Бөлісу құралы:

Интеграция существующей инфраструктуры сервера политики сети (NPS) с многофакторной проверкой подлинности Microsoft Entra

  • Мақала

Расширение сервера политики сети (NPS) для многофакторной проверки подлинности Microsoft Entra добавляет облачные возможности MFA в инфраструктуру проверки подлинности с помощью существующих серверов. С расширением NPS можно добавить телефонный звонок, текстовое сообщение или проверку приложения телефона в существующий поток проверки подлинности без необходимости устанавливать, настраивать и поддерживать новые серверы.

Расширение NPS выступает в качестве адаптера между RADIUS и облачной многофакторной проверкой подлинности Microsoft Entra, чтобы обеспечить второй фактор проверки подлинности для федеративных или синхронизированных пользователей.

Как работает расширение NPS

При использовании расширения NPS для многофакторной проверки подлинности Microsoft Entra поток проверки подлинности включает следующие компоненты:

  1. NAS/VPN-сервер получает запросы от VPN-клиентов и преобразует их в запросы RADIUS на серверы NPS.

  2. Сервер NPS подключается к службам домен Active Directory (AD DS), чтобы выполнить основную проверку подлинности для запросов RADIUS, и при успешном выполнении передает запрос всем установленным расширениям.

  3. Расширение NPS запускает запрос на многофакторную проверку подлинности Microsoft Entra для вторичной проверки подлинности. После получения ответа расширения и успешного выполнения задачи MFA он завершит запрос проверки подлинности, предоставив серверу NPS маркеры безопасности, включающие утверждение MFA, выданное службой STS Azure.

    Заметка

    Хотя NPS не поддерживает сопоставление номеров, последнее расширение NPS поддерживает методы одноразового пароля (TOTP), такие как TOTP, доступные в Microsoft Authenticator. Вход TOTP обеспечивает более высокую безопасность, чем альтернативный интерфейс утверждения/запрета.

    После 8 мая 2023 г. при включении сопоставления чисел для всех пользователей, любой пользователь, выполняющий подключение RADIUS с расширением NPS версии 1.2.2216.1 или более поздней версии, будет предложено войти с помощью метода TOTP. Пользователи должны иметь метод проверки подлинности TOTP, чтобы увидеть это поведение. Без зарегистрированного метода TOTP пользователи продолжают видеть утверждение запрета/.

  4. Многофакторная проверка подлинности Microsoft Entra взаимодействует с идентификатором Microsoft Entra для получения сведений о пользователе и выполняет дополнительную проверку подлинности с помощью метода проверки, настроенного для пользователя.

На следующей схеме показан поток запросов на проверку подлинности высокого уровня:

Схема потока проверки подлинности для проверки подлинности пользователя через VPN-сервер на сервер NPS и расширение NPS многофакторной проверки подлинности Microsoft Entra

Поведение протокола RADIUS и расширение NPS

Так как RADIUS является протоколом UDP, отправитель предполагает потерю пакета и ожидает ответа. Через период времени подключение может истекть. Если да, пакет обижается, так как отправитель предполагает, что пакет не достиг назначения. В сценарии проверки подлинности в этой статье VPN-серверы отправляют запрос и ожидают ответа. Если время ожидания подключения истекает, VPN-сервер снова отправляет запрос.

Схема потока пакетов RADIUS UDP и запросов после времени ожидания при ответе с сервера NPS

Сервер NPS может не отвечать на исходный запрос VPN-сервера до истечения времени ожидания подключения по мере обработки запроса MFA. Возможно, пользователь не успешно ответил на запрос MFA, поэтому расширение NPS многофакторной проверки подлинности Microsoft Entra ожидает завершения этого события. В этой ситуации сервер NPS определяет дополнительные запросы VPN-сервера как повторяющийся запрос. Сервер NPS удаляет эти повторяющиеся запросы VPN-сервера.

Схема сервера NPS, отменяющего повторяющиеся запросы с сервера RADIUS

Если вы посмотрите на журналы сервера NPS, вы можете увидеть, что эти дополнительные запросы удаляются. Это поведение позволяет защитить конечного пользователя от получения нескольких запросов для одной попытки проверки подлинности. Отклоненные запросы в журнале событий сервера NPS не указывают на проблему с сервером NPS или расширением NPS многофакторной проверки подлинности Microsoft Entra.

Чтобы свести к минимуму отмененные запросы, рекомендуется настроить VPN-серверы с временем ожидания не менее 60 секунд. При необходимости или уменьшить отклоненные запросы в журналах событий, можно увеличить время ожидания VPN-сервера до 90 или 120 секунд.

Из-за этого поведения протокола UDP сервер NPS может получить повторяющийся запрос и отправить другой запрос MFA, даже если пользователь уже ответил на первоначальный запрос. Чтобы избежать этого условия времени, расширение NPS многофакторной проверки подлинности Microsoft Entra продолжает фильтровать и удалять повторяющиеся запросы до 10 секунд после отправки успешного ответа на VPN-сервер.

Схема сервера NPS продолжает удалять повторяющиеся запросы с VPN-сервера в течение десяти секунд после возврата успешного ответа

Опять же, вы можете увидеть отмененные запросы в журналах событий сервера NPS, даже если запрос многофакторной проверки подлинности Microsoft Entra был успешно выполнен. Это ожидаемое поведение и не указывает на проблему с сервером NPS или расширением NPS многофакторной проверки подлинности Microsoft Entra.

Планирование развертывания

Расширение NPS автоматически обрабатывает избыточность, поэтому вам не нужна специальная конфигурация.

Вы можете создать максимальное количество серверов NPS с поддержкой многофакторной проверки подлинности Microsoft Entra. При установке нескольких серверов следует использовать сертификат клиента разности для каждого из них. Создание сертификата для каждого сервера означает, что вы можете обновлять каждый сертификат по отдельности, а не беспокоиться о простое на всех серверах.

VPN-серверы направляют запросы проверки подлинности, поэтому им необходимо знать о новых серверах NPS с поддержкой многофакторной проверки подлинности Microsoft Entra.

Необходимые условия

Расширение NPS предназначено для работы с существующей инфраструктурой. Перед началом работы убедитесь, что у вас есть следующие предварительные требования.

Лицензии

Расширение NPS для многофакторной проверки подлинности Microsoft Entra доступно для клиентов с лицензиями на многофакторную проверку подлинности Microsoft Entra (включая Microsoft Entra ID P1 и Premium P2 или Enterprise Mobility + Security). Лицензии на основе потребления для многофакторной проверки подлинности Microsoft Entra, например на пользователя или на одну лицензию на проверку подлинности, несовместимы с расширением NPS.

Программное обеспечение

  • Windows Server 2012 или более поздней версии. Обратите внимание, что Windows Server 2012 достигла конца поддержки.

  • для модуля Microsoft Graph PowerShell требуется платформа .NET Framework 4.7.2 или более поздней версии.

  • PowerShell версии 5.1 или более поздней. Чтобы проверить версию PowerShell, выполните следующую команду:

    PS C:\> $PSVersionTable.PSVersion
Major  Minor  Build  Revision
-----  -----  -----  --------
5      1      16232  1000

Библиотеки

  • Распространяемый компонент Visual Studio 2017 C++ (x64) будет установлен установщиком расширения NPS.

  • Microsoft Graph PowerShell также устанавливается с помощью скрипта конфигурации, выполняемого в процессе установки, если он еще не присутствует. Заранее не нужно устанавливать модуль.

Получение идентификатора клиента каталога

В рамках настройки расширения NPS необходимо указать учетные данные администратора и идентификатор клиента Microsoft Entra. Чтобы получить идентификатор клиента, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra.

  2. Перейдите к параметрам удостоверений>.

    Получение идентификатора клиента из Центра администрирования Microsoft Entra

Требования к сети

Сервер NPS должен иметь возможность взаимодействовать со следующими URL-адресами через TCP-порт 443:

  • https://login.microsoftonline.com
  • https://login.microsoftonline.us (Azure Government)
  • https://login.chinacloudapi.cn (Microsoft Azure operated by 21Vianet)
  • https://credentials.azure.com
  • https://strongauthenticationservice.auth.microsoft.com
  • https://strongauthenticationservice.auth.microsoft.us (Azure Government)
  • https://strongauthenticationservice.auth.microsoft.cn (Microsoft Azure operated by 21Vianet)
  • https://adnotifications.windowsazure.com
  • https://adnotifications.windowsazure.us (Azure Government)
  • https://adnotifications.windowsazure.cn (Microsoft Azure operated by 21Vianet)

Кроме того, для завершения настройки адаптера требуется подключение к следующим URL-адресам с помощью предоставленного скрипта PowerShell:

  • https://onegetcdn.azureedge.net
  • https://login.microsoftonline.com
  • https://provisioningapi.microsoftonline.com
  • https://aadcdn.msauth.net
  • https://www.powershellgallery.com
  • https://go.microsoft.com
  • https://aadcdn.msftauthimages.net

В следующей таблице описываются порты и протоколы, необходимые для расширения NPS. TCP 443 (входящий и исходящий) — это единственный порт, необходимый для сервера расширения NPS к идентификатору Entra. Порты RADIUS необходимы между точкой доступа и сервером расширения NPS.

Протокол Порт Описание
HTTPS 443 Включение проверки подлинности пользователя с идентификатором Записи (необходимо при установке расширения)
UDP 1812 Общий порт для проверки подлинности RADIUS по NPS
UDP 1645 Необычный порт для проверки подлинности RADIUS по NPS
UDP 1813 Общий порт для учета RADIUS по NPS
UDP 1646 Необычный порт для учета RADIUS по NPS

Подготовка среды

Перед установкой расширения NPS подготовьте среду для обработки трафика проверки подлинности.

Включение роли NPS на присоединенном к домену сервере

Сервер NPS подключается к идентификатору Microsoft Entra и проверяет подлинность запросов MFA. Выберите один сервер для этой роли. Рекомендуется выбрать сервер, который не обрабатывает запросы из других служб, так как расширение NPS выдает ошибки для любых запросов, которые не являются RADIUS. Сервер NPS должен быть настроен как основной и вторичный сервер проверки подлинности для вашей среды. Он не может прокси-запросы RADIUS на другой сервер.

  1. На сервере откройте диспетчер сервера. В меню быстрого запуска выберите мастер добавления ролей и компонентов.
  2. Для типа установки выберите установку на основе ролей или компонентов.
  3. Выберите сетевую политику и роль сервера службы Access. Окно может появиться, чтобы сообщить о дополнительных необходимых функциях для выполнения этой роли.
  4. Перейдите к мастеру до страницы подтверждения . Когда все готово, нажмите кнопку "Установить".

Для установки роли сервера NPS может потребоваться несколько минут. По завершении перейдите к следующим разделам, чтобы настроить этот сервер для обработки входящих запросов RADIUS из VPN-решения.

Настройка VPN-решения для взаимодействия с сервером NPS

В зависимости от используемого VPN-решения действия по настройке политики проверки подлинности RADIUS зависят. Настройте политику VPN для указания сервера RADIUS NPS.

Синхронизация пользователей домена с облаком

Этот шаг уже может быть завершен в вашем клиенте, но рекомендуется дважды проверить, что Microsoft Entra Connect в последнее время синхронизировала свои базы данных.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора гибридного удостоверения.
  2. Перейдите к Службе гибридного управления>удостоверениями>Microsoft Entra Connect.
  3. Убедитесь, что состояние синхронизации включено и что последняя синхронизация была меньше часа назад.

Если вам нужно начать новый раунд синхронизации, см . раздел Microsoft Entra Connect Sync: Scheduler.

Определение методов проверки подлинности, которые пользователи могут использовать

Существует два фактора, влияющие на способы проверки подлинности, доступные при развертывании расширения NPS:

  • Алгоритм шифрования паролей, используемый между клиентом RADIUS (VPN, сервером Netscaler или другим) и серверами NPS.

    • PAP поддерживает все методы проверки подлинности Microsoft Entra multifactor authentication в облаке: телефонный звонок, односторонняя текстовая связь, уведомление мобильного приложения, токены оборудования OATH и код проверки мобильного приложения.
    • CHAPV2 и EAP поддерживают телефонный звонок и уведомление мобильного приложения.

  • Методы ввода, которые может обрабатывать клиентское приложение (VPN, сервер Netscaler или другой). Например, у VPN-клиента есть некоторые средства, позволяющие пользователю вводить код проверки из текстового или мобильного приложения?

В Azure можно отключить неподдерживаемые методы проверки подлинности.

Заметка

Независимо от используемого протокола проверки подлинности (ПАП, CHAP или EAP), если метод MFA основан на тексте (SMS, код проверки мобильного приложения или токен оборудования OATH) и требует, чтобы пользователь ввел код или текст в поле ввода пользовательского интерфейса VPN-клиента, проверка подлинности может завершиться успешно. Но все атрибуты RADIUS, настроенные в политике сетевого доступа, не перенаправляются клиенту RADIUS (сетевому устройству доступа, например VPN-шлюзу). В результате VPN-клиент может иметь больше доступа, чем требуется, или меньше доступа или нет доступа.

В качестве обходного решения можно запустить скрипт CrpUsernameStuffing для пересылки атрибутов RADIUS, настроенных в политике доступа к сети, и разрешить многофакторную проверку подлинности, если для метода проверки подлинности пользователя требуется однократный секретный код (OTP), например SMS, секретный код Microsoft Authenticator или аппаратный FOB.

Регистрация пользователей для MFA

Перед развертыванием и использованием расширения NPS необходимо зарегистрировать пользователей, необходимых для выполнения многофакторной проверки подлинности Microsoft Entra. Чтобы протестировать расширение при развертывании, вам также потребуется хотя бы одна тестовая учетная запись, которая полностью зарегистрирована для многофакторной проверки подлинности Microsoft Entra.

Если необходимо создать и настроить тестовую учетную запись, выполните следующие действия.

  1. Войдите в https://aka.ms/mfasetup систему с помощью тестовой учетной записи.
  2. Следуйте инструкциям по настройке метода проверки.
  3. Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.
  4. Перейдите к многофакторной проверке подлинности защиты>и включите тестовую учетную запись.

Важный

Убедитесь, что пользователи успешно зарегистрировались для многофакторной проверки подлинности Microsoft Entra. Если пользователи ранее зарегистрировались только для самостоятельного сброса пароля (SSPR), для учетной записи включена функция StrongAuthenticationMethods . Многофакторная проверка подлинности Microsoft Entra применяется при настройке StrongAuthenticationMethods , даже если пользователь зарегистрирован только для SSPR.

Объединенная регистрация безопасности может быть включена, которая настраивает многофакторную проверку подлинности SSPR и Microsoft Entra одновременно. Дополнительные сведения см. в разделе "Включение объединенной регистрации сведений о безопасности" в идентификаторе Microsoft Entra.

Кроме того, пользователи могут повторно зарегистрировать методы проверки подлинности, если они ранее включили SSPR.

Пользователям, подключающимся к серверу NPS с помощью имени пользователя и пароля, потребуется выполнить запрос многофакторной проверки подлинности.

Установка расширения NPS

Важный

Установите расширение NPS на сервере, отличном от точки доступа VPN.

Скачивание и установка расширения NPS для многофакторной проверки подлинности Microsoft Entra

Чтобы скачать и установить расширение NPS, выполните следующие действия.

  1. Скачайте расширение NPS из Центра загрузки Майкрософт.
  2. Скопируйте двоичный файл на сервер политики сети, который требуется настроить.
  3. Запустите setup.exe и следуйте инструкциям по установке. При возникновении ошибок убедитесь, что библиотеки из раздела предварительных требований успешно установлены.

Обновление расширения NPS

Если вы позже обновите существующую установку расширения NPS, чтобы избежать перезагрузки базового сервера, выполните следующие действия.

  1. Удалите существующую версию.
  2. Запустите новый установщик.
  3. Перезапустите службу сервера политики сети (IAS).

Запуск скрипта PowerShell

Установщик создает скрипт C:\Program Files\Microsoft\AzureMfa\Config PowerShell (где C:\ находится диск установки). Этот скрипт PowerShell выполняет следующие действия при каждом запуске:

  • Создает самозаверяющий сертификат.
  • Связывает открытый ключ сертификата с субъектом-службой в идентификаторе Microsoft Entra.
  • Сохраняет сертификат в хранилище сертификатов локального компьютера.
  • Предоставляет доступ к закрытому ключу сертификата сетевому пользователю.
  • Перезапуск службы NPS.

Если вы не хотите использовать собственные сертификаты (вместо самозаверяющих сертификатов, создаваемых скриптом PowerShell), запустите скрипт PowerShell, чтобы завершить установку расширения NPS. При установке расширения на нескольких серверах каждый сервер должен иметь собственный сертификат.

Чтобы обеспечить возможности балансировки нагрузки или избыточности, повторите следующие действия на дополнительных серверах NPS по мере необходимости:

  1. Откройте запрос Windows PowerShell от имени администратора.

  2. Измените каталоги, на которые установщик создал скрипт PowerShell:

    cd "C:\Program Files\Microsoft\AzureMfa\Config"

  3. Запустите скрипт PowerShell, созданный установщиком.

    Для правильного подключения и скачивания пакетов может потребоваться включить TLS 1.2 для PowerShell:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

    Важный

    Для клиентов, использующих Azure для государственных организаций США или Azure, управляемых облаками 21Vianet, сначала измените скрипт AzureMfaNpsExtnConfigSetup.ps1 , чтобы включить параметры AzureEnvironment для требуемого облака. Например, укажите -AzureEnvironment USGovernment или -AzureEnvironment AzureChinaCloud.

    .\AzureMfaNpsExtnConfigSetup.ps1

  4. При появлении запроса войдите в идентификатор Microsoft Entra.

    Для управления этой функцией требуется глобальный администратор .

  5. PowerShell запрашивает идентификатор клиента. Используйте GUID идентификатора клиента, скопированный в разделе предварительных требований.

  6. По завершении скрипта отображается сообщение об успешном выполнении.

Если срок действия предыдущего сертификата компьютера истек, а новый сертификат был создан, следует удалить все сертификаты с истекшим сроком действия. С истекшим сроком действия сертификатов могут возникнуть проблемы с началом расширения NPS.

Заметка

Если вы используете собственные сертификаты вместо создания сертификатов с помощью скрипта PowerShell, убедитесь, что они соответствуют соглашению об именовании NPS. Имя субъекта должно быть CN =<TenantID,OU>=Microsoft NPS Extension.

Дополнительные шаги microsoft Azure для государственных организаций или Microsoft Azure, управляемые 21Vianet

Для клиентов, использующих Azure для государственных организаций или Azure, управляемых облаками 21Vianet, на каждом сервере NPS требуются следующие дополнительные действия по настройке.

Важный

Настройте эти параметры реестра только в том случае, если вы являетесь клиентом 21Vianet Azure для государственных организаций или Azure.

  1. Если вы являетесь Azure для государственных организаций или Azure, управляемыми клиентом 21Vianet, откройте редактор реестра на сервере NPS.

  2. Перейдите к HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.

  3. Для Azure для государственных организаций клиентов задайте следующие ключевые значения:

    Раздел реестра Ценность
    AZURE_MFA_HOSTNAME strongauthenticationservice.auth.microsoft.us
    AZURE_MFA_RESOURCE_HOSTNAME adnotifications.windowsazure.us
    STS_URL https://login.microsoftonline.us/

  4. Для Microsoft Azure, управляемого клиентами 21Vianet, задайте следующие ключевые значения:

    Раздел реестра Ценность
    AZURE_MFA_HOSTNAME strongauthenticationservice.auth.microsoft.cn
    AZURE_MFA_RESOURCE_HOSTNAME adnotifications.windowsazure.cn
    STS_URL https://login.chinacloudapi.cn/

  5. Повторите предыдущие два шага, чтобы задать значения раздела реестра для каждого сервера NPS.

  6. Перезапустите службу NPS для каждого сервера NPS.

    Чтобы обеспечить минимальное влияние, возьмите каждый сервер NPS из поворота NLB по одному за раз и дождитесь очистки всех подключений.

Откат сертификата

В выпуске 1.0.1.32 расширения NPS теперь поддерживается чтение нескольких сертификатов. Эта возможность помогает упростить развертывание обновлений сертификатов до истечения срока их действия. Если ваша организация работает с предыдущей версией расширения NPS, обновите ее до версии 1.0.1.32 или более поздней.

Сертификаты, созданные скриптом AzureMfaNpsExtnConfigSetup.ps1 , действительны в течение 2 лет. Отслеживайте сертификаты для истечения срока действия. Сертификаты расширения NPS помещаются в хранилище сертификатов локального компьютера в разделе "Персональный" и выдаются идентификатору клиента, предоставленному скрипту установки.

При приближении сертификата к дате окончания срока действия необходимо создать новый сертификат, чтобы заменить его. Этот процесс выполняется путем повторного AzureMfaNpsExtnConfigSetup.ps1 выполнения и сохранения того же идентификатора клиента при появлении запроса. Этот процесс должен повторяться на каждом сервере NPS в вашей среде.

Настройка расширения NPS

Подготовив среду, и расширение NPS, установленное на необходимых серверах, можно настроить расширение.

В этом разделе содержатся рекомендации по проектированию и рекомендации по успешному развертыванию расширений NPS.

Ограничения конфигурации

  • Расширение NPS для многофакторной проверки подлинности Microsoft Entra не включает средства для переноса пользователей и параметров с сервера MFA в облако. По этой причине мы рекомендуем использовать расширение для новых развертываний, а не существующее развертывание. Если вы используете расширение для существующего развертывания, пользователи должны снова выполнить проверку подлинности, чтобы заполнить сведения О MFA в облаке.
  • Расширение NPS не поддерживает пользовательские телефонные звонки, настроенные в параметрах телефонного звонка. Язык телефонного звонка по умолчанию будет использоваться (EN-US).
  • Расширение NPS использует имя участника-пользователя из локальной среды AD DS для идентификации пользователя в многофакторной проверке подлинности Microsoft Entra для выполнения вторичной проверки подлинности. Расширение можно настроить для использования другого идентификатора, например альтернативного идентификатора входа или настраиваемого поля AD DS, отличного от имени участника-пользователя. Дополнительные сведения см. в статье "Дополнительные параметры конфигурации" расширения NPS для многофакторной проверки подлинности.
  • Не все протоколы шифрования поддерживают все методы проверки.
    • PAP поддерживает телефонный звонок, односторонное текстовое сообщение, уведомление мобильного приложения и код проверки мобильного приложения
    • CHAPV2 и EAP поддерживают телефонный звонок и уведомление мобильного приложения

Управление клиентами RADIUS, которым требуется MFA

После включения MFA для клиента RADIUS с помощью расширения NPS все проверки подлинности для этого клиента требуются для выполнения MFA. Если вы хотите включить MFA для некоторых клиентов RADIUS, но не для других, можно настроить два сервера NPS и установить расширение только на одном из них.

Настройте клиенты RADIUS, для которых требуется многофакторная проверка подлинности для отправки запросов на сервер NPS, настроенный с расширением, и другие клиенты RADIUS на сервер NPS, не настроенный с расширением.

Подготовка пользователей, которые не зарегистрированы для MFA

Если у вас есть пользователи, которые не зарегистрированы для MFA, можно определить, что происходит при попытке пройти проверку подлинности. Чтобы управлять этим поведением, используйте параметр REQUIRE_USER_MATCH в пути реестра HKLM\Software\Microsoft\AzureMFA. Этот параметр имеет один параметр конфигурации:

Ключ Ценность По умолчанию
REQUIRE_USER_MATCH TRUE/FALSE Не задано (эквивалентНО TRUE)

Этот параметр определяет, что делать, если пользователь не зарегистрирован для MFA. Если ключ не существует, не задан или имеет значение TRUE, а пользователь не зарегистрирован, расширение завершается ошибкой MFA.

Если для ключа задано значение FALSE , и пользователь не зарегистрирован, проверка подлинности выполняется без выполнения MFA. Если пользователь зарегистрирован в MFA, он должен пройти проверку подлинности с помощью MFA, даже если REQUIRE_USER_MATCH имеет значение FALSE.

Вы можете создать этот ключ и задать для него значение FALSE во время подключения пользователей и еще не все зарегистрированы для многофакторной проверки подлинности Microsoft Entra. Однако так как установка ключа позволяет пользователям, которые не зарегистрированы для MFA для входа, необходимо удалить этот ключ перед переходом в рабочую среду.

Устранение неполадок

Скрипт проверки работоспособности расширения NPS

Скрипт проверки работоспособности расширения NPS для многофакторной проверки подлинности Microsoft Entra выполняет базовую проверку работоспособности при устранении неполадок расширения NPS. Запустите скрипт и выберите один из доступных вариантов.

Как исправить ошибку "Субъект-служба не найден" во время выполнения AzureMfaNpsExtnConfigSetup.ps1 скрипта?

Если по какой-либо причине субъект-служба Azure Multi-factor Auth не была создана в клиенте, его можно создать вручную, выполнив PowerShell.

Connect-MgGraph -Scopes 'Application.ReadWrite.All'
New-MgServicePrincipal -AppId 00001111-aaaa-2222-bbbb-3333cccc4444 -DisplayName "Azure Multi-Factor Auth Client"
  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
  2. Перейдите к приложениям> Identity Applications>Enterprise и найдите "Клиент Многофакторной проверки подлинности>Azure".
  3. Нажмите кнопку " Проверить свойства" для этого приложения. Убедитесь, что субъект-служба включен или отключен.
  4. Щелкните свойства записи >приложения.
  5. Если параметр "Включено" для пользователей для входа? Установите для него значение "Нет", задайте для него значение "Да".

AzureMfaNpsExtnConfigSetup.ps1 Запустите скрипт еще раз, и он не должен возвращать ошибку субъекта-службы.

Разделы справки убедитесь, что сертификат клиента установлен должным образом?

Найдите самозаверяющий сертификат, созданный установщиком в хранилище сертификатов, и убедитесь, что закрытый ключ имеет разрешение READ, предоставленное пользователю NETWORK SERVICE. Сертификат имеет имя субъекта cn <tenantid>, OU = Расширение NPS Майкрософт

Самозаверяемые AzureMfaNpsExtnConfigSetup.ps1 сертификаты, созданные скриптом, имеют срок действия двух лет. При проверке установки сертификата также следует проверить, не истек ли срок действия сертификата.

Как проверить, связан ли сертификат клиента с моим клиентом в идентификаторе Microsoft Entra?

Откройте командную строку PowerShell и выполните следующие команды:

Connect-MgGraph -Scopes 'Application.Read.All'
(Get-MgServicePrincipal -Filter "appid eq '00001111-aaaa-2222-bbbb-3333cccc4444'" -Property "KeyCredentials").KeyCredentials | Format-List KeyId, DisplayName, StartDateTime, EndDateTime, @{Name = "Key"; Expression = {[System.Convert]::ToBase64String($_.Key)}}, @{Name = "Thumbprint"; Expression = {$Cert = New-object System.Security.Cryptography.X509Certificates.X509Certificate2; $Cert.Import([System.Text.Encoding]::UTF8.GetBytes([System.Convert]::ToBase64String($_.Key))); $Cert.Thumbprint}}

Эти команды печатают все сертификаты, связывающие клиента с экземпляром расширения NPS в сеансе PowerShell. Найдите сертификат, экспортируя сертификат клиента в виде файла X.509(.cer) в кодировке Base-64 и сравнивая его со списком из PowerShell. Сравните отпечаток сертификата, установленного на сервере, с этим. Отпечаток сертификата должен соответствовать.

Метки времени StartDateTime и EndDateTime , которые находятся в удобочитаемой форме, можно использовать для фильтрации очевидных несоответствий, если команда возвращает несколько сертификатов.

Почему я не могу войти?

Убедитесь, что срок действия пароля не истек. Расширение NPS не поддерживает изменение паролей в рамках рабочего процесса входа. Обратитесь к ИТ-сотрудникам вашей организации, чтобы получить дополнительную помощь.

Почему мои запросы завершаются ошибкой маркера безопасности?

Эта ошибка может быть вызвана одной из нескольких причин. Чтобы устранить неполадки, выполните следующие действия.

  1. Перезапустите сервер NPS.
  2. Убедитесь, что сертификат клиента установлен должным образом.
  3. Убедитесь, что сертификат связан с клиентом в идентификаторе Microsoft Entra.
  4. Убедитесь, что https://login.microsoftonline.com/ он доступен на сервере, на котором выполняется расширение.

Почему проверка подлинности завершается ошибкой в журналах HTTP, указывая, что пользователь не найден?

Убедитесь, что AD Connect запущен и что пользователь присутствует как в локальной среде AD DS, так и в идентификаторе Microsoft Entra.

Почему в журналах возникают ошибки HTTP-подключения с ошибкой проверки подлинности?

Убедитесь, https://strongauthenticationservice.auth.microsoft.com что https://adnotifications.windowsazure.comон доступен с сервера, на котором выполняется расширение NPS.

Почему проверка подлинности не работает, несмотря на наличие допустимого сертификата?

Если срок действия предыдущего сертификата компьютера истек, а новый сертификат был создан, удалите все сертификаты с истекшим сроком действия. Истекшие сертификаты могут вызвать проблемы с расширением NPS.

Чтобы проверить наличие допустимого сертификата, проверьте хранилище сертификатов локальной учетной записи компьютера с помощью MMC и убедитесь, что сертификат не прошел срок действия. Чтобы создать новый действительный сертификат, выполните шаги из сценария установщика PowerShell.

Почему в журналах сервера NPS отображаются отмененные запросы?

VPN-сервер может отправлять повторяющиеся запросы на сервер NPS, если значение времени ожидания слишком низко. Сервер NPS обнаруживает эти повторяющиеся запросы и удаляет их. Это поведение выполняется по проектированию и не указывает на проблему с сервером NPS или расширением NPS многофакторной проверки подлинности Microsoft Entra.

Дополнительные сведения о том, почему в журналах сервера NPS отображаются отмененные пакеты, см . в разделе "Поведение протокола RADIUS" и расширение NPS в начале этой статьи.

Разделы справки получить номер Microsoft Authenticator, соответствующий работе с NPS?

Хотя NPS не поддерживает сопоставление номеров, последнее расширение NPS поддерживает методы одноразового пароля (TOTP), такие как TOTP, доступные в Microsoft Authenticator, другие маркеры программного обеспечения и аппаратные FOOB. Вход TOTP обеспечивает более высокую безопасность, чем альтернативный интерфейс утверждения/запрета. Убедитесь, что вы запускаете последнюю версию расширения NPS.

После 8 мая 2023 г. при включении сопоставления чисел для всех пользователей, любой пользователь, выполняющий подключение RADIUS с расширением NPS версии 1.2.2216.1 или более поздней версии, будет предложено войти с помощью метода TOTP.

Пользователи должны иметь метод проверки подлинности TOTP, чтобы увидеть это поведение. Без зарегистрированного метода TOTP пользователи продолжают видеть утверждение запрета/.

До выпуска расширения NPS версии 1.2.2216.1 после 8 мая 2023 г. организации, запускающие более ранние версии расширения NPS, могут изменить реестр, чтобы пользователи могли ввести TOTP. Дополнительные сведения см. в разделе "Расширение NPS".

Управление протоколами TLS/SSL и наборами шифров

Рекомендуется отключить или удалить более старые и слабые наборы шифров, если не требуется вашей организации. Сведения о выполнении этой задачи см. в статье об управлении протоколами SSL/TLS и наборами шифров для AD FS.

Дополнительные способы устранения неполадок

Дополнительные рекомендации по устранению неполадок и возможные решения можно найти в статье, чтобы устранить сообщения об ошибках из расширения NPS для многофакторной проверки подлинности Microsoft Entra.

Дальнейшие действия