Opciones de configuración avanzada para la extensión NPS para la autenticación multifactor
Artikulua
La extensión Servidor de directivas de redes (NPS) amplía las características de autenticación multifactor de Microsoft Entra basada en la nube a la infraestructura local. En este artículo se supone que ya tiene la extensión instalada y ahora desea saber cómo personalizarla conforme a sus necesidades.
Identificador de inicio de sesión alternativo
Puesto que la extensión NPS se conecta a los directorios locales y de la nube, puede tener problemas donde los nombres principales de usuario (UPN) locales no coincidan con los nombres existentes en la nube. Para solucionar este problema, use identificadores de inicio de sesión alternativos.
Dentro de la extensión NPS, puede designar un atributo de Active Directory para que se use como UPN para la autenticación multifactor de Microsoft Entra. Esto le permite proteger los recursos locales con la verificación en dos pasos sin modificar los UPN locales.
Para configurar identificadores de inicio de sesión alternativos, vaya a HKLM\SOFTWARE\Microsoft\AzureMfa y edite los siguientes valores del Registro:
Nombre
Type
Valor predeterminado
Descripción
LDAP_ALTERNATE_LOGINID_ATTRIBUTE
string
Vacío
Designe el nombre del atributo de Active Directory que quiere usar como UPN. Este atributo se utiliza como el atributo AlternateLoginId. Si este valor del Registro se establece en un atributo de Active Directory válido (por ejemplo, mail o displayName), el valor del atributo se usa como UPN del usuario para la autenticación. Si este valor del registro está vacío o no está configurado, AlternateLoginId se deshabilita y el UPN del usuario se utiliza para la autenticación.
LDAP_FORCE_GLOBAL_CATALOG
boolean
False
Use esta marca para exigir el uso del catálogo global para búsquedas LDAP al buscar AlternateLoginId. Configure un controlador de dominio como catálogo global, agregue el atributo AlternateLoginId a dicho catálogo y luego habilite esta marca.
Si LDAP_LOOKUP_FORESTS se ha configurado (no vacío), se exige que esta marca sea true, independientemente del valor de la configuración del Registro. En este caso, la extensión NPS requiere que el catálogo global esté configurado con el atributo AlternateLoginId para cada bosque.
LDAP_LOOKUP_FORESTS
string
Vacío
Proporcione una lista separada por puntos y coma de bosques para buscar. Por ejemplo, contoso.com;foobar.com. Si se configura este valor del Registro, la extensión NPS busca iterativamente en todos los bosques en el orden en el que se muestran y devuelve el primer valor AlternateLoginId correcto. Si este valor del Registro no está configurado, la búsqueda de AlternateLoginId se limita al dominio actual.
Si necesita supervisar la disponibilidad del servidor, como si los equilibradores de carga comprueban qué servidores se ejecutan antes de enviar cargas de trabajo, no deseará que las solicitudes de verificación bloqueen estas comprobaciones. En su lugar, cree una lista de direcciones IP que sepa que las cuentas de servicio utilizan y deshabilite los requisitos de autenticación multifactor de esa lista.
Para configurar una lista de direcciones IP permitidas, vaya a HKLM\SOFTWARE\Microsoft\AzureMfa y configure el siguiente valor del Registro:
Nombre
Type
Valor predeterminado
Descripción
IP_WHITELIST
string
Vacío
Proporcione una lista separada por puntos y coma de direcciones IP. Incluya las direcciones IP de las máquinas donde se originan las solicitudes de servicio, como el servidor NAS/VPN. Los intervalos de direcciones IP y las subredes no se admiten.
Por ejemplo, 10.0.0.1;10.0.0.2;10.0.0.3.
Oharra
El instalador no crea esta clave del registro de manera predeterminada y aparece un error en el registro AuthZOptCh cuando se reinicia el servicio. Este error en el registro se puede pasar por alto, pero si se crea esta clave del registro y se deja vacía si no es necesaria, no se devuelve el mensaje de error.
Cuando llega una solicitud procedente de una dirección IP que existe en IP_WHITELIST, se omite la verificación en dos pasos. La lista de direcciones IP se compara con la dirección IP que se proporciona en el atributo ratNASIPAddress de la solicitud RADIUS. Si llega una solicitud RADIUS sin el atributo ratNASIPAddress, se registra una advertencia: "La lista de permitidos P_WHITE_LIST_WARNING::IP se ha omitido porque la dirección IP de origen falta en la solicitud RADIUS en el atributo NasIpAddress".
La autenticación multifactor ayuda a proteger el entorno y los recursos, ya que requiere que los usuarios confirmen su identidad mediante varios métodos de autenticación, como una llamada de teléfono, un mensaje de texto, una notificación de aplicación móvil o una contraseña de un solo uso. Puede usar la autenticación multifactor tanto en el entorno local como en la nube para agregar seguridad para acceder a Microsoft servicios en línea, aplicaciones de acceso remoto, etc. Esta ruta de aprendizaje proporcio
Muestre las características de Microsoft Entra ID para modernizar las soluciones de identidad, implementar soluciones híbridas e implementar la gobernanza de identidades.
Aprenda a utilizar las capacidades de autenticación multifactor de Microsoft Entra con su infraestructura de autenticación de servidor de políticas de red (NPS) existente
Integre la infraestructura de VPN con la autenticación multifactor de Microsoft Entra ID mediante la extensión Servidor de directivas de redes para Microsoft Azure.
Obtenga información sobre la integración de la autenticación RADIUS de P2S con el servidor de directivas de redes (NPS) para la autenticación multifactor (MFA) de punto a sitio.