Bagikan melalui

Mengintegrasikan infrastruktur Network Policy Server (NPS) yang ada dengan autentikasi multifaktor Microsoft Entra

  • Artikel

Ekstensi Server Kebijakan Jaringan (NPS) untuk autentikasi multifaktor Microsoft Entra menambahkan kemampuan MFA berbasis cloud ke infrastruktur autentikasi Anda menggunakan server yang ada. Dengan ekstensi NPS, Anda dapat menambahkan verifikasi panggilan telepon, pesan teks, atau aplikasi telepon ke alur autentikasi yang ada tanpa harus menginstal, mengonfigurasi, dan memelihara server baru.

Ekstensi NPS bertindak sebagai adaptor antara RADIUS dan autentikasi multifaktor Microsoft Entra berbasis cloud untuk menyediakan faktor autentikasi kedua bagi pengguna federasi atau yang disinkronkan.

Cara kerja ekstensi NPS

Saat Anda menggunakan ekstensi NPS untuk autentikasi multifaktor Microsoft Entra, alur autentikasi menyertakan komponen berikut:

  1. NAS/VPN Server menerima permintaan dari klien VPN dan mengonversinya menjadi permintaan RADIUS ke server NPS.

  2. NPS Server tersambung ke Active Directory Domain Services (AD DS) untuk melakukan autentikasi utama untuk permintaan RADIUS dan, setelah berhasil, meneruskan permintaan ke ekstensi yang diinstal.

  3. Ekstensi NPS memicu permintaan ke autentikasi multifaktor Microsoft Entra untuk autentikasi sekunder. Setelah ekstensi menerima respons, dan jika tantangan MFA berhasil, ekstensi menyelesaikan permintaan autentikasi dengan menyediakan server NPS dengan token keamanan yang menyertakan klaim MFA, yang dikeluarkan oleh Azure STS.

    Nota

    Meskipun NPS tidak mendukung pencocokan angka, ekstensi NPS terbaru memang mendukung metode kata sandi satu kali berbasis waktu (TOTP), seperti TOTP yang tersedia di Microsoft Authenticator. Rincian masuk TOTP memberikan keamanan yang lebih baik daripada pengalaman Menyetujui Penolakan/ alternatif.

    Setelah 8 Mei 2023, ketika pencocokan angka diaktifkan untuk semua pengguna, siapa pun yang melakukan koneksi RADIUS dengan ekstensi NPS versi 1.2.2216.1 atau yang lebih baru akan diminta untuk masuk dengan metode TOTP sebagai gantinya. Pengguna harus memiliki metode autentikasi TOTP yang terdaftar untuk melihat perilaku ini. Tanpa metode TOTP terdaftar, pengguna terus melihat Setujui/Tolak.

  4. Autentikasi multifaktor Microsoft Entra berkomunikasi dengan ID Microsoft Entra untuk mengambil detail pengguna dan melakukan autentikasi sekunder menggunakan metode verifikasi yang dikonfigurasi kepada pengguna.

Diagram berikut mengilustrasikan alur permintaan autentikasi tingkat tinggi ini:

Diagram alur autentikasi untuk pengguna yang mengautentikasi melalui server VPN ke server NPS dan ekstensi NPS autentikasi multifaktor Microsoft Entra

Perilaku protokol RADIUS dan ekstensi NPS

Karena RADIUS adalah protokol UDP, pengirim mengasumsikan kehilangan paket dan menunggu respons. Setelah jangka waktu tertentu, koneksi mungkin kehabisan waktu. Jika demikian, paket akan kembali karena pengirim mengasumsikan paket tidak mencapai tujuan. Dalam skenario autentikasi dalam artikel ini, server VPN mengirim permintaan dan menunggu respons. Jika waktu koneksi habis, server VPN akan mengirim permintaan lagi.

Diagram alur paket RADIUS UDP dan permintaan setelah waktu habis pada respons dari server NPS

Server NPS mungkin tidak merespons permintaan asli server VPN sebelum waktu koneksi habis karena permintaan MFA mungkin masih diproses. Pengguna mungkin belum berhasil merespons permintaan MFA, sehingga ekstensi NPS autentikasi multifaktor Microsoft Entra menunggu peristiwa tersebut selesai. Dalam situasi ini, server NPS mengidentifikasi permintaan server VPN tambahan sebagai permintaan duplikat. Server NPS membuang permintaan server VPN duplikat ini.

Diagram server NPS membuang permintaan duplikat dari server RADIUS

Jika Anda melihat log server NPS, Anda mungkin melihat permintaan tambahan ini dibuang. Perilaku ini dirancang untuk melindungi pengguna akhir dari mendapatkan beberapa permintaan untuk satu upaya autentikasi. Permintaan yang dibuang di log peristiwa server NPS tidak menunjukkan ada masalah dengan server NPS atau ekstensi NPS autentikasi multifaktor Microsoft Entra.

Untuk meminimalkan permintaan yang dibuang, sebaiknya server VPN dikonfigurasi dengan batas waktu setidaknya 60 detik. Jika diperlukan, atau untuk mengurangi permintaan yang dibuang dalam log peristiwa, Anda dapat meningkatkan nilai batas waktu server VPN menjadi 90 atau 120 detik.

Karena perilaku protokol UDP ini, server NPS dapat menerima permintaan duplikat dan mengirim permintaan MFA lain, bahkan setelah pengguna menanggapi permintaan awal. Untuk menghindari kondisi waktu ini, ekstensi NPS autentikasi multifaktor Microsoft Entra terus memfilter dan membuang permintaan duplikat hingga 10 detik setelah respons berhasil dikirim ke server VPN.

Diagram server NPS terus membuang permintaan duplikat dari server VPN selama sepuluh detik setelah respons berhasil dikembalikan

Sekali lagi, Anda mungkin melihat permintaan yang dibuang di log peristiwa server NPS, bahkan ketika permintaan autentikasi multifaktor Microsoft Entra berhasil. Ini adalah perilaku yang diharapkan, dan tidak menunjukkan masalah dengan server NPS atau ekstensi NPS autentikasi multifaktor Microsoft Entra.

Merencanakan penyebaran Anda

Ekstensi NPS secara otomatis menangani redundansi, sehingga Anda tidak memerlukan konfigurasi khusus.

Anda dapat membuat server NPS berkemampuan autentikasi multifaktor Microsoft Entra sebanyak yang Anda butuhkan. Jika Anda menginstal beberapa server, Anda harus menggunakan sertifikat klien yang berbeda untuk masing-masing server tersebut. Membuat sertifikat untuk setiap server berarti Anda dapat memperbarui setiap sertifikasi satu per satu, dan tidak khawatir tentang waktu henti di semua server Anda.

Server VPN merutekan permintaan autentikasi, sehingga mereka perlu mengetahui server NPS berkemampuan autentikasi multifaktor Microsoft Entra yang baru.

Prasyarat

Ekstensi NPS dimaksudkan untuk bekerja dengan infrastruktur Anda yang ada. Pastikan Anda memiliki prasyarat berikut sebelum memulai.

Lisensi

Ekstensi NPS untuk autentikasi multifaktor Microsoft Entra tersedia untuk pelanggan dengan lisensi untuk autentikasi multifaktor Microsoft Entra (disertakan dengan Microsoft Entra ID P1 dan Premium P2 atau Enterprise Mobility + Security). Lisensi berbasis konsumsi untuk autentikasi multifaktor Microsoft Entra, seperti per pengguna atau per lisensi autentikasi, tidak kompatibel dengan ekstensi NPS.

Perangkat lunak

  • Windows Server 2012 atau yang lebih baru. Harap dicatat bahwa Windows Server 2012 telah mencapai akhir dukungan.

  • .NET Framework 4.7.2 atau yang lebih baru diperlukan untuk modul Microsoft Graph PowerShell.

  • PowerShell versi 5.1 atau yang lebih baru. Untuk memeriksa versi PowerShell, jalankan perintah ini:

    PS C:\> $PSVersionTable.PSVersion
Major  Minor  Build  Revision
-----  -----  -----  --------
5      1      16232  1000

Perpustakaan

  • Visual Studio 2017 C++ Redistributable (x64) akan diinstal oleh penginstal Ekstensi NPS.

  • Microsoft Graph PowerShell juga diinstal melalui skrip konfigurasi yang Anda jalankan sebagai bagian dari proses penyiapan, jika belum ada. Tidak perlu menginstal modul terlebih dahulu.

Mendapatkan ID penyewa direktori

Sebagai bagian dari konfigurasi ekstensi NPS, Anda harus memberikan info masuk administrator dan ID penyewa Microsoft Entra Anda. Untuk mendapatkan ID penyewa, selesaikan langkah-langkah berikut:

  1. Masuk ke pusat admin Microsoft Entra.

  2. Telusuri ke Pengaturan Identitas>.

    Mendapatkan ID Penyewa dari pusat admin Microsoft Entra

Persyaratan jaringan

Server NPS harus dapat berkomunikasi dengan URL berikut melalui port TCP 443:

  • https://login.microsoftonline.com
  • https://login.microsoftonline.us (Azure Government)
  • https://login.chinacloudapi.cn (Microsoft Azure operated by 21Vianet)
  • https://credentials.azure.com
  • https://strongauthenticationservice.auth.microsoft.com
  • https://strongauthenticationservice.auth.microsoft.us (Azure Government)
  • https://strongauthenticationservice.auth.microsoft.cn (Microsoft Azure operated by 21Vianet)
  • https://adnotifications.windowsazure.com
  • https://adnotifications.windowsazure.us (Azure Government)
  • https://adnotifications.windowsazure.cn (Microsoft Azure operated by 21Vianet)

Selain itu, konektivitas ke URL berikut diperlukan untuk menyelesaikan penyiapan adaptor menggunakan skrip PowerShell yang disediakan:

  • https://onegetcdn.azureedge.net
  • https://login.microsoftonline.com
  • https://provisioningapi.microsoftonline.com
  • https://aadcdn.msauth.net
  • https://www.powershellgallery.com
  • https://go.microsoft.com
  • https://aadcdn.msftauthimages.net

Tabel berikut menjelaskan port dan protokol yang diperlukan untuk ekstensi NPS. TCP 443 (masuk dan keluar) adalah satu-satunya port yang diperlukan dari server Ekstensi NPS ke ID Entra. Port RADIUS diperlukan antara titik akses dan server Ekstensi NPS.

Protokol Pelabuhan Deskripsi
HTTPS 443 Aktifkan autentikasi pengguna terhadap ID Entra (diperlukan saat menginstal ekstensi)
UDP 1812 Port umum untuk Autentikasi RADIUS dengan NPS
UDP 1645 Port jarang untuk Autentikasi RADIUS dengan NPS
UDP 1813 Port umum untuk Akuntansi RADIUS dengan NPS
UDP 1646 Port jarang untuk Akuntansi RADIUS dengan NPS

Menyiapkan lingkungan Anda

Sebelum Anda menginstal ekstensi NPS, siapkan lingkungan Anda untuk menangani lalu lintas autentikasi.

Mengaktifkan peran NPS di server yang bergabung dengan domain

Server NPS tersambung ke ID Microsoft Entra dan mengautentikasi permintaan MFA. Pilih satu server untuk peran ini. Sebaiknya pilih server yang tidak menangani permintaan dari layanan lain, karena ekstensi NPS melemparkan kesalahan untuk permintaan apa pun yang bukan RADIUS. Server NPS harus disiapkan sebagai server autentikasi utama dan sekunder untuk lingkungan Anda. Ini tidak dapat mem-proksi permintaan RADIUS ke server lain.

  1. Di server Anda, buka Manajer Server. Pilih Wizard Tambahkan Peran dan Fitur dari menu Mulai Cepat.
  2. Untuk jenis penginstalan Anda, pilih Penginstalan berbasis peran atau berbasis fitur.
  3. Pilih peran Kebijakan Jaringan dan server Layanan Access. Jendela dapat muncul untuk memberi tahu Anda tentang fitur tambahan yang diperlukan untuk menjalankan peran ini.
  4. Lanjutkan melalui wizard hingga halaman Konfirmasi . Setelah siap, pilih Instal.

Mungkin perlu beberapa menit untuk menginstal peran server NPS. Setelah selesai, lanjutkan dengan bagian berikut untuk mengonfigurasi server ini untuk menangani permintaan RADIUS masuk dari solusi VPN.

Mengonfigurasi solusi VPN Anda untuk berkomunikasi dengan server NPS

Bergantung pada solusi VPN mana yang Anda gunakan, langkah-langkah untuk mengonfigurasi kebijakan autentikasi RADIUS Anda bervariasi. Konfigurasikan kebijakan VPN Anda untuk menunjuk ke server NPS RADIUS Anda.

Menyinkronkan pengguna domain ke cloud

Langkah ini mungkin sudah selesai pada penyewa Anda, tetapi ada baiknya untuk memeriksa kembali apakah Microsoft Entra Connect telah menyinkronkan database Anda baru-baru ini.

  1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Identitas Hibrid.
  2. Telusuri manajemen >Identitas>Hibrid Microsoft Entra Connect.
  3. Verifikasi bahwa status sinkronisasi Anda Diaktifkan dan sinkronisasi terakhir Anda kurang dari satu jam yang lalu.

Jika Anda perlu memulai putaran sinkronisasi baru, lihat Sinkronisasi Microsoft Entra Connect: Scheduler.

Menentukan metode autentikasi mana yang dapat digunakan pengguna Anda

Ada dua faktor yang memengaruhi metode autentikasi mana yang tersedia dengan penyebaran ekstensi NPS:

  • Algoritma enkripsi kata sandi yang digunakan antara klien RADIUS (VPN, server Netscaler, atau lainnya) dan server NPS.

    • PAP mendukung semua metode autentikasi autentikasi multifaktor Microsoft Entra di cloud: panggilan telepon, pesan teks satu arah, pemberitahuan aplikasi seluler, token perangkat keras OATH, dan kode verifikasi aplikasi seluler.
    • CHAPV2 dan EAP mendukung panggilan telepon dan pemberitahuan aplikasi seluler.

  • Metode input yang dapat ditangani aplikasi klien (VPN, server Netscaler, atau lainnya). Misalnya, apakah klien VPN memiliki beberapa cara untuk memungkinkan pengguna mengetik kode verifikasi dari teks atau aplikasi seluler?

Anda dapat menonaktifkan metode autentikasi yang tidak didukung di Azure.

Nota

Terlepas dari protokol autentikasi yang digunakan (PAP, CHAP, atau EAP), jika metode MFA Anda berbasis teks (SMS, kode verifikasi aplikasi seluler, atau token perangkat keras OATH) dan mengharuskan pengguna untuk memasukkan kode atau teks di bidang input UI klien VPN, autentikasi mungkin berhasil. Tetapi atribut RADIUS apa pun yang dikonfigurasi dalam Kebijakan Akses Jaringan tidak diteruskan ke klien RADIUS (Perangkat Akses Jaringan, seperti gateway VPN). Akibatnya, klien VPN mungkin memiliki lebih banyak akses daripada yang Anda inginkan, atau kurang akses atau tidak ada akses.

Sebagai solusinya, Anda dapat menjalankan skrip CrpUsernameStuffing untuk meneruskan atribut RADIUS yang dikonfigurasi dalam Kebijakan Akses Jaringan dan mengizinkan MFA saat metode autentikasi pengguna memerlukan penggunaan Kode Akses Satu Kali (OTP), seperti SMS, kode sandi Microsoft Authenticator, atau FOB perangkat keras.

Mendaftarkan pengguna untuk MFA

Sebelum Anda menyebarkan dan menggunakan ekstensi NPS, pengguna yang diharuskan melakukan autentikasi multifaktor Microsoft Entra perlu didaftarkan untuk MFA. Untuk menguji ekstensi saat menyebarkannya, Anda juga memerlukan setidaknya satu akun pengujian yang sepenuhnya terdaftar untuk autentikasi multifaktor Microsoft Entra.

Jika Anda perlu membuat dan mengonfigurasi akun pengujian, gunakan langkah-langkah berikut:

  1. Masuk dengan https://aka.ms/mfasetup akun pengujian.
  2. Ikuti perintah untuk menyiapkan metode verifikasi.
  3. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.
  4. Telusuri ke Perlindungan>Autentikasi multifaktor dan aktifkan untuk akun pengujian.

Penting

Pastikan bahwa pengguna telah berhasil mendaftar untuk autentikasi multifaktor Microsoft Entra. Jika pengguna sebelumnya hanya mendaftar untuk pengaturan ulang kata sandi mandiri (SSPR), StrongAuthenticationMethods diaktifkan untuk akun mereka. Autentikasi multifaktor Microsoft Entra diberlakukan saat StrongAuthenticationMethods dikonfigurasi, bahkan jika pengguna hanya mendaftar untuk SSPR.

Pendaftaran keamanan gabungan dapat diaktifkan yang mengonfigurasi autentikasi multifaktor SSPR dan Microsoft Entra secara bersamaan. Untuk informasi selengkapnya, lihat Mengaktifkan pendaftaran informasi keamanan gabungan di ID Microsoft Entra.

Anda juga dapat memaksa pengguna untuk mendaftarkan ulang metode autentikasi jika sebelumnya mereka hanya mengaktifkan SSPR.

Pengguna yang terhubung ke server NPS menggunakan nama pengguna dan kata sandi akan diminta untuk menyelesaikan permintaan autentikasi multifaktor.

Menginstal ekstensi NPS

Penting

Instal ekstensi NPS di server yang berbeda dari titik akses VPN.

Mengunduh dan menginstal ekstensi NPS untuk autentikasi multifaktor Microsoft Entra

Untuk mengunduh dan menginstal ekstensi NPS, selesaikan langkah-langkah berikut:

  1. Unduh Ekstensi NPS dari Pusat Unduhan Microsoft.
  2. Salin biner ke Server Kebijakan Jaringan yang ingin Anda konfigurasi.
  3. Jalankan setup.exe dan ikuti instruksi penginstalan. Jika Anda mengalami kesalahan, pastikan pustaka dari bagian prasyarat berhasil diinstal.

Meningkatkan ekstensi NPS

Jika nanti Anda meningkatkan penginstalan ekstensi NPS yang ada, untuk menghindari boot ulang server yang mendasarinya, selesaikan langkah-langkah berikut:

  1. Hapus instalan versi yang ada.
  2. Jalankan alat penginstal baru.
  3. Mulai ulang layanan Server Kebijakan Jaringan (IAS).

Menjalankan skrip PowerShell

Alat penginstal membuat skrip PowerShell di C:\Program Files\Microsoft\AzureMfa\Config (di mana C:\ drive penginstalan Anda). Skrip PowerShell ini melakukan tindakan berikut setiap kali dijalankan:

  • Membuat sertifikat yang ditandatangani sendiri.
  • Mengaitkan kunci publik sertifikat ke perwakilan layanan di ID Microsoft Entra.
  • Menyimpan sertifikat di penyimpanan sertifikat komputer lokal.
  • Memberikan akses ke kunci privat sertifikat kepada Pengguna Jaringan.
  • Memulai ulang layanan NPS.

Kecuali Anda ingin menggunakan sertifikat Anda sendiri (alih-alih sertifikat yang ditandatangani sendiri yang dihasilkan skrip PowerShell), jalankan skrip PowerShell untuk menyelesaikan penginstalan ekstensi NPS. Jika Anda menginstal ekstensi di beberapa server, setiap server harus memiliki sertifikatnya sendiri.

Untuk menyediakan kemampuan penyeimbangan beban atau untuk redundansi, ulangi langkah-langkah ini pada server NPS tambahan seperti yang diinginkan:

  1. Buka perintah Windows PowerShell sebagai administrator.

  2. Ubah direktori ke tempat alat penginstal membuat skrip PowerShell:

    cd "C:\Program Files\Microsoft\AzureMfa\Config"

  3. Jalankan skrip PowerShell yang dibuat oleh alat penginstal.

    Anda mungkin harus terlebih dahulu mengaktifkan TLS 1.2 agar PowerShell dapat menyambungkan dan mengunduh paket dengan benar:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

    Penting

    Untuk pelanggan yang menggunakan Azure untuk Pemerintah AS atau Azure yang dioperasikan oleh cloud 21Vianet, pertama-tama edit skrip AzureMfaNpsExtnConfigSetup.ps1 untuk menyertakan parameter AzureEnvironment untuk cloud yang diperlukan. Misalnya, tentukan -AzureEnvironment USGovernment atau -AzureEnvironment AzureChinaCloud.

    .\AzureMfaNpsExtnConfigSetup.ps1

  4. Saat diminta, masuk ke ID Microsoft Entra.

    Administrator Global diperlukan untuk mengelola fitur ini.

  5. PowerShell meminta ID penyewa Anda. Gunakan GUID ID Penyewa yang Anda salin di bagian prasyarat.

  6. Pesan keberhasilan ditampilkan saat skrip selesai.

Jika sertifikat komputer Anda sebelumnya telah kedaluwarsa, dan sertifikat baru telah dibuat, Anda harus menghapus sertifikat yang kedaluwarsa. Memiliki sertifikat yang kedaluwarsa dapat menyebabkan masalah dengan Ekstensi NPS dimulai.

Nota

Jika Anda menggunakan sertifikat Anda sendiri alih-alih membuat sertifikat dengan skrip PowerShell, pastikan sertifikat tersebut selaras dengan konvensi penamaan NPS. Nama subjek harus CN=<TenantID,OU>=Microsoft NPS Extension.

Microsoft Azure Government atau Microsoft Azure dioperasikan oleh langkah tambahan 21Vianet

Untuk pelanggan yang menggunakan Azure Government atau Azure yang dioperasikan oleh cloud 21Vianet, langkah-langkah konfigurasi tambahan berikut diperlukan di setiap server NPS.

Penting

Hanya konfigurasikan pengaturan registri ini jika Anda adalah pelanggan Azure Government atau Azure yang dioperasikan oleh 21Vianet.

  1. Jika Anda adalah pelanggan Azure Government atau Azure yang dioperasikan oleh 21Vianet, buka Editor Registri di server NPS.

  2. Navigasi ke HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.

  3. Untuk pelanggan Azure Government, tetapkan nilai kunci berikut:

    Kunci registri Nilai
    AZURE_MFA_HOSTNAME strongauthenticationservice.auth.microsoft.us
    AZURE_MFA_RESOURCE_HOSTNAME adnotifications.windowsazure.us
    STS_URL https://login.microsoftonline.us/

  4. Untuk Microsoft Azure yang dioperasikan oleh pelanggan 21Vianet, atur nilai kunci berikut:

    Kunci registri Nilai
    AZURE_MFA_HOSTNAME strongauthenticationservice.auth.microsoft.cn
    AZURE_MFA_RESOURCE_HOSTNAME adnotifications.windowsazure.cn
    STS_URL https://login.chinacloudapi.cn/

  5. Ulangi dua langkah sebelumnya untuk mengatur nilai kunci registri untuk setiap server NPS.

  6. Mulai ulang layanan NPS untuk setiap server NPS.

    Untuk dampak minimal, keluarkan setiap server NPS dari rotasi NLB satu per satu dan tunggu semua koneksi terkuras.

Rollover sertifikat

Dengan rilis 1.0.1.32 dari ekstensi NPS, membaca beberapa sertifikat sekarang didukung. Kemampuan ini membantu memfasilitasi pembaruan sertifikat bergulir sebelum kedaluwarsa. Jika organisasi Anda menjalankan versi ekstensi NPS sebelumnya, tingkatkan ke versi 1.0.1.32 atau yang lebih tinggi.

Sertifikat yang dibuat oleh AzureMfaNpsExtnConfigSetup.ps1 skrip berlaku selama 2 tahun. Pantau sertifikat untuk kedaluwarsa. Sertifikat untuk ekstensi NPS ditempatkan di penyimpanan sertifikat Komputer Lokal di bawah Pribadi dan Dikeluarkan Ke ID penyewa yang disediakan untuk skrip penginstalan.

Saat sertifikat mendekati tanggal kedaluwarsa, sertifikat baru harus dibuat untuk menggantinya. Proses ini dilakukan dengan menjalankan AzureMfaNpsExtnConfigSetup.ps1 lagi dan menyimpan ID penyewa yang sama saat diminta. Proses ini harus diulang pada setiap server NPS di lingkungan Anda.

Mengonfigurasi ekstensi NPS Anda

Dengan lingkungan Anda disiapkan, dan ekstensi NPS sekarang diinstal pada server yang diperlukan, Anda dapat mengonfigurasi ekstensi.

Bagian ini mencakup pertimbangan desain dan saran untuk penyebaran ekstensi NPS yang berhasil.

Batasan konfigurasi

  • Ekstensi NPS untuk autentikasi multifaktor Microsoft Entra tidak menyertakan alat untuk memigrasikan pengguna dan pengaturan dari MFA Server ke cloud. Untuk alasan ini, sebaiknya gunakan ekstensi untuk penyebaran baru, daripada penyebaran yang ada. Jika Anda menggunakan ekstensi pada penyebaran yang ada, pengguna Anda harus melakukan pemeriksaan lagi untuk mengisi detail MFA mereka di cloud.
  • Ekstensi NPS tidak mendukung panggilan telepon kustom yang dikonfigurasi pada pengaturan Panggilan telepon. Bahasa panggilan telepon default akan digunakan (EN-US).
  • Ekstensi NPS menggunakan UPN dari lingkungan AD DS lokal untuk mengidentifikasi pengguna pada autentikasi multifaktor Microsoft Entra untuk melakukan Autentikasi Sekunder. Ekstensi dapat dikonfigurasi untuk menggunakan pengidentifikasi yang berbeda seperti ID masuk alternatif atau bidang AD DS kustom selain UPN. Untuk informasi selengkapnya, lihat artikel, Opsi konfigurasi tingkat lanjut untuk ekstensi NPS untuk autentikasi multifaktor.
  • Tidak semua protokol enkripsi mendukung semua metode verifikasi.
    • PAP mendukung panggilan telepon, pesan teks satu arah, pemberitahuan aplikasi seluler, dan kode verifikasi aplikasi seluler
    • CHAPV2 dan EAP mendukung panggilan telepon dan pemberitahuan aplikasi seluler

Mengontrol klien RADIUS yang memerlukan MFA

Setelah Anda mengaktifkan MFA untuk klien RADIUS menggunakan ekstensi NPS, semua autentikasi untuk klien ini diperlukan untuk melakukan MFA. Jika Anda ingin mengaktifkan MFA untuk beberapa klien RADIUS tetapi tidak yang lain, Anda dapat mengonfigurasi dua server NPS dan menginstal ekstensi hanya pada salah satunya.

Konfigurasikan klien RADIUS yang ingin Anda wajibkan MFA untuk mengirim permintaan ke server NPS yang dikonfigurasi dengan ekstensi, dan klien RADIUS lainnya ke server NPS tidak dikonfigurasi dengan ekstensi.

Bersiap untuk pengguna yang tidak terdaftar untuk MFA

Jika Anda memiliki pengguna yang tidak terdaftar untuk MFA, Anda dapat menentukan apa yang terjadi ketika mereka mencoba mengautentikasi. Untuk mengontrol perilaku ini, gunakan pengaturan REQUIRE_USER_MATCH di jalur registri HKLM\Software\Microsoft\AzureMFA. Pengaturan ini memiliki satu opsi konfigurasi:

Kunci Nilai Default
REQUIRE_USER_MATCH TRUE/FALSE Tidak diatur (setara dengan TRUE)

Pengaturan ini menentukan apa yang harus dilakukan ketika pengguna tidak terdaftar untuk MFA. Ketika kunci tidak ada, tidak diatur, atau diatur ke TRUE, dan pengguna tidak terdaftar, ekstensi gagal tantangan MFA.

Ketika kunci diatur ke FALSE dan pengguna tidak terdaftar, autentikasi berlanjut tanpa melakukan MFA. Jika pengguna terdaftar di MFA, mereka harus mengautentikasi dengan MFA meskipun REQUIRE_USER_MATCH diatur ke FALSE.

Anda dapat memilih untuk membuat kunci ini dan mengaturnya ke FALSE saat pengguna Anda onboarding, dan mungkin belum semua terdaftar untuk autentikasi multifaktor Microsoft Entra. Namun, karena mengatur kunci mengizinkan pengguna yang tidak terdaftar agar MFA masuk, Anda harus menghapus kunci ini sebelum pergi ke produksi.

Pemecahan masalah

Skrip pemeriksaan kesehatan ekstensi NPS

Skrip pemeriksaan kesehatan Ekstensi NPS autentikasi multifaktor Microsoft Entra melakukan pemeriksaan kesehatan dasar saat memecahkan masalah ekstensi NPS. Jalankan skrip dan pilih salah satu opsi yang tersedia.

Bagaimana cara memperbaiki kesalahan "Perwakilan layanan tidak ditemukan" saat menjalankan AzureMfaNpsExtnConfigSetup.ps1 skrip?

Jika karena alasan apa pun perwakilan layanan "Klien Autentikasi Multifaktor Azure" tidak dibuat di penyewa, itu dapat dibuat secara manual dengan menjalankan PowerShell.

Connect-MgGraph -Scopes 'Application.ReadWrite.All'
New-MgServicePrincipal -AppId 00001111-aaaa-2222-bbbb-3333cccc4444 -DisplayName "Azure Multi-Factor Auth Client"
  1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Global.
  2. Telusuri aplikasi > Identity>Applications>Enterprise dan cari "Azure Multi-factor Auth Client".
  3. Klik Periksa properti untuk aplikasi ini. Konfirmasikan apakah perwakilan layanan diaktifkan atau dinonaktifkan.
  4. Klik properti entri >aplikasi.
  5. Jika opsi Diaktifkan bagi pengguna untuk masuk? diatur ke Tidak, atur ke Ya.

Jalankan AzureMfaNpsExtnConfigSetup.ps1 skrip lagi dan tidak boleh mengembalikan kesalahan Perwakilan layanan tidak ditemukan .

Bagaimana cara memverifikasi bahwa sertifikasi klien diinstal seperti yang diharapkan?

Cari sertifikat yang ditandatangani sendiri yang dibuat oleh alat penginstal di penyimpanan sertifikasi, dan periksa apakah kunci privat memiliki izin "BACA" yang diberikan kepada LAYANAN JARINGAN pengguna. Sertifikasi memiliki nama subjek CN <tenantid>, OU = Ekstensi NPS Microsoft

Sertifikat yang ditandatangani sendiri yang dihasilkan oleh AzureMfaNpsExtnConfigSetup.ps1 skrip memiliki masa berlaku selama dua tahun. Saat memverifikasi bahwa sertifikat diinstal, Anda juga harus memeriksa bahwa sertifikat belum kedaluwarsa.

Bagaimana cara memverifikasi bahwa sertifikat klien saya dikaitkan dengan penyewa saya di ID Microsoft Entra?

Buka perintah PowerShell dan jalankan perintah berikut:

Connect-MgGraph -Scopes 'Application.Read.All'
(Get-MgServicePrincipal -Filter "appid eq '00001111-aaaa-2222-bbbb-3333cccc4444'" -Property "KeyCredentials").KeyCredentials | Format-List KeyId, DisplayName, StartDateTime, EndDateTime, @{Name = "Key"; Expression = {[System.Convert]::ToBase64String($_.Key)}}, @{Name = "Thumbprint"; Expression = {$Cert = New-object System.Security.Cryptography.X509Certificates.X509Certificate2; $Cert.Import([System.Text.Encoding]::UTF8.GetBytes([System.Convert]::ToBase64String($_.Key))); $Cert.Thumbprint}}

Perintah ini mencetak semua sertifikat yang mengaitkan penyewa Anda dengan instans ekstensi NPS Anda di sesi PowerShell Anda. Cari sertifikat Anda dengan mengekspor sertifikasi klien Anda sebagai file X.509(.cer) yang dikodekan Base-64 tanpa kunci privat, dan bandingkan dengan daftar dari PowerShell. Bandingkan thumbprint sertifikat yang diinstal pada server dengan yang satu ini. Thumbprint sertifikat harus cocok.

Tanda waktu StartDateTime dan EndDateTime , yang dalam bentuk yang dapat dibaca manusia, dapat digunakan untuk memfilter kesalahan yang jelas jika perintah mengembalikan lebih dari satu sertifikasi.

Mengapa saya tidak dapat masuk?

Periksa apakah kata sandi Anda belum kedaluwarsa. Ekstensi NPS tidak mendukung perubahan kata sandi sebagai bagian dari alur kerja masuk. Hubungi Staf IT organisasi Anda untuk bantuan lebih lanjut.

Mengapa permintaan saya gagal dengan kesalahan token keamanan?

Kesalahan ini bisa disebabkan oleh salah satu dari beberapa alasan. Gunakan langkah-langkah berikut untuk memecahkan masalah:

  1. Mulai ulang server NPS Anda.
  2. Verifikasi bahwa sertifikasi klien diinstal seperti yang diharapkan.
  3. Verifikasi bahwa sertifikat dikaitkan dengan penyewa Anda di ID Microsoft Entra.
  4. Verifikasi bahwa https://login.microsoftonline.com/ dapat diakses dari server yang menjalankan ekstensi.

Mengapa autentikasi gagal dengan kesalahan dalam log HTTP yang menyatakan bahwa pengguna tidak ditemukan?

Verifikasi bahwa AD Connect berjalan, dan bahwa pengguna ada di lingkungan AD DS lokal dan di ID Microsoft Entra.

Mengapa saya melihat kesalahan koneksi HTTP dalam log dengan semua autentikasi saya gagal?

Verifikasi bahwa https://adnotifications.windowsazure.com, https://strongauthenticationservice.auth.microsoft.com dapat dijangkau dari server yang menjalankan ekstensi NPS.

Mengapa autentikasi tidak berfungsi, meskipun sertifikat yang valid ada?

Jika sertifikat komputer Anda sebelumnya telah kedaluwarsa, dan sertifikat baru telah dibuat, hapus sertifikat yang kedaluwarsa. Sertifikat yang kedaluwarsa dapat menyebabkan masalah dengan ekstensi NPS dimulai.

Untuk memeriksa apakah Anda memiliki sertifikat yang valid, periksa Penyimpanan Sertifikat Akun Komputer lokal menggunakan MMC, dan pastikan sertifikat belum melewati tanggal kedaluwarsanya. Untuk menghasilkan sertifikat yang baru valid, jalankan ulang langkah-langkah dari Jalankan skrip penginstal PowerShell.

Mengapa saya melihat permintaan yang dibuang di log server NPS?

Server VPN dapat mengirim permintaan berulang ke server NPS jika nilai batas waktu terlalu rendah. Server NPS mendeteksi permintaan duplikat ini dan membuangnya. Perilaku ini dirancang, dan tidak menunjukkan masalah dengan server NPS atau ekstensi NPS autentikasi multifaktor Microsoft Entra.

Untuk informasi selengkapnya tentang mengapa Anda melihat paket yang dibuang di log server NPS, lihat perilaku protokol RADIUS dan ekstensi NPS di awal artikel ini.

Bagaimana cara mendapatkan pencocokan nomor Microsoft Authenticator agar berfungsi dengan NPS?

Meskipun NPS tidak mendukung pencocokan angka, ekstensi NPS terbaru memang mendukung metode kata sandi satu kali berbasis waktu (TOTP) seperti TOTP yang tersedia di Microsoft Authenticator, token perangkat lunak lainnya, dan FOB perangkat keras. Rincian masuk TOTP memberikan keamanan yang lebih baik daripada pengalaman Menyetujui Penolakan/ alternatif. Pastikan Anda menjalankan versi terbaru ekstensi NPS.

Setelah 8 Mei 2023, ketika pencocokan angka diaktifkan untuk semua pengguna, siapa pun yang melakukan koneksi RADIUS dengan ekstensi NPS versi 1.2.2216.1 atau yang lebih baru akan diminta untuk masuk dengan metode TOTP sebagai gantinya.

Pengguna harus memiliki metode autentikasi TOTP yang terdaftar untuk melihat perilaku ini. Tanpa metode TOTP terdaftar, pengguna terus melihat Setujui/Tolak.

Sebelum rilis ekstensi NPS versi 1.2.2216.1 setelah 8 Mei 2023, organisasi yang menjalankan versi ekstensi NPS yang lebih lama dapat memodifikasi registri untuk mengharuskan pengguna memasukkan TOTP. Untuk informasi selengkapnya, lihat Ekstensi NPS.

Mengelola Protokol TLS/SSL dan Cipher Suites

Disarankan agar suite sandi yang lebih lama dan lebih lemah dinonaktifkan atau dihapus kecuali diperlukan oleh organisasi Anda. Informasi tentang cara menyelesaikan tugas ini dapat ditemukan di artikel, Mengelola Protokol SSL/TLS dan Cipher Suites untuk Layanan Federasi Direktori Aktif

Pemecahan masalah tambahan

Panduan pemecahan masalah tambahan dan solusi yang mungkin dapat ditemukan dalam artikel, Mengatasi pesan kesalahan dari ekstensi NPS untuk autentikasi multifaktor Microsoft Entra.

Langkah berikutnya