Configurer l’accès conditionnel pour la connectivité VPN à l’aide de Microsoft Entra ID

Ce guide montre comment accorder aux utilisateurs VPN l’accès à vos ressources à l’aide de Accès conditionnel Microsoft Entra. En utilisant Accès conditionnel Microsoft Entra pour la connectivité de réseau privé virtuel (VPN), vous pouvez protéger les connexions VPN. L’accès conditionnel est un moteur d’évaluation basé sur des stratégies que vous pouvez utiliser pour créer des règles d’accès pour n’importe quelle application connectée Microsoft Entra.

Prerequisites

Avant de commencer à configurer l’accès conditionnel pour votre VPN, remplissez les conditions préalables suivantes :

Configurer EAP-TLS pour ignorer la vérification de la liste de révocation de certificats (CRL)

Un client EAP-TLS ne peut pas se connecter, sauf si le serveur de stratégie réseau (NPS) effectue une vérification de révocation de la chaîne de certificats (y compris le certificat racine). Les certificats cloud émis à l'utilisateur par Microsoft Entra ID n'ont pas de liste de révocation de certificats, car ils sont de courte durée de vie d'une heure. Vous devez configurer EAP sur NPS pour ignorer l'absence d'une CRL. Étant donné que la méthode d’authentification est EAP-TLS, vous devez uniquement ajouter cette valeur de Registre sous EAP\13. Si vous utilisez d’autres méthodes d’authentification EAP, ajoutez également la valeur de Registre sous ces méthodes.

Dans cette section, vous ajoutez IgnoreNoRevocationCheck et NoRevocationCheck. Par défaut, IgnoreNoRevocationCheck et NoRevocationCheck sont définis sur 0 (désactivé).

Pour en savoir plus sur les paramètres de registre NPS CRL, consultez Configurer les paramètres de registre de vérification de la liste de révocation de certificats du serveur de stratégie réseau.

Important

Si un serveur de routage et d’accès à distance (RRAS) Windows utilise NPS pour proxyr les appels RADIUS vers un deuxième serveur NPS, vous devez définir IgnoreNoRevocationCheck=1 sur les deux serveurs.

Si vous n’implémentez pas ce changement de Registre, les connexions IKEv2 utilisant des certificats cloud avec PEAP échouent, mais les connexions IKEv2 utilisant les certificats d’authentification client émis à partir de l’autorité de certification locale continuent de fonctionner.

  1. Ouvrez regedit.exe sur le serveur NPS.

  2. Accédez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.

  3. Sélectionnez Modifier > nouveau et sélectionnez Valeur DWORD (32 bits). Entrez IgnoreNoRevocationCheck.

  4. Double-cliquez sur IgnoreNoRevocationCheck et définissez les données Valeur sur 1.

  5. Sélectionnez Modifier > nouveau et sélectionnez Valeur DWORD (32 bits). Entrez NoRevocationCheck.

  6. Double-cliquez sur NoRevocationCheck et définissez les données Valeur sur 1.

  7. Sélectionnez OK et redémarrez le serveur. Le redémarrage des services RRAS et NPS n’est pas suffisant.

Chemin d’accès au Registre EAP Extension
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 EAP-TLS
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\25 PEAP

Créer des certificats racines pour l’authentification VPN avec Microsoft Entra ID

Dans cette section, vous allez configurer des certificats racines d’accès conditionnel pour l’authentification VPN avec Microsoft Entra ID. Lorsque vous créez le premier certificat, Microsoft Entra ID crée automatiquement une application cloud appelée VPN Server dans l'instance. Un administrateur doit accorder le consentement de l’administrateur pour cette application une fois avant que la connectivité VPN soit entièrement opérationnelle. Pour configurer l’accès conditionnel pour la connectivité VPN, procédez comme suit :

  1. Créez un certificat VPN dans le portail Azure.

  2. Télécharger le certificat VPN

  3. Déployez le certificat sur vos serveurs VPN et NPS.

Important

Lorsque vous créez un certificat VPN dans le portail Azure, Microsoft Entra ID commence immédiatement à l’utiliser pour émettre des certificats de courte durée au client VPN. Pour éviter tout problème lié à la validation des informations d’identification pour le client VPN, il est essentiel de déployer immédiatement le certificat VPN sur le serveur VPN.

Lorsqu’un utilisateur tente une connexion VPN, le client VPN effectue un appel au gestionnaire de comptes web (WAM) sur le client Windows. WAM effectue un appel à l’application cloud du serveur VPN. Lorsque les conditions et les contrôles de la stratégie d’accès conditionnel sont satisfaits, Microsoft Entra ID émet un jeton sous la forme d’un certificat de courte durée (une heure) au WAM. Le wam place le certificat dans le magasin de certificats de l’utilisateur et passe le contrôle au client VPN.

Le client VPN envoie ensuite le certificat émis par Microsoft Entra ID au VPN pour la validation des informations d’identification. 

Note

Microsoft Entra ID utilise le certificat le plus récemment créé dans le volet de connectivité VPN en tant qu’émetteur. Les certificats de feuille de connexion VPN pour Accès conditionnel Microsoft Entra prennent maintenant en charge des mappages de certificats robustes, une exigence d’authentification basée sur des certificats introduite par KB5014754. Les certificats feuilles de connexion VPN incluent désormais une extension SID de (1.3.6.1.4.1.311.25.2), qui contient une version encodée du SID de l’utilisateur obtenue à partir de l’attribut onPremisesSecurityIdentifier.

Créer des certificats racines

  1. Connectez-vous à votre portail Azure en tant qu’administrateur Global Administrator.

  2. Dans le menu de gauche, sélectionnez Microsoft Entra ID.

  3. Dans la page Microsoft Entra ID, dans la section Manage, sélectionnez Security.

  4. Dans la page Sécurité , dans la section Protéger , sélectionnez Accès conditionnel.

  5. Sur la page Accès conditionnel | Stratégies, dans la section Gérer, sélectionnez Connectivité VPN.

  6. Dans la page de connectivité VPN , sélectionnez Nouveau certificat.

  7. Dans la page Nouveau :

    1. Pour sélectionner une durée, sélectionnez 1, 2 ou 3 ans.
    2. Cliquez sur Créer.

  8. Pour le premier certificat VPN que vous créez dans votre locataire, une bannière d’avertissement s’affiche pour demander le consentement de l’administrateur pour l’application serveur VPN . Sélectionnez Accorder le consentement de l’administrateur (nécessite le rôle Administrateur général ) et acceptez les autorisations demandées. Vous devez effectuer cette action une seule fois par locataire. Les opérations de certificat suivantes ne nécessitent pas à nouveau le consentement.

Note

Si vous ne voyez pas la bannière de consentement, l’application serveur VPN dispose des autorisations requises.

Configurer la stratégie d’accès conditionnel

Dans cette section, vous configurez la stratégie d’accès conditionnel pour la connectivité VPN. Lorsque vous créez le premier certificat racine dans le volet de connectivité VPN, vous créez automatiquement une application cloud de serveur VPN dans l'espace client.

Créez une stratégie d’accès conditionnel à affecter au groupe d’utilisateurs VPN et limitez l’application cloud au serveur VPN :

  • Utilisateurs : Utilisateurs VPN
  • Application Cloud : Serveur VPN
  • Accorder (contrôle d’accès) : exiger l’authentification multifacteur. Vous pouvez utiliser d’autres contrôles si vous le souhaitez.

Procédure: Cette étape couvre la création de la stratégie d’accès conditionnel la plus simple. Si vous le souhaitez, vous pouvez ajouter d’autres conditions et contrôles.

  1. Dans la page Accès conditionnel , dans la barre d’outils en haut, sélectionnez Ajouter.

    Capture d’écran de la page Accès conditionnel avec le bouton Ajouter mis en surbrillance dans la barre d’outils.

  2. Dans la page Nouveau , dans la zone Nom , entrez un nom pour votre stratégie. Par exemple, entrez une stratégie VPN.

    Capture de l'écran de la nouvelle stratégie d'accès conditionnel montrant le champ Nom prêt pour l'entrée, avant la configuration des affectations.

  3. Dans la section Affectation , sélectionnez Utilisateurs et groupes.

    Capture d’écran de l’option Utilisateurs et groupes.

  4. Dans la page Utilisateurs et groupes :

    Capture d’écran de la page Utilisateurs et groupes avec l’option Sélectionner des utilisateurs et des groupes mise en surbrillance.

    1. Sélectionnez Sélectionner des utilisateurs et des groupes.

    2. Sélectionner.

    3. Dans la page Sélectionner , sélectionnez le groupe d’utilisateurs VPN , puis sélectionnez Sélectionner.

    4. Dans la page Utilisateurs et groupes, cliquez sur Terminé.

  5. Dans la page Nouveau :

    Capture d’écran de l’interface Affectations après avoir sélectionné des applications cloud, mettant en évidence les options d’application sélectionnables.

    1. Dans la section Affectations , sélectionnez Applications cloud.

    2. Dans la page Applications cloud , sélectionnez Sélectionner des applications.

    3. Sélectionner.

    4. Dans la page Sélectionner , sélectionnez Serveur VPN.

  6. Dans la page Nouveau , pour ouvrir la page Accorder , dans la section Contrôles , sélectionnez Accorder.

    Capture d’écran de l’option Grant.

  7. Sur la page Grant :

    Capture d’écran des contrôles Grant montrant

    1. Sélectionnez Exiger une authentification multifacteur.

    2. Sélectionner.

  8. Dans la page Nouveau, définissez Activer la stratégie à Activé.

    Capture d’écran de la nouvelle page avec la stratégie Activer définie sur Activé.

  9. Dans la page Nouveau , sélectionnez Créer.

Déployer des certificats racines d’accès conditionnel sur AD local

Dans cette section, vous déployez un certificat racine approuvé pour l’authentification VPN sur votre AD local.

  1. Dans la page de connectivité VPN , sélectionnez Télécharger le certificat.

    Note

    L’option Télécharger le certificat base64 est disponible pour certaines configurations qui nécessitent des certificats base64 pour le déploiement.

  2. Connectez-vous à un ordinateur joint à un domaine avec des droits d’administrateur d’entreprise et exécutez ces commandes à partir d’une invite de commandes Administrateur pour ajouter les certificats racines cloud dans le magasin Enterprise NTauth :

    Note

    Pour les environnements où le serveur VPN n'est pas joint au domaine Active Directory, vous devez ajouter manuellement les certificats racines cloud au magasin des autorités de certification racines de confiance.

    Command Description
    certutil -dspublish -f VpnCert.cer RootCA Crée deux conteneurs Microsoft autorité de certification racine VPN gen 1 sous les conteneurs CN=AIA et CN=Autorités de certification, et publie chaque certificat racine comme valeur sur l’attribut cACertificate des conteneurs Microsoft autorité de certification racine VPN gen 1.
    certutil -dspublish -f VpnCert.cer NTAuthCA Crée un conteneur CN=NTAuthCertificates sous les conteneurs CN=AIA et CN=Certification Authorities et publie chaque certificat racine sous forme de valeur sur l’attribut cACertificate du conteneur CN=NTAuthCertificates .
    gpupdate /force Accélère l’ajout des certificats racines aux ordinateurs clients et serveurs Windows.

  3. Vérifiez que les certificats racines sont présents dans le magasin Enterprise NTauth et s’affichent comme approuvés :

    1. Connectez-vous à un serveur disposant des droits d’administrateur d’entreprise et sur lequel les outils de gestion de l’autorité de certification sont installés.

      Note

      Par défaut, les outils de gestion de l’autorité de certification sont installés sur les serveurs d’autorité de certification. Vous pouvez les installer sur les serveurs d'autres membres dans le cadre des outils d'administration Role dans Gestionnaire de serveur.

    2. Dans le menu Démarrer , entrez pkiview.msc pour ouvrir la boîte de dialogue Entreprise PKI .

    3. Cliquez avec le bouton droit sur Infrastructure publique d’entreprise , puis sélectionnez Gérer les conteneurs AD.

    4. Vérifiez que chaque certificat d’autorité de certification racine VPN gen1 Microsoft est présent sous :

      • NTAuthCertificates
      • Conteneur AIA
      • Conteneur d’autorités de certification

Créer des profils VPNv2 basés sur OMA-DM pour les appareils Windows 10

Dans cette section, vous allez créer des profils VPNv2 basés sur OMA-DM à l’aide d’Intune pour déployer une stratégie de configuration d’appareil VPN.

  1. Dans le portail Azure, sélectionnez Intune>Device Configuration>Profiles et sélectionnez le profil VPN que vous avez créé dans Configure du client VPN à l’aide d’Intune.

  2. Dans l’éditeur de stratégie, sélectionnez Propriétés>Paramètres>VPN de base. Étendez le EAP Xml existant pour inclure un filtre qui donne au client VPN la logique dont il a besoin pour récupérer le certificat Accès conditionnel Microsoft Entra à partir du magasin de certificats de l'utilisateur au lieu d'utiliser le premier certificat découvert.

    Note

    Sans ce filtre, le client VPN peut récupérer le certificat utilisateur émis à partir de l’autorité de certification locale, ce qui entraîne un échec de connexion VPN.

    Capture d’écran des paramètres de profil VPN Intune affichant l’éditeur XML EAP avec tlsExtensions et EKUMapping ajoutés pour le filtrage des certificats.

  3. Recherchez la section qui se termine par </AcceptServerName></EapType> et insérez la chaîne suivante entre ces deux valeurs pour fournir au client VPN la logique pour sélectionner le certificat Accès conditionnel Microsoft Entra :

    <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUList Enabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions>

  4. Dans le volet Accès conditionnel , définissez l’accès conditionnel pour cette connexion VPN à activer.

    L’activation de ce paramètre modifie le paramètre <DeviceCompliance><Enabled>true</Enabled> dans le XML du profil VPNv2.

    Capture d'écran du volet Accès conditionnel du portail Azure avec accès conditionnel pour cette connexion VPN définie sur Activé.

  5. Cliquez sur OK.

  6. Sélectionnez Affectations. Sous l’onglet Inclure , sélectionnez Sélectionner des groupes à inclure.

  7. Sélectionnez le groupe approprié qui reçoit cette stratégie, puis sélectionnez Enregistrer.

    Capture d’écran de la section Affectations dans la stratégie d’accès conditionnel montrant les options de sélection de l’onglet Inclure et du groupe.

Forcer la synchronisation des stratégies MDM sur le client

Si le profil VPN ne s’affiche pas sur l’appareil client, sous Paramètres>Réseau et Internet>VPN, vous pouvez forcer la synchronisation de la politique MDM.

  1. Connectez-vous à un ordinateur client joint à un domaine en tant que membre du groupe Utilisateurs VPN .

  2. Dans le menu Démarrer , entrez le compte, puis appuyez sur Entrée.

  3. Dans le volet de navigation gauche, sélectionnez Accès Professionnel ou Scolaire.

  4. Sous Accès professionnel ou scolaire, sélectionnez Connecté à <\domain> MDM, puis sélectionnez Informations.

  5. Sélectionnez Synchroniser et vérifier que le profil VPN s’affiche sous Paramètres>réseau et VPN Internet>.

Contenu connexe

  • Last updated on