Opzioni di configurazione avanzate per l'estensione NPS per l'autenticazione a più fattori
L'estensione del Network Policy Server (NPS) espande le funzionalità di autenticazione multifattore di Microsoft Entra basate sul cloud nell'infrastruttura locale. Questo articolo presuppone che l'estensione sia già installata e che ora si voglia sapere come personalizzare l'estensione per le proprie esigenze.
ID di accesso alternativo
Poiché l'estensione NPS si connette sia alle directory locali che a quelle cloud, potresti riscontrare un problema in cui i nomi principali degli utenti locali (UPN) non corrispondono ai nomi nel cloud. Per risolvere questo problema, usare ID di accesso alternativi.
All'interno dell'estensione NPS è possibile designare un attributo di Active Directory da usare come UPN per l'autenticazione a più fattori Di Microsoft Entra. In questo modo è possibile proteggere le risorse locali con la verifica in due passaggi senza modificare gli UPN locali.
Per configurare ID di accesso alternativi, passare a HKLM\SOFTWARE\Microsoft\AzureMfa e modificare i valori del Registro di sistema seguenti:
| Nome | Digitare | Valore predefinito | Descrizione |
|---|---|---|---|
| LDAP_ALTERNATE_LOGINID_ATTRIBUTE | corda | Vuoto | Designare il nome dell'attributo di Active Directory che si vuole usare come UPN. Questo attributo viene usato come attributo AlternateLoginId. Se questo valore del Registro di sistema è impostato su un attributo active Directory valido (ad esempio, mail o displayName), il valore dell'attributo viene usato come UPN dell'utente per l'autenticazione. Se questo valore del Registro di sistema è vuoto o non configurato, AlternateLoginId è disabilitato e l'UPN dell'utente viene usato per l'autenticazione. |
| LDAP_FORCE_GLOBAL_CATALOG | boolean | Falso | Usare questo flag per forzare l'uso del Catalogo globale per le ricerche LDAP durante la ricerca di AlternateLoginId. Configurare un controller di dominio come catalogo globale, aggiungere l'attributo AlternateLoginId al Catalogo globale e quindi abilitare questo flag. Se LDAP_LOOKUP_FORESTS è configurato (non vuoto), questo flag viene applicato come true, indipendentemente dal valore dell'impostazione del Registro di sistema. In questo caso, l'estensione NPS richiede che il Catalogo globale sia configurato con l'attributo AlternateLoginId per ogni foresta. |
| LDAP_LOOKUP_FORESTS | corda | Vuoto | Specificare un elenco delimitato da punti e virgola delle foreste da cercare. Ad esempio, contoso.com; foobar.com. Se questo valore del Registro di sistema è configurato, l'estensione NPS esegue una ricerca iterativa in tutte le foreste nell'ordine in cui sono state elencate e restituisce il primo valore AlternateLoginId trovato con successo. Se questo valore del Registro di sistema non è configurato, la ricerca AlternateLoginId è limitata al dominio corrente. |
Per risolvere i problemi relativi agli ID di accesso alternativi, seguire la procedura consigliata per errori di ID di accesso alternativo.
Eccezioni IP
Se è necessario monitorare la disponibilità del server, ad esempio se i servizi di bilanciamento del carico verificano quali server sono in esecuzione prima di inviare carichi di lavoro, non si vuole che le richieste di verifica blocchino questi controlli. Invece, crea un elenco di indirizzi IP che si sa essere utilizzati dagli account di servizio e disabilita l'autenticazione multifattore per tale elenco.
Per configurare un elenco di indirizzi IP consentiti, passare a HKLM\SOFTWARE\Microsoft\AzureMfa e configurare il valore del Registro di sistema seguente:
| Nome | Digitare | Valore predefinito | Descrizione |
|---|---|---|---|
| LISTA_BIANCA_IP | corda | Vuoto | Specificare un elenco separato da punti e virgola degli indirizzi IP. Includere gli indirizzi IP dei computer in cui hanno origine le richieste di servizio, ad esempio il server NAS/VPN. Gli intervalli IP e le subnet non sono supportati. Ad esempio, 10.0.0.1; 10.0.0.2; 10.0.0.3. |
Nota
Questa chiave del Registro di sistema non viene creata per impostazione predefinita dal programma di installazione e viene visualizzato un errore nel log AuthZOptCh al riavvio del servizio. Questo errore nel log può essere ignorato, ma se questa chiave del Registro di sistema viene creata e lasciata vuota se non è necessaria, il messaggio di errore non viene restituito.
Quando una richiesta proviene da un indirizzo IP presente nella IP_WHITELIST, la verifica in due passaggi viene ignorata. L'elenco ip viene confrontato con l'indirizzo IP fornito nell'attributo ratNASIPAddress della richiesta RADIUS. Se una richiesta RADIUS viene inserita senza l'attributo ratNASIPAddress, viene registrato un avviso: "IP_WHITE_LIST_WARNING::IP Whitelist viene ignorato perché l'indirizzo IP di origine non è presente nell'attributo NasIpAddress della richiesta RADIUS".