Bedingter Zugriff für VPN-Konnektivität mit Microsoft Entra ID

In dieser Anleitung erfahren Sie, wie Sie VPN-Benutzern mithilfe der Option Bedingter Zugriff mit Microsoft Entra Zugriff auf Ihre Ressourcen gewähren. Mit bedingtem Microsoft Entra-Zugriff für Verbindungen über ein virtuelles privates Netzwerk (VPN) können Sie die VPN-Verbindungen schützen. Beim bedingten Zugriff handelt es sich um ein richtlinienbasiertes Auswertungsmodul, mit dem Sie Zugriffsregeln für alle mit Microsoft Entra verknüpften Anwendungen erstellen können.

Prerequisites

Bevor Sie mit dem Konfigurieren des bedingten Zugriffs für Ihr VPN beginnen, müssen Sie die folgenden Voraussetzungen erfüllt haben:

• Häufig gestellte Fragen zum bedingten Zugriff von Microsoft Entra ID

  • Administratoren, die mit bedingtem Zugriff interagieren, müssen je nach den aufgaben, die sie ausführen, über eine der folgenden Rollenzuweisungen verfügen. Um das Zero Trust-Prinzip der geringsten Rechte zu befolgen, sollten Sie für die Just-In-Time-Aktivierung von privilegierten Rollenzuweisungen die Verwendung von Privileged Identity Management (PIM) in Betracht ziehen.
    • Richtlinien und Konfigurationen für bedingten Zugriff lesen
      • Sicherheitsleseberechtigter
    • Erstellen oder Ändern von Richtlinien für bedingten Zugriff
      • Administrator für bedingten Zugriff

• VPN und bedingter Zugriff

• Sie haben das Tutorial: Bereitstellen von Always On VPN: Einrichten der Infrastruktur für Always On VPN abgeschlossen, oder Sie haben bereits die Always On VPN-Infrastruktur in Ihrer Umgebung eingerichtet.

• Ihr Windows-Clientcomputer wurde bereits mithilfe von Intune mit einer VPN-Verbindung konfiguriert. Wenn Sie nicht wissen, wie Sie ein VPN-Profil mit Intune konfigurieren und bereitstellen können, lesen Sie Bereitstellen des Always On VPN-Profils für Windows 10-Clients oder neuere Clients mit Microsoft Intune.

Konfigurieren von EAP-TLS für das Ignorieren der Zertifikatssperrlisten-Überprüfung

Ein EAP-TLS-Client kann nur dann eine Verbindung herstellen, wenn der NPS-Server eine Sperrüberprüfung der Zertifikatkette (einschließlich des Stammzertifikats) abgeschlossen hat. Bei Cloudzertifikaten, die von Microsoft Entra ID für den Benutzer ausgestellt werden, gibt es keine Zertifikatssperrliste, weil es sich dabei um kurzlebige Zertifikate mit einer Lebensdauer von einer Stunde handelt. EAP bei NPS muss so konfiguriert werden, dass das Fehlen einer CRL ignoriert wird. Da die Authentifizierungsmethode EAP-TLS ist, wird dieser Registrierungswert nur unter EAP\13 benötigt. Wenn andere EAP-Authentifizierungsmethoden verwendet werden, sollte auch der Registrierungswert unter diesen Methoden hinzugefügt werden.

Fügen Sie in diesem Abschnitt IgnoreNoRevocationCheck und NoRevocationCheck hinzu. Standardmäßig sind IgnoreNoRevocationCheck und NoRevocationCheck auf 0 (deaktiviert) festgelegt.

Weitere Informationen zu den NPS-CRL-Registrierungseinstellungen finden Sie unter Konfigurieren der NPS-Zertifikatsperrliste zum Überprüfen der Registrierungseinstellungen.

1. Öffnen Sie regedit.exe auf dem NPS-Server.

2. Navigieren Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.

3. Wählen Sie Bearbeiten > Neu und DWORD-Wert (32-Bit) aus, und geben Sie IgnoreNoRevocationCheck ein.

4. Doppelklicken Sie auf IgnoreNoRevocationCheck , und legen Sie die Wertdaten auf 1 fest.

5. Wählen Sie Bearbeiten > Neu und DWORD-Wert (32-Bit) aus, und geben Sie NoRevocationCheck ein.

6. Doppelklicken Sie auf "NoRevocationCheck" , und legen Sie die Wertdaten auf 1 fest.

7. Wählen Sie "OK" aus, und starten Sie den Server neu. Das Neustarten der RRAS- und NPS-Dienste reicht nicht aus.

Erstellen von Stammzertifikaten für die VPN-Authentifizierung mit Microsoft Entra ID

In diesem Abschnitt konfigurieren Sie die Stammzertifikate für den bedingten Zugriff für die VPN-Authentifizierung mit Microsoft Entra ID, wodurch automatisch eine Cloud-App namens VPN-Server im Mandanten erstellt wird. Erforderliche Schritte zum Konfigurieren des bedingten Zugriffs für VPN-Verbindungen:

1. Erstellen eines VPN-Zertifikats über das Azure-Portal
2. Herunterladen des VPN-Zertifikats
3. Stellen Sie das Zertifikat auf Ihren VPN- und NPS-Servern bereit.

Wenn ein Benutzer versucht, eine VPN-Verbindung herzustellen, ruft der VPN-Client den Web Account Manager (WAM) auf dem Windows 10-Client auf. Der WAM ruft die VPN-Server-Cloud-App auf. Wenn die Bedingungen und Kontrollen in der Richtlinie für bedingten Zugriff erfüllt sind, gibt Microsoft Entra ID ein Token in Form eines kurzlebigen (1-stündigen) Zertifikats für den WAM aus. Der WAM platziert das Zertifikat im Zertifikatspeicher des Benutzers und übergibt die Kontrolle an den VPN-Client. 

Der VPN-Client sendet dann das von Microsoft Entra ID ausgestellte Zertifikat zur Überprüfung der Anmeldeinformationen an das VPN. 

So erstellen Sie Stammzertifikate:

1. Melden Sie sich als globaler Administrator bei Ihrem Azure-Portal an.
2. Klicken Sie im linken Menü auf Microsoft Entra ID.
3. Klicken Sie auf der Microsoft Entra ID-Seite im Abschnitt Verwalten auf die Option Sicherheit.
4. Klicken Sie auf der Seite "Sicherheit " im Abschnitt "Schützen " auf " Bedingter Zugriff".
5. Klicken Sie auf der Seite Bedingter Zugriff |Richtlinien im Abschnitt Verwalten auf VPN-Konnektivität.
6. Klicken Sie auf der Seite "VPN-Konnektivität" auf "Neues Zertifikat".
7. Führen Sie auf der Seite "Neu" die folgenden Schritte aus: a. Wählen Sie für "Dauer auswählen" entweder 1, 2 oder 3 Jahre aus. b. Wählen Sie "Erstellen" aus.

Konfigurieren der Richtlinie für bedingten Zugriff

In diesem Abschnitt konfigurieren Sie die Richtlinie für bedingten Zugriff für die VPN-Konnektivität. Wenn das erste Stammzertifikat auf dem Blatt „VPN-Konnektivität“ erstellt wird, wird automatisch eine „VPN Server“-Cloudanwendung im Mandanten erstellt.

Erstellen Sie eine Richtlinie für den bedingten Zugriff, die VPN-Benutzern zugewiesen ist, und legen Sie die Cloud-App auf VPN-Server fest:

• Benutzer: VPN-Benutzer
• Cloud-App: VPN-Server
• Grant (Zugriffssteuerung): "Mehrstufige Authentifizierung erfordern". Andere Steuerelemente können bei Bedarf verwendet werden.

Verfahren: In diesem Schritt wird die Erstellung der grundlegendsten Richtlinie für bedingten Zugriff behandelt.  Zusätzliche Bedingungen und Kontrolle können bei Bedarf verwendet werden.

1. Wählen Sie auf der Seite "Bedingter Zugriff " in der Symbolleiste oben "Hinzufügen" aus.

   

2. Geben Sie auf der Seite "Neu " im Feld "Name " einen Namen für Ihre Richtlinie ein. Geben Sie beispielsweise eine VPN-Richtlinie ein.

   

3. Wählen Sie im Abschnitt "Aufgaben" die Option "Benutzer und Gruppen" aus.

   

4. Führen Sie auf der Seite Benutzer und Gruppen die folgenden Schritte aus:

   

   a. Klicken Sie auf Benutzer und Gruppen auswählen.

   b. Wählen Sie Auswählen aus.

   c. Wählen Sie auf der Seite "Auswählen " die Gruppe "VPN-Benutzer " und dann "Auswählen" aus.

   d. Wählen Sie auf der Seite Benutzer und GruppenFertig aus.

5. Führen Sie auf der Seite "Neu" die folgenden Schritte aus:

   

   a. Wählen Sie im Abschnitt "Aufgaben " die Option "Cloud-Apps" aus.

   b. Wählen Sie auf der Seite "Cloud-Apps " die Option "Apps auswählen" aus.

   d. Wählen Sie VPN-Server aus.

6. Wählen Sie auf der Seite "Neu" im Abschnitt "Steuerelemente" die Option "Gewähren" aus, um die Seite "Gewähren" zu öffnen.

   

7. Führen Sie auf der Seite "Gewähren " die folgenden Schritte aus:

   

   a. Wählen Sie Mehrstufige Authentifizierung erforderlich aus.

   b. Wählen Sie Auswählen aus.

8. Wählen Sie auf der Seite "Neu" unter "Richtlinie aktivieren" die Option "Ein" aus.

   

9. Wählen Sie auf der Seite "Neu " die Option "Erstellen" aus.

Bereitstellen von Stammzertifikaten für bedingten Zugriff auf der lokalen AD-Instanz

In diesem Abschnitt stellen Sie ein vertrauenswürdiges Stammzertifikat für die VPN-Authentifizierung auf Ihrer lokalen AD-Instanz bereit.

1. Wählen Sie auf der Seite "VPN-Konnektivität " die Option "Zertifikat herunterladen" aus.

   Note

   Die Option Base64-Zertifikat herunterladen ist für einige Konfigurationen verfügbar, für die Base64-Zertifikate für die Bereitstellung erforderlich sind.

2. Melden Sie sich bei einem computer mit unternehmenseigenen Administratorrechten an, und führen Sie diese Befehle an einer Administrator-Eingabeaufforderung aus, um dem Enterprise NTauth-Speicher die Cloudstammzertifikate hinzuzufügen:

   Note

   In Umgebungen, in denen der VPN-Server nicht mit der Active Directory-Domäne verbunden ist, müssen die Cloudstammzertifikate dem Speicher Vertrauenswürdige Stammzertifizierungsstellen manuell hinzugefügt werden.

   Command	Description
   certutil -dspublish -f VpnCert.cer RootCA	Erstellt zwei Microsoft VPN-Stamm-CA Gen1-Container unter den Containern CN=AIA und CN=Certification Authorities und veröffentlicht jedes Stammzertifikat als Wert des Attributs cACertificate der beiden Microsoft VPN-Stamm-CA Gen1-Container.
   certutil -dspublish -f VpnCert.cer NTAuthCA	Erstellt einen CN=NTAuthCertificates-Container unter den Containern CN=AIA und CN=Zertifizierungsstellen und veröffentlicht jedes Stammzertifikat als Wert im cACertificate-Attribut des CN=NTAuthCertificates-Containers .
   gpupdate /force	Beschleunigt das Hinzufügen der Stammzertifikate zu den Windows-Server- und Clientcomputern.

3. Stellen Sie sicher, dass die Stammzertifikate im Enterprise NTauth-Speicher vorhanden sind und als vertrauenswürdig angezeigt werden:

   1. Melden Sie sich mit Unternehmensadministratorrechten bei einem Server an, auf dem die Tools zur Zertifizierungsstellenverwaltung installiert sind.

   Note

   Standardmäßig sind die Tools zur Zertifizierungsstellenverwaltung auf Servern der Zertifizierungsstelle installiert. Sie können im Rahmen der Rollenverwaltungstools in Server-Manager auf anderen Mitgliedsservern installiert werden.

   1. Geben Sie auf dem VPN-Server im Startmenü "pkiview.msc " ein, um das Dialogfeld "Enterprise PKI" zu öffnen.
   2. Geben Sie im Startmenü "pkiview.msc " ein, um das Enterprise PKI-Dialogfeld zu öffnen.
   3. Klicken Sie mit der rechten Maustaste auf Unternehmens-PKI , und wählen Sie "AD-Container verwalten" aus.
   4. Stellen Sie sicher, dass jedes Zertifikat der Microsoft VPN-Stammzertifizierungsstelle Gen1 vorhanden ist unter:
      • NTAuthCertificates
      • AIA-Container
      • Container für Zertifizierungsstellen

Erstellen von OMA-DM-basierten VPNv2-Profilen für Windows 10-Geräte

In diesem Abschnitt erstellen Sie OMA-DM-basierte VPNv2-Profile mithilfe von Intune, um eine VPN-Gerätekonfigurationsrichtlinie bereitzustellen.

1. Wählen Sie im Azure-PortalIntune-Gerätekonfigurationsprofile>> aus, und wählen Sie das VPN-Profil aus, das Sie unter Konfigurieren des VPN-Clients mithilfe von Intune erstellt haben.

2. Wählen Sie im Richtlinien-Editor "Eigenschafteneinstellungen>>Base VPN" aus. Erweitern Sie den vorhandenen EAP-XML-Code , um einen Filter einzuschließen, der dem VPN-Client die Logik gibt, die es benötigt, um das Zertifikat des Microsoft Entra-Bedingten Zugriffs aus dem Zertifikatspeicher des Benutzers abzurufen, anstatt es zu verlassen, damit es das erste ermittelte Zertifikat verwenden kann.

   Note

   Ohne dies könnte der VPN-Client das von der lokalen Zertifizierungsstelle ausgestellte Benutzerzertifikat abrufen, was zu einer fehlerhaften VPN-Verbindung führt.

   

3. Suchen Sie den Abschnitt, der mit </AcceptServerName></EapType> endet, und fügen Sie die folgende Zeichenfolge zwischen diesen beiden Werten ein, um dem VPN-Client die Logik zum Auswählen des Microsoft Entra-Zertifikats für bedingten Zugriff bereitzustellen:

   <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUList Enabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions>
   

4. Wählen Sie das Blatt für bedingten Zugriff aus, und schalten Sie den bedingten Zugriff für diese VPN-Verbindung auf "Aktiviert" um.

   Wenn Sie diese Einstellung aktivieren, wird die Einstellung <DeviceCompliance><Enabled>true</Enabled> in der VPNv2-Profil-XML geändert.

   

5. Wählen Sie OK aus.

6. Wählen Sie " Aufgaben" unter "Einschließen" die Option " Einzuschließende Gruppen auswählen" aus.

7. Wählen Sie die richtige Gruppe aus, die diese Richtlinie empfängt, und wählen Sie " Speichern" aus.

   

MDM-Richtliniensynchronisierung auf dem Client erzwingen

Wenn das VPN-Profil auf dem Clientgerät nicht angezeigt wird, können Sie unter Einstellungen\Netzwerk und Internet\VPN die Synchronisierung der MDM-Richtlinie erzwingen.

1. Melden Sie sich als Mitglied der GRUPPE "VPN-Benutzer " bei einem in die Domäne eingebundenen Clientcomputer an.

2. Geben Sie im Startmenü Konto ein, und drücken Sie die EINGABETASTE.

3. Wählen Sie im linken Navigationsbereich Zugriff auf Arbeit oder Schule aus.

4. Wählen Sie unter „Zugriff auf Beruf oder Schule“ die Option Mit <\domain> MDM verbunden und dann Info aus.

5. Wählen Sie "Synchronisieren" aus, und überprüfen Sie, ob das VPN-Profil unter "Einstellungen\Netzwerk & Internet\VPN" angezeigt wird.

Nächste Schritte

Sie haben das VPN-Profil für die Verwendung des bedingten Microsoft Entra-Zugriffs konfiguriert.

• Weitere Informationen zur Funktionsweise des bedingten Zugriffs mit VPNs finden Sie unter VPN und bedingter Zugriff.

• Weitere Informationen zu den erweiterten VPN-Features finden Sie unter Erweiterte VPN-Features.

• Eine Übersicht über VPNv2-CSP finden Sie unter VPNv2 CSP: Dieses Thema bietet Ihnen eine Übersicht über VPNv2 CSP.