11/11/2023 07:42 Stratégies de requête de connexion | Microsoft Learn

Stratégies de requête de connexion

Article • 06/10/2023

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Vous pouvez utiliser cette rubrique pour apprendre à utiliser des stratégies de demande
de connexion au serveur NPS (Network Policy Server) pour configurer le serveur NPS en
tant que serveur RADIUS, proxy RADIUS ou les deux.

７ Notes

En plus de cette rubrique, la documentation suivante sur la stratégie de demande

de connexion est disponible.

Configurer des stratégies de demande de connexion

Configurer des groupes de serveurs RADIUS distants

Les stratégies de demande de connexion sont des ensembles de conditions et de

paramètres qui permettent aux administrateurs réseau de désigner les serveurs RADIUS
(Remote Authentication Dial-In User Service) qui effectuent l’authentification et
l’autorisation des demandes de connexion que le serveur exécutant le serveur NPS
(Network Policy Server) reçoit des clients RADIUS. Les stratégies de demande de
connexion peuvent être configurées pour désigner les serveurs RADIUS utilisés pour la
gestion des comptes RADIUS.

Vous pouvez créer des stratégies de demande de connexion afin que certains messages
de demande RADIUS envoyés à partir de clients RADIUS soient traités localement (le
serveur NPS est utilisé comme serveur RADIUS) et que d’autres types de messages
soient transférés vers un autre serveur RADIUS (le serveur NPS est utilisé comme proxy
RADIUS).

Avec les stratégies de demande de connexion, vous pouvez utiliser NPS comme serveur
RADIUS ou comme proxy RADIUS, en fonction de facteurs tels que les suivants :

Heure de la journée et jour de la semaine

Nom du domaine dans la demande de connexion
Type de connexion demandé
Adresse IP du client RADIUS

Les messages RADIUS Access-Request sont traités ou transférés par NPS uniquement si
les paramètres du message entrant correspondent à au moins l’une des stratégies de
https://learn.microsoft.com/fr-fr/windows-server/networking/technologies/nps/nps-crp-crpolicies 1/12
11/11/2023 07:42 Stratégies de requête de connexion | Microsoft Learn

demande de connexion configurées sur le serveur NPS (Network Policy Server).

Si les paramètres de stratégie correspondent et que la stratégie exige que le serveur

NPS (Network Policy Server) traite le message, il agit en tant que serveur RADIUS,
authentifiant et autorisant la demande de connexion. Si les paramètres de stratégie
correspondent et que la stratégie nécessite que le serveur NPS (Network Policy Server)
transfère le message, il agit comme un proxy RADIUS et transfère la demande de
connexion à un serveur RADIUS distant pour traitement.

Si les paramètres d’un message RADIUS Access-Request entrant ne correspondent pas à

au moins l’une des stratégies de demande de connexion, un message Access-Reject est
envoyé au client RADIUS et l’utilisateur ou l’ordinateur qui tente de se connecter au
réseau se voit refuser l’accès.

Exemples de configuration
Les exemples de configuration suivants montrent comment utiliser des stratégies de
demande de connexion.

NPS comme serveur RADIUS

La stratégie de demande de connexion par défaut est la seule stratégie configurée. Dans
cet exemple, le serveur NPS (Network Policy Server) est configuré en tant que serveur
RADIUS et toutes les demandes de connexion sont traitées par le serveur NPS local. Le
serveur NPS (Network Policy Server) peut authentifier et autoriser les utilisateurs dont
les comptes se trouvent dans le domaine du domaine NPS et dans les domaines
approuvés.

NPS en tant que proxy RADIUS

La stratégie de demande de connexion par défaut est supprimée et deux nouvelles
stratégies de demande de connexion sont créées pour transférer les demandes vers
deux domaines différents. Dans cet exemple, le serveur NPS (Network Policy Server) est
configuré en tant que proxy RADIUS. Le serveur NPS (Network Policy Server) ne traite
aucune demande de connexion sur le serveur local. Au lieu de cela, il transfère les
demandes de connexion au serveur NPS (Network Policy Server) ou à d’autres serveurs
RADIUS configurés en tant que membres de groupes de serveurs RADIUS distants.

Serveur NPS (Network Policy Server) en tant que serveur

RADIUS et proxy RADIUS
https://learn.microsoft.com/fr-fr/windows-server/networking/technologies/nps/nps-crp-crpolicies 2/12
11/11/2023 07:42 Stratégies de requête de connexion | Microsoft Learn

En plus de la stratégie de demande de connexion par défaut, une nouvelle stratégie de

demande de connexion est créée qui transfère les demandes de connexion à un serveur
NPS (Network Policy Server) ou à un autre serveur RADIUS dans un domaine non
approuvé. Dans cet exemple, la stratégie de proxy apparaît en premier dans la liste
ordonnée des stratégies. Si la demande de connexion correspond à la stratégie de
proxy, la demande de connexion est transférée au serveur RADIUS dans le groupe de
serveurs RADIUS distant. Si la demande de connexion ne correspond pas à la stratégie
de proxy, mais à la stratégie de demande de connexion par défaut, le serveur NPS
(Network Policy Server) traite la demande de connexion sur le serveur local. Si la
demande de connexion ne correspond à aucune des stratégies, elle est ignorée.

Serveur NPS (Network Policy Server) en tant que serveur

RADIUS avec des serveurs de gestion des comptes
distants
Dans cet exemple, le serveur NPS (Network Policy Server) local n’est pas configuré pour
effectuer la gestion des comptes et la stratégie de demande de connexion par défaut
est révisée afin que les messages de gestion des comptes RADIUS soient transférés à un
serveur NPS ou à un autre serveur RADIUS dans un groupe de serveurs RADIUS distant.
Bien que les messages de gestion des comptes soient transférés, les messages
d’authentification et d’autorisation ne sont pas transférés, et le serveur NPS (Network
Policy Server) local exécute ces fonctions pour le domaine local et tous les domaines
approuvés.

Serveur NPS (Network Policy Server) avec Remote

RADIUS to Windows User Mapping
Dans cet exemple, le serveur NPS (Network Policy Server) agit à la fois comme serveur
RADIUS et comme proxy RADIUS pour chaque demande de connexion individuelle en
transférant la demande d’authentification à un serveur RADIUS distant tout en utilisant
un compte d’utilisateur Windows local pour l’autorisation. Cette configuration est
implémentée en configurant l’attribut Remote RADIUS to Windows User Mapping
comme condition de la stratégie de demande de connexion. (En outre, un compte
d’utilisateur doit être créé localement avec le même nom que le compte d’utilisateur
distant sur lequel l’authentification est effectuée par le serveur RADIUS distant.)

Conditions de la stratégie de demande de

connexion
https://learn.microsoft.com/fr-fr/windows-server/networking/technologies/nps/nps-crp-crpolicies 3/12
11/11/2023 07:42 Stratégies de requête de connexion | Microsoft Learn

Les conditions de stratégie de demande de connexion sont un ou plusieurs attributs

RADIUS qui sont comparés aux attributs du message RADIUS Access-Request entrant.
S’il existe plusieurs conditions, toutes les conditions du message de demande de
connexion et de la stratégie de demande de connexion doivent correspondre pour que
la stratégie soit appliquée par le serveur NPS (Network Policy Server).

Voici les attributs de condition disponibles que vous pouvez configurer dans les
stratégies de demande de connexion.

Groupe d’attributs de propriétés de connexion

Le groupe d’attributs de propriétés de connexion contient les attributs suivants.

Protocole encadré. Utilisé pour désigner le type de cadrage des paquets entrants.
Par exemple, le protocole PPP (Point-to-Point), le protocole SLIP (Serial Line
Internet Protocol), Frame Relay et X.25.
Type de service. Utilisé pour désigner le type de service demandé. Les exemples
incluent les connexions encadrées (par exemple, les connexions PPP) et les
connexions (par exemple, les connexions Telnet). Pour plus d’informations sur les
types de service RADIUS, consultez RFC 2865, « Remote Authentication Dial-in
User Service (RADIUS) ».
Type de tunnel. Utilisé pour désigner le type de tunnel en cours de création par le
client demandeur. Les types de tunnel incluent le protocole PPTP (Point-to-Point
Tunneling Protocol) et le protocole L2TP (Layer Two Tunneling Protocol).

Groupe d’attributs des restrictions de jour et d’heure

Le groupe d’attributs des restrictions de jour et d’heure contient l’attribut des
restrictions de jour et d’heure. Avec cet attribut, vous pouvez désigner le jour de la
semaine et l’heure de la tentative de connexion. Le jour et l’heure sont relatifs au jour et
à l’heure du serveur NPS (Network Policy Server).

Groupe d’attributs de passerelle

Le groupe d’attributs de passerelle contient les attributs suivants.

ID de la station appelée. Utilisé pour désigner le numéro de téléphone du serveur

d’accès réseau. Cet attribut est une chaîne de caractères. Vous pouvez utiliser la
syntaxe de correspondance de modèle pour spécifier des indicatifs régionaux.
Identificateur du périphérique NAS (Network Attached Storage). Utilisé pour
désigner le nom du serveur d’accès réseau. Cet attribut est une chaîne de

https://learn.microsoft.com/fr-fr/windows-server/networking/technologies/nps/nps-crp-crpolicies 4/12
11/11/2023 07:42 Stratégies de requête de connexion | Microsoft Learn

caractères. Vous pouvez utiliser la syntaxe de correspondance de modèle pour

spécifier des identificateurs du périphérique NAS (Network Attached Storage).
Adresse IPv4 du périphérique NAS (Network Attached Storage). Utilisé pour
désigner l’adresse IPv4 (Internet Protocol version 4) du serveur d’accès réseau (le
client RADIUS). Cet attribut est une chaîne de caractères. Vous pouvez utiliser la
syntaxe de correspondance de modèle pour spécifier des réseaux IP.
Adresse IPv6 du périphérique NAS (Network Attached Storage). Utilisé pour
désigner l’adresse IPv6 (Internet Protocol version 6) du serveur d’accès réseau (le
client RADIUS). Cet attribut est une chaîne de caractères. Vous pouvez utiliser la
syntaxe de correspondance de modèle pour spécifier des réseaux IP.
Type de port du périphérique NAS (Network Attached Storage). Utilisé pour
désigner le type de média utilisé par le client d’accès. Les exemples sont les lignes
téléphoniques analogiques (appelées asynchrones), le réseau numérique à
intégration de services (ISDN), les tunnels ou les réseaux privés virtuels (VPN), les
réseaux sans fil IEEE 802.11 et Ethernet.

Groupe d’attributs d’identité de l’ordinateur

Le groupe d’attributs d’identité de l’ordinateur contient l’attribut d’identité de
l’ordinateur. À l’aide de cet attribut, vous pouvez spécifier la méthode avec laquelle les
clients sont identifiés dans la stratégie.

Groupe d’attributs des propriétés du client RADIUS

Le groupe d’attributs des propriétés du client RADIUS contient les attributs suivants.

ID de la station appelante. Utilisé pour désigner le numéro de téléphone utilisé

par l’appelant (le client d’accès). Cet attribut est une chaîne de caractères. Vous
pouvez utiliser la syntaxe de correspondance de modèle pour spécifier des
indicatifs régionaux. Dans les authentifications 802.1x, l’adresse MAC est
généralement renseignée et peut être mise en correspondance à partir du client.
Ce champ est généralement utilisé pour les scénarios de contournement d’adresse
Mac lorsque la stratégie de demande de connexion est configurée pour « Accepter
les utilisateurs sans valider les informations d’identification ».
Nom convivial du client. Utilisé pour désigner le nom de l’ordinateur client
RADIUS qui demande l’authentification. Cet attribut est une chaîne de caractères.
Vous pouvez utiliser la syntaxe de correspondance de modèle pour spécifier les
noms des clients.
Adresse IPv4 du client. Utilisé pour désigner l’adresse IPv4 du serveur d’accès
réseau (le client RADIUS). Cet attribut est une chaîne de caractères. Vous pouvez
utiliser la syntaxe de correspondance de modèle pour spécifier des réseaux IP.
https://learn.microsoft.com/fr-fr/windows-server/networking/technologies/nps/nps-crp-crpolicies 5/12
11/11/2023 07:42 Stratégies de requête de connexion | Microsoft Learn

Adresse IPv6 du client. Utilisé pour désigner l’adresse IPv6 du serveur d’accès
réseau (le client RADIUS). Cet attribut est une chaîne de caractères. Vous pouvez
utiliser la syntaxe de correspondance de modèle pour spécifier des réseaux IP.
Fournisseur du client. Utilisé pour désigner le fournisseur du serveur d’accès
réseau qui demande l’authentification. Un ordinateur exécutant le service de
routage et d’accès à distance est le fabricant du périphérique NAS (Network
Attached Storage) Microsoft. Vous pouvez utiliser cet attribut pour configurer des
stratégies distinctes pour différents fabricants de périphériques NAS (Network
Attached Storage). Cet attribut est une chaîne de caractères. Vous pouvez utiliser la
syntaxe de correspondance de modèle.

Groupe d’attributs de nom d’utilisateur

Le groupe d’attributs de nom d’utilisateur contient l’attribut de nom d’utilisateur. À
l’aide de cet attribut, vous pouvez désigner le nom d’utilisateur, ou une partie du nom
d’utilisateur, qui doit correspondre au nom d’utilisateur fourni par le client d’accès dans
le message RADIUS. Cet attribut est une chaîne de caractères qui contient généralement
un nom de domaine et un nom de compte d’utilisateur. Vous pouvez utiliser la syntaxe
de correspondance de modèle pour spécifier les noms des utilisateurs.

Paramètres de stratégie de demande de

connexion
Les paramètres de stratégie de demande de connexion sont un ensemble de propriétés
qui sont appliquées à un message RADIUS entrant. Les paramètres se composent des
groupes de propriétés suivants.

Authentification
Comptabilité
Manipulation d’attributs
Transfert de la requête
Avancé

Les sections suivantes fournissent des détails supplémentaires sur ces paramètres.

Authentification
À l’aide de ce paramètre, vous pouvez remplacer les paramètres d’authentification
configurés dans toutes les stratégies réseau et vous pouvez désigner les méthodes et
les types d’authentification requis pour se connecter à votre réseau.

https://learn.microsoft.com/fr-fr/windows-server/networking/technologies/nps/nps-crp-crpolicies 6/12
11/11/2023 07:42 Stratégies de requête de connexion | Microsoft Learn

） Important

Si vous configurez une méthode d’authentification dans la stratégie de demande

de connexion qui est moins sécurisée que la méthode d’authentification que vous
configurez dans la stratégie réseau, la méthode d’authentification plus sécurisée
que vous configurez dans la stratégie réseau est remplacée. Par exemple, si vous
avez une stratégie réseau qui nécessite l’utilisation de l’authentification extensible
protégée Protocol-Microsoft Challenge Handshake Authentication Protocol version
2 (PEAP-MS-CHAP v2), qui est une méthode d’authentification par mot de passe
pour la connexion sans fil sécurisée, et que vous configurez également une
stratégie de demande de connexion pour autoriser l’accès non authentifié, le
résultat est qu’aucun client n’est tenu de s’authentifier à l’aide de PEAP-MS-CHAP
v2. Dans cet exemple, tous les clients qui se connectent à votre réseau se voient
accorder un accès non authentifié.

Comptabilité
À l’aide de ce paramètre, vous pouvez configurer la stratégie de demande de connexion
pour transférer les informations de gestion des comptes à un serveur NPS (Network
Policy Server) ou à un autre serveur RADIUS dans un groupe de serveurs RADIUS distant
afin que le groupe de serveurs RADIUS distant effectue la gestion des comptes.

７ Notes

Si vous avez plusieurs serveurs RADIUS et que vous souhaitez obtenir des
informations de gestion des comptes pour tous les serveurs stockés dans une base
de données de gestion des comptes RADIUS centrale, vous pouvez utiliser le
paramètre de gestion des comptes de la stratégie de demande de connexion dans
une stratégie sur chaque serveur RADIUS pour transférer les données gestion des
comptes de tous les serveurs vers un serveur NPS (Network Policy Server) ou un
autre serveur RADIUS désigné comme serveur de gestion des comptes.

Les paramètres de gestion des comptes de la stratégie de demande de connexion

fonctionnent indépendamment de la configuration de gestion des comptes du serveur
NPS (Network Policy Server) local. En d’autres termes, si vous configurez le serveur NPS
(Network Policy Server) local pour enregistrer les informations de gestion des comptes
RADIUS dans un fichier local ou dans une base de données Microsoft SQL Server, il le
fait, que vous configuriez ou non une stratégie de demande de connexion pour

https://learn.microsoft.com/fr-fr/windows-server/networking/technologies/nps/nps-crp-crpolicies 7/12
11/11/2023 07:42 Stratégies de requête de connexion | Microsoft Learn

transférer des messages de gestion des comptes à un groupe de serveurs RADIUS

distant.

Si vous souhaitez que les informations de gestion des comptes soient enregistrées à
distance, mais pas localement, vous devez configurer le serveur NPS (Network Policy
Server) local pour ne pas effectuer de gestion des comptes, tout en configurant la
gestion des comptes dans une stratégie de demande de connexion pour transférer les
données de gestion des comptes à un groupe de serveurs RADIUS distant.

Manipulation d’attributs
Vous pouvez configurer un ensemble de règles de recherche et de remplacement qui
manipulent les chaînes de texte de l’un des attributs suivants.

User Name
ID de la station appelée
ID de la station appelante

Le traitement des règles de recherche et de remplacement se produit pour l’un des

attributs précédents avant que le message RADIUS ne soit soumis aux paramètres
d’authentification et de gestion des comptes. Les règles de manipulation d’attributs
s’appliquent uniquement à un seul attribut. Vous ne pouvez pas configurer des règles
de manipulation d’attribut pour chaque attribut. En outre, la liste des attributs que vous
pouvez manipuler est une liste statique. Vous ne pouvez pas ajouter à la liste des
attributs disponibles pour la manipulation.

７ Notes

Si vous utilisez le protocole d’authentification MS-CHAP v2, vous ne pouvez pas

manipuler l’attribut de nom d’utilisateur si la stratégie de demande de connexion
est utilisée pour transférer le message RADIUS. La seule exception se produit
lorsqu’une barre oblique inverse () est utilisée et que la manipulation affecte
uniquement les informations situées à gauche de celle-ci. Une barre oblique
inverse est généralement utilisée pour indiquer un nom de domaine (les
informations à gauche de la barre oblique inverse) et un nom de compte
d’utilisateur dans le domaine (les informations à droite de la barre oblique inverse).
Dans ce cas, seules les règles de manipulation d’attributs qui modifient ou
remplacent le nom de domaine sont autorisées.

Pour obtenir des exemples de manipulation du nom de domaine dans l’attribut de nom
d’utilisateur, consultez la section « Exemples de manipulation du nom de domaine dans

https://learn.microsoft.com/fr-fr/windows-server/networking/technologies/nps/nps-crp-crpolicies 8/12
11/11/2023 07:42 Stratégies de requête de connexion | Microsoft Learn

l’attribut de nom d’utilisateur » dans la rubrique Utiliser des expressions régulières dans
le serveur NPS (Network Policy Server).

Transfert de la requête
Vous pouvez définir les options de demande de transfert suivantes utilisées pour les
messages RADIUS Access-Request :

Authentifier les demandes sur ce serveur. En utilisant ce paramètre, le serveur

NPS (Network Policy Server) utilise un domaine Windows NT 4.0, Active Directory
ou la base de données de comptes d’utilisateur du Gestionnaire de comptes de
sécurité (SAM) locale pour authentifier la demande de connexion. Ce paramètre
spécifie également que la stratégie réseau correspondante configurée dans le
serveur NPS (Network Policy Server), ainsi que les propriétés de numérotation du
compte d’utilisateur, sont utilisées par le serveur NPS pour autoriser la demande
de connexion. Dans ce cas, le serveur NPS (Network Policy Server) est configuré
pour s’exécuter en tant que serveur RADIUS.

Transférer les demandes au groupe de serveurs RADIUS distant suivant. En

utilisant ce paramètre, le serveur NPS (Network Policy Server) transfère les
demandes de connexion au groupe de serveurs RADIUS distant que vous spécifiez.
Si le serveur NPS (Network Policy Server) reçoit un message Access-Accept valide
qui correspond au message Access-Request, la tentative de connexion est
considérée comme authentifiée et autorisée. Dans ce cas, le serveur NPS (Network
Policy Server) agit comme un proxy RADIUS.

Accepter les utilisateurs sans valider les informations d’identification. En utilisant

ce paramètre, le serveur NPS (Network Policy Server) ne vérifie pas l’identité de
l’utilisateur qui tente de se connecter au réseau et le serveur NPS ne tente pas de
vérifier que l’utilisateur ou l’ordinateur a le droit de se connecter au réseau.
Lorsque le serveur NPS (Network Policy Server) est configuré pour autoriser l’accès
non authentifié et qu’il reçoit une demande de connexion, le serveur NPS envoie
immédiatement un message Access-Accept au client RADIUS et l’utilisateur ou
l’ordinateur se voit accorder l’accès réseau. Ce paramètre est utilisé pour certains
types de tunneling obligatoire où le client d’accès est tunnelé avant que les
informations d’identification de l’utilisateur soient authentifiées.

７ Notes

Cette option d’authentification ne peut pas être utilisée lorsque le protocole

d’authentification du client d’accès est MS-CHAP v2 ou EAP-TLS (Extensible
Authentication Protocol-Transport Layer Security), qui fournissent tous deux une
https://learn.microsoft.com/fr-fr/windows-server/networking/technologies/nps/nps-crp-crpolicies 9/12
11/11/2023 07:42 Stratégies de requête de connexion | Microsoft Learn

authentification mutuelle. Dans l’authentification mutuelle, le client d’accès prouve

qu’il s’agit d’un client d’accès valide pour le serveur d’authentification (le serveur
NPS (Network Policy Server)), et le serveur d’authentification prouve qu’il s’agit
d’un serveur d’authentification valide pour le client d’accès. Lorsque cette option
d’authentification est utilisée, le message Access-Accept est retourné. Toutefois, le
serveur d’authentification ne fournit pas de validation au client d’accès et
l’authentification mutuelle échoue.

Pour obtenir des exemples d’utilisation d’expressions régulières pour créer des règles
d’acheminement qui transfèrent des messages RADIUS avec un nom de domaine
spécifié à un groupe de serveurs RADIUS distant, consultez la section « Exemple de
transfert de messages RADIUS par un serveur proxy » dans la rubrique Utiliser des
expressions régulières dans le serveur NPS (Network Policy Server).

Avancé
Vous pouvez définir des propriétés avancées pour spécifier la série d’attributs RADIUS
qui sont les suivants :

Ajout au message de réponse RADIUS lorsque le serveur NPS (Network Policy

Server) est utilisé comme serveur d’authentification ou de gestion des comptes
RADIUS. Quand des attributs sont spécifiés à la fois sur une stratégie réseau et sur
la stratégie de demande de connexion, les attributs envoyés dans le message de
réponse RADIUS sont la combinaison des deux ensembles d’attributs.
Ajouté au message RADIUS lorsque le serveur NPS (Network Policy Server) est
utilisé comme proxy d’authentification ou de gestion des comptes RADIUS. Si
l’attribut existe déjà dans le message transféré, il est remplacé par la valeur de
l’attribut spécifié dans la stratégie de demande de connexion.

En outre, certains attributs disponibles pour la configuration sous l’onglet Paramètres

de la stratégie de demande de connexion dans la catégorie Avancé fournissent des
fonctionnalités spécialisées. Par exemple, vous pouvez configurer l’attribut Remote
RADIUS to Windows User Mapping lorsque vous souhaitez fractionner
l’authentification et l’autorisation d’une demande de connexion entre deux bases de
données de comptes d’utilisateur.

L’attribut Remote RADIUS to Windows User Mapping spécifie que l’autorisation

Windows a lieu pour les utilisateurs qui sont authentifiés par un serveur RADIUS distant.
En d’autres termes, un serveur RADIUS distant effectue l’authentification sur un compte
d’utilisateur dans une base de données de comptes d’utilisateurs distants, mais le
serveur NPS (Network Policy Server) local autorise la demande de connexion sur un

https://learn.microsoft.com/fr-fr/windows-server/networking/technologies/nps/nps-crp-crpolicies 10/12
11/11/2023 07:42 Stratégies de requête de connexion | Microsoft Learn

compte d’utilisateur dans une base de données de comptes d’utilisateur locale. Cela est
utile lorsque vous souhaitez autoriser les visiteurs à accéder à votre réseau.

Par exemple, les visiteurs des organisations partenaires peuvent être authentifiés par
leur propre serveur RADIUS de l’organisation partenaire, puis utiliser un compte
d’utilisateur Windows au sein de votre organisation pour accéder à un réseau local
(LAN) invité sur votre réseau.

Les autres attributs qui fournissent des fonctionnalités spécialisées sont les suivants :

MS-Quarantine-IPFilter et MS-Quarantine-Session-Timeout. Ces attributs sont

utilisés lorsque vous déployez le contrôle de quarantaine d’accès réseau (NAQC)
avec votre déploiement VPN de routage et d’accès à distance.
Passport-User-Mapping-UPN-Suffix. Cet attribut vous permet d’authentifier les
demandes de connexion avec les informations d’identification de compte
d’utilisateur Windows Live™ ID.
Tunnel-Tag. Cet attribut désigne le numéro d’ID de réseau local virtuel auquel la
connexion doit être attribuée par le serveur NAS lorsque vous déployez des
réseaux locaux virtuels (VLAN).

Stratégie de demande de connexion par défaut

Une stratégie de demande de connexion par défaut est créée lorsque vous installez le
serveur NPS (Network Policy Server). Cette stratégie a la configuration suivante.

L’authentification n’est pas configurée.

La gestion des comptes n’est pas configurée pour transférer les informations de
gestion des comptes à un groupe de serveurs RADIUS distant.
L’attribut n’est pas configuré avec des règles de manipulation d’attribut qui
transfèrent les demandes de connexion aux groupes de serveurs RADIUS distants.
La demande de transfert est configurée pour que les demandes de connexion
soient authentifiées et autorisées sur le serveur NPS (Network Policy Server) local.
Les attributs avancés ne sont pas configurés.

La stratégie de demande de connexion par défaut utilise le serveur NPS (Network Policy
Server) comme serveur RADIUS. Pour configurer un serveur exécutant le serveur NPS
(Network Policy Server) en tant que proxy RADIUS, vous devez également configurer un
groupe de serveurs RADIUS distant. Vous pouvez créer un groupe de serveurs RADIUS
distant pendant que vous créez une stratégie de demande de connexion à l’aide de
l’assistant de la nouvelle stratégie de demande de connexion. Vous pouvez supprimer la
stratégie de demande de connexion par défaut ou vérifier que la stratégie de demande

https://learn.microsoft.com/fr-fr/windows-server/networking/technologies/nps/nps-crp-crpolicies 11/12
11/11/2023 07:42 Stratégies de requête de connexion | Microsoft Learn

de connexion par défaut est la dernière stratégie traitée par le serveur NPS (Network
Policy Server) en la plaçant en dernier dans la liste ordonnée des stratégies.

７ Notes

Si le serveur NPS (Network Policy Server) et le service d’accès à distance sont

installés sur le même ordinateur et que le service d’accès à distance est configuré
pour l’authentification et la gestion des comptes Windows, il est possible que les
demandes d’authentification et de gestion des comptes de l’accès à distance soient
transférées à un serveur RADIUS. Cela peut se produire lorsque des demandes
d’authentification et de gestion des comptes d’accès à distance correspondent à
une stratégie de demande de connexion configurée pour les transférer à un groupe
de serveurs RADIUS distant.

https://learn.microsoft.com/fr-fr/windows-server/networking/technologies/nps/nps-crp-crpolicies 12/12