Integrar a autenticação RADIUS com o Servidor Multi-Factor Authentication do Azure
O RADIUS é um protocolo padrão para aceitar pedidos de autenticação e para processar esses pedidos. O Servidor Multi-Factor Authentication do Azure pode funcionar como um servidor RADIUS. Insira-o entre o cliente RADIUS (a aplicação VPN) e o destino de autenticação para adicionar a verificação de dois passos. O destino de autenticação pode ser o Active Directory, um diretório LDAP ou outro servidor RADIUS. Para que a autenticação multifator do Azure funcione, você deve configurar o Servidor Azure MFA para que ele possa se comunicar com os servidores cliente e o destino de autenticação. O Servidor Azure MFA aceita solicitações de um cliente RADIUS, valida credenciais em relação ao destino de autenticação, adiciona autenticação multifator do Azure e envia uma resposta de volta ao cliente RADIUS. A solicitação de autenticação só terá êxito se a autenticação primária e a autenticação multifator do Azure forem bem-sucedidas.
Importante
Em setembro de 2022, a Microsoft anunciou a descontinuação do Azure Multi-Factor Authentication Server. A partir de 30 de setembro de 2024, as implantações do Servidor Azure Multi-Factor Authentication não atenderão mais às solicitações de autenticação multifator, o que pode fazer com que as autenticações falhem para sua organização. Para garantir serviços de autenticação ininterruptos e permanecer em um estado com suporte, as organizações devem migrar os dados de autenticação de seus usuários para o serviço Azure MFA baseado em nuvem usando o Utilitário de Migração mais recente incluído na atualização mais recente do Azure MFA Server. Para obter mais informações, consulte Migração do Azure MFA Server.
Para começar a usar o MFA baseado em nuvem, consulte Tutorial: Eventos de entrada de usuário seguro com a autenticação multifator do Microsoft Entra.
Se você usa MFA baseada em nuvem, consulte Integrar sua infraestrutura NPS existente com a autenticação multifator do Azure.
Nota
O Servidor MFA apenas suporta os protocolos RADIUS PAP (protocolo de autenticação de palavras-passe) e MSCHAPv2 (Challenge Handshake Authentication Protocol da Microsoft) ao atuar como um servidor RADIUS. Podem ser utilizados outros protocolos, como o EAP (protocolo de autenticação extensível), quando o servidor MFA funciona como um proxy RADIUS para outro servidor RADIUS que suporte esse protocolo.
Nesta configuração, os tokens SMS e OATH unidirecionais não funcionam, uma vez que o Servidor MFA não consegue iniciar uma resposta Challenge RADIUS com êxito utilizando protocolos alternativos.
Adicionar um cliente RADIUS
Para configurar a autenticação RADIUS, instale o Servidor Multi-Factor Authentication do Azure num servidor do Windows. Se tiver um ambiente do Active Directory, o servidor deve ser associado ao domínio dentro da rede. Utilize o seguinte procedimento para configurar o Servidor Multi-Factor Authentication do Azure:
No Servidor Multi-Factor Authentication do Azure, clique no ícone Autenticação RADIUS no menu da esquerda.
Marque a caixa de verificação Ativar autenticação RADIUS.
No separador Clientes, altere a portas de Autenticação e Gestão de Contas se o serviço RADIUS do MFA do Azure tiver de escutar os pedidos RADIUS em portas não padrão.
Clique em Adicionar.
Introduza o endereço IP da aplicação/servidor que irá autenticar no Servidor Multi-Factor Authentication do Azure, um nome de aplicação (opcional) e um segredo partilhado.
O nome da aplicação aparece nos relatórios e poderá ser apresentado nas mensagens de autenticação SMS ou da aplicação móvel.
O segredo partilhado tem de ser o mesmo no Servidor Multi-Factor Authentication do Azure e na aplicação/servidor.
Marque a caixa Exigir correspondência de usuário de autenticação multifator se todos os usuários tiverem sido importados para o Servidor e estiverem sujeitos à autenticação multifator. Se um número significativo de utilizadores ainda não tiverem sido importados para o Servidor ou são excluídos da verificação em dois passos, deixe a caixa desmarcada.
Marque a caixa Ativar token OATH de contingência se pretender utilizar códigos de acesso a partir de aplicações móveis de verificação como método de cópia de segurança.
Clique em OK.
Repita os passos de 4 a 8 para adicionar o número de clientes RADIUS adicionais que precisar.
Configurar o cliente RADIUS
Clique no separador Destino.
- Se o Servidor Azure MFA estiver instalado em um servidor associado a um domínio em um ambiente do Ative Directory, selecione Domínio do Windows.
- Se os utilizadores tiverem de ser autenticados num diretório LDAP, selecione Enlace de LDAP. Selecione o ícone de Integração de Diretórios e edite a configuração LDAP no separador Definições, para que o Servidor possa ser vinculado ao seu diretório. Pode encontrar instruções para a configuração de LDAP no guia de configuração do Proxy LDAP.
- Se os usuários devem ser autenticados em outro servidor RADIUS, selecione servidor(es) RADIUS.
Clique em Adicionar para configurar o servidor no qual o servidor MFA do Azure fará o proxy dos pedidos RADIUS.
Na caixa de diálogo Adicionar Servidor RADIUS, introduza o endereço IP do servidor RADIUS e um segredo partilhado.
O segredo partilhado tem de ser o mesmo no Servidor Multi-Factor Authentication do Azure e no servidor RADIUS. Altere a porta de Autenticação e a porta de Gestão de Contas se forem utilizadas portas diferentes pelo servidor RADIUS.
Clique em OK.
Adicione o Servidor MFA do Azure como um cliente RADIUS no outro servidor RADIUS para que possa processar os pedidos de acesso enviados do Servidor MFA do Azure. Utilize o mesmo segredo partilhado configurado no Servidor Multi-Factor Authentication do Azure.
Repita estes passos para adicionar mais servidores RADIUS. Configure a ordem pela qual o Servidor MFA do Azure os deve chamar com os botões Mover Para Cima e Mover Para Baixo.
Configurou com êxito o Servidor Multi-Factor Authentication do Azure. O Servidor está agora a escutar nas portas configuradas para pedidos de acesso RADIUS dos clientes configurados.
Configuração do Cliente RADIUS
Para configurar o cliente RADIUS, utilize as diretrizes:
- Configure seu aparelho/servidor para autenticar via RADIUS no endereço IP do Servidor Azure Multi-Factor Authentication, que atua como o servidor RADIUS.
- Utilize o mesmo segredo partilhado que foi configurado anteriormente.
- Configure o tempo limite do RADIUS para 60 segundos para que haja tempo para validar as credenciais do usuário, executar a verificação em duas etapas, receber sua resposta e, em seguida, responder à solicitação de acesso RADIUS.
Próximos passos
Saiba como integrar com a autenticação RADIUS se tiver a autenticação multifator Microsoft Entra na nuvem.