Integrowanie uwierzytelniania RADIUS z serwerem uwierzytelniania wieloskładnikowego Microsoft Entra.

RADIUS to standardowy protokół do akceptowania żądań uwierzytelniania i przetwarzania tych żądań. Serwer uwierzytelniania wieloskładnikowego firmy Microsoft może działać jako serwer RADIUS. Wstaw go między klientem USŁUGI RADIUS (urządzeniem sieci VPN) i obiektem docelowym uwierzytelniania, aby dodać weryfikację dwuetapową. Elementem docelowym uwierzytelniania może być usługa Active Directory, katalog LDAP lub inny serwer RADIUS. Aby uwierzytelnianie wieloskładnikowe platformy Azure działało, należy skonfigurować serwer uwierzytelniania wieloskładnikowego firmy Microsoft, aby mógł komunikować się zarówno z serwerami klienckimi, jak i docelowym uwierzytelnianiem. Serwer uwierzytelniania wieloskładnikowego Microsoft Entra akceptuje żądania od klienta RADIUS, weryfikuje poświadczenia względem docelowego uwierzytelniania, dodaje uwierzytelnianie wieloskładnikowe Azure i wysyła odpowiedź z powrotem do klienta RADIUS. Żądanie uwierzytelniania powiedzie się tylko wtedy, gdy uwierzytelnianie podstawowe i uwierzytelnianie wieloskładnikowe platformy Azure powiedzie się.

Ważny

We wrześniu 2022 r. firma Microsoft ogłosiła wycofanie serwera usługi Azure Multi-Factor Authentication. Począwszy od 30 września 2024 r., wdrożenia serwera usługi Azure Multi-Factor Authentication nie obsługują już żądań uwierzytelniania wieloskładnikowego, co może prowadzić do niepowodzeń uwierzytelnień w organizacji. Aby zapewnić nieprzerwane usługi uwierzytelniania i pozostać w obsługiwanym stanie, organizacje powinny migrować dane uwierzytelniania użytkowników do opartej na chmurze usługi uwierzytelniania wieloskładnikowego firmy Microsoft Entra przy użyciu najnowszego narzędzia migracji zawartego w najnowszej aktualizacji serwera uwierzytelniania wieloskładnikowego firmy Microsoft. Aby uzyskać więcej informacji, zobacz Microsoft Entra multifactor authentication Server Migration.

Aby rozpocząć pracę z uwierzytelnianiem wieloskładnikowym opartym na chmurze, zobacz Tutorial: Secure user sign-in events with Microsoft Entra multifactor authentication(Samouczek: zabezpieczanie zdarzeń logowania użytkowników przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft Entra).

Jeśli używasz uwierzytelniania wieloskładnikowego opartego na chmurze, zobacz Integrowanie istniejącej infrastruktury serwera NPS z uwierzytelnianiem wieloskładnikowym platformy Azure.

Notatka

Serwer MFA obsługuje tylko protokoły RADIUS PROTOKOŁU PAP (uwierzytelniania haseł) i MSCHAPv2 (Challenge-Handshake Authentication Protocol) firmy Microsoft podczas działania jako serwer RADIUS. Inne protokoły, takie jak protokół EAP (rozszerzalny protokół uwierzytelniania), mogą być używane, gdy serwer MFA działa jako serwer proxy RADIUS na inny serwer RADIUS, który obsługuje ten protokół.

W tej konfiguracji jednokierunkowe tokeny SMS i OATH nie działają, ponieważ serwer MFA nie może zainicjować pomyślnej odpowiedzi na żądanie usługi RADIUS przy użyciu alternatywnych protokołów.

Uwierzytelnianie usługi

Dodawanie klienta usługi RADIUS

Aby skonfigurować uwierzytelnianie usługi RADIUS, zainstaluj serwer uwierzytelniania wieloskładnikowego firmy Microsoft na serwerze z systemem Windows. Jeśli masz środowisko usługi Active Directory, serwer powinien zostać przyłączony do domeny w sieci. Poniższa procedura umożliwia skonfigurowanie serwera uwierzytelniania wieloskładnikowego firmy Microsoft:

1. W serwerze uwierzytelniania wieloskładnikowego Microsoft Entra wybierz ikonę Uwierzytelnianie RADIUS w menu po lewej stronie.

2. Zaznacz pole wyboru Włącz uwierzytelnianie RADIUS.

3. Na karcie Klienci zmień porty uwierzytelniania i rozliczeń, jeśli usługa Microsoft Entra dla uwierzytelniania wieloskładnikowego RADIUS musi nasłuchiwać żądań RADIUS na niestandardowych portach.

4. Wybierz pozycję Dodaj.

5. Wprowadź adres IP urządzenia/serwera, który będzie się uwierzytelniał na serwerze uwierzytelniania wieloskładnikowego Microsoft Entra, nazwę aplikacji (opcjonalnie) i wspólny tajny klucz.

   Nazwa aplikacji jest wyświetlana w raportach i może być wyświetlana w wiadomościach uwierzytelniania wiadomości SMS lub aplikacji mobilnej.

   Wspólny tajny klucz musi być taki sam zarówno na serwerze Microsoft Entra uwierzytelniania wieloskładnikowego, jak i na urządzeniu/serwerze.

6. Zaznacz pole Wymagaj dopasowania użytkownika do uwierzytelniania wieloskładnikowego, jeśli wszyscy użytkownicy zostali zaimportowani do serwera i podlegają uwierzytelnieniu wieloskładnikowemu. Jeśli znaczna liczba użytkowników nie została zaimportowana do serwera lub jest wykluczonych z weryfikacji dwuetapowej, pozostaw pole niezaznaczone.

7. Zaznacz pole Włącz rezerwowy token OATH, jeśli chcesz używać kodów dostępu OATH z aplikacji weryfikacji mobilnej jako metody tworzenia kopii zapasowej.

8. Wybierz pozycję OK.

Powtórz kroki od 4 do 8, aby dodać dowolną liczbę dodatkowych klientów usługi RADIUS.

Konfigurowanie klienta usługi RADIUS

1. Wybierz zakładkę Docelowa .

   • Jeśli Microsoft Entra serwer uwierzytelniania wieloskładnikowego jest zainstalowany na serwerze przyłączonym do domeny w środowisku usługi Active Directory, wybierz domenę systemu Windows.
   • Jeśli użytkownicy powinni być uwierzytelniani w katalogu LDAP, wybierz wiązanie LDAP. Wybierz ikonę Integracji katalogów i zmodyfikuj konfigurację LDAP na karcie Ustawienia, aby serwer mógł połączyć się z twoim katalogiem. Instrukcje dotyczące konfigurowania protokołu LDAP można znaleźć w przewodniku konfiguracji serwera proxy ldap .
   • Jeśli użytkownicy powinni być uwierzytelniani przez inny serwer RADIUS, wybierz serwer RADIUS.

2. Wybierz pozycję Dodaj, aby skonfigurować serwer, do którego serwer uwierzytelniania wieloskładnikowego Microsoft Entra będzie przekazywać żądania RADIUS.

3. W oknie dialogowym Dodawanie serwera RADIUS wprowadź adres IP serwera RADIUS i wspólny klucz tajny.

   Wspólny sekret musi być identyczny zarówno na serwerze Microsoft Entra do uwierzytelniania wieloskładnikowego, jak i na serwerze RADIUS. Zmień port uwierzytelniania i port ewidencjonowania aktywności, jeśli różne porty są używane przez serwer RADIUS.

4. Wybierz pozycję OK.

5. Dodaj serwer uwierzytelniania wieloskładnikowego firmy Microsoft jako klienta RADIUS na innym serwerze RADIUS, aby mógł przetwarzać żądania dostępu wysyłane do niego z serwera uwierzytelniania wieloskładnikowego firmy Microsoft. Użyj tego samego wspólnego sekretu skonfigurowanego na serwerze uwierzytelniania wieloskładnikowego Microsoft Entra.

Powtórz te kroki, aby dodać więcej serwerów RADIUS. Skonfiguruj kolejność, w jakiej serwer Microsoft Entra do uwierzytelniania wieloskładnikowego ma ich wywoływać, używając przycisków Przenieś w górę oraz Przenieś w dół.

Pomyślnie skonfigurowano serwer Microsoft Entra uwierzytelniania wieloskładnikowego. Serwer nasłuchuje teraz na skonfigurowanych portach, aby przyjmować żądania dostępu usługi RADIUS od skonfigurowanych klientów.

Konfiguracja klienta usługi RADIUS

Aby skonfigurować klienta usługi RADIUS, skorzystaj z wytycznych:

• Skonfiguruj urządzenie/serwer do uwierzytelniania za pośrednictwem usługi RADIUS na adres IP serwera uwierzytelniania wieloskładnikowego firmy Microsoft, który działa jako serwer RADIUS.
• Użyj tego samego wspólnego hasła tajnego, które zostało skonfigurowane wcześniej.
• Skonfiguruj limit czasu usługi RADIUS na 60 sekund, aby można było zweryfikować poświadczenia użytkownika, przeprowadzić weryfikację dwuetapową, odebrać odpowiedź, a następnie odpowiedzieć na żądanie dostępu usługi RADIUS.

Następne kroki

Dowiedz się, jak zintegrować z uwierzytelnianiem usługi RADIUS, jeśli masz uwierzytelnianie wieloskładnikowe firmy Microsoft w chmurze.