Интеграция проверки подлинности RADIUS VPN-шлюза Azure с сервером NPS для многофакторной проверки подлинности

В статье описывается интеграция сервера политики сети (NPS) с проверкой подлинности RADIUS VPN-шлюза Azure для доставки многофакторной проверки подлинности (MFA) для VPN-подключений типа "точка — сеть".

Необходимые условия

Чтобы включить MFA, пользователи должны находиться в идентификаторе Microsoft Entra, который должен быть синхронизирован из локальной или облачной среды. Кроме того, пользователь должен выполнить процесс автоматической регистрации для использования MFA. Если MFA основана на тексте (SMS, код проверки мобильного приложения и т. д.) и требует, чтобы пользователь ввел код или текст в пользовательском интерфейсе VPN-клиента, проверка подлинности не будет выполнена и не поддерживается . Дополнительные сведения см. в разделе "Настройка учетной записи для двухфакторной проверки подлинности"

Подробные инструкции

Шаг 1. Создание шлюза виртуальной сети

  1. Войдите на портал Azure.

  2. В виртуальной сети, в которой будет размещен шлюз виртуальной сети, выберите Подсети, а затем выберите Подсеть шлюза, чтобы создать подсеть.

    Снимок экрана: добавление подсети шлюза

  3. Создайте шлюз виртуальной сети, указав следующие параметры.

    • Тип шлюза. Выберите VPN.

    • Тип VPN. Выберите На основе маршрута.

    • SKU. Выберите номер SKU в соответствии с требованиями.

    • Виртуальная сеть. Выберите виртуальную сеть, в которой была создана подсеть шлюза.

      Снимок экрана: параметры шлюза виртуальной сети

Шаг 2. Настройка NPS для многофакторной проверки подлинности Microsoft Entra

  1. На сервере NPS установите расширение NPS для многофакторной проверки подлинности Microsoft Entra.

  2. Откройте консоль NPS, щелкните правой кнопкой мыши RADUIS Clients (Клиенты RADUIS), а затем выберите New (Создать). Создайте клиент RADUIS, указав следующие параметры.

    • Понятное имя. Введите любое имя.

    • Адрес (IP или DNS). Введите подсеть шлюза, созданную на шаге 1.

    • Общий секрет. Введите любой секретный ключ и запомните его для последующего использования.

      Снимок экрана: параметры клиента RADUIS

  3. На вкладке Дополнительно () укажите имя поставщика RADIUS Standard и убедитесь, что флажок Дополнительные параметры не установлен.

    Снимок экрана: дополнительные параметры клиента RADUIS

  4. Выберите Политики>Политики сети, дважды щелкните политику Подключения к серверу маршрутизации и удаленного доступа (Microsoft) политики, выберите Предоставить доступ, а затем нажмите кнопку ОК.

Шаг 3. Настройка шлюза виртуальной сети

  1. Войдите на портал Azure.

  2. Откройте шлюз виртуальной сети, который вы создали. Убедитесь, что для него указан тип шлюза VPN и тип VPN На основе маршрута.

  3. Выберите Конфигурация " точка-сеть">Настроить сейчас, а затем укажите следующие параметры.

    • Пул адресов. Введите подсеть шлюза, созданную на шаге 1.

    • Тип проверки подлинности. Выберите Проверка подлинности RADIUS.

    • IP-адрес сервера. Введите IP-адрес NPS-сервера.

      Снимок экрана: параметры подключения типа

Следующие шаги