Voorwaardelijke toegang configureren voor VPN-connectiviteit met behulp van Microsoft Entra ID

Deze handleiding laat zien hoe u VPN-gebruikers toegang verleent tot uw resources met behulp van Microsoft Entra Voorwaardelijke toegang. Door gebruik te maken van Microsoft Entra Voorwaardelijke toegang voor VPN-connectiviteit (Virtual Private Network), kunt u helpen de VPN-verbindingen te beveiligen. Voorwaardelijke toegang is een evaluatie-engine op basis van beleid die u kunt gebruiken om toegangsregels te maken voor elke Microsoft Entra verbonden toepassing.

Prerequisites

Voordat u voorwaardelijke toegang voor uw VPN gaat configureren, moet u de volgende vereisten voltooien:

Configureren EAP-TLS om controle van certificaatintrekkingslijst (CRL) te negeren

Een EAP-TLS-client kan geen verbinding maken, tenzij de NPS (Network Policy Server) een intrekkingscontrole van de certificaatketen voltooit (inclusief het basiscertificaat). Cloudcertificaten die zijn uitgegeven aan de gebruiker door Microsoft Entra ID geen CRL hebben omdat ze kortlevende certificaten zijn met een levensduur van één uur. U moet EAP op NPS configureren om het ontbreken van een CRL te negeren. Omdat de verificatiemethode EAP-TLS is, hoeft u deze registerwaarde alleen toe te voegen onder EAP\13. Als u andere EAP-verificatiemethoden gebruikt, voegt u ook de registerwaarde toe onder deze methoden.

In deze sectie voegt u IgnoreNoRevocationCheck en NoRevocationCheck toe. Standaard zijn IgnoreNoRevocationCheck en NoRevocationCheck ingesteld op 0 (uitgeschakeld).

Zie voor meer informatie over NPS CRL-registerinstellingen Network Policy Server Certificate Revocation List registerinstellingen configureren.

Important

Als een Windows Routerings- en RAS-server (RRAS) NPS gebruikt om RADIUS-aanroepen naar een tweede NPS te proxyen, moet u IgnoreNoRevocationCheck=1 op beide servers instellen.

Als u deze registerwijziging niet implementeert, blijven IKEv2-verbindingen met behulp van cloudcertificaten met PEAP mislukken, maar BLIJVEN IKEv2-verbindingen met clientauth-certificaten werken die zijn uitgegeven door de on-premises CA.

  1. Open regedit.exe op de NPS.

  2. Ga naar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.

  3. Selecteer Nieuw bewerken > en selecteer DWORD (32-bits) waarde. Voer IgnoreNoRevocationCheck in.

  4. Dubbelklik op IgnoreNoRevocationCheck en stel de waardegegevens in op 1.

  5. Selecteer Nieuw bewerken > en selecteer DWORD (32-bits) waarde. Voer NoRevocationCheck in.

  6. Dubbelklik op NoRevocationCheck en stel de waardegegevens in op 1.

  7. Selecteer OK en start de server opnieuw op. Het opnieuw opstarten van de RRAS- en NPS-services is niet voldoende.

Registratiepad EAP-extensie
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 EAP-TLS
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\25 PEAP

Basiscertificaten maken voor VPN-verificatie met Microsoft Entra ID

In deze sectie configureert u basiscertificaten voor voorwaardelijke toegang voor VPN-verificatie met Microsoft Entra ID. Wanneer u het eerste certificaat maakt, maakt Microsoft Entra ID automatisch een cloud-app met de naam VPN Server in de tenant. Een beheerder moet eenmaal beheerderstoestemming verlenen voor deze toepassing voordat de VPN-verbinding volledig operationeel is. Voer de volgende stappen uit om voorwaardelijke toegang voor VPN-connectiviteit te configureren:

  1. Maak een VPN-certificaat in de Azure-portal.

  2. Download het VPN-certificaat.

  3. Implementeer het certificaat op uw VPN- en NPS-servers.

Important

Wanneer u een VPN-certificaat maakt in de Azure-portal, begint Microsoft Entra ID het onmiddellijk te gebruiken om kortstondige certificaten uit te geven aan de VPN-client. Om problemen met referentievalidatie voor de VPN-client te voorkomen, is het essentieel om het VPN-certificaat onmiddellijk te implementeren op de VPN-server.

Wanneer een gebruiker een VPN-verbinding probeert te maken, roept de VPN-client de WAM (Web Account Manager) op de Windows-client aan. WAM maakt een oproep naar de VPN Server-cloud-app. Wanneer aan de voorwaarden en besturingselementen in het beleid voor voorwaardelijke toegang wordt voldaan, geeft Microsoft Entra ID een token uit in de vorm van een kortstondige (één uur) certificaat aan de WAM. De WAM plaatst het certificaat in het certificaatarchief van de gebruiker en geeft het beheer door aan de VPN-client.

De VPN-client verzendt vervolgens het certificaat dat is uitgegeven door Microsoft Entra ID naar de VPN voor referentievalidatie. 

Note

Microsoft Entra ID gebruikt het meest recent gemaakte certificaat in het deelvenster VPN-connectiviteit als verlener. Microsoft Entra Voorwaardelijke toegang certificaten voor VPN-verbindingen ondersteunen nu sterke certificaattoewijzingen, een verificatievereiste op basis van certificaten die is geïntroduceerd door KB5014754. Certificaten voor VPN-verbindingen bevatten nu een SID-extensie van (1.3.6.1.4.1.311.25.2), die een gecodeerde versie van de SID van de gebruiker bevat die is verkregen uit het kenmerk onPremisesSecurityIdentifier.

Basiscertificaten maken

  1. Meld u aan bij uw Azure-portal als Global Administrator.

  2. Selecteer Microsoft Entra ID in het linkermenu.

  3. Selecteer op de pagina Microsoft Entra ID in de sectie BeheerBeveiliging.

  4. Selecteer op de pagina Beveiliging in de sectie Beveiligen de optie Voorwaardelijke toegang.

  5. Op de Beleidspagina voor Voorwaardelijke toegang, in de sectie Beheren, selecteer VPN-connectiviteit.

  6. Selecteer Nieuw certificaat op de pagina VPN-connectiviteit.

  7. Op de pagina Nieuw :

    1. Voor duur selecteren, selecteer 1, 2 of 3 jaar.
    2. Klik op Creëren.

  8. Voor het eerste VPN-certificaat dat u in uw tenant maakt, wordt er een waarschuwingsbanner weergegeven waarin beheerderstoestemming wordt gevraagd voor de VPN Server-toepassing . Selecteer Beheerderstoestemming verlenen (vereist de rol Globale beheerder ) en accepteer de aangevraagde machtigingen. U moet deze actie slechts één keer per tenant uitvoeren. Voor volgende certificaatbewerkingen is geen toestemming meer vereist.

Note

Als u de toestemmingsbanner niet ziet, heeft de VPN Server-toepassing de vereiste machtigingen.

Het beleid voor voorwaardelijke toegang configureren

In deze sectie configureert u het beleid voor voorwaardelijke toegang voor VPN-connectiviteit. Wanneer u het eerste basiscertificaat in het deelvenster VPN-connectiviteit maakt, maakt u automatisch een VPN Server-cloudtoepassing in de tenant.

Maak een beleid voor voorwaardelijke toegang om toe te wijzen aan de VPN-gebruikersgroep en om de cloud-app te beperken tot VPN Server:

  • Gebruikers: VPN-gebruikers
  • Cloud-app: VPN Server
  • Verlenen (toegangsbeheer): Meervoudige verificatie vereisen. U kunt desgewenst andere besturingselementen gebruiken.

Procedure: In deze stap wordt het maken van het meest elementaire beleid voor voorwaardelijke toegang beschreven. Desgewenst kunt u meer voorwaarden en besturingselementen toevoegen.

  1. Selecteer Toevoegen op de pagina Voorwaardelijke toegang op de werkbalk bovenaan.

    Schermopname van de pagina Voorwaardelijke toegang met de knop Toevoegen gemarkeerd op de werkbalk.

  2. Voer op de pagina Nieuw in het vak Naam een naam in voor uw beleid. Voer bijvoorbeeld VPN-beleid in.

    Schermopname van het scherm Nieuw beleid voor voorwaardelijke toegang met het veld Naam dat gereed is voor invoer, voordat toewijzingen worden geconfigureerd.

  3. In de sectie Toewijzing, selecteer gebruikers en groepen.

    Schermopname van de optie Gebruikers en groepen.

  4. Op de pagina Gebruikers en groepen :

    Schermopname van de pagina Gebruikers en groepen met de optie Gebruikers en groepen selecteren gemarkeerd.

    1. Selecteer Gebruikers en groepen selecteren.

    2. Selecteer Selecteren.

    3. Selecteer op de pagina Selecteren de VPN-gebruikersgroep en selecteer vervolgens Selecteren.

    4. Op de pagina Gebruikers en groepen selecteer Gereed.

  5. Op de pagina Nieuw :

    Schermopname van de interface Toewijzingen na het selecteren van Cloud-apps, waarbij selecteerbare app-opties worden gemarkeerd.

    1. Selecteer Cloud-apps in de sectie Toewijzingen.

    2. Selecteer apps op de pagina Cloud-apps.

    3. Selecteer Selecteren.

    4. Selecteer VPN-server op de pagina Selecteren.

  6. Als u op de pagina Nieuw de pagina Verlenen wilt openen, selecteert u Verlenen in de sectie Besturingselementen.

    Schermopname van de optie 'Verlenen'.

  7. Op de Grant pagina:

    Schermopname van Grant-besturingselementen met als onderdeel van het beleid 'Multi-factor authenticatie vereisen' gemarkeerd.

    1. Selecteer Meervoudige verificatie vereisen.

    2. Selecteer Selecteren.

  8. Op de Nieuwe pagina, schakel beleid in op Aan.

    Schermopname van de nieuwe pagina met de optie 'Beleid inschakelen' die is ingesteld op Aan.

  9. Selecteer Maken op de pagina Nieuw.

Basiscertificaten voor voorwaardelijke toegang implementeren in on-premises AD

In deze sectie implementeert u een vertrouwd basiscertificaat voor VPN-verificatie in uw on-premises AD.

  1. Selecteer Certificaat downloaden op de pagina VPN-connectiviteit.

    Note

    De optie Base64-certificaat downloaden is beschikbaar voor sommige configuraties waarvoor base64-certificaten nodig zijn voor implementatie.

  2. Meld u aan bij een computer die lid is van een domein met ondernemingsbeheerdersrechten en voer deze opdrachten uit vanaf een administrator-opdrachtprompt om de cloudhoofdcertificaten toe te voegen aan het Enterprise NTAuth-archief :

    Note

    Voor omgevingen waarin de VPN-server niet is gekoppeld aan het Active Directory-domein, moet u de cloud-rootcertificaten handmatig toevoegen aan de opslag van de Trusted Root Certification Authorities.

    Command Description
    certutil -dspublish -f VpnCert.cer RootCA Hiermee maakt u twee Microsoft VPN-hoofd-CA Gen 1 containers onder de CN=AIA en CN=Certificeringsinstanties containers; en publiceert elk basiscertificaat als een waarde op de cACertificate kenmerk van beide Microsoft VPN-basis-CA gen 1 containers.
    certutil -dspublish -f VpnCert.cer NTAuthCA Hiermee maakt u één CN=NTAuthCertificates-container onder de containers CN=AIA en CN=Certificeringsinstanties en publiceert u elk basiscertificaat als een waarde op het cACertificate-kenmerk van de container CN=NTAuthCertificates .
    gpupdate /force Versnelt het toevoegen van de rootcertificaten aan Windows-server- en clientcomputers.

  3. Controleer of de basiscertificaten aanwezig zijn in het Enterprise NTAuth-archief en als vertrouwd worden weergegeven:

    1. Meld u aan bij een server met ondernemingsbeheerdersrechten waarop de hulpprogramma's voor certificeringsinstantiebeheer zijn geïnstalleerd.

      Note

      Standaard worden de hulpprogramma's voor certificeringsinstantiebeheer geïnstalleerd op de servers van de certificeringsinstantie. U kunt ze installeren op de servers van andere leden als onderdeel van de Role Administration Tools in Serverbeheer.

    2. Voer in het menu Startpkiview.msc in om het dialoogvenster Enterprise PKI te openen.

    3. Klik met de rechtermuisknop op Enterprise PKI en selecteer AD-containers beheren.

    4. Controleer of elk Microsoft VPN root CA gen 1-certificaat aanwezig is onder:

      • NTAuthCertificates
      • AIA-container
      • Container voor certificeringsinstanties

VPNv2-profielen op basis van OMA-DM maken voor Windows 10-apparaten

In deze sectie maakt u VPNv2-profielen gebaseerd op OMA-DM door gebruik te maken van Intune om een beleid voor apparaatconfiguratie voor VPN te implementeren.

  1. Selecteer in de Azure portal Intune>Device Configuration>Profiles en selecteer het VPN-profiel dat u hebt gemaakt in Configuratie van de VPN-client met behulp van Intune.

  2. Selecteer inde beleidseditor>>Basis-VPN. Breid de bestaande EAP Xml uit om een filter op te nemen waarmee de VPN-client de logica krijgt die nodig is om het Microsoft Entra Voorwaardelijke toegang certificaat op te halen uit het certificaatarchief van de gebruiker in plaats van het eerste gedetecteerde certificaat te gebruiken.

    Note

    Zonder dit filter kan de VPN-client het gebruikerscertificaat ophalen dat is uitgegeven door de on-premises certificeringsinstantie, wat resulteert in een mislukte VPN-verbinding.

    Schermopname van de Intune VPN-profielinstellingen met de EAP XML-editor met toegevoegde TLSExtensions en EKUMapping voor certificaatfiltering.

  3. Zoek de sectie die eindigt op </AcceptServerName></EapType> en voeg de volgende tekenreeks in tussen deze twee waarden om de VPN-client te voorzien van de logica om het Microsoft Entra Voorwaardelijke toegang-certificaat te selecteren:

    <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUList Enabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions>

  4. Stel in het deelvenster Voorwaardelijke toegang de voorwaardelijke toegang voor deze VPN-verbinding in op Inschakelen.

    Als u deze instelling inschakelt, wordt de instelling <DeviceCompliance><Enabled>true</Enabled> in de PROFIEL-XML van VPNv2 gewijzigd.

    Schermopname van het deelvenster Voorwaardelijke toegang van de Azure-portal met voorwaardelijke toegang voor deze VPN-verbinding ingesteld op Inschakelen.

  5. Kies OK.

  6. Selecteer Opdrachten. Selecteer op het tabblad Opnemende optie Groepen selecteren die u wilt opnemen.

  7. Selecteer de juiste groep die dit beleid ontvangt en selecteer Opslaan.

    Schermopname van de Toewijzingssectie in het voorwaardelijke-toegangsbeleid, tonend het tabblad Opnemen en groepselectie-opties.

MDM-beleidssynchronisatie afdwingen op de client

Als het VPN-profiel niet wordt weergegeven op het clientapparaat, kunt u onderNetwerk- en internet-VPN> van instellingen> afdwingen dat MDM-beleid wordt gesynchroniseerd.

  1. Meld u als lid van de vpn-gebruikersgroep aan bij een clientcomputer die lid is van een domein.

  2. Voer in het menu Starthet account in en druk op Enter.

  3. Selecteer in het linkernavigatiepaneel de optie Toegang tot werk of school.

  4. Selecteer onder Toegang tot werk of school Verbonden met <\domain> MDM en selecteer vervolgens Info.

  5. Selecteer Synchroniseren en controleer of het VPN-profiel wordt weergegeven onder Netwerk>- en>.

Verwante inhoud

  • Last updated on