Udostępnij za pośrednictwem


Zaawansowane opcje konfiguracji rozszerzenia serwera NPS na potrzeby uwierzytelniania wieloskładnikowego

Rozszerzenie serwera zasad sieciowych (NPS) rozszerza oparte na chmurze funkcje uwierzytelniania wieloskładnikowego firmy Microsoft w infrastrukturę lokalną. W tym artykule założono, że masz już zainstalowane rozszerzenie, a teraz chcesz wiedzieć, jak dostosować rozszerzenie do Twoich potrzeb.

Alternatywny identyfikator logowania

Ponieważ rozszerzenie serwera NPS łączy się zarówno z katalogami lokalnymi, jak i w chmurze, może wystąpić problem polegający na tym, że lokalne główne nazwy użytkownika (UPN) nie są zgodne z nazwami w chmurze. Aby rozwiązać ten problem, użyj alternatywnych identyfikatorów logowania.

W rozszerzeniu serwera NPS można wyznaczyć atrybut usługi Active Directory, który ma być używany jako nazwa UPN dla uwierzytelniania wieloskładnikowego firmy Microsoft Entra. Dzięki temu można chronić zasoby lokalne przy użyciu weryfikacji dwuetapowej bez modyfikowania lokalnych nazw UPN.

Aby skonfigurować alternatywne identyfikatory logowania, przejdź do HKLM\SOFTWARE\Microsoft\AzureMfa strony i edytuj następujące wartości rejestru:

Imię i nazwisko/nazwa Type Domyślna wartość opis
LDAP_ALTERNATE_LOGINID_ATTRIBUTE string Pusty Wyznaczanie nazwy atrybutu usługi Active Directory, którego chcesz użyć jako nazwy UPN. Ten atrybut jest używany jako atrybut AlternateLoginId. Jeśli ta wartość rejestru jest ustawiona na prawidłowy atrybut usługi Active Directory (na przykład mail lub displayName), wartość atrybutu jest używana jako nazwa UPN użytkownika do uwierzytelniania. Jeśli ta wartość rejestru jest pusta lub nieskonfigurowane, identyfikator AlternateLoginId jest wyłączony, a nazwa UPN użytkownika jest używana do uwierzytelniania.
LDAP_FORCE_GLOBAL_CATALOG boolean Fałsz Użyj tej flagi, aby wymusić użycie wykazu globalnego dla wyszukiwań LDAP podczas wyszukiwania identyfikatora AlternateLoginId. Skonfiguruj kontroler domeny jako wykaz globalny, dodaj atrybut AlternateLoginId do wykazu globalnego, a następnie włącz tę flagę.

Jeśli LDAP_LOOKUP_FORESTS jest skonfigurowana (niepusta), ta flaga jest wymuszana jako true, niezależnie od wartości ustawienia rejestru. W takim przypadku rozszerzenie serwera NPS wymaga skonfigurowania wykazu globalnego za pomocą atrybutu AlternateLoginId dla każdego lasu.
LDAP_LOOKUP_FORESTS string Pusty Podaj rozdzieloną średnikami listę lasów do wyszukania. Na przykład contoso.com; foobar.com. Jeśli ta wartość rejestru jest skonfigurowana, rozszerzenie serwera NPS iteracyjne wyszukuje wszystkie lasy w kolejności, w jakiej zostały wymienione, i zwraca pierwszą pomyślną wartość AlternateLoginId. Jeśli ta wartość rejestru nie jest skonfigurowana, odnośnik AlternateLoginId jest ograniczony do bieżącej domeny.

Aby rozwiązać problemy z alternatywnymi identyfikatorami logowania, wykonaj zalecane kroki dotyczące błędów identyfikatora logowania alternatywnego.

Wyjątki adresów IP

Jeśli musisz monitorować dostępność serwera, na przykład jeśli moduły równoważenia obciążenia sprawdzają, które serwery są uruchomione przed wysłaniem obciążeń, nie chcesz, aby te testy były blokowane przez żądania weryfikacji. Zamiast tego utwórz listę adresów IP, które znasz, są używane przez konta usług i wyłącz wymagania dotyczące uwierzytelniania wieloskładnikowego dla tej listy.

Aby skonfigurować listę dozwolonych adresów IP, przejdź do HKLM\SOFTWARE\Microsoft\AzureMfa strony i skonfiguruj następującą wartość rejestru:

Imię i nazwisko/nazwa Type Domyślna wartość opis
IP_WHITELIST string Pusty Podaj rozdzieloną średnikami listę adresów IP. Dołącz adresy IP maszyn, z których pochodzą żądania obsługi, takie jak serwer NAS/VPN. Zakresy adresów IP i podsieci nie są obsługiwane.

Na przykład 10.0.0.1; 10.0.0.2; 10.0.0.3.

Uwaga

Ten klucz rejestru nie jest domyślnie tworzony przez instalatora i podczas ponownego uruchamiania usługi pojawia się błąd w dzienniku AuthZOptCh. Ten błąd w dzienniku można zignorować, ale jeśli ten klucz rejestru zostanie utworzony i pozostawiony pusty, jeśli nie jest to konieczne, komunikat o błędzie nie zostanie zwrócony.

Gdy żądanie pochodzi z adresu IP, który istnieje w weryfikacji dwuetapowej IP_WHITELIST, zostanie pominięty. Lista adresów IP jest porównywana z adresem IP podanym w atrybucie ratNASIPAddress żądania RADIUS. Jeśli żądanie RADIUS pojawia się bez atrybutu ratNASIPAddress, zostanie zarejestrowane ostrzeżenie: "IP_WHITE_LIST_WARNING::Ip Whitelist jest ignorowany, ponieważ w atrybucie żądania RADIUS NasIpAddress brakuje źródłowego adresu IP".

Następne kroki