Aracılığıyla paylaş

Ağ İlkesi Sunucusu (NPS) uzantısını ve Microsoft Entra Kimliğini kullanarak Uzak Masaüstü Ağ Geçidi altyapınızı tümleştirme

Bu makalede, Microsoft Azure için Ağ İlkesi Sunucusu (NPS) uzantısını kullanarak Uzak Masaüstü Ağ Geçidi altyapınızı Microsoft Entra çok faktörlü kimlik doğrulamasıyla tümleştirmeye yönelik ayrıntılar sağlanır.

Azure için Ağ İlkesi Sunucusu (NPS) uzantısı, müşterilerin Azure'ın bulut tabanlı çok faktörlü kimlik doğrulamasını kullanarak Uzaktan Kimlik Doğrulama Arayarak Bağlanma Kullanıcı Hizmeti (RADIUS) istemci kimlik doğrulamasını korumalarına olanak tanır. Bu çözüm, kullanıcı oturum açma işlemlerine ve işlemlerine ikinci bir güvenlik katmanı eklemek için iki aşamalı doğrulama sağlar.

Bu makalede, Azure için NPS uzantısını kullanarak NPS altyapısını Microsoft Entra çok faktörlü kimlik doğrulamasıyla tümleştirmeye yönelik adım adım yönergeler sağlanır. Bu, Uzak Masaüstü Ağ Geçidi'nde oturum açmaya çalışan kullanıcılar için güvenli doğrulama sağlar.

Not

Bu makale MFA Sunucusu dağıtımlarıyla kullanılmamalıdır ve yalnızca Microsoft Entra çok faktörlü kimlik doğrulaması (Bulut tabanlı) dağıtımlarıyla kullanılmalıdır.

Ağ İlkesi ve Access Hizmetleri (NPS), kuruluşlara aşağıdakileri yapma olanağı sağlar:

  • Ağ isteklerinin yönetimi ve denetimi için kimlerin bağlanabileceğini, hangi gün bağlantılarına izin verileceğini, bağlantıların süresini ve istemcilerin bağlanmak için kullanması gereken güvenlik düzeyini vb. belirterek merkezi konumları tanımlayın. Bu ilkeleri her VPN veya Uzak Masaüstü (RD) Ağ Geçidi sunucusunda belirtmek yerine, bu ilkeler merkezi bir konumda bir kez belirtilebilir. RADIUS protokolü merkezi Kimlik Doğrulaması, Yetkilendirme ve Hesaplama (AAA) sağlar.
  • Cihazlara ağ kaynaklarına sınırsız veya kısıtlanmış erişim verilip verilmediğini belirleyen Ağ Erişim Koruması (NAP) istemci durumu ilkeleri oluşturun ve uygulayın.
  • 802.1x özellikli kablosuz erişim noktalarına ve Ethernet anahtarlarına erişim için kimlik doğrulaması ve yetkilendirmeyi zorlamak için bir araç sağlayın.

Kuruluşlar genellikle VPN ilkelerinin yönetimini basitleştirmek ve merkezileştirmek için NPS (RADIUS) kullanır. Ancak, birçok kuruluş RD Masaüstü Bağlantı Yetkilendirme İlkeleri'nin (RD CAP'ler) yönetimini basitleştirmek ve merkezileştirmek için de NPS kullanır.

Kuruluşlar ayrıca güvenliği geliştirmek ve yüksek düzeyde uyumluluk sağlamak için NPS'yi Microsoft Entra çok faktörlü kimlik doğrulamasıyla tümleştirebilir. Bu, kullanıcıların Uzak Masaüstü Ağ Geçidi'nde oturum açmak için iki aşamalı doğrulama oluşturmasına yardımcı olur. Kullanıcılara erişim verebilmek için, kullanıcının denetiminde sahip olduğu bilgilerle birlikte kullanıcı adı/parola bileşimlerini de sağlamaları gerekir. Bu bilgilere güvenilmeli ve cep telefonu numarası, sabit hat numarası, mobil cihazdaki uygulama gibi bilgiler kolayca çoğaltılmamalıdır. RDG şu anda 2FA için Microsoft authenticator uygulama yöntemlerinden gelen telefon aramalarını ve Onaylama veya / anında bildirimlerini desteklemektedir. Desteklenen kimlik doğrulama yöntemleri hakkında daha fazla bilgi için, kullanıcılarınızınhangi kimlik doğrulama yöntemlerini kullanabileceğini belirleme bölümüne bakın.

Kuruluşunuz Uzak Masaüstü Ağ Geçidi kullanıyorsa ve kullanıcı Authenticator anında iletme bildirimleriyle birlikte bir TOTP koduna kayıtlıysa, kullanıcı MFA sınamasını karşılayamaz ve Uzak Masaüstü Ağ Geçidi oturum açma işlemi başarısız olur. Bu durumda, Authenticator ile Onayla/Reddet'e anında iletme bildirimleri göndermeye geri dönmek için yeni bir kayıt defteri anahtarı (OVERRIDE_NUMBER_MATCHING_WITH_OTP) oluşturarak bu davranışı geçersiz kılabilirsiniz. Bunu gerçekleştirmek için, son değerin OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE olacağını varsayarak NPS uzantısında numara eşleştirme geçersiz kılma prosedürünü izleyin.

Azure için NPS uzantısının kullanılabilirliği öncesinde, tümleşik NPS ve Microsoft Entra çok faktörlü kimlik doğrulama ortamları için iki aşamalı doğrulama uygulamak isteyen müşterilerin , RADIUS kullanarak Uzak Masaüstü Ağ Geçidi ve Azure Multi-Factor Authentication Sunucusu'nda belgelendiği gibi şirket içi ortamda ayrı bir MFA Sunucusu yapılandırması ve bakımını yapmak zorunda kaldı.

Azure için NPS uzantısının kullanılabilirliği artık kuruluşlara RADIUS istemci kimlik doğrulamasının güvenliğini sağlamak için şirket içi bir MFA çözümü veya bulut tabanlı MFA çözümü dağıtma seçeneği sunar.

Kimlik Doğrulama Akışı

Kullanıcılara Uzak Masaüstü Ağ Geçidi aracılığıyla ağ kaynaklarına erişim izni verilmesi için, bir RD Bağlantı Yetkilendirme İlkesi (RD CAP) ve bir RD Kaynak Yetkilendirme İlkesi 'nde (RD RAP) belirtilen koşulları karşılamaları gerekir. RD CAP'leri, RD Ağ Geçitlerine bağlanma yetkisi olan kişileri belirtir. RD RAP'ler, kullanıcının RD Ağ Geçidi üzerinden bağlanmasına izin verilen uzak masaüstleri veya uzak uygulamalar gibi ağ kaynaklarını belirtir.

RD Gateway, RD CAP'ler için merkezi bir politika deposu kullanacak şekilde yapılandırılabilir. RD RAP'leri, RD Ağ Geçidinde işlendiği için merkezi bir ilke kullanamaz. RD CAP'ler için merkezi bir ilke deposunu kullanacak şekilde yapılandırılmış bir RD Gateway örneği, merkezi ilke deposu olarak hizmet veren başka bir NPS sunucusuna RADIUS istemcisidir.

Azure için NPS uzantısı NPS ve Uzak Masaüstü Ağ Geçidi ile tümleştirildiğinde başarılı kimlik doğrulama akışı aşağıdaki gibidir:

  1. Uzak Masaüstü Ağ Geçidi sunucusu, Uzak Masaüstü oturumu gibi bir kaynağa bağlanmak için uzak masaüstü kullanıcısından bir kimlik doğrulama isteği alır. RADIUS istemcisi olarak davranan Uzak Masaüstü Ağ Geçidi sunucusu, isteği BIR RADIUS Erişim İsteği iletisine dönüştürür ve iletiyi NPS uzantısının yüklü olduğu RADIUS (NPS) sunucusuna gönderir.
  2. Kullanıcı adı ve parola bileşimi Active Directory'de doğrulanır ve kullanıcının kimliği doğrulanır.
  3. NPS Bağlantı İsteği ve Ağ İlkeleri'nde belirtilen tüm koşullar karşılanırsa (örneğin, günün saati veya grup üyeliği kısıtlamaları), NPS uzantısı Microsoft Entra çok faktörlü kimlik doğrulaması ile ikincil kimlik doğrulaması isteği tetikler.
  4. Microsoft Entra çok faktörlü kimlik doğrulaması, Microsoft Entra Kimliği ile iletişim kurar, kullanıcının ayrıntılarını alır ve desteklenen yöntemleri kullanarak ikincil kimlik doğrulamasını gerçekleştirir.
  5. MFA sınamasının başarılı olması üzerine, Microsoft Entra çok faktörlü kimlik doğrulaması sonucu NPS uzantısına iletir.
  6. Uzantının yüklü olduğu NPS sunucusu, Rd CAP ilkesi için Uzak Masaüstü Ağ Geçidi sunucusuna bir RADIUS Erişim-Kabul etme iletisi gönderir.
  7. Kullanıcıya RD Ağ Geçidi üzerinden istenen ağ kaynağına erişim verilir.

Önkoşullar

Bu bölümde, Microsoft Entra çok faktörlü kimlik doğrulamasını Uzak Masaüstü Ağ Geçidi ile tümleştirmeden önce gerekli önkoşullar ayrıntılı olarak açıklanmaktadır. Başlamadan önce aşağıdaki önkoşullara sahip olmanız gerekir.

  • Uzak Masaüstü Hizmetleri (RDS) altyapısı
  • Microsoft Entra çok faktörlü kimlik doğrulama lisansı
  • Windows Server yazılımı
  • Ağ İlkesi ve Access Hizmetleri (NPS) rolü
  • Microsoft Entra, şirket içi Active Directory ile eşitlendi
  • Microsoft Entra GUID Kimliği

Uzak Masaüstü Hizmetleri (RDS) altyapısı

Çalışan bir Uzak Masaüstü Hizmetleri (RDS) altyapınız olmalıdır. Aksi takdirde, aşağıdaki hızlı başlangıç şablonunu kullanarak Azure'da bu altyapıyı hızla oluşturabilirsiniz: Uzak Masaüstü Oturumu Koleksiyonu dağıtımı oluşturma.

Test amacıyla şirket içi RDS altyapısını el ile hızla oluşturmak istiyorsanız, dağıtım adımlarını izleyin. Daha fazla bilgi edinin: Azure hızlı başlangıç ile RDS dağıtımı ve Temel RDS altyapısı dağıtımı.

Windows Server yazılımı

NPS uzantısı, NPS rol hizmetinin yüklü olduğu Windows Server 2008 R2 SP1 veya üzerini gerektirir. Bu bölümdeki tüm adımlar Windows Server 2016 kullanılarak gerçekleştirildi.

Ağ İlkesi ve Access Hizmetleri (NPS) rolü

NPS rolü hizmeti, RADIUS sunucusu ve istemci işlevleri ile Ağ Erişim İlkesi sağlık hizmetini sağlar. Bu rol altyapınızdaki en az iki bilgisayara yüklenmelidir: Uzak Masaüstü Ağ Geçidi ve başka bir üye sunucu veya etki alanı denetleyicisi. Varsayılan olarak, rol Uzak Masaüstü Ağ Geçidi olarak yapılandırılmış bilgisayarda zaten mevcuttur. Ayrıca NPS rolünü en azından etki alanı denetleyicisi veya üye sunucu gibi başka bir bilgisayara yüklemeniz gerekir.

NPS rol hizmetini Windows Server 2012 veya daha eski bir sürüme yükleme hakkında bilgi için bkz. NAP Sistem Durumu İlkesi Sunucusu Yükleme. NPS'yi bir etki alanı denetleyicisine yükleme önerisi de dahil olmak üzere NPS için en iyi yöntemlerin açıklaması için bkz. NPS için En İyi Yöntemler.

Microsoft Entra, şirket içi Active Directory ile eşitlendi

NPS uzantısını kullanmak için şirket içi kullanıcıların Microsoft Entra Id ile eşitlenmesi ve MFA için etkinleştirilmesi gerekir. Bu bölümde, şirket içi kullanıcıların AD Connect kullanılarak Microsoft Entra ID ile eşitlendiği varsayılır. Microsoft Entra Connect hakkında daha fazla bilgi için bkz. Şirket içi dizinlerinizi Microsoft Entra Id ile tümleştirme.

Microsoft Entra GUID Kimliği

NPS uzantısını yüklemek için Microsoft Entra Kimliğinin GUID değerini bilmeniz gerekir. Aşağıda, Microsoft Entra Kimliğinin GUID'sini bulmaya yönelik yönergeler sağlanır.

Çok faktörlü kimlik doğrulamasını yapılandırma

Bu bölümde, Microsoft Entra çok faktörlü kimlik doğrulamasını Uzak Masaüstü Ağ Geçidi ile tümleştirme yönergeleri sağlanır. Yönetici olarak, kullanıcıların çok faktörlü cihazlarını veya uygulamalarını kendi kendine kaydedebilmesi için önce Microsoft Entra çok faktörlü kimlik doğrulama hizmetini yapılandırmanız gerekir.

Microsoft Entra kullanıcılarınız için MFA'yı etkinleştirmek için bulutta Microsoft Entra çok faktörlü kimlik doğrulamasını kullanmaya başlama makalesindeki adımları izleyin.

İki aşamalı doğrulama için hesapları yapılandırma

MFA için bir hesap etkinleştirildikten sonra, ikinci kimlik doğrulama faktörü için kullanmak üzere güvenilir bir cihazı başarıyla yapılandırıp iki aşamalı doğrulama kullanarak kimlik doğrulaması yaptıktan sonra MFA ilkesi tarafından yönetilen kaynaklarda oturum alamazsınız.

Kullanıcı hesabınızla cihazlarınızı MFA için anlamak ve düzgün yapılandırmak için Microsoft Entra çok faktörlü kimlik doğrulaması benim için ne anlama gelir? makalesindeki adımları izleyin.

Önemli

Uzak Masaüstü Ağ Geçidi için oturum açma davranışı, Microsoft Entra çok faktörlü kimlik doğrulaması ile doğrulama kodu girme seçeneği sağlamaz. Bir kullanıcı hesabı, onayla ve reddet bildirimi ile telefon doğrulaması veya Microsoft Authenticator Uygulaması için yapılandırılmalıdır.

Kullanıcı için telefon doğrulaması veya Reddetmeyi Onayla/ anında iletme bildirimleri içeren Microsoft Authenticator Uygulaması yapılandırılmamışsa, kullanıcı Microsoft Entra çok faktörlü kimlik doğrulama sınamasını tamamlayamaz ve Uzak Masaüstü Ağ Geçidi'nde oturum açamaz.

SMS metin yöntemi, doğrulama kodu girme seçeneği sağlamadığından Uzak Masaüstü Ağ Geçidi ile çalışmaz.

NPS uzantısını yükleme ve yapılandırma

Bu bölümde, Uzak Masaüstü Ağ Geçidi ile istemci kimlik doğrulaması için Microsoft Entra çok faktörlü kimlik doğrulamasını kullanmak üzere RDS altyapısını yapılandırma yönergeleri sağlanır.

Dizin kiracı kimliğini alma

NPS uzantısının yapılandırmasının bir parçası olarak, yönetici kimlik bilgilerini ve Microsoft Entra kiracınızın kimliğini sağlamanız gerekir. Kiracı kimliğini almak için aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde oturum açın.

  2. Entra Id>Genel Bakış>Özellikleri'ne göz atın.

    Microsoft Entra yönetim merkezinden Kiracı Kimliğini alma

NPS uzantısını yükleme

NPS uzantısını Ağ İlkesi ve Access Hizmetleri (NPS) rolünün yüklü olduğu bir sunucuya yükleyin. Bu, tasarımınız için RADIUS sunucusu olarak çalışır.

Önemli

NPS uzantısını Uzak Masaüstü Ağ Geçidi (RDG) sunucunuza yüklemeyin. RDG sunucusu radius protokolünü istemcisiyle kullanmaz, bu nedenle uzantı MFA'yı yorumlayamaz ve gerçekleştiremez.

RDG sunucusu ve NPS uzantısı olan NPS sunucusu farklı sunucular olduğunda, RDG diğer NPS sunucularıyla iletişim kurmak için dahili olarak NPS kullanır ve doğru iletişim kurmak için protokol olarak RADIUS kullanır.

  1. NPS uzantısını indirin.
  2. Kurulum yürütülebilir dosyasını (NpsExtnForAzureMfaInstaller.exe) NPS sunucusuna kopyalayın.
  3. NPS sunucusunda NpsExtnForAzureMfaInstaller.exeöğesini çift seçin. İstenirse Çalıştır'ı seçin.
  4. Microsoft Entra çok faktörlü kimlik doğrulaması kurulumu için NPS Uzantısı iletişim kutusunda yazılım lisans koşullarını gözden geçirin, lisans hüküm ve koşullarını kabul ediyorum'u işaretleyin ve yükle'yi seçin.
  5. Microsoft Entra çok faktörlü kimlik doğrulaması Kurulumu için NPS Uzantısı iletişim kutusunda Kapat'ı seçin.

PowerShell betiği kullanarak NPS uzantısıyla kullanılacak sertifikaları yapılandırma

Ardından, güvenli iletişim ve güvence sağlamak için NPS uzantısı tarafından kullanılacak sertifikaları yapılandırmanız gerekir. NPS bileşenleri, NPS ile kullanmak üzere otomatik olarak imzalanan bir sertifika yapılandıran bir PowerShell betiği içerir.

Betik aşağıdaki işlemleri gerçekleştirir:

  • Otomatik olarak imzalanan bir sertifika oluşturur
  • Sertifikanın ortak anahtarını Microsoft Entra ID'deki hizmet asıl nesnesiyle ilişkilendirir.
  • Sertifikayı yerel makine deposunda depolar
  • Sertifikanın özel anahtarına ağ kullanıcısına erişim verir
  • Ağ İlkesi Sunucusu hizmetini yeniden başlatır

Kendi sertifikalarınızı kullanmak istiyorsanız, sertifikanızın ortak anahtarını Microsoft Entra Id'de hizmet sorumlusuyla ilişkilendirmeniz vb. gerekir.

Bu betiği kullanmak için, uzantıya Microsoft Entra Admin kimlik bilgilerinizi ve önce kopyaladığınız Microsoft Entra kiracı kimliğini sağlayın. Betiği, NPS uzantısını yüklediğiniz her NPS sunucusunda çalıştırın. Ardından şunları yapın:

  1. Bir yönetici Windows PowerShell istemi açın.

  2. PowerShell isteminde yazın cd 'c:\Program Files\Microsoft\AzureMfa\Config've ENTER tuşuna basın.

  3. yazın .\AzureMfaNpsExtnConfigSetup.ps1ve ENTER tuşuna basın. Betik, PowerShell modülünün yüklü olup olmadığını denetler. Yüklü değilse, betik modülü sizin için yükler.

    PowerShell'de AzureMfaNpsExtnConfigSetup.ps1 çalıştırma

  4. Betik, PowerShell modülünün yüklenmesini doğruladıktan sonra PowerShell modülü iletişim kutusunu görüntüler. İletişim kutusunda Microsoft Entra yönetici kimlik bilgilerinizi ve parolanızı girin ve Oturum Aç'ı seçin.

  5. İstendiğinde, daha önce panoya kopyaladığınız Kiracı Kimliğini yapıştırın ve ENTER tuşuna basın.

    PowerShell'de Kiracı Kimliğini Giriş

  6. Betik otomatik olarak imzalanan bir sertifika oluşturur ve diğer yapılandırma değişikliklerini gerçekleştirir.

Uzak Masaüstü Ağ Geçidinde NPS bileşenlerini yapılandırma

Bu bölümde Uzak Masaüstü Ağ Geçidi bağlantı yetkilendirme ilkelerini ve diğer RADIUS ayarlarını yapılandıracaksınız.

Kimlik doğrulama akışı, RADIUS iletilerinin Uzak Masaüstü Ağ Geçidi ile NPS uzantısının yüklü olduğu NPS sunucusu arasında alışveriş yapılmasını gerektirir. Bu, HEM Uzak Masaüstü Ağ Geçidinde hem de NPS uzantısının yüklü olduğu NPS sunucusunda RADIUS istemci ayarlarını yapılandırmanız gerektiği anlamına gelir.

Merkezi depo kullanmak için Uzak Masaüstü Ağ Geçidi bağlantı yetkilendirme ilkelerini yapılandırma

Uzak Masaüstü bağlantı yetkilendirme ilkeleri (RD CAP'ler), Uzak Masaüstü Ağ Geçidi sunucusuna bağlanma gereksinimlerini belirtir. RD CAP'ler yerel olarak depolanabilir (varsayılan) veya NPS çalıştıran merkezi bir RD CAP deposunda depolanabilir. Microsoft Entra çok faktörlü kimlik doğrulamasının RDS ile tümleştirilmesini yapılandırmak için merkezi bir depo kullanımını belirtmeniz gerekir.

  1. RD Ağ Geçidi sunucusunda Sunucu Yöneticisi'ni açın.

  2. Menüde,Araçları'nı seçin, Uzak Masaüstü Hizmetleriüzerine gelin veUzak Masaüstü Ağ Geçidi Yöneticisi'ni seçin.

  3. RD Ağ Geçidi Yöneticisi'nde [Sunucu Adı] (Yerel)sağ seçin ve Özelliklerseçeneğini belirleyin.

  4. Özellikler iletişim kutusunda RD CAP Deposu sekmesini seçin.

  5. RD CAP Deposu sekmesinde NPS çalıştıran merkezi sunucu'ya tıklayın.

  6. NPS çalıştıran sunucu için bir ad veya IP adresi girin alanına, NPS uzantısını yüklediğiniz sunucunun IP adresini veya sunucu adını yazın.

    NPS Sunucunuzun adını veya IP Adresini girin

  7. Ekle'yi seçin.

  8. Paylaşılan Gizli Kod iletişim kutusunda bir paylaşılan gizli kod girin ve Tamam seçin. Bu paylaşılan gizli bilgiyi kaydettiğinizden ve kaydı güvenli bir şekilde sakladığınızdan emin olun.

    Not

    Paylaşılan gizli dizi, RADIUS sunucuları ve istemcileri arasında güven oluşturmak için kullanılır. Uzun ve karmaşık bir şifre oluşturun.

    Güven inşa etmek için paylaşılan bir sır oluşturma

  9. İletişim kutusunu kapatmak için Tamam'ı seçin.

Uzak Masaüstü Ağ Geçidi NPS'sinde RADIUS zaman aşımı değerini yapılandırma

Kullanıcıların kimlik bilgilerini doğrulamak, iki aşamalı doğrulama gerçekleştirmek, yanıtları almak ve RADIUS iletilerini yanıtlamak için zaman aşımı değerini ayarlamak gerekir.

  1. RD Ağ Geçidi sunucusunda Sunucu Yöneticisi açın. Menüsünde, Araçlarıöğesini ve ardından ağ ilkesi sunucususeçin.

  2. NPS (Yerel) konsolunda RADIUS İstemcileri ve Sunucuları'nı genişletin ve Uzak RADIUS Sunucusu'nu seçin.

    Uzak RADIUS Sunucusu'nu gösteren Ağ İlkesi Sunucusu yönetim konsolu

  3. Ayrıntılar bölmesinde TS AĞ GEÇIDI SUNUCU GRUBU'nu çift seçin.

    Not

    Bu RADIUS Sunucu Grubu, merkezi sunucuyu NPS ilkeleri için yapılandırdığınızda oluşturulmuştur. RD Ağ Geçidi, RADIUS iletilerini grupta birden fazlaysa bu sunucuya veya sunucu grubuna iletir.

  4. TS AĞ GEÇIDI SUNUCU GRUBU Özellikleri iletişim kutusunda, RD CAP'leri depolamak için yapılandırdığınız NPS sunucusunun IP adresini veya adını seçin ve ardındanDüzenle seçin.

    Daha önce yapılandırılan NPS Sunucusunun IP'sini veya adını seçin

  5. RADIUS Sunucusunu Düzenle iletişim kutusunda Yük Dengeleme sekmesini seçin.

  6. Yük Dengeleme sekmesindeki İstek bırakılan olarak kabul edilmeden önce yanıtsız saniye sayısı alanında varsayılan değeri 3'ten 30 ile 60 saniye arasında bir değere değiştirin.

  7. Sunucu kullanılamıyor olarak tanımlandığında istekler arasındaki saniye sayısı alanında, 30 saniyelik varsayılan değeri önceki adımda belirttiğiniz değere eşit veya ondan büyük bir değerle değiştirin.

    Yük dengeleme sekmesinde Radius Sunucusu zaman aşımı ayarlarını düzenleme

  8. İletişim kutularını kapatmak için tamam'ı iki kez seçin.

Bağlantı İsteği İlkelerini Doğrulama

Varsayılan olarak, RD Ağ Geçidi'ni bağlantı yetkilendirme ilkeleri için merkezi bir ilke deposu kullanacak şekilde yapılandırdığınızda, RD Ağ Geçidi CAP isteklerini NPS sunucusuna iletecek şekilde yapılandırılır. Microsoft Entra çok faktörlü kimlik doğrulama uzantısının yüklü olduğu NPS sunucusu RADIUS erişim isteğini işler. Aşağıdaki adımlar, varsayılan bağlantı isteği ilkesini nasıl doğrulayabileceğinizi gösterir.

  1. RD Ağ Geçidi'ndeki NPS (Yerel) konsolunda İlkeler'i genişletin ve Bağlantı İsteği Politikaları'nı seçin.

  2. TS AĞ GEÇİDİ YETKILENDIRME İLKESİöğesini iki kez seçin.

  3. TS AĞ GEÇIDI YETKILENDIRME İlkesi özellikleri iletişim kutusunda Ayarlar sekmesini seçin.

  4. Ayarlar sekmesinde, Bağlantı İsteğini İletme'nin altında Kimlik Doğrulaması'nı seçin. RADIUS istemcisi, kimlik doğrulaması isteklerini iletecek şekilde yapılandırılmıştır.

    Sunucu grubunu belirten Kimlik Doğrulama Ayarlarını yapılandırma

  5. İptal et'i seçin.

Not

Bağlantı isteği ilkesi oluşturma hakkında daha fazla bilgi için, aynısının Bağlantı isteği ilkeleri konfigürasyon belgelerine bakın.

NPS uzantısının yüklü olduğu sunucuda NPS'yi yapılandırma

NPS uzantısının yüklü olduğu NPS sunucusunun Uzak Masaüstü Ağ Geçidindeki NPS sunucusuyla RADIUS iletileri alışverişi yapabilmesi gerekir. Bu ileti değişimini etkinleştirmek için, NPS uzantısı hizmetinin yüklü olduğu sunucuda NPS bileşenlerini yapılandırmanız gerekir.

Sunucuyu Active Directory'ye Kaydetme

Bu senaryoda düzgün çalışması için NPS sunucusunun Active Directory'ye kaydedilmesi gerekir.

  1. NPS sunucusunda Sunucu Yöneticisi'ni açın.

  2. Sunucu Yöneticisi'nde Araçlar'ı ve ardından Ağ İlkesi Sunucusu'nu seçin.

  3. Ağ İlkesi Sunucusu konsolunda NPS (Yerel) öğesini sağ seçin ve ardından Sunucuyu Active Directory'ye kaydet'i seçin.

  4. İki kez Tamam'ı seçin.

    NPS sunucusunu Active Directory'ye kaydetme

  5. Sonraki yordam için konsolu açık bırakın.

RADIUS istemcisi oluşturma ve yapılandırma

Uzak Masaüstü Ağ Geçidi, NPS sunucusuna RADIUS istemcisi olarak yapılandırılmalıdır.

  1. NPS uzantısının yüklü olduğu NPS sunucusunda, NPS (Yerel) konsolunda RADIUS İstemcileri'ni sağ seçin ve Yeni'yi seçin.

    NPS konsolunda Yeni RADIUS İstemcisi oluşturma

  2. Yeni RADIUS İstemcisi iletişim kutusunda, Ağ Geçidi gibi kolay bir ad ve Uzak Masaüstü Ağ Geçidi sunucusunun IP adresini veya DNS adını belirtin.

  3. Paylaşılan gizli dizi ve Paylaşılan gizli diziyi onayla alanlarına daha önce kullandığınız gizli diziyi girin.

    Kolay bir ad ve IP veya DNS adresi yapılandırma

  4. Tamam'ı seçerek Yeni RADIUS İstemcisi iletişim kutusunu kapatın.

Ağ İlkesini Yapılandırma

Microsoft Entra çok faktörlü kimlik doğrulama uzantısına sahip NPS sunucusunun, Bağlantı Yetkilendirme İlkesi (CAP) için belirlenmiş merkezi ilke deposu olduğunu hatırlayın. Bu nedenle, geçerli bağlantı isteklerini yetkilendirmek için NPS sunucusunda bir CAP uygulamanız gerekir.

  1. NPS Sunucusu'nda NPS (Yerel) konsolunu açın, İlkelergenişletin ve Ağ İlkeleri'ni seçin.

  2. Diğer erişim sunucularına bağlantılar'a sağ tıklayın ve Yinelenen Politika'yı seçin.

    Bağlantıyı diğer erişim sunucuları politikalarına çoğalt

  3. Diğer erişim sunucularına bağlantıların kopyasını sağ seçin ve Özellikler'i seçin.

  4. Diğer erişim sunucularına bağlantı kopyalama iletişim kutusundaki İlke adı alanına RDG_CAP gibi uygun bir ad girin. İlke etkin mi diye kontrol edin ve Erişim ver'i seçin. İsteğe bağlı olarak, Ağ erişim sunucusu türü bölümündeUzak Masaüstü Ağ Geçidi'ni seçin veya belirtilmemiş olarak bırakabilirsiniz.

    İlkeyi adlandırın, etkinleştirin ve erişim verin

  5. Kısıtlamalar sekmesini seçin ve İstemcilerin bir kimlik doğrulama yöntemiyle anlaşmadan bağlanmasına izin ver'i işaretleyin.

    İstemcilerin bağlanmasına izin vermek için kimlik doğrulama yöntemlerini değiştirme

  6. İsteğe bağlı olarak , Koşullar sekmesini seçin ve bağlantının yetkilendirilebilmesi için karşılanması gereken koşulları (örneğin, belirli bir Windows grubuna üyelik) ekleyin.

    İsteğe bağlı olarak bağlantı koşullarını belirtin

  7. Tamam seçin. İlgili Yardım konusunu görüntülemek isteyip istemediğiniz sorulduğunda Yok'u seçin.

  8. Yeni ilkenizin listenin en üstünde olduğundan, ilkenin etkinleştirildiğinden ve erişim sağladığından emin olun.

    İlkenizi listenin en üstüne taşı

Yapılandırmayı doğrulama

Yapılandırmayı doğrulamak için Uygun bir RDP istemcisiyle Uzak Masaüstü Ağ Geçidi'nde oturum açmanız gerekir. Bağlantı Yetkilendirme İlkeleriniz tarafından izin verilen ve Microsoft Entra çok faktörlü kimlik doğrulaması için etkinleştirilen bir hesap kullandığınızdan emin olun.

Aşağıdaki görüntüde gösterildiği gibi, Uzak Masaüstü Web Erişimi sayfasını kullanabilirsiniz.

Uzak Masaüstü Web Erişiminde Test Etme

Birincil kimlik doğrulaması için kimlik bilgilerinizi başarıyla girdiğinizde, Uzak Masaüstü Bağlantısı iletişim kutusu aşağıdaki bölümde gösterildiği gibi uzak bağlantı başlatılıyor durumunu gösterir.

Daha önce Microsoft Entra çok faktörlü kimlik doğrulamasında yapılandırdığınız ikincil kimlik doğrulama yöntemiyle başarıyla kimlik doğrulaması yaparsanız kaynağa bağlanırsınız. Ancak ikincil kimlik doğrulaması başarılı olmazsa kaynağa erişiminiz reddedilir.

Uzak Masaüstü Bağlantısı uzak bir bağlantıyı başlatıyor

Aşağıdaki örnekte, windows telefonundaki Authenticator uygulaması ikincil kimlik doğrulamasını sağlamak için kullanılır.

Doğrulamayı gösteren örnek Windows Phone Authenticator uygulaması

İkincil kimlik doğrulama yöntemini kullanarak başarıyla kimlik doğrulaması yaptıktan sonra, Uzak Masaüstü Ağ Geçidi'ne normal şekilde oturum açarsınız. Ancak, güvenilir bir cihazda mobil uygulama kullanarak ikincil bir kimlik doğrulama yöntemi kullanmanız gerektiğinden, oturum açma işlemi aksi takdirde olduğundan daha güvenlidir.

Başarılı oturum açma olayları için Olay Görüntüleyicisi günlüklerini görüntüleme

Windows Olay Görüntüleyicisi günlüklerindeki başarılı oturum açma olaylarını görüntülemek için, Windows Terminal Hizmetleri ve Windows Güvenliği günlüklerini sorgulamak amacıyla aşağıdaki PowerShell komutunu verebilirsiniz.

Ağ Geçidi işlem günlüklerinde (Olay Görüntüleyicisi\Uygulamalar ve Hizmetler Günlükleri\Microsoft\Windows\TerminalServices-Gateway\Operational) başarılı oturum açma olaylarını sorgulamak için aşağıdaki PowerShell komutlarını kullanın:

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '300'} | FL
  • Bu komut, kullanıcının kaynak yetkilendirme ilkesi gereksinimlerini (RD RAP) karşılayıp erişim izni verildiğini gösteren Windows olaylarını görüntüler.

PowerShell kullanarak olayları görüntüleme

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '200'} | FL
  • Bu komut, kullanıcının bağlantı yetkilendirme ilkesi gereksinimlerini ne zaman karşıladığını gösteren olayları görüntüler.

PowerShell kullanarak bağlantı yetkilendirme ilkesini görüntüleme

Ayrıca bu günlüğü görüntüleyebilir ve 300 ve 200 olay kimliklerini filtreleyebilirsiniz. Güvenlik olayı görüntüleyici günlüklerinde başarılı oturum açma olaylarını sorgulamak için aşağıdaki komutu kullanın:

  • Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL
  • Bu komut merkezi NPS veya RD Ağ Geçidi Sunucusu üzerinde çalıştırılabilir.

Örnek başarılı oturum açma olayları

Güvenlik günlüğünü veya Ağ İlkesi ve Erişim Hizmetleri özel görünümünü de görüntüleyebilirsiniz:

Ağ İlkesi ve Erişim Hizmetleri Olay Görüntüleyicisi

Microsoft Entra çok faktörlü kimlik doğrulaması için NPS uzantısını yüklediğiniz sunucuda, uzantıya özgü Olay Görüntüleyicisi uygulama günlüklerini Uygulama ve Hizmet Günlükleri\Microsoft\AzureMfa konumunda bulabilirsiniz.

Olay Görüntüleyicisi AuthZ uygulama günlükleri

Sorun Giderme Kılavuzu

Yapılandırma beklendiği gibi çalışmıyorsa, sorun gidermeye başlamanın ilk noktası kullanıcının Microsoft Entra çok faktörlü kimlik doğrulamasını kullanacak şekilde yapılandırıldığını doğrulamaktır. Kullanıcının Microsoft Entra yönetim merkezinde oturum açmasını sağlayın. Kullanıcılardan ikincil doğrulama istenirse ve başarıyla kimlik doğrulaması yapabilirse, Microsoft Entra çok faktörlü kimlik doğrulamasının yanlış yapılandırmasını ortadan kaldırabilirsiniz.

Microsoft Entra çok faktörlü kimlik doğrulaması kullanıcılar için çalışıyorsa ilgili Olay günlüklerini gözden geçirmeniz gerekir. Bunlar, önceki bölümde ele alınan Güvenlik Etkinliği, Ağ Geçidi işlemleri ve Microsoft Entra çok faktörlü kimlik doğrulama loglarını içerir.

Başarısız bir oturum açma olayını (Olay Kimliği 6273) gösteren güvenlik günlüğünün aşağıdaki örnek çıkışına bakın.

Başarısız oturum açma olayının örneği

Aşağıda AzureMFA günlüklerinden ilgili bir olay verilmiştir:

Olay Görüntüleyicisi'nde örnek Microsoft Entra çok faktörlü kimlik doğrulama günlüğü

Gelişmiş sorun giderme seçeneklerini gerçekleştirmek için, NPS hizmetinin yüklü olduğu NPS veritabanı biçimi günlük dosyalarına başvurun. Bu günlük dosyaları %SystemRoot%\System32\Logs klasöründe virgülle ayrılmış metin dosyaları olarak oluşturulur.

Bu günlük dosyalarının açıklaması için bkz. NPS Veritabanı Biçimi Günlük Dosyalarını Yorumlama. Bu günlük dosyalarındaki girişleri bir elektronik tabloya veya veritabanına aktarmadan yorumlamak zor olabilir. Log dosyalarını yorumlamak için çevrimiçi olarak çeşitli IAS ayrıştırıcılar bulabilirsiniz.

Aşağıdaki görüntüde, bu tür indirilebilir bir shareware uygulamasının çıkışı gösterilmektedir.

Örnek Shareware uygulaması IAS ayrıştırıcısı

Sonraki adımlar

Microsoft Entra çok faktörlü kimlik doğrulamasını alma

RADIUS kullanarak Uzak Masaüstü Ağ Geçidi ve Azure Çok Faktörlü Kimlik Doğrulama Sunucusu

Şirket içi dizinlerinizi Microsoft Entra Id ile tümleştirme

  • Last updated on