Rozšířené možnosti konfigurace pro rozšíření NPS pro vícefaktorové ověřování
Rozšíření SERVERU NPS (Network Policy Server) rozšiřuje cloudové Microsoft Entra funkce vícefaktorového ověřování do místní infrastruktury. Tento článek předpokládá, že už máte rozšíření nainstalované a teď chcete vědět, jak ho přizpůsobit vašim potřebám.
Alternativní přihlašovací ID
Vzhledem k tomu, že se rozšíření NPS připojuje k místním i cloudovým adresářům, může dojít k problému, kdy se hlavní názvy místních uživatelů (UPN) neshodují s názvy v cloudu. Pokud chcete tento problém vyřešit, použijte alternativní přihlašovací ID.
V rámci rozšíření NPS můžete určit atribut služby Active Directory, který se použije jako hlavní název uživatele (UPN) pro Microsoft Entra vícefaktorové ověřování. To vám umožní chránit místní prostředky pomocí dvoustupňového ověření, aniž byste museli upravovat místní názvy UPN.
Pokud chcete nakonfigurovat alternativní ID přihlášení, přejděte na HKLM\SOFTWARE\Microsoft\AzureMfa a upravte následující hodnoty registru:
| Název | Typ | Výchozí hodnota | Description |
|---|---|---|---|
| LDAP_ALTERNATE_LOGINID_ATTRIBUTE | řetězec | Prázdné | Určete název atributu služby Active Directory, který chcete použít jako hlavní název uživatele (UPN). Tento atribut se používá jako atribut AlternateLoginId. Pokud je tato hodnota registru nastavená na platný atribut služby Active Directory (například mail nebo displayName), použije se hodnota tohoto atributu jako hlavní název uživatele (UPN) pro ověření. Pokud je tato hodnota registru prázdná nebo není nakonfigurovaná, je parametr AlternateLoginId zakázaný a k ověřování se použije hlavní název uživatele (UPN). |
| LDAP_FORCE_GLOBAL_CATALOG | boolean | Ne | Tento příznak použijte k vynucení použití globálního katalogu pro vyhledávání ldap při vyhledávání AlternateLoginId. Nakonfigurujte řadič domény jako globální katalog, přidejte atribut AlternateLoginId do globálního katalogu a pak povolte tento příznak. Pokud je nakonfigurovaná LDAP_LOOKUP_FORESTS (není prázdná), vynutí se tento příznak jako true bez ohledu na hodnotu nastavení registru. V tomto případě rozšíření serveru NPS vyžaduje, aby byl globální katalog nakonfigurovaný s atributem AlternateLoginId pro každou doménovou strukturu. |
| LDAP_LOOKUP_FORESTS | řetězec | Prázdné | Zadejte seznam doménových struktur oddělených středníkem, který chcete prohledat. Například contoso.com;foobar.com. Pokud je tato hodnota registru nakonfigurovaná, rozšíření NPS iterativně prohledá všechny doménové struktury v pořadí, ve kterém byly uvedeny, a vrátí první úspěšnou hodnotu AlternateLoginId. Pokud tato hodnota registru není nakonfigurována, vyhledávání AlternateLoginId je omezeno na aktuální doménu. |
Při řešení potíží s alternativními ID přihlášení použijte doporučený postup pro chyby s alternativním přihlašovacím ID.
Výjimky IP adres
Pokud potřebujete monitorovat dostupnost serveru, například když nástroje pro vyrovnávání zatížení před odesláním úloh ověřují, které servery jsou spuštěné, nechcete, aby tyto kontroly blokovaly žádosti o ověření. Místo toho vytvořte seznam IP adres, o kterých víte, že jsou používány účty služeb, a zakažte pro tento seznam požadavky na vícefaktorové ověřování.
Pokud chcete nakonfigurovat seznam povolených IP adres, přejděte na HKLM\SOFTWARE\Microsoft\AzureMfa a nakonfigurujte následující hodnotu registru:
| Název | Typ | Výchozí hodnota | Description |
|---|---|---|---|
| IP_WHITELIST | řetězec | Prázdné | Zadejte seznam IP adres oddělených středníkem. Uveďte IP adresy počítačů, ze kterých pocházejí žádosti o služby, jako je server NAS nebo VPN. Rozsahy IP adres a podsítě se nepodporují. Například 10.0.0.1;10.0.0.2;10.0.0.3. |
Poznámka
Instalační program ve výchozím nastavení tento klíč registru nevytvořil a při restartování služby se v protokolu AuthZOptCh zobrazí chyba. Tuto chybu v protokolu je možné ignorovat, ale pokud je tento klíč registru vytvořen a v případě potřeby ponechán prázdný, chybová zpráva se nevrátí.
Když požadavek přijde z IP adresy, která existuje v IP_WHITELIST, dvoustupňové ověření se přeskočí. Seznam IP adres se porovná s IP adresou, která je zadaná v atributu ratNASIPAddress požadavku RADIUS. Pokud požadavek RADIUS přijde bez atributu ratNASIPAddress, zaprotokoluje se upozornění: "IP_WHITE_LIST_WARNING::IP whitelist is ignored as the source IP is missing the source IP is missing in the RADIUS request NasIpAddress attribute."