Dostęp warunkowy do łączności sieci VPN przy użyciu identyfikatora Entra firmy Microsoft

W tym przewodniku z instrukcjami dowiesz się, jak udzielić użytkownikom sieci VPN dostępu do zasobów przy użyciu dostępu warunkowego firmy Microsoft Entra. Dzięki usłudze Microsoft Entra Conditional Access na potrzeby łączności wirtualnej sieci prywatnej (VPN) można chronić połączenia sieci VPN. Dostęp warunkowy to aparat oceny oparty na zasadach, który umożliwia tworzenie reguł dostępu dla dowolnej połączonej aplikacji firmy Microsoft Entra.

Prerequisites

Przed rozpoczęciem konfigurowania dostępu warunkowego dla sieci VPN należy spełnić następujące wymagania wstępne:

• Dostęp warunkowy w usłudze Microsoft Entra ID

  • Administratorzy korzystający z dostępu warunkowego muszą mieć jedno z następujących przypisań ról w zależności od wykonywanych zadań. Aby postępować zgodnie z zasadą Zero Trust oraz zasadą minimalnych uprawnień, rozważ użycie usługi Privileged Identity Management (PIM) do aktywowania przypisań uprzywilejowanych ról w trybie just-in-time.
    • Przeczytaj zasady i konfiguracje dostępu warunkowego
      • Czytelnik zabezpieczeń
    • Tworzenie lub modyfikowanie zasad dostępu warunkowego
      • Administrator dostępu warunkowego

• Sieć VPN i dostęp warunkowy

• Ukończono Samouczek: wdrażanie zawsze włączonej sieci VPN — konfigurowanie infrastruktury zawsze włączonej sieci VPN lub skonfigurowano już infrastrukturę zawsze włączonej sieci VPN w środowisku.

• Komputer kliencki z systemem Windows został już skonfigurowany z połączeniem sieci VPN przy użyciu usługi Intune. Jeśli nie wiesz, jak skonfigurować i wdrożyć profil sieci VPN w usłudze Intune, zobacz Deploy Always On VPN profile to Windows 10 or newer clients with Microsoft Intune (Wdrażanie zawsze włączonego profilu sieci VPN w systemie Windows 10 lub nowszych przy użyciu usługi Microsoft Intune).

Skonfiguruj EAP-TLS, aby ignorować sprawdzanie listy unieważnień certyfikatów (CRL)

Klient EAP-TLS nie może nawiązać połączenia, chyba że serwer NPS ukończy sprawdzanie odwołania łańcucha certyfikatów (w tym certyfikat główny). Certyfikaty w chmurze wystawione dla użytkownika przez Microsoft Entra ID nie mają CRL, ponieważ są to certyfikaty krótkotrwałe, których okres ważności wynosi jedną godzinę. Protokół EAP na serwerze NPS należy skonfigurować tak, aby ignorował brak CRL. Ponieważ metoda uwierzytelniania to EAP-TLS, ta wartość rejestru jest wymagana tylko w obszarze EAP\13. Jeśli są używane inne metody uwierzytelniania protokołu EAP, wartość rejestru powinna pojawić się pod nimi również.

W tej sekcji dodasz IgnoreNoRevocationCheck i NoRevocationCheck. Domyślnie IgnoreNoRevocationCheck i NoRevocationCheck są ustawione na 0 (wyłączone).

Aby dowiedzieć się więcej o ustawieniach rejestru listy CRL serwera zasad sieciowych, zobacz Konfigurowanie ustawień rejestru sprawdzania listy unieważnień certyfikatów serwera zasad sieciowych.

1. Otwórz regedit.exe na serwerze NPS.

2. Przejdź do HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.

3. Wybierz pozycję Edytuj > Nowy i wybierz pozycję DWORD (32-bitowa) Wartość i wprowadź IgnoreNoRevocationCheck.

4. Kliknij dwukrotnie pole IgnoreNoRevocationCheck i ustaw wartość Dane wartości na 1.

5. Wybierz Edytuj > Nowy i wybierz DWORD (32-bitowa) Wartość i wprowadź NoRevocationCheck.

6. Kliknij dwukrotnie pozycję NoRevocationCheck i ustaw wartość Dane wartości na 1.

7. Wybierz przycisk OK i uruchom ponownie serwer. Ponowne uruchomienie usług RRAS i NPS nie jest wystarczające.

Tworzenie certyfikatów głównych na potrzeby uwierzytelniania sieci VPN przy użyciu identyfikatora Entra firmy Microsoft

W tej sekcji skonfigurujesz główne certyfikaty dostępu warunkowego na potrzeby uwierzytelniania sieci VPN za pomocą Microsoft Entra ID, co automatycznie tworzy aplikację w chmurze o nazwie VPN Server w dzierżawie. Aby skonfigurować dostęp warunkowy na potrzeby łączności sieci VPN, należy wykonać następujące kroki:

1. Utwórz certyfikat sieci VPN w witrynie Azure Portal.
2. Pobierz certyfikat sieci VPN.
3. Wdróż certyfikat na serwerach sieci VPN i serwerach NPS.

Gdy użytkownik próbuje nawiązać połączenie sieci VPN, klient sieci VPN wykonuje wywołanie do Menedżera kont sieci Web (WAM) na kliencie systemu Windows 10. WAM wykonuje wywołanie aplikacji chmurowej serwera VPN. Gdy warunki i kontrolki w zasadach dostępu warunkowego są spełnione, Microsoft Entra ID wystawia token w postaci krótkotrwałego (1-godzinnego) certyfikatu dla WAM (Web Account Manager). WAM umieszcza certyfikat w magazynie certyfikatów użytkownika i przekierowuje kontrolę do klienta sieci VPN. 

Następnie klient sieci VPN wysyła certyfikat wystawiony przez firmę Microsoft Entra ID do sieci VPN w celu weryfikacji poświadczeń. 

Aby utworzyć certyfikaty główne:

1. Zaloguj się do witryny Azure Portal jako administrator globalny.
2. W menu po lewej stronie kliknij pozycję Microsoft Entra ID.
3. Na stronie Microsoft Entra ID w sekcji Zarządzanie kliknij pozycję Zabezpieczenia.
4. Na stronie Zabezpieczenia w sekcji Ochrona kliknij pozycję Dostęp warunkowy.
5. Na stronie Warunkowy dostęp | Zasady w sekcji Zarządzanie kliknij Łączność VPN.
6. Na stronie Łączność sieci VPN kliknij pozycję Nowy certyfikat.
7. Na stronie Nowy wykonaj następujące kroki: a. W obszarze Wybierz czas trwania wybierz 1, 2 lub 3 lata. b. Wybierz Utwórz.

Konfigurowanie zasad dostępu warunkowego

W tej sekcji skonfigurujesz zasady dostępu warunkowego dla łączności sieci VPN. Po utworzeniu pierwszego certyfikatu głównego w panelu "Łączność sieci VPN", automatycznie tworzona jest aplikacja w chmurze "VPN Server" w dzierżawie.

Utwórz zasady dostępu warunkowego przypisane do grupy użytkowników sieci VPN i określ zakres aplikacji w chmurze do serwera sieci VPN:

• Użytkownicy: użytkownicy sieci VPN
• Aplikacja w chmurze: serwer sieci VPN
• Nadanie (kontrola dostępu): "Wymagaj uwierzytelnienia wieloskładnikowego". W razie potrzeby można użyć innych kontrolek.

Procedura: Ten krok obejmuje tworzenie najbardziej podstawowych zasad dostępu warunkowego.  W razie potrzeby można użyć dodatkowych warunków i kontrolek.

1. Na stronie Dostęp warunkowy na pasku narzędzi u góry wybierz pozycję Dodaj.

   

2. Na stronie Nowy w polu Nazwa wprowadź nazwę zasad. Na przykład wprowadź zasady sieci VPN.

   

3. W sekcji Przypisanie wybierz pozycję Użytkownicy i grupy.

   

4. Na stronie Użytkownicy i grupy wykonaj następujące czynności:

   

   a. Wybierz Wybierz użytkowników i grupy.

   b. Wybierz pozycję Wybierz.

   c. Na stronie Wybierz wybierz grupę użytkowników sieci VPN , a następnie wybierz pozycję Wybierz.

   d. Na stronie Użytkownicy i grupy wybierz pozycję Gotowe.

5. Na stronie Nowy wykonaj następujące kroki:

   

   a. W sekcji Przypisania wybierz pozycję Aplikacje w chmurze.

   b. Na stronie Aplikacje w chmurze wybierz pozycję Wybierz aplikacje.

   d. Wybierz pozycję Serwer sieci VPN.

6. Na stronie Nowy, aby otworzyć stronę Udzielanie, w sekcji Kontrolki wybierz pozycję Udziel.

   

7. Na stronie Udzielanie wykonaj następujące kroki:

   

   a. Wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego.

   b. Wybierz pozycję Wybierz.

8. Na stronie Nowy w obszarze Włącz zasady wybierz pozycję Włączone.

   

9. Na stronie Nowy wybierz pozycję Utwórz.

Wdrożenie certyfikatów głównych dostępu warunkowego w lokalnym AD

W tej sekcji wdrożysz zaufany certyfikat główny na potrzeby uwierzytelniania sieci VPN w lokalnej usłudze AD.

1. Na stronie łączność sieci VPN wybierz pozycję Pobierz certyfikat.

   Note

   Opcja Pobierz certyfikat base64 jest dostępna dla niektórych konfiguracji, które wymagają certyfikatów base64 do wdrożenia.

2. Zaloguj się do komputera przyłączonego do domeny z uprawnieniami administratora przedsiębiorstwa i uruchom następujące polecenia z poziomu wiersza polecenia administratora, aby dodać certyfikaty główne chmury do magazynu uwierzytelniania NTauth przedsiębiorstwa :

   Note

   W przypadku środowisk, w których serwer sieci VPN nie jest przyłączony do domeny usługi Active Directory, certyfikaty główne w chmurze należy ręcznie dodać do magazynu zaufanych głównych urzędów certyfikacji.

   Command	Description
   certutil -dspublish -f VpnCert.cer RootCA	Tworzy dwa kontenery głównego urzędu certyfikacji sieci VPN firmy Microsoft gen 1 w kontenerach CN=AIA i CN=Certification Authorities, a następnie publikuje każdy certyfikat główny jako wartość na atrybucie cACertificate obu kontenerów głównego urzędu certyfikacji sieci VPN firmy Microsoft gen 1.
   certutil -dspublish -f VpnCert.cer NTAuthCA	Tworzy jeden kontener CN=NTAuthCertificates w kontenerach CN=AIA i CN=Certification Authorities i publikuje każdy certyfikat główny jako wartość atrybutu cACertificate kontenera CN=NTAuthCertificates .
   gpupdate /force	Przyspiesza dodawanie certyfikatów głównych do serwerów z systemem Windows i komputerów klienckich.

3. Sprawdź, czy certyfikaty główne znajdują się w sklepie Enterprise NTauth i są wyświetlane jako zaufane:

   1. Zaloguj się do serwera z uprawnieniami administratora przedsiębiorstwa, na którym zainstalowane są narzędzia zarządzania urzędem certyfikacji .

   Note

   Domyślnie narzędzia do zarządzania urzędami certyfikacji są instalowane na serwerach urzędu certyfikacji. Można je zainstalować na innych serwerach członkowskich w ramach narzędzi administracji ról w Menedżerze serwera.

   1. Na serwerze sieci VPN w menu Start wprowadź pkiview.msc , aby otworzyć okno dialogowe infrastruktury kluczy publicznych przedsiębiorstwa.
   2. W menu Start wprowadź pkiview.msc , aby otworzyć okno dialogowe infrastruktury kluczy publicznych przedsiębiorstwa.
   3. Kliknij prawym przyciskiem myszy pozycję Infrastruktura kluczy publicznych przedsiębiorstwa i wybierz pozycję Zarządzaj kontenerami usługi AD.
   4. Sprawdź, czy każdy certyfikat typu Microsoft VPN root CA gen 1 jest obecny w obszarze:
      • NTAuthCertificates
      • Kontener AIA
      • Kontener autorytetów certyfikacji

Tworzenie profilów VPNv2 opartych OMA-DM na urządzeniach z systemem Windows 10

W tej sekcji utworzysz profile VPNv2 oparte na OMA-DM przy użyciu usługi Intune w celu wdrożenia zasady konfiguracji urządzenia VPN.

1. W witrynie Azure Portal wybierz pozycjęProfilekonfiguracji> urządzeń usługi Intune> i wybierz profil sieci VPN utworzony w temacie Konfigurowanie klienta sieci VPN przy użyciu usługi Intune.

2. W edytorze zasad wybierz pozycjęUstawienia>właściwości>Podstawowa sieć VPN. Rozszerz istniejący kod XML protokołu EAP , aby uwzględnić filtr, który daje klientowi sieci VPN logikę, której potrzebuje, aby pobrać certyfikat dostępu warunkowego firmy Microsoft z magazynu certyfikatów użytkownika, zamiast pozostawiać go na ryzyko użycia pierwszego odnalezionego certyfikatu.

   Note

   Bez tego klient sieci VPN może pobrać certyfikat użytkownika wystawiony z lokalnego urzędu certyfikacji, co spowoduje niepowodzenie połączenia sieci VPN.

   

3. Znajdź sekcję kończącą się </AcceptServerName></EapType> i wstaw następujący ciąg między tymi dwiema wartościami, zapewniając klientowi sieci VPN logikę wyboru warunkowego certyfikatu dostępu Microsoft Entra.

   <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUList Enabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions>
   

4. Wybierz blok Dostęp warunkowy i przełącz opcję Dostęp warunkowy dla tego połączenia sieci VPN na wartość Włączone.

   Włączenie tego ustawienia spowoduje zmianę ustawienia <DeviceCompliance><Enabled>true</Enabled> w pliku XML profilu VPNv2.

   

5. Kliknij przycisk OK.

6. Wybierz pozycję Przypisania, w obszarze Dołącz wybierz pozycję Wybierz grupy do uwzględnienia.

7. Wybierz poprawną grupę, która odbierze te zasady, i wybierz pozycję Zapisz.

   

Wymuszanie synchronizacji zasad MDM na kliencie

Jeśli profil sieci VPN nie jest wyświetlany na urządzeniu klienckim, w obszarze Ustawienia\Sieć & Internet\VPN możesz wymusić synchronizację zasad MDM.

1. Zaloguj się do komputera klienckiego przyłączonego do domeny jako członek grupy Użytkownicy sieci VPN .

2. W menu Start wprowadź konto i naciśnij Enter.

3. W okienku nawigacji po lewej stronie wybierz pozycję Uzyskaj dostęp do miejsca pracy lub nauki.

4. W obszarze Uzyskaj dostęp do miejsca pracy lub nauki wybierz pozycję Połączono z <\domain> MDM, a następnie wybierz pozycję Informacje.

5. Wybierz pozycję Synchronizuj i sprawdź, czy profil sieci VPN jest wyświetlany w obszarze Ustawienia\Sieć i Internet\VPN.

Dalsze kroki

Zakończono konfigurowanie profilu sieci VPN w celu korzystania z dostępu warunkowego firmy Microsoft Entra.

• Aby dowiedzieć się więcej na temat sposobu działania dostępu warunkowego z sieciami VPN, zobacz VPN i dostęp warunkowy.

• Aby dowiedzieć się więcej na temat zaawansowanych funkcji sieci VPN, zobacz Zaawansowane funkcje sieci VPN.

• Aby zapoznać się z omówieniem dostawcy CSP VPNv2, zobacz VPNv2 CSP: Ten temat zawiera omówienie dostawcy CSP VPNv2.