Opsi konfigurasi tingkat lanjut untuk ekstensi NPS untuk autentikasi multifaktor
Ekstensi Network Policy Server (NPS) memperluas fitur autentikasi multifaktor Microsoft Entra berbasis cloud Anda ke dalam infrastruktur lokal Anda. Artikel ini mengasumsikan bahwa Anda sudah menginstal ekstensi, dan sekarang ingin tahu cara menyesuaikan ekstensi untuk kebutuhan Anda.
ID login alternatif
Karena ekstensi NPS terhubung ke direktori lokal dan cloud, Anda mungkin mengalami masalah di mana nama utama pengguna (UPN) lokal Anda tidak cocok dengan nama di cloud. Untuk mengatasi masalah ini, gunakan ID masuk alternatif.
Dalam ekstensi NPS, Anda dapat menunjuk atribut Direktori Aktif untuk digunakan sebagai UPN untuk autentikasi multifaktor Microsoft Entra. Ini memungkinkan Anda untuk melindungi sumber daya lokal Anda dengan verifikasi dua langkah tanpa memodifikasi UPN lokal Anda.
Untuk mengonfigurasi ID login alternatif, buka HKLM\SOFTWARE\Microsoft\AzureMfa dan edit nilai pendaftaran berikut ini:
| Nama | Tipe | Nilai default | Deskripsi |
|---|---|---|---|
| LDAP_ALTERNATE_LOGINID_ATTRIBUTE | string | Kosong | Tetapkan nama atribut Active Directory yang ingin Anda gunakan sebagai UPN. Atribut ini digunakan sebagai atribut AlternateLoginId. Jika nilai registri ini diatur ke atribut Active Directory yang valid (misalnya, mail atau displayName), nilai atribut tersebut akan digunakan sebagai UPN pengguna untuk autentikasi. Jika nilai pendaftaran ini kosong atau tidak dikonfigurasi, maka AlternateLoginId dinonaktifkan dan UPN pengguna digunakan untuk autentikasi. |
| LDAP_FORCE_GLOBAL_CATALOG | Boolean | Salah | Gunakan bendera ini untuk memaksa penggunaan Katalog Global untuk pencarian LDAP saat mencari AlternateLoginId. Konfigurasikan pengontrol domain sebagai Katalog Global, tambahkan atribut AlternateLoginId ke Katalog Global, lalu aktifkan bendera ini. Jika LDAP_LOOKUP_FORESTS dikonfigurasi (tidak kosong), bendera ini diberlakukan sebagai benar, terlepas dari nilai pengaturan pendaftaran. Dalam hal ini, ekstensi NPS mengharuskan Katalog Global dikonfigurasi dengan atribut AlternateLoginId untuk setiap forest. |
| LDAP_LOOKUP_FORESTS | string | Kosong | Sediakan daftar forest terpisah semi-titik dua untuk dicari. Misalnya, contoso.com;foobar.com. Jika nilai pendaftaran ini dikonfigurasi, ekstensi NPS secara berulang mencari di semua nilai dalam urutan di mana mereka terdaftar, dan mengembalikan nilai AlternateLoginId pertama yang berhasil. Jika nilai pendaftaran ini tidak dikonfigurasi, pencarian AlternateLoginId terbatas pada domain saat ini. |
Untuk memecahkan masalah dengan ID masuk alternatif, gunakan langkah-langkah yang disarankan untuk kesalahan ID masuk alternatif.
Pengecualian IP
Jika Anda perlu memantau ketersediaan server, seperti jika load balancer memverifikasi server mana yang berjalan sebelum mengirim beban kerja, Anda tidak ingin pemeriksaan ini diblokir oleh permintaan verifikasi. Sebagai gantinya, buat daftar alamat IP yang Anda ketahui digunakan oleh akun layanan, dan nonaktifkan persyaratan autentikasi multifaktor untuk daftar tersebut.
Untuk mengonfigurasi daftar yang diperbolehkan IP, buka HKLM\SOFTWARE\Microsoft\AzureMfa dan konfigurasikan nilai pendaftaran berikut:
| Nama | Tipe | Nilai default | Deskripsi |
|---|---|---|---|
| IP_WHITELIST | string | Kosong | Menyediakan daftar alamat IP terpisah titik koma. Sertakan alamat IP mesin tempat permintaan layanan berasal, seperti server NAS/VPN. Rentang IP dan subnet tidak didukung. Misalnya, 10.0.0.1; 10.0.0.2; 10.0.0.3. |
Catatan
Kunci pendaftaran ini tidak dibuat secara default oleh penginstal dan kesalahan muncul di log AuthZOptCh ketika layanan dimulai ulang. Kesalahan dalam log ini dapat diabaikan, tetapi jika kunci pendaftaran ini dibuat dan dibiarkan kosong jika tidak diperlukan maka pesan kesalahan tidak kembali.
Ketika permintaan masuk dari alamat IP yang ada di IP_WHITELIST verifikasi dua langkah dilewati. Daftar IP dibandingkan dengan alamat IP yang disediakan dalam aribut ratNASIPAddress dari permintaan RADIUS. Jika permintaan RADIUS masuk tanpa atribut ratNASIPAddress, peringatan akan dicatat: "IP_WHITE_LIST_WARNING::IP Whitelist sedang diabaikan karena IP sumber tidak ada dalam atribut NasIpAddress permintaan RADIUS."