Rozšířené možnosti konfigurace rozšíření NPS pro službu Multi-Factor Authentication

Rozšíření NPS (Network Policy Server) rozšiřuje cloudové funkce Azure AD Multi-Factor Authentication do místní infrastruktury. Tento článek předpokládá, že už máte nainstalované rozšíření a teď chcete vědět, jak přizpůsobit rozšíření pro vaše potřeby.

Alternativní přihlašovací ID

Vzhledem k tomu, že se rozšíření NPS připojuje k místním i cloudovým adresářům, může nastat problém, kdy vaše místní hlavní názvy uživatelů (UPN) neodpovídají názvům v cloudu. K vyřešení tohoto problému použijte alternativní ID přihlášení.

V rámci rozšíření NPS můžete určit atribut Active Directory, který se má použít jako hlavní název uživatele (UPN) pro Azure AD Multi-Factor Authentication. To vám umožní chránit místní prostředky pomocí dvoustupňového ověření beze změny místních hlavních názvů(UPN).

Pokud chcete nakonfigurovat alternativní PŘIHLAŠOVACÍ ID, přejděte na HKLM\SOFTWARE\Microsoft\AzureMfa následující hodnoty registru a upravte je:

Název Typ Výchozí hodnota Popis
LDAP_ALTERNATE_LOGINID_ATTRIBUTE řetězec Prázdné Určete název atributu Active Directory, který chcete použít jako hlavní název uživatele (UPN). Tento atribut se používá jako atribut AlternateLoginId. Pokud je tato hodnota registru nastavená na platný atribut Active Directory (například pošta nebo displayName), použije se hodnota atributu jako hlavní název uživatele pro ověřování. Pokud je tato hodnota registru prázdná nebo není nakonfigurovaná, je funkce AlternateLoginId zakázaná a hlavní název uživatele (UPN) se používá k ověřování.
LDAP_FORCE_GLOBAL_CATALOG boolean Ne Tento příznak použijte k vynucení použití globálního katalogu pro vyhledávání LDAP při vyhledávání AlternateLoginId. Nakonfigurujte řadič domény jako globální katalog, přidejte do globálního katalogu atribut AlternateLoginId a potom tento příznak povolte.

Pokud je LDAP_LOOKUP_FORESTS nakonfigurované (není prázdné), tento příznak se vynucuje jako true bez ohledu na hodnotu nastavení registru. V tomto případě rozšíření NPS vyžaduje konfiguraci globálního katalogu s atributem AlternateLoginId pro každou doménovou strukturu.
LDAP_LOOKUP_FORESTS řetězec Prázdné Zadejte seznam doménových struktur oddělených středníky, který chcete vyhledat. Například contoso.com;foobar.com. Pokud je tato hodnota registru nakonfigurovaná, rozšíření NPS iterativní prohledá všechny doménové struktury v pořadí, ve kterém byly uvedeny, a vrátí první úspěšnou hodnotu AlternateLoginId. Pokud tato hodnota registru není nakonfigurovaná, je vyhledávání AlternateLoginId omezené na aktuální doménu.

Při řešení potíží s alternativními ID přihlášení použijte doporučený postup pro chyby alternativního přihlašovacího ID.

Výjimky PROTOKOLU IP

Pokud potřebujete monitorovat dostupnost serveru, například pokud nástroje pro vyrovnávání zatížení ověřují, které servery běží před odesíláním úloh, nechcete, aby tyto kontroly byly blokovány požadavky na ověření. Místo toho vytvořte seznam IP adres, které znáte v účtech služeb, a zakažte požadavky služby Multi-Factor Authentication pro tento seznam.

Pokud chcete nakonfigurovat seznam povolených IP adres, přejděte na HKLM\SOFTWARE\Microsoft\AzureMfa následující hodnotu registru a nakonfigurujte ji:

Název Typ Výchozí hodnota Popis
IP_WHITELIST řetězec Prázdné Zadejte seznam IP adres oddělených středníky. Uveďte IP adresy počítačů, ze kterých pocházejí požadavky na služby, jako je server NAS/VPN. Rozsahy IP adres a podsítě se nepodporují.

Například 10.0.0.1;10.0.0.2;10.0.0.3.

Poznámka

Tento klíč registru není ve výchozím nastavení vytvořen instalačním programem a při restartování služby se v protokolu AuthZOptCh zobrazí chyba. Tuto chybu v protokolu je možné ignorovat, ale pokud se tento klíč registru vytvoří a v případě potřeby ponechá prázdný, chybová zpráva se nevrátí.

Když požadavek pochází z IP adresy, která v této IP_WHITELISTčásti existuje, dvoustupňové ověření se přeskočí. Seznam IP adres se porovnává s IP adresou, která je uvedena v atributu ratNASIPAddress požadavku RADIUS. Pokud se požadavek RADIUS objeví bez atributu ratNASIPAddress, zaprotokoluje se upozornění: "IP_WHITE_LIST_WARNING::IP whitelist se ignoruje, protože zdrojová IP adresa chybí v atributu nasIpAddress požadavku RADIUS."

Další kroky