Opsi konfigurasi tingkat lanjut untuk ekstensi NPS untuk Multi-Factor Authentication

Ekstensi Network Policy Server (NPS) memperluas fitur Azure AD Multi-Factor Authentication berbasis cloud ke infrastruktur lokal Anda. Artikel ini mengasumsikan bahwa Anda sudah menginstal ekstensi, dan sekarang ingin tahu cara menyesuaikan ekstensi untuk kebutuhan Anda.

ID Masuk Alternatif

Karena ekstensi NPS terhubung ke direktori lokal dan cloud, Anda mungkin mengalami masalah di mana nama utama pengguna (UPN) lokal Anda tidak cocok dengan nama di cloud. Untuk mengatasi masalah ini, gunakan ID masuk alternatif.

Dalam ekstensi NPS, Anda dapat menetapkan atribut Active Directory untuk digunakan sebagai UPN bagi Autentikasi Multifaktor Azure AD. Ini memungkinkan Anda untuk melindungi sumber daya lokal Anda dengan verifikasi dua langkah tanpa memodifikasi UPN lokal Anda.

Untuk mengonfigurasi ID login alternatif, buka HKLM\SOFTWARE\Microsoft\AzureMfa dan edit nilai pendaftaran berikut ini:

Nama Jenis Nilai default Deskripsi
LDAP_ALTERNATE_LOGINID_ATTRIBUTE string Kosong Tetapkan nama atribut Active Directory yang ingin Anda gunakan sebagai UPN. Atribut ini digunakan sebagai atribut AlternateLoginId. Jika nilai registri ini diatur ke atribut Active Directory yang valid (misalnya, mail atau displayName), nilai atribut tersebut akan digunakan sebagai UPN pengguna untuk autentikasi. Jika nilai pendaftaran ini kosong atau tidak dikonfigurasi, maka AlternateLoginId dinonaktifkan dan UPN pengguna digunakan untuk autentikasi.
LDAP_FORCE_GLOBAL_CATALOG boolean Salah Gunakan bendera ini untuk memaksa penggunaan Katalog Global untuk pencarian LDAP saat mencari AlternateLoginId. Konfigurasikan pengontrol domain sebagai Katalog Global, tambahkan atribut AlternateLoginId ke Katalog Global, lalu aktifkan bendera ini.

Jika LDAP_LOOKUP_FORESTS dikonfigurasi (tidak kosong), bendera ini diberlakukan sebagai benar, terlepas dari nilai pengaturan pendaftaran. Dalam hal ini, ekstensi NPS mengharuskan Katalog Global dikonfigurasi dengan atribut AlternateLoginId untuk setiap forest.
LDAP_LOOKUP_FORESTS string Kosong Sediakan daftar forest terpisah semi-titik dua untuk dicari. Misalnya, contoso.com;foobar.com. Jika nilai pendaftaran ini dikonfigurasi, ekstensi NPS secara berulang mencari di semua nilai dalam urutan di mana mereka terdaftar, dan mengembalikan nilai AlternateLoginId pertama yang berhasil. Jika nilai pendaftaran ini tidak dikonfigurasi, pencarian AlternateLoginId terbatas pada domain saat ini.

Untuk memecahkan masalah dengan ID masuk alternatif, gunakan langkah-langkah yang disarankan untuk kesalahan ID masuk alternatif.

Pengecualian IP

Jika Anda perlu memantau ketersediaan server, seperti jika load balancer memverifikasi server mana yang berjalan sebelum mengirim beban kerja, Anda tidak ingin pemeriksaan ini diblokir oleh permintaan verifikasi. Sebagai gantinya, buat daftar alamat IP yang Anda tahu digunakan oleh akun layanan, dan nonaktifkan persyaratan Multi-Factor Authentication untuk daftar tersebut.

Untuk mengonfigurasi daftar yang diperbolehkan IP, buka HKLM\SOFTWARE\Microsoft\AzureMfa dan konfigurasikan nilai pendaftaran berikut:

Nama Jenis Nilai default Deskripsi
IP_WHITELIST string Kosong Menyediakan daftar alamat IP terpisah titik koma. Sertakan alamat IP mesin tempat permintaan layanan berasal, seperti server NAS/VPN. Rentang IP dan subnet tidak didukung.

Misalnya, 10.0.0.1;10.0.0.2;10.0.0.3.

Catatan

Kunci pendaftaran ini tidak dibuat secara default oleh penginstal dan kesalahan muncul di log AuthZOptCh ketika layanan dimulai ulang. Kesalahan dalam log ini dapat diabaikan, tetapi jika kunci pendaftaran ini dibuat dan dibiarkan kosong jika tidak diperlukan maka pesan kesalahan tidak kembali.

Ketika permintaan masuk dari alamat IP yang ada di IP_WHITELIST verifikasi dua langkah dilewati. Daftar IP dibandingkan dengan alamat IP yang disediakan dalam aribut ratNASIPAddress dari permintaan RADIUS. Jika permintaan RADIUS masuk tanpa atribut ratNASIPAddress, peringatan akan dicatat: "IP_WHITE_LIST_WARNING::IP Whitelist sedang diabaikan karena IP sumber tidak ada dalam atribut NasIpAddress permintaan RADIUS."

Langkah berikutnya