz, VPN bağlantısı isteyen VPN istemcisinin kimliğini doğrulamak ve yetkilendirmek için bu rolü yapılandırmanız gerekir.

Bu bölümde, Ağ İlkesi ve Erişim Hizmetleri rolünü yüklediğiniz ancak altyapınızda kullanmak üzere yapılandırmadığınız varsayılır.

Not

Kimlik doğrulaması için merkezi bir RADIUS sunucusu kullanan çalışan bir VPN sunucunuz zaten varsa, bu bölümü atlayabilirsiniz.

Sunucuyu Active Directory'ye Kaydetme

Bu senaryoda düzgün çalışması için NPS sunucusunun Active Directory'ye kaydedilmesi gerekir.

  1. Sunucu Yöneticisi'ni açın.

  2. Sunucu Yöneticisi'da Araçlar'ı ve ardından Ağ İlkesi Sunucusu'nu seçin.

  3. Ağ İlkesi Sunucusu konsolunda NPS (Yerel) seçeneğine sağ tıklayın ve ardından Sunucuyu Active Directory'ye kaydet'i seçin. İki kez Tamam'ı seçin.

    Sunucuyu Active Directory'ye kaydet menü seçeneği

  4. Sonraki yordam için konsolu açık bırakın.

RADIUS sunucusunu yapılandırmak için sihirbazı kullanma

RADIUS sunucusunu yapılandırmak için standart (sihirbaz tabanlı) veya gelişmiş bir yapılandırma seçeneği kullanabilirsiniz. Bu bölümde sihirbaz tabanlı standart yapılandırma seçeneğini kullandığınız varsayılır.

  1. Ağ İlkesi Sunucusu konsolunda NPS (Yerel) seçeneğini belirleyin.

  2. Standart Yapılandırma'nın altında Çevirmeli Bağlantı veya VPN Bağlantıları için RADIUS Sunucusu'nu seçin ve ardından VPN veya Çevirmeli Bağlantı Yapılandır'ı seçin.

    RADIUS Sunucusunu Çevirmeli Bağlantılar veya VPN Bağlantıları için Yapılandırma

  3. Çevirmeli Ağ veya Sanal Özel Ağ Bağlantıları Türünü Seçin penceresinde Sanal Özel Ağ Bağlantıları'nı ve ardından İleri'yi seçin.

    Sanal özel ağ bağlantılarını yapılandırma

  4. Çevirmeli Bağlantı veya VPN Sunucusu Belirt penceresinde Ekle'yi seçin.

  5. Yeni RADIUS istemcisi penceresinde kolay bir ad girin, VPN sunucusunun çözümlenebilir adını veya IP adresini girin ve ardından paylaşılan bir gizli parola girin. Paylaşılan gizli parolayı uzun ve karmaşık hale getirin. Bir sonraki bölümde gerek duyacağınız için kaydedin.

    Yeni RADIUS istemci penceresi oluşturma

  6. Tamam'ı ve ardından İleri'yi seçin.

  7. Kimlik Doğrulama Yöntemlerini Yapılandır penceresinde, varsayılan seçimi kabul edin (Microsoft Şifreli Kimlik Doğrulaması sürüm 2 [MS-CHAPv2]) veya başka bir seçenek belirleyin ve İleri'yi seçin.

    Not

    Genişletilebilir Kimlik Doğrulama Protokolü(EAP) yapılandırırsanız, Microsoft Challenge-Handshake Kimlik Doğrulama Protokolü (CHAPv2) veya Korumalı Genişletilebilir Kimlik Doğrulama Protokolü (PEAP) kullanmanız gerekir. Başka EAP desteklenmez.

  8. Kullanıcı Gruplarını Belirtin penceresinde Ekle'yi ve ardından uygun bir grubu seçin. Grup yoksa, tüm kullanıcılara erişim vermek için seçimi boş bırakın.

    Erişime izin vermek veya erişimi reddetmek için Kullanıcı Grupları belirt penceresi

  9. İleri’yi seçin.

  10. IP Filtrelerini Belirtin penceresinde İleri'yi seçin.

  11. Şifreleme Ayarlarını Belirtin penceresinde varsayılan ayarları kabul edin ve İleri'yi seçin.

    Şifreleme Ayarlarını Belirt penceresi

  12. Bölge Adı Belirt penceresinde bölge adını boş bırakın, varsayılan ayarı kabul edin ve İleri'yi seçin.

    Bölge Adı Belirt penceresi

  13. Yeni Çevirmeli Veya Sanal Özel Ağ Bağlantıları ve RADIUS istemcileri Tamamlanıyor penceresinde Son'u seçin.

    Tamamlanan yapılandırma penceresi

RADIUS yapılandırmasını doğrulama

Bu bölümde, sihirbazı kullanarak oluşturduğunuz yapılandırmanın ayrıntıları yer alır.

  1. Ağ İlkesi Sunucusu'ndaki NPS (yerel) konsolunda RADIUS İstemcileri'ni genişletin ve RADIUS İstemcileri'ni seçin.

  2. Ayrıntılar bölmesinde, oluşturduğunuz RADIUS istemcisine sağ tıklayın ve özellikler'i seçin. RADIUS istemcinizin (VPN sunucusu) özellikleri burada gösterilenlere benzer olmalıdır:

    VPN özelliklerini ve yapılandırmasını doğrulama

  3. İptal’i seçin.

  4. Ağ İlkesi Sunucusu'ndaki NPS (yerel) konsolunda İlkeler'i genişletin ve ardından Bağlantı İsteği İlkeleri'ni seçin. VPN Bağlantıları ilkesi aşağıdaki görüntüde gösterildiği gibi görüntülenir:

    VPN bağlantı ilkesini gösteren bağlantı isteği ilkesi

  5. İlkeler'in altında Ağ İlkeleri'ne tıklayın. Aşağıdaki görüntüde gösterilen ilkeye benzer bir Sanal Özel Ağ (VPN) Bağlantıları ilkesi görmeniz gerekir:

    Sanal Özel Ağ Bağlantıları ilkesini gösteren Ağ İlkeleri

VPN sunucunuzu RADIUS kimlik doğrulamasını kullanacak şekilde yapılandırma

Bu bölümde, VPN sunucunuzu RADIUS kimlik doğrulamasını kullanacak şekilde yapılandıracaksınız. Yönergelerde, bir VPN sunucusunun çalışma yapılandırmasına sahip olduğunuz ancak RADIUS kimlik doğrulamasını kullanacak şekilde yapılandırmadığınız varsayılır. VPN sunucusunu yapılandırdıktan sonra yapılandırmanızın beklendiği gibi çalıştığını onaylayın.

Not

RADIUS kimlik doğrulaması kullanan çalışan bir VPN sunucusu yapılandırmanız zaten varsa, bu bölümü atlayabilirsiniz.

Kimlik doğrulama sağlayıcısını yapılandırma

  1. VPN sunucusunda Sunucu Yöneticisi açın.

  2. Sunucu Yöneticisi'da Araçlar'ı ve ardından Yönlendirme ve Uzaktan Erişim'i seçin.

  3. Yönlendirme ve Uzaktan Erişim penceresinde sunucu adına> (yerel) sağ tıklayın< ve özellikler'i seçin.

  4. <Sunucu adı> (yerel) Özellikler penceresinde Güvenlik sekmesini seçin.

  5. Güvenlik sekmesinde, Kimlik doğrulama sağlayıcısı'nın altında RADIUS Kimlik Doğrulaması'nı ve ardından Yapılandır'ı seçin.

    RADIUS Kimlik Doğrulama sağlayıcısını yapılandırma

  6. RADIUS Kimlik Doğrulaması penceresinde Ekle'yi seçin.

  7. RADIUS Sunucusu Ekle penceresinde aşağıdakileri yapın:

    a. Sunucu adı kutusuna, önceki bölümde yapılandırdığınız RADIUS sunucusunun adını veya IP adresini girin.

    b. Paylaşılan gizli dizi için Değiştir'i seçin ve daha önce oluşturup kaydettiğiniz paylaşılan gizli dizi parolasını girin.

    c. Zaman aşımı (saniye) kutusuna 60 değerini girin.
    Atılan istekleri en aza indirmek için VPN sunucularının en az 60 saniyelik bir zaman aşımıyla yapılandırılmasını öneririz. Gerekirse veya olay günlüklerindeki atılan istekleri azaltmak için VPN sunucusu zaman aşımı değerini 90 veya 120 saniyeye çıkarabilirsiniz.

  8. Tamam’ı seçin.

VPN bağlantısını test etme

Bu bölümde, VPN sanal bağlantı noktasına bağlanmaya çalıştığınızda RADIUS sunucusu tarafından VPN istemcisinin kimliğinin doğrulandığını ve yetkilendirildiğini onaylarsınız. Yönergelerde vpn istemcisi olarak Windows 10 kullandığınız varsayılır.

Not

VPN sunucusuna bağlanmak için zaten bir VPN istemcisi yapılandırdıysanız ve ayarları kaydettiyseniz, VPN bağlantı nesnesini yapılandırma ve kaydetme ile ilgili adımları atlayabilirsiniz.

  1. VPN istemci bilgisayarınızda Başlangıç düğmesini ve ardından Ayarlar düğmesini seçin.

  2. Windows Ayarları penceresinde Ağ & İnterneti'ni seçin.

  3. VPN'yi seçin.

  4. VPN bağlantısı ekle'yi seçin.

  5. VPN bağlantısı ekle penceresinde, VPN sağlayıcısı kutusunda Windows (yerleşik) öğesini seçin, kalan alanları uygun şekilde doldurun ve kaydet'i seçin.

  6. Denetim Masası'a gidin ve Ağ ve Paylaşım Merkezi'ne tıklayın.

  7. Bağdaştırıcı ayarlarını değiştir'i seçin.

    Ağ ve Paylaşım Merkezi - Bağdaştırıcı ayarlarını değiştirme

  8. VPN ağ bağlantısına sağ tıklayın ve özellikler'i seçin.

  9. VPN özellikleri penceresinde Güvenlik sekmesini seçin.

  10. Güvenlik sekmesinde yalnızca Microsoft CHAP Sürüm 2 'nin (MS-CHAP v2) seçili olduğundan emin olun ve tamam'ı seçin.

  11. VPN bağlantısına sağ tıklayın ve bağlan'ı seçin.

  12. Ayarlar penceresinde Bağlan'ı seçin.
    Güvenlik günlüğünde, RADIUS sunucusunda olay kimliği 6272 olarak burada gösterildiği gibi başarılı bir bağlantı görünür:

    Başarılı bir bağlantı gösteren olay Özellikler penceresi

RADIUS sorunlarını giderme

VPN sunucusunu kimlik doğrulaması ve yetkilendirme için merkezi bir RADIUS sunucusu kullanacak şekilde yapılandırmadan önce VPN yapılandırmanızın çalıştığını varsayın. Yapılandırma çalışıyorsa, sorunun nedeni RADIUS sunucusunun yanlış yapılandırılması veya geçersiz bir kullanıcı adı veya parola kullanılması olabilir. Örneğin, kullanıcı adına alternatif UPN sonekini kullanırsanız oturum açma girişimi başarısız olabilir. En iyi sonuçlar için aynı hesap adını kullanın.

Bu sorunları gidermek için başlamak için ideal bir yer RADIUS sunucusundaki Güvenlik olay günlüklerini incelemektir. Olayları ararken zaman kazanmak için, burada gösterildiği gibi Olay Görüntüleyicisi'da rol tabanlı Ağ İlkesi ve Access Server özel görünümünü kullanabilirsiniz. "Olay Kimliği 6273", NPS'nin kullanıcıya erişimi engellediği olayları gösterir.

NPAS olaylarını gösteren Olay Görüntüleyicisi

Multi-Factor Authentication'ı yapılandırma

Kullanıcıları Multi-Factor Authentication için yapılandırma konusunda yardım için Bulut tabanlı Azure AD Multi-Factor Authentication dağıtımı planlama ve hesabımı iki aşamalı doğrulama için ayarlama makalelerine bakın

NPS uzantısını yükleme ve yapılandırma

Bu bölümde, VPN'yi VPN sunucusuyla istemci kimlik doğrulaması için MFA kullanacak şekilde yapılandırma yönergeleri sağlanır.

Not

REQUIRE_USER_MATCH kayıt defteri anahtarı büyük/küçük harfe duyarlıdır. Tüm değerler BÜYÜK HARF biçiminde ayarlanmalıdır.

NPS uzantısını yükleyip yapılandırdıktan sonra, MFA kullanmak için bu sunucu tarafından işlenen tüm RADIUS tabanlı istemci kimlik doğrulaması gerekir. Tüm VPN kullanıcılarınız Azure AD Multi-Factor Authentication'a kayıtlı değilse, aşağıdakilerden birini yapabilirsiniz:

  • MFA kullanmak üzere yapılandırılmamış kullanıcıların kimliğini doğrulamak için başka bir RADIUS sunucusu ayarlayın.

  • Azure AD Multi-Factor Authentication'a kayıtlı olmaları durumunda, zorlanan kullanıcıların ikinci bir kimlik doğrulama faktörü sağlamasına olanak tanıyan bir kayıt defteri girdisi oluşturun.

HKLM\SOFTWARE\Microsoft\AzureMfa içinde REQUIRE_USER_MATCH adlı yeni bir dize değeri oluşturun ve değeri TRUE veya FALSE olarak ayarlayın.

Değer TRUE olarak ayarlandıysa veya boşsa, tüm kimlik doğrulama istekleri bir MFA sınamasına tabidir. Değer FALSE olarak ayarlanırsa, MFA sınamaları yalnızca Azure AD Multi-Factor Authentication'a kayıtlı kullanıcılara verilir. YANLIŞ ayarını yalnızca bir ekleme dönemi boyunca testlerde veya üretim ortamlarında kullanın.

Azure Active Directory kiracı kimliğini alma

NPS uzantısının yapılandırmasının bir parçası olarak, yönetici kimlik bilgilerini ve Azure AD kiracınızın kimliğini sağlamanız gerekir. Kiracı kimliğini almak için aşağıdaki adımları tamamlayın:

  1. azure kiracısının genel yöneticisi olarak Azure portal oturum açın.

  2. Azure portal menüsünde Azure Active Directory'yi seçin veya herhangi bir sayfada Azure Active Directory'yi arayıp seçin.

  3. Genel Bakış sayfasında Kiracı bilgileri gösterilir. Aşağıdaki örnek ekran görüntüsünde gösterildiği gibi Kiracı Kimliği'nin yanındaki Kopyala simgesini seçin:

    kiracı kimliğini Azure portal alma

NPS uzantısını yükleme

NPS uzantısı, Ağ İlkesi ve Erişim Hizmetleri rolünün yüklü olduğu ve tasarımınızda RADIUS sunucusu olarak işlev gösteren bir sunucuya yüklenmelidir. NPS uzantısını VPN sunucunuza yüklemeyin .

  1. Microsoft İndirme Merkezi'nden NPS uzantısını indirin.

  2. Kurulum yürütülebilir dosyasını (NpsExtnForAzureMfaInstaller.exe) NPS sunucusuna kopyalayın.

  3. NPS sunucusunda NpsExtnForAzureMfaInstaller.exe çift tıklayın ve istenirse Çalıştır'ı seçin.

  4. Azure AD MFA Kurulumu için NPS Uzantısı penceresinde yazılım lisans koşullarını gözden geçirin, Lisans hüküm ve koşullarını kabul ediyorum onay kutusunu ve ardından Yükle'yi seçin.

  5. Azure AD MFA Kurulumu için NPS Uzantısı penceresinde Kapat'ı seçin.

PowerShell betiği kullanarak NPS uzantısıyla kullanılacak sertifikaları yapılandırma

Güvenli iletişim ve güvence sağlamak için sertifikaları NPS uzantısı tarafından kullanılacak şekilde yapılandırın. NPS bileşenleri, NPS ile kullanılmak üzere otomatik olarak imzalanan bir sertifika yapılandıran bir Windows PowerShell betiği içerir.

Betik aşağıdaki eylemleri gerçekleştirir:

  • Otomatik olarak imzalanan bir sertifika oluşturur.
  • Sertifikanın ortak anahtarını Azure AD hizmet sorumlusuyla ilişkilendirir.
  • Sertifikayı yerel makine deposunda depolar.
  • Ağ kullanıcısına sertifikanın özel anahtarına erişim verir.
  • NPS hizmetini yeniden başlatır.

Kendi sertifikalarınızı kullanmak istiyorsanız, sertifikanızın ortak anahtarını Azure AD hizmet sorumlusuyla ilişkilendirmeniz vb. gerekir.

Betiği kullanmak için uzantıyı Azure Active Directory yönetici kimlik bilgilerinizle ve daha önce kopyaladığınız Azure Active Directory kiracı kimliğiyle sağlayın. Hesabın, uzantısını etkinleştirmek istediğiniz Azure AD kiracısında olması gerekir. Betiği, NPS uzantısını yüklediğiniz her NPS sunucusunda çalıştırın.

  1. Windows PowerShell yönetici olarak çalıştırın.

  2. PowerShell komut isteminde cd "c:\Program Files\Microsoft\AzureMfa\Config" yazın ve enter tuşuna basın.

  3. Sonraki komut isteminde .\AzureMfaNpsExtnConfigSetup.ps1girin ve Enter tuşuna basın. Betik, Azure AD PowerShell modülünün yüklü olup olmadığını denetler. Yüklü değilse, betik modülü sizin için yükler.

    AzureMfsNpsExtnConfigSetup.ps1 yapılandırma betiğini çalıştırma

    TLS nedeniyle bir güvenlik hatası alırsanız, PowerShell isteminizden komutunu kullanarak [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 TLS 1.2'yi etkinleştirin.

    Betik PowerShell modülünün yüklemesini doğruladıktan sonra Azure Active Directory PowerShell modülü oturum açma penceresini görüntüler.

  4. Azure AD yönetici kimlik bilgilerinizi ve parolanızı girip Oturum aç'ı seçin.

    PowerShell Azure AD kimlik doğrulaması

  5. Komut isteminde, daha önce kopyaladığınız kiracı kimliğini yapıştırın ve enter tuşuna basın.

    Daha önce kopyalanan Azure AD Kiracı Kimliğini girin

    Betik otomatik olarak imzalanan bir sertifika oluşturur ve diğer yapılandırma değişikliklerini gerçekleştirir. Çıktı aşağıdaki görüntüde olduğu gibidir:

    Otomatik olarak imzalanan sertifikayı gösteren PowerShell penceresi

  6. Sunucuyu yeniden başlatın.

Yapılandırmayı doğrulama

Yapılandırmayı doğrulamak için VPN sunucusuyla yeni bir VPN bağlantısı kurmanız gerekir. Birincil kimlik doğrulaması için kimlik bilgilerinizi başarıyla girdikten sonra VPN bağlantısı, aşağıda gösterildiği gibi bağlantı kurulmadan önce ikincil kimlik doğrulamasının başarılı olmasını bekler.

Windows Ayarları VPN penceresi

Daha önce Azure AD MFA'da yapılandırdığınız ikincil doğrulama yöntemiyle başarıyla kimlik doğrulaması yaparsanız kaynağa bağlanırsınız. Ancak, ikincil kimlik doğrulaması başarısız olursa kaynağa erişiminiz reddedilir.

Aşağıdaki örnekte, bir Windows Phone üzerindeki Microsoft Authenticator uygulaması ikincil kimlik doğrulamasını sağlar:

Windows Phone'da örnek MFA istemi

İkincil yöntemi kullanarak kimlik doğrulamasından başarıyla geçtikten sonra, VPN sunucusundaki sanal bağlantı noktasına erişim izni verilir. Güvenilir bir cihazda mobil uygulama kullanarak ikincil bir kimlik doğrulama yöntemi kullanmanız gerektiğinden, oturum açma işlemi yalnızca kullanıcı adı ve parola bileşimi kullanıldığından daha güvenlidir.

Başarılı oturum açma olayları için Olay Görüntüleyicisi günlüklerini görüntüleme

Windows Olay Görüntüleyicisi günlüklerinde başarılı oturum açma olaylarını görüntülemek için NPS sunucusunda aşağıdaki PowerShell komutunu girerek Windows Güvenliği günlüğünü sorgulayın:

Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL

PowerShell güvenlik Olay Görüntüleyicisi

Burada gösterildiği gibi güvenlik günlüğünü veya Ağ İlkesi ve Erişim Hizmetleri özel görünümünü de görüntüleyebilirsiniz:

Örnek Ağ İlkesi Sunucusu günlüğü

Azure AD Multi-Factor Authentication için NPS uzantısını yüklediğiniz sunucuda, uzantıya özgü Olay Görüntüleyicisi uygulama günlüklerini Uygulama ve Hizmet Günlükleri\Microsoft\AzureMfa konumunda bulabilirsiniz.

Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL

Örnek Olay Görüntüleyicisi Kimlik Doğrulama günlükleri bölmesi

Sorun giderme kılavuzu

Yapılandırma beklendiği gibi çalışmıyorsa, kullanıcının MFA kullanacak şekilde yapılandırıldığını doğrulayarak sorun gidermeye başlayın. Kullanıcının Azure portal bağlanmasını sağlayın. Kullanıcıdan ikincil kimlik doğrulaması istenirse ve başarıyla kimlik doğrulaması yapabilirse, yanlış MFA yapılandırmasını sorun olarak ortadan kaldırabilirsiniz.

Kullanıcı için MFA çalışıyorsa ilgili Olay Görüntüleyicisi günlüklerini gözden geçirin. Günlükler güvenlik olayını, Ağ geçidinin çalışır durumda olduğunu ve önceki bölümde açıklanan Multi-Factor Authentication günlüklerini Azure AD içerir.

Başarısız oturum açma olayını (olay kimliği 6273) görüntüleyen bir güvenlik günlüğü örneği burada gösterilmiştir:

Başarısız oturum açma olayını gösteren güvenlik günlüğü

Azure AD Multi-Factor Authentication günlüğünden ilgili bir olay burada gösterilmiştir:

Multi-Factor Authentication günlüklerini Azure AD

Gelişmiş sorun giderme işlemi yapmak için, NPS hizmetinin yüklü olduğu NPS veritabanı biçimi günlük dosyalarına başvurun. Günlük dosyaları %SystemRoot%\System32\Logs klasöründe virgülle ayrılmış metin dosyaları olarak oluşturulur. Günlük dosyalarının açıklaması için bkz. NPS Veritabanı Biçimi Günlük Dosyalarını Yorumlama.

Bu günlük dosyalarındaki girdileri bir elektronik tabloya veya veritabanına aktarmadığınız sürece yorumlamak zordur. Günlük dosyalarını yorumlamanıza yardımcı olmak için birçok İnternet Kimlik Doğrulama Hizmeti (IAS) ayrıştırma aracını çevrimiçi olarak bulabilirsiniz. Bu tür indirilebilir bir shareware uygulamasının çıkışı burada gösterilmiştir:

Örnek Shareware uygulaması IAS ayrıştırıcısı

Ek sorun giderme işlemleri için Wireshark veya Microsoft Message Analyzer gibi bir protokol çözümleyicisi kullanabilirsiniz. Wireshark'ın aşağıdaki görüntüsünde VPN sunucusu ile NPS arasındaki RADIUS iletileri gösterilmektedir.

Filtrelenmiş trafiği gösteren Microsoft Message Analyzer

Daha fazla bilgi için bkz. Mevcut NPS altyapınızı Azure AD Multi-Factor Authentication ile tümleştirme.

Sonraki adımlar

Azure AD Multi-Factor Authentication'ı edinin

RADIUS kullanan Uzak Masaüstü Ağ Geçidi ve Azure Multi-Factor Authentication Sunucusu

Şirket içi dizinlerinizi Azure Active Directory ile tümleştirme