Nolabnoparty

IT TechPills
Menu
  • Home
  • About
  • Pubblicazioni
  • Virtualizzazione
    • Omnissa
      • App Volumes
      • DEM
      • Horizon
    • Proxmox
    • VMware
      • vSphere
      • vSAN
    • Analyzer
      • Opvizor
      • Runecast
      • Turbonomic
      • vRealize
    • AWS
    • PernixData
    • StarWind
  • Backup
    • Hornetsecurity
    • Iperius
    • Micro Focus
    • Nakivo
    • RecoverPoint
    • Veeam
    • Vinchin
    • Vembu
    • vSphere Replication
  • Microsoft
    • Active Directory
    • Office 365
    • Windows Server
  • Home Lab

VMware Horizon: sicurezza dei login con Azure MFA (estensione NPS)

Paolo Valsecchi 14 Settembre 2021 Nessun commento Reading Time: 4–5 minutes

vmware-horizon-secure-logins-azure-mfa-01

Per aggiungere uno strato extra di sicurezza per gli accessi esterni all'infrastruttura VMware Horizon il processo di login deve essere rafforzato con una soluzione di autenticazione multi-fattore (MFA) come ad esempio Azure MFA.

Nel mercato ci sono diverse soluzioni che forniscono l'MFA, ma Azure MFA è diventato molto popolare poichè la maggior parte delle aziende si appoggiano ai servizi Office 365.

Per sfruttare l'MFA in Azure, è richiesta la licenza Azure AD Premium P1 e Premium P2 o Enterprise Mobility + Security che include il servizio Azure AD Multi-Factor Authentication.

 

Configurare l'ambiente Azure

Effettuare il login al portale Azure utilizzando l'account globale di amministratore.

vmware-horizon-secure-logins-azure-mfa-02

Cliccare sull'icona Azure Active Directory.

vmware-horizon-secure-logins-azure-mfa-03

Nella homepage sotto la voce Overview, annotare il proprio Tenant ID.

vmware-horizon-secure-logins-azure-mfa-04

Per abilitare l'MFA, i security defaults devono essere disabilitati. Posizionarsi nell'area Properties e cliccare sul link Manage Security defaults.

vmware-horizon-secure-logins-azure-mfa-05

Selezionare No nel selettore Enable Security Default.

vmware-horizon-secure-logins-azure-mfa-06

Ritornare nella homepage e selezionare la voce Security.

vmware-horizon-secure-logins-azure-mfa-07

Selezionare l'opzione Conditional Access.

vmware-horizon-secure-logins-azure-mfa-08

Cliccare New policy per aggiungere una nuova policy.

vmware-horizon-secure-logins-azure-mfa-09

Inserire un Name per la nuova policy e cliccare su 0 users and groups selected per aggiungere utenti o gruppi da configurare.

vmware-horizon-secure-logins-azure-mfa-10

Selezionare l'opzione Select users and groups ed abilitare il checkbox Users and groups. Dalla lista sulla destra, selezionare utenti e gruppi da aggiungere e cliccare su Select.

vmware-horizon-secure-logins-azure-mfa-11

Una volta effettuata la selezione, cliccare sul link 0 controls selected.

vmware-horizon-secure-logins-azure-mfa-12

Selezionare Grant access ed abilitare l'opzione Require multi-factor authentication. Abilitare inoltre l'opzione Require one of the selected controls quindi cliccare su Select.

vmware-horizon-secure-logins-azure-mfa-13

Selezionare On nel selettore Enable policy e cliccare su Create.

vmware-horizon-secure-logins-azure-mfa-14

La policy appena creata.

vmware-horizon-secure-logins-azure-mfa-15

 

Installare il Server NPS

Installare un Windows Server 2016/2019 ed effettuare la join del server al dominio di Active Directory (è possibile utilizzare anche un server esistente nella propria infrastruttura). Accedere al Server Manager e cliccare Add roles and features.

vmware-horizon-secure-logins-azure-mfa-16

Cliccare Next.

vmware-horizon-secure-logins-azure-mfa-17

Selezionare Role-based or feature-based installation e cliccare Next.

vmware-horizon-secure-logins-azure-mfa-18

Selezionare Network Policy and Access Services. Automaticamente viene visualizzato il wizard Add Roles and Features. Cliccare Add Features.

vmware-horizon-secure-logins-azure-mfa-19

Verificare che la voce Network Policy and Access Services sia selezionata e cliccare su Next.

vmware-horizon-secure-logins-azure-mfa-20

Cliccare Next.

vmware-horizon-secure-logins-azure-mfa-21

Nuovamente, cliccare su Next.

vmware-horizon-secure-logins-azure-mfa-22

Abilitare Restart the destination server automatically if required e cliccare Yes per confermare.

vmware-horizon-secure-logins-azure-mfa-23

Cliccare Install per procedere con l'installazione del servizio NPS.

vmware-horizon-secure-logins-azure-mfa-24

il ruolo NPS viene installato nel sistema. Il server si riavvierà automaticamente.

vmware-horizon-secure-logins-azure-mfa-25

Una volta che il server si è riavviato, cliccare su Close per uscire dal wizard.

vmware-horizon-secure-logins-azure-mfa-26

Aprire la console del Network Policy Server ed effettuare un click con il tasto destro del mouse sulla voce NPS (local). Selezionare Register server in Active Directory.

vmware-horizon-secure-logins-azure-mfa-27

Cliccare OK per autorizzare.

vmware-horizon-secure-logins-azure-mfa-28

Cliccare OK.

vmware-horizon-secure-logins-azure-mfa-29

Il server NPS deve essere in grado di comunicare con i seguenti URL tramite le porte 80 e 443:

  • https://adnotifications.windowsazure.com
  • https://login.microsoftonline.com
  • https://credentials.azure.com

Per completare il setup utilizzando lo script PowerShell, è richiesta inoltre la connettività con i seguenti URL:

  • https://login.microsoftonline.com
  • https://provisioningapi.microsoftonline.com
  • https://aadcdn.msauth.net
  • https://www.powershellgallery.com
  • https://aadcdn.msftauthimages.net

 

Installa l'estensione NPS per Azure MFA

Scaricare l'NPS Extension for Azure MFA dal Microsoft Download Center e copiarla nel server NPS.

Eseguire setup.exe per installare l'estensione NPS. Accettare l'EULA e cliccare Install.

vmware-horizon-secure-logins-azure-mfa-30

L'estensione Azure MFA viene installata nel sistema.

vmware-horizon-secure-logins-azure-mfa-31

Quando il processo è stato completato, cliccare Close.

vmware-horizon-secure-logins-azure-mfa-32

Per completare l'installazione è necessario eseguire lo Script PowerShell locato nel folder C:\Program Files\Microsoft\AzureMfa\Config. Lo script effettua le seguenti operazioni:

  • Crea un certificato self-signed.
  • Associa la chiave pubblica del certificato con il servizio proncipale in Azure AD.
  • Salva il certificato nella macchina locale nel certificate store.
  • Autorizza l'accesso alla chiave privata del certificato all'Utente Network.
  • Riavvia il servizio NPS.

Aprire la Windows PowerShell as an Administrator e cambiare la directory in C:\Program Files\Microsoft\AzureMfa\Config.

PS C:\> cd "C:\Program Files\Microsoft\AzureMfa\Config"

vmware-horizon-secure-logins-azure-mfa-33

Per eseguire lo script PowerShell, il protocollo TLS 1.2 deve essere abilitato.

PS C:\> [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

vmware-horizon-secure-logins-azure-mfa-34

Eseguire lo script ed autorizzare l'installazione dei moduli richiesti.

PS C:\> .\AzureMfaNpsExtnConfigSetup.ps1

vmware-horizon-secure-logins-azure-mfa-35

Quando viene richiesta l'immissione delle credenziali di amministratore, inserire l'account corretto e cliccare su Next.

vmware-horizon-secure-logins-azure-mfa-36

Inserire la password e cliccare Sign in.

vmware-horizon-secure-logins-azure-mfa-37

Inserire il Tenant ID e premere Enter.

vmware-horizon-secure-logins-azure-mfa-38

Quando la configurazione è stata completata, premere Enter.

vmware-horizon-secure-logins-azure-mfa-39

 

Configurare il client RADIUS in NPS

Quando l'estensione Azure MFA è stata installato correttamente, aprire la console NPS, effettuare un click con il tasto destro del mouse su RADIUS Client sotto la voce RADIUS Clients and Servers e selezionare New.

vmware-horizon-secure-logins-azure-mfa-40

Verificare che l'opzione Enabled this RADIUS client sia attiva. Inserire un Friendly Name per il client RADIUS el l'Address (IP or DNS) dell'UAG utilizzato. Specificare uno Shared secret e cliccare su OK.

vmware-horizon-secure-logins-azure-mfa-41

La policy creata del client RADIUS.

vmware-horizon-secure-logins-azure-mfa-42

Accedere alla sezione Policies > Network Policies. Effettuare un click con il tasto destro del mouse sulla policy Connections to other access servers e selezionare Duplicate Policy.

vmware-horizon-secure-logins-azure-mfa-43

Effettuare un click con il tasto destro del mouse sulla copia appena creata e selezionare Properties.

vmware-horizon-secure-logins-azure-mfa-44

inserire la Policy name, verificare che l'opzione Policy enable sia spuntata e selezionare l'opzione Grant access. Cliccare OK.

vmware-horizon-secure-logins-azure-mfa-45

La nuova policy creata.

vmware-horizon-secure-logins-azure-mfa-46

 

Configurare l'Authenticator

Installare dallo store Apple o Android la versione appropriata del Microsoft Authenticator per il proprio smartphone.

Creare l'account nel Microsoft Authenticator. E' necessario connettersi all'URL https://aka.ms/npsmfa per configurare il dispositivo MFA associato con l'account selezionato.

vmware-horizon-secure-logins-azure-mfa-47

 

Configurar l'Horizon UAG

Tramite il browser preferito, accedere alla pagina di login del proprio UAG, inserire le credenziali di admin e cliccare su Login.

vmware-horizon-secure-logins-azure-mfa-48

Cliccare Select per accedere aslla pagina di configurazione.

vmware-horizon-secure-logins-azure-mfa-49

Cliccare Show in Authentication Settings.

vmware-horizon-secure-logins-azure-mfa-50

Accedere alla pagina di configurazione RADIUS cliccando sulla corrispondente icona delle Impostazioni.

vmware-horizon-secure-logins-azure-mfa-51

Abilitare il protocollo RADIUS, impostare Authentication Type con il valore MSCHAP2 ed inserire il RADIUS Server Host name configurato in precedenza. Cliccare su Save.

vmware-horizon-secure-logins-azure-mfa-52

 

Testare MFA

Tramite il browser preferito, inserire il Public DNS name per connettersi alla propria infrastruttura Horizon e selezionare la modalità di accesso preferita.

vmware-horizon-secure-logins-azure-mfa-53

Inserire le credenziali dell'utente AD configurato per poter utilizzare MFA e cliccare su Login.

vmware-horizon-secure-logins-azure-mfa-54

Dal Microsoft Authenticator è necessario approvare la richiesta di sign-in per permettere all'utente di completare l'operazione di login. Cliccare su Approve.

vmware-horizon-secure-logins-azure-mfa-55

L'utente è stato autorizzato ad accedere ai Dektop Pool e/o alle Applicazioni Horizon permesse.

vmware-horizon-secure-logins-azure-mfa-56

Implementare la funzionalità Azure MFA ai login in VMware Horizon è de facto lo standard applicato alle nuove infrastrutture di desktop virtuali.

signature

Tweet Share Share Pin it WhatsApp Telegram

Related Posts

VMware Horizon: impossibile cancellare VM Folder

VMware Horizon: impossibile cancellare VM Folder

Configurazione FSLogix in VMware Horizon

Configurazione FSLogix in VMware Horizon

VMware Horizon 7: configurazione Instant Clone

VMware Horizon 7: configurazione Instant Clone

VMware Horizon 6 - parte 5 setup Linked-Clone Desktop

VMware Horizon 6 - parte 5 setup Linked-Clone Desktop

Kemp Load Balancer per VMware Horizon configurazione - pt.2

Kemp Load Balancer per VMware Horizon configurazione - pt.2

VMware Horizon 8 2006 novità

VMware Horizon 8 2006 novità

About The Author

Paolo Valsecchi

System Engineer, VCP-DCV, vExpert, VMCE, Veeam Vanguard, PernixPro. Esperienza lavorativa focalizzata su VMware vSphere, Microsoft Active Directory e soluzioni di backup/DR.

awards
  • English
  • Italiano

Buy Me A Coffee

Cerca

x linkedin youtube instagram rssita rsseng

YouTube

Subscribe to my YouTube channel


Backup, Data Protection and DR

NEWSLETTER

Ricevi i nuovi post via email:

PARTNERS

nakivo starwind

Categorie

Archivi

I post più letti

  • Veeam Backup for Microsoft 365 v8.5 rilasciato
    Veeam Backup for Microsoft 365 v8.5 rilasciato
  • Veeam Tape Library errore "VBR isn't current owner"
    Veeam Tape Library errore "VBR isn't current …
  • Aggiornare Omnissa Edge Gateway
    Aggiornare Omnissa Edge Gateway
  • Nakivo v11.2.1 con pieno supporto per Proxmox VE 9.1
    Nakivo v11.2.1 con pieno supporto per Proxmox …
  • Object First Fleet Manager
    Object First Fleet Manager
  • Errore "Device or resource busy" durante la disinstallazione del VIB NVIDIA su VMware ESXi
    Errore "Device or resource busy" durante la …
  • Veeam High Availability Cluster: switchover e disassemble - pt.3
    Veeam High Availability Cluster: switchover e disassemble …
  • Veeam High Availability Cluster: failover e automazione - pt.2
    Veeam High Availability Cluster: failover e automazione …
  • Come configurare Veeam High Availability Cluster - pt.1
    Come configurare Veeam High Availability Cluster - …

Articoli più recenti

  • Veeam Backup for Microsoft 365 v8.5 rilasciato
    Veeam Backup for Microsoft 365 v8.5 rilasciato
  • Veeam Tape Library errore "VBR isn't current owner"
    Veeam Tape Library errore "VBR isn't current owner"
  • Aggiornare Omnissa Edge Gateway
    Aggiornare Omnissa Edge Gateway
  • Nakivo v11.2.1 con pieno supporto per Proxmox VE 9.1
    Nakivo v11.2.1 con pieno supporto per Proxmox VE 9.1
  • Object First Fleet Manager
    Object First Fleet Manager
  • Veeam High Availability Cluster: switchover e disassemble - pt.3
    Veeam High Availability Cluster: switchover e disassemble - pt.3
  • Veeam High Availability Cluster: failover e automazione - pt.2
    Veeam High Availability Cluster: failover e automazione - pt.2
  • Come configurare Veeam High Availability Cluster - pt.1
    Come configurare Veeam High Availability Cluster - pt.1

YOUTUBE


Latest published video

Chi sono

author Mi chiamo Paolo Valsecchi e sono un IT Professional.

Questo blog tratta principalmente tecnologie di virtualizzazione ma anche Active Directory e Networking.

Puoi trovare procedure dettagliate, guide e revisioni dei prodotti.

View my profile on LinkedIn

Seguimi

Nolabnoparty Copyright © 2026.
Advertise | All rights reserved. 
  • English
  • Italiano
Questo sito utilizza i cookie da Google per fornire i suoi servizi, per personalizzare i banner ads e per analizzare il traffico. Consultando questo sito, si accetta l'utilizzo dei cookie.