共用方式為


使用適用於 Azure 的網路原則伺服器擴充功能,將 VPN 基礎結構與 Microsoft Entra 多重要素驗證整合

Azure 的網路原則伺服器 (NPS) 延伸模組可讓組織使用雲端式 Microsoft Entra 多重要素驗證來保護遠端驗證撥入使用者服務 (RADIUS) 客戶端驗證,以提供雙步驟驗證。

本文提供使用適用於 Azure 的 NPS 擴充功能整合 NPS 基礎結構與 MFA 的指示。 此程式可為嘗試使用 VPN 連線到您網路的使用者啟用安全的雙步驟驗證。

注意

雖然 NPS MFA 擴充功能支援以時間為基礎的單次密碼 (TOTP),但 Windows VPN 之類的特定 VPN 用戶端則不支援。 在 NPS 擴充功能中啟用 TOTP 之前,請先確定您使用的 VPN 用戶端支援 TOTP 作為驗證方法。

網路原則和存取服務可讓組織能夠:

  • 指派中央位置,以管理和控制網路要求以指定:

    • 誰可以連線

    • 允許一天中的哪些時間連線

    • 聯機的持續時間

    • 用戶端必須用來連線的安全性層級

      與其在每部 VPN 或遠端桌面閘道伺服器上指定原則,請在中央位置之後執行此動作。 RADIUS 通訊協定可用來提供集中式驗證、授權和會計(AAA)。

  • 建立並強制執行網路存取保護 (NAP) 用戶端健康情況原則,以判斷裝置是否獲得不受限制或限制的網路資源存取權。

  • 提供方法來強制執行驗證和授權,以存取支援 802.1x 的無線存取點和乙太網路交換器。 如需詳細資訊,請參閱 網路原則伺服器

為了增強安全性並提供高等級的合規性,組織可以整合 NPS 與 Microsoft Entra 多重要素驗證,以確保使用者使用雙步驟驗證來連線到 VPN 伺服器上的虛擬埠。 若要授與使用者存取權,他們必須提供其使用者名稱和密碼組合,以及他們控制的其他資訊。 此信息必須受信任且不容易複製。 它可以包含行動電話、內嵌號碼或行動裝置上的應用程式。

如果您的組織使用 VPN,且用戶已註冊 TOTP 程式代碼以及 Authenticator 推播通知,則使用者無法滿足 MFA 挑戰,且遠端登入失敗。 在此情況下,您可以將 OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE 設定為後援,以使用 Authenticator 將通知推送至核准/拒絕。

若要讓 NPS 擴充功能繼續為 VPN 使用者運作,必須在 NPS 伺服器上建立此登錄機碼。 在 NPS 伺服器上,開啟註冊表編輯器。 瀏覽至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

建立下列字串/值群組:

名稱:OVERRIDE_NUMBER_MATCHING_WITH_OTP

Value = FALSE

在 Azure 的 NPS 擴充功能可用性之前,想要為整合式 NPS 和 MFA 環境實作雙步驟驗證的客戶,必須設定和維護內部部署環境中的個別 MFA 伺服器。 使用RADIUS的遠端桌面閘道和 Azure Multi-Factor Authentication Server 提供這種類型的驗證。

透過適用於 Azure 的 NPS 擴充功能,組織可以藉由部署內部部署 MFA 解決方案或雲端式 MFA 解決方案來保護 RADIUS 用戶端驗證。

驗證流程

當使用者連線到 VPN 伺服器上的虛擬埠時,他們必須先使用各種通訊協定進行驗證。 通訊協定允許使用使用者名稱和密碼和憑證型驗證方法的組合。

除了驗證和驗證其身分識別之外,用戶還必須具有適當的撥入許可權。 在簡單實作中,允許存取的撥入許可權會直接在 Active Directory 使用者物件上設定。

Active Directory 使用者和電腦 使用者屬性中的 [撥入] 索引標籤

在簡單的實作中,每個 VPN 伺服器會根據每個本機 VPN 伺服器上定義的原則授與或拒絕存取權。

在更大且更可調整的實作中,授與或拒絕 VPN 存取的原則會集中在 RADIUS 伺服器上。 在這些情況下,VPN 伺服器會作為存取伺服器(RADIUS 用戶端),將連線要求和帳戶訊息轉送至RADIUS伺服器。 若要連線到 VPN 伺服器上的虛擬埠,用戶必須經過驗證,並符合 RADIUS 伺服器上集中定義的條件。

當 Azure 的 NPS 擴充功能與 NPS 整合時,成功的驗證流程結果如下:

  1. VPN 伺服器會從 VPN 使用者接收驗證要求,其中包含連線到資源的使用者名稱和密碼,例如遠端桌面會話。
  2. 作為RADIUS用戶端,VPN 伺服器會將要求轉換為RADIUS 存取要求 訊息,並將它傳送至安裝NPS延伸模組的RADIUS伺服器(使用加密密碼)。
  3. Active Directory 中會驗證使用者名稱和密碼組合。 如果使用者名稱或密碼不正確,RADIUS 伺服器會傳送 Access-Reject 訊息。
  4. 如果符合 NPS 連線要求和網路原則中指定的所有條件(例如,一天中的時間或群組成員資格限制),NPS 擴充功能會觸發具有Microsoft Entra 多重要素驗證的次要驗證要求。
  5. Microsoft Entra 多重要素驗證會與 Microsoft Entra ID 通訊、擷取使用者的詳細數據,並使用使用者設定的方法執行次要驗證(行動電話、簡訊或行動應用程式)。
  6. 當 MFA 挑戰成功時,Microsoft Entra 多重要素驗證會將結果傳達給 NPS 擴充功能。
  7. 在連線嘗試通過驗證和授權之後,安裝延伸模組的 NPS 會將 RADIUS 存取-接受 訊息傳送給 VPN 伺服器 (RADIUS 用戶端)。
  8. 用戶獲授與 VPN 伺服器上虛擬埠的存取權,並建立加密的 VPN 通道。

必要條件

本節詳述必須先完成的必要條件,才能整合 MFA 與 VPN。 開始之前,您必須具備下列必要條件:

  • VPN 基礎結構
  • 網路原則和存取服務角色
  • Microsoft Entra 多重要素驗證授權
  • Windows Server 軟體
  • 程式庫
  • Microsoft與 內部部署的 Active Directory 同步的 Entra 識別符
  • Microsoft Entra GUID 識別符

VPN 基礎結構

本文假設您有使用 Microsoft Windows Server 2016 的工作 VPN 基礎結構,且您的 VPN 伺服器目前未設定為將連線要求轉送至 RADIUS 伺服器。 在本文中,您會將 VPN 基礎結構設定為使用中央 RADIUS 伺服器。

如果您沒有運作中的 VPN 基礎結構,您可以遵循許多 VPN 設定教學課程中的指引,快速建立一個,您可以在Microsoft和第三方網站上找到該教學課程。

網路原則和存取服務角色

網路原則和存取服務提供RADIUS伺服器和用戶端功能。 本文假設您已在環境中的成員伺服器或域控制器上安裝網路原則和存取服務角色。 在本指南中,您會設定 VPN 組態的 RADIUS。 在 VPN 伺服器以外的伺服器上安裝網路原則和存取服務角色。

如需安裝網路原則和存取服務角色服務 Windows Server 2012 或更新版本的相關信息,請參閱 安裝 NAP 健全狀況原則伺服器。 NAP 在 Windows Server 2016 中已被取代。 如需 NPS 最佳做法的描述,包括建議在域控制器上安裝 NPS,請參閱 NPS 的最佳做法。

Windows Server 軟體

NPS 擴充功能需要安裝網路原則和存取服務角色的 Windows Server 2008 R2 SP1 或更新版本。 本指南中的所有步驟都是使用 Windows Server 2016 執行。

程式庫

下列連結庫會自動與 NPS 擴充功能一起安裝:

如果Microsoft Graph PowerShell 模組尚未存在,則會使用您在安裝程式過程中執行的組態腳本進行安裝。 不需要事先安裝 Graph PowerShell。

Microsoft與 內部部署的 Active Directory 同步的 Entra 識別符

若要使用 NPS 擴充功能,內部部署用戶必須與 Microsoft Entra 識別碼同步,並啟用 MFA。 本指南假設內部部署用戶會透過 Microsoft Entra Connect 與 Microsoft Entra ID 同步。 以下提供啟用 MFA 使用者的指示。

如需Microsoft Entra Connect 的相關信息,請參閱 整合內部部署目錄與 Microsoft Entra ID

Microsoft Entra GUID 識別符

若要安裝 NPS 擴充功能,您必須知道Microsoft Entra 識別碼的 GUID。 下一節會提供尋找Microsoft Entra識別符之 GUID 的指示。

設定 VPN 連線的 RADIUS

如果您已在成員伺服器上安裝 NPS 角色,則必須將其設定為驗證並授權要求 VPN 連線的 VPN 用戶端。

本節假設您已安裝網路原則和存取服務角色,但尚未將它設定為用於基礎結構。

注意

如果您已經有使用集中式 RADIUS 伺服器進行驗證的工作 VPN 伺服器,您可以略過本節。

在 Active Directory 中註冊伺服器

若要在此案例中正常運作,必須在 Active Directory 中註冊 NPS 伺服器。

  1. 開啟 [伺服器管理員] 。

  2. 在 [伺服器管理員] 中,按一下 [工具],然後選取 [網路原則伺服器]

  3. 在 [網络原則伺服器] 控制台中,以滑鼠右鍵按兩下 [NPS][本機],然後選取 [在 Active Directory 中註冊伺服器]。 選取 [確定] 兩次。

    在 Active Directory 功能表選項中註冊伺服器

  4. 讓主控台保持開啟,以供下一個程式使用。

使用精靈設定RADIUS伺服器

您可以使用標準 (精靈型) 或進階組態選項來設定RADIUS伺服器。 本節假設您使用精靈型標準組態選項。

  1. 在 [網络原則伺服器] 控制台中,選取 [NPS][本機]。

  2. 在 [標準組態] 底下,針對 [撥號] 或 [VPN 連線] 選取 [RADIUS 伺服器],然後選取 [設定 VPN] 或 [撥號]。

    設定 DIAL-Up 或 VPN 連線的 RADIUS 伺服器

  3. 在 [ 選取撥號] 或 [虛擬專用網連線類型] 視窗中,選取 [虛擬專用網連線],然後選取 [ 下一步]。

    設定虛擬專用網聯機

  4. 在 [ 指定撥號或 VPN 伺服器 ] 視窗中,選取 [ 新增]。

  5. 在 [ 新增 RADIUS 用戶端 ] 視窗中,提供易記名稱、輸入 VPN 伺服器的可解析名稱或 IP 位址,然後輸入共享密碼。 讓共享密碼變得很長且複雜。 記錄它,因為您將在下一節中用到它。

    建立新的RADIUS客戶端視窗

  6. 選取確定,然後選取下一步

  7. 在 [ 設定驗證方法] 視窗中,接受預設選取專案(Microsoft加密驗證第 2 版 [MS-CHAPv2]), 或選擇另一個選項,然後選取 [下一步]。

    注意

    如果您設定可延伸驗證通訊協定 (EAP),則必須使用 Microsoft Challenge-Handshake Authentication Protocol (CHAPv2) 或受保護的可延伸驗證通訊協定 (PEAP)。 不支援其他 EAP。

  8. 在 [ 指定使用者群組] 視窗中,選取 [新增],然後選取適當的群組。 如果沒有群組存在,請將選取範圍保留空白,以授與所有使用者的存取權。

    指定 [使用者群組] 視窗以允許或拒絕存取

  9. 選取 [下一步]。

  10. 在 [ 指定 IP 篩選] 視窗中,選取 [ 下一步]。

  11. 在 [ 指定加密設定 ] 視窗中,接受預設設定,然後選取 [ 下一步]。

    [指定加密設定] 視窗

  12. 在 [ 指定領域名稱] 視窗中,將領域名稱 保留空白,接受預設設定,然後選取 [ 下一步]。

    [指定領域名稱] 視窗

  13. 在 [ 正在完成新的撥號或虛擬專用網連線和 RADIUS 用戶端 ] 視窗中,選取 [ 完成]。

    已完成的設定視窗

確認 RADIUS 組態

本節詳述您使用精靈建立的組態。

  1. 在 [網络原則伺服器] 的 NPS 控制台中,展開 [RADIUS 用戶端],然後選取 [ RADIUS 用戶端]。

  2. 在詳細數據窗格中,以滑鼠右鍵按下您建立的RADIUS客戶端,然後選取 [ 屬性]。 RADIUS 用戶端 (VPN 伺服器) 的屬性應該像這裡所示的屬性:

    確認 VPN 屬性和組態

  3. 選取 [取消]

  4. 在 [網络原則伺服器] 的 [NPS(本機)] 控制台中,展開 [原則],然後選取 [ 連線要求原則]。 VPN 連線原則隨即顯示,如下圖所示:

    顯示 VPN 連線原則的連線要求原則

  5. 在 [原則] 底下,選取 [網络原則]。 您應該會看到類似下圖所示原則的虛擬專用網 (VPN) 連線原則:

    顯示虛擬專用網聯機原則的網路原則

將您的 VPN 伺服器設定為使用 RADIUS 驗證

在本節中,您會將 VPN 伺服器設定為使用 RADIUS 驗證。 指示假設您有 VPN 伺服器的工作組態,但尚未將它設定為使用 RADIUS 驗證。 設定 VPN 伺服器之後,請確認您的組態如預期般運作。

注意

如果您已經有使用 RADIUS 驗證的工作 VPN 伺服器組態,您可以略過本節。

設定驗證提供者

  1. 在 VPN 伺服器上,開啟 伺服器管理員。

  2. 在 [伺服器管理員] 中,選取 [工具],然後選取 [路由和遠端訪問]。

  3. 在 [ 路由和遠端訪問] 視窗中,以滑鼠右鍵按兩下 <[伺服器名稱> ][本機],然後選取 [ 屬性]。

  4. 在 [ <伺服器名稱> (本機) 屬性 ] 視窗中,選取 [ 安全性] 索引標籤。

  5. 在 [安全性] 索引標籤的 [驗證提供者] 底下,選取 [RADIUS 驗證],然後選取 [設定]。

    設定RADIUS驗證提供者

  6. 在 [ RADIUS 驗證] 視窗中,選取 [ 新增]。

  7. 在 [ 新增 RADIUS 伺服器 ] 視窗中,執行下列動作:

    1. 在 [ 伺服器名稱] 方塊中,輸入您在上一節中設定之RADIUS伺服器的名稱或IP位址。

    2. 針對 [ 共享密碼],選取 [變更],然後輸入您稍早建立和記錄的共享密碼。

    3. 在 [逾時(秒)] 方塊中,輸入 60 的值。 若要將捨棄的要求降到最低,建議您將 VPN 伺服器設定為至少 60 秒的逾時。 如有需要,或減少事件記錄檔中捨棄的要求,您可以將 VPN 伺服器逾時值增加到 90 或 120 秒。

  8. 選取 [確定]。

測試 VPN 連線能力

在本節中,您會在嘗試連線到 VPN 虛擬埠時,確認 RADIUS 伺服器已驗證並授權 VPN 用戶端。 指示假設您使用 Windows 10 作為 VPN 用戶端。

注意

如果您已將 VPN 用戶端設定為連線到 VPN 伺服器並已儲存設定,您可以略過設定和儲存 VPN 連線物件的相關步驟。

  1. 在您的 VPN 用戶端電腦上,選取 [ 開始 ] 按鈕,然後選取 [ 設定] 按鈕。

  2. 在 [ Windows 設定] 視窗中,選取 [ 網络與因特網]。

  3. 選取 [VPN]

  4. 選取 [ 新增 VPN 連線]。

  5. 在 [新增 VPN 連線] 視窗的 [VPN 提供者] 方塊中,選取 [Windows][內建],視需要完成其餘字段,然後選取 [儲存]。

    [新增 VPN 連線] 視窗

  6. 移至 [控制台],然後選取 [網络與共用中心]。

  7. 選取 [ 變更配接器設定]。

    網路和共用中心 - 變更配接器設定

  8. 以滑鼠右鍵按下 VPN 網路連線,然後選取 [ 屬性]。

  9. 在 [VPN 屬性] 視窗中,選取 [ 安全性] 索引標籤。

  10. 在 [ 安全性] 索引標籤上,確定只 選取 [MICROSOFT CHAP 第 2 版 [MS-CHAP v2] ,然後選取 [ 確定]。

    [允許這些通訊協定] 選項

  11. 以滑鼠右鍵按下 VPN 連線,然後選取 [ 連線]。

  12. 在 [ 設定] 視窗中,選取 [ 連線]。
    成功聯機會出現在RADIUS伺服器上的安全性記錄檔中,如事件標識碼6272,如下所示:

    顯示成功連線的事件 屬性視窗

RADIUS 疑難解答

假設您的 VPN 組態在設定 VPN 伺服器之前運作,以使用集中式 RADIUS 伺服器進行驗證和授權。 如果組態正常運作,可能是因為RADIUS伺服器設定錯誤或使用無效的使用者名稱或密碼所造成。 例如,如果您在用戶名稱中使用替代UPN後綴,登入嘗試可能會失敗。 使用相同的帳戶名稱來獲得最佳結果。

若要針對這些問題進行疑難解答,一個理想的起點是檢查 RADIUS 伺服器上的安全性事件記錄檔。 若要節省時間搜尋事件,您可以在 事件檢視器 中使用角色型網路原則和存取伺服器自定義檢視,如下所示。 「事件標識碼 6273」表示 NPS 拒絕存取使用者的事件。

顯示 NPAS 事件的 事件檢視器

設定多重要素驗證

如需設定用戶進行多重要素驗證的協助,請參閱規劃雲端式Microsoft Entra 多重要素驗證部署設定我的帳戶以進行雙步驟驗證一文

安裝和設定 NPS 擴充功能

本節提供將 VPN 設定為使用 MFA 與 VPN 伺服器進行客戶端驗證的指示。

注意

REQUIRE_USER_MATCH登錄機碼會區分大小寫。 所有值都必須以大寫格式設定。

安裝並設定 NPS 擴充功能之後,需要此伺服器處理的所有 RADIUS 型客戶端驗證,才能使用 MFA。 如果您的所有 VPN 使用者未註冊Microsoft Entra 多重要素驗證,您可以執行下列其中一項:

  • 設定另一部RADIUS伺服器,以驗證未設定為使用MFA的使用者。

  • 建立登錄專案,可讓受挑戰的使用者在Microsoft Entra 多重要素驗證中註冊時提供第二個驗證要素。

在 HKLM\SOFTWARE\Microsoft\AzureMfa 中建立名為 REQUIRE_USER_MATCH 的新字串值,並將值設定為 TRUEFALSE

[需要使用者比對] 設定

如果值設定為 TRUE 或空白,則所有驗證要求都會受到 MFA 挑戰。 如果此值設定為 FALSE,MFA 挑戰只會發行給在 Entra 多重要素驗證中註冊 Microsoft 的使用者。 在上線期間,只在測試或生產環境中使用 FALSE 設定。

取得目錄租用戶標識碼

在 NPS 擴充功能的設定中,您必須提供系統管理員認證和Microsoft Entra 租使用者的識別碼。 若要取得租用戶標識碼,請完成下列步驟:

  1. 登入 Microsoft Entra 系統管理中心。

  2. 流覽至 [身分識別>設定]。

    從 Microsoft Entra 系統管理中心取得租用戶標識碼

安裝 NPS 擴充功能

NPS 擴充功能必須安裝在已安裝網路原則和存取服務角色的伺服器上,且該伺服器在設計中作為RADIUS伺服器。 請勿在 VPN 伺服器上安裝 NPS 擴充功能。

  1. 下載中心Microsoft下載 NPS 擴充功能。

  2. 將安裝程式可執行檔 (NpsExtnForAzureMfaInstaller.exe) 複製到 NPS 伺服器。

  3. 在 NPS 伺服器上,按兩下 NpsExtnForAzureMfaInstaller.exe ,如果出現提示,請選取[ 執行]。

  4. 在 [ NPS 擴充功能 for Microsoft Entra 多重要素驗證設定 ] 視窗中,檢閱軟體授權條款,選取 [我同意授權條款及條件 ] 複選框,然後選取 [ 安裝]。

    [Microsoft Entra 多重要素驗證設定的 NPS 擴充功能] 視窗

  5. 在 [ nps Extension for Microsoft Entra multifactor authentication Setup ] 視窗中,選取 [ 關閉]。

    [安裝成功] 確認視窗

使用 Graph PowerShell 腳本設定要搭配 NPS 延伸模組使用的憑證

若要確保安全通訊和保證,請設定憑證以供 NPS 擴充功能使用。 NPS 元件包含 Graph PowerShell 腳本,可設定自我簽署憑證以搭配 NPS 使用。

此指令碼會執行下列動作:

  • 建立自我簽署憑證。
  • 將憑證的公鑰與Microsoft Entra 識別碼上的服務主體產生關聯。
  • 將憑證儲存在本機計算機存放區中。
  • 授與網路使用者對憑證私鑰的存取權。
  • 重新啟動 NPS 服務。

如果您想要使用自己的憑證,您必須將憑證的公鑰與Microsoft Entra ID 上的服務主體產生關聯,依此關聯。

若要使用腳本,請提供您的Microsoft Entra 系統管理認證,以及您稍早複製的 Microsoft Entra 租使用者識別符。 帳戶必須位於您想要啟用延伸模組的相同Microsoft Entra 租使用者中。 在您安裝 NPS 擴充功能的每個 NPS 伺服器上執行文稿。

  1. 以系統管理員身分執行 Graph PowerShell。

  2. 在 PowerShell 命令提示字元中,輸入 cd “c:\Program Files\Microsoft\AzureMfa\Config”,然後選取 Enter。

  3. 在下一個命令提示字元中,輸入 .\AzureMfaNpsExtnConfigSetup.ps1,然後選取 Enter。 腳本會檢查 Graph PowerShell 是否已安裝。 如果未安裝,腳本會為您安裝 Graph PowerShell。

    執行 AzureMfsNpsExtnConfigSetup.ps1 設定腳本

    如果您收到 TLS 所造成的安全性錯誤,請使用 PowerShell 提示字元中的 [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 命令來啟用 TLS 1.2。

    腳本確認 PowerShell 模組的安裝之後,會顯示 Graph PowerShell 模組登入視窗。

  4. 輸入您的Microsoft Entra 系統管理員認證和密碼,然後選取 [ 登入]。

  5. 在命令提示字元中,貼上您稍早複製的租用戶標識符,然後選取 Enter。

    輸入之前複製的 Microsoft Entra 租使用者識別碼

    腳本會建立自我簽署憑證,並執行其他組態變更。 輸出如下圖所示:

    顯示自我簽署憑證的PowerShell視窗

  6. 重新開機伺服器。

驗證設定

若要驗證組態,您必須與 VPN 伺服器建立新的 VPN 連線。 成功輸入主要驗證的認證之後,VPN 聯機會等候次要驗證在建立連線之前成功,如下所示。

[Windows 設定 VPN] 視窗

如果您已成功使用先前在 entra 多重要素驗證中設定 Microsoft的次要驗證方法進行驗證,則會聯機到資源。 不過,如果次要驗證失敗,您就會拒絕存取資源。

在下列範例中,Windows Phone 上的 Microsoft Authenticator 應用程式會提供次要驗證:

Windows Phone 上的 MFA 提示範例

使用次要方法成功驗證之後,系統會將 VPN 伺服器上的虛擬埠存取權授與。 因為您必須使用受信任裝置上的行動應用程式來使用次要驗證方法,所以登入程式比只使用使用者名稱和密碼組合更安全。

檢視成功登入事件的 事件檢視器 記錄

若要在 Windows 事件檢視器 中檢視成功的登入事件,您可以檢視安全性記錄檔或網路原則和存取服務自定義檢視,如下圖所示:

範例網路原則伺服器記錄

在您安裝 NPS 擴充功能以進行 Microsoft Entra 多重要素驗證的伺服器上,您可以在 Application and Services Logs\Microsoft\AzureMfa 找到擴充功能特有的 事件檢視器 應用程式記錄。

範例 事件檢視器 AuthZ 記錄窗格

疑難排解指南

如果設定未如預期般運作,請確認使用者已設定為使用 MFA,開始進行疑難解答。 讓使用者登入 Microsoft Entra 系統管理中心。 如果系統提示使用者進行次要驗證並成功進行驗證,您可以排除 MFA 設定不正確的問題。

如果 MFA 適用於使用者,請檢閱相關的 事件檢視器 記錄。 記錄包含安全性事件、閘道作業,以及Microsoft上一節所討論的 Entra 多重要素驗證記錄。

顯示失敗登入事件的安全性記錄範例(事件識別碼 6273)如下所示:

顯示登入失敗事件的安全性記錄

以下是來自 Microsoft Entra 多重要素驗證記錄的相關事件:

Microsoft Entra 多重要素驗證記錄

若要進行進階疑難解答,請參閱安裝 NPS 服務的 NPS 資料庫格式記錄檔。 記錄檔會在 %SystemRoot%\System32\Logs 資料夾中建立為逗號分隔文本檔。 如需記錄檔的描述,請參閱 解譯 NPS 資料庫格式記錄檔

除非您將這些項目匯出至電子表格或資料庫,否則這些記錄檔中的專案很難解譯。 您可以在在線找到許多因特網驗證服務 (IAS) 剖析工具,以協助您解譯記錄檔。 其中一個這類可 下載的共享軟體應用程式的 輸出如下所示:

範例 Shareware 應用程式 IAS 剖析器

若要進行其他疑難解答,您可以使用通訊協定分析器,例如Wireshark或 Microsoft Message Analyzer。 Wireshark 的下圖顯示 VPN 伺服器與 NPS 之間的 RADIUS 訊息。

顯示已篩選流量的訊息分析器Microsoft

如需詳細資訊,請參閱 整合現有的 NPS 基礎結構與 Microsoft Entra 多重要素驗證

下一步

取得Microsoft Entra 多重要素驗證

使用 RADIUS 的遠端桌面閘道器和 Azure Multi-Factor Authentication Server

整合內部部署目錄與 Microsoft Entra 識別碼