Integrare l'infrastruttura di Server dei criteri di rete (NPS) esistente con l'autenticazione a più fattori di Azure AD

L'estensione Server criteri di rete (NPS) per Azure AD Multi-Factor Authentication aggiunge funzionalità MFA basate sul cloud all'infrastruttura di autenticazione usando i server esistenti. Con l'estensione di Server dei criteri di rete, è possibile aggiungere la verifica con telefonata, messaggio di testo o app telefonica al flusso di autenticazione esistente senza dover installare, configurare e gestire nuovi server.

L'estensione NPS funge da adattatore tra RADIUS e Azure AD Multi-Factor Authentication basato sul cloud per fornire un secondo fattore di autenticazione per gli utenti federati o sincronizzati.

Funzionamento dell'estensione NPS

Quando si usa l'estensione NpS per Azure AD Multi-Factor Authentication, il flusso di autenticazione include i componenti seguenti:

1. Il Server NAS/VPN riceve le richieste dei client VPN e le converte in richieste RADIUS per il Server dei criteri di rete.
2. Il server dei criteri di rete si connette a Active Directory Domain Services (AD DS) per eseguire l'autenticazione primaria per le richieste RADIUS e, al termine, passa la richiesta a qualsiasi estensione installata.
3. L'estensione NPS attiva una richiesta ad Azure AD Multi-Factor Authentication per l'autenticazione secondaria. Dopo che l'estensione riceve la risposta e se la richiesta di verifica MFA ha esito positivo, la richiesta di autenticazione viene completata, fornendo al server di Server dei criteri di rete i token di sicurezza che includono un'attestazione MFA, emessa dal servizio token di sicurezza di Azure.

   Nota

   Gli utenti devono avere accesso al metodo di autenticazione predefinito per completare il requisito MFA. Non possono scegliere un metodo alternativo. Il metodo di autenticazione predefinito verrà usato anche se è stato disabilitato nei metodi di autenticazione tenant e nei criteri MFA.

4. Azure AD MFA comunica con Azure Active Directory (Azure AD) per recuperare i dettagli dell'utente ed eseguire l'autenticazione secondaria usando un metodo di verifica configurato per l'utente.

Il diagramma seguente illustra questo flusso di richiesta di autenticazione ad alto livello:

Comportamento del protocollo RADIUS e estensione NPS

Poiché RADIUS è un protocollo UDP, il mittente presuppone la perdita dei pacchetti e attende una risposta. Dopo un periodo di tempo, la connessione potrebbe timeout. In tal caso, il pacchetto viene risentito perché il mittente presuppone che il pacchetto non raggiungesse la destinazione. Nello scenario di autenticazione in questo articolo, i server VPN inviano la richiesta e attendere una risposta. Se la connessione è in timeout, il server VPN invia di nuovo la richiesta.

Il server npS potrebbe non rispondere alla richiesta originale del server VPN prima del timeout della connessione perché la richiesta MFA potrebbe comunque essere elaborata. L'utente potrebbe non aver risposto correttamente al prompt MFA, pertanto l'estensione NpS di Azure AD Multi-Factor Authentication è in attesa del completamento di tale evento. In questa situazione, il server criteri di rete identifica le richieste del server VPN aggiuntive come richiesta duplicata. Il server npS rimuove queste richieste di server VPN duplicati.

Se si esaminano i log del server dei criteri di rete, è possibile che vengano visualizzate queste richieste aggiuntive rimosse. Questo comportamento è progettato per proteggere l'utente finale da più richieste per un singolo tentativo di autenticazione. Le richieste rimosse nel registro eventi del server dei criteri di rete non indicano che si è verificato un problema con il server NPS o l'estensione Criteri di rete di Azure AD Multi-Factor Authentication.

Per ridurre al minimo le richieste ignorate, è consigliabile configurare i server VPN con un timeout di almeno 60 secondi. Se necessario o per ridurre le richieste rimosse nei log eventi, è possibile aumentare il valore del timeout del server VPN a 90 o 120 secondi.

A causa di questo comportamento del protocollo UDP, il server NPS potrebbe ricevere una richiesta duplicata e inviare un'altra richiesta MFA, anche dopo che l'utente ha già risposto alla richiesta iniziale. Per evitare questa condizione di intervallo, l'estensione Criteri di rete Multi-Factor Authentication di Azure AD continua a filtrare ed eliminare le richieste duplicate per un massimo di 10 secondi dopo l'invio di una risposta riuscita al server VPN.

Anche quando il prompt di Azure AD Multi-Factor Authentication ha avuto esito positivo, potrebbe essere visualizzato anche se le richieste del server dei criteri di rete potrebbero essere state rimosse. Questo comportamento è previsto e non indica un problema con il server NPS o l'estensione Criteri di rete di Azure AD Multi-Factor Authentication.

Pianificare la distribuzione

L'estensione di Server dei criteri di rete gestisce automaticamente la ridondanza, pertanto non è necessaria una configurazione speciale.

È possibile creare tutti i server criteri di rete abilitati per Multi-Factor Authentication di Azure AD, come necessario. Se si installano più server, è consigliabile usare un certificato client di differenza per ciascuno. La creazione di un certificato per ogni server significa che è possibile aggiornare ogni certificato singolarmente e non preoccuparsi dei tempi di inattività in tutti i server.

I server VPN instradano le richieste di autenticazione, pertanto devono essere consapevoli dei nuovi server criteri di rete abilitati per Azure AD Multi-Factor Authentication.

Prerequisiti

L'estensione di Server dei criteri di rete è progettata per funzionare con l'infrastruttura esistente. Prima di iniziare, verificare che i prerequisiti seguenti siano disponibili.

Licenze

L'estensione NPS per Azure AD Multi-Factor Authentication è disponibile per i clienti con licenze per Azure AD Multi-Factor Authentication (inclusa con Azure AD Premium P1 e Premium P2 o Enterprise Mobility + Security). Le licenze basate su consumo per Azure AD Multi-Factor Authentication, ad esempio per utente o per licenza di autenticazione, non sono compatibili con l'estensione NPS.

Software

Windows Server 2012 o versioni successive.

Librerie

È necessario installare manualmente la libreria seguente:

• Visual C++ Redistributable per Visual Studio 2015

Le librerie seguenti vengono installate automaticamente con l'estensione.

• Visual C++ Redistributable Packages per Visual Studio 2013 (X64)
• Modulo di Microsoft Azure Active Directory per Windows PowerShell versione 1.1.166.0

Il modulo Microsoft Azure Active Directory per Windows PowerShell viene installato anche tramite uno script di configurazione eseguito come parte del processo di installazione, se non è già presente. Non è necessario installare questo modulo in anticipo se non è già installato.

Azure Active Directory

Tutti gli utenti che usano l'estensione NPS devono essere sincronizzati con Azure AD con Azure AD Connect e devono essere registrati per L'autenticazione a più fattori.

Quando si installa l'estensione, è necessario l'ID tenant e le credenziali di amministratore per il tenant di Azure AD. Per ottenere l'ID tenant, completare la procedura seguente:

1. Accedere al portale di Azure come amministratore globale del tenant di Azure.

2. Cercare e selezionare Azure Active Directory.

3. Nella pagina Panoramica vengono visualizzate le informazioni sul tenant . Accanto all'ID tenant selezionare l'icona Copia , come illustrato nello screenshot di esempio seguente:

   

Requisiti di rete

Il server NPS deve essere in grado di comunicare con gli URL seguenti sulla porta TCP 443:

• https:\//login.microsoftonline.com
• https:\//credentials.azure.com

È inoltre necessaria la connettività agli URL seguenti per completare la configurazione della scheda usando lo script di PowerShell fornito:

• https:\//login.microsoftonline.com
• https:\//provisioningapi.microsoftonline.com
• https:\//aadcdn.msauth.net
• https:\//www.powershellgallery.com
• https:\//go.microsoft.com
• https:\//aadcdn.msftauthimages.net

Preparare l'ambiente

Prima di installare l'estensione NPS, preparare l'ambiente per gestire il traffico di autenticazione.

Abilitare il ruolo del Server dei criteri di rete in un server appartenente a un dominio

Il server npS si connette ad Azure AD ed autentica le richieste MFA. Scegliere un server per questo ruolo. Si consiglia di scegliere un server che non gestisce le richieste provenienti da altri servizi, poiché l'estensione di Server dei criteri di rete genera errori per qualsiasi richiesta non RADIUS. È necessario configurare il server npS come server di autenticazione primario e secondario per l'ambiente. Non può inviare richieste RADIUS proxy a un altro server.

1. Nel server aprire Server Manager. Selezionare Aggiungi ruoli e funzionalità guidata dal menu Avvio rapido .
2. Per il tipo di installazione scegliere Installazione basata su ruoli o basata su funzionalità.
3. Selezionare il ruolo del server Servizi di accesso e criteri di rete. Una finestra può essere visualizzata per informare l'utente di funzionalità aggiuntive necessarie per eseguire questo ruolo.
4. Continuare tramite la procedura guidata fino alla pagina Di conferma . Quando si è pronti, selezionare Installa.

Potrebbero essere necessari alcuni minuti per installare il ruolo del server NpS. Al termine, continuare con le sezioni seguenti per configurare questo server per gestire le richieste RADIUS in ingresso dalla soluzione VPN.

Configurare la soluzione VPN in modo che comunichi con il Server dei criteri di rete

La procedura per configurare i criteri di autenticazione RADIUS può variare a seconda della soluzione VPN in uso. Configurare i criteri VPN per puntare al server RADIUS NPS.

Sincronizzare gli utenti del dominio con il cloud

Questo passaggio potrebbe essere già completato nel tenant, tuttavia è consigliabile verificare che Azure AD Connect abbia sincronizzato i database di recente.

1. Accedere al portale di Azure come amministratore.
2. Selezionare Azure Active Directory>Azure AD Connect
3. Verificare che lo stato della sincronizzazione sia Abilitata e che l'ultima sincronizzazione sia stata eseguita da meno di un'ora.

Se è necessario avviare un nuovo round di sincronizzazione, vedere Sincronizzazione di Azure AD Connect: Scheduler.

Determinare i metodi di autenticazione che è possibile usare

Sono due i fattori che determinano i metodi di autenticazione disponibili con una distribuzione dell'estensione di Server dei criteri di rete:

• L'algoritmo di crittografia della password usato tra il client RADIUS (VPN, server Netscaler o altri) e i Server dei criteri di rete.

  • PAP supporta tutti i metodi di autenticazione di Azure AD Multi-Factor Authentication nel cloud: telefonata, SMS unidirezionale, notifica dell'app per dispositivi mobili, token hardware OATH e codice di verifica dell'app per dispositivi mobili.
  • CHAPV2 e EAP supportano la chiamata telefonica e la notifica dell'app per dispositivi mobili.

• I metodi di input che l'applicazione client (VPN, server Netscaler o altra) può gestire. Ad esempio, gli strumenti usati dal client VPN per consentire all'utente di digitare un codice di verifica da un testo o da un'app per dispositivi mobili.

È possibile disabilitare i metodi di autenticazione non supportati in Azure.

Nota

Indipendentemente dal protocollo di autenticazione usato (PAP, CHAP o EAP), se il metodo MFA è basato su testo (SMS, codice di verifica dell'app per dispositivi mobili o token hardware OATH) e richiede all'utente di immettere un codice o un testo nel campo di input dell'interfaccia utente del client VPN, l'autenticazione potrebbe avere esito positivo. Tuttavia , tutti gli attributi RADIUS configurati nei criteri di accesso alla rete non vengono inoltrati al client RADIUS (il dispositivo di accesso alla rete, ad esempio il gateway VPN). Di conseguenza, il client VPN potrebbe avere più accesso rispetto a quello che si vuole avere o meno accesso o nessun accesso.

Come soluzione alternativa, è possibile eseguire lo script CrpUsernameStuffing per inoltrare gli attributi RADIUS configurati nei criteri di accesso alla rete e consentire l'autenticazione a più fattori quando il metodo di autenticazione dell'utente richiede l'uso di un One-Time Passcode (OTP), ad esempio SMS, un passcode Microsoft Authenticator o un FOB hardware.

Registrare utenti per l'MFA

Prima di distribuire e usare l'estensione NPS, gli utenti necessari per eseguire Azure AD Multi-Factor Authentication devono essere registrati per l'autenticazione a più fattori. Per testare l'estensione durante la distribuzione, è necessario anche almeno un account di test completamente registrato per Azure AD Multi-Factor Authentication.

Se è necessario creare e configurare un account di test, seguire questa procedura:

1. Accedere a https://aka.ms/mfasetup con un account di prova.
2. Seguire le richieste per configurare un metodo di verifica.
3. Nel portale di Azure come utente amministratore creare un criterio di accesso condizionale per richiedere l'autenticazione a più fattori per l'account di test.

Importante

Assicurarsi che gli utenti siano stati registrati correttamente per Azure AD Multi-Factor Authentication. Se gli utenti sono stati registrati in precedenza solo per la reimpostazione della password self-service (SSPR), StrongAuthenticationMethods viene abilitato per i loro account. Azure AD Multi-Factor Authentication viene applicato quando è configurato StrongAuthenticationMethods , anche se l'utente è registrato solo per la reimpostazione della password self-service.

È possibile abilitare la registrazione combinata della sicurezza che configura la reimpostazione della password self-service e Azure AD Multi-Factor Authentication contemporaneamente. Per altre informazioni, vedere Abilitare la registrazione delle informazioni di sicurezza combinate in Azure Active Directory.

È anche possibile imporre agli utenti di registrare nuovamente i metodi di autenticazione se in precedenza erano abilitati solo per la reimpostazione della password self-service.

Gli utenti che si connettono al server dei criteri di rete che usano nome utente e password dovranno completare una richiesta di autenticazione a più fattori.

Installare l'estensione di Server dei criteri di rete

Importante

Installare l'estensione di Server dei criteri di rete in un server diverso rispetto al punto di accesso della VPN.

Scaricare e installare l'estensione NPS per Azure AD MFA

Per scaricare e installare l'estensione NPS, seguire questa procedura:

1. Scaricare l'estensione di Server dei criteri di rete dall'Area download di Microsoft.
2. Copiare il file binario nel Server dei criteri di rete da configurare.
3. Eseguire setup.exe e seguire le istruzioni di installazione. Se si verificano errori, assicurarsi che le librerie della sezione dei prerequisiti siano state installate correttamente.

Aggiornare l'estensione di Server dei criteri di rete

Se in un secondo momento si aggiorna un'estensione NPS esistente, per evitare il riavvio del server sottostante, completare la procedura seguente:

1. Disinstallare la versione esistente.
2. Eseguire il nuovo programma di installazione.
3. Riavviare il servizio Ias (Network Policy Server).

Eseguire lo script di PowerShell

Il programma di installazione crea uno script di PowerShell in C:\Program Files\Microsoft\AzureMfa\Config (dove C:\ è l'unità di installazione). Questo script di PowerShell esegue le azioni seguenti ogni volta che viene eseguito:

• Crea un certificato autofirmato.
• Associa la chiave pubblica del certificato all'entità servizio in Azure AD.
• Archivia il certificato nell'archivio certificati del computer locale.
• Concede l'accesso alla chiave privata del certificato all'utente di rete.
• Riavvia il servizio Server dei criteri di rete.

A meno che non si voglia usare certificati personalizzati (anziché i certificati autofirmato generati dallo script di PowerShell), eseguire lo script di PowerShell per completare l'installazione dell'estensione NPS. Se si installa l'estensione in più server, ogni server deve avere un proprio certificato.

Per fornire funzionalità di bilanciamento del carico o per la ridondanza, ripetere questi passaggi in server dei criteri di rete aggiuntivi in base alle esigenze:

1. Aprire un prompt dei comandi di Windows PowerShell come amministratore.

2. Modificare le directory in cui il programma di installazione ha creato lo script di PowerShell:

   cd "C:\Program Files\Microsoft\AzureMfa\Config"
   

3. Eseguire lo script di PowerShell creato dal programma di installazione.

   Potrebbe essere necessario prima abilitare TLS 1.2 per PowerShell per poter connettere e scaricare correttamente i pacchetti:

   [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

   Importante

   Per i clienti che usano i cloud Azure per enti pubblici o Azure China 21Vianet, modificare prima i Connect-MsolService cmdlet nello script AzureMfaNpsExtnConfigSetup.ps1 per includere i parametri AzureEnvironment per il cloud richiesto. Ad esempio, specificare -AzureEnvironment USGovernment o -AzureEnvironment AzureChinaCloud.

   Per altre informazioni, vedere Informazioni di riferimento sui parametri Connect-MsolService.

   .\AzureMfaNpsExtnConfigSetup.ps1
   

4. Quando richiesto, accedere ad Azure AD come amministratore.

5. Prompt di PowerShell per l'ID tenant. Usare il GUID ID tenant copiato dal portale di Azure nella sezione prerequisiti.

6. Al termine dello script viene visualizzato un messaggio di esito positivo.

Se il certificato del computer precedente è scaduto ed è stato generato un nuovo certificato, è consigliabile eliminare eventuali certificati scaduti. La presenza di certificati scaduti può causare problemi con l'avvio dell'estensione di Server dei criteri di rete.

Nota

Se si usano i propri certificati invece di generare certificati con lo script di PowerShell, verificare che rispettino la convenzione di denominazione di Server dei criteri di rete. Il nome oggetto deve essere CN=<TenantID>,OU=Estensione di Server dei criteri di rete Microsoft.

Passaggi aggiuntivi di Microsoft Azure per enti pubblici o Azure China 21Vianet

Per i clienti che usano i cloud Azure per enti pubblici o Azure China 21Vianet, in ogni server dei criteri di rete sono necessari i passaggi di configurazione aggiuntivi seguenti.

Importante

Configurare queste impostazioni del Registro di sistema solo se si è un cliente Azure per enti pubblici o Azure China 21Vianet.

1. Se si è un cliente Azure per enti pubblici o Azure China 21Vianet, aprire l'editor del Registro di sistema nel server dei criteri di rete.

2. Accedere a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.

3. Per Azure per enti pubblici clienti, impostare i valori di chiave seguenti:

   Chiave del Registro di sistema	valore
   AZURE_MFA_HOSTNAME	strongauthenticationservice.auth.microsoft.us
   AZURE_MFA_RESOURCE_HOSTNAME	adnotifications.windowsazure.us
   STS_URL	https://login.microsoftonline.us/

4. Per i clienti di Azure China 21Vianet, impostare i valori chiave seguenti:

   Chiave del Registro di sistema	valore
   AZURE_MFA_HOSTNAME	strongauthenticationservice.auth.microsoft.cn
   AZURE_MFA_RESOURCE_HOSTNAME	adnotifications.windowsazure.cn
   STS_URL	https://login.chinacloudapi.cn/

5. Ripetere i due passaggi precedenti per impostare i valori della chiave del Registro di sistema per ogni Server dei criteri di rete.

6. Riavviare il servizio Server dei criteri di rete per ogni Server dei criteri di rete.

   Per limitare l'impatto, escludere ogni Server dei criteri di rete dalla rotazione del bilanciamento del carico uno alla volta e attendere lo svuotamento di tutte le connessioni.

Rollover dei certificati

Con la versione 1.0.1.32 dell'estensione Server dei criteri di rete, la lettura di più certificati è ora supportata. Questa funzionalità consente di facilitare l'implementazione degli aggiornamenti dei certificati prima della scadenza. Se l'organizzazione esegue una versione precedente dell'estensione NPS, eseguire l'aggiornamento alla versione 1.0.1.32 o successiva.

I certificati creati dallo script AzureMfaNpsExtnConfigSetup.ps1 sono validi per 2 anni. Monitorare i certificati per la scadenza. I certificati per l'estensione NPS vengono inseriti nell'archivio certificati computer locale in Personale e vengono rilasciati all'ID tenant fornito allo script di installazione.

Quando un certificato si avvicina alla data di scadenza, è necessario creare un nuovo certificato per sostituirlo. Questo processo viene eseguito eseguendo di nuovo AzureMfaNpsExtnConfigSetup.ps1 e mantenendo lo stesso ID tenant quando richiesto. Questo processo deve essere ripetuto in ogni Server dei criteri di rete nell'ambiente in uso.

Configurare l'estensione di Server dei criteri di rete

Con l'ambiente preparato e l'estensione NPS ora installata nei server necessari, è possibile configurare l'estensione.

In questa sezione sono disponibili considerazioni e suggerimenti sulla progettazione per una corretta distribuzione dell'estensione di Server dei criteri di rete.

Limitazioni di configurazione

• L'estensione NPS per Azure AD Multi-Factor Authentication non include strumenti per eseguire la migrazione di utenti e impostazioni da MFA Server al cloud. Per questo motivo, è consigliabile usare l'estensione per le distribuzioni nuove piuttosto che per quelle esistenti. Se si usano le estensioni in una distribuzione esistente, gli utenti dovranno ripetere il processo di registrazione per popolare i dettagli di Azure MFA nel cloud.
• L'estensione NPS usa l'UPN dall'ambiente Active Directory Domain Services locale per identificare l'utente in Azure AD Multi-Factor Authentication per eseguire l'autenticazione secondaria. L'estensione può essere configurata per l'uso di un identificatore diverso, ad esempio l'ID di accesso alternativo o il campo Active Directory Domain Services personalizzato diverso da UPN. Per altre informazioni, vedere l'articolo Opzioni di configurazione avanzate per l'estensione NPS per Multi-Factor Authentication.
• Non tutti i protocolli di crittografia supportano tutti i metodi di verifica.
  • PAP supporta la chiamata telefonica, gli SMS unidirezionali, la notifica dell'app per dispositivi mobili e il codice di verifica app per dispositivi mobili
  • CHAPV2 e EAP supportano la chiamata telefonica e la notifica dell'app per dispositivi mobili

Client RADIUS di controllo che richiedono MFA

Dopo aver abilitato MFA per un client RADIUS usando l'estensione NPS, sono necessarie tutte le autenticazione per questo client per eseguire MFA. Se si desidera abilitare MFA solo per alcuni client RADIUS, è possibile configurare due server di Server dei criteri di rete e installare l'estensione solo su uno di questi.

Configurare i client RADIUS per cui si vuole fare in modo che MFA invii richieste al server di Server dei criteri di rete configurato con l'estensione e gli altri client RADIUS al server di Server dei criteri di rete senza configurazione per l'estensione.

Impostazioni per gli utenti che non sono registrati per MFA

Se sono presenti utenti che non sono registrati per MFA, è possibile stabilire cosa succede quando questi tentano di eseguire l'autenticazione. Per controllare questo comportamento, usare l'impostazione REQUIRE_USER_MATCH nel percorso del Registro di sistema HKLM\Software\Microsoft\AzureMFA. Questa impostazione non ha un'unica opzione di configurazione:

Chiave	Valore	Predefinito
REQUIRE_USER_MATCH	VERO/FALSO	Non impostato (equivalente a VERO)

Questa impostazione determina cosa fare quando un utente non è registrato per L'autenticazione a più fattori. Quando la chiave non esiste, non è impostata o è impostata su TRUE e l'utente non è registrato, l'estensione ha esito negativo.

Quando la chiave è impostata su FALSE e l'utente non è registrato, l'autenticazione procede senza eseguire MFA. Se un utente è registrato in MFA, deve eseguire l'autenticazione con MFA anche se REQUIRE_USER_MATCH è impostato su FALSE.

È possibile scegliere di creare questa chiave e impostarla su FALSE mentre gli utenti stanno eseguendo l'onboarding e potrebbero non essere tutti registrati per Azure AD Multi-Factor Authentication. Poiché l'impostazione della chiave consente agli utenti che non sono registrati all'MFA di accedere, è necessario rimuovere la chiave prima di passare all'ambiente di produzione.

Risoluzione dei problemi

Script di controllo integrità dell'estensione Server dei criteri di rete

Lo script seguente è disponibile per eseguire i passaggi di base del controllo integrità durante la risoluzione dei problemi relativi all'estensione Server dei criteri di rete.

MFA_NPS_Troubleshooter.ps1

Come correggere l'errore "L'entità servizio non è stata trovata" durante l'esecuzione AzureMfaNpsExtnConfigSetup.ps1 dello script?

Se per qualsiasi motivo l'entità servizio "Azure Multi-Factor Auth Client" non è stata creata nel tenant , può essere creata manualmente eseguendo il New-MsolServicePrincipal cmdlet come illustrato di seguito.

import-module MSOnline
Connect-MsolService
New-MsolServicePrincipal -AppPrincipalId 981f26a1-7f43-403b-a875-f8b09b8cd720 -DisplayName "Azure Multi-Factor Auth Client"

Al termine, passare alle proprietà portale di Azure>Azure Active Directory>Enterprise Applications> Search for "Azure Multi-Factor Auth Client" > Controllare le proprietà per questa app > Conferma se l'entità servizio è abilitata o disabilitata > Fare clic sulla voce > dell'applicazione Vai alle proprietà dell'app > Se l'opzione "Abilitato per gli utenti per l'accesso? è impostato su No in Proprietà di questa app , impostarlo su Sì.

Eseguire di nuovo lo script e non deve restituire l'errore AzureMfaNpsExtnConfigSetup.ps1Service principal was not found .

Come verificare che il certificato client sia installato come previsto?

Cercare il certificato autofirmato creato dal programma di installazione nell'archivio dei certificati e verificare che la chiave privata disponga delle autorizzazioni concesse all'utente Servizio di rete. Il certificato ha come nome oggetto CN <tenantid>, OU = Estensione di Server dei criteri di rete Microsoft

I certificati autofirmati generati dallo AzureMfaNpsExtnConfigSetup.ps1 script hanno una durata di validità di due anni. Quando si verifica che il certificato sia installato, è necessario verificare anche che il certificato non sia scaduto.

Come è possibile verificare che il certificato client sia associato al tenant in Azure AD?

Aprire il prompt dei comandi di PowerShell ed eseguire i comandi seguenti:

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1

Questi comandi consentono di stampare tutti i certificati associando il tenant con l'istanza dell'estensione di Server dei criteri di rete nella sessione di PowerShell. Cercare il certificato esportando il certificato client come file X.64 con codifica X.509(.cer) senza la chiave privata e confrontarlo con l'elenco da PowerShell.

Il comando seguente creerà un file denominato npscertificate nella radice dell'unità C: in formato cer.

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1 | select -ExpandProperty "value" | out-file c:\npscertificate.cer

Dopo aver eseguito questo comando, passare alla radice dell'unità C: individuare il file e fare doppio clic su di esso. Passare ai dettagli e scorrere verso il basso fino a "identificazione personale". Confrontare l'identificazione personale del certificato installato nel server a questo. Le identificazioni personali devono corrispondere.

I timestamp validi da e validi fino a quando , che sono in formato leggibile dall'utente, possono essere usati per filtrare gli errori ovvi se il comando restituisce più di un certificato.

Perché non è possibile accedere?

Verificare che la password non sia scaduta. L'estensione NPS non supporta la modifica delle password come parte del flusso di lavoro di accesso. Contattare il personale IT dell'organizzazione per ricevere assistenza.

Perché le richieste hanno esito negativo con l'errore del token di sicurezza?

Questo errore potrebbe essere dovuto a diverse ragioni. Per risolvere i problemi, seguire questa procedura:

1. Riavviare il server di Server dei criteri di rete.
2. Verificare che il certificato client sia installato come previsto.
3. Verificare che il certificato sia associato al tenant in Azure AD.
4. Verificare che https://login.microsoftonline.com/ sia accessibile dal server che esegue l'estensione.

Perché l'autenticazione ha esito negativo e restituisce un errore nei log HTTP che indica che l'utente non è stato trovato?

Verificare che AD Connect sia in esecuzione e che l'utente sia presente nell'ambiente Active Directory Domain Services locale e in Azure AD.

Perché vengono visualizzati errori di connessione HTTP nei log che contengono le autenticazioni non riuscite?

Verificare che https://adnotifications.windowsazure.com, https://strongauthenticationservice.auth.microsoft.com sia raggiungibile dal server che esegue l'estensione NPS.

Perché l'autenticazione non funziona, nonostante sia presente un certificato valido?

Se il certificato computer precedente è scaduto e viene generato un nuovo certificato, eliminare eventuali certificati scaduti. I certificati scaduti possono causare problemi con l'estensione NPS che inizia.

Per verificare se si dispone di un certificato valido, controllare l'archivio certificati dell'account computer locale usando MMC e assicurarsi che il certificato non abbia superato la data di scadenza. Per generare un nuovo certificato valido, eseguire nuovamente i passaggi da Esegui lo script del programma di installazione di PowerShell.

Perché vengono visualizzate richieste rimosse nei log del server dei criteri di rete?

Un server VPN può inviare richieste ripetute al server npS se il valore di timeout è troppo basso. Il server NPS rileva queste richieste duplicate e le elimina. Questo comportamento è per progettazione e non indica un problema con il server NPS o l'estensione Criteri di rete di Azure AD Multi-Factor Authentication.

Per altre informazioni sul motivo per cui vengono visualizzati pacchetti eliminati nei log del server dei criteri di rete, vedere Comportamento del protocollo RADIUS e l'estensione NPS all'inizio di questo articolo.

Ricerca per categorie ottenere la corrispondenza del numero di Microsoft Authenticator per l'uso con NPS?

Assicurarsi di eseguire la versione più recente dell'estensione NPS. Le versioni dell'estensione NPS a partire da 1.0.1.40 supportano la corrispondenza dei numeri.

Poiché l'estensione NPS non può visualizzare un numero, un utente abilitato per la corrispondenza dei numeri verrà comunque richiesto di approvare/negare. È tuttavia possibile creare una chiave del Registro di sistema che esegue l'override delle notifiche push per chiedere a un utente di immettere un passcode One-Time (OTP). L'utente deve avere un metodo di autenticazione OTP registrato per visualizzare questo comportamento. I metodi di autenticazione OTP comuni includono OTP disponibili nell'app Authenticator, altri token software e così via.

Se l'utente non dispone di un metodo OTP registrato, continuerà a ottenere l'esperienza Approva/Nega. Un utente con numero corrispondente al numero disabilitato visualizzerà sempre l'esperienza Approva/Nega.

Per creare la chiave del Registro di sistema che esegue l'override delle notifiche push:

1. Nel server NPS aprire l'editor del Registro di sistema.
2. Passare a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.
3. Impostare la coppia di valori chiave seguente: chiave: OVERRIDE_NUMBER_MATCHING_WITH_OTP valore = TRUE
4. Riavviare il servizio NPS.

Gestione dei protocolli TLS/SSL e dei pacchetti di crittografia

È consigliabile disabilitare o rimuovere i pacchetti di crittografia meno recenti e deboli, a meno che non sia richiesto dall'organizzazione. Informazioni su come completare questa attività sono disponibili nell'articolo Gestione di protocolli SSL/TLS e suite di crittografia per AD FS

Risoluzione dei problemi aggiuntiva

Altre indicazioni sulla risoluzione dei problemi e le possibili soluzioni sono disponibili nell'articolo Risolvere i messaggi di errore dall'estensione NPS per Azure AD Multi-Factor Authentication.

Passaggi successivi

• Panoramica e configurazione di Server dei criteri di rete in Windows Server

• Configurare gli ID alternativi per l'accesso o impostare un elenco di eccezioni per gli indirizzi IP che non devono eseguire la verifica in due passaggi in Advanced configuration options for the NPS extension for Multi-Factor Authentication (Opzioni di configurazione avanzate per l'estensione del server dei criteri di rete per Multi-Factor Authentication).

• Informazioni su come integrare Gateway Desktop remoto e server VPN usando l'estensione NPS

• Risolvere i messaggi di errore dall'estensione NPS per Azure AD Multi-Factor Authentication