Pokročilé možnosti konfigurace rozšíření NPS pro vícefaktorové ověřování
Rozšíření NPS (Network Policy Server) rozšiřuje cloudové funkce vícefaktorového ověřování Microsoft Entra do vaší místní infrastruktury. Tento článek předpokládá, že už máte rozšíření nainstalované a teď chcete vědět, jak přizpůsobit rozšíření podle svých potřeb.
Alternativní přihlašovací ID
Vzhledem k tomu, že se rozšíření NPS připojuje k místním i cloudovým adresářům, může nastat problém, kdy se hlavní názvy místních uživatelů (UPN) neshodují s názvy v cloudu. Pokud chcete tento problém vyřešit, použijte alternativní ID přihlášení.
V rámci rozšíření NPS můžete určit atribut služby Active Directory, který se použije jako hlavní název uživatele (UPN) pro vícefaktorové ověřování Microsoft Entra. To vám umožní chránit místní prostředky pomocí dvoustupňového ověřování beze změny místních hlavních názvů domén.
Pokud chcete nakonfigurovat alternativní ID přihlášení, přejděte na HKLM\SOFTWARE\Microsoft\AzureMfa následující hodnoty registru a upravte je:
| Name | Type | Default value | Popis |
|---|---|---|---|
| LDAP_ALTERNATE_LOGINID_ATTRIBUTE | string | Prázdné | Určete název atributu služby Active Directory, který chcete použít jako hlavní název uživatele (UPN). Tento atribut se používá jako atribut AlternateLoginId. Pokud je tato hodnota registru nastavená na platný atribut služby Active Directory (například mail nebo displayName), použije se hodnota atributu jako hlavní název uživatele (UPN) pro ověřování. Pokud je tato hodnota registru prázdná nebo není nakonfigurovaná, je hodnota AlternateLoginId zakázaná a hlavní název uživatele (UPN) se použije k ověřování. |
| LDAP_FORCE_GLOBAL_CATALOG | boolean | False | Tento příznak použijte k vynucení použití globálního katalogu pro vyhledávání LDAP při vyhledávání AlternateLoginId. Nakonfigurujte řadič domény jako globální katalog, přidejte do globálního katalogu atribut AlternateLoginId a pak tento příznak povolte. Pokud je LDAP_LOOKUP_FORESTS nakonfigurován (není prázdný), tento příznak se vynucuje jako true bez ohledu na hodnotu nastavení registru. V tomto případě rozšíření NPS vyžaduje konfiguraci globálního katalogu s atributem AlternateLoginId pro každou doménovou strukturu. |
| LDAP_LOOKUP_FORESTS | string | Prázdné | Zadejte seznam doménových struktur oddělených středníkem, který se má prohledávat. Například contoso.com; foobar.com. Pokud je tato hodnota registru nakonfigurovaná, rozšíření NPS iterativním způsobem prohledá všechny doménové struktury v pořadí, v jakém byly uvedeny, a vrátí první úspěšnou hodnotu AlternateLoginId. Pokud tato hodnota registru není nakonfigurovaná, vyhledávání AlternateLoginId je omezené na aktuální doménu. |
Při řešení potíží s alternativními ID přihlášení použijte doporučený postup pro chyby alternativního přihlašovacího ID.
Výjimky IP adres
Pokud potřebujete monitorovat dostupnost serveru, například pokud nástroje pro vyrovnávání zatížení ověřují, které servery jsou spuštěné před odesíláním úloh, nechcete, aby tyto kontroly byly blokovány žádostmi o ověření. Místo toho vytvořte seznam IP adres, o kterých víte, že jsou používány účty služeb, a zakažte požadavky na vícefaktorové ověřování pro tento seznam.
Pokud chcete nakonfigurovat seznam povolených IP adres, přejděte na HKLM\SOFTWARE\Microsoft\AzureMfa následující hodnotu registru a nakonfigurujte ji:
| Name | Type | Default value | Popis |
|---|---|---|---|
| IP_WHITELIST | string | Prázdné | Zadejte seznam IP adres oddělených středníkem. Uveďte IP adresy počítačů, ze kterých pocházejí požadavky na služby, jako je server NAS/VPN. Rozsahy IP adres a podsítě se nepodporují. Například 10.0.0.1; 10.0.0.2; 10.0.0.3. |
Poznámka:
Tento klíč registru není ve výchozím nastavení vytvořen instalačním programem a při restartování služby se v protokolu AuthZOptCh zobrazí chyba. Tuto chybu v protokolu lze ignorovat, ale pokud je tento klíč registru vytvořen a ponechán prázdný, pokud není potřeba, chybová zpráva se nevrátí.
Když požadavek pochází z IP adresy, která existuje v nástroji IP_WHITELIST, dvoustupňové ověření se přeskočí. Seznam IP adres se porovnává s IP adresou, která je k dispozici v atributu ratNASIPAddress požadavku RADIUS. Pokud se požadavek RADIUS objeví bez atributu ratNASIPAddress, zaprotokoluje se upozornění: "IP_WHITE_LIST_WARNING::SEZNAM povolených IP adres se ignoruje, protože zdrojová IP adresa v atributu NasIpAddress požadavku RADIUS chybí."