Voorwaardelijke toegang voor VPN-connectiviteit met behulp van Microsoft Entra-id

In deze instructiegids leert u hoe u VPN-gebruikers toegang verleent tot uw resources met behulp van voorwaardelijke toegang van Microsoft Entra. Met voorwaardelijke toegang van Microsoft Entra voor VPN-connectiviteit (Virtual Private Network) kunt u helpen de VPN-verbindingen te beveiligen. Voorwaardelijke toegang is een evaluatie-engine op basis van beleid waarmee u toegangsregels kunt maken voor elke met Microsoft Entra verbonden toepassing.

Prerequisites

Voordat u begint met het configureren van voorwaardelijke toegang voor uw VPN, moet u de volgende vereisten hebben voltooid:

• Voorwaardelijke toegang in Microsoft Entra ID

  • Beheerders die met voorwaardelijke toegang werken, moeten een van de volgende roltoewijzingen hebben, afhankelijk van de taken die ze uitvoeren. Als u het Zero Trust-principe van minimale bevoegdheden wilt volgen, kunt u PIM (Privileged Identity Management) gebruiken om just-in-time bevoorrechte roltoewijzingen te activeren.
    • Beleid en configuraties voor voorwaardelijke toegang lezen
      • Beveiligingslezer
    • Beleid voor voorwaardelijke toegang maken of wijzigen
      • Beheerder voor voorwaardelijke toegang

• VPN en voorwaardelijke toegang

• U hebt zelfstudie voltooid: AlwaysOn VPN implementeren - Infrastructuur instellen voor AlwaysOn VPN- of u hebt de AlwaysOn VPN-infrastructuur al in uw omgeving ingesteld.

• Uw Windows-clientcomputer is al geconfigureerd met een VPN-verbinding met Intune. Als u niet weet hoe u een VPN-profiel configureert en implementeert met Intune, raadpleegt u AlwaysOn VPN-profiel implementeren op Windows 10- of nieuwere clients met Microsoft Intune.

Configureren EAP-TLS om controle van certificaatintrekkingslijst (CRL) te negeren

Een EAP-TLS-client kan geen verbinding maken, tenzij de NPS-server een intrekkingscontrole van de certificaatketen voltooit (inclusief het basiscertificaat). Cloudcertificaten die zijn uitgegeven aan de gebruiker door Microsoft Entra ID hebben geen CRL omdat ze kortlevende certificaten zijn met een levensduur van één uur. EAP op NPS moet worden geconfigureerd om het ontbreken van een CRL te negeren. Omdat de verificatiemethode EAP-TLS is, is deze registerwaarde alleen nodig onder EAP\13. Als er andere EAP-verificatiemethoden worden gebruikt, moet ook de registerwaarde worden toegevoegd onder die methoden.

In deze sectie voegt u IgnoreNoRevocationCheck en NoRevocationChecktoe. Standaard zijn IgnoreNoRevocationCheck en NoRevocationCheck ingesteld op 0 (uitgeschakeld).

Zie voor meer informatie over NPS CRL-registerinstellingen Network Policy Server Certificate Revocation List registerinstellingen configureren.

1. Open regedit.exe op de NPS-server.

2. Navigeer naar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.

3. Selecteer Bewerken > Nieuw en selecteer DWORD-waarde (32-bitswaarde) en voer IgnoreNoRevocationCheckin.

4. Dubbelklik op IgnoreNoRevocationCheck en stel de waardegegevens in op 1.

5. Selecteer Bewerken > Nieuw en selecteer DWORD-waarde (32-bits) en voer NoRevocationCheckin.

6. Dubbelklik op NoRevocationCheck en stel de waardegegevens in op 1.

7. Selecteer OK en start de server opnieuw op. Het opnieuw opstarten van de RRAS- en NPS-services volstaat niet.

Basiscertificaten maken voor VPN-verificatie met Microsoft Entra-id

In deze sectie configureert u basiscertificaten voor voorwaardelijke toegang voor VPN-verificatie met Microsoft Entra ID, waarmee automatisch een Cloud-app met de naam VPN Server in de tenant wordt gemaakt. Als u voorwaardelijke toegang wilt configureren voor VPN-connectiviteit, moet u het volgende doen:

1. Maak een VPN-certificaat in Azure Portal.
2. Download het VPN-certificaat.
3. Implementeer het certificaat op uw VPN- en NPS-servers.

Wanneer een gebruiker een VPN-verbinding probeert te maken, doet de VPN-client op de Windows 10-client een beroep op de Web Account Manager (WAM). WAM maakt een oproep naar de VPN Server-cloud-app. Wanneer aan de voorwaarden en besturingselementen in het beleid voor voorwaardelijke toegang wordt voldaan, geeft Microsoft Entra ID een token uit in de vorm van een kortlevend (1-uurs) certificaat aan de WAM. De WAM plaatst het certificaat in het certificaatarchief van de gebruiker en geeft het beheer door aan de VPN-client. 

De VPN-client verzendt vervolgens het certificaat dat is uitgegeven door Microsoft Entra-id naar de VPN voor referentievalidatie. 

Basiscertificaten maken:

1. Meld u als globale beheerder aan bij azure Portal .
2. Klik in het linkermenu op Microsoft Entra ID.
3. Klik op de pagina Microsoft Entra ID in de sectie Beheren op Beveiliging.
4. Klik op de pagina Beveiliging in de sectie Beveiligen op Voorwaardelijke toegang.
5. Op de pagina Voorwaardelijke toegang | Beleidsinstellingen klikt u in de sectie Beheren op VPN-connectiviteit.
6. Klik op de pagina VPN-connectiviteit op Nieuw certificaat.
7. Voer op de pagina Nieuw de volgende stappen uit: a. Voor duur selecteren selecteert u 1, 2 of 3 jaar. b. Klik op Creëren.

Het beleid voor voorwaardelijke toegang configureren

In deze sectie configureert u het beleid voor voorwaardelijke toegang voor VPN-connectiviteit. Wanneer het eerste rootcertificaat wordt gemaakt in de blade 'VPN-connectiviteit', wordt er automatisch een VPN-server-cloudtoepassing in de tenant gemaakt.

Maak een beleid voor voorwaardelijke toegang dat is toegewezen aan de VPN-gebruikersgroep en stel de Cloud-app in op VPN Server:

• Gebruikers: VPN-gebruikers
• Cloud-app: VPN Server
• verlenen (toegangsbeheer): 'Meervoudige verificatie vereisen'. Andere besturingselementen kunnen desgewenst worden gebruikt.

Procedure: In deze stap wordt het maken van het meest elementaire beleid voor voorwaardelijke toegang beschreven.  Desgewenst kunnen aanvullende voorwaarden en besturingselementen worden gebruikt.

1. Selecteer Toevoegen op de pagina Voorwaardelijke toegang in de werkbalk bovenaan.

   

2. Voer op de pagina Nieuw in het vak Naam een naam in voor uw beleid. Voer bijvoorbeeld VPN-beleid in.

   

3. In de sectie Toewijzing, selecteer gebruikers en groepen.

   

4. Voer op de pagina Gebruikers en groepen de volgende stappen uit:

   

   a. Selecteer Gebruikers en groepen selecteren.

   b. Selecteer Selecteren.

   c. Selecteer op de pagina Selecteren de VPN-gebruikersgroep en selecteer vervolgens Selecteren.

   d. Op de pagina Gebruikers en groepen selecteer Gereed.

5. Voer op de pagina Nieuw de volgende stappen uit:

   

   a. Selecteer Cloud-apps in de sectie Toewijzingen.

   b. Selecteer apps op de pagina Cloud-apps.

   d. Selecteer VPN Server.

6. Als u op de pagina Nieuw de pagina Verlenen wilt openen, selecteert u Verlenen in de sectie Besturingselementen.

   

7. Voer op de pagina Verlenen de volgende stappen uit:

   

   a. Selecteer Meervoudige verificatie vereisen.

   b. Selecteer Selecteren.

8. Selecteer Op de pagina Nieuw onder Beleid inschakelen de optie Aan.

   

9. Selecteer Maken op de pagina Nieuw.

Basiscertificaten voor voorwaardelijke toegang implementeren in on-premises AD

In deze sectie implementeert u een vertrouwd basiscertificaat voor VPN-verificatie in uw on-premises AD.

1. Selecteer Certificaat downloaden op de pagina VPN-connectiviteit.

   Note

   De optie Base64-certificaat downloaden is beschikbaar voor sommige configuraties waarvoor base64-certificaten nodig zijn voor implementatie.

2. Meld u aan bij een computer die lid is van een domein met ondernemingsbeheerdersrechten en voer deze opdrachten uit vanaf een administrator-opdrachtprompt om het cloudhoofdcertificaat(en) toe te voegen aan het Enterprise NTAuth-archief :

   Note

   Voor omgevingen waarin de VPN-server niet is gekoppeld aan het Active Directory-domein; moeten de cloudhoofdcertificaten handmatig worden toegevoegd aan de vertrouwde basiscertificeringsinstanties.

   Command	Description
   certutil -dspublish -f VpnCert.cer RootCA	Hiermee maakt u twee Microsoft VPN-basis-CA gen 1-containers onder de CN=AIA en CN=Certificeringsinstanties containers en publiceert u elk basiscertificaat als een waarde op het cACertificate kenmerk van beide Microsoft VPN-basis-CA gen 1-containers.
   certutil -dspublish -f VpnCert.cer NTAuthCA	Hiermee maakt u één CN=NTAuthCertificates-container onder de containers CN=AIA en CN=Certificeringsinstanties en publiceert u elk basiscertificaat als een waarde op het cACertificate-kenmerk van de container CN=NTAuthCertificates .
   gpupdate /force	Versnelt het toevoegen van basiscertificaten aan de Windows-server en clientcomputers.

3. Controleer of de basiscertificaten aanwezig zijn in het Enterprise NTAuth-archief en als vertrouwd worden weergegeven:

   1. Meld u aan bij een server met Enterprise Admin-rechten waarop de Hulpprogramma's voor certificeringsinstantiebeheer zijn geïnstalleerd.

   Note

   Standaard worden de hulpprogramma's voor certificeringsinstantiebeheer geïnstalleerd op certificeringsinstantieservers. Ze kunnen worden geïnstalleerd op andere ledenservers als onderdeel van de Hulpprogramma's voor functiebeheer in Serverbeheer.

   1. Voer op de VPN-server in het menu Start pkiview.msc in om het enterprise PKI-dialoogvenster te openen.
   2. Voer in het menu Start pkiview.msc in om het dialoogvenster Enterprise PKI te openen.
   3. Klik met de rechtermuisknop op Enterprise PKI en selecteer AD-containers beheren.
   4. Controleer of elk MICROSOFT VPN-basis-CA gen 1-certificaat aanwezig is onder:
      • NTAuthCertificates
      • AIA-container
      • Container voor certificeringsinstanties

VPNv2-profielen op basis van OMA-DM maken op Windows 10-apparaten

In deze sectie maakt u VPNv2-profielen gebaseerd op OMA-DM met behulp van Intune om een VPN-apparaatconfiguratiebeleid uit te rollen.

1. Selecteer in Azure PortalIntune-apparaatconfiguratieprofielen>> en selecteer het VPN-profiel dat u hebt gemaakt in De VPN-client configureren met behulp van Intune.

2. Selecteer inde beleidseditor>>Basis-VPN. Breid de bestaande EAP XML uit om een filter op te nemen dat de VPN-client de logica biedt die nodig is om het Microsoft Entra-certificaat voor voorwaardelijke toegang op te halen uit het certificaatarchief van de gebruiker in plaats van het toe te staan het eerste gedetecteerde certificaat te gebruiken.

   Note

   Zonder dit kan de VPN-client het gebruikerscertificaat ophalen dat is uitgegeven door de on-premises certificeringsinstantie, wat resulteert in een mislukte VPN-verbinding.

   

3. Zoek de sectie die eindigt op </AcceptServerName></EapType> en voeg de volgende tekenreeks in tussen deze twee waarden om de VPN-client de logica te bieden om het Microsoft Entra-certificaat voor voorwaardelijke toegang te selecteren:

   <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUList Enabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions>
   

4. Selecteer de blade Voorwaardelijke toegang en zet voorwaardelijke toegang voor deze VPN-verbinding op Ingeschakeld.

   Als u deze instelling inschakelt, wordt de instelling <DeviceCompliance><Enabled>true</Enabled> in de PROFIEL-XML van VPNv2 gewijzigd.

   

5. Kies OK.

6. Selecteer Opdrachten onder Opnemen de optie Groepen selecteren die u wilt opnemen.

7. Selecteer de juiste groep die dit beleid ontvangt en selecteer Opslaan.

   

MDM-beleidssynchronisatie afdwingen op de client

Als het VPN-profiel niet wordt weergegeven op het clientapparaat, kunt u onder Instellingen\Netwerk & Internet\VPN afdwingen dat MDM-beleid wordt gesynchroniseerd.

1. Meld u als lid van de vpn-gebruikersgroep aan bij een clientcomputer die lid is van een domein.

2. Voer in het menu Start het account in en druk op Enter.

3. Selecteer in het linkernavigatiepaneel de optie Toegang tot werk of school.

4. Selecteer onder Toegang tot werk of school Verbonden met <\domain> MDMen selecteer vervolgens Info.

5. Selecteer Synchroniseren en controleer of het VPN-profiel wordt weergegeven onder Instellingen\Network & Internet\VPN.

Volgende stappen

U bent klaar met het configureren van het VPN-profiel voor het gebruik van voorwaardelijke toegang van Microsoft Entra.

• Zie VPN en voorwaardelijke toegangvoor meer informatie over hoe voorwaardelijke toegang met VPN's werkt.

• Zie Geavanceerde VPN-functiesvoor meer informatie over de geavanceerde VPN-functies.

• Zie VPNv2 CSP voor een overzicht van VPNv2 CSP: In dit onderwerp vindt u een overzicht van VPNv2 CSP.