دمج البنية الأساسية الحالية لخادم نهج الشبكة (NPS) مع مصادقة Microsoft Azure AD متعدد العوامل

يضيف ملحق خادم نهج الشبكة (NPS) للمصادقة متعددة العوامل في Microsoft Azure AD إمكانيات مصادقة متعددة العوامل (MFA) المستندة إلى مجموعة النظراء إلى البنية الأساسية للمصادقة الخاصة بك باستخدام الخوادم الحالية. باستخدام امتداد NPS، يمكنك إضافة التحقق من مكالمة هاتفية، أو رسالة نصية، أو تطبيق الهاتف إلى تدفق المصادقة الحالي دون الحاجة إلى تثبيت خوادم جديدة، وتكوينها، وصيانتها.

يعمل ملحق "خادم نهج الشبكة" كمحول بين RADIUS و"مصادقة Microsoft Azure Active Directory متعددة العوامل" المستندة إلى مجموعة النظراء؛ لتوفير عامل مصادقة ثانٍ للمستخدمين المتحدين أو المتزامنين.

كيف يعمل ملحق NPS

عند استخدام ملحق NPS للمصادقة متعددة العوامل في Microsoft Azure AD، فإن تدفق المصادقة يتضمن المكونات التالية:

  1. يتلقى ⁧⁩NAS/VPN Server⁧⁩طلبات من عملاء VPN، وتحويلها إلى طلبات RADIUS إلى خوادم NPS.
  2. يتصل ⁧⁩خادم NPS⁧⁩ بخدمات مجال Active Directory (AD DS) لتنفيذ المصادقة الأساسية لطلبات RADIUS، وعند النجاح، يمرر الطلب إلى أي ملحقات مثبتة.
  3. ⁩ملحق NPS⁧⁩: يطلق طلبًا لمصادقة Microsoft Azure AD متعددة العوامل للمصادقة الثانوية. بمجرد أن يتلقى الامتداد الاستجابة، وإذا نجح تحدي مصادقة متعددة العوامل (MFA)، فإنه يكمل طلب المصادقة من خلال تزويد خادم NPS برموز مميزة التي تتضمن مطالبة MFA، الصادرة عن Azure STS.

    ملاحظة

    يجب أن يكون لدى المستخدمين حق الوصول إلى أسلوب المصادقة الافتراضي الخاص بهم لإكمال متطلبات مصادقة متعددة العوامل (MFA). لا يمكنهم اختيار أسلوب بديل. سيتم استخدام أسلوب المصادقة الافتراضي حتى إذا تم تعطيله في أساليب مصادقة المستأجر، ونهج مصادقة متعددة العوامل (MFA).

  4. ⁩Azure AD Multifactor Authentication⁧⁩: يتصل بـ Microsoft Azure AD؛ لاسترداد تفاصيل المستخدم، وإجراء مصادقة ثانوية باستخدام طريقة تحقق تم تكوينها بواسطة المستخدم.

يوضح الرسم التخطيطي التالي تدفق طلب المصادقة عالي المستوى هذا:

Diagram of the authentication flow for user authenticating through a VPN server to NPS server and the Azure AD Multi-Factor Authentication NPS extension

RADIUS سلوك البروتوكول وامتداد NPS

نظرًا لأن RADIUS هو بروتوكول UDP، فإن المرسل يفترض فقدان الحزمة، وينتظر الرد. بعد فترة من الوقت، قد تنتهي مهلة الاتصال. إذا كان الأمر كذلك، يتم إعادة الحزمة، كما يفترض المرسل أن الحزمة لم تصل إلى الوجهة. في سيناريو المصادقة في هذه المقالة، ترسل خوادم VPN الطلب، وتنتظر الرد. إذا انتهت مهلة الاتصال، يرسل خادم VPN الطلب مرة أخرى.

Diagram of RADIUS UDP packet flow and requests after timeout on response from NPS server

قد لا يستجيب خادم NPS للطلب الأصلي لخادم VPN قبل انتهاء مهلة الاتصال؛ حيث قد لا يزال طلب مصادقة متعددة العوامل (MFA) قيد المعالجة. قد لا يكون المستخدم قد استجاب بنجاح إلى موجه مصادقة متعددة العوامل (MFA)؛ لذلك ملحق المصادقة متعددة العوامل Azure AD NPS ينتظر إكمال هذا الحدث. في هذه الحالة، يحدد خادم NPS طلبات خادم VPN الإضافية كطلب مكرر. يتجاهل خادم NPS طلبات خادم VPN المكررة.

Diagram of NPS server discarding duplicate requests from RADIUS server

إذا نظرت إلى سجلات خادم NPS، فقد ترى تجاهل هذه الطلبات الإضافية. هذا السلوك مصمم لحماية المستخدم النهائي من الحصول على طلبات متعددة لمحاولة مصادقة واحدة. لا تشير الطلبات التي تم تجاهلها في سجل أحداث خادم NPS إلى وجود مشكلة في خادم NPS، أو ملحق NPS للمصادقة متعددة العوامل Microsoft Azure AD.

لتقليل الطلبات المهملة، نوصي بتهيئة خوادم VPN بمهلة لا تقل عن 60 ثانية. إذا لزم الأمر، أو لتقليل الطلبات المهملة في سجلات الأحداث، يمكنك زيادة قيمة مهلة خادم VPN إلى 90 أو 120 ثانية.

نظرًا لسلوك بروتوكول UDP هذا، يمكن لخادم NPS تلقي طلب مكرر، وإرسال موجه مصادقة متعددة العوامل (MFA) آخر، حتى بعد استجابة المستخدم بالفعل للطلب الأولي. لتجنب حالة التوقيت هذه، يستمر ملحق NPS للمصادقة متعددة العوامل Microsoft Azure AD في تصفية الطلبات المكررة وتجاهلها لمدة تصل إلى 10 ثوانٍ بعد إرسال استجابة ناجحة إلى خادم VPN.

Diagram of NPS server continuing to discard duplicate requests from VPN server for ten seconds after a successful response is returned

مرة أخرى، قد ترى الطلبات المهملة في سجلات أحداث خادم NPS، حتى في حالة نجاح مطالبة المصادقة متعددة العوامل Microsoft Azure AD. هذا هو السلوك المتوقع، ولا يشير إلى مشكلة في خادم NPS، أو ملحق NPS للمصادقة متعددة العوامل Microsoft Azure AD.

تخطيط توزيعك

يتعامل ملحق NPS تلقائيًا مع التكرار؛ لذلك لا تحتاج إلى تكوين خاص.

يمكنك إنشاء العديد من خوادم NPS التي تدعم المصادقة متعددة العوامل في Microsoft Azure AD حسب حاجتك. إذا قمت بتثبيت عدة خوادم، يجب عليك استخدام شهادة عميل مختلفة لكل منها. يعني إنشاء شهادة لكل خادم أنه يمكنك تحديث كل شهادة على حدة، ولا تقلق بشأن فترات التعطل عبر جميع الخوادم الخاصة بك.

توجه خوادم VPN طلبات المصادقة؛ لذلك يجب أن يكونوا على دراية بخوادم NPS الجديدة التي تدعم المصادقة متعددة العوامل في Microsoft Azure AD.

المتطلبات الأساسية

يهدف امتداد NPS إلى العمل مع البنية التحتية الحالية لديك. تأكد من توفر المتطلبات الأساسية التالية قبل أن تبدأ.

التراخيص

يتوفر ملحق NPS للمصادقة متعددة العوامل في Microsoft Azure AD للعملاء الذين لديهم ⁧⁩تراخيص للمصادقة متعددة العوامل في Microsoft Azure AD⁧⁩ (المضمنة مع Microsoft Azure AD Premium P1 وP2 Premium أو التنقل المؤسسي + الأمان). لا تتوافق التراخيص المستندة إلى الاستهلاك لـ Microsoft Azure AD MFA؛ مثل: تراخيص لكل مستخدم، أو لكل ترخيص مصادقة، مع ملحق NPS.

البرمجيات

خادم Windows Server 2012، أو الإصدار الأحدث.

المكتبات

تحتاج إلى تثبيت المكتبة التالية يدويًا:

يتم تثبيت المكتبات التالية تلقائيًا مع الملحق.

يتم أيضًا تثبيت وحدة Microsoft Azure Active Directory النمطية لـ Windows PowerShell من خلال برنامج تكوين تقوم بتشغيله كجزء من عملية الإعداد، إذا لم يكن موجودًا بالفعل. ليست هناك حاجة لتثبيت الوحدة في وقت مبكر إذا لم تكن مثبتة بالفعل.

Azure Active Directory

يجب أن تتم مزامنة كل شخص يستخدم ملحق NPS مع Microsoft Azure AD باستخدام Azure AD Connect، ويجب أن يكون مسجلاً مصادقة متعددة العوامل (MFA).

عندما تقوم بتثبيت الملحق، فأنت بحاجة إلى ⁧⁩معرف المستأجر⁧⁩، وبيانات اعتماد المسؤول لمستأجرك Microsoft Azure AD. للحصول على معرف المستأجر، أكمل الخطوات التالية:

  1. سجّل الدخول إلى ⁧⁩مدخل Microsoft Azure⁧⁩ كمسؤول عام لمستأجر Microsoft Azure.

  2. ابحث عن ⁧⁩Microsoft Azure Active Directory⁧⁩، ثم حدده.

  3. في صفحة ⁧⁩ نظرة عامة ⁧⁩، يتم عرض ⁧⁩ معلومات المستأجر ⁧⁩. بجوار ⁧⁩ معرّف المستأجر ⁧⁩، حدد رمز ⁧⁩ نسخ ⁧⁩، كما هو موضح في المثال التالي من لقطة الشاشة:

    Getting the Tenant ID from the Azure portal

متطلبات الشبكة

يجب أن يكون خادم NPS قادرًا على الاتصال بعناوين URL التالية عبر المنفذين 80 و443:

  • https://strongauthenticationservice.auth.microsoft.com
  • https://strongauthenticationservice.auth.microsoft.us
  • https://strongauthenticationservice.auth.microsoft.cn
  • https://adnotifications.windowsazure.com
  • https://login.microsoftonline.com
  • https://credentials.azure.com

بالإضافة إلى ذلك، مطلوب الاتصال إلى عناوين URL التالية لإكمال ⁧⁩إعداد المحول باستخدام البرنامج النصي PowerShell المتوفرة:⁧

  • https://login.microsoftonline.com
  • https://provisioningapi.microsoftonline.com
  • https://aadcdn.msauth.net
  • https://www.powershellgallery.com
  • https://go.microsoft.com
  • https://aadcdn.msftauthimages.net

إعداد البيئة الخاصة بك

قبل تثبيت ملحق NPS، قم بإعداد البيئة لمعالجة المصادقة لنسبة استخدام الشبكة.

قم بتمكين دور NPS على خادم مرتبط بالمجال

يتصل ملقم NPS بـ Microsoft Azure AD، ويصادق على طلبات مصادقة متعددة العوامل (MFA). اختر خادمًا واحدًا لهذا الدور. نوصي باختيار خادم لا يتعامل مع الطلبات من خدمات أخرى؛ لأن امتداد NPS يلقي بأخطاء لأي طلبات ليست RADIUS. يجب إعداد خادم NPS ليكون خادم المصادقة الأساسي والثانوي لبيئتك. لا يمكن تفويض طلبات RADIUS بخادم آخر.

  1. على خادمك، افتح ⁧⁩ Server Manager ⁧⁩. حدد ⁧⁩معالج إضافة الأدوار والميزات⁧⁩ من القائمة ⁧⁩"التشغيل السريع"⁧⁩.
  2. بالنسبة لنوع التثبيت، اختر ⁧⁩التثبيت المستند إلى الدور، أو التثبيت المستند إلى الميزة⁧⁩.
  3. حدد دور خادم ⁧⁩نهج الشبكة، وخدمات الوصول⁧⁩. قد تظهر نافذة لإعلامك بالميزات الإضافية المطلوبة لتشغيل هذا الدور.
  4. تابع خلال المعالج حتى صفحة ⁧⁩التأكيد⁧⁩. وعندما تكون مستعدًا، حدد ⁧⁩تثبيت⁧⁩.

قد يستغرق الأمر بضع دقائق لتثبيت دور خادم NPS. عند الانتهاء، تابع مع المقاطع التالية؛ لتكوين هذا الخادم لمعالجة طلبات RADIUS الواردة من حل VPN.

قم بتكوين حل VPN الخاص بك للتواصل مع خادم NPS

بناءً على حل VPN الذي تستخدمه، تختلف خطوات تكوين نهج مصادقة RADIUS الخاصة بك. تكوين نهج VPN للإشارة إلى خادم RADIUS NPS الخاص بك.

مزامنة مستخدمي المجال إلى الإنترنت

قد تكون هذه الخطوة مكتملة بالفعل على المستأجر الخاص بك؛ ولكن من الجيد التحقق مرة أخرى من قيام Azure AD Connect بمزامنة قواعد البيانات الخاصة بك مؤخرًا.

  1. سجل الدخول إلى ⁧⁩مدخل Microsoft Azure⁧⁩ كمسؤول.
  2. على اليسار، حدد ⁧⁩Microsoft Azure Active Directory⁧⁩⁧>⁩⁧⁩ Azure AD Connect⁧
  3. تحقق من أن حالة المزامنة ⁧⁩ممكّنة⁧⁩، وأن آخر مزامنة كانت قبل أقل من ساعة.

إذا كنت بحاجة لبدء جولة جديدة من المزامنة، فراجع ⁧⁩ميزات مزامنة Microsoft Azure AD Connect: المجدول⁧⁩.

تحديد أساليب المصادقة التي يمكن للمستخدمين استخدامها

هناك عاملان يؤثران على أساليب المصادقة المتوفرة مع نشر ملحق NPS:

  • خوارزمية تشفير كلمة المرور المستخدمة بين عميل RADIUS (VPN، أو خادم Netscaler، أو غير ذلك) وخوادم NPS.

    • يدعم ⁧⁩PAP⁧⁩ جميع طرق المصادقة الخاصة بمصادقة Microsoft Azure AD متعددة العوامل في السحابة: مكالمة هاتفية، رسالة نصية أحادية الاتجاه، إشعار تطبيق الهاتف المحمول، رموز OATH المميزة للأجهزة، ورمز التحقق من تطبيق الهاتف المحمول.

    • يدعم ⁧⁩CHAPV2⁧⁩ و⁧⁩EAP⁧⁩ المكالمات الهاتفية، وإشعارات تطبيقات الأجهزة المحمولة.

      ملاحظة

      عند نشر ملحق NPS، استخدم هذه العوامل لتقييم الطرق المتوفرة للمستخدمين. إذا كان عميل RADIUS يدعم PAP؛ ولكن العميل UX لا يملك حقول إدخال لرمز التحقق، فإن المكالمة الهاتفية، وإشعار تطبيق الهاتف المحمول هما الخياران المدعومان.

      أيضًا، بغض النظر عن بروتوكول المصادقة المستخدم (PAP، أو CHAP، أو EAP)، إذا كانت طريقة مصادقة متعددة العوامل (MFA) الخاصة بك تعتمد على النص (SMS، أو رمز التحقق من تطبيق الهاتف المحمول، أو رمز OATH المميز للأجهزة)، ويتطلب من المستخدم إدخال رمز أو نص في حقل إدخال واجهة مستخدم عميل VPN، فقد تنجح المصادقة. ⁧⁩ولكن⁧⁩⁧⁩لا⁧⁩ يتم توجيه أية سمات RADIUS التي تم تكوينها في "نهج الوصول إلى الشبكة" إلى عميل RADIUS (جهاز الوصول إلى الشبكة؛ مثل: بوابة VPN). ونتيجة لذلك، قد يكون لدى عميل VPN وصول أكثر مما تريد، أو وصول أقل، أو عدم الوصول.

      كحل بديل، يمكنك تشغيل البرنامج النصي CrpUsernameStuffing لإعادة توجيه سمات RADIUS التي تم تكوينها في نهج الوصول إلى الشبكة والسماح لمصادقة MFA عندما يتطلب أسلوب مصادقة المستخدم استخدام رمز مرور لمرة واحدة (OTP)، مثل SMS أو رمز مرور Microsoft Authenticator أو FOB الأجهزة.

  • طرق الإدخال التي يمكن لتطبيق العميل (VPN، أو خادم Netscaler، أو غيره) التعامل معها. على سبيل المثال: هل لدى عميل VPN بعض الوسائل للسماح للمستخدم بكتابة رمز التحقق من تطبيق نصي، أو تطبيق الأجهزة المحمولة؟

يمكنك ⁧⁩تعطيل أساليب المصادقة غير المعتمدة⁧⁩ في Azure.

تسجيل المستخدمين لمصادقة متعددة العوامل (MFA)

قبل نشر ملحق NPS واستخدامه، يجب أن يتم تسجيل المستخدمين المطلوبين لإجراء مصادقة Microsoft Azure AD متعددة العوامل في مصادقة متعددة العوامل (MFA). لاختبار الامتداد أثناء نشره، تحتاج أيضًا إلى حساب اختبار واحد على الأقل مسجل بالكامل لمصادقة متعددة العوامل Microsoft Azure Active Directory.

إذا كنت بحاجة إلى إنشاء حساب اختبار وتكوينه، فاستخدم الخطوات التالية:

  1. تسجيل الدخول إلى ⁧⁩⁧ https://aka.ms/mfasetup ⁩⁧⁩ باستخدام حساب اختبار.
  2. اتبع المطالبات لإعداد طريقة التحقق.
  3. في مدخل Azure كمستخدم مسؤول،⁧⁩إنشاء نهج الوصول المشروط⁧⁩ لطلب مصادقة متعددة العوامل لحساب الاختبار.

هام

تأكد من تسجيل المستخدمين بنجاح للمصادقة متعددة العوامل في Microsoft Azure AD. إذا كان المستخدمون قد سجلوا مسبقًا فقط لإعادة تعيين كلمة مرور الخدمة الذاتية (SSPR)، يتم تمكين ⁧⁩StrongAuthenticationMethods⁧⁩ لحسابهم. يتم فرض مصادقة متعددة العوامل Microsoft Azure AD عند تكوين ⁧⁩StrongAuthenticationMethods،⁧⁩ حتى إذا كان المستخدم مسجلاً في SSPR فقط.

يمكن تمكين تسجيل الأمان المجمع الذي يقوم بتكوين SSPR، وMicrosoft Azure AD للمصادقة متعددة العوامل في نفس الوقت. لمزيد من المعلومات، راجع ⁧⁩تمكين تسجيل معلومات الأمان المجمعة في Microsoft Azure Active Directory⁧⁩.

يمكنك أيضًا ⁧⁩إجبار المستخدمين على إعادة تسجيل أساليب المصادقة⁧⁩ إذا قاموا مسبقًا بتمكين SSPR فقط.

سيُطلب من المستخدمين الذين يتصلون بخادم NPS باستخدام اسم المستخدم وكلمة المرور إكمال مطالبة المصادقة متعددة العوامل.

تثبيت ملحق NPS

هام

تثبيت ملحق NPS على خادم مختلف عن نقطة وصول VPN.

تنزيل وتثبيت ملحق NPS لـ Azure AD Multifactor Authentication

لتنزيل ملحق NPS وتثبيته، أكمل الخطوات التالية:

  1. قم بتنزيل ملحق NPS من ⁧⁩مركز التنزيل لـ Microsoft⁧⁩.
  2. انسخ الملف الثنائي إلى خادم نهج الشبكة الذي تريد تكوينه.
  3. تشغيل ⁧⁩setup.exe⁧⁩، واتبع إرشادات التثبيت. إذا واجهت أخطاء، فتأكد من أن ⁧⁩المكتبات من قسم المتطلبات الأساسية⁧⁩ تم تثبيتها بنجاح.

ترقية ملحق NPS

إذا قمت لاحقًا بترقية تثبيت ملحق NPS موجود، لتجنب إعادة تشغيل الخادم الأساسي، فأكمل الخطوات التالية:

  1. قم بإلغاء تثبيت الإصدار الحالي.
  2. قم بتشغيل المثبت الجديد.
  3. إعادة تشغيل خدمة ⁧⁩ملقم نهج الشبكة (IAS)⁧⁩.

تشغيل البرنامج النصي PowerShell

يقوم المثبت بإنشاء برنامج نصي PowerShell في ⁧C:\Program Files\Microsoft\AzureMfa\Config⁩ (حيث ⁧C:\⁩ محرك الأقراص التثبيت). يقوم برنامج PowerShell النصي هذا بتنفيذ الإجراءات التالية في كل مرة يتم تشغيله فيها:

  • ينشئ شهادة موقعة ذاتيًا.
  • يقترن المفتاح العام للشهادة بمبدأ الخدمة في Microsoft Azure AD.
  • تخزين الشهادة في STORE شهادات الجهاز المحلي.
  • منح حق الوصول إلى المفتاح الخاص بالشهادة إلى "مستخدم الشبكة".
  • يعيد تشغيل خدمة NPS.

ما لم تكن ترغب في استخدام الشهادات الخاصة بك (بدلاً من الشهادات الموقعة ذاتيًا التي ينشئها البرنامج النصي PowerShell)، قم بتشغيل البرنامج النصي PowerShell لإكمال تثبيت ملحق NPS. إذا قمت بتثبيت الامتداد على خوادم متعددة، يجب أن يكون لكل خادم شهادته الخاصة.

لتوفير إمكانات موازنة التحميل أو التكرار، كرر هذه الخطوات على خوادم NPS الإضافية حسب الرغبة:

  1. افتح أمر أو نافذة PowerShell كمسؤول.

  2. غيّر الدلائل إلى المكان الذي أنشأ فيه المثبت برنامج PowerShell النصي:

    cd "C:\Program Files\Microsoft\AzureMfa\Config"
    
  3. قم بتشغيل برنامج PowerShell النصي الذي أنشأه المثبت.

    قد يُطلب منك أولاً تمكين TLS 1.2 لـ PowerShell؛ لتتمكن من الاتصال، وتنزيل الحزم بشكل صحيح:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

    هام

    بالنسبة للعملاء الذين يستخدمون Azure Government، أو Azure China 21Vianet السحابية، قم أولاً بتحرير ⁧Connect-MsolService⁩ cmdlets في البرنامج النصي ⁧⁩AzureMfaNpsExtnConfigSetup.ps1⁧⁩؛ لتضمين معلمات ⁧⁩ AzureEnvironment ⁧⁩ لشبكة النظير المطلوبة. على سبيل المثال: حدد ⁧⁩-AzureEnvironment USGovernment ⁧⁩أو⁧⁩-AzureEnvironment AzureChinaCloud⁧⁩.

    لمزيد من المعلومات، راجع ⁧⁩مرجع معلمة Connect-MsolService⁧⁩.

    .\AzureMfaNpsExtnConfigSetup.ps1
    
  4. عند المطالبة، قم بتسجيل الدخول إلى Microsoft Azure AD كمسؤول.

  5. يطالب PowerShell بمعرف مستأجرك. استخدم معرف ⁧⁩Tenant ID⁧⁩الذي نسخته من مدخل Microsoft Azure في قسم المتطلبات الأساسية.

  6. تظهر رسالة نجاح عند انتهاء البرنامج النصي.

إذا انتهت صلاحية شهادة الكمبيوتر السابقة، وتم إنشاء شهادة جديدة، يجب حذف أي شهادات منتهية الصلاحية. قد يتسبب انتهاء صلاحية الشهادات في حدوث مشكلات مع بدء تشغيل ملحق NPS.

ملاحظة

إذا كنت تستخدم شهاداتك الخاصة بدلاً من إنشاء شهادات باستخدام البرنامج النصي PowerShell، فتأكد من توافقها مع اصطلاح تسمية NPS. يجب أن يكون اسم الموضوعCN=<TenantID>، OU= ملحق المستعرض Microsoft NPS.

Microsoft Azure Government أو Azure China 21Vianet خطوات إضافية

بالنسبة للعملاء الذين يستخدمون Azure Government، أو Azure China 21Vianet السحابية، فإن خطوات التكوين الإضافية التالية مطلوبة على كل خادم NPS.

هام

قم بتكوين إعدادات التسجيل هذه فقط إذا كنت من عملاء Azure Government، أو Azure China 21Vianet.

  1. إذا كنت من عملاء Azure Government، أو Azure China 21Vianet، فافتح ⁧⁩محرر التسجيل⁧⁩ على خادم NPS.

  2. انتقل إلى ⁧HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa⁩.

  3. لعملاء Azure Government، قم بتعيين القيم الأساسية التالية:

    مفتاح التسجيل القيمة
    AZURE_MFA_HOSTNAME strongauthenticationservice.auth.microsoft.us
    AZURE_MFA_RESOURCE_HOSTNAME adnotifications.windowsazure.us
    STS_URL https://login.microsoftonline.us/
  4. لعملاء Azure China 21Vianet، قم بتعيين القيم الأساسية التالية:

    مفتاح التسجيل القيمة
    AZURE_MFA_HOSTNAME strongauthenticationservice.auth.microsoft.cn
    AZURE_MFA_RESOURCE_HOSTNAME adnotifications.windowsazure.cn
    STS_URL https://login.chinacloudapi.cn/
  5. كرر الخطوتين السابقتين لتعيين قيم مفتاح التسجيل لكل خادم NPS.

  6. أعد تشغيل خدمة NPS لكل خادم NPS.

    للحصول على الحد الأدنى من التأثير، أخرج كل خادم NPS من دوران NLB واحدًا تلو الآخر، وانتظر حتى تستنزف جميع الاتصالات.

تمرير الشهادة

مع الإصدار ⁧⁩1.0.1.32⁧⁩ من ملحق NPS، يتم الآن دعم قراءة شهادات متعددة. تساعد هذه الإمكانية في تسهيل بدء تحديثات الشهادة قبل انتهاء صلاحيتها. إذا كانت مؤسستك تقوم بتشغيل إصدار سابق من ملحق NPS، فقم بالترقية إلى الإصدار ⁧⁩1.0.1.32⁧⁩، أو إصدار أحدث.

الشهادات التي تم إنشاؤها بواسطة ⁧AzureMfaNpsExtnConfigSetup.ps1⁩ البرنامج النصي صالحة لمدة عامين. مراقبة الشهادات لانتهاء الصلاحية. يتم وضع شهادات ملحق NPS في مخزن شهادات ⁧⁩الكمبيوتر المحلي⁧⁩ ضمن معرف المستأجر ⁧⁩الشخصي⁧⁩، ويتم ⁧⁩إصدارها ⁧⁩ المتوفر إلى البرنامج النصي للتثبيت.

عندما تقترب الشهادة من تاريخ انتهاء الصلاحية، يجب إنشاء شهادة جديدة لتحل محلها. يتم إنجاز هذه العملية عن طريق تشغيل ⁧AzureMfaNpsExtnConfigSetup.ps1⁩ مرة أخرى، والاحتفاظ بنفس معرف المستأجر عند المطالبة. يجب تكرار هذه العملية على كل خادم NPS في بيئتك.

تكوين ملحق NPS الخاص بك

مع إعداد بيئتك، وتثبيت ملحق NPS الآن على الخوادم المطلوبة، يمكنك تكوين ملحق البرنامج.

يتضمن هذا القسم اعتبارات التصميم والاقتراحات لعمليات نشر تمديد NPS بنجاح.

قيود التكوين

  • لا يتضمن ملحق NPS للمصادقة متعددة العوامل Microsoft Azure AD أدوات لترحيل المستخدمين والإعدادات من خادم مصادقة متعددة العوامل (MFA) إلى شبكة النظير. ولهذا السبب، نقترح استخدام الملحق في عمليات النشر الجديدة، بدلاً من النشر الحالي. إذا كنت تستخدم الملحق في عملية نشر موجودة، يجب على المستخدمين إجراء عملية إثبات مرة أخرى لملء تفاصيل مصادقة متعددة العوامل الخاصة بهم في شبكة النظير.
  • يستخدم ملحق NPS UPN من بيئة AD DS المحلية لتحديد المستخدم في المصادقة متعددة العوامل Microsoft Azure AD لإجراء المصادقة الثانوية. يمكن تكوين الامتداد لاستخدام معرف مختلف؛ مثل: معرف تسجيل الدخول البديل، أو حقل AD DS المخصص بخلاف UPN. لمزيد من المعلومات، راجع المقالة، ⁧⁩خيارات التكوين المتقدمة لملحق NPS للمصادقة متعددة العوامل⁧⁩.
  • لا تدعم جميع بروتوكولات التشفير جميع طرق التحقق.
    • يدعم ⁧⁩PAP⁧⁩ المكالمات الهاتفية، والرسائل النصية أحادية الاتجاه، وإشعار تطبيق الهاتف المحمول، ورمز التحقق من تطبيق الهاتف المحمول
    • يدعم ⁧⁩CHAPV2⁧⁩ و ⁧⁩EAP⁧⁩ المكالمات الهاتفية، وإشعارات تطبيقات الأجهزة المحمولة

التحكم في عملاء RADIUS التي تتطلب مصادقة متعددة العوامل (MFA)

بمجرد تمكين مصادقة متعددة العوامل (MFA) لعميل RADIUS باستخدام ملحق NPS، فإن جميع المصادقات لهذا العميل مطلوبة لتنفيذ مصادقة متعددة العوامل (MFA). إذا كنت ترغب في تمكين مصادقة متعددة العوامل (MFA) لبعض عملاء RADIUS دون الآخرين، يمكنك تكوين خادمين NPS، وتثبيت الامتداد على واحد منهم فقط.

قم بتكوين عملاء RADIUS الذين تريد أن تطلب منهم مصادقة متعددة العوامل (MFA)، لإرسال الطلبات إلى خادم NPS المكوّن بالملحق، وعملاء RADIUS الآخرين إلى خادم NPS غير المهيأ بالامتداد.

الاستعداد للمستخدمين غير المسجلين في مصادقة متعددة العوامل (MFA)

إذا كان لديك مستخدمين غير مسجلين في مصادقة متعددة العوامل (MFA)، يمكنك تحديد ما يحدث عند محاولة المصادقة. للتحكم في هذا السلوك، استخدم الإعداد ⁧⁩REQUIRE_USER_MATCH⁧⁩ في مسار التسجيل ⁧⁩HKLM\Software\Microsoft\AzureMFA⁧⁩. يحتوي هذا الإعداد على خيار تكوين واحد:

المفتاح القيمة افتراضي
REQUIRE_USER_MATCH صحيح/ خطأ لم يتم تعيين (ما يعادل TRUE)

يحدد هذا الإعداد ما يجب فعله عندما لا يتم تسجيل مستخدم للمصادقة متعددة العوامل. عندما يكون المفتاح غير موجود، أو عدم تعيينه، أو تعيينه إلى ⁧⁩TRUE⁧⁩، ولم يتم تسجيل المستخدم، يفشل الملحق في تحدي مصادقة متعددة العوامل (MFA).

عند تعيين المفتاح إلى ⁧⁩FALSE⁧⁩، ولم يتم تسجيل المستخدم، تتم المصادقة دون تنفيذ مصادقة متعددة العوامل (MFA). إذا كان مستخدم مسجل في مصادقة متعددة العوامل (MFA)، يجب المصادقة مع مصادقة متعددة العوامل (MFA) حتى لو تم تعيين ⁧⁩REQUIRE_USER_MATCH⁧⁩ إلى ⁧⁩FALSE⁧⁩.

يمكنك اختيار إنشاء هذا المفتاح، وتعيينه إلى ⁧⁩FALSE⁧⁩ أثناء قيام المستخدمين بالتهيئة، وقد لا يتم تسجيلهم جميعًا للمصادقة متعددة العوامل في Microsoft Azure AD حتى الآن. ومع ذلك، نظرًا لأن تعيين المفتاح يسمح للمستخدمين غير المسجلين في مصادقة متعددة العوامل (MFA) بتسجيل الدخول، يجب عليك إزالة هذا المفتاح قبل الانتقال إلى الإنتاج.

استكشاف الأخطاء وإصلاحها

برنامج نصي للتحقق من صحة ملحق NPS

يتوفر البرنامج النصي التالي لتنفيذ الخطوات الأساسية للفحص الصحي عند استكشاف أخطاء ملحق NPS وإصلاحها.

⁩MFA_NPS_Troubleshooter.ps1⁦

كيفية إصلاح الخطأ "لم يتم العثور على كيان الخدمة" أثناء تشغيل البرنامج النصي AzureMfaNpsExtnConfigSetup.ps1 ؟

في حالة عدم إنشاء كيان الخدمة "Azure Multi-Factor Auth Client" في المستأجر، لأي سببٍ من الأسباب، فيمكن إنشاؤه يدوياً عن طريق تشغيل cmdlet New-MsolServicePrincipal كما هو موضح أدناه.

import-module MSOnline
Connect-MsolService
New-MsolServicePrincipal -AppPrincipalId 981f26a1-7f43-403b-a875-f8b09b8cd720 -DisplayName "Azure Multi-Factor Auth Client"

بمجرد الانتهاء ، انتقل إلى https://aad.portal.azure.com> "تطبيقات المؤسسة" > ابحث عن "عميل مصادقة Azure متعددة العوامل" > تحقق من خصائص هذا التطبيق > تأكد مما إذا كان مدير الخدمة ممكناً أو معطلاً > انقر فوق إدخال التطبيق > انتقل إلى خصائص التطبيق > إذا كان الخيار "تمكين للمستخدمين لتسجيل الدخول؟" مُعين إلى لا في خصائص هذا التطبيق، يُرجى تعيينه إلى نعم.

بادر بتشغيل البرنامج النصي AzureMfaNpsExtnConfigSetup.ps1 مرةً أخرى ويجب ألا يرجع الخطأ Service principal was not found.

كيف أعمل التحقق من تثبيت شهادة العميل بالشكل المتوقع؟

ابحث عن الشهادات الموقعة ذاتيًا التي أنشأها المثبت في مخزن الشهادات، وافحص من أن المفتاح الخاص لديه الأذونات الممنوحة للمستخدم⁧⁩خدمة شبكة⁧⁩. الشهادة لها اسم الموضوع لـCN<tenantid>، OU = ملحق اسم الملف Microsoft NPS

تتمتع الشهادات الموقعة ذاتيًا التي تم إنشاؤها بواسطة ⁧AzureMfaNpsExtnConfigSetup.ps1⁩البرنامج النصي بصلاحية تبلغ عامين. عند التحقق من تثبيت الشهادة، يجب عليك أيضًا التحقق من عدم انتهاء صلاحية الشهادة.

كيف يمكنني التحقق من أن شهادة العميل الخاصة بي مرتبطة بالمستأجر الخاص بي في Microsoft Azure AD؟

افتح موجه الأوامر، شغّل الأمر التالي:

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1

تطبع هذه الأوامر جميع الشهادات التي تربط المستأجر بمثيل امتداد NPS في جلسة PowerShell. ابحث عن شهادتك عن طريق تصدير شهادة العميل كملف ⁧⁩القاعدة -64 المشفرة X.509⁧⁩بدون المفتاح الخاص، وقارنها بالقائمة من PowerShell.

سيقوم الأمر التالي بإنشاء ملف باسم ⁧⁩npscertificate⁧⁩ في جذر ⁧⁩C:⁧⁩ محرك الأقراص بتنسيق ⁧⁩.cer⁧⁩.

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1 | select -ExpandProperty "value" | out-file c:\npscertificate.cer

بعد تشغيل هذا الأمر، انتقل إلى جذر محرك الأقراص ⁧⁩C:⁧⁩ حدد موقع الملف، وانقر نقرًا مزدوجًا فوقه. انتقل إلى التفاصيل، وانتقل لأسفل إلى "بصمة الإبهام". قارن بصمة الشهادة المثبتة على الخادم بهذه الصورة. يجب أن تتطابق بصمات الإبهام مع الشهادة.

يمكن استخدام ⁧⁩الطوابع الزمنية الصالحة من⁧⁩و⁧⁩الصالحة حتى⁧⁩، والتي تكون بصيغة يمكن للبشر قراءتها؛ لتصفية الحالات غير الملائمة الواضحة إذا كان الأمر يعيد أكثر من شهادة واحدة.

لماذا لا يمكنني تسجيل الدخول؟

تأكد من عدم انتهاء صلاحية كلمة مرورك. لا يدعم ملحق NPS تغيير كلمات المرور كجزء من سير عمل تسجيل الدخول. اتصل بموظفي تكنولوجيا المعلومات في مؤسستك؛ للحصول على مزيد من المساعدة.

لماذا تفشل طلباتي مع خطأ رمز الأمان المميز؟

قد يكون هذا الخطأ بسبب أحد الأسباب العديدة. استخدم الخطوات التالية لاستكشاف الأخطاء وإصلاحها:

  1. أعد تشغيل خادم NPS.
  2. تحقق من تثبيت شهادة العميل كما هو متوقع.
  3. تحقق من أن الشهادة مرتبطة بالمستأجر الخاص بك على Microsoft Azure AD.
  4. تحقق من أنه ⁧https://login.microsoftonline.com/⁩ يمكن الوصول إليها من الخادم الذي يقوم بتشغيل الملحق.

لماذا تفشل المصادقة مع وجود خطأ في سجلات HTTP يفيد بعدم العثور على المستخدم؟

تحقق من أن AD Connect قيد التشغيل، وأن المستخدم موجود في كل من بيئة AD DS المحلية، وفي Microsoft Azure AD.

لماذا أرى أخطاء اتصال HTTP في السجلات مع فشل جميع المصادقات الخاصة بي؟

تحقق من أن https://adnotifications.windowsazure.com، https://strongauthenticationservice.auth.microsoft.com يمكن الوصول إليه من الخادم الذي يشغل ملحق NPS.

لماذا لا تعمل المصادقة بالرغم من وجود شهادة صالحة؟

إذا انتهت صلاحية شهادة الكمبيوتر السابقة الخاصة بك، وتم إنشاء شهادة جديدة، فاحذف أي شهادات منتهية الصلاحية. يمكن أن تتسبب الشهادات منتهية الصلاحية في حدوث مشكلات ببدء ملحق NPS.

للتحقق مما إذا كان لديك شهادة صالحة، تحقق من ⁧⁩مخزن شهادات حساب الكمبيوتر⁧⁩ المحلي باستخدام MMC، وتأكد من أن الشهادة لم تجتاز تاريخ انتهاء صلاحيتها. لإنشاء شهادة صالحة حديثًا، أعد تشغيل الخطوات من ⁧⁩تشغيل البرنامج النصي المثبت PowerShell⁧⁩.

لماذا أرى الطلبات المهملة في سجلات خادم NPS؟

قد يرسل خادم VPN طلبات متكررة إلى خادم NPS إذا كانت قيمة المهلة منخفضة جدًا. يكتشف خادم NPS هذه الطلبات المكررة ويتجاهلها. هذا السلوك حسب التصميم، ولا يشير إلى مشكلة في خادم NPS، أو ملحق NPS للمصادقة متعددة العوامل Microsoft Azure AD.

لمزيد من المعلومات حول سبب مشاهدة الحزم المهملة في سجلات خادم NPS راجع ⁧⁩سلوك بروتوكول RADIUS، وامتداد NPS⁧⁩ في بداية هذه المقالة.

إدارة بروتوكولات TLS / SSL، ومجموعات التشفير

يوصى بتعطيل مجموعات التشفير الأقدم والأضعف، أو إزالتها ما لم تطلب مؤسستك ذلك. يمكن العثور على معلومات حول كيفية إكمال هذه المهمة في المقالة ⁧⁩إدارة بروتوكولات SSL/TLS، وأجنحة التشفير لـ AD FS⁧

استكشاف الأخطاء وإصلاحها

يمكن العثور على إرشادات إضافية لاستكشاف الأخطاء وإصلاحها، والحلول الممكنة في المقالة، ⁧⁩حل رسائل الخطأ من امتداد NPS للمصادقة متعددة العوامل Microsoft Azure AD⁧⁩.

الخطوات التالية