Delen via

Microsoft Entra multi-factor authentication Server configureren voor IIS-web-apps

  • Artikel

Gebruik de sectie IIS-verificatie van de MFA-server (Microsoft Entra multifactor authentication) om IIS-verificatie in te schakelen en te configureren voor integratie met Microsoft IIS-webtoepassingen. De Multifactor Authentication-server van Microsoft Entra installeert een invoegtoepassing die aanvragen kan filteren die worden gedaan op de IIS-webserver om Meervoudige Verificatie van Microsoft Entra toe te voegen. De IIS-invoegtoepassing biedt ondersteuning voor Form-Based-verificatie en geïntegreerde Windows HTTP-verificatie. Vertrouwde IP-adressen kunnen ook worden geconfigureerd voor het uitsluiten van interne IP-adressen van tweeledige verificatie.

Belangrijk

In september 2022 kondigde Microsoft de afschaffing van de Azure Multi-Factor Authentication-server aan. Vanaf 30 september 2024 verwerkt de Azure Multi-Factor Authentication Server geen MFA-aanvragen (multifactorauthenticatie) meer, waardoor verificaties voor uw organisatie kunnen mislukken. Om ononderbroken verificatieservices te garanderen en in een ondersteunde status te blijven, moeten organisaties de verificatiegegevens van hun gebruikers migreren naar de cloudgebaseerde Microsoft Entra-verificatieservice met behulp van het meest recente migratiehulpprogramma dat is opgenomen in de meest recente Microsoft Entra multifactor authentication Server-update. Zie Microsoft Entra Multifactor Authentication Server Migrationvoor meer informatie.

Zie Zelfstudie: Aanmeldingsgebeurtenissen van gebruikers beveiligen met Microsoft Entra multifactor authenticationom aan de slag te gaan met MFA in de cloud.

Wanneer u meervoudige verificatie in de cloud van Microsoft Entra gebruikt, is er geen alternatief voor de IIS-invoegtoepassing die wordt geleverd door De MFA-server (MultiFactor Authentication) van Microsoft Entra. Gebruik in plaats daarvan Web Application Proxy (WAP) met Active Directory Federation Services (AD FS) of Microsoft Entra-toepassingsproxy.

IIS-Verificatie in MFA Server

IIS-verificatie met Microsoft Entra multifactor authentication Server gebruiken met behulp van Form-Based IIS-verificatie

Als u een IIS-webtoepassing wilt beveiligen die gebruikmaakt van verificatie op basis van formulieren, installeert u de Multifactor Authentication-server van Microsoft Entra op de IIS-webserver en configureert u de server volgens de volgende procedure:

  1. Selecteer in de Microsoft Entra multifactor-authenticatieserver het pictogram IIS-verificatie in het menu aan de linkerkant.

  2. Selecteer het tabblad formulier-gebaseerde.

  3. Selecteer toevoegen.

  4. Als u automatisch gebruikersnamen, wachtwoorden en domeinvariabelen wilt detecteren, voert u de aanmeldings-URL (zoals https://localhost/contoso/auth/login.aspx) in het dialoogvenster Form-Based Website automatisch configureren in en selecteert u OK-.

  5. Schakel het selectievakje Vereis multifactorauthenticatie voor gebruikers in als alle gebruikers zijn of worden geïmporteerd in de server en onderworpen aan multifactorauthenticatie. Als een aanzienlijk aantal gebruikers nog niet is geïmporteerd in de server en/of wordt uitgesloten van meervoudige verificatie, laat u het selectievakje uitgeschakeld.

  6. Als de paginavariabelen niet automatisch gedetecteerd kunnen worden, selecteer dan Handmatig opgeven in het dialoogvenster Form-Based Website automatisch configureren.

  7. Voer in het dialoogvenster Form-Based Website toevoegen de URL in naar de aanmeldingspagina in het veld URL verzenden en voer een toepassingsnaam in (optioneel). De naam van de toepassing wordt weergegeven in rapporten met meervoudige verificatie van Microsoft Entra en kan worden weergegeven in sms- of mobiele app-verificatieberichten.

  8. Selecteer de juiste aanvraagindeling. Dit is ingesteld op POST- of GET- voor de meeste webtoepassingen.

  9. Voer de gebruikersnaamvariabele, wachtwoordvariabele en domeinvariabele in (als deze wordt weergegeven op de aanmeldingspagina). Als u de namen van de invoervakken wilt vinden, gaat u naar de aanmeldingspagina in een webbrowser, selecteert u met de rechtermuisknop op de pagina en selecteert u Bron weergeven.

  10. Schakel het selectievakje Gebruiker met multifactorauthenticatie van Microsoft Entra vereisen in als alle gebruikers in de server zijn geïmporteerd of worden geïmporteerd en aan multifactorauthenticatie onderworpen zijn. Als een aanzienlijk aantal gebruikers nog niet is geïmporteerd in de server en/of wordt uitgesloten van meervoudige verificatie, laat u het selectievakje uitgeschakeld.

  11. Selecteer Geavanceerde om geavanceerde instellingen te controleren, waaronder:

    • Selecteer een aangepast bestand voor geweigerde pagina
    • Cache geslaagde verificaties voor de website gedurende een bepaalde periode met behulp van cookies
    • Kies of u de primaire referenties wilt authentiseren tegen een Windows-domein of LDAP-directory. of RADIUS-server.

  12. Selecteer OK- om terug te keren naar het dialoogvenster Form-Based Website toevoegen.

  13. Selecteer OK-.

  14. Zodra de URL- en paginavariabelen zijn gedetecteerd of ingevoerd, worden de websitegegevens weergegeven in het deelvenster Form-Based.

Geïntegreerde Windows-verificatie gebruiken met Microsoft Entra multifactor authentication Server

Als u een IIS-webtoepassing wilt beveiligen die gebruikmaakt van geïntegreerde Windows HTTP-verificatie, installeert u de Microsoft Entra-meervoudige verificatieserver op de IIS-webserver en configureert u de server met de volgende stappen:

  1. Selecteer in de Microsoft Entra-multifactorauthenticatieserver het IIS-verificatiepictogram in het linkermenu.
  2. Selecteer het tabblad HTTP-.
  3. Selecteer toevoegen.
  4. Voer in het dialoogvenster Basis-URL toevoegen de URL in voor de website waar HTTP-verificatie wordt uitgevoerd (zoals http://localhost/owa) en geef een toepassingsnaam op (optioneel). De naam van de toepassing wordt weergegeven in rapporten met meervoudige verificatie van Microsoft Entra en kan worden weergegeven in sms- of mobiele app-verificatieberichten.
  5. Pas de time-out voor inactiviteit en maximale sessietijden aan als de standaardwaarde niet voldoende is.
  6. Selecteer het selectievakje Vereist Multi-Factor Authentication-gebruikersovereenkomst als alle gebruikers zijn of worden geïmporteerd in de server en onderworpen aan multifactorauthenticatie. Als een aanzienlijk aantal gebruikers nog niet is geïmporteerd in de server en/of wordt uitgesloten van meervoudige verificatie, laat u het selectievakje uitgeschakeld.
  7. Vink indien gewenst het vakje cookiecache aan.
  8. Selecteer OK-.

IIS-invoegtoepassingen inschakelen voor Microsoft Entra multifactor authentication Server

Nadat u de URL's en instellingen voor Form-Based of HTTP-verificatie hebt geconfigureerd, selecteert u de locaties waar de IIS-invoegtoepassingen voor meervoudige verificatie van Microsoft Entra moeten worden geladen en ingeschakeld in IIS. Gebruik de volgende procedure:

  1. Als deze wordt uitgevoerd op IIS 6, selecteert u het tabblad ISAPI. Selecteer de website waarop de webtoepassing wordt uitgevoerd (bijvoorbeeld standaardwebsite) om de ISAPI-filterinvoegtoepassing voor microsoft Entra-meervoudige verificatie in te schakelen voor die site.
  2. Als deze wordt uitgevoerd op IIS 7 of hoger, selecteert u het tabblad systeemeigen module. Selecteer de server, websites of toepassingen om de IIS-invoegtoepassing op het gewenste niveau in te schakelen.
  3. Selecteer het vak IIS-verificatie inschakelen boven aan het scherm. De geselecteerde IIS-toepassing wordt nu beveiligd met meervoudige verificatie van Microsoft Entra. Zorg ervoor dat gebruikers zijn geïmporteerd in de server.

Vertrouwde IP-adressen

Met de vertrouwde IP-adressen kunnen gebruikers Meervoudige Verificatie van Microsoft Entra omzeilen voor websiteaanvragen die afkomstig zijn van specifieke IP-adressen of subnetten. U kunt bijvoorbeeld gebruikers uitsluiten van Meervoudige Verificatie van Microsoft Entra tijdens het aanmelden bij het kantoor. In dat geval kunt u het office-subnet opgeven als een vermelding voor vertrouwde IP-adressen. Gebruik de volgende procedure om vertrouwde IP-adressen te configureren:

  1. Selecteer in de sectie IIS-verificatie het tabblad Vertrouwde IP-adressen.
  2. Selecteer toevoegen.
  3. Wanneer het dialoogvenster Vertrouwde IP-adressen toevoegen wordt weergegeven, selecteert u het keuzerondje voor enkele IP, IP-bereik, of subnet.
  4. Voer het IP-adres, het bereik van IP-adressen of het subnet in dat moet worden toegestaan. Als u een subnet invoert, selecteert u het juiste Netmasker en selecteert u OK.