Integrace stávající infrastruktury serveru NPS (Network Policy Server) s využitím služby Azure AD Multi-Factor Authentication

Rozšíření NPS (Network Policy Server) pro Azure AD Multi-Factor Authentication přidává cloudové funkce vícefaktorového ověřování do vaší ověřovací infrastruktury pomocí stávajících serverů. S rozšířením NPS můžete do stávajícího toku ověřování přidat telefonní hovor, textovou zprávu nebo ověření telefonní aplikace, aniž byste museli instalovat, konfigurovat a udržovat nové servery.

Rozšíření NPS funguje jako adaptér mezi protokolem RADIUS a cloudovým ověřováním Azure AD Multi-Factor Authentication, které poskytuje druhý faktor ověřování pro federované nebo synchronizované uživatele.

Jak funguje rozšíření NPS

Při použití rozšíření NPS pro Azure AD Multi-Factor Authentication zahrnuje tok ověřování následující komponenty:

  1. NaS/VPN Server přijímá požadavky klientů VPN a převádí je na požadavky RADIUS na servery NPS.
  2. Server NPS se připojí ke službě Active Directory Domain Services (AD DS), aby provedl primární ověřování požadavků RADIUS a po úspěchu předá požadavek všem nainstalovaným rozšířením.
  3. Rozšíření NPS aktivuje požadavek na službu Azure AD Multi-Factor Authentication pro sekundární ověřování. Jakmile rozšíření obdrží odpověď a pokud bude výzva MFA úspěšná, dokončí žádost o ověření tím, že serveru NPS poskytne tokeny zabezpečení, které zahrnují deklaraci identity MFA vydané službou Azure STS.

    Poznámka

    Uživatelé musí mít přístup k výchozí metodě ověřování, aby dokončili požadavek MFA. Nemůžou zvolit alternativní metodu. Výchozí metoda ověřování se použije i v případě, že je zakázaná v metodách ověřování tenanta a zásadách MFA.

  4. Azure AD MFA komunikuje se službou Azure Active Directory (Azure AD) a načítá podrobnosti uživatele a provádí sekundární ověřování pomocí metody ověřování nakonfigurované pro uživatele.

Následující diagram znázorňuje tento tok požadavků na ověřování vysoké úrovně:

Diagram of the authentication flow for user authenticating through a VPN server to NPS server and the Azure AD Multi-Factor Authentication NPS extension

Chování protokolu RADIUS a rozšíření NPS

Vzhledem k tomu, že protokol RADIUS je protokol UDP, odesílatel předpokládá ztrátu paketů a čeká na odpověď. Po určité době může dojít k vypršení časového limitu připojení. Pokud ano, paket se znovu odešle, protože odesílatel předpokládá, že paket nedosahoval cíle. Ve scénáři ověřování v tomto článku servery VPN odesílají požadavek a čekají na odpověď. Pokud dojde k vypršení časového limitu připojení, server VPN požadavek odešle znovu.

Diagram of RADIUS UDP packet flow and requests after timeout on response from NPS server

Server NPS nemusí reagovat na původní požadavek serveru VPN před vypršením časového limitu připojení, protože žádost MFA může být stále zpracována. Uživatel pravděpodobně nereagoval na výzvu MFA, takže rozšíření NPS služby Azure AD Multi-Factor Authentication čeká na dokončení této události. V takovém případě server NPS identifikuje další požadavky serveru VPN jako duplicitní požadavek. Server NPS tyto duplicitní požadavky serveru VPN zahodí.

Diagram of NPS server discarding duplicate requests from RADIUS server

Pokud se podíváte na protokoly serveru NPS, může se zobrazit, že se tyto další požadavky zahodí. Toto chování je návrhem, který chrání koncového uživatele před získáním více požadavků na jeden pokus o ověření. Zahozené požadavky v protokolu událostí serveru NPS neznačují problém se serverem NPS nebo rozšířením NPS Multi-Factor Authentication NPS.

Pokud chcete minimalizovat zahozené požadavky, doporučujeme, aby servery VPN byly nakonfigurované s časovým limitem nejméně 60 sekund. V případě potřeby nebo snížení zahozených požadavků v protokolech událostí můžete zvýšit hodnotu časového limitu serveru VPN na 90 nebo 120 sekund.

Kvůli tomuto chování protokolu UDP může server NPS obdržet duplicitní požadavek a odeslat další výzvu vícefaktorového ověřování, i když uživatel již odpověděl na počáteční požadavek. Aby se zabránilo tomuto časování, rozšíření NPS služby Azure AD Multi-Factor Authentication pokračuje v filtrování a zahození duplicitních požadavků po dobu až 10 sekund po odeslání úspěšné odpovědi na server VPN.

Diagram of NPS server continuing to discard duplicate requests from VPN server for ten seconds after a successful response is returned

V protokolech událostí serveru NPS se zase můžou zobrazovat zahozené požadavky, i když se výzva k vícefaktorovému ověřování Azure AD úspěšně zobrazila. Toto chování se očekává a neznamená problém se serverem NPS nebo rozšířením NPS Multi-Factor Authentication NPS.

Plánování nasazení

Rozšíření NPS automaticky zpracovává redundanci, takže nepotřebujete speciální konfiguraci.

Můžete vytvořit tolik serverů NPS s podporou služby Azure AD Multi-Factor Authentication, kolik potřebujete. Pokud instalujete více serverů, měli byste pro každý z nich použít rozdílový klientský certifikát. Vytvoření certifikátu pro každý server znamená, že každý certifikát můžete aktualizovat jednotlivě a nemusíte se starat o výpadky na všech serverech.

Servery VPN směrují požadavky na ověřování, takže musí vědět o nových serverech NPS s podporou služby Azure AD Multi-Factor Authentication.

Požadavky

Rozšíření NPS je určené pro práci s existující infrastrukturou. Než začnete, ujistěte se, že máte následující požadavky.

Licenses

Rozšíření NPS pro Azure AD Multi-Factor Authentication je dostupné zákazníkům s licencemi pro Azure AD Multi-Factor Authentication (součástí Azure AD Premium P1 a Premium P2 nebo Enterprise Mobility + Security). Licence založené na spotřebě pro službu Azure AD Multi-Factor Authentication, například na uživatele nebo na ověřovací licence, nejsou kompatibilní s rozšířením NPS.

Software

Windows Server 2012 nebo novější.

Knihovny

Musíte ručně nainstalovat následující knihovnu:

Následující knihovny se nainstalují automaticky s rozšířením.

Modul Microsoft Azure Active Directory pro Windows PowerShell se nainstaluje také prostřednictvím konfiguračního skriptu, který spustíte v rámci procesu instalace, pokud ještě není k dispozici. Pokud ještě není nainstalovaný, nemusíte tento modul předem instalovat.

Azure Active Directory

Všichni používající rozšíření NPS musí být synchronizovaní s Azure AD pomocí Azure AD Connect a musí být zaregistrovaní pro MFA.

Při instalaci rozšíření potřebujete ID tenanta a přihlašovací údaje správce pro vašeho tenanta Azure AD. Id tenanta získáte provedením následujících kroků:

  1. Přihlaste se k webu Azure Portal jako globální správce tenanta Azure.

  2. Vyhledejte a vyberte Azure Active Directory.

  3. Na stránce Přehled se zobrazí informace o tenantovi . Vedle ID tenanta vyberte ikonu Kopírovat , jak je znázorněno na následujícím příkladu snímku obrazovky:

    Getting the Tenant ID from the Azure portal

Síťové požadavky

Server NPS musí být schopný komunikovat s následujícími adresami URL přes porty 80 a 443:

  • https://strongauthenticationservice.auth.microsoft.com
  • https://strongauthenticationservice.auth.microsoft.us
  • https://strongauthenticationservice.auth.microsoft.cn
  • https://adnotifications.windowsazure.com
  • https://login.microsoftonline.com
  • https://credentials.azure.com

Připojení k následujícím adresám URL je navíc nutné k dokončení instalace adaptéru pomocí poskytnutého skriptu PowerShellu:

  • https://login.microsoftonline.com
  • https://provisioningapi.microsoftonline.com
  • https://aadcdn.msauth.net
  • https://www.powershellgallery.com
  • https://go.microsoft.com
  • https://aadcdn.msftauthimages.net

Příprava prostředí

Před instalací rozšíření NPS připravte prostředí na zpracování ověřovacího provozu.

Povolení role NPS na serveru připojeném k doméně

Server NPS se připojí k Azure AD a ověří požadavky MFA. Zvolte jeden server pro tuto roli. Doporučujeme zvolit server, který nezpracuje požadavky z jiných služeb, protože rozšíření NPS vyvolává chyby pro všechny požadavky, které nejsou protokolem RADIUS. Server NPS musí být nastavený jako primární a sekundární ověřovací server pro vaše prostředí. Nemůže proxy server proxy serverovat požadavky PROTOKOLU RADIUS na jiný server.

  1. Na serveru otevřete Správce serveru. V nabídce Rychlý start vyberte Průvodce přidáním rolí a funkcí.
  2. Pro typ instalace zvolte instalaci založenou na rolích nebo na základě funkcí.
  3. Vyberte roli serveru Network Policy and Access Services . Může se zobrazit okno s informacemi o dalších požadovaných funkcích ke spuštění této role.
  4. Pokračujte průvodcem až do stránky Potvrzení . Až budete připraveni, vyberte Nainstalovat.

Instalace role serveru NPS může trvat několik minut. Po dokončení pokračujte v následujících částech konfigurace tohoto serveru tak, aby zpracovával příchozí požadavky RADIUS z řešení VPN.

Konfigurace řešení VPN pro komunikaci se serverem NPS

V závislosti na tom, jaké řešení VPN používáte, se postup konfigurace zásad ověřování RADIUS liší. Nakonfigurujte zásady SÍTĚ VPN tak, aby odkazovali na server SERVERU RADIUS NPS.

Synchronizace uživatelů domény s cloudem

Tento krok už může být ve vašem tenantovi dokončený, ale je vhodné pečlivě zkontrolovat, jestli služba Azure AD Connect nedávno synchronizovala vaše databáze.

  1. Přihlaste se k webu Azure Portal jako správce.
  2. Výběr služby Azure Active Directory>Azure AD Connect
  3. Ověřte, že je stav synchronizace povolený a že poslední synchronizace byla před méně než hodinou.

Pokud potřebujete spustit nové kolo synchronizace, přečtěte si téma Synchronizace služby Azure AD Connect: Scheduler.

Určení metod ověřování, které můžou uživatelé používat

Existují dva faktory, které ovlivňují, které metody ověřování jsou k dispozici s nasazením rozšíření NPS:

  • Algoritmus šifrování hesel používaný mezi klientem RADIUS (serverem VPN, serverem Netscaler nebo jiným) a servery NPS.

    • PAP podporuje všechny metody ověřování služby Azure AD Multi-Factor Authentication v cloudu: telefonní hovor, jednosměrná textová zpráva, oznámení mobilní aplikace, hardwarové tokeny OATH a ověřovací kód mobilní aplikace.

    • Protokol CHAPV2 a EAP podporují telefonní hovor a oznámení mobilních aplikací.

      Poznámka

      Když nasadíte rozšíření NPS, použijte tyto faktory k vyhodnocení dostupných metod pro vaše uživatele. Pokud váš klient RADIUS podporuje PAP, ale uživatelské rozhraní klienta nemá vstupní pole pro ověřovací kód, pak telefonní hovor a oznámení mobilní aplikace jsou dvě podporované možnosti.

      Bez ohledu na použitý ověřovací protokol (PAP, CHAP nebo EAP), pokud je vaše metoda MFA textová (SMS, ověřovací kód mobilní aplikace nebo hardwarový token OATH) a vyžaduje, aby uživatel zadal kód nebo text do vstupního pole uživatelského rozhraní klienta VPN, může ověření proběhnout úspěšně. Všechny atributy RADIUS, které jsou nakonfigurované v zásadách přístupu k síti, se ale nepřesílají klientovi RADIUS (zařízení síťového přístupu, jako je brána VPN). V důsledku toho může mít klient VPN více přístupu, než potřebujete, nebo méně přístupu nebo žádný přístup.

      Jako alternativní řešení můžete spustit skript CrpUsernameStuffing pro předávání atributů RADIUS, které jsou nakonfigurované v zásadách síťového přístupu, a povolit vícefaktorové ověřování, pokud metoda ověřování uživatele vyžaduje použití hesla One-Time (OTP), jako je SMS, heslo Microsoft Authenticatoru nebo hardwarové FOB.

  • Metody zadávání, které klientská aplikace (server VPN, Netscaler nebo jiný) dokáže zpracovat. Má například klient VPN nějaký způsob, jak uživateli umožnit zadat ověřovací kód z textu nebo mobilní aplikace?

V Azure můžete zakázat nepodporované metody ověřování .

Registrace uživatelů pro vícefaktorové ověřování

Než nasadíte a použijete rozšíření NPS, musí být uživatelé, kteří musí provádět vícefaktorové ověřování Azure AD, zaregistrovaní pro vícefaktorové ověřování. K otestování rozšíření při jeho nasazení potřebujete také alespoň jeden testovací účet, který je plně zaregistrovaný pro Azure AD Multi-Factor Authentication.

Pokud potřebujete vytvořit a nakonfigurovat testovací účet, postupujte následovně:

  1. Přihlaste se pomocí https://aka.ms/mfasetup testovacího účtu.
  2. Podle pokynů nastavte metodu ověření.
  3. Na webu Azure Portal jako uživatel s rolí správce vytvořte zásadu podmíněného přístupu , která pro testovací účet vyžaduje vícefaktorové ověřování.

Důležité

Ujistěte se, že uživatelé úspěšně zaregistrovali službu Azure AD Multi-Factor Authentication. Pokud se uživatelé dříve zaregistrovali jenom pro samoobslužné resetování hesla (SSPR), je pro svůj účet povolená strongAuthenticationMethods . Azure AD Multi-Factor Authentication se vynucuje při konfiguraci StrongAuthenticationMethods , i když je uživatel zaregistrovaný jenom pro SSPR.

Kombinovanou registraci zabezpečení je možné povolit, která současně konfiguruje SSPR a Azure AD Multi-Factor Authentication. Další informace najdete v tématu Povolení kombinované registrace bezpečnostních informací v Azure Active Directory.

Můžete také vynutit, aby uživatelé znovu registrovali metody ověřování , pokud dříve povolili pouze samoobslužné resetování hesla.

Uživatelé, kteří se připojují k serveru NPS pomocí uživatelského jména a hesla, budou muset dokončit výzvu k vícefaktorovému ověřování.

Instalace rozšíření NPS

Důležité

Nainstalujte rozšíření NPS na jiný server než přístupový bod VPN.

Stažení a instalace rozšíření NPS pro Azure AD MFA

Pokud chcete stáhnout a nainstalovat rozšíření NPS, proveďte následující kroky:

  1. Stáhněte rozšíření NPS z webu Microsoft Download Center.
  2. Zkopírujte binární soubor na server zásad sítě, který chcete nakonfigurovat.
  3. Spusťte setup.exe a postupujte podle pokynů k instalaci. Pokud dojde k chybám, ujistěte se, že knihovny z oddílu předpokladů byly úspěšně nainstalovány.

Upgrade rozšíření NPS

Pokud později upgradujete stávající instalaci rozšíření NPS, abyste se vyhnuli restartování základního serveru, proveďte následující kroky:

  1. Odinstalujte existující verzi.
  2. Spusťte nový instalační program.
  3. Restartujte službu Network Policy Server (IAS).

Spuštění powershellového skriptu

Instalační program vytvoří skript PowerShellu na C:\Program Files\Microsoft\AzureMfa\Config adrese (kde C:\ je vaše instalační jednotka). Tento skript PowerShellu provede při každém spuštění následující akce:

  • Vytvoří certifikát podepsaný svým držitelem.
  • Přidruží veřejný klíč certifikátu k instančnímu objektu v Azure AD.
  • Uloží certifikát do úložiště certifikátů místního počítače.
  • Udělí přístup k privátnímu klíči certifikátu síťovému uživateli.
  • Restartuje službu NPS.

Pokud nechcete používat vlastní certifikáty (místo certifikátů podepsaných svým držitelem, které generuje skript PowerShellu), spusťte skript PowerShellu a dokončete instalaci rozšíření NPS. Pokud nainstalujete rozšíření na více serverů, každý server by měl mít svůj vlastní certifikát.

Pokud chcete zajistit možnosti vyrovnávání zatížení nebo redundanci, opakujte tento postup na dalších serverech NPS podle potřeby:

  1. Otevřete výzvu prostředí Windows PowerShell jako správce.

  2. Změňte adresáře na místo, kde instalační program vytvořil skript PowerShellu:

    cd "C:\Program Files\Microsoft\AzureMfa\Config"
    
  3. Spusťte skript PowerShellu vytvořený instalačním programem.

    Možná budete muset nejdřív povolit protokol TLS 1.2, aby se PowerShell mohl správně připojit a stáhnout balíčky:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

    Důležité

    Pro zákazníky, kteří používají cloudy Azure Government nebo Azure China 21Vianet, nejprve upravte Connect-MsolService rutiny v AzureMfaNpsExtnConfigSetup.ps1 skriptu tak, aby zahrnovaly parametry AzureEnvironmentu pro požadovaný cloud. Zadejte například -AzureEnvironment USGovernment nebo -AzureEnvironment AzureChinaCloud.

    Další informace najdete v tématu Referenční informace o parametrech Connect-MsolService.

    .\AzureMfaNpsExtnConfigSetup.ps1
    
  4. Po zobrazení výzvy se přihlaste k Azure AD jako správce.

  5. PowerShell zobrazí výzvu k zadání ID tenanta. V části Požadavky použijte identifikátor GUID ID tenanta , který jste zkopírovali z webu Azure Portal.

  6. Po dokončení skriptu se zobrazí zpráva o úspěchu.

Pokud vypršela platnost předchozího certifikátu počítače a vygeneroval se nový certifikát, měli byste odstranit všechny certifikáty, jejichž platnost vypršela. Vypršení platnosti certifikátů může způsobit problémy se spuštěním rozšíření NPS.

Poznámka

Pokud místo generování certifikátů pomocí skriptu PowerShellu používáte vlastní certifikáty, ujistěte se, že odpovídají konvenci vytváření názvů serveru NPS. Název subjektu musí být CN=<TenantID,OU>=Microsoft NPS Extension.

Další kroky pro Microsoft Azure Government nebo Azure China 21Vianet

Pro zákazníky, kteří používají cloudy Azure Government nebo Azure China 21Vianet, jsou na každém serveru NPS vyžadovány následující další kroky konfigurace.

Důležité

Tato nastavení registru nakonfigurujte jenom v případě, že jste zákazníkem Azure Government nebo Azure China 21Vianet.

  1. Pokud jste zákazníkem Azure Government nebo Azure China 21Vianet, otevřete Editor registru na serveru NPS.

  2. Přejděte na adresu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.

  3. Pro zákazníky Azure Government nastavte následující klíčové hodnoty:

    Klíč registru Hodnota
    AZURE_MFA_HOSTNAME strongauthenticationservice.auth.microsoft.us
    AZURE_MFA_RESOURCE_HOSTNAME adnotifications.windowsazure.us
    STS_URL https://login.microsoftonline.us/
  4. Pro zákazníky Azure China 21Vianet nastavte následující klíčové hodnoty:

    Klíč registru Hodnota
    AZURE_MFA_HOSTNAME strongauthenticationservice.auth.microsoft.cn
    AZURE_MFA_RESOURCE_HOSTNAME adnotifications.windowsazure.cn
    STS_URL https://login.chinacloudapi.cn/
  5. Opakujte předchozí dva kroky a nastavte hodnoty klíče registru pro každý server NPS.

  6. Restartujte službu NPS pro každý server NPS.

    Pokud chcete mít minimální dopad, vyčerpejte každý server NPS z obměně nlB po jednom a počkejte, až se všechna připojení vyprázdní.

Přechod na certifikát

U verze 1.0.1.32 rozšíření NPS se teď podporuje čtení více certifikátů. Tato funkce pomáhá před vypršením jejich platnosti usnadnit aktualizace kumulativních certifikátů. Pokud vaše organizace používá předchozí verzi rozšíření NPS, upgradujte na verzi 1.0.1.32 nebo vyšší.

Certifikáty vytvořené skriptem AzureMfaNpsExtnConfigSetup.ps1 jsou platné po dobu 2 let. Monitorujte certifikáty pro vypršení platnosti. Certifikáty pro rozšíření NPS jsou umístěny v úložišti certifikátů místního počítače v části Osobní a jsou vystaveny ID tenanta poskytnuté instalačnímu skriptu.

Pokud se certifikát blíží datu vypršení platnosti, měl by se vytvořit nový certifikát, který ho nahradí. Tento proces se provádí opětovným spuštěním AzureMfaNpsExtnConfigSetup.ps1 a zachováním stejného ID tenanta po zobrazení výzvy. Tento proces by se měl opakovat na každém serveru NPS ve vašem prostředí.

Konfigurace rozšíření NPS

S připraveným prostředím a rozšíření NPS teď nainstalované na požadovaných serverech můžete rozšíření nakonfigurovat.

Tato část obsahuje aspekty návrhu a návrhy pro úspěšná nasazení rozšíření NPS.

Omezení konfigurace

  • Rozšíření NPS pro Azure AD Multi-Factor Authentication nezahrnuje nástroje pro migraci uživatelů a nastavení z MFA Serveru do cloudu. Z tohoto důvodu doporučujeme místo existujícího nasazení použít rozšíření pro nová nasazení. Pokud rozšíření používáte v existujícím nasazení, musí uživatelé znovu provést kontrolu pravopisu a vyplnit podrobnosti vícefaktorového ověřování v cloudu.
  • Rozšíření NPS používá hlavní název uživatele (UPN) z místního prostředí AD DS k identifikaci uživatele ve službě Azure AD Multi-Factor Authentication pro provádění sekundárního ověřování. Rozšíření je možné nakonfigurovat tak, aby používalo jiný identifikátor, například alternativní přihlašovací ID nebo vlastní pole AD DS jiné než hlavní název uživatele (UPN). Další informace najdete v článku o rozšířených možnostech konfigurace rozšíření NPS pro vícefaktorové ověřování.
  • Ne všechny šifrovací protokoly podporují všechny metody ověřování.
    • PAP podporuje telefonní hovor, jednosměrnou textovou zprávu, oznámení mobilní aplikace a ověřovací kód mobilní aplikace.
    • Protokol CHAPV2 a EAP podporují telefonní hovor a oznámení mobilních aplikací

Řízení klientů RADIUS, kteří vyžadují vícefaktorové ověřování

Jakmile povolíte vícefaktorové ověřování pro klienta RADIUS pomocí rozšíření NPS, musí se k provedení vícefaktorového ověřování vyžadovat všechna ověřování pro tohoto klienta. Pokud chcete povolit vícefaktorové ověřování pro některé klienty RADIUS, ale ne pro jiné, můžete nakonfigurovat dva servery NPS a nainstalovat rozšíření jenom na jeden z nich.

Nakonfigurujte klienty RADIUS, které chcete vyžadovat, aby vícefaktorové ověřování odesílaly požadavky na server NPS nakonfigurované s rozšířením a další klienti RADIUS na server NPS, který není nakonfigurovaný s rozšířením.

Příprava pro uživatele, kteří nejsou zaregistrovaní pro vícefaktorové ověřování

Pokud máte uživatele, kteří nejsou zaregistrovaní pro vícefaktorové ověřování, můžete určit, co se stane, když se pokusí ověřit. Chcete-li toto chování řídit, použijte nastavení REQUIRE_USER_MATCH v cestě registru HKLM\Software\Microsoft\AzureMFA. Toto nastavení má jednu možnost konfigurace:

Klíč Hodnota Výchozí
REQUIRE_USER_MATCH PRAVDA/NEPRAVDA Nenastavuje se (ekvivalentní hodnotě PRAVDA)

Toto nastavení určuje, co dělat, když uživatel není zaregistrovaný pro vícefaktorové ověřování. Pokud klíč neexistuje, není nastavený nebo je nastavený na hodnotu TRUE a uživatel není zaregistrovaný, rozšíření selže s výzvou vícefaktorového ověřování.

Když je klíč nastavený na NEPRAVDA a uživatel není zaregistrovaný, ověřování pokračuje bez provádění vícefaktorového ověřování. Pokud je uživatel zaregistrovaný v MFA, musí se ověřit pomocí vícefaktorového ověřování, i když je REQUIRE_USER_MATCH nastavená na FALSE.

Tento klíč můžete vytvořit a nastavit ho na NEPRAVDA , když se vaši uživatelé připojují, a nemusí se všechna zaregistrovat do služby Azure AD Multi-Factor Authentication. Vzhledem k tomu, že nastavení klíče umožňuje uživatelům, kteří nejsou zaregistrovaní pro vícefaktorové ověřování, abyste se přihlásili, měli byste tento klíč před přechodem do produkčního prostředí odebrat.

Řešení potíží

Skript kontroly stavu rozšíření NPS

Následující skript je k dispozici k provedení základních kroků kontroly stavu při řešení potíží s rozšířením NPS.

MFA_NPS_Troubleshooter.ps1

Jak opravit chybu Instanční objekt nebyl nalezen při spuštění AzureMfaNpsExtnConfigSetup.ps1 skriptu?

Pokud z nějakého důvodu instanční objekt služby Azure Multi-Factor Auth nebyl vytvořen v tenantovi, můžete ho ručně vytvořit spuštěním New-MsolServicePrincipal rutiny, jak je znázorněno níže.

import-module MSOnline
Connect-MsolService
New-MsolServicePrincipal -AppPrincipalId 981f26a1-7f43-403b-a875-f8b09b8cd720 -DisplayName "Azure Multi-Factor Auth Client"

Po dokončení přejděte na https://aad.portal.azure.com> "Podnikové aplikace" > Vyhledejte "Klient Azure Multi-Factor Auth" > Zkontrolujte vlastnosti této aplikace > . Ověřte, jestli je instanční objekt povolený nebo zakázaný > , klikněte na položku > Aplikace Přejít na vlastnosti aplikace > , pokud je možnost Povolit uživatelům přihlášení? je nastavena na Ne ve vlastnostech této aplikace, nastavte ji prosím na Ano.

AzureMfaNpsExtnConfigSetup.ps1 Spusťte skript znovu a neměla by vrátit Service principal was not found chybu.

Jak ověřím, že je klientský certifikát nainstalovaný podle očekávání?

Vyhledejte certifikát podepsaný svým držitelem vytvořený instalačním programem v úložišti certifikátů a zkontrolujte, jestli má privátní klíč udělená oprávnění pro službu NETWORK SERVICE uživatele. Certifikát má název subjektu id tenanta> CN<, OU = Rozšíření Microsoft NPS.

Certifikáty podepsané svým držitelem generované skriptem AzureMfaNpsExtnConfigSetup.ps1 mají dobu platnosti dvou let. Při ověřování, že je certifikát nainstalovaný, byste měli také zkontrolovat, jestli certifikát nevypršel.

Jak můžu ověřit, že je klientský certifikát přidružený k mému tenantovi ve službě Azure AD?

Otevřete příkazový řádek PowerShellu a spusťte následující příkazy:

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1

Tyto příkazy vytisknou všechny certifikáty asociující vašeho tenanta s vaší instancí rozšíření NPS v relaci PowerShellu. Vyhledejte certifikát exportem certifikátu klienta jako soubor X.509(.cer) s kódováním Base-64 bez soukromého klíče a porovnejte ho se seznamem z PowerShellu.

Následující příkaz vytvoří soubor s názvem npscertificate v kořenovém adresáři jednotky C: ve formátu .cer.

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1 | select -ExpandProperty "value" | out-file c:\npscertificate.cer

Po spuštění tohoto příkazu přejděte do kořenového adresáře jednotky C: , vyhledejte soubor a poklikejte na něj. Přejděte na podrobnosti a posuňte se dolů na kryptografický otisk. Porovnejte kryptografický otisk certifikátu nainstalovaného na serveru s tímto certifikátem. Kryptografické otisky certifikátu by se měly shodovat.

Valid-From a Valid-Until timestamps, které jsou v lidské čitelné podobě, lze použít k vyfiltrovat zřejmé chybné možnosti, pokud příkaz vrátí více než jeden certifikát.

Proč se nemůžu přihlásit?

Zkontrolujte, jestli vaše heslo nevypršelo. Rozšíření NPS nepodporuje změnu hesel jako součást pracovního postupu přihlašování. Pokud potřebujete další pomoc, obraťte se na it pracovníky vaší organizace.

Proč moje požadavky selhávají s chybou tokenu zabezpečení?

Příčinou této chyby může být jeden z několika důvodů. Při řešení potíží použijte následující kroky:

  1. Restartujte server NPS.
  2. Ověřte, že je klientský certifikát nainstalovaný podle očekávání.
  3. Ověřte, že je certifikát přidružený k vašemu tenantovi ve službě Azure AD.
  4. Ověřte, že ze serveru, na kterém se spouští rozšíření, je přístupný web https://login.microsoftonline.com/.

Proč ověřování selže s chybou v protokolech HTTP, které hlásí, že uživatel nebyl nalezen?

Ověřte, že je služba AD Connect spuštěná a jestli je uživatel v místním prostředí služby AD DS i v Azure AD.

Proč se v protokolech zobrazují chyby připojení HTTP se všemi ověřováními, které selhávají?

Ověřte, https://strongauthenticationservice.auth.microsoft.com že https://adnotifications.windowsazure.comje dostupný ze serveru, na kterém běží rozšíření NPS.

Proč ověřování nefunguje, i když existuje platný certifikát?

Pokud vypršela platnost předchozího certifikátu počítače a vygeneroval se nový certifikát, odstraňte všechny certifikáty, jejichž platnost vypršela. Vypršení platnosti certifikátů může způsobit problémy se spuštěním rozšíření NPS.

Pokud chcete zkontrolovat, jestli máte platný certifikát, zkontrolujte úložiště certifikátů účtu místního počítače pomocí konzoly MMC a ujistěte se, že certifikát nepřešel datum vypršení platnosti. Pokud chcete vygenerovat nově platný certifikát, spusťte znovu kroky z instalačního skriptu PowerShellu.

Proč se v protokolech serveru NPS zobrazují zahozené požadavky?

Server VPN může odesílat opakované požadavky na server NPS, pokud je hodnota časového limitu příliš nízká. Server NPS tyto duplicitní požadavky detekuje a zahodí je. Toto chování je založené na návrhu a neznamená problém se serverem NPS nebo rozšířením NPS služby Azure AD Multi-Factor Authentication.

Další informace o tom, proč se v protokolech serveru NPS zobrazují zahozené pakety, najdete v tématu Chování protokolu RADIUS a rozšíření NPS na začátku tohoto článku.

Správa protokolů TLS a SSL a šifrovacích sad

Doporučuje se zakázat nebo odebrat starší a slabší šifrovací sady, pokud to vaše organizace nevyžaduje. Informace o tom, jak tuto úlohu dokončit, najdete v článku Správa protokolů SSL/TLS a šifrovacích sad pro SLUŽBU AD FS.

Další řešení potíží

Další pokyny k řešení potíží a možná řešení najdete v článku Řešení chybových zpráv z rozšíření NPS pro Azure AD Multi-Factor Authentication.

Další kroky