Configurer la MFA pour le VPN

UserLock applique l’authentification multifacteur (MFA) aux connexions VPN grâce à son intégration avec le Microsoft Network Policy Server (NPS).

Deux configurations principales sont possibles selon votre environnement VPN :

• VPN prenant en charge RADIUS Challenge :
  La MFA est appliquée directement via un flux RADIUS standard.

• VPNs prenant en charge RADIUS authentication and accounting :
  Les solutions telles que Microsoft Routing and Remote Access Service (RRAS) peuvent utiliser plusieurs méthodes pour gérer la MFA, selon votre configuration et les objectifs d’expérience utilisateur. L’approche la plus fluide consiste à utiliser UserLock VPN Connect, un client dédié qui gère automatiquement les demandes MFA pour les connexions RRAS.

Le tableau ci-dessous résume les méthodes disponibles et leur niveau d’ergonomie :

1. Dans la console UserLock, ouvrez Environnement ▸ Ordinateurs.

2. Repérez votre serveur NPS, puis cliquez sur Installer dans la colonne Agent NPS.

   

   
   

3. Redémarrez les services RemoteAccess et IAS sur le serveur NPS.

4. Connectez-vous une fois au VPN et vérifiez que la session VPN de l’utilisateur apparaît dans la page Activité de la console UserLock..

Cela confirme que l’agent NPS est correctement installé et communique avec le service UserLock.

Pour plus d’informations, consultez le guide installer l’agent NPS.

Pour appliquer la MFA sur les connexions VPN, créez une nouvelle stratégie d’accès.

1. Ouvrez la console UserLock et allez sur Stratégies d'accès ▸ Ajouter une stratégie.

2. Suivez les étapes décrites dans la section Configurer une stratégie d’accès jusqu'à la sélection du type de stratégie.

3. Choisissez Authentification multi-facteur pour ouvrir le formulaire de stratégie MFA.
   

   

4. Définissez Application MFA sur Activée.

5. Choisissez le mode de configuration :

   • Global (mêmes paramètres pour tous les types de sessions)

   • Par type de session (recommandé, afin de configurer la MFA séparément pour les connexions VPN).

6. Configurez les règles de session VPN :

   • Type de connexion : appliquer la MFA à toutes les connexions VPN, uniquement aux connexions distantes, ou uniquement depuis des adresses IP externes.

   • Fréquence MFA : choisir la fréquence d’exigence MFA (à chaque connexion, à la première connexion du jour, lors d’une connexion depuis une nouvelle IP, etc.).

7. Enregistrez les règles.
   → La stratégie est désormais active et appliquera la MFA sur les connexions VPN.

Les VPN prenant en charge RADIUS Challenge affichent une seconde invite MFA après la saisie des identifiants.
RADIUS authentification et accounting doivent toutes deux utiliser le serveur NPS, avec le protocole PAP activé.

1. Dans la console UserLock ▸ Paramètres du serveur ▸ Avancé ▸ Authentification multifacteur, définissez : MFA VPN Challenge = True

2. Assurez-vous que votre serveur VPN utilise PAP comme protocole d’authentification.

1. L’utilisateur se connecte au VPN et saisit ses identifiants.

   

   
   

2. Une seconde invite demande le code OTP ou la validation Push.

   

   
   

3. L’accès est accordé après validation MFA réussie.

Pour les serveurs Microsoft RRAS ou les serveurs VPN compatibles avec le client VPN Microsoft, vous pouvez utiliser l’application UserLock VPN Connect fournit un flux MFA intégré et fluide, avec inscription automatique.

1. Déployez l’application VPN Connect sur les postes clients.

2. Installez le module UserLock MFA IIS pour permettre l'inscription à distance.

3. Configurez le serveur RRAS pour utiliser l’authentification RADIUS avec votre serveur NPS.

• Lors de la première connexion VPN, l’application détecte l’absence d’inscription et ouvre la page d’enrôlement MFA de UserLock (module IIS MFA).
  
  

  

  
  

• L’utilisateur choisit sa méthode d’authentification (Push ou OTP).

• Lors des connexions suivantes, la demande MFA apparaît automatiquement (validation Push ou saisie du code OTP).
  

  

Lorsque MS-CHAPv2 est utilisé, les utilisateurs peuvent ajouter leur code MFA directement dans le champ Nom d’utilisateur.

1. Vérifiez qu’une stratégie active autorise l’accès VPN aux utilisateurs concernés.

   

   

2. Ajoutez le groupe Active Directory approprié dans la section Conditions.

   

• Type de connexion : Automatique

• Méthode d’authentification : MS-CHAPv2

Lors de la connexion, les utilisateurs doivent saisir :

• Nom d’utilisateur: DOMAIN\user,123456

• Mot de passe: password

Si le VPN utilise PAP, le code MFA doit être ajouté au champ Mot de passe.

1. Sur le serveur NPS : sélectionnez uniquement Authentification non chiffrée (PAP, SPAP).

   

2. Dans RRAS :

   • Configurez une clé prépartagée pour L2TP.

     

   • Sélectionnez PAP comme méthode d’authentification.

     

• Type de connexion : L2TP avec IPSec

• Entrez la clé partagée.

• Authentification : PAP

  

Lors de la connexion, les utilisateurs doivent saisir :

• Nom d’utilisateur : <Domain>\<username>

• Mot de passe : <password>,<MFA code>

Lorsque vous utilisez la MFA Push avec VPN RRAS, le délai du client VPN et le délai RADIUS du serveur doivent être supérieurs au délai MFA défini dans UserLock.
Cela garantit que la connexion VPN reste active le temps que l’utilisateur valide la notification push.

• Délai côté client VPN (Microsoft VPN)

  Sur le poste client, modifiez la clé de registre suivante :

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\MaxConfigure

  • Type : REG_DWORD

  • Valeur : délai en secondes (par défaut : 10)

    

• Délai côté serveur RADIUS (RRAS)

  Sur le serveur RRAS, le délai RADIUS peut être configuré dans les paramètres du serveur RADIUS.

  

  

  Note

  Si le serveur NPS est installé en local, il ne peut pas être modifié dans la console d'administration RRAS.

Après l’activation de la MFA pour les connexions VPN, il est possible que les utilisateurs soient à nouveau invités à saisir leurs identifiants lorsqu’ils accèdent à des dossiers partagés via VPN.

Pour éviter cela :

1. Sur le poste client, ouvrez :

   %USERPROFILE%\AppData\Roaming\Microsoft\Network\Connections\Pbk

2. Modifiez le fichier rasphone.pbk.

3. Dans la section correspondant à la connexion VPN, définissez la valeur suivante :

   UseRasCredentials=0

UserLock applique la MFA sur les connexions VPN en s’intégrant au service Microsoft Network Policy Server (NPS).

Selon la configuration de votre VPN, la MFA peut être appliquée de deux manières :

• RADIUS Challenge — Option recommandée pour les clients VPN compatibles. Après avoir saisi leurs identifiants, les utilisateurs sont invités à confirmer leur identité avec un code OTP.

• Méthode RRAS — Pour les connexions VPN Microsoft (L2TP, SSTP, PPTP). Les utilisateurs saisissent leur code MFA directement dans le champ du nom d’utilisateur ou du mot de passe.

Avant de configurer la MFA pour les connexions VPN :

• ✅️ Un serveur NPS disposant du dernier agent NPS UserLock.

• ✅️ RADIUS Challenge : les connexions VPN doivent être gérées par un serveur VPN compatible RADIUS Challenge, avec l’authentification RADIUS et la comptabilité RADIUS configurées vers le serveur NPS.
  Le protocole d’authentification requis est PAP.

• ✅️ Les utilisateurs doivent être enrôlés pour la MFA avant de se connecter (sauf s’ils utilisent l’application VPN Connect avec RRAS).

1. Ouvrez la console UserLock.

2. Dans la page Environnement ▸ Machines, repérez la ligne correspondant au serveur NPS.
   Dans la colonne Agents NPS, ouvrez le menu et cliquez sur Installer.

   

3. Redémarrez les services RemoteAccess et IAS sur le serveur NPS (Plus d’informations ici)

4. Avant d’activer la MFA, connectez-vous au VPN et vérifiez que la session VPN de l’utilisateur est visible dans la console UserLock.

Pour appliquer la MFA sur les connexions VPN, créez une nouvelle stratégie d’accès.

👉️ Suivez les étapes décrites dans Configurer une stratégie d’accès jusqu’à la sélection du type de stratégie.
À cette étape, choisissez Authentification multifacteur.

Vous arrivez alors sur le formulaire des règles MFA:

1. Définissez Application MFA sur Activée.

2. Choisissez le mode de configuration :

   • Global (mêmes paramètres pour tous les types de sessions)

   • Par type de session (recommandé, afin de configurer la MFA séparément pour les connexions VPN).

3. Configurez les règles de session VPN :

   • Type de connexion : appliquer la MFA à toutes les connexions VPN, uniquement aux connexions distantes, ou uniquement depuis des adresses IP externes.

   • Fréquence MFA : choisir la fréquence d’exigence MFA (à chaque connexion, à la première connexion du jour, lors d’une connexion depuis une nouvelle IP, etc.).

4. Enregistrez les règles.
   → La stratégie est désormais active et appliquera la MFA sur les connexions VPN.

Si votre solution VPN prend en charge RADIUS Challenge, cette méthode offre la meilleure expérience utilisateur.

• OpenVPN

• Palo Alto

• Fortinet

• Pulse Secure Connect Secure SSL

1. Dans la console UserLock, ouvrez Paramètres du serveur ▸ Paramètres avancés ▸ section Authentification multifacteur.

2. Définissez MFA VPN challenge sur True.
   → Cela active le RADIUS Challenge pour toutes les connexions VPN protégées par UserLock MFA.

1. L’utilisateur se connecte au VPN et saisit ses identifiants.

   

2. Une seconde invite lui demande de saisir son code OTP.

   

3. La connexion VPN est établie après validation MFA réussie.

Si vous utilisez le service Microsoft Routing and Remote Access Service (RRAS) pour votre serveur VPN, ou un VPN non compatible avec RADIUS Challenge, le mot de passe à usage unique (OTP) de la MFA peut être géré de deux manières: manuellement (en l’ajoutant dans le champ du nom d’utilisateur ou du mot de passe) ou automatiquement (via l’application UserLock VPN Connect).

UserLock VPN Connect simplifie l’authentification MFA pour les connexions RRAS.

Lorsqu’un utilisateur se connecte pour la première fois et que l’enrôlement MFA est requis :

1. L’application détecte l’absence d’enrôlement et affiche une fenêtre d’inscription.

2. En cliquant sur S’enregistrer, l’utilisateur est redirigé vers la page web d’enrôlement MFA UserLock (IIS).

3. L’utilisateur choisit sa méthode d’authentification préférée (Push ou TOTP).

Une fois inscrit, les invites MFA s’affichent automatiquement lors des futures connexions VPN :

• Pour Push, l’utilisateur approuve directement la demande.

• Pour TOTP, il saisit le code affiché dans son application d’authentification.

🔗️ Pour les étapes détaillées d’installation, voir Installer VPN Connect pour la MFA.

Sur le serveur NPS :

• Vérifiez qu’une stratégie active autorise l’accès VPN aux utilisateurs concernés.

  

  

• Ajoutez le groupe Active Directory approprié dans la section Conditions.

  

Sur le client VPN :

• Type de connexion : Automatique

• Méthode d’authentification : MS-CHAPv2

  

L’utilisateur doit saisir :

Nom d’utilisateur : <Domaine>\<nom_utilisateur>,<code_MFA>
Mot de passe : <mot_de_passe>

✅️ Séparez le nom d’utilisateur et le code MFA par une virgule.
💡️ Saisissez le code MFA en dernier car il change régulièrement.
🔑️ Pour les tokens TOTP/HOTP, tapez la virgule, puis appuyez sur la clé pour insérer le code OTP.

Utilisez le protocole PAP uniquement si le trafic VPN est déjà chiffré (ex. : L2TP/IPSec ou SSTP).

• Sur le serveur NPS : sélectionnez uniquement Authentification non chiffrée (PAP, SPAP).

  

• Dans RRAS :

• Configurez une clé prépartagée pour L2TP.

• Sélectionnez PAP comme méthode d’authentification.

  

Sur le client VPN :

• Type de connexion : L2TP avec IPSec

• Entrez la clé prépartagée.

• Authentification : PAP

  

Nom d’utilisateur : <Domaine>\<nom_utilisateur>
Mot de passe : <mot_de_passe>,<code_MFA>

Lorsque vous utilisez la MFA Push avec VPN RRAS, le délai du client VPN et le délai RADIUS du serveur doivent être supérieurs au délai MFA défini dans UserLock.
Cela garantit que la connexion VPN reste active le temps que l’utilisateur valide la notification push.

• Délai côté client VPN (Microsoft VPN)

  Sur le poste client, modifiez la clé de registre suivante :

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\MaxConfigure

  • Type : REG_DWORD

  • Valeur : délai en secondes (par défaut : 10)

    

• Délai côté serveur RADIUS (RRAS)

  Sur le serveur RRAS, le délai RADIUS peut être configuré dans les paramètres du serveur RADIUS.

  

  

  Note

  Si le serveur NPS est installé en local, il ne peut pas être modifié dans la console d'administration RRAS.