Условный доступ для VPN-подключения с помощью идентификатора Microsoft Entra

В этом руководстве вы узнаете, как предоставить пользователям VPN доступ к ресурсам с помощью условного доступа Microsoft Entra. С помощью условного доступа Microsoft Entra для подключения к виртуальной частной сети (VPN) можно защитить VPN-подключения. Условный доступ — это подсистема оценки на основе политик, которая позволяет создавать правила доступа для любого подключенного приложения Microsoft Entra.

Необходимые компоненты

Прежде чем приступить к настройке условного доступа для VPN, необходимо выполнить следующие предварительные требования:

• Условный доступ в идентификаторе Microsoft Entra

• VPN и условный доступ

• Вы завершили руководство. Развертывание инфраструктуры AlwaysOn VPN для AlwaysOn VPN или уже настроено vpn-инфраструктуру AlwaysOn в вашей среде.

• Клиентский компьютер Windows уже настроен с VPN-подключением с помощью Intune. Если вы не знаете, как настроить и развернуть профиль VPN в Intune, см. статью "Развертывание профиля VPN AlwaysOn в Windows 10 или более новых клиентах с помощью Microsoft Intune".

Настройка игнорирования проверки списка отзыва сертификатов (CRL) в EAP-TLS

Клиент EAP-TLS не может подключиться, если сервер NPS не завершает проверку отзыва цепочки сертификатов (включая корневой сертификат). Облачные сертификаты, выданные пользователю идентификатором Microsoft Entra ID, не имеют списка отзыва сертификатов, так как они являются краткосрочными сертификатами с сроком существования в течение одного часа. Необходимо настроить EAP на NPS, чтобы игнорировать отсутствие списка отзыва сертификатов. Так как метод проверки подлинности — EAP-TLS, это значение реестра необходимо только в EAP\13. Если используются другие методы проверки подлинности EAP, то в них также следует добавить значение реестра.

В этом разделе вы добавите IgnoreNoRevocationCheck и NoRevocationCheck. По умолчанию IgnoreNoRevocationCheck и NoRevocationCheck задано значение 0 (отключено).

Дополнительные сведения о параметрах реестра CRL NPS см. в разделе Настройка параметров реестра отзыва сертификатов сервера политики сети.

1. Откройте regedit.exe на сервере NPS.

2. Перейдите к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.

3. Выберите "Изменить > новое" и выберите значение DWORD (32-разрядная версия) и введите IgnoreNoRevocationCheck.

4. Дважды щелкните IgnoreNoRevocationCheck и задайте для данных "Значение" значение 1.

5. Выберите "Изменить > новое" и выберите значение DWORD (32-разрядная версия) и введите NoRevocationCheck.

6. Дважды щелкните NoRevocationCheck и задайте для данных "Значение" значение 1.

7. Нажмите кнопку "ОК" и перезагрузите сервер. Перезапуск служб RRAS и NPS недостаточно.

Создание корневых сертификатов для проверки подлинности VPN с помощью идентификатора Microsoft Entra

В этом разделе описана настройка корневых сертификатов условного доступа для проверки подлинности VPN с помощью идентификатора Microsoft Entra, который автоматически создает облачное приложение под названием VPN-сервер в клиенте. Чтобы настроить условный доступ для VPN-подключения, выполните следующие действия:

1. Создайте VPN-сертификат на портале Azure.
2. Скачайте этот VPN-сертификат.
3. Разверните сертификат на VPN-серверах и серверах NPS.

Когда пользователь пытается подключиться к VPN, VPN-клиент вызывает диспетчер веб-учетных записей (WAM) на клиенте Windows 10. WAM вызывает облачное приложение VPN-сервера. Когда условия и элементы управления в политике условного доступа удовлетворены, идентификатор Microsoft Entra выдает маркер в виде кратковременного (1-часового) сертификата WAM. WAM помещает сертификат в хранилище сертификатов пользователя и передает управление VPN-клиенту. 

Затем VPN-клиент отправляет сертификат, выданный идентификатором Microsoft Entra, в VPN для проверки учетных данных. 

Чтобы создать корневые сертификаты, выполните приведенные действия.

1. Войдите на портал Azure как глобальный администратор.
2. В меню слева выберите идентификатор Microsoft Entra.
3. На странице идентификатора записи Майкрософт в разделе "Управление" щелкните "Безопасность".
4. На странице "Безопасность" в разделе "Защита" щелкните условный доступ.
5. Условный доступ | Страница "Политики" в разделе "Управление " щелкните VPN-подключение.
6. На странице VPN connectivity (VPN-подключение) щелкните Новый сертификат.
7. На новой странице выполните следующие действия: a. В течение срока выбора выберите 1, 2 или 3 года. b. Нажмите кнопку создания.

Настройка политики условного доступа

В этом разделе описана настройка политики условного доступа для VPN-подключения. При создании первого корневого сертификата в колонке "VPN-подключение" он автоматически создает облачное приложение VPN-сервера в клиенте.

Создайте политику условного доступа, назначенную группе пользователей VPN и охватите облачное приложение VPN-сервером:

• Пользователи: VPN-пользователи
• Облачное приложение: VPN-сервер
• Предоставление (управление доступом): "Требовать многофакторную проверку подлинности". При желании можно использовать другие элементы управления.

Процедура. Этот шаг охватывает создание самой базовой политики условного доступа.  При желании можно использовать дополнительные условия и элементы управления.

1. На странице условного доступа в верхней части панели инструментов нажмите кнопку "Добавить".

   

2. На новой странице в поле "Имя" введите имя политики. Например, введите политику VPN.

   

3. В разделе "Назначение" выберите "Пользователи и группы".

   

4. На странице Пользователи и группы выполните следующие действия:

   

   a. Выберите "Выбрать пользователей и группы".

   b. Выберите Выбрать.

   c. На странице "Выбор" выберите группу пользователей VPN и нажмите кнопку "Выбрать".

   d. На странице "Пользователи и группы" нажмите кнопку "Готово".

5. На странице Создать выполните следующие действия:

   

   a. В разделе "Назначения" выберите "Облачные приложения".

   b. На странице "Облачные приложения" выберите " Выбрать приложения".

   d. Выберите VPN-сервер.

6. На новой странице, чтобы открыть страницу "Предоставление" в разделе "Элементы управления", выберите "Предоставить".

   

7. На странице Предоставить выполните следующие действия:

   

   a. Выберите Требовать многофакторную проверку подлинности.

   b. Выберите Выбрать.

8. На странице "Создать" в разделе "Включить политику" нажмите кнопку "Включить".

   

9. На странице "Создать" нажмите кнопку "Создать".

Развертывание корневых сертификатов условного доступа в локальной службе AD

В этом разделе описано, как развернуть доверенный корневой сертификат для проверки подлинности VPN в локальной службе AD.

1. На странице подключения VPN выберите "Скачать сертификат".

   Примечание.

   Параметр скачивания сертификата base64 доступен для некоторых конфигураций, требующих сертификатов base64 для развертывания.

2. Войдите на присоединенный к домену компьютер с правами администратора Enterprise и выполните следующие команды из командной строки администратора, чтобы добавить облачные корневые сертификаты в хранилище NTauth Enterprise:

   Примечание.

   В средах, где VPN-сервер не присоединен к домену Active Directory, необходимо добавить в хранилище доверенных корневых центров сертификации доверенные корневые центры сертификации вручную.

   Команда	Description
   certutil -dspublish -f VpnCert.cer RootCA	Создает два контейнера корневого ЦС MICROSOFT VPN 1-го поколения под контейнерами ЦС CN=AIA и CN=Сертификации и публикует каждый корневой сертификат в качестве значения в атрибуте cACertificate обоих контейнеров корневого ЦС Microsoft VPN 1-го поколения.
   certutil -dspublish -f VpnCert.cer NTAuthCA	Создает один контейнер CN=NTAuthCertificates под контейнерами CN=AIA и CN=Certificate Authority и публикует каждый корневой сертификат в качестве значения в атрибуте cACertificate контейнера CN=NTAuthCertificates.
   gpupdate /force	Ускоряет добавление корневых сертификатов на сервер Windows и клиентские компьютеры.

3. Убедитесь, что корневые сертификаты присутствуют в хранилище NTauth Enterprise и отображаются как доверенные:

   1. Войдите на сервер с правами администратора предприятия, на котором установлены средства управления центром сертификации.

   Примечание.

   По умолчанию устанавливаются серверы центра сертификации. Их можно установить на других серверах-членах в рамках средств администрирования ролей в диспетчер сервера.

   1. На VPN-сервере в меню введите pkiview.msc, чтобы открыть диалоговое окно Enterprise PKI.
   2. В меню введите pkiview.msc, чтобы открыть диалоговое окно "Корпоративный PKI".
   3. Щелкните правой кнопкой мыши PKI Enterprise и выберите пункт "Управление контейнерами AD".
   4. Убедитесь, что каждый сертификат корневого ЦС MICROSOFT VPN 1-го поколения присутствует в:
      • NTAuthCertificates
      • Контейнер AIA
      • Контейнер центров сертификации

Создание профилей VPNv2 на основе OMA-DM на устройствах Windows 10

В этом разделе описано, как создать профили VPNv2 на основе OMA с помощью Intune для развертывания политики конфигурации VPN-устройств.

1. В портал Azure выберите "Профили конфигурации>устройств Intune" и выберите профиль VPN, созданный в разделе "Настройка VPN-клиента" с помощью Intune>.

2. В редакторе политик выберите "Параметры базовых>VPN" свойств.> Расширьте существующий xml EAP, чтобы включить фильтр, который дает VPN-клиенту логику, которую он должен получить сертификат условного доступа Microsoft Entra из хранилища сертификатов пользователя, а не оставить его, чтобы позволить ему использовать первый обнаруженный сертификат.

   Примечание.

   Без этого VPN-клиент может получить сертификат пользователя, выданный локальным центром сертификации, что приведет к сбою VPN-подключения.

   

3. Найдите раздел, заканчивающийся </AcceptServerName></EapType> , и вставьте следующую строку между этими двумя значениями, чтобы предоставить VPN-клиенту логику, чтобы выбрать сертификат условного доступа Microsoft Entra:

   <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUList Enabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions>
   

4. Выберите колонку условного доступа и переключите условный доступ для этого VPN-подключения включено.

   Включение этого параметра изменяет <параметр DeviceCompliance><Enabled>true</Enabled> в XML-файле профиля VPNv2.

   

5. Нажмите ОК.

6. Выберите "Назначения", в разделе "Включить" выберите "Выбрать группы", чтобы включить.

7. Выберите правильную группу, которая получает эту политику, и нажмите кнопку "Сохранить".

   

Принудительное синхронизация политик MDM на клиенте

Если профиль VPN не отображается на клиентском устройстве, в разделе "Параметры\Сеть и Интернет\VPN" можно принудительно синхронизировать политику MDM.

1. Войдите на клиентский компьютер, присоединенный к домену, в качестве члена группы VPN-пользователей.

2. В меню введите учетную запись и нажмите клавишу ВВОД.

3. В области навигации слева выберите "Доступ к рабочей или учебной среде".

4. В разделе "Доступ к рабочим или учебным заведениям" выберите "Подключено к <\домену> MDM", а затем выберите "Сведения".

5. Выберите " Синхронизация " и убедитесь, что профиль VPN отображается в разделе "Параметры\Сеть и Интернет\VPN".

Следующие шаги

Вы настроите профиль VPN для использования условного доступа Microsoft Entra.

• Дополнительные сведения о том, как работает условный доступ с виртуальными сетями, см. в статье VPN и условный доступ.

• Дополнительные сведения о расширенных функциях VPN см. в статье "Дополнительные функции VPN".

• Общие сведения о VPNv2 CSP см. в статье VPNv2 CSP. В этом разделе приведен обзор VPNv2 CSP.