Intégrer votre infrastructure de passerelle des services Bureau à distance à l’aide de l’extension Network Policy Server (NPS) et de Microsoft Entra ID

Cet article explique comment intégrer la passerelle des services Bureau à distance à l’authentification multifacteur Microsoft Entra à l'aide de l'extension Network Policy Server (NPS) pour Microsoft Azure.

L’extension Network Policy Server (NPS) pour Azure permet aux clients de protéger le protocole d’authentification client RADIUS (Remote Authentication Dial-In User Service) à l’aide de l’authentification multifacteur Azure basée sur le cloud. Cette solution fournit une vérification en deux étapes pour ajouter une deuxième couche de sécurité aux connexions et transactions utilisateur.

Cet article fournit des instructions détaillées pour intégrer l’infrastructure NPS à l’authentification multifacteur Microsoft Entra à l’aide de l’extension NPS pour Azure. Cela permet une vérification pour les utilisateurs tentant de se connecter à une passerelle des services Bureau à distance.

Les services de stratégie et d’accès réseau (NPS) permettent aux entreprises d’effectuer les opérations suivantes :

• définir des emplacements centraux pour la gestion et le contrôle des demandes du réseau en spécifiant qui peut se connecter, les heures de connexion autorisées pendant la journée, la durée des connexions et le niveau de sécurité que les clients doivent utiliser pour se connecter, et autres. Plutôt que de spécifier ces stratégies sur chaque serveur VPN ou de passerelle des services Bureau à distance (RD), ces stratégies peuvent être spécifiées une seule fois dans un emplacement central. Le protocole RADIUS fournit l’authentification, l’autorisation et la gestion des comptes (AAA) centralisées.
• Établissez et appliquez les stratégies de contrôle d’intégrité client de Protection d’accès réseau (NAP) qui déterminent si les périphériques sont accordés avec ou sans restrictions d’accès aux ressources réseau.
• Fournissez un moyen d’appliquer l’authentification et l’autorisation d’accès aux points d’accès sans fil et commutateurs compatibles à 802.1x.

En règle générale, les organisations utilisent le serveur NPS (RADIUS) pour simplifier et centraliser la gestion des stratégies de serveur VPN. Toutefois, de nombreuses organisations utilisent également NPS pour simplifier et centraliser la gestion des stratégies d’autorisation des connexions aux services Bureau à distance (RD CAP).

Les organisations peuvent également intégrer NPS à l’authentification multifacteur Microsoft Entra pour renforcer la sécurité et garantir un haut niveau de conformité. Cela permet de s’assurer que les utilisateurs établissent la vérification en deux étapes pour se connecter à la passerelle des services Bureau à distance. Pour que les utilisateurs puissent obtenir l’accès, ils doivent fournir leur combinaison de nom d’utilisateur et de mot de passe ainsi que des informations sur lesquelles ils ont le contrôle. Ces informations doivent être approuvées et pas facilement dupliquées, comme un numéro de téléphone portable, numéro de téléphone fixe, une application sur un appareil mobile et autres. La passerelle des services Bureau à distance prend actuellement en charge les appels téléphoniques et les notifications Push Approve/Deny à partir des méthodes d’application Microsoft Authenticator pour l’authentification à 2 facteurs. Pour plus d’informations sur les méthodes d’authentification prises en charge, consultez la section Déterminer les méthodes d’authentification que vos utilisateurs peuvent utiliser.

Si votre organisation utilise la passerelle Bureau à distance et que l’utilisateur est inscrit pour utiliser un code TOTP avec des notifications Push d’Authenticator, l’utilisateur ne peut pas répondre au défi MFA et la connexion à la passerelle Bureau à distance échoue. Dans ce cas, vous pouvez remplacer le comportement en créant une nouvelle clé de registre (OVERRIDE_NUMBER_MATCHING_WITH_OTP) pour revenir à l'envoi de notifications push pour approuver ou refuser avec Authenticator. Pour cela, suivez la procédure de remplacement de la correspondance de nombres de l’extension NPS, en définissant la valeur finale de la clé sur OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE.

Avant le lancement de l'extension NPS pour Azure, les clients qui souhaitaient implémenter la vérification en deux étapes pour les environnements intégrant NPS et l’authentification multifacteur Microsoft Entra devaient configurer et gérer un serveur MFA distinct dans l'environnement local, comme décrit dans Passerelle des services Bureau à distance et serveur Microsoft Azure Multi-Factor Authentication utilisant RADIUS.

La disponibilité de l’extension de serveur NPS pour Azure permet désormais aux entreprises de choisir de déployer une solution d’authentification multifacteur locale ou une solution de l’authentification multifacteur basée sur le cloud pour l’authentification client RADIUS sécurisée.

Flux d'authentification

Pour que les utilisateurs puissent obtenir l’accès aux ressources réseau via une passerelle des services Bureau à distance, il leur faut remplir les conditions spécifiées dans une stratégie d'autorisation des connexions aux services Bureau à distance (RD CAP) et une stratégie d'autorisation d'accès aux ressources via les services Bureau à distance (RD RAP). Les stratégies RD CAP spécifient qui est autorisé à se connecter à des passerelles des services Bureau à distance. Les stratégies RD CAP indiquent les ressources réseau, notamment les bureaux à distance ou les applications à distance, auxquelles l’utilisateur est autorisé à se connecter via la passerelle des services Bureau à distance.

Une passerelle des services Bureau à distance peut être configurée pour utiliser un Store de stratégies central pour les stratégies RD CAP. Les stratégies de bureau à distance ne peuvent pas utiliser une stratégie centrale, car elles sont traitées sur la passerelle des services Bureau à distance. Un exemple de passerelle des services Bureau à distance configuré pour utiliser un Store de stratégies central pour les stratégies RD CAP Bureau à distance est les suivant : un client RADIUS vers un autre serveur NPS qui sert de Store de stratégies centrales.

Lorsque l’extension de serveur NPS pour Azure est intégrée au serveur NPS et à la passerelle des services Bureau à distance, le flux d’authentification réussie est le suivant :

1. Le serveur de passerelle des services Bureau à distance reçoit une demande d’authentification à partir d’un utilisateur du bureau à distance pour se connecter à une ressource, par exemple une session Bureau à distance. Agissant comme un client RADIUS, le serveur de passerelle des services Bureau à distance convertit la demande en un message de demande d’accès RADIUS et envoie le message sur le serveur RADIUS (NPS) où est installée l’extension du serveur NPS.
2. La combinaison nom d’utilisateur et mot de passe est vérifiée dans Active Directory et l’utilisateur est authentifié.
3. Si toutes les conditions, telles que spécifiées dans les stratégies de réseau et dans la demande de connexion NPS, sont remplies (par exemple, restrictions d’heure ou d’appartenance à un groupe), l’extension NPS déclenche une demande d’authentification secondaire avec l’authentification multifacteur Microsoft Entra.
4. L’authentification multifacteur Microsoft Entra communique avec Microsoft Entra ID, récupère les informations de l’utilisateur et procède à l’authentification secondaire à l’aide des méthodes prises en charge.
5. En cas de réussite de la demande d’authentification multifacteur, l’authentification multifacteur Microsoft Entra transmet le résultat à l’extension NPS.
6. Le serveur NPS, où est installée l’extension, envoie un message RADIUS d’acceptation d’accès pour la stratégie d’autorisation des connexions aux services Bureau à distance sur le serveur de passerelle Bureau à distance.
7. L’utilisateur a accès à la ressource réseau demandée via la passerelle des services Bureau à distance.

Prerequisites

Cette section détaille les conditions préalables qui doivent être réunies avant d'intégrer l’authentification multifacteur Microsoft Entra à la passerelle des services Bureau à distance. Avant de commencer, vous devez disposer des conditions requises en place suivantes.

• Infrastructure des Services Bureau à distance (RDS)
• Licence d’authentification multifacteur Microsoft Entra
• Logiciel Windows Server
• Rôle des services de stratégie et d’accès réseau (NPS)
• Microsoft Entra synchronisé avec l’instance locale d’Active Directory
• ID du GUID Microsoft Entra

Infrastructure des Services Bureau à distance (RDS)

Vous devez disposer d’une infrastructure de Services Bureau à distance (RDS) de travail en place. Si ce n’est pas le cas, vous pouvez rapidement créer cette infrastructure dans Azure à l’aide du modèle de démarrage rapide suivant : Créer un déploiement de collection de sessions Bureau à distance.

Si vous souhaitez créer manuellement et rapidement une infrastructure RDS locale pour des tests, suivez les étapes pour déployer une. En savoir plus : Déployer des services RDS avec le démarrage rapide Azure et Déploiement de l’infrastructure RDS de base.

Logiciel Windows Server

L’extension de serveur NPS requiert Windows Server 2008 R2 SP1 ou version ultérieure avec le service de rôle NPS installé. Toutes les étapes de cette section ont été effectuées à l’aide de Windows Server 2016.

Rôle des services de stratégie et d’accès réseau (NPS)

Le service de rôle NPS fournit les fonctionnalités du serveur RADIUS, du client, ainsi que le service de santé des politiques d'accès réseau. Ce rôle doit être installé sur au moins deux ordinateurs de votre infrastructure : La passerelle des services Bureau à distance et un autre serveur membre ou contrôleur de domaine. Par défaut, le rôle est déjà présent sur l’ordinateur configuré en tant que passerelle des services Bureau à distance. Vous devez également installer le rôle NPS sur au moins un autre ordinateur, tel qu’un contrôleur de domaine ou un serveur membre.

Pour plus d’informations sur l’installation du service de rôle de serveur NPS Windows Server 2012 ou versions plus ancienne, consultez Installer un serveur de stratégie de contrôle d’intégrité NAP. Pour obtenir une description des meilleures pratiques pour le serveur NPS, y compris la recommandation pour installer le serveur NPS sur un contrôleur de domaine, consultez Meilleures pratiques pour le serveur NPS.

Microsoft Entra synchronisé avec l’instance locale d’Active Directory

Pour utiliser l’extension NPS, les utilisateurs locaux doivent être synchronisés avec Microsoft Entra ID et activés pour l’authentification multifacteur. Cette section suppose que les utilisateurs locaux sont synchronisés avec Microsoft Entra ID via AD Connect. Pour en savoir plus sur Microsoft Entra Connect, consultez Intégrer vos répertoires locaux avec Microsoft Entra ID.

ID du GUID Microsoft Entra

Pour installer l’extension NPS, vous devez connaître le GUID de Microsoft Entra ID. Les instructions suivantes fournissent des instructions pour rechercher le GUID de l’ID Microsoft Entra.

Configurer l’authentification multifacteur

Cette section fournit des instructions sur la façon d’intégrer l’authentification multifacteur Microsoft Entra à la passerelle des services Bureau à distance. En tant qu’administrateur, vous devez configurer le service d’authentification multifacteur Microsoft Entra avant que les utilisateurs puissent inscrire eux-mêmes leurs appareils ou applications compatibles.

Pour activer l’authentification multifacteur pour vos utilisateurs Microsoft Entra, suivez les étapes décrites dans Bien démarrer avec l’authentification multifacteur Microsoft Entra dans le cloud.

Configurer des comptes pour la vérification en deux étapes

Une fois qu’un compte a été activé pour l’authentification multifacteur, vous ne pouvez pas vous connecter aux ressources régies par la stratégie MFA tant que vous n’avez pas correctement configuré un appareil approuvé à utiliser pour le deuxième facteur d’authentification et que vous vous êtes authentifié à l’aide de la vérification en deux étapes.

Suivez les étapes décrites dans Présentation concrète de Microsoft Entra pour en savoir plus sur la configuration de vos appareils pour l'authentification multifacteur avec votre compte d'utilisateur.

Installer et configurer l’extension NPS

Cette section fournit des instructions permettant de configurer l’infrastructure des services Bureau à distance afin d’utiliser l’authentification multifacteur Microsoft Entra pour l’authentification des clients via la passerelle des services Bureau à distance.

Obtenir l’ID de locataire d’annuaire

Dans le cadre de la configuration de l’extension de serveur NPS, vous devez fournir les informations d’identification d’administrateur et l’ID de votre locataire Microsoft Entra. Pour obtenir l’ID locataire, suivez ces étapes :

1. Connectez-vous au Centre d’administration Microsoft Entra.

2. Accédez à Entra ID>Vue d’ensemble>Propriétés.

   

Installer l’extension NPS

Installez l’extension de serveur NPS sur un serveur ayant le rôle des services de stratégie réseau et d’accès réseau (NPS) est installé. Cela fonctionne comme serveur RADIUS pour votre conception.

1. Téléchargez l’extension de serveur NPS.
2. Copiez le fichier exécutable du programme d’installation (NpsExtnForAzureMfaInstaller.exe) sur le serveur NPS.
3. Sur le serveur NPS, double-cliquez sur NpsExtnForAzureMfaInstaller.exe. Si vous y êtes invité, sélectionnez Exécuter.
4. Dans la boîte de dialogue de configuration de l'Extension NPS pour l'authentification multifacteur Microsoft Entra, passez en revue les termes de la licence, cochez j’accepte les termes et conditions de la licence, puis sélectionnez Installer.
5. Dans la boîte de dialogue Installation de l’extension NPS pour l’authentification multifacteur Microsoft Entra, sélectionnez Fermer.

Configurer des certificats pour une utilisation avec l’extension de serveur NPS à l’aide d’un script PowerShell

Ensuite, vous devez configurer des certificats pour une utilisation par l’extension de serveur NPS pour garantir des communications et une assurance sécurisées. Les composants de serveur NPS incluent un script PowerShell qui configure un certificat auto-signé à utiliser avec le serveur NPS.

Le script effectue les actions suivantes :

• crée un certificat auto-signé
• Associe la clé publique du certificat au principal du service sur Microsoft Entra ID
• stocke le certificat dans le Store de l’ordinateur local
• accorde l’accès à la clé privée du certificat à l’utilisateur réseau
• redémarre le service de serveur de stratégie réseau

Si vous souhaitez utiliser vos propres certificats, vous devez associer la clé publique de votre certificat au principal de service sur Microsoft Entra ID, et ainsi de suite.

Pour utiliser le script, spécifiez l’extension avec vos informations d’identification administrateur Microsoft Entra l’ID du client Microsoft Entra que vous avez copiée précédemment. Exécutez le script sur chaque serveur NPS où vous avez installé l’extension du serveur NPS. Faites ensuite ce qui suit :

1. Ouvrez une invite administrative Windows PowerShell.

2. À l’invite PowerShell, tapez cd 'c:\Program Files\Microsoft\AzureMfa\Config', puis appuyez sur Entrée.

3. Tapez .\AzureMfaNpsExtnConfigSetup.ps1, puis appuyez sur Entrée. Le script vérifie si le module PowerShell requis est installé. Si ce n’est pas le cas, le script installe le module pour vous.

   

4. Une fois la vérification de l’installation du module PowerShell par le script, il affiche la boîte de dialogue du module PowerShell. Dans la boîte de dialogue, entrez vos informations d’identification d’administrateur Microsoft Entra et votre mot de passe, puis sélectionnez Se connecter.

5. Lorsque vous y êtes invité, collez l’ID locataire que vous avez copié précédemment dans le presse-papiers, puis appuyez sur ENTRÉE.

   

6. Le script crée un certificat auto-signé et effectue d’autres modifications de configuration.

Configurer les composants de serveur NPS sur la passerelle des services Bureau à distance

Dans cette section, configurez des stratégies d’autorisation des connexions de passerelle des services Bureau à distance et d’autres paramètres de RADIUS.

Le flux d’authentification nécessite que les messages RADIUS soient échangés entre la passerelle des services Bureau à distance et le serveur NPS où est installée l’extension NPS. Cela signifie que vous devez configurer les paramètres des clients RADIUS sur la passerelle des services Bureau à distance et le serveur NPS où est installée l’extension du serveur NPS.

Configurer des stratégies de l’autorisation des connexions de passerelle des services Bureau à distance pour utiliser le Store central

Les stratégies d’autorisation des connexions aux services Bureau à distance (RD CAP) spécifient les exigences techniques de connexion à un serveur de passerelle des services Bureau à distance. Les stratégies RD CAP peuvent être stockées localement (par défaut) ou être stockées dans un Store de stratégies RD CAP central qui exécute un serveur NPS. Pour intégrer Microsoft Entra à l’authentification multifacteur avec les services Bureau à distance, vous devez configurer l’utilisation d’un magasin central.

1. Sur le serveur de passerelle des services Bureau à distance, ouvrez Gestionnaire de serveurs.

2. Dans le menu, sélectionnez Outils, pointez vers Services bureau à distance, puis sélectionnez Gestionnaire de passerelle de Bureau à distance.

3. Dans le Gestionnaire de passerelle Bureau à distance, cliquez avec le bouton droit sur [Nom de serveur] (Local), puis sélectionnez Propriétés.

4. Dans la boîte de dialogue Propriétés, sélectionnez l’onglet Magasin de stratégies d’autorisation des connexions aux services Bureau à distance.

5. Sous l’onglet Store RD CAP, sélectionnez Serveur central exécutant NPS.

6. Dans le champ Entrer une adresse IP ou un nom du serveur exécutant NPS, tapez le nom de serveur ou l’adresse IP du serveur où vous avez installé l’extension du serveur NPS.

   

7. Sélectionnez Ajouter.

8. Dans la boîte de dialogue secret partagé, entrez un secret partagé, puis sélectionnez OK. Veillez à enregistrer ce secret partagé et à stocker l’enregistrement en toute sécurité.

   Note

   Le secret partagé est utilisé pour établir l’approbation entre les serveurs RADIUS et les clients. Créez une clé secrète longue et complexe.

   

9. Sélectionnez OK pour fermer la boîte de dialogue.

Configurer la valeur de délai d’expiration RADIUS sur le serveur NPS de passerelle Bureau à distance

Pour vous assurer qu’il est temps de valider les informations d’identification des utilisateurs, effectuez une vérification en deux étapes, recevez des réponses et répondez aux messages RADIUS, il est nécessaire d’ajuster la valeur du délai d’expiration RADIUS.

1. Sur le serveur de passerelle des services Bureau à distance, ouvrez le Gestionnaire de serveur. Dans le menu, sélectionnez Outils, puis serveur de stratégie réseau.

2. Dans la console NPS (Local) , développez Clients et serveurs RADIUS, puis sélectionnez Serveur RADIUS à distance.

   

3. Dans le volet d’informations, double-sélectionnez TS GATEWAY SERVER GROUP.

   Note

   Ce groupe de serveurs RADIUS a été créé lorsque vous avez configuré le serveur central pour les stratégies du serveur NPS. La passerelle des services Bureau à distance transfère les messages RADIUS vers ce serveur ou un groupe de serveurs, s’il en existe plusieurs dans le groupe.

4. Dans la boîte de dialogue Propriétés du GROUPE DE SERVEURS DE PASSERELLE TS, sélectionnez l’adresse IP ou le nom du serveur NPS configuré pour stocker les stratégies RD CAP, puis sélectionnez Modifier.

   

5. Dans la boîte de dialogue Modifier le serveur RADIUS, sélectionnez l’onglet Équilibrage de charge.

6. Dans l’onglet Équilibrage de charge dans le champ Nombre de secondes sans réponse avant que la demande ne soit considérée comme supprimée, modifiez la valeur par défaut de 3 à une valeur comprise entre 30 et 60 secondes.

7. Dans le champ Nombre de secondes entre les demandes lorsque le serveur est identifié comme non disponible, modifiez la valeur par défaut de 30 secondes à une valeur qui est égale ou supérieure à la valeur que vous avez spécifié à l’étape précédente.

   

8. Sélectionnez OK deux fois pour fermer les boîtes de dialogue.

Vérifiez les stratégies de demande de connexion

Par défaut, lorsque vous configurez la passerelle des services Bureau à distance pour utiliser un Store de stratégies central pour les stratégies d’autorisation de connexion, la passerelle des services Bureau à distance est configurée pour transmettre les demandes CAP au serveur NPS. Le serveur NPS, sur lequel l’extension d’authentification multifacteur Microsoft Entra est installée, traite alors la demande d’accès RADIUS. Les étapes suivantes vous montrent comment vérifier la stratégie de demande de connexion par défaut.

1. Sur la passerelle des services Bureau à distance, dans la console NPS (Local), développez Stratégies, puis sélectionnez Stratégies de demande de connexion.

2. Double-cliquez sur STRATÉGIE D’AUTORISATION DE PASSERELLE TS.

3. Dans la boîte de dialogue Propriétés de la STRATÉGIE D’AUTORISATION DE PASSERELLE TS, sélectionnez l’onglet Paramètres.

4. Sur l’onglet Paramètres, sous Transférer la demande de connexion, sélectionnez Authentification. Le client RADIUS est configuré pour transférer les demandes pour l’authentification.

   

5. Sélectionnez Annuler.

Configurer le serveur NPS sur le serveur où est installée l’extension NPS

Le serveur NPS où est installée l’extension de serveur NPS doit être en mesure d’échanger des messages RADIUS avec le serveur NPS sur la passerelle des services Bureau à distance. Pour activer l’échange de messages, vous devez configurer les composants de serveur NPS sur le serveur où est installé le service d’extension du serveur NPS.

Enregistrer le serveur dans Active Directory

Pour fonctionner correctement dans ce scénario, le serveur NPS doit être enregistré dans Active Directory.

1. Sur le serveur NPS, ouvrez le Gestionnaire de serveur.

2. Dans le Gestionnaire de serveur, sélectionnez Outils, puis serveur de stratégie réseau.

3. Dans la console serveur de stratégie réseau, sélectionnez avec le bouton droit NPS (Local), puis sélectionnez Inscrire le serveur dans Active Directory.

4. Sélectionnez OK deux fois.

   

5. Laissez la console ouverte pour la procédure suivante.

Créer et configurer un client RADIUS

La passerelle des services Bureau à distance doit être configuré comme client RADIUS sur le serveur NPS.

1. Sur le serveur NPS sur lequel l’extension NPS est installée, dans la console NPS (local), sélectionnez avec le bouton droit RADIUS Clients et sélectionnez Nouveau.

   

2. Dans la boîte de dialogue Nouveau client RADIUS, fournissez un nom convivial, tel que Passerelle, et l’adresse IP ou le nom DNS du serveur de passerelle Bureau à distance.

3. Dans les champs Secret partagé et Confirmer le secret partagé, entrez le nom secret utilisé précédemment.

   

4. Sélectionnez OK pour fermer la boîte de dialogue Nouveau client RADIUS.

Configurer la stratégie réseau

Rappelez-vous que le serveur NPS avec l’extension d’authentification multifacteur Microsoft Entra agit en tant que magasin central pour la stratégie d’autorisation de connexion (CAP). Par conséquent, vous devez mettre en œuvre une stratégie d’autorisation de connexion sur le serveur NPS pour autoriser les demandes de connexions valides.

1. Sur le serveur NPS, dans la console NPS (Local), développez Stratégies, puis sélectionnez Stratégies réseau.

2. Cliquez avec le bouton droit sur Connexions aux autres serveurs d’accès, puis sélectionnez Dupliquer la stratégie.

   

3. Cliquez avec le bouton droit sur Copie des connexions aux autres serveurs d’accès, puis sélectionnez Propriétés.

4. Dans la boîte de dialogue Copie des connexions à d’autres serveurs d’accès, dans Nom de la stratégie, entrez un nom approprié, tel que RDG_CAP. Cochez la case Stratégie activée et sélectionnez Accorder l’accès. Le cas échéant, dans Type de serveur d’accès réseau, sélectionnez Passerelle des services Bureau à distance, sinon laissez ce champ Non spécifié.

   

5. Sélectionnez l’onglet contraintes , puis cochez Autoriser les clients à se connecter sans négocier une méthode d’authentification.

   

6. Si vous le souhaitez, sélectionnez l’onglet Conditions et ajoutez des conditions qui doivent être remplies pour que la connexion soit autorisée, par exemple, l’appartenance à un groupe Windows spécifique.

   

7. Sélectionnez OK. Lorsque vous êtes invité à afficher la rubrique d’aide correspondante, sélectionnez Non.

8. Assurez-vous que votre nouvelle stratégie s’affiche en haut de la liste, que la stratégie est activée et qu’elle accorde un accès.

   

Vérifier la configuration

Pour vérifier la configuration, vous devez vous connecter à la passerelle des services Bureau à distance avec un client RDP approprié. Assurez-vous d’utiliser un compte autorisé par vos stratégies d’autorisation de connexion et activé pour l’authentification multifacteur Microsoft Entra.

Comme indiqué dans l’image suivante, vous pouvez utiliser la page Accès Web au Bureau à distance.

Lorsque vous entrez correctement vos informations d’identification pour l’authentification principale, la boîte de dialogue Connexion Bureau à distance affiche l’état de lancement de la connexion à distance, comme indiqué dans la section suivante.

Si vous vous authentifiez avec la méthode d’authentification secondaire que vous avez précédemment configurée dans l’authentification multifacteur Microsoft Entra, vous êtes connecté à la ressource. Toutefois, si l’authentification secondaire n’est pas réussie, vous êtes refusé à l’accès à la ressource.

Dans l’exemple suivant, l’application Authenticator sur un téléphone Windows est utilisée pour fournir l’authentification secondaire.

Une fois que vous vous êtes correctement authentifié en utilisant la méthode d’authentification secondaire, vous êtes connecté à la passerelle de bureau à distance comme d'habitude. Toutefois, étant donné que vous êtes obligé d’utiliser une méthode d’authentification secondaire à l’aide d’une application mobile sur un appareil approuvé, le processus de connexion est plus sécurisé qu’il ne le serait autrement.

Afficher les journaux d’activité de l’Observateur d’événements pour les événements de connexion réussie

Pour afficher les événements de connexion réussie dans les journaux d’activité de l’Observateur d’événements Windows, vous pouvez émettre la commande PowerShell suivante pour interroger les journaux d’activité des Services Windows Terminal et de sécurité Windows.

Pour interroger les événements de connexion réussie dans les journaux d’activité des opérations de la passerelle (Observateur d’événements\Journaux des applications et des services\Microsoft\Windows\TerminalServices-Gateway\Opérationnel) , utilisez les commandes PowerShell suivantes :

• Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '300'} | FL
• Cette commande affiche les événements Windows qui indiquent que l’utilisateur a respecté les exigences de stratégies d’autorisation de ressource (RD RAP) et que l’accès lui est accordé.

• Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '200'} | FL
• Cette commande affiche les événements qui indiquent quand l’utilisateur a respecté les exigences de stratégies d’autorisation de connexion.

Vous pouvez également afficher ce journal et filtrer les ID d’événement, 300 et 200. Pour interroger les événements de connexion réussie dans les journaux d’activité de l’observateur d’événements de sécurité, utilisez la commande suivante :

• Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL
• Cette commande peut être exécutée sur le serveur NPS central ou sur le serveur de passerelle des services Bureau à distance.

Vous pouvez également afficher le journal de sécurité ou l’affichage personnalisé des services d’accès et de stratégie réseau :

Sur le serveur où vous avez installé l’extension de serveur NPS pour l’authentification multifacteur Microsoft Entra, vous pouvez rechercher les journaux d’activité d’application de l’Observateur d’événements qui sont propres à l’extension à l’emplacement Journaux des applications et des services\Microsoft\AzureMfa.

Guide de résolution des problèmes

Si la configuration ne fonctionne pas comme prévu, la première place à résoudre est de vérifier que l’utilisateur est configuré pour utiliser l’authentification multifacteur Microsoft Entra. Demandez à l’utilisateur de se connecter au Centre d’administration Microsoft Entra. Si les utilisateurs sont invités à effectuer une vérification secondaire et parviennent à s'authentifier, vous pouvez éliminer une configuration incorrecte de l’authentification multifacteur Microsoft Entra.

Si l’authentification multifacteur Microsoft Entra fonctionne pour les utilisateurs, consultez les journaux des événements pertinents. Ceux-ci incluent les journaux des événements de sécurité, des opérations de la passerelle et de l’authentification multifacteur Microsoft Entra, qui sont décrits à la section précédente.

Consultez l’exemple de sortie suivant du journal de sécurité montrant un événement d’ouverture de session ayant échoué (ID d’événement 6273).

Voici un événement associé aux journaux d’activité AzureMFA :

Pour exécuter des options de résolution des problèmes avancée, consultez les fichiers journaux au format base de données de serveur NPS dans lesquels est installé le service NPS. Ces fichiers journaux sont créés dans le dossier %SystemRoot%\System32\Logs comme fichiers texte délimité par des virgules.

Pour obtenir une description de ces fichiers journaux, consultez Interpréter des fichiers journaux au format base de données de serveur NPS. Les entrées de ces fichiers journaux peuvent être difficiles à interpréter sans les importer dans une feuille de calcul ou une base de données. Vous pouvez rechercher plusieurs analyseurs IAS en ligne pour vous aider à interpréter les fichiers journaux.

L’image suivante montre la sortie d’une application shareware téléchargeable.

Étapes suivantes

Comment obtenir l’authentification multifacteur Microsoft Entra

Passerelle des services Bureau à distance et serveur Multi-Factor Authentication avec RADIUS

Intégrer vos répertoires locaux avec Microsoft Entra ID