Integrace infrastruktury VPN s vícefaktorovým ověřováním Microsoft Entra pomocí rozšíření Network Policy Server pro Azure

Rozšíření NPS (Network Policy Server) pro Azure umožňuje organizacím chránit ověřování klientů radius (Remote Authentication Dial-In User Service) pomocí cloudového vícefaktorového ověřování Microsoft Entra, které poskytuje dvoustupňové ověřování.

Tento článek obsahuje pokyny pro integraci infrastruktury NPS s vícefaktorovým ověřováním pomocí rozšíření NPS pro Azure. Tento proces umožňuje zabezpečené dvoustupňové ověřování pro uživatele, kteří se pokusí připojit k síti pomocí sítě VPN.

Poznámka:

I když rozšíření NPS MFA podporuje jednorázové heslo (TOTP), někteří klienti VPN, jako je Windows VPN, ne. Než ho povolíte v rozšíření NPS, ujistěte se, že klienti VPN, které používáte jako metodu ověřování.

Služba Network Policy and Access Services umožňuje organizacím:

  • Přiřaďte centrální umístění pro správu a řízení síťových požadavků, které určíte:

    • Kdo se může připojit

    • Jaká denní připojení jsou povolená

    • Doba trvání připojení

    • Úroveň zabezpečení, kterou klienti musí použít pro připojení

      Místo zadávání zásad na každém serveru VPN nebo brány vzdálené plochy to udělejte po jejich umístění v centrálním umístění. Protokol RADIUS slouží k poskytování centralizovaného ověřování, autorizace a účtování (AAA).

  • Nastavte a vynucujte zásady stavu klienta architektury NAP (Network Access Protection), které určují, jestli mají zařízení udělen neomezený nebo omezený přístup k síťovým prostředkům.

  • Poskytnout způsob, jak vynutit ověřování a autorizaci pro přístup k bezdrátovým přístupovým bodům podporujícím 802.1x a přepínačům Sítě Ethernet. Další informace naleznete v tématu Server zásad sítě.

Aby bylo možné zlepšit zabezpečení a zajistit vysokou úroveň dodržování předpisů, mohou organizace integrovat NPS s vícefaktorovým ověřováním Microsoft Entra, aby se uživatelé mohli pomocí dvoustupňového ověření připojit k virtuálnímu portu na serveru VPN. Aby měli uživatelé udělený přístup, musí zadat jejich kombinaci uživatelského jména a hesla a další informace, které řídí. Tyto informace musí být důvěryhodné a nelze je snadno duplikovat. Může obsahovat mobilní telefonní číslo, číslo pevné linky nebo aplikaci na mobilním zařízení.

Pokud vaše organizace používá síť VPN a uživatel je zaregistrovaný pro kód TOTP spolu s nabízenými oznámeními Authenticatoru, nemůže splnit výzvu MFA a vzdálené přihlášení selže. V takovém případě můžete nastavit OVERRIDE_NUMBER_MATCHING_WITH_OTP = NEPRAVDA pro vrácení nabízených oznámení do funkce Schválit/Odepřít pomocí authenticatoru.

Aby rozšíření NPS pokračovalo v práci pro uživatele SÍTĚ VPN, musí být tento klíč registru vytvořen na serveru NPS. Na serveru NPS otevřete editor registru. Přejděte na:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

Vytvořte následující dvojici řetězců a hodnot:

Název: OVERRIDE_NUMBER_MATCHING_WITH_OTP

Hodnota = NEPRAVDA

Před dostupností rozšíření NPS pro Azure museli zákazníci, kteří chtěli implementovat dvoustupňové ověřování pro integrovaná prostředí NPS a MFA, konfigurovat a udržovat samostatný server MFA v místním prostředí. Tento typ ověřování nabízí brána vzdálené plochy a Azure Multi-Factor Authentication Server pomocí protokolu RADIUS.

S rozšířením NPS pro Azure můžou organizace zabezpečit ověřování klientů RADIUS nasazením místního řešení MFA nebo cloudového řešení MFA.

Tok ověřování

Když se uživatelé připojí k virtuálnímu portu na serveru VPN, musí se nejdřív ověřit pomocí různých protokolů. Protokoly umožňují používat kombinaci uživatelských jmen a hesel a metod ověřování na základě certifikátů.

Kromě ověřování a ověřování identity musí mít uživatelé příslušná oprávnění pro telefonické připojení. V jednoduchých implementacích jsou oprávnění pro telefonické připojení, která umožňují přístup, nastavena přímo na objekty uživatele služby Active Directory.

Karta Vytáčení ve vlastnostech uživatele Uživatelé a počítače služby Active Directory

V jednoduchých implementacích každý server VPN udělí nebo odmítne přístup na základě zásad definovaných na každém místním serveru VPN.

Ve větších a škálovatelných implementacích jsou zásady, které udělují nebo zakazují přístup k síti VPN, centralizované na serverech RADIUS. V těchto případech funguje server VPN jako přístupový server (klient RADIUS), který předává požadavky na připojení a zprávy účtů serveru RADIUS. Aby se uživatelé mohli připojit k virtuálnímu portu na serveru VPN, musí být ověřeni a splňovat podmínky, které jsou na serverech RADIUS definované centrálně.

Pokud je rozšíření NPS pro Azure integrované se serverem NPS, výsledky úspěšného toku ověřování následujícím způsobem:

  1. Server VPN obdrží žádost o ověření od uživatele VPN, který obsahuje uživatelské jméno a heslo pro připojení k prostředku, jako je například relace vzdálené plochy.
  2. Server VPN, který funguje jako klient RADIUS, převede požadavek na zprávu protokolu RADIUS Access-Request a odešle ji (s šifrovaným heslem) na server RADIUS, na kterém je nainstalované rozšíření NPS.
  3. Kombinace uživatelského jména a hesla se ověřuje ve službě Active Directory. Pokud je uživatelské jméno nebo heslo nesprávné, server RADIUS odešle zprávu o odmítnutí přístupu.
  4. Pokud jsou splněny všechny podmínky uvedené v požadavku na připojení NPS a zásady sítě (například denní nebo skupinové omezení členství), rozšíření NPS aktivuje požadavek na sekundární ověřování s vícefaktorovým ověřováním Microsoft Entra.
  5. Vícefaktorové ověřování Microsoft Entra komunikuje s ID Microsoft Entra, načte podrobnosti uživatele a provádí sekundární ověřování pomocí metody nakonfigurované uživatelem (mobilní telefon, textová zpráva nebo mobilní aplikace).
  6. Když je výzva MFA úspěšná, vícefaktorové ověřování Microsoft Entra sdělí výsledek rozšíření NPS.
  7. Po ověření i autorizaci pokusu o připojení odešle server NPS, ve kterém je nainstalované rozšíření, zprávu PROTOKOLU RADIUS Access-Accept na server VPN (klient RADIUS).
  8. Uživateli je udělen přístup k virtuálnímu portu na serveru VPN a vytvoří šifrovaný tunel VPN.

Požadavky

V této části najdete podrobnosti o požadavcích, které je potřeba dokončit před integrací vícefaktorového ověřování se sítí VPN. Než začnete, musíte mít splněné následující požadavky:

  • Infrastruktura SÍTĚ VPN
  • Role Network Policy and Access Services
  • Vícefaktorová ověřovací licence Microsoft Entra
  • Software Windows Serveru
  • Knihovny
  • ID Microsoft Entra synchronizované s místní Active Directory
  • Microsoft Entra GUID ID

Infrastruktura SÍTĚ VPN

Tento článek předpokládá, že máte funkční infrastrukturu SÍTĚ VPN, která používá Microsoft Windows Server 2016 a že váš server VPN není aktuálně nakonfigurovaný tak, aby předával požadavky na připojení na server RADIUS. V článku nakonfigurujete infrastrukturu SÍTĚ VPN tak, aby používala centrální server RADIUS.

Pokud nemáte funkční infrastrukturu VPN, můžete ji rychle vytvořit podle pokynů v mnoha kurzech nastavení sítě VPN, které najdete na webech Microsoftu a třetích stran.

Role Network Policy and Access Services

Služba Network Policy and Access Services poskytuje funkce serveru RADIUS a klienta. Tento článek předpokládá, že jste ve svém prostředí nainstalovali roli Network Policy and Access Services na členský server nebo řadič domény. V této příručce nakonfigurujete protokol RADIUS pro konfiguraci sítě VPN. Nainstalujte roli Network Policy and Access Services na jiný server než váš server VPN.

Informace o instalaci služby role Network Policy and Access Services pro Windows Server 2012 nebo novější naleznete v tématu Instalace serveru zásad stavu architektury NAP. Architektura NAP je ve Windows Serveru 2016 zastaralá. Popis osvědčených postupů pro NPS, včetně doporučení k instalaci NPS na řadič domény, najdete v části Osvědčené postupy pro NPS.

Software Windows Serveru

Rozšíření NPS vyžaduje windows Server 2008 R2 SP1 nebo novější s nainstalovanou rolí Network Policy and Access Services. Všechny kroky v této příručce byly provedeny s Windows Serverem 2016.

Knihovny

Následující knihovna se nainstaluje automaticky s rozšířením NPS:

Pokud modul Microsoft Graph PowerShell ještě není k dispozici, je nainstalovaný pomocí konfiguračního skriptu, který spustíte v rámci procesu instalace. Graph PowerShell není potřeba nainstalovat předem.

ID Microsoft Entra synchronizované s místní Active Directory

Pokud chcete použít rozšíření NPS, musí být místní uživatelé synchronizovaní s ID Microsoft Entra a povoleným vícefaktorovým ověřováním. V této příručce se předpokládá, že místní uživatelé se synchronizují s Microsoft Entra ID přes Microsoft Entra Connect. Níže najdete pokyny pro povolení vícefaktorového ověřování pro uživatele.

Informace o microsoft Entra Connect naleznete v tématu Integrace místních adresářů s Microsoft Entra ID.

Microsoft Entra GUID ID

Pokud chcete nainstalovat rozšíření NPS, musíte znát identifikátor GUID ID Microsoft Entra. Pokyny k vyhledání identifikátoru GUID ID Microsoft Entra najdete v další části.

Konfigurace protokolu RADIUS pro připojení VPN

Pokud jste roli NPS nainstalovali na členský server, musíte ji nakonfigurovat tak, aby ověřoval a autorizoval klienta VPN, který požaduje připojení VPN.

V této části se předpokládá, že jste nainstalovali roli Network Policy and Access Services, ale nenakonfigurovali jste ji pro použití ve vaší infrastruktuře.

Poznámka:

Pokud už máte funkční server VPN, který k ověřování používá centralizovaný server RADIUS, můžete tuto část přeskočit.

Registrace serveru ve službě Active Directory

Aby server NPS v tomto scénáři fungoval správně, musí být zaregistrovaný ve službě Active Directory.

  1. Otevřete Správce serveru.

  2. V Správce serveru vyberte Nástroje a pak vyberte Server zásad sítě.

  3. V konzole serveru NPS (Network Policy Server) klikněte pravým tlačítkem myši na NPS (místní) a pak vyberte Zaregistrovat server ve službě Active Directory. Dvakrát vyberte OK .

    Možnost nabídky Registrovat server ve službě Active Directory

  4. Nechte konzolu otevřenou pro další postup.

Konfigurace serveru RADIUS pomocí průvodce

Ke konfiguraci serveru RADIUS můžete použít standardní (průvodce) nebo rozšířenou možnost konfigurace. V této části se předpokládá, že používáte standardní konfiguraci založenou na průvodci.

  1. V konzole Serveru zásad sítě vyberte NPS (místní).

  2. V části Standardní konfigurace vyberte server RADIUS pro telefonické připojení nebo připojení VPN a pak vyberte Konfigurovat síť VPN nebo Vytáčené připojení.

    Konfigurace serveru RADIUS pro telefonické připojení nebo připojení VPN

  3. V okně Vybrat telefonické připojení nebo Typ připojení virtuální privátní sítě vyberte Připojení virtuální privátní sítě a pak vyberte Další.

    Konfigurace připojení virtuální privátní sítě

  4. V okně Zadat telefonické připojení nebo server VPN vyberte Přidat.

  5. V okně nového klienta RADIUS zadejte popisný název, zadejte přeložitelný název nebo IP adresu serveru VPN a zadejte sdílené heslo tajného klíče. Nastavení dlouhého a složitého hesla sdíleného tajného klíče Nahrajte ho, protože ho budete potřebovat v další části.

    Vytvoření nového okna klienta RADIUS

  6. Zvolte OK a pak vyberte Další.

  7. V okně Konfigurovat metody ověřování přijměte výchozí výběr (Microsoft Encrypted Authentication verze 2 [MS-CHAPv2]) nebo zvolte jinou možnost a vyberte Další.

    Poznámka:

    Pokud konfigurujete protokol EAP (Extensible Authentication Protocol), musíte použít protokol CHAPv2 (Microsoft Challenge-Handshake Authentication Protocol) nebo protokol PEAP (Protected Extensible Authentication Protocol). Není podporován žádný jiný protokol EAP.

  8. V okně Zadat skupiny uživatelů vyberte Přidat a pak vyberte příslušnou skupinu. Pokud žádná skupina neexistuje, ponechte výběr prázdný a udělte přístup všem uživatelům.

    Zadání okna Skupiny uživatelů pro povolení nebo odepření přístupu

  9. Vyberte Další.

  10. V okně Zadat filtry IP vyberte Další.

  11. V okně Zadat nastavení šifrování přijměte výchozí nastavení a pak vyberte Další.

    Okno Zadat nastavení šifrování

  12. V okně Zadat název sféry nechejte název sféry prázdný, přijměte výchozí nastavení a pak vyberte Další.

    Okno Zadat název sféry

  13. V okně Dokončení nového telefonického připojení nebo virtuální privátní sítě a klientů RADIUS vyberte Dokončit.

    Dokončené okno konfigurace

Ověření konfigurace protokolu RADIUS

Tato část podrobně popisuje konfiguraci, kterou jste vytvořili pomocí průvodce.

  1. Na serveru zásad sítě v konzole NPS (místní) rozbalte položku Klienti RADIUS a pak vyberte Klienti RADIUS.

  2. V podokně podrobností klikněte pravým tlačítkem myši na klienta RADIUS, který jste vytvořili, a pak vyberte Vlastnosti. Vlastnosti klienta RADIUS (serveru VPN) by měly vypadat nějak takto:

    Ověření vlastností a konfigurace sítě VPN

  3. Vyberte Zrušit.

  4. Na serveru zásad sítě v konzole NPS (místní) rozbalte zásady a pak vyberte Zásady žádosti o připojení. Zobrazí se zásady připojení VPN, jak je znázorněno na následujícím obrázku:

    Zásady žádosti o připojení zobrazující zásady připojení VPN

  5. V části Zásady vyberte Zásady sítě. Měli byste vidět zásady připojení virtuální privátní sítě (VPN), které se podobají zásadám uvedeným na následujícím obrázku:

    Zásady sítě zobrazující zásady připojení virtuální privátní sítě

Konfigurace serveru VPN tak, aby používal ověřování RADIUS

V této části nakonfigurujete server VPN tak, aby používal ověřování RADIUS. Pokyny předpokládají, že máte funkční konfiguraci serveru VPN, ale nenakonfigurovali jste ji tak, aby používala ověřování RADIUS. Po nakonfigurování serveru VPN ověřte, že konfigurace funguje podle očekávání.

Poznámka:

Pokud už máte funkční konfiguraci serveru VPN, která používá ověřování RADIUS, můžete tuto část přeskočit.

Konfigurace zprostředkovatele ověřování

  1. Na serveru VPN otevřete Správce serveru.

  2. V Správce serveru vyberte Nástroje a pak vyberte Směrování a vzdálený přístup.

  3. V okně Směrování a vzdálený přístup klikněte pravým tlačítkem myši na <název> serveru (místní) a pak vyberte Vlastnosti.

  4. V okně Název serveru (místní) Vlastnosti vyberte kartu Zabezpečení.><

  5. Na kartě Zabezpečení v části Zprostředkovatel ověřování vyberte Ověřování RADIUS a pak vyberte Konfigurovat.

    Konfigurace zprostředkovatele ověřování RADIUS

  6. V okně Ověřování radius vyberte Přidat.

  7. V okně Přidat server RADIUS postupujte takto:

    1. Do pole Název serveru zadejte název nebo IP adresu serveru RADIUS, který jste nakonfigurovali v předchozí části.

    2. U sdíleného tajného kódu vyberte Změnit a zadejte heslo sdíleného tajného kódu, které jste vytvořili a zaznamenali dříve.

    3. Do pole Časový limit (sekundy) zadejte hodnotu 60. Pokud chcete minimalizovat zahozené požadavky, doporučujeme, aby byly servery VPN nakonfigurované s časovým limitem nejméně 60 sekund. V případě potřeby nebo snížení počtu zahozených požadavků v protokolech událostí můžete zvýšit hodnotu časového limitu serveru VPN na 90 nebo 120 sekund.

  8. Vyberte OK.

Testování připojení VPN

V této části potvrdíte, že se klient VPN ověřuje a autorizuje serverem RADIUS při pokusu o připojení k virtuálnímu portu VPN. Pokyny předpokládají, že používáte Windows 10 jako klienta VPN.

Poznámka:

Pokud jste už nakonfigurovali klienta VPN pro připojení k serveru VPN a uložili jste nastavení, můžete přeskočit kroky související s konfigurací a uložením objektu připojení VPN.

  1. Na klientském počítači VPN vyberte tlačítko Start a pak vyberte tlačítko Nastavení .

  2. V okně Nastavení systému Windows vyberte Síť a Internet.

  3. Vyberte VPN.

  4. Vyberte Přidat připojení VPN.

  5. V okně Přidat připojení VPN v poli Poskytovatel sítě VPN vyberte Systém Windows (integrovaný), podle potřeby vyplňte zbývající pole a pak vyberte Uložit.

    Okno Přidat připojení VPN

  6. Přejděte na Ovládací panely a pak vyberte Centrum síťových připojení a sdílení.

  7. Vyberte Změnit nastavení adaptéru.

    Centrum síťových připojení a sdílení – Změna nastavení adaptéru

  8. Klikněte pravým tlačítkem myši na síťové připojení VPN a pak vyberte Vlastnosti.

  9. V okně vlastností sítě VPN vyberte kartu Zabezpečení .

  10. Na kartě Zabezpečení ověřte, že je vybraná pouze verze 2 protokolu MICROSOFT CHAP (MS-CHAP v2) a pak vyberte OK.

    Možnost Povolit tyto protokoly

  11. Klikněte pravým tlačítkem myši na připojení VPN a pak vyberte Připojit.

  12. V okně Nastavení vyberte Připojit.
    Úspěšné připojení se zobrazí v protokolu zabezpečení na serveru RADIUS jako ID události 6272, jak je znázorněno zde:

    Okno Vlastnosti událostí zobrazující úspěšné připojení

Řešení potíží s protokolem RADIUS

Předpokládejme, že konfigurace sítě VPN fungovala předtím, než jste server VPN nakonfigurovali tak, aby k ověřování a autorizaci používal centralizovaný server RADIUS. Pokud konfigurace fungovala, je pravděpodobné, že příčinou problému je chybná konfigurace serveru RADIUS nebo použití neplatného uživatelského jména nebo hesla. Pokud například použijete alternativní příponu hlavního názvu uživatele (UPN) v uživatelském jménu, může pokus o přihlášení selhat. Nejlepších výsledků dosáhnete pomocí stejného názvu účtu.

Při řešení těchto problémů je ideálním místem, kde začít, prozkoumat protokoly událostí zabezpečení na serveru RADIUS. Pokud chcete ušetřit čas hledání událostí, můžete v Prohlížeč událostí použít vlastní zobrazení zásady sítě a přístupového serveru založené na rolích, jak je znázorněno tady. ID události 6273 označuje události, kdy NPS odepřel přístup k uživateli.

Prohlížeč událostí zobrazující události NPAS

Konfigurace vícefaktorového ověřování

Pomoc s konfigurací uživatelů pro vícefaktorové ověřování najdete v článcích Plánování cloudového nasazení vícefaktorového ověřování Microsoft Entra a nastavení účtu pro dvoustupňové ověření.

Instalace a konfigurace rozšíření NPS

Tato část obsahuje pokyny pro konfiguraci sítě VPN pro použití vícefaktorového ověřování pro ověřování klientů se serverem VPN.

Poznámka:

V klíči registru REQUIRE_USER_MATCH se rozlišují malá a velká písmena. Všechny hodnoty musí být nastaveny ve formátu VELKÁ PÍSMENa.

Po instalaci a konfiguraci rozšíření NPS se pro použití vícefaktorového ověřování vyžaduje veškeré ověřování klientů založené na protokolu RADIUS, které tento server zpracovává. Pokud všichni vaši uživatelé VPN nejsou zaregistrovaní v vícefaktorovém ověřování Microsoft Entra, můžete udělat jednu z těchto věcí:

  • Nastavte jiný server RADIUS pro ověřování uživatelů, kteří nejsou nakonfigurovaní pro použití vícefaktorového ověřování.

  • Vytvořte položku registru, která uživatelům umožňuje zadat druhý ověřovací faktor, pokud jsou zaregistrovaní v vícefaktorovém ověřování Microsoft Entra.

Vytvořte novou řetězcovou hodnotu s názvem REQUIRE_USER_MATCH v HKLM\SOFTWARE\Microsoft\AzureMfa a nastavte hodnotu na TRUE nebo FALSE.

Nastavení Vyžadovat shodu uživatele

Pokud je hodnota nastavená na HODNOTU PRAVDA nebo je prázdná, všechny žádosti o ověření podléhají výzvě vícefaktorového ověřování. Pokud je hodnota nastavená na NEPRAVDA, problémy s vícefaktorovým ověřováním MFA se vydávají jenom uživatelům, kteří jsou zaregistrovaní ve vícefaktorovém ověřování Microsoft Entra. Nastavení NEPRAVDA použijte pouze při testování nebo v produkčních prostředích během období onboardingu.

Získání ID tenanta adresáře

V rámci konfigurace rozšíření NPS musíte zadat přihlašovací údaje správce a ID vašeho tenanta Microsoft Entra. ID tenanta získáte provedením následujících kroků:

  1. Přihlaste se do Centra pro správu Microsoft Entra.

  2. Přejděte do nastavení identity>.

    Získání ID tenanta z Centra pro správu Microsoft Entra

Instalace rozšíření NPS

Rozšíření NPS musí být nainstalované na serveru, který má nainstalovanou roli Network Policy and Access Services a která funguje jako server RADIUS ve vašem návrhu. Nenainstalujte rozšíření NPS na server VPN.

  1. Stáhněte rozšíření NPS z webu Stažení softwaru společnosti Microsoft.

  2. Zkopírujte instalační spustitelný soubor (NpsExtnForAzureMfaInstaller.exe) na server NPS.

  3. Na serveru NPS poklikejte na NpsExtnForAzureMfaInstaller.exe a v případě výzvy vyberte Spustit.

  4. V okně Instalace vícefaktorového ověřování NPS pro microsoft Entra zkontrolujte licenční podmínky pro software, zaškrtněte políčko Souhlasím s licenčními podmínkami a ujednáními a pak vyberte Nainstalovat.

    Okno Instalace vícefaktorového ověřování nps pro rozšíření NPS pro Microsoft Entra

  5. V okně Instalace vícefaktorového ověřování serveru NPS pro Microsoft Entra vyberte Zavřít.

    Potvrzovací okno

Konfigurace certifikátů pro použití s rozšířením NPS pomocí skriptu Graph PowerShellu

Pokud chcete zajistit zabezpečenou komunikaci a záruku, nakonfigurujte certifikáty pro použití rozšířením NPS. Součástí NPS je skript Graph PowerShellu, který konfiguruje certifikát podepsaný svým držitelem pro použití se serverem NPS.

Skript provede následující akce:

  • Vytvoří certifikát podepsaný svým držitelem.
  • Přidruží veřejný klíč certifikátu k instančnímu objektu v ID Microsoft Entra.
  • Uloží certifikát v úložišti místního počítače.
  • Udělí síťovému uživateli přístup k privátnímu klíči certifikátu.
  • Restartuje službu NPS.

Pokud chcete použít vlastní certifikáty, musíte veřejný klíč certifikátu přidružit k instančnímu objektu pro ID Microsoft Entra atd.

Pokud chcete skript použít, zadejte rozšíření s přihlašovacími údaji správce Microsoft Entra a ID tenanta Microsoft Entra, které jste zkopírovali dříve. Účet musí být ve stejném tenantovi Microsoft Entra, pro kterého chcete rozšíření povolit. Spusťte skript na každém serveru NPS, na kterém nainstalujete rozšíření NPS.

  1. Spusťte Graph PowerShell jako správce.

  2. Na příkazovém řádku PowerShellu zadejte cd "c:\Program Files\Microsoft\AzureMfa\Config" a pak vyberte Enter.

  3. Na dalším příkazovém řádku zadejte .\AzureMfaNpsExtnConfigSetup.ps1 a pak vyberte Enter. Skript zkontroluje, jestli je nainstalovaný Graph PowerShell. Pokud není nainstalovaný, skript za vás nainstaluje Graph PowerShell.

    Spuštění konfiguračního skriptu AzureMfsNpsExtnConfigSetup.ps1

    Pokud se kvůli protokolu TLS zobrazí chyba zabezpečení, povolte protokol TLS 1.2 pomocí příkazu z příkazového [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 řádku PowerShellu.

    Po ověření instalace modulu PowerShellu se ve skriptu zobrazí přihlašovací okno modulu PowerShellu pro Graph.

  4. Zadejte svoje přihlašovací údaje a heslo správce Microsoft Entra a pak vyberte Přihlásit se.

  5. Na příkazovém řádku vložte ID tenanta, které jste zkopírovali dříve, a pak vyberte Enter.

    Zadejte ID tenanta Microsoft Entra zkopírované před

    Skript vytvoří certifikát podepsaný svým držitelem a provede další změny konfigurace. Výstup je podobný následujícímu obrázku:

    Okno PowerShellu zobrazující certifikát podepsaný svým držitelem

  6. Restartujte server.

Ověření konfigurace

Pokud chcete ověřit konfiguraci, musíte vytvořit nové připojení VPN k serveru VPN. Po úspěšném zadání přihlašovacích údajů pro primární ověřování čeká připojení VPN před navázáním připojení k síti VPN na úspěšné ověření, jak je znázorněno níže.

Okno VPN nastavení systému Windows

Pokud jste úspěšně ověřili sekundární metodu ověřování, kterou jste dříve nakonfigurovali v vícefaktorovém ověřování Microsoft Entra, jste připojeni k prostředku. Pokud však sekundární ověřování není úspěšné, přístup k prostředku se odepře.

V následujícím příkladu poskytuje aplikace Microsoft Authenticator ve Windows Phone sekundární ověřování:

Příklad výzvy vícefaktorového ověřování ve Windows Phone

Po úspěšném ověření pomocí sekundární metody máte udělený přístup k virtuálnímu portu na serveru VPN. Vzhledem k tomu, že jste museli použít sekundární metodu ověřování pomocí mobilní aplikace na důvěryhodném zařízení, je proces přihlašování bezpečnější, než kdyby používal pouze kombinaci uživatelského jména a hesla.

Zobrazení protokolů Prohlížeč událostí pro úspěšné události přihlášení

Pokud chcete zobrazit úspěšné události přihlášení ve Windows Prohlížeč událostí, můžete zobrazit protokol zabezpečení nebo vlastní zobrazení Zásady sítě a přístupové služby, jak je znázorněno na následujícím obrázku:

Příklad protokolu serveru Network Policy Server

Na serveru, na kterém jste nainstalovali rozšíření NPS pro vícefaktorové ověřování Microsoft Entra, najdete Prohlížeč událostí aplikační protokoly specifické pro rozšíření v protokolech aplikací a služeb\Microsoft\AzureMfa.

Příklad podokna protokolů ověřování Prohlížeč událostí

Příručka pro řešení problémů

Pokud konfigurace nefunguje podle očekávání, začněte řešit potíže tím, že ověříte, že je uživatel nakonfigurovaný tak, aby používal vícefaktorové ověřování. Požádejte uživatele, aby se přihlásil do Centra pro správu Microsoft Entra. Pokud se uživateli zobrazí výzva k sekundárnímu ověřování a může se úspěšně ověřit, můžete jako problém odstranit nesprávnou konfiguraci vícefaktorového ověřování.

Pokud vícefaktorové ověřování pracuje pro uživatele, projděte si příslušné protokoly Prohlížeč událostí. Protokoly zahrnují protokoly zabezpečení, provozní bránu a protokoly vícefaktorového ověřování Microsoft Entra, které jsou popsány v předchozí části.

Tady je příklad protokolu zabezpečení, který zobrazuje neúspěšnou událost přihlášení (ID události 6273):

Protokol zabezpečení zobrazující neúspěšnou událost přihlášení

Související událost z vícefaktorového protokolu ověřování Microsoft Entra je zobrazena zde:

Protokoly vícefaktorového ověřování Microsoft Entra

Pokud chcete provést pokročilé řešení potíží, projděte si soubory protokolu formátu databáze NPS, ve kterých je služba NPS nainstalovaná. Soubory protokolu se vytvoří ve složce %SystemRoot%\System32\Logs jako textové soubory oddělené čárkami. Popis souborů protokolu naleznete v tématu Interpretace souborů protokolu formátu databáze NPS.

Položky v těchto souborech protokolu se obtížně interpretují, pokud je neexportujete do tabulky nebo databáze. Mnoho nástrojů pro analýzu internetové ověřování (IAS) najdete online, které vám pomůžou při interpretaci souborů protokolu. Výstup jedné takové aplikace sharewaru ke stažení je zde:

Ukázkový analyzátor sharewarové aplikace IAS

K dalšímu řešení potíží můžete použít analyzátor protokolu, jako je Wireshark nebo Microsoft Message Analyzer. Následující obrázek z Wiresharku ukazuje zprávy RADIUS mezi serverem VPN a serverem NPS.

Microsoft Message Analyzer zobrazující filtrovaný provoz

Další informace naleznete v tématu Integrace stávající infrastruktury NPS s vícefaktorovým ověřováním Microsoft Entra.

Další kroky

Získání vícefaktorového ověřování Microsoft Entra

Brána vzdálené plochy Azure Multi-Factor Authentication Server pomocí protokolu RADIUS

Integrace místních adresářů s Microsoft Entra ID