다단계 인증에 대한 NPS 확장을 위한 고급 구성 옵션
NPS(네트워크 정책 서버) 확장은 온-프레미스 인프라에 클라우드 기반 Microsoft Entra 다단계 인증 기능을 확장합니다. 이 문서에서는 이미 확장이 설치되어 있으며 현재 사용자 요구에 따라 확장을 사용자 지정하는 방법에 대해 알기 원한다고 가정합니다.
대체 로그인 ID
NPS 확장은 온-프레미스와 클라우드 디렉터리 모두에 연결하므로 온-프레미스 UPN(사용자 계정 이름)이 클라우드의 이름과 일치하지 않는 문제가 발생할 수 있습니다. 이 문제를 해결하려면 대체 로그인 ID를 사용합니다.
NPS 확장 내에서 Microsoft Entra 다단계 인증에 대한 UPN으로 사용할 Active Directory 특성을 지정할 수 있습니다. 그러면 온-프레미스 UPN을 수정하지 않고 2단계 인증을 사용하여 사용자의 온-프레미스 리소스를 보호할 수 있습니다.
대체 로그인 ID를 구성하려면 HKLM\SOFTWARE\Microsoft\AzureMfa로 이동하여 다음 레지스트리 값을 편집합니다.
| 이름 | Type | 기본값 | 설명 |
|---|---|---|---|
| LDAP_ALTERNATE_LOGINID_ATTRIBUTE | string | 비어 있음 | UPN으로 사용하려는 Active Directory 특성의 이름을 지정합니다. 이 특성은 AlternateLoginId 특성으로 사용됩니다. 이 레지스트리 값이 유효한 Active Directory 특성(예: 메일 또는 displayName)으로 설정되어 있는 경우 인증용 사용자의 UPN으로 특성 값이 사용됩니다. 이 레지스트리 값이 비어 있거나 구성되어 있지 않으면 AlternateLoginId가 비활성화되고 사용자의 UPN이 인증에 사용됩니다. |
| LDAP_FORCE_GLOBAL_CATALOG | 부울 값 | False | 이 플래그를 사용하여 AlternateLoginId를 조회할 때 LDAP 검색에 글로벌 카탈로그를 강제 사용합니다. 도메인 컨트롤러를 글로벌 카탈로그로 구성하고, 글로벌 카탈로그에 AlternateLoginId 특성을 추가한 다음, 이 플래그를 사용하도록 설정합니다. LDAP_LOOKUP_FORESTS가 구성된 경우(비어 있지 않음), 레지스트리 설정의 값에 관계 없이 이 플래그는 true로 적용됩니다. 이 경우 NPS 확장에서 글로벌 카탈로그를 각 포리스트에 대한 AlternateLoginId 특성으로 구성해야 합니다. |
| LDAP_LOOKUP_FORESTS | string | 비어 있음 | 검색할 포리스트의 목록을 세미콜론으로 구분된 형태로 제공합니다. 예를 들어 contoso.com;foobar.com과 같습니다. 이 레지스트리 값이 구성된 경우 NPS 확장은 반복적으로 모든 포리스트를 나열된 순서대로 검색하고 첫 번째 성공적인 AlternateLoginId 값을 반환합니다. 이 레지스트리 값이 구성되지 않은 경우 AlternateLoginId 조회는 현재 도메인으로 제한됩니다. |
대체 로그인 ID에 관한 문제를 해결하려면 대체 로그인 ID 오류를 위한 권장 단계를 사용합니다.
IP 예외
부하 분산 장치에서 워크로드를 보내기 전에 실행 중인 서버를 확인하는 경우와 같이 서버 가용성을 모니터링해야 하는 경우, 이러한 검사는 확인 요청에 의해 차단되지 않아야 합니다. 대신, 서비스 계정에서 사용되는 것으로 알고 있는 IP 주소의 목록을 만들고 해당 목록에 대한 다단계 인증 요구 사항을 사용하지 않도록 설정합니다.
IP 허용 목록을 구성하려면 HKLM\SOFTWARE\Microsoft\AzureMfa로 이동하여 다음 레지스트리 값을 구성합니다.
| 이름 | Type | 기본값 | 설명 |
|---|---|---|---|
| IP_WHITELIST | string | 비어 있음 | IP 주소 목록을 세미콜론으로 구분된 형태로 제공합니다. NAS/VPN 서버와 같이 서비스 요청이 발생한 컴퓨터의 IP 주소가 포함됩니다. IP 범위 및 서브넷은 지원되지 않습니다. 예: 10.0.0.1;10.0.0.2;10.0.0.3. |
참고 항목
이 레지스트리 키는 기본적으로 설치 프로그램에서 생성되지 않으며 서비스가 다시 시작 될 때 AuthZOptCh 로그에 오류가 나타납니다. 로그에 나타나는 이 오류는 무시해도 되지만 이 레지스트리 키가 생성되고 필요하지 않아 비어 있는 경우 오류 메시지가 반환되지 않습니다.
IP_WHITELIST에 존재하는 IP 주소에서 요청이 수신되면 2단계 인증을 건너뜁니다. IP 목록이 RADIUS 요청의 ratNASIPAddress 특성에서 제공되는 IP 주소와 비교됩니다. RADIUS 요청이 ratNASIPAddress 특성 없이 들어오는 경우 다음과 같은 경고가 로그됩니다. "IP_WHITE_LIST_WARNING::원본 IP가 RADIUS 요청 NasIpAddress 특성에서 누락되어 IP 허용 목록이 무시됩니다."