Opzioni di configurazione avanzate per l'estensione NPS per l'autenticazione a più fattori
L'estensione Server dei criteri di rete estende le funzionalità di autenticazione a più fattori Microsoft Entra basate sul cloud nell'infrastruttura locale. Questo articolo presuppone che l'estensione sia già installata e che ora si voglia sapere come personalizzare l'estensione per le proprie esigenze.
ID di accesso alternativo
Poiché l'estensione NPS si connette sia alle directory locali sia a quelle nel cloud, è possibile riscontrare un problema se i nomi dell'entità utente (UPN) locali non corrispondono ai nomi nel cloud. Per risolvere questo problema, usare ID di accesso alternativi.
All'interno dell'estensione NPS è possibile designare un attributo di Active Directory da usare come UPN per l'autenticazione a più fattori Di Microsoft Entra. Ciò consente di proteggere le risorse locali con la verifica in due passaggi senza modificare i nomi UPN locali.
Per configurare gli ID di accesso alternativi, passare a HKLM\SOFTWARE\Microsoft\AzureMfa e modificare i seguenti valori del Registro di sistema:
| Nome | Type | Default value | Descrizione |
|---|---|---|---|
| LDAP_ALTERNATE_LOGINID_ATTRIBUTE | stringa | Vuoto | Designare il nome dell'attributo di Active Directory che si vuole usare come UPN. Questo attributo viene usato come attributo AlternateLoginId. Se questo valore del Registro di sistema è impostato su un attributo di Active Directory valido(ad esempio, mail o displayName), il valore dell'attributo viene usato come UPN dell'utente per l'autenticazione. Se questo valore del Registro di sistema è vuoto o non configurato, AlternateLoginId è disabilitato e l'UPN dell'utente viene usato per l'autenticazione. |
| LDAP_FORCE_GLOBAL_CATALOG | boolean | Falso | Usare questo flag per forzare l'uso del catalogo globale per le ricerche LDAP quando si effettua la ricerca di AlternateLoginId. Configurare un controller di dominio come catalogo globale, aggiungere l'attributo AlternateLoginId al catalogo globale e quindi abilitare questo flag. Se LDAP_LOOKUP_FORESTSè configurato (non vuoto), questo flag viene applicato come true, indipendentemente dal valore del Registro di sistema. In questo caso, l'estensione NPS richiede che il catalogo globale sia configurato con l'attributo AlternateLoginId per ogni foresta. |
| LDAP_LOOKUP_FORESTS | stringa | Vuoto | Specificare un elenco separato da punti e virgola delle foreste in cui eseguire la ricerca. Ad esempio, contoso.com;foobar.com. Se questo valore del Registro di sistema è configurato, l'estensione NPS esegue una ricerca in modo iterativo in tutte le foreste nell'ordine in cui sono elencate e restituisce il primo valore AlternateLoginId corretto. Se questo valore del Registro di sistema non è configurato, la ricerca di AlternateLoginId è limitata al dominio corrente. |
Per risolvere i problemi con gli ID di accesso alternativi, usare le procedure consigliate per gli errori degli ID di accesso alternativi.
Eccezioni IP
Se è necessario monitorare la disponibilità del server, ad esempio se i servizi di bilanciamento del carico verificano quali server sono in esecuzione prima di inviare i carichi di lavoro, è opportuno che questi controlli non vengano bloccati da richieste di verifica. Creare invece un elenco di indirizzi IP che si conoscono vengono usati dagli account del servizio e disabilitare i requisiti di autenticazione a più fattori per tale elenco.
Per configurare un elenco di indirizzi IP consentiti, passare a HKLM\SOFTWARE\Microsoft\AzureMfa e configurare il valore del Registro di sistema seguente:
| Nome | Type | Default value | Descrizione |
|---|---|---|---|
| IP_WHITELIST | stringa | Vuoto | Specificare un elenco separato da punti e virgola degli indirizzi IP. Includere gli indirizzi IP dei computer in cui hanno origine le richieste di servizio, ad esempio il server NAS/VPN. Gli intervalli IP e le subnet non sono supportati. Ad esempio, 10.0.0.1; 10.0.0.2; 10.0.0.3. |
Nota
Questa chiave del Registro di sistema non viene creata per impostazione predefinita dal programma di installazione e viene visualizzato un errore nel log AuthZOptCh al riavvio del servizio. Questo errore nel log può essere ignorato, ma se questa chiave del Registro di sistema viene creata e lasciata vuota se non è necessaria, il messaggio di errore non viene restituito.
Quando una richiesta proviene da un indirizzo IP esistente nell'oggetto , la IP_WHITELISTverifica in due passaggi viene ignorata. L'elenco di indirizzi IP viene confrontato con l'indirizzo IP fornito nell'attributo ratNASIPAddress della richiesta RADIUS. Se una richiesta RADIUS viene inserita senza l'attributo ratNASIPAddress, viene registrato un avviso: "IP_WHITE_LIST_WARNING::IP Whitelist viene ignorato perché l'indirizzo IP di origine non è presente nell'attributo NasIpAddress della richiesta RADIUS".