다단계 인증을 위한 NPS 확장에 대한 고급 구성 옵션
NPS(네트워크 정책 서버) 확장은 클라우드 기반 Microsoft Entra 다단계 인증 기능을 온-프레미스 인프라로 확장합니다. 이 문서에서는 확장이 이미 설치되어 있으며 이제 필요에 맞게 확장을 사용자 지정하는 방법을 알고 싶다고 가정합니다.
대체 로그인 ID
NPS 확장은 온-프레미스 및 클라우드 디렉터리 모두에 연결되므로 온-프레미스 UPN(사용자 계정 이름)이 클라우드의 이름과 일치하지 않는 문제가 발생할 수 있습니다. 이 문제를 해결하려면 대체 로그인 ID를 사용합니다.
NPS 확장 내에서 Microsoft Entra 다단계 인증을 위한 UPN으로 사용할 Active Directory 특성을 지정할 수 있습니다. 이렇게 하면 온-프레미스 UPN을 수정하지 않고도 2단계 인증을 통해 온-프레미스 리소스를 보호할 수 있습니다.
대체 로그인 ID를 구성하려면 HKLM\SOFTWARE\Microsoft\AzureMfa 이동하여 다음 레지스트리 값을 편집합니다.
| 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| LDAP_ALTERNATE_LOGINID_ATTRIBUTE | 문자열 | 비우다 / 빈 | UPN으로 사용하려는 Active Directory 특성의 이름을 지정합니다. 이 특성은 AlternateLoginId 특성으로 사용됩니다. 이 레지스트리 값이 유효한 Active Directory 특성(예: mail 또는 displayName)로 설정된 경우 특성 값은 인증을 위해 사용자의 UPN으로 사용됩니다. 이 레지스트리 값이 비어 있거나 구성되지 않은 경우 AlternateLoginId가 비활성화되고 사용자의 UPN이 인증에 사용됩니다. |
| LDAP_글로벌_카탈로그_강제 사용 | 불리언 | 거짓 | 이 플래그를 사용하여 AlternateLoginId를 조회할 때 LDAP 검색에 글로벌 카탈로그를 강제로 사용합니다. 도메인 컨트롤러를 글로벌 카탈로그로 구성하고, AlternateLoginId 특성을 글로벌 카탈로그에 추가한 다음, 이 플래그를 사용하도록 설정합니다. LDAP_LOOKUP_FORESTS 구성된 경우(비어 있지 않음) 레지스트리 설정 값에 관계없이 이 플래그가 true적용됩니다. 이 경우 NPS 확장을 사용하려면 각 포레스트의 AlternateLoginId 특성을 사용하여 전역 카탈로그를 구성해야 합니다. |
| LDAP_LOOKUP_FORESTS | 문자열 | 비우다 | 검색할 세미콜론으로 구분된 숲 목록을 제공하십시오. 예를 들어 contoso.com; foobar.com. 이 레지스트리 값이 구성된 경우 NPS 확장은 나열된 순서대로 모든 포리스트를 반복적으로 검색하고 첫 번째 성공적인 AlternateLoginId 값을 반환합니다. 이 레지스트리 값이 구성되지 않은 경우 AlternateLoginId 조회는 현재 도메인으로 제한됩니다. |
대체 로그인 ID 문제를 해결하기 위해서는 대체 로그인 ID 오류에 대한 권장 단계를사용하세요.
지적 재산(IP) 예외
부하 분산 장치가 워크로드를 보내기 전에 실행 중인 서버를 확인하는 경우와 같이 서버 가용성을 모니터링해야 하는 경우 확인 요청이 이러한 검사를 차단하지 않도록 합니다. 대신 서비스 계정에서 사용되는 IP 주소 목록을 만들고 해당 목록에 대한 다단계 인증 요구 사항을 사용하지 않도록 설정합니다.
IP 허용 목록을 구성하려면 HKLM\SOFTWARE\Microsoft\AzureMfa 이동하여 다음 레지스트리 값을 구성합니다.
| 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| IP 주소 허용 목록 | 문자열 | 빈 | IP 주소의 세미콜론으로 구분된 목록을 제공합니다. NAS/VPN 서버와 같이 서비스 요청이 시작되는 컴퓨터의 IP 주소를 포함합니다. IP 범위 및 서브넷은 지원되지 않습니다. 예를 들어 10.0.0.1; 10.0.0.2; 10.0.0.3. |
메모
이 레지스트리 키는 설치 관리자에 의해 기본적으로 만들어지지 않으며 서비스를 다시 시작할 때 AuthZOptCh 로그에 오류가 표시됩니다. 로그의 이 오류는 무시할 수 있지만 이 레지스트리 키가 만들어지고 필요하지 않은 경우 비워 두면 오류 메시지가 반환되지 않습니다.
IP_WHITELIST에 존재하는 IP 주소에서 요청이 들어오면 이중 인증을 건너뜁니다. IP 목록은 RADIUS 요청의 ratNASIPAddress 특성에 제공된 IP 주소와 비교됩니다. ratNASIPAddress 특성 없이 RADIUS 요청이 들어오면 "원본 IP가 RADIUS 요청 NasIpAddress 특성에 없으므로 IP_WHITE_LIST_WARNING::IP 허용 목록이 무시됩니다."라는 경고가 기록됩니다.
다음 단계
- Microsoft Entra 다단계 인증을 위한 NPS 확장의 오류 메시지 해결하기
- REQUIRE_USER_MATCH 사용하여 MFA 등록되지 않은 사용자를 준비합니다.