Pular para o conteúdo principal

Laboratório Técnico: Configure RADIUS Authentication

Questões

Questão 1 — Múltipla Escolha

Uma empresa precisa autenticar usuários de VPN Point-to-Site (P2S) no Azure usando credenciais corporativas gerenciadas no Microsoft Entra ID, com suporte a políticas de acesso condicional. O gateway de VPN deve delegar a autenticação a um servidor centralizado.

Qual combinação de componentes atende corretamente a esse requisito?

A) Servidor NPS on-premises com extensão NPS para Microsoft Entra ID, integrado ao gateway de VPN via RADIUS

B) Gateway de VPN configurado diretamente com autenticação nativa do Microsoft Entra ID, sem intermediários

C) Servidor NPS on-premises sem extensão, autenticando contra o Active Directory local via LDAP

D) Azure VPN Gateway com autenticação por certificado cliente, usando uma CA raiz corporativa

Questão 2 — Cenário Técnico

Um administrador configurou a extensão NPS para Microsoft Entra ID em um servidor Windows Server 2019 para suportar autenticação multifator (MFA) em conexões VPN. Após a instalação, os usuários relatam que conseguem autenticar com senha, mas o segundo fator nunca é solicitado.

Evento no Log do NPS:
Fonte: IAS
ID do Evento: 6273
Motivo da Falha: 66 (Authentication failed due to user credentials mismatch)

Qual é a causa mais provável desse comportamento?

A) A extensão NPS não está registrada corretamente no locatário do Microsoft Entra ID

B) O atributo NPS Extension for Azure MFA não foi adicionado ao grupo de segurança do usuário

C) O usuário não possui uma licença que habilite o Microsoft Entra MFA atribuída à sua conta

D) O servidor NPS está usando o protocolo PAP em vez de MS-CHAPv2, impedindo o desafio MFA

Questão 3 — Verdadeiro ou Falso

A extensão NPS para Microsoft Entra ID pode ser instalada em qualquer servidor membro do domínio sem requisitos adicionais de conectividade, pois toda a comunicação com o Microsoft Entra ID ocorre de forma síncrona dentro do próprio processo de autenticação RADIUS.

Questão 4 — Cenário Técnico

Uma organização usa um Azure VPN Gateway com autenticação RADIUS delegada a um servidor NPS on-premises. O servidor NPS autentica usuários contra o Active Directory local. Após uma migração de rede, o gateway de VPN passou a operar em uma sub-rede diferente, e os usuários não conseguem mais autenticar.

Topologia após migração:
- VPN Gateway: 10.10.2.4 (sub-rede GatewaySubnet nova)
- Servidor NPS: 10.10.0.5
- Shared secret RADIUS: configurado como "Corp@2024"

O administrador verifica que o servidor NPS está acessível via ping a partir de outras máquinas na mesma VNet. Qual é a causa mais provável da falha?

A) O shared secret RADIUS foi comprometido durante a migração e precisa ser regenerado

B) O cliente RADIUS no servidor NPS ainda está configurado com o endereço IP antigo do gateway de VPN

C) O firewall da sub-rede GatewaySubnet está bloqueando a porta TCP 1812 entre o gateway e o NPS

D) O Azure VPN Gateway não suporta autenticação RADIUS em sub-redes GatewaySubnet recriadas

Questão 5 — Múltipla Escolha

Ao configurar um servidor NPS como proxy RADIUS para encaminhar solicitações a um grupo de servidores RADIUS remotos, qual elemento de configuração determina quais solicitações são encaminhadas e para qual grupo de servidores remotos?

A) O Connection Request Policy, que avalia atributos da solicitação e define o grupo de servidores remotos de destino

B) O Network Policy, que define as condições de acesso e o servidor de destino com base no grupo do usuário

C) O Remote RADIUS Server Group, configurado diretamente como destino global para todas as solicitações recebidas

D) O RADIUS Client, que possui um atributo de encaminhamento apontando para o grupo de servidores remotos

Gabarito e Explicações

Gabarito — Questão 1

Resposta: A

O Azure VPN Gateway suporta autenticação RADIUS para P2S, mas não possui integração direta com o Microsoft Entra ID para aplicar políticas de acesso condicional. O fluxo correto exige um servidor NPS on-premises que receba as requisições RADIUS do gateway e as encaminhe ao Microsoft Entra ID por meio da extensão NPS. Essa extensão é o componente que injeta o desafio MFA e permite que o Entra ID valide as credenciais.

A alternativa B descreve a autenticação nativa do Microsoft Entra ID para P2S, que usa certificados e OpenID Connect, não RADIUS. A alternativa C autentica localmente, sem envolver o Entra ID. A alternativa D usa PKI, não RADIUS, e não aplica políticas do Entra ID.

Gabarito — Questão 2

Resposta: A

Quando a extensão NPS não está registrada corretamente no locatário do Microsoft Entra ID, ela não consegue se comunicar com o serviço de MFA. O comportamento resultante é que a autenticação de primeiro fator (senha via AD local) é bem-sucedida, mas a extensão falha silenciosamente ao tentar acionar o MFA, permitindo o acesso sem o segundo fator ou gerando falhas inconsistentes.

A alternativa C é um equívoco comum: a ausência de licença geraria uma falha na etapa de MFA, não um bypass. A alternativa D é tecnicamente relevante em outros contextos, mas o protocolo PAP, embora não recomendado, não impede o acionamento do MFA pela extensão. A alternativa B não representa um conceito real de configuração da extensão NPS.

Gabarito — Questão 3

Resposta: Falso

A extensão NPS para Microsoft Entra ID requer conectividade de saída com os endpoints do serviço de MFA da Microsoft na internet (especificamente os endpoints login.microsoftonline.com e os endpoints de autenticação do Entra ID). A comunicação não é síncrona interna ao processo RADIUS: a extensão intercepta a requisição RADIUS após a validação da senha e realiza uma chamada assíncrona ao Microsoft Entra ID para completar o segundo fator antes de retornar o resultado ao NPS. Bloquear essa conectividade de saída interrompe completamente o fluxo de MFA, independentemente da configuração local estar correta.

Gabarito — Questão 4

Resposta: B

O servidor NPS mantém uma lista de clientes RADIUS identificados por endereço IP. O Azure VPN Gateway se identifica como cliente RADIUS usando seu IP ao enviar requisições de autenticação. Após a migração, o gateway passou a usar o novo endereço 10.10.2.4, mas o servidor NPS ainda espera requisições do IP antigo. Como o NPS não reconhece o novo IP como cliente autorizado, ele descarta silenciosamente as requisições.

A alternativa C é plausível, mas o RADIUS usa UDP, não TCP (portas 1812 para autenticação e 1813 para accounting). A alternativa D é incorreta: o Azure VPN Gateway suporta RADIUS independentemente da sub-rede do gateway. A alternativa A não possui relação causal com a migração de IP.

Gabarito — Questão 5

Resposta: A

No NPS operando como proxy RADIUS, a Connection Request Policy é o mecanismo que avalia condições da solicitação recebida (como endereço IP do cliente RADIUS, horário, atributos específicos) e determina o encaminhamento para um Remote RADIUS Server Group configurado. É a separação entre a política de roteamento da requisição e o grupo de destino que torna o proxy flexível.

A alternativa B descreve a Network Policy, que define permissões de acesso, não encaminhamento. A alternativa C está errada porque o Remote RADIUS Server Group é apenas o destino; ele não contém lógica de seleção. A alternativa D não existe como funcionalidade: o RADIUS Client é a definição de quem pode enviar requisições ao NPS, não um roteador de encaminhamento.