Ověřování pomocí protokolu RADIUS s ID Microsoft Entra

Protokol RADIUS (Remote Authentication Dial-In User Service) je síťový protokol, který zabezpečuje síť povolením centralizovaného ověřování a autorizace uživatelů vytáčených připojení. Mnoho aplikací stále spoléhá na protokol RADIUS k ověřování uživatelů.

Microsoft Windows Server má roli označovanou jako SERVER NPS (Network Policy Server), který může fungovat jako server RADIUS a podporovat ověřování radius.

Microsoft Entra ID umožňuje vícefaktorové ověřování pomocí systémů založených na protokolu RADIUS. Pokud chce zákazník použít vícefaktorové ověřování Microsoft Entra u některé z dříve zmíněných úloh RADIUS, může na server NPS s Windows NPS nainstalovat rozšíření NPS s vícefaktorovým ověřováním Microsoft Entra.

Server NPS s Windows ověřuje přihlašovací údaje uživatele ve službě Active Directory a pak odešle žádost o vícefaktorové ověřování do Azure. Uživatel pak na svém mobilním ověřovacím programu obdrží výzvu. Po úspěšném dokončení se klientská aplikace může připojit ke službě.

Použít, když:

Potřebujete přidat vícefaktorové ověřování do aplikací, jako je například

• virtuální privátní síť (VPN)
• Přístup k Wi-Fi
• Brána vzdálené plochy (RDG)
• Infrastruktura virtuálních klientských počítačů (VDI)
• Všechny ostatní, které závisí na protokolu RADIUS k ověřování uživatelů ve službě.

Poznámka:

Místo toho, abyste se museli spoléhat na radius a rozšíření NPS pro vícefaktorové ověřování Microsoft Entra pro úlohy VPN, doporučujeme upgradovat vpn na SAML (Security Assertion Markup Language) a přímo federovat síť VPN pomocí Microsoft Entra ID. To vaší síti VPN poskytuje úplnou šířku ochrany Microsoft Entra ID, včetně podmíněného přístupu, vícefaktorového ověřování, dodržování předpisů zařízením a služby Microsoft Entra ID Protection.

Součásti systému

• Klientská aplikace (klient VPN): Odešle žádost o ověření klientovi RADIUS.

• Klient RADIUS: Převádí požadavky z klientské aplikace a odesílá je na server RADIUS s nainstalovaným rozšířením NPS.

• Server RADIUS: Připojí se ke službě Active Directory a provede primární ověřování pro požadavek RADIUS. Po úspěchu předá požadavek do rozšíření NPS vícefaktorového ověřování Microsoft Entra.

• Rozšíření NPS: Aktivuje požadavek na vícefaktorové ověřování Microsoft Entra pro sekundární ověřování. V případě úspěchu rozšíření NPS dokončí požadavek na ověření tím, že serveru RADIUS poskytne tokeny zabezpečení, které zahrnují vícefaktorové deklarace identity ověřování vydané službou tokenů zabezpečení Azure.

• Vícefaktorové ověřování Microsoft Entra: Komunikuje s ID Microsoft Entra k načtení podrobností uživatele a k provedení sekundárního ověřování pomocí metody ověření nakonfigurované uživatelem.

Implementace protokolu RADIUS s Microsoft Entra ID

• Poskytování vícefaktorového ověřování Microsoft Entra pomocí NPS

• Konfigurace rozšíření NPS pro vícefaktorové ověřování Microsoft Entra

• VPN s vícefaktorovým ověřováním Microsoft Entra pomocí rozšíření NPS