Проверка подлинности RADIUS с помощью идентификатора Microsoft Entra

Служба пользователей удаленной проверки подлинности (RADIUS) — это сетевой протокол, который защищает сеть, обеспечивая централизованную проверку подлинности и авторизацию пользователей с телефонным подключением. Многие приложения по-прежнему используют протокол RADIUS для проверки подлинности пользователей.

Microsoft Windows Server имеет роль сервера политики сети (NPS), который может выступать в качестве сервера RADIUS и поддерживать проверку подлинности RADIUS.

Идентификатор Microsoft Entra включает многофакторную проверку подлинности с системами на основе RADIUS. Если клиент хочет применить многофакторную проверку подлинности Microsoft Entra к любой из упомянутых ранее рабочих нагрузок RADIUS, он может установить расширение NPS многофакторной проверки подлинности Microsoft Entra на сервере NPS Windows.

Сервер NPS Windows проходит проверку подлинности учетных данных пользователя в Active Directory, а затем отправляет запрос многофакторной проверки подлинности в Azure. Затем пользователь получает вызов на мобильном аутентификаторе. После успешного выполнения клиентское приложение может подключиться к службе.

Используйте, когда:

Необходимо добавить многофакторную проверку подлинности в такие приложения, как

• виртуальная частная сеть (VPN)
• Доступ к Wi-Fi
• Шлюз удаленных рабочих столов (RDG)
• инфраструктура виртуальных рабочих столов (VDI)
• Все остальные пользователи, зависящие от протокола RADIUS для проверки подлинности пользователей в службе.

Заметка

Вместо того чтобы полагаться на RADIUS и расширение NPS многофакторной проверки подлинности Microsoft Entra, чтобы применить многофакторную проверку подлинности Microsoft Entra к vpn-рабочим нагрузкам, рекомендуется обновить VPN до языка разметки утверждения безопасности (SAML) и напрямую федеративный VPN с идентификатором Microsoft Entra ID. Это дает VPN полный спектр Защита идентификации Microsoft Entra, включая условный доступ, многофакторную проверку подлинности, соответствие устройств и Защита идентификации Microsoft Entra.

Компоненты системы

• Клиентское приложение (VPN-клиент): отправляет запрос проверки подлинности клиенту RADIUS.

• Клиент RADIUS: преобразует запросы из клиентского приложения и отправляет их на сервер RADIUS с установленным расширением NPS.

• RADIUS-сервер: подключается к Active Directory для выполнения основной проверки подлинности запроса RADIUS. После успешного выполнения запрос передается в расширение NPS многофакторной проверки подлинности Microsoft Entra.

• Расширение NPS: запускает запрос на многофакторную проверку подлинности Microsoft Entra для вторичной проверки подлинности. При успешном выполнении расширение NPS завершает запрос проверки подлинности, предоставив серверу RADIUS маркеры безопасности, включающие утверждение многофакторной проверки подлинности, выданное службой маркеров безопасности Azure.

• Многофакторная проверка подлинности Microsoft Entra: взаимодействует с идентификатором Microsoft Entra для получения сведений о пользователе и выполняет дополнительную проверку подлинности с помощью метода проверки, настроенного пользователем.

Реализация RADIUS с помощью идентификатора Microsoft Entra

• Предоставление возможностей многофакторной проверки подлинности Microsoft Entra с помощью NPS

• Настройка расширения NPS многофакторной проверки подлинности Microsoft Entra

• VPN с многофакторной проверкой подлинности Microsoft Entra с помощью расширения NPS