Microsoft Entra multifactor authenticationServer configureren voor gebruik met AD FS 2.0

Dit artikel is bedoeld voor organisaties die zijn gefedereerd met Microsoft Entra ID en resources willen beveiligen die zich on-premises of in de cloud bevinden. Beveilig uw resources met behulp van de Multifactor Authentication-server van Microsoft Entra en configureer deze voor gebruik met AD FS, zodat verificatie in twee stappen wordt geactiveerd voor eindpunten met hoge waarde.

In deze documentatie wordt beschreven hoe u de Multifactor Authentication-server van Microsoft Entra gebruikt met AD FS 2.0. Zie Cloud- en on-premises resources beveiligen met Microsoft Entra multifactor authentication Server met Windows Servervoor meer informatie over AD FS.

Belangrijk

In september 2022 kondigde Microsoft de afschaffing van de Azure Multi-Factor Authentication-server aan. Vanaf 30 september 2024 ondersteunen implementaties van de Azure Multi-Factor Authentication-server geen meervoudige verificatieaanvragen meer, waardoor verificaties voor uw organisatie kunnen mislukken. Om ononderbroken verificatieservices te garanderen en in een ondersteunde status te blijven, moeten organisaties de verificatiegegevens van hun gebruikers migreren naar de cloudgebaseerde Microsoft Entra-verificatieservice met behulp van het meest recente migratiehulpprogramma dat is opgenomen in de meest recente Microsoft Entra multifactor authentication Server-update. Zie Microsoft Entra Multifactor Authentication Server Migrationvoor meer informatie.

Zie Zelfstudie: Gebruikersaanmeldingen beveiligen met Azure Meervoudige Authenticatie in de cloudom aan de slag te gaan met MFA.

Als u cloudgebaseerde MFA gebruikt, raadpleegt u Cloudresources beveiligen met Meervoudige Verificatie van Azure en AD FS.

Bestaande klanten die MFA Server vóór 1 juli 2019 hebben geactiveerd, kunnen de nieuwste versie, toekomstige updates downloaden en activeringsreferenties genereren zoals gebruikelijk.

AD FS 2.0 beveiligen met een proxy

Als u AD FS 2.0 wilt beveiligen met een proxy, installeert u de Microsoft Entra multifactor authenticationServer op de AD FS-proxyserver.

IIS-verificatie configureren

1. Selecteer in Microsoft Entra multifactor authenticationServer het pictogram IIS-verificatie in het menu links.

2. Selecteer het tabblad formulier-gebaseerde.

3. Selecteer toevoegen.

   

4. Als u automatisch gebruikersnamen, wachtwoorden en domeinvariabelen wilt detecteren, voert u de aanmeldings-URL (zoals https://sso.contoso.com/adfs/ls) in het dialoogvenster Automatisch configureren Form-Based website in en selecteert u OK-.

5. Schakel het selectievakje Azure meervoudige verificatie vereisen in als alle gebruikers zijn of worden geïmporteerd in de server en verplicht zijn tot verificatie in twee stappen. Als een aanzienlijk aantal gebruikers nog niet is geïmporteerd in de server en/of wordt uitgesloten van verificatie in twee stappen, laat u het selectievakje uitgeschakeld.

6. Als de paginavariabelen niet automatisch kunnen worden gedetecteerd, selecteert u de knop Handmatig opgeven... knop in het dialoogvenster Form-Based Website automatisch configureren.

7. Voer in het dialoogvenster Form-Based Website toevoegen de URL in naar de aanmeldingspagina van AD FS in het veld URL verzenden (zoals https://sso.contoso.com/adfs/ls) en voer een toepassingsnaam in (optioneel). De naam van de toepassing wordt weergegeven in rapporten met meervoudige verificatie in Azure en kan worden weergegeven in sms- of mobiele-app-verificatieberichten.

8. Stel de aanvraagindeling in op POST of GET.

9. Voer de gebruikersnaamvariabele (ctl00$ContentPlaceHolder1$UsernameTextBox) en wachtwoordvariabele (ctl00$ContentPlaceHolder1$PasswordTextBox) in. Als op de aanmeldingspagina op basis van een formulier een tekstvak voor een domein wordt weergegeven, voert u ook de domeinvariabele in. Als u de namen van de invoervakken op de aanmeldingspagina wilt vinden, gaat u naar de aanmeldingspagina in een webbrowser, selecteert u met de rechtermuisknop op de pagina en selecteert u Bron weergeven.

10. Schakel het selectievakje Vereisen van Azure meervoudige verificatie in als alle gebruikers zijn of worden geïmporteerd in de server en onderworpen zijn aan tweestapsverificatie. Als een aanzienlijk aantal gebruikers nog niet is geïmporteerd in de server en/of wordt uitgesloten van verificatie in twee stappen, laat u het selectievakje uitgeschakeld.

    

11. Selecteer Geavanceerd... om geavanceerde instellingen te controleren. Instellingen die u kunt configureren, zijn onder andere:

    • Selecteer een aangepast weigeringen-paginabestand
    • Geslaagde verificaties voor de website in de cache opslaan met behulp van cookies
    • Selecteren hoe u de primaire referenties verifieert

12. Omdat de AD FS-proxyserver waarschijnlijk niet aan het domein is toegevoegd, kunt u LDAP gebruiken om verbinding te maken met uw domeincontroller voor het importeren en vooraf verifiëren van gebruikers. Selecteer in het dialoogvenster Advanced Form-Based Website het tabblad Primary Authentication en kies voor het type voorverificatie LDAP Bind.

13. Wanneer u klaar bent, selecteert u OK om terug te keren naar het dialoogvenster Form-Based Website toevoegen.

14. Selecteer OK- om het dialoogvenster te sluiten.

15. Zodra de URL- en paginavariabelen zijn gedetecteerd of ingevoerd, worden de websitegegevens weergegeven in het deelvenster Form-Based.

16. Selecteer het systeemeigen module tabblad en selecteer de server, de website waarop de AD FS-proxy wordt uitgevoerd (zoals "Standaardwebsite") of de AD FS-proxytoepassing (zoals 'ls' onder 'adfs') om de IIS-invoegtoepassing op het gewenste niveau in te schakelen.

17. Selecteer het vak IIS-verificatie inschakelen boven aan het scherm.

De IIS-verificatie is nu ingeschakeld.

Directory-integratie configureren

U hebt IIS-verificatie ingeschakeld, maar als u de verificatie vooraf wilt uitvoeren naar uw Active Directory (AD) via LDAP, moet u de LDAP-verbinding met de domeincontroller configureren.

1. Selecteer het pictogram Directory-integratie.

2. Kies op de tab Instellingen het keuzerondje Specifieke LDAP-configuratie gebruiken.

   

3. Selecteer bewerken.

4. Vul in het dialoogvenster LDAP-configuratie bewerken de velden in met de informatie die nodig is om verbinding te maken met de AD-domeincontroller.

5. Test de LDAP-verbinding door de knop Test te selecteren.

   

6. Als de LDAP-verbindingstest is geslaagd, selecteert u OK.

Bedrijfsinstellingen configureren

1. Selecteer vervolgens het pictogram Bedrijfsinstellingen en selecteer het tabblad Gebruikersnaamomzetting.
2. Selecteer de radioknop Gebruik LDAP-kenmerk unieke id voor overeenkomende gebruikersnamen.
3. Als gebruikers hun gebruikersnaam invoeren in de indeling domein\gebruikersnaam, moet de server het domein van de gebruikersnaam kunnen verwijderen wanneer deze de LDAP-query maakt. Dit kan via een registerinstelling.
4. Open de register-editor en ga naar HKEY_LOCAL_MACHINE/SOFTWARE/Wow6432Node/Positive Networks/PhoneFactor op een 64-bits server. Als u een 32-bits server gebruikt, verwijdert u /Wow6432Node uit het pad. Maak een DWORD-registersleutel met de naam 'UsernameCxz_stripPrefixDomain' en stel de waarde in op 1. Azure-meervoudige verificatie beveiligt nu de AD FS-proxy.

Zorg ervoor dat gebruikers uit Active Directory worden geïmporteerd in de server. Als u wilt toestaan dat gebruikers tweestapsverificatie overslaan van interne IP-adressen, raadpleegt u de vertrouwde IP-adressen.

AD FS 2.0 Direct zonder proxy

U kunt AD FS beveiligen wanneer de AD FS-proxy niet wordt gebruikt. Installeer microsoft Entra multifactor authenticationServer op de AD FS-server en configureer de server volgens de volgende stappen:

1. Selecteer in microsoft Entra multifactor authenticationServer het pictogram IIS-verificatie in het linkermenu.

2. Selecteer het tabblad HTTP-.

3. Selecteer toevoegen.

4. Voer in het dialoogvenster Basis-URL toevoegen de URL in voor de AD FS-website waar HTTP-verificatie wordt uitgevoerd (zoals https://sso.domain.com/adfs/ls/auth/integrated) in het veld Basis-URL. Voer vervolgens een toepassingsnaam in (optioneel). De naam van de toepassing wordt weergegeven in rapporten met meervoudige verificatie in Azure en kan worden weergegeven in sms- of mobiele-app-verificatieberichten.

5. Pas indien gewenst de time-out voor inactiviteit en maximale sessietijden aan.

6. Schakel het selectievakje Meervoudige verificatie van Azure vereisen selectievakje in als alle gebruikers zijn of worden geïmporteerd in de server en onderworpen zijn aan verificatie in twee stappen. Als een aanzienlijk aantal gebruikers nog niet is geïmporteerd in de server en/of wordt uitgesloten van verificatie in twee stappen, laat u het selectievakje uitgeschakeld.

7. Schakel desgewenst het selectievakje cookiecache in.

   

8. Kies OK.

9. Selecteer de systeemeigen module tabblad en selecteer de server, de website (zoals 'Standaardwebsite') of de AD FS-toepassing (zoals 'ls' onder 'adfs') om de IIS-invoegtoepassing op het gewenste niveau in te schakelen.

10. Selecteer het vak IIS-verificatie inschakelen boven aan het scherm.

Azure multifactor authenticatie beveiligt nu AD FS.

Zorg ervoor dat gebruikers uit Active Directory worden geïmporteerd in de server. Zie de volgende sectie als u interne IP-adressen wilt toestaan, zodat verificatie in twee stappen niet vereist is bij het aanmelden bij de website vanaf die locaties.

Vertrouwde IP-adressen

Met vertrouwde IP-adressen kunnen gebruikers Meervoudige Verificatie van Azure omzeilen voor websiteaanvragen die afkomstig zijn van specifieke IP-adressen of subnetten. U kunt bijvoorbeeld gebruikers uitsluiten van verificatie in twee stappen wanneer ze zich aanmelden bij het kantoor. Hiervoor geeft u het office-subnet op als een vermelding voor vertrouwde IP-adressen.

Vertrouwde IP-adressen configureren

1. Selecteer in de sectie IIS-verificatie het tabblad Vertrouwde IP-adressen.
2. Selecteer de knop Toevoegen....
3. Wanneer het dialoogvenster Vertrouwde IP-adressen toevoegen wordt weergegeven, selecteert u een van de keuzerondjes enkele IP, IP-bereikof subnet.
4. Voer het IP-adres, het bereik van IP-adressen of het subnet in dat moet worden toegestaan. Als u een subnet invoert, selecteert u het juiste netmasker en selecteert u de knop OK.