Actualmente tenemos configurado SSL VPN de Watchguard donde los usuarios se autentican con el AD local.
El AD local tiene Azure AD Connect para sincronizar usuarios con M365/Azure AD.
El MFA ya se usa en M365 y también en la granja RDS local, usamos la extensión de Azure NPS para redirigir las solicitudes de MFA, que provienen de la granja RDS local, a Azure AD.
Ahora, nos gustaría usar MFA también en el VPN SSL. El VPN SSL es usado por usuarios que no usan la granja RDS, sino solo VPN SSL para conectarse a recursos locales como un disco de red y no necesitan una aplicación en la granja RDS. No queremos usar Watchguard Auth Point, solo queremos que los usuarios usen la misma app/método de MS Authenticator que usan para MFA/iniciar sesión en M365/granja RDS para VPN SSL.
Existen artículos sobre cómo configurar SSO de Azure AD para Watchguard/VPN SSL, pero en nuestro caso, el firewall Watchguard está integrado con el AD local para la autenticación.
Entonces, si queremos usar MFA, ¿cómo pasa Watchguard la solicitud de MFA a Azure AD?
¿Tenemos que desconectar la integración del AD local con Watchguard y conectarlo a Azure AD? ¿O cómo pasaría el servidor RADIUS local, que recibe la solicitud de VPN SSL del usuario, a Azure AD?
Para que esto funcione con la granja RDS local, usamos la extensión de Azure NPS, que envía la solicitud de MFA a Azure. ¿Cómo funcionará esto con VPN SSL?
Por curiosidad, le pregunté a ChatGPT y afirma que la misma extensión de Azure NPS puede usarse para enviar las solicitudes de MFA. Prefiero no usar la extensión de NPS ya que tengo la sensación de que MS la eliminará pronto y el proxy de Azure es el camino a seguir para MFA en las granjas RDS locales.
¿Alguien?