RADIUS-verificatie integreren met Azure Multi-Factor Authentication-server

RADIUS is een standaardprotocol voor het accepteren van verificatieaanvragen en het verwerken van die aanvragen. De Azure Multi-Factor Authentication-server kan optreden als een RADIUS-server. Plaats de server hiervoor tussen uw RADIUS-client (VPN-apparaat) en het verificatiedoel om verificatie in twee stappen toe te voegen. Het verificatiedoel kan Active Directory, een LDAP-adreslijst of een andere RADIUS-server zijn. Voor meervoudige verificatie van Azure moet u de Azure MFA-server zo configureren dat deze kan communiceren met zowel de clientservers als het verificatiedoel. De Azure MFA-server accepteert aanvragen van een RADIUS-client, valideert referenties op basis van het verificatiedoel, voegt Meervoudige Verificatie van Azure toe en stuurt een antwoord terug naar de RADIUS-client. De verificatieaanvraag slaagt alleen als zowel de primaire verificatie als de Meervoudige Verificatie van Azure slaagt.

Belangrijk

In september 2022 kondigde Microsoft de afschaffing van de Azure Multi-Factor Authentication-server aan. Vanaf 30 september 2024 worden implementaties van De Azure Multi-Factor Authentication-server geen meervoudige verificatieaanvragen meer uitgevoerd, waardoor verificaties voor uw organisatie mislukken. Om ononderbroken verificatieservices te garanderen en in een ondersteunde status te blijven, moeten organisaties de verificatiegegevens van hun gebruikers migreren naar de cloudgebaseerde Azure MFA-service met behulp van het meest recente migratiehulpprogramma dat is opgenomen in de meest recente update van de Azure MFA-server. Zie Migratie van Azure MFA-server voor meer informatie.

Zie Zelfstudie: Aanmeldingsgebeurtenissen van gebruikers beveiligen met Microsoft Entra multifactor authentication om aan de slag te gaan met MFA in de cloud.

Als u MFA in de cloud gebruikt, raadpleegt u Uw bestaande NPS-infrastructuur integreren met Meervoudige Verificatie van Azure.

Notitie

De MFA-server ondersteunt alleen PAP (Password Authentication Protocol) en MSCHAPv2 (Microsoft Challenge-Handshake Authentication Protocol) RADIUS-protocollen wanneer deze als RADIUS-server fungeert. Andere protocollen zoals EAP (Extensible Authentication Protocol) kunnen worden gebruikt wanneer de MFA-server fungeert als een RADIUS-proxy naar een andere RADIUS-server die ondersteuning biedt voor dat protocol.

In deze configuratie werken eenzijdige SMS- en OATH-tokens niet omdat de MFA-server geen geslaagd RADIUS Challenge-antwoord met alternatieve protocollen kan starten.

Een RADIUS-client toevoegen

Installeer de Azure Multi-Factor Authentication-server op een Windows-server als u RADIUS-verificatie wilt configureren. Als u een Active Directory-omgeving hebt, moet de server zijn toegevoegd aan het domein in het netwerk. Gebruik de volgende procedure om de Azure Multi-Factor Authentication-server te configureren:

1. Klik in de Azure Multi-Factor Authentication-server in het menu links op het pictogram RADIUS-authenticatie.

2. Schakel het selectievakje RADIUS-verificatie inschakelen in.

3. Wijzig de verificatie- en accountingpoorten op het tabblad Clients als de Azure MFA RADIUS-service naar RADIUS-aanvragen op niet-standaardpoorten moet luisteren.

4. Klik op Toevoegen.

5. Voer het IP-adres in van het apparaat dat of de server die moet worden geverifieerd bij de Azure Multi-Factor Authentication-server, en voeg (optioneel) een toepassingsnaam en een gedeeld geheim toe.

   De naam van de toepassing wordt opgenomen in rapporten en kan worden weergegeven in verificatieberichten via sms of in mobiele apps.

   Het gedeelde geheim moet op de Azure Multi-Factor Authentication-server en het apparaat/de server hetzelfde zijn.

6. Schakel het selectievakje Meervoudige verificatiegebruikersovereenkomst vereisen in als alle gebruikers zijn geïmporteerd in de server en afhankelijk zijn van meervoudige verificatie. Als een groot aantal gebruikers nog niet is geïmporteerd op de server of zijn vrijgesteld van verificatie in twee stappen, laat u het selectievakje uitgeschakeld.

7. Schakel het selectievakje Alternatief OATH-token inschakelen in als u OATH-wachtwoordcodes van mobiele verificatie-apps wilt gebruiken als terugvaloptie.

8. Klik op OK.

Herhaal stap 4 tot en met 8 om het gewenste aantal extra RADIUS-clients toe te voegen.

De RADIUS-client configureren

1. Klik op het tabblad Doel.

   • Als de Azure MFA-server is geïnstalleerd op een server die lid is van een domein in een Active Directory-omgeving, selecteert u Windows-domein.
   • Selecteer LDAP-binding als gebruikers moeten worden geverifieerd aan de hand van een LDAP-adreslijst. Selecteer het pictogram Adreslijstintegratie en bewerk de LDAP-configuratie op het tabblad Instellingen om ervoor te zorgen dat de server verbinding kan maken met uw adreslijst. In de handleiding voor LDAP-proxyconfiguratie vindt u instructies voor de configuratie van LDAP.
   • Als gebruikers moeten worden geverifieerd op basis van een andere RADIUS-server, selecteert u RADIUS-server(s).

2. Klik op toevoegen als u de server waarop de Azure MFA-server de RADIUS-aanvragen een volmacht geeft, wilt configureren.

3. Voer in het dialoogvenster RADIUS-server toevoegen het IP-adres van de RADIUS-server en een gedeeld geheim in.

   Het gedeelde geheim moet op de Azure Multi-Factor Authentication-server en de RADIUS-server hetzelfde zijn. Wijzig de verificatiepoort en accountingpoort als door de RADIUS-server andere poorten worden gebruikt.

4. Klik op OK.

5. Voeg de Azure MFA-server toe als een RADIUS-client op de andere RADIUS-server, opdat toegangsverzoeken afkomstig van de Azure MFA-server kunnen worden verwerkt. Gebruik hetzelfde gedeelde geheim dat ook op de Azure Multi-Factor Authentication-server is geconfigureerd.

Herhaal deze stappen om meer RADIUS-servers toe te voegen. Met de knoppen Omhoog en Omlaag kunt u de volgorde configureren waarin de Azure MFA-server de servers aanroept.

De configuratie van de Azure Multi-Factor Authentication-server is hiermee voltooid. De server luistert nu naar de geconfigureerde poorten voor RADIUS-toegangsverzoeken van de geconfigureerde clients.

RADIUS-clientconfiguratie

Als u de RADIUS-client wilt configureren, gebruikt u de volgende richtlijnen:

• Configureer uw apparaat/server voor verificatie via RADIUS met het IP-adres van de Azure Multi-Factor Authentication-server, dat fungeert als de RADIUS-server.
• Gebruik hetzelfde gedeelde geheim dat eerder is geconfigureerd.
• Configureer de RADIUS-time-out tot 60 seconden, zodat er tijd is om de referenties van de gebruiker te valideren, verificatie in twee stappen uit te voeren, hun antwoord te ontvangen en vervolgens te reageren op de RADIUS-toegangsaanvraag.

Volgende stappen

Leer hoe u integreert met RADIUS-verificatie als u Microsoft Entra-meervoudige verificatie in de cloud hebt.