Настройка двухфакторной аутентификации на сервере Windows со службой RD Gateway

В статье описывается настройка Windows сервера для включения двухфакторной аутентификации при подключении удаленного рабочего стола (RDP) со службой RD Gateway.

RD Gateway — компонент Windows сервера, позволяющий подключаться к рабочему столу через шлюз, который выполняет функции VPN, а именно создает зашифрованное подключение по протоколу TLS.

Применимо к версиям:

• Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2019

Возможные способы аутентификации:

• Мобильное приложение MultiFactor
• Telegram
• Звонок (нужно принять вызов и нажать #)

1. Пользователь подключается к удаленному рабочему столу через шлюз RD Gateway;
2. RD Gateway проверяет логин, пароль, политику авторизации ресурсов (RAP) и переадресовывает запрос в Network Policy Server (NPS);
3. NPS получает запрос от RD Gateway, запрашивает второй фактор аутентификации по RADIUS протоколу в компоненте MultiFactor Radius Adapter;
4. Мультифактор отправляет на телефон пользователя запрос подтверждения входа;
5. Пользователь подтверждает запрос в телефоне и подключается к VPN.

• настройка доступа на основе принадлежности пользователя к группе в Active Directory;
• избирательное включение второго фактора на основе принадлежности пользователя к группе в Active Directory;
• использование телефона пользователя из профиля Active Directory для звонка на мобильный телефон;

Требования к серверу

1. На сервере должны быть установлены и настроены компоненты Remote Desktop Gateway и Network Policy and Access Service.
2. На сервере с NPS необходимо установить компонент MultiFactor Radius Adapter.
3. Для работы Мультифактора серверу необходим доступ к хосту api.multifactor.ru по порту 443 (TLS).

Настройка MultiFactor Radius Adapter

Разверните компонент MultiFactor Radius Adapter, настройте файл конфигурации следующим образом:

Придумайте сложное значение SHARED_SECRET и запишите в конфигурационный файл.

1. В разделе Remote RADIUS Server Groups создайте новую группу:
   • Group name: MFA
   • Нажмите Add:
     • Server: 127.0.0.1
     • Shared secret: ранее придуманный SHARED_SECRET
     • Load Balancing: поставьте таймауты по 60 секунд

1. В разделе Connection Requests Policies, откройте свойства политики TS GATEWAY AUTHORIZATION POLICY:
   • На вкладке Settings:
     • в разделе Authentication выберите вариант Forward requests to the following remote RADIUS server group for authentication: MFA

Использование двухфакторной проверки подлинности в учетной записи Майкрософт

Примечание: Если вы пытаетесь узнать, как изменить адрес электронной почты или номер телефона для своей учетной записи Майкрософт, см. раздел Изменение адреса электронной почты или номера телефона для учетной записи Майкрософт. Если у вас возникают проблемы со входом в свою учетную запись, см. раздел Не удается войти в учетную запись Майкрософт для получения справки. Здесь приводятся дополнительные сведения о том, что делать, если вы видите сообщение Такая учетная запись Майкрософт не существует , когда пытаетесь войти в свою учетную запись Майкрософт.

Сведения о двухфакторной проверке подлинности

Что такое двухфакторная проверка подлинности?

Двухфакторная проверка подлинности помогает обеспечить защиту, усложняя вход в вашу учетную запись Майкрософт для другого пользователя. Она использует две различные формы идентификации: пароль и способ связи (также известный как сведения безопасности). Даже если кто-то другой узнает ваш пароль, он не сможет войти, если не имеет доступа к сведениям безопасности. Вот почему также важно использовать различные пароли для всех своих учетных записей.

Важно: Если двухфакторная проверка подлинности включена, вам всегда будут нужны две формы идентификации. Это означает, что если вы забыли свой пароль, вам потребуется два способа связи. Если вы потеряли свой способ связи, вы не сможете получить доступ к своей учетной записи только с помощью пароля. Для восстановления доступа может потребоваться до 30 дней. Вы даже можете потерять доступ к учетной записи. Поэтому мы настоятельно рекомендуем хранить три элемента сведений безопасности для вашей учетной записи на всякий случай.

Что происходит, когда вы включаете двухфакторную проверку подлинности

Если включить двухфакторную проверку, вы будете получать код безопасности по электронной почте, телефону или в приложении для проверки подлинности каждый раз при входе с недоверенного устройства. Если двухфакторная проверка подлинности отключена, вам придется лишь периодически подтверждать свою личность с помощью кодов безопасности в случаях, если безопасность вашей учетной записи находится под угрозой.

Необходимые настройки

Двухфакторная проверка подлинности начинается с ввода адреса электронной почты (мы рекомендуем применять два адреса электронной почты: стандартный и резервный), номера телефона или запуска приложения проверки подлинности. Если вы начнете входить в систему с нового устройства или из нового местоположения, мы отправим вам защитный код, который необходимо ввести на странице входа. Дополнительные сведения о приложении проверки подлинности см. в разделе Использование приложения Microsoft Authenticator.

Включение и выключение двухфакторной проверки подлинности

Откройте страницу Основные сведения о безопасности и выполните вход с помощью учетной записи Майкрософт.

Выберите Расширенные параметры безопасности.

В разделе Двухшаговая проверка выберите Настройка двухшаговой проверки, чтобы включить ее, или Выключение двухшаговой проверки, чтобы выключить ее.

Примечание: В ходе настройки этой учетной записи вам будет предоставлен QR-код для его сканирования с помощью вашего устройства. Это один из способов убедиться в том, что вы физически владеете устройством, на которое вы устанавливаете приложение Authenticator.

Сброс пароля при включенной двухфакторной проверке подлинности

Если вы забыли пароль, когда двухфакторная проверка подлинности включена для вашей учетной записи, вы можете сбросить его при наличии у вас двух способов связи с вами. Например, это могут быть запасной контактный адрес электронной почты или номера телефонов, которые вы использовали при включении двухфакторной проверки подлинности.

В зависимости от того, какие сведения безопасности добавлены в учетную запись, может потребоваться ввести код безопасности из приложения проверки подлинности и ввести код, отправленный на резервный электронный адрес.

Чтобы сбросить пароль, выполните действия, приведенные в разделе Как сбросить пароль учетной записи Майкрософт. Вместо одного кода безопасности для подтверждения вашей личности вы получите два.

Если вы ищете сведения об изменении, удалении или обновлении дополнительного электронного адреса или номера телефона, на которые вы получаете коды безопасности, выполните шаги, описанные либо в разделе Сведения о безопасности и коды проверки, либо в разделе Замена сведений о безопасности в своей учетной записи Майкрософт.

Если невозможно использовать коды безопасности, используйте пароли приложений

Некоторые приложения (например, почтовые клиенты на некоторых телефонах) или устройства (например, Xbox 360) не могут использовать стандартные коды безопасности. Если после включения двухфакторной проверки подлинности в приложении или на устройстве отображается сообщение о неправильном пароле, но вы уверены, что пароль был введен правильно, это означает, что для входа нужен пароль приложения или устройства.

Пароли приложений доступны, только если вы используете двухфакторную проверку подлинности. Если двухфакторная проверка подлинности не включена, вы не увидите раздел Пароли приложений на странице Дополнительные параметры безопасности.

Узнайте, как создавать и использовать пароли приложений в разделе Пароли приложений и двухфакторная проверка подлинности.

Как активировать двухфакторную аутентификацию для аккаунта Microsoft

В учетной записи Microsoft двухэтапная проверка (также известная как «двухфакторная проверка подлинности», «2FA» или «многофакторная проверка подлинности») – это функция, которая добавляет второй этап проверки, чтобы повысить безопасность и усложнить доступ для злоумышленников.

Если кто-то завладеет вашим паролем, без второй формы аутентификации, будет практически невозможно получить доступ к вашей учетной записи.

Если вы используете учетную запись Microsoft, вы можете использовать три способа включения двухэтапной проверки, включая использование альтернативного адреса электронной почты, номера телефона, и вы даже можете использовать приложение Microsoft Authenticator. Как только функция безопасности включена, каждый раз, когда вы входите с нового места или нового устройства с паролем, вам нужно будет ввести код безопасности, чтобы подтвердить, что вы являетесь тем, кем себя называете.

В этом руководстве по Windows 10 мы расскажем, как настроить двухэтапную проверку вашей учетной записи Microsoft, чтобы добавить дополнительный уровень безопасности для предотвращения несанкционированного доступа к Outlook, OneDrive, Office 365, Xbox Live и другим службам.

Как включить двухэтапную проверку Microsoft

Чтобы включить двухэтапную проверку своей учетной записи Microsoft, выполните следующие действия.

Важное замечание: прежде чем продолжить, важно иметь несколько форм контактной информации, чтобы предотвратить блокировку вашей учетной записи.

1. Откройте свою учетную запись Microsoft.
2. Войдите с вашими учетными данными.
3. Перейдите на вкладку Безопасность.
4. Выберите параметр «Двухэтапная проверка» в верхней части страницы (или нажмите кнопку «Дополнительные параметры безопасности» на странице).

В разделе «Двухэтапная проверка» щелкните ссылку Настройка двухшаговой проверки.

Нажмите кнопку Далее .

Скачайте и установите приложение Microsoft Authenticator, чтобы входить в систему с помощью телефона, а не с паролем, или настройте другое приложение для проверки подлинности. Нажмите кнопку Получить .

После установки и входа в свою учетную запись нажмите кнопку Далее и Готово .

На экране «Включена двухшаговая проверка» нажмите опцию Распечатать код (поверьте, когда-нибудь он Вам очень пригодится).

Совет. Важно сохранить этот код восстановления в безопасном месте.

Выберите опцию Сохранить как PDF.

Нажмите кнопку Сохранить .

Выберите местоположение папки.

Укажите описательное имя для файла.

Нажмите кнопку Сохранить → Далее .

(Необязательно) Если вы синхронизируете свое приложение Outlook.com с телефоном Android, iPhone или BlackBerry, щелкните страницу, чтобы отобразить шаги по настройке устройства с паролем приложения.

Нажмите кнопку Далее ещё раз.

Нажмите кнопку Готово .

Укажите ваш пароль.

Нажмите кнопку Войти (если применимо).

После того, как вы выполните шаги при попытке войти на нераспознанное устройство, вы получите код безопасности в своей учетной записи электронной почты или на телефоне, с помощью которого можно подтвердить, что это вы пытаетесь войти в свою учетную запись.

Как добавить информацию о безопасности

При включении двухэтапной аутентификации при каждом входе в систему вам будет предложено указать вторую форму аутентификации. Кроме того, если вы забудете свой пароль, вам потребуется два способа контакта, чтобы восстановить доступ к вашей учетной записи. Это означает, что перед включением двухэтапной проверки вы должны убедиться, что у вас есть как минимум три типа контактных данных, которые могут представлять собой сочетание адресов электронной почты или телефонных номеров.

Чтобы добавить информацию о безопасности в свою учетную запись Microsoft, выполните следующие действия:

1. Откройте свою учетную запись Microsoft онлайн.
2. Войдите с вашими учетными данными.
3. Перейдите на вкладку Безопасность.
4. Нажмите кнопку Обновить мои сведения.

Нажмите на ссылку Добавление сведений для защиты учетной записи.

Используйте раскрывающееся меню «Способ подтверждения», например, выберите опцию «Альтернативный адрес электронной почты». (Или вы также можете добавить номер телефона.)

Нажмите кнопку Далее .

Подтвердите с помощью кода, который вы получили в письме.

Нажмите кнопку Далее .

После выполнения этих шагов, каждый раз, когда вы попытаетесь войти в систему, когда включена двухэтапная проверка, вы можете получить код безопасности, используя методы связи, которые вы добавили в учетную запись.

Как настроить приложение Authenticator

В случае, если вы не хотите иметь дело с электронной почтой, телефонными звонками или текстовыми сообщениями, вы можете использовать приложение Microsoft Authenticator для входа без необходимости использования пароля.

Приложение Authenticator доступно для Android и iOS. В следующих шагах мы покажем вам инструкции по настройке приложения на устройстве Android, но процесс аналогичен для устройств iOS.

Чтобы настроить приложение Authenticator, выполните следующие действия:

1. Откройте Google Play.
2. Выполните поиск и перейдите на страницу приложения Microsoft Authenticator.
3. Нажмите кнопку Установить .
4. Откройте приложение.
5. Нажмите кнопку Добавить личный кабинет.
6. Войдите, используя данные своей учетной записи Microsoft.
7. Нажмите кнопку Далее → Получил .

После выполнения этих шагов при входе в свою учетную запись вы получите на свой телефон уведомление, с помощью которого можете подтвердить и продолжить вход в систему.

Как создать пароль приложения

Если вы используете устройство или приложение, которое не поддерживает двухэтапную проверку, вам необходимо создать пароль приложения.

Чтобы создать пароль приложения, выполните следующие действия:

1. Откройте свою учетную запись Microsoft.
2. Войдите с вашими учетными данными.
3. Перейдите на вкладку Безопасность.
4. Нажмите кнопку Дополнительные параметры безопасности на странице.
5. В разделе «Пароли приложений» нажмите ссылку Создать новый пароль приложения.
6. Используйте сгенерированный пароль в приложении или устройстве, которое не поддерживает код безопасности.

После выполнения этих действий приложение или устройство смогут получить доступ к вашей учетной записи, когда включена двухэтапная проверка.

Как отключить двухэтапную проверку на аккаунте Microsoft

В том случае, если вам больше не нужно использовать функцию безопасности, вы можете отключить её, чтобы использовать менее безопасную одношаговую проверку.

Чтобы отключить двухэтапную проверку, выполните следующие действия:

1. Откройте свою учетную запись Microsoft.
2. Войдите с вашими учетными данными.
3. Перейдите на вкладку Безопасность.
4. Нажмите кнопку Дополнительные параметры безопасности на странице.
5. В разделе Двухэтапная проверка щелкните ссылку Отключить двухэтапную проверку.
6. Нажмите Удалить .

Выполнив эти шаги, вы будете продолжать получать коды безопасности время от времени, и когда Microsoft обнаружит угрозу безопасности вашей учетной записи.

Помимо отключения этой функции, вам также может потребоваться обновить пароль в тех приложениях и службах, которые вы настроили с помощью пароля приложения.