Erweiterte Konfigurationsoptionen für die NPS-Erweiterung der Multi-Faktor-Authentifizierung
Die Erweiterung für den Netzwerkrichtlinienserver (Network Policy Server, NPS) erweitert Ihre cloudbasierten Funktionen für die Multi-Faktor-Authentifizierung von Microsoft Entra auf Ihre lokale Infrastruktur. In diesem Artikel wird davon ausgegangen, dass Sie die Erweiterung bereits installiert haben und sie nun an Ihre Anforderungen anpassen möchten.
Alternative Anmelde-ID
Da die NPS-Erweiterung eine Verbindung zu Ihren lokalen Verzeichnissen und zu Ihren Cloudverzeichnissen herstellt, tritt möglicherweise ein Problem auf, wenn Ihre lokalen Benutzerprinzipalnamen (User Principal Names, UPNs) nicht mit den Namen in der Cloud übereinstimmen. Verwenden Sie alternative Anmelde-IDs, um dieses Problem zu beheben.
In der NPS-Erweiterung können Sie ein Active Directory-Attribut festlegen, das als UPN für die Multi-Faktor-Authentifizierung von Microsoft Entra verwendet werden soll. Dadurch können Sie Ihre lokalen Ressourcen mit einer zweistufigen Überprüfung schützen, ohne Ihre lokalen UPNs zu ändern.
Wechseln Sie zum Konfigurieren alternativer Anmelde-IDs zu HKLM\SOFTWARE\Microsoft\AzureMfa, und bearbeiten Sie die folgenden Registrierungswerte:
| Name | Type | Standardwert | BESCHREIBUNG |
|---|---|---|---|
| LDAP_ALTERNATE_LOGINID_ATTRIBUTE | string | Leer | Legen Sie den Namen des Active Directory-Attributs fest, das Sie als UPN verwenden möchten. Dieses Attribut wird als AlternateLoginId-Attribut verwendet. Wenn dieser Registrierungswert auf ein gültiges Active Directory-Attribut (z. B. mail oder displayName) festgelegt wird, wird der Wert des Attributs als UPN des Benutzers zur Authentifizierung verwendet. Wenn dieser Registrierungswert leer oder nicht konfiguriert ist, wird AlternateLoginId deaktiviert und der UPN des Benutzers wird zur Authentifizierung verwendet. |
| LDAP_FORCE_GLOBAL_CATALOG | boolean | False | Verwenden Sie dieses Flag, um die Verwendung des globalen Katalogs für LDAP-Suchvorgänge beim Suchen nach AlternateLoginId zu erzwingen. Konfigurieren Sie einen Domänencontroller als globalen Katalog, fügen Sie das AlternateLoginId-Attribut zum globalen Katalog hinzu, und aktivieren Sie dann dieses Flag. Wenn LDAP_LOOKUP_FORESTS konfiguriert (nicht leer) ist, wird dieses Flag als TRUE erzwungen, unabhängig vom Wert der Registrierungseinstellung. In diesem Fall erfordert die NPS-Erweiterung, dass der globale Katalog mit dem AlternateLoginId-Attribut für jede Gesamtstruktur konfiguriert werden kann. |
| LDAP_LOOKUP_FORESTS | string | Leer | Stellen Sie eine durch Semikolons getrennte Liste der Gesamtstrukturen bereit, die durchsucht werden sollen. Beispiel: contoso.com;foobar.com. Wenn dieser Registrierungswert konfiguriert wird, durchsucht die NPS-Erweiterung iterativ alle Gesamtstrukturen in der Reihenfolge, in der sie aufgelistet wurden, und gibt den ersten erfolgreichen AlternateLoginId-Wert zurück. Wenn dieser Registrierungswert nicht konfiguriert wird, ist die Suche nach AlternateLoginId auf die aktuelle Domäne beschränkt. |
Befolgen Sie zum Beheben von Problemen mit alternativen Anmelde-IDs die empfohlenen Schritte für Alternate login ID errors (Fehler bei alternativen Anmelde-IDs).
IP-Ausnahmen
Wenn Sie die Verfügbarkeit von Servern überwachen müssen, z.B. wenn durch Lastenausgleichsmodule vor dem Übermitteln von Workloads überprüft wird, welche Server ausgeführt werden, sollen diese Überprüfungen nicht durch Überprüfungsanfragen blockiert werden. Erstellen Sie stattdessen eine Liste von IP-Adressen, die von Dienstkonten verwendet werden, und deaktivieren Sie die Anforderungen der Multi-Faktor-Authentifizierung für diese Liste.
Wechseln Sie zu HKLM\SOFTWARE\Microsoft\AzureMfa, um eine Liste zulässiger IP-Adressen zu konfigurieren, und konfigurieren Sie den folgenden Registrierungswert:
| Name | Type | Standardwert | BESCHREIBUNG |
|---|---|---|---|
| IP_WHITELIST | string | Leer | Stellen Sie eine durch Semikolons getrennte Liste mit IP-Adressen bereit. Darunter sollten die IP-Adressen der Computer sein, von denen Serviceanforderungen stammen, wie der NAS/VPN-Server. IP-Adressbereiche und Subnetze werden nicht unterstützt. Beispiel: 10.0.0.1;10.0.0.2;10.0.0.3. |
Hinweis
Dieser Registrierungsschlüssel wird vom Installationsprogramm nicht standardmäßig erstellt, und beim Neustart des Dienstes wird ein Fehler im AuthZOptCH-Protokoll angezeigt. Dieser Fehler im Protokoll kann ignoriert werden. Wenn dieser Registrierungsschlüssel jedoch erstellt, leer gelassen und nicht benötigt wird, wird die Fehlermeldung nicht zurückgegeben.
Wenn eine Anforderung von einer IP-Adresse eingeht, die in IP_WHITELIST enthalten ist, wird die zweistufige Überprüfung übersprungen. Die IP-Liste wird mit der IP-Adresse verglichen, die im ratNASIPAddress-Attribut der RADIUS-Anforderung angegeben ist. Wenn eine RADIUS-Anforderung ohne das Attribut „ratNASIPAddress“ eingeht, wird eine Warnung protokolliert: „IP_WHITE_LIST_WARNING::IP Whitelist is being ignored as the source IP is missing in the RADIUS request NasIpAddress attribute.“ (IP_WHITE_LIST_WARNING::IP-Whitelist wird ignoriert, da die Quell-IP in der RADIUS-Anforderung im NasIpAddress-Attribut fehlt.)