Accès conditionnel pour la connectivité VPN à l’aide de Microsoft Entra ID

Dans ce guide pratique, vous allez apprendre à accorder aux utilisateurs VPN l’accès à vos ressources à l’aide de l’accès conditionnel Microsoft Entra. Avec l’accès conditionnel Microsoft Entra pour la connectivité de réseau privé virtuel (VPN), vous pouvez protéger les connexions VPN. Grâce à ce moteur d’évaluation basé sur des stratégies, vous pouvez créer des règles d’accès pour n’importe quelle application connectée Microsoft Entra.

Prerequisites

Avant de commencer à configurer l’accès conditionnel pour votre VPN, vous devez avoir rempli les conditions préalables suivantes :

• Accès conditionnel dans Microsoft Entra ID

  • Les administrateurs interagissant avec l’accès conditionnel doivent avoir une des attributions de rôles suivantes en fonction des tâches qu’ils effectuent. Pour suivre le principe confiance zéro du privilège minimum, envisagez d’utiliser Privileged Identity Management (PIM) pour activer juste-à-temps les attributions de rôles privilégiés.
    • Lire les stratégies et configurations d’accès conditionnel
      • Lecteur de sécurité
    • Créer ou modifier des stratégies d’accès conditionnel
      • Administrateur de l’accès conditionnel

• VPN et accès conditionnel

• Vous avez terminé le Tutoriel : Déployer VPN Always On - Configurer l’infrastructure pour VPN Always On ou vous avez déjà configuré l’infrastructure VPN Always On dans votre environnement.

• Votre ordinateur client Windows a déjà été configuré avec une connexion VPN à l’aide de Intune. Si vous ne savez pas comment configurer et déployer un profil VPN avec Intune, consultez Déployer un profil VPN Always On sur des clients Windows 10 ou plus récents avec Microsoft Intune.

Configurer EAP-TLS pour ignorer la vérification de la liste de révocation de certificats (CRL)

Un client EAP-TLS ne peut pas se connecter, sauf si le serveur NPS effectue une vérification de révocation de la chaîne de certificats (y compris le certificat racine). Les certificats cloud émis pour l’utilisateur par Microsoft Entra ID n’ont pas de CRL, car il s’agit de certificats de courte durée avec une durée de vie d’une heure. EAP sur NPS doit être configuré pour ignorer l’absence de CRL. Comme la méthode d’authentification est EAP-TLS, cette valeur de Registre est uniquement nécessaire sous EAP\13. Si d’autres méthodes d’authentification EAP sont utilisées, la valeur du Registre doit également être ajoutée sous celles-ci.

Dans cette section, vous ajouterez IgnoreNoRevocationCheck et NoRevocationCheck. Par défaut, IgnoreNoRevocationCheck et NoRevocationCheck sont définis sur 0 (désactivé).

Pour en savoir plus sur les paramètres de registre NPS CRL, consultez Configurer les paramètres de registre de vérification de la liste de révocation de certificats du serveur de stratégie réseau.

1. Ouvrez regedit.exe sur le serveur NPS.

2. Accédez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.

3. Sélectionnez Modifier >, Nouveau, et Valeur DWORD (32 bits), puis entrez IgnoreNoRevocationCheck.

4. Double-cliquez sur IgnoreNoRevocationCheck et définissez les données Valeur sur 1.

5. Sélectionnez Modifier >, Nouveau, et Valeur DWORD (32 bits), puis entrez NoRevocationCheck.

6. Double-cliquez sur NoRevocationCheck et définissez les données Valeur sur 1.

7. Sélectionnez OK et redémarrez le serveur. Le redémarrage des services RRAS et NPS ne suffit pas.

Créer des certificats racine pour l’authentification VPN avec Microsoft Entra ID

Dans cette section, vous configurez des certificats racine d’accès conditionnel pour l’authentification VPN avec Microsoft Entra ID, qui crée automatiquement une application cloud appelée serveur VPN dans le client. Pour configurer l’accès conditionnel pour la connectivité VPN, vous devez :

1. Créer un certificat VPN dans le portail Azure
2. Télécharger le certificat VPN
3. Déployez le certificat sur vos serveurs VPN et NPS.

Lorsqu’un utilisateur tente une connexion VPN, le client VPN effectue un appel dans le Gestionnaire de compte web (WAM) sur le client Windows 10. WAM effectue un appel à l’application cloud du serveur VPN. Lorsque les conditions et les contrôles de la stratégie d’accès conditionnel sont satisfaits, Microsoft Entra ID émet un jeton sous la forme d’un certificat de courte durée (1 heure) au WAM. Le module WAM place le certificat dans le magasin de certificats de l’utilisateur et transmet le contrôle au client VPN. 

Le client VPN envoie ensuite le certificat émis par Microsoft Entra ID au VPN pour la validation des informations d’identification. 

Pour créer des certificats racines :

1. Connectez-vous à votre portail Azure en tant qu’administrateur général.
2. Sur le menu de gauche, cliquez sur Microsoft Entra ID.
3. Sur la page Microsoft Entra ID, dans la section Gérer, cliquez sur Sécurité.
4. Dans la page Sécurité , dans la section Protéger , cliquez sur Accès conditionnel.
5. Dans Accès conditionnel | Stratégies, dans la section Gérer, cliquez sur connectivité VPN.
6. Dans la page de connectivité VPN , cliquez sur Nouveau certificat.
7. Dans la page Nouveau , procédez comme suit : a. Pour sélectionner une durée, sélectionnez 1, 2 ou 3 ans. b. Cliquez sur Créer.

configurer la stratégie d'accès conditionnel

Dans cette section, vous configurez la stratégie d’accès conditionnel pour la connectivité VPN. Lorsque le premier certificat racine est créé dans le panneau « Connectivité VPN », il crée automatiquement une application cloud « SERVEUR VPN » dans le locataire.

Créez une stratégie d’accès conditionnel affectée au groupe d’utilisateurs VPN et limitez l’application cloud au serveur VPN :

• Utilisateurs : Utilisateurs VPN
• Application cloud : serveur VPN
• Accorder (contrôle d’accès) : « Exiger l’authentification multifacteur ». D’autres contrôles peuvent être utilisés si vous le souhaitez.

Procédure: Cette étape couvre la création de la stratégie d’accès conditionnel la plus simple.  Si vous le souhaitez, des conditions et des contrôles supplémentaires peuvent être utilisés.

1. Dans la page Accès conditionnel , dans la barre d’outils située en haut, sélectionnez Ajouter.

   

2. Dans la page Nouveau , dans la zone Nom , entrez un nom pour votre stratégie. Par exemple, entrez une stratégie VPN.

   

3. Dans la section Affectation , sélectionnez Utilisateurs et groupes.

   

4. Dans la page Utilisateurs et groupes, effectuez les étapes suivantes :

   

   a. Sélectionnez Sélectionner des utilisateurs et des groupes.

   b. Sélectionnez Sélectionner.

   c. Dans la page Sélectionner , sélectionnez le groupe d’utilisateurs VPN , puis sélectionnez Sélectionner.

   d. Dans la page Utilisateurs et groupes, cliquez sur Terminé.

5. Dans la page Nouveau , procédez comme suit :

   

   a. Dans la section Affectations , sélectionnez Applications cloud.

   b. Dans la page Applications cloud , sélectionnez Sélectionner des applications.

   d. Sélectionnez Serveur VPN.

6. Dans la page Nouveau , pour ouvrir la page Accorder , dans la section Contrôles , sélectionnez Accorder.

   

7. Dans la page Accorder , procédez comme suit :

   

   a. Sélectionnez Exiger une authentification multifacteur.

   b. Sélectionnez Sélectionner.

8. Dans la page Nouveau , sous Activer la stratégie, sélectionnez Activé.

   

9. Dans la page Nouveau , sélectionnez Créer.

Déployer des certificats racine d’accès conditionnel sur l’annuaire AD local

Dans cette section, vous déployez un certificat racine approuvé pour l’authentification VPN sur votre AD local.

1. Dans la page de connectivité VPN , sélectionnez Télécharger le certificat.

   Note

   L’option Télécharger le certificat base64 est disponible pour certaines configurations qui nécessitent des certificats base64 pour le déploiement.

2. Connectez-vous à un ordinateur joint à un domaine avec des droits d’administrateur d’entreprise et exécutez ces commandes à partir d’une invite de commandes Administrateur pour ajouter le ou les certificats racines cloud dans le magasin Enterprise NTauth :

   Note

   Pour les environnements où le serveur VPN n’est pas joint au domaine Active Directory, les certificats racine cloud doivent être ajoutés manuellement au magasin Autorités de certification racines de confiance.

   Command	Description
   certutil -dspublish -f VpnCert.cer RootCA	Crée deux conteneurs Microsoft VPN root CA gen 1 sous les conteneurs CN=AIA et CN=Certification Authorities, et publie chaque certificat racine en tant que valeur sur l’attribut cACertificate des deux conteneurs Microsoft VPN root CA gen 1.
   certutil -dspublish -f VpnCert.cer NTAuthCA	Crée un conteneur CN=NTAuthCertificates sous les conteneurs CN=AIA et CN=Certification Authorities et publie chaque certificat racine sous forme de valeur sur l’attribut cACertificate du conteneur CN=NTAuthCertificates .
   gpupdate /force	Accélère l’ajout des certificats racines au serveur Windows et aux ordinateurs clients.

3. Vérifiez que les certificats racines sont présents dans le magasin Enterprise NTauth et s’affichent comme approuvés :

   1. Connectez-vous à un serveur avec les droits d’Administrateur d'entreprise sur lequel les outils de gestion de l’autorité de certification sont installés.

   Note

   Par défaut, les outils de gestion de l’autorité de certification sont installés sur les serveurs d’autorité de certification. Ils peuvent être installés sur d’autres serveurs membres dans le cadre des outils d’administration de rôle dans le Gestionnaire de serveur.

   1. Sur le serveur VPN, dans le menu Démarrer, entrez pkiview.msc pour ouvrir la boîte de dialogue Entreprise PKI.
   2. Dans le menu Démarrer, entrez pkiview.msc pour ouvrir la boîte de dialogue Entreprise PKI.
   3. Cliquez avec le bouton droit sur Infrastructure publique d’entreprise , puis sélectionnez Gérer les conteneurs AD.
   4. Vérifiez que chaque certificat Microsoft VPN root CA gen 1 est présent sous :
      • NTAuthCertificates
      • Conteneur AIA
      • Conteneur d’autorités de certification

Créer des profils VPNv2 basés sur OMA-DM sur les appareils Windows 10

Dans cette section, vous créerez des profils VPNv2 basés sur OMA-DM en utilisant Intune pour déployer une stratégie de configuration de périphérique VPN.

1. Dans le portail Azure, sélectionnezProfilsde configuration> d’appareil Intune> et sélectionnez le profil VPN que vous avez créé dans Configurer le client VPN à l’aide d’Intune.

2. Dans l’éditeur de stratégie, sélectionnezVPN de basedes paramètres>des propriétés>. Étendez le code XML EAP existant pour inclure un filtre qui donne au client VPN la logique dont il a besoin pour récupérer le certificat d’accès conditionnel Microsoft Entra à partir du magasin de certificats de l’utilisateur au lieu de le laisser pour pouvoir utiliser le premier certificat découvert.

   Note

   Sans cela, le client VPN peut récupérer le certificat utilisateur émis par l’autorité de certification locale, ce qui entraîne l’échec de la connexion VPN.

   

3. Recherchez la section qui se termine par </AcceptServerName></EapType> et insérez la chaîne suivante entre ces deux valeurs pour fournir au client VPN la logique permettant de sélectionner le certificat d’accès conditionnel Microsoft Entra :

   <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUList Enabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions>
   

4. Sélectionnez le panneau Accès conditionnel et activez l’accès conditionnel pour cette connexion VPN.

   L’activation de ce paramètre modifie le paramètre <DeviceCompliance><Enabled>true</Enabled> dans le XML du profil VPNv2.

   

5. Cliquez sur OK.

6. Sélectionnez Affectations, sous Inclure, sélectionnez Sélectionner des groupes à inclure.

7. Sélectionnez le groupe approprié qui reçoit cette stratégie, puis sélectionnez Enregistrer.

   

Forcer la synchronisation des stratégies MDM sur le client

Si le profil VPN n’apparaît pas sur l’appareil client, sous Paramètres\Réseau & Internet\VPN, vous pouvez forcer la synchronisation de la stratégie MDM.

1. Connectez-vous à un ordinateur client joint à un domaine en tant que membre du groupe Utilisateurs VPN .

2. Dans le menu Démarrer, entrez le compte, puis appuyez sur Entrée.

3. Dans le volet de navigation gauche, sélectionnez Accès Professionnel ou Scolaire.

4. Sous Accès professionnel ou scolaire, sélectionnez Connecté à <\domaine> MDM, puis sélectionnez Informations.

5. Sélectionnez Synchroniser et vérifier que le profil VPN s’affiche sous Paramètres\Réseau &Internet\VPN.

Étapes suivantes

Vous avez terminé de configurer le profil VPN pour utiliser l’accès conditionnel Microsoft Entra.

• Pour en savoir plus sur le fonctionnement de l’accès conditionnel avec les VPN, consultez VPN et accès conditionnel.

• Pour en savoir plus sur les fonctionnalités VPN avancées, consultez Fonctionnalités VPN avancées.

• Pour voir une vue d’ensemble du fournisseur de services de configuration VPNv2, consultez LE FOURNISSEUR de services de configuration VPNv2 : cette rubrique vous fournit une vue d’ensemble du fournisseur de solutions CLOUD VPNv2.