Getting started with the Azure Multi-Factor Authentication Server

Ezen a lapon a kiszolgáló új telepítését és helyszíni Active Directoryval való beállítását ismertetjük. Ha már telepített MFA-kiszolgálót és frissíteni szeretné, tekintse meg a legújabb Azure Multi-Factor Authentication-kiszolgálóra való frissítéssel kapcsolatos témakört. Ha csak a webszolgáltatás telepítésével kapcsolatban keres információt, tekintse meg Az Azure Multi-Factor Authentication-kiszolgáló Mobile App Web Service szolgáltatásának telepítése című témakört.

Fontos

2022 szeptemberében a Microsoft bejelentette az Azure Multi-Factor Authentication-kiszolgáló elavulását. 2024. szeptember 30-tól az Azure Multi-Factor Authentication Server üzemelő példányai már nem fognak többtényezős hitelesítési kéréseket kiszolgálni, ami a szervezet hitelesítéseinek meghiúsulását okozhatja. A zavartalan hitelesítési szolgáltatások biztosítása és a támogatott állapot megőrzése érdekében a szervezeteknek át kell telepíteniük felhasználóik hitelesítési adatait a felhőalapú Microsoft Entra többtényezős hitelesítési szolgáltatásba az Azure Multi-Factor Authentication Server legújabb frissítésében szereplő legújabb Migrálási segédprogram használatával. További információ: Azure Multi-Factor Authentication Server Migration.

A felhőalapú MFA használatának megkezdéséhez tekintse meg a következő oktatóanyagot: A felhasználók bejelentkezési eseményeinek biztonságossá tételét azure-beli többtényezős hitelesítéssel.

Az üzembe helyezés megtervezése

Az Azure Multi-Factor Authentication-kiszolgáló letöltése előtt fontolja meg, milyen terhelési és magas rendelkezésre állási követelményekkel rendelkezik. Ezen információ alapján döntse el, hogyan és hol szeretné üzembe helyezni.

A szükséges memóriamennyiség megfelelő útmutatója a rendszeres hitelesítésre váró felhasználók száma.

Felhasználók	RAM
1–10 000	4 GB
10 001–50 000	8 GB
50 001–100 000	12 GB
100 000–200 001	16 GB
200 001+	32 GB

Szüksége van több kiszolgáló beállítására magas rendelkezésre álláshoz vagy terheléselosztáshoz? Ezt a konfigurációt többféleképpen is beállíthatja az Azure Multi-Factor Authentication-kiszolgálóval. Az első Azure Multi-Factor Authentication-kiszolgáló telepítésekor az lesz a főkiszolgáló. Minden más kiszolgáló alárendelt lesz, és automatikusan szinkronizálja a felhasználókat és a konfigurációt a főkiszolgálóval. Ekkor konfigurálhat egy elsődleges kiszolgálót, a többit pedig használhatja biztonsági másolathoz, vagy beállíthat terheléselosztást a kiszolgálók között.

Amikor egy fő Azure Multi-Factor Authentication-kiszolgáló offline állapotba kerül, az alárendelt kiszolgálók továbbra is feldolgozhatják a kétlépéses ellenőrzési kéréseket. Új felhasználókat azonban nem vehet fel, és a meglévő felhasználók nem frissíthetik a beállításaikat, amíg a főkiszolgáló megint elérhetővé nem válik, vagy egy alárendelt kiszolgálót elő nem léptet.

Prepare your environment

Győződjön meg arról, hogy a többtényezős Azure-hitelesítéshez használt kiszolgáló megfelel az alábbi követelményeknek.

Az Azure Multi-Factor Authentication-kiszolgáló követelményei	Leírás
Hardware	200 MB merevlemez-terület x32-es vagy x64-es verzió futtatására képes processzor Legalább 1 GB RAM
Software	Windows Server 20221 Windows Server 20191 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008/R2 (csak ESU-val) Windows 10 Windows 8.1, minden kiadás Windows 8, minden kiadás Windows 7, minden kiadás (csak ESU-val) Microsoft .NET-keretrendszer 4.0 IIS 7.0 vagy újabb a felhasználói portál vagy a web service SDK telepítésekor
Permissions	Tartományi Rendszergazda istrator vagy Enterprise Rendszergazda istrator-fiók az Active Directoryban való regisztrációhoz

¹Ha az Azure Multi-Factor Authentication Server nem aktiválódik egy Windows Server 2019 vagy újabb rendszerű Azure-beli virtuális gépen, próbálkozzon a Windows Server egy korábbi verziójával.

Az Azure Multi-Factor Authentication-kiszolgáló összetevői

Három webösszetevő alkotja az Azure Multi-Factor Authentication-kiszolgálót:

• Webszolgáltatás SDK – Engedélyezi a kommunikációt a többi összetevővel, és telepítve van a Microsoft Entra többtényezős hitelesítési alkalmazáskiszolgálón
• Felhasználói portál – IIS-webhely, amely lehetővé teszi a felhasználók számára az Azure többtényezős hitelesítésbe való regisztrációt és a fiókjuk karbantartását.
• Mobile App Web Service – Lehetővé teszi a Microsoft Authenticatorhoz hasonló mobilalkalmazások használatát a kétlépéses ellenőrzéshez.

Ha az adott kiszolgáló rendelkezik internetkapcsolattal, mindhárom összetevő telepíthető ugyanarra a kiszolgálóra. Az összetevők felosztása esetén a Web Service SDK telepítve van a Microsoft Entra többtényezős hitelesítési alkalmazáskiszolgálón, a felhasználói portál és a Mobile App Web Service pedig egy internetkapcsolattal rendelkező kiszolgálón van telepítve.

Az Azure Multi-Factor Authentication-kiszolgáló tűzfalkövetelményei

Mindegyik MFA-kiszolgálónak képesnek kell lennie kommunikálni a 443-as kimenő porton a következő címekkel:

• https://pfd.phonefactor.net
• https://pfd2.phonefactor.net
• https://css.phonefactor.net

Ha a kimenő tűzfalak korlátozva vannak a 443-as porton, nyissa meg a következő IP-címtartományokat:

IP-alhálózat	Hálózati maszk	IP-címtartomány
134.170.116.0/25	255.255.255.128	134.170.116.1 – 134.170.116.126
134.170.165.0/25	255.255.255.128	134.170.165.1 – 134.170.165.126
70.37.154.128/25	255.255.255.128	70.37.154.129 – 70.37.154.254
52.251.8.48/28	255.255.255.240	52.251.8.48 - 52.251.8.63
52.247.73.160/28	255.255.255.240	52.247.73.160 - 52.247.73.175
52.159.5.240/28	255.255.255.240	52.159.5.240 - 52.159.5.255
52.159.7.16/28	255.255.255.240	52.159.7.16 - 52.159.7.31
52.250.84.176/28	255.255.255.240	52.250.84.176 - 52.250.84.191
52.250.85.96/28	255.255.255.240	52.250.85.96 - 52.250.85.111

Ha nem használja az eseménymegerősítési szolgáltatást, a felhasználók pedig nem használnak mobilalkalmazásokat az ellenőrzéshez a vállalati hálózaton található eszközökön, csak a következő tartományokra van szüksége:

IP-alhálózat	Hálózati maszk	IP-címtartomány
134.170.116.72/29	255.255.255.248	134.170.116.72 – 134.170.116.79
134.170.165.72/29	255.255.255.248	134.170.165.72 – 134.170.165.79
70.37.154.200/29	255.255.255.248	70.37.154.201 – 70.37.154.206
52.251.8.48/28	255.255.255.240	52.251.8.48 - 52.251.8.63
52.247.73.160/28	255.255.255.240	52.247.73.160 - 52.247.73.175
52.159.5.240/28	255.255.255.240	52.159.5.240 - 52.159.5.255
52.159.7.16/28	255.255.255.240	52.159.7.16 - 52.159.7.31
52.250.84.176/28	255.255.255.240	52.250.84.176 - 52.250.84.191
52.250.85.96/28	255.255.255.240	52.250.85.96 - 52.250.85.111

Az MFA-kiszolgáló letöltése

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Kövesse az alábbi lépéseket az Azure Multi-Factor Authentication-kiszolgáló letöltéséhez:

Fontos

2022 szeptemberében a Microsoft bejelentette az Azure Multi-Factor Authentication-kiszolgáló elavulását. 2024. szeptember 30-tól az Azure Multi-Factor Authentication Server üzemelő példányai már nem fognak többtényezős hitelesítési kéréseket kiszolgálni, ami a szervezet hitelesítéseinek meghiúsulását okozhatja. A zavartalan hitelesítési szolgáltatások biztosítása és a támogatott állapot megőrzése érdekében a szervezeteknek át kell telepíteniük felhasználóik hitelesítési adatait a felhőalapú Microsoft Entra többtényezős hitelesítési szolgáltatásba az Azure Multi-Factor Authentication Server legújabb frissítésében szereplő legújabb Migrálási segédprogram használatával. További információ: Azure Multi-Factor Authentication Server Migration.

A felhőalapú MFA használatának megkezdéséhez tekintse meg a következő oktatóanyagot: A felhasználók bejelentkezési eseményeinek biztonságossá tételét azure-beli többtényezős hitelesítéssel.

Az MFA-kiszolgálót 2019. július 1-je előtt aktiváló meglévő ügyfelek a szokásos módon letölthetik a legújabb verziót, a jövőbeli frissítéseket, és aktiválhatják az aktiválási hitelesítő adatokat. A következő lépések csak akkor működnek, ha ön már meglévő MFA-kiszolgálói ügyfél volt.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális Rendszergazda istratorként.

2. Keresse meg a Védelmi>többtényezős hitelesítési>kiszolgáló beállításait.

3. Válassza a Letöltés lehetőséget, és kövesse a letöltési oldalon megjelenő utasításokat a telepítő mentéséhez.

   

4. Hagyja megnyitva ezt az oldalt, mivel a telepítő futtatása után még hivatkozni fogunk rá.

Az MFA-kiszolgáló telepítése és konfigurálása

Most, hogy letöltötte a kiszolgálót, telepítse és konfigurálja azt. Győződjön meg róla, hogy az a kiszolgáló, amelyikre telepíti, megfelel-e a tervezési szakaszban felsorolt követelményeknek.

1. Kattintson duplán a végrehajtható fájlra.
2. A Telepítési mappa kijelölése képernyőn győződjön meg arról, hogy megfelelő mappát választott ki, és kattintson a Tovább gombra. A következő kódtárak vannak telepítve:
   • Visual C++ terjeszthető a Visual Studio 2017-hez (x64)
   • Visual C++ terjeszthető a Visual Studio 2017-hez (x86)
3. Amikor a telepítés befejeződik, válassza a Befejezés lehetőséget. Elindul a konfigurációs varázsló.
4. Azon az oldalon, ahonnan letöltötte a kiszolgálót, kattintson az Aktiváló hitelesítő adatok előállítása gombra. Másolja ezeket az adatokat az Azure Multi-Factor Authentication-kiszolgálóra a megadott mezőkben, és kattintson az Aktiválás gombra.

Megjegyzés:

Csak a globális rendszergazdák hozhatnak létre aktiválási hitelesítő adatokat a Microsoft Entra felügyeleti központban.

E-mail küldése a felhasználóknak

A bevezetés megkönnyítése érdekében engedélyezze, hogy az MFA-kiszolgáló kommunikálhasson a felhasználóival. Az MFA-kiszolgáló tájékoztató e-mailt küld a felhasználóknak arról, hogy regisztrálta őket a kétlépéses ellenőrzési szolgáltatásban.

Az elküldött e-mail tartalmát az határozza meg, hogyan konfigurálja a felhasználókat a kétlépéses ellenőrzéshez. Ha például tud telefonszámokat importálni a vállalat címtárából, az e-mailnek tartalmaznia kell az alapértelmezett telefonszámokat, így a felhasználók tudni fogják, hogy mire számítsanak. Ha nem importál telefonszámokat, vagy ha a felhasználói a mobilalkalmazást fogják használni, olyan e-mailt küldjön a felhasználóknak, amely a fiók regisztrációjának befejezésére kéri őket. Adjon meg egy hivatkozást az Azure többtényezős hitelesítés felhasználói portálra az e-mailben.

Az e-mail tartalma a felhasználóhoz beállított ellenőrzési módszertől is függ (telefonhívás, SMS vagy mobilalkalmazás). Ha például a felhasználónak PIN-kódot kell használnia a hitelesítéskor, az e-mail tartalmazza a kezdeti PIN-kódot. A felhasználóknak általában az első ellenőrzéskor módosítaniuk kell a PIN-kódot.

E-mailek és e-mail-sablonok konfigurálása

Kattintson a bal oldalon található e-mail ikonra az e-mailek küldésére vonatkozó beállítások megadásához. Ezen az oldalon adhatja meg a levelezési kiszolgáló SMTP-adatait, és innen küldhet e-maileket az E-mailek küldése a felhasználóknak jelölőnégyzet bejelölésével.

Az E-mail tartalma lapon áttekintheti a választható e-mail-sablonokat. Válassza a leginkább megfelelő sablont attól függően, hogyan konfigurálta a felhasználókat a kétlépéses ellenőrzés végrehajtására.

Felhasználók importálása az Active Directoryból

A kiszolgáló telepítése után a felhasználók hozzáadása következik. Létrehozhatja őket manuálisan, importálhatja az Active Directory-felhasználókat, vagy beállíthatja az Active Directoryval történő automatikus szinkronizálást.

Manuális importálás az Active Directoryból

1. Az Azure Multi-Factor Authentication Server bal oldalán válassza a Felhasználók lehetőséget.

2. Alul válassza az Importálás Active Directoryból lehetőséget.

3. Most kereshet egyes felhasználókat vagy kereshet az AD címtárban felhasználókat tartalmazó szervezeti egységeket. Ebben az esetben meg kell adni a felhasználók szervezeti egységét.

4. Jelölje ki az összes felhasználót a jobb oldalon, és kattintson az Importálás gombra. Megjelenik egy előugró ablak, amely a művelet sikerességéről értesít. Zárja be az importálási ablakot.

   

Automatikus szinkronizálás az Active Directoryval

1. Az Azure Multi-Factor Authentication Server bal oldalán válassza a Címtárintegráció lehetőséget.
2. Lépjen a Szinkronizálás lapra.
3. Válassza az alul lévő Hozzáadás lehetőséget
4. A megjelenő Szinkronizálási elem hozzáadása mezőben válassza az ehhez a szinkronizálási feladathoz tartozó Tartomány, Szervezeti egység vagy biztonsági csoport, Beállítások, Módszer alapértelmezett beállításai vagy Nyelv alapértelmezett beállításai lehetőséget, és kattintson a Hozzáadás gombra.
5. Jelölje be a Active Directory-szinkronizálás engedélyezése jelölőnégyzetet, majd válassza ki a Szinkronizálási időköz értékét egy perc és 24 óra között.

A felhasználói adatok kezelése az Azure Multi-Factor Authentication-kiszolgálón

Amikor a helyszíni Multi-Factor Authentication-kiszolgálót használja, a rendszer a felhasználó adatait a helyszíni kiszolgálókon tárolja. A felhőben nincsenek állandó felhasználói adatok. Amikor a felhasználó kétlépéses ellenőrzést végez, az MFA-kiszolgáló adatokat küld a Microsoft Entra többtényezős hitelesítési felhőszolgáltatásnak az ellenőrzés végrehajtásához. Amikor a rendszer ezeket a hitelesítési kéréseket elküldi a felhőszolgáltatásnak, a kérések és a naplók a következő mezőket tartalmazzák, hogy azok elérhetők legyenek az ügyfél hitelesítési/használati jelentéseiben. Egyes mezők megadása nem kötelező, így engedélyezhetők vagy letilthatók a Multi-Factor Authentication-kiszolgálón. Az MFA-kiszolgáló és az MFA-felhőszolgáltatás közötti kommunikáció SSL-/TLS-titkosítást használ a 443-as kimenő porton. Ezek a mezők a következők:

• Egyedi azonosító – felhasználónév vagy belső MFA-kiszolgálói azonosító
• Utónév és vezetéknév (nem kötelező)
• E-mail-cím (nem kötelező)
• Telefonszám – hanghívások vagy SMS-hitelesítés esetén
• Eszköztoken – mobilalkalmazásos hitelesítés esetén
• Hitelesítési módszer
• Hitelesítés eredménye
• MFA-kiszolgáló neve
• MFA-kiszolgáló IP-címe
• Ügyfél IP-címe – ha elérhető

A fenti mezőkön kívül a rendszer az ellenőrzési eredményeket (sikeres/elutasítva) és az elutasítások okait is tárolja a hitelesítési adatokkal együtt. Ezek az adatok a hitelesítési/használati jelentésekben érhetők el.

Fontos

2019 márciusától kezdődően a hívási lehetőségek nem érhetők el az MFA-kiszolgáló ingyenes/próbaverziós Microsoft Entra-bérlői felhasználói számára. A változás nem érinti az SMS-üzeneteket. Telefon hívás továbbra is elérhető lesz a fizetős Microsoft Entra-bérlők felhasználói számára. Ez a módosítás csak az ingyenes/próbaverziós Microsoft Entra-bérlőket érinti.

Az Azure Multi-Factor Authentication-kiszolgáló biztonsági mentése és visszaállítása

A biztonsági mentés megfelelőségének ellenőrzése minden rendszeren fontos lépés.

Az Azure Multi-Factor Authentication Server biztonsági mentéséhez győződjön meg arról, hogy rendelkezik a C:\Program Files\Multi-Factor Authentication Server\Data mappáról, beleértve a Telefon Factor.pfdata fájlt is.

Ha visszaállításra lenne szükség, a következő lépésekkel hajthatja végre:

1. Telepítse újra az Azure Multi-Factor Authentication-kiszolgálót egy új kiszolgálón.
2. Aktiválja az új Azure Multi-Factor Authentication-kiszolgálót.
3. Állítsa le a MultiFactorAuth szolgáltatást.
4. Írja felül a PhoneFactor.pfdata fájlt a biztonsági másolati példánnyal.
5. Indítsa el a MultiFactorAuth szolgáltatást.

Az új kiszolgáló ezzel használatra kész az eredeti biztonsági másolatban található konfigurációval és felhasználói adatokkal.

A TLS/SSL-protokollok és titkosítócsomagok kezelése

Miután az MFA Server 8.x vagy újabb változatára frissített, érdemes eltávolítani minden régebbi vagy gyengébb titkosítócsomagot, hacsak vállalata nem követeli meg azok használatát. A tennivalókat az AD FS által használt SSL/TLS-protokollok és titkosítócsomagok kezelését ismertető rész tartalmazza.

További lépések

• A felhasználói portál beállítása és konfigurálása a felhasználói önkiszolgáló szolgáltatáshoz.
• Az Azure Multi-Factor Authentication-kiszolgáló beállítása és konfigurálása Active Directory összevonási szolgáltatással, RADIUS-hitelesítéssel vagy LDAP-hitelesítéssel.
• Távoli asztali átjáró és RADIUS-t használó Azure Multi-Factor Authentication-kiszolgáló telepítése és konfigurálása.
• Az Azure Multi-Factor Authentication-kiszolgáló Mobile App Web Service szolgáltatásának telepítése.
• Speciális forgatókönyvek többtényezős Azure-hitelesítéssel és külső VPN-ekkel.