다음을 통해 공유


Microsoft Entra ID를 사용한 RADIUS 인증

RADIUS(Remote Authentication Dial-In User Service)는 중앙 집중식 인증 및 전화 접속 사용자의 권한 부여를 사용하여 네트워크를 보호하는 네트워크 프로토콜입니다. 많은 애플리케이션은 여전히 사용자를 인증하기 위해 RADIUS 프로토콜을 사용합니다.

Microsoft Windows Server에는 RADIUS 서버 역할을 하고 RADIUS 인증을 지원하는 NPS(네트워크 정책 서버)라는 역할이 있습니다.

Microsoft Entra ID를 사용하면 RADIUS 기반 시스템에서 다단계 인증이 가능합니다. 고객이 앞서 언급한 RADIUS 워크로드에 Microsoft Entra 다단계 인증을 적용하려는 경우 Windows NPS 서버에 Microsoft Entra 다단계 인증 NPS 확장을 설치할 수 있습니다.

Windows NPS 서버는 Active Directory에 대해 사용자의 자격 증명을 인증한 다음 다단계 인증 요청을 Azure에 보냅니다. 그러면 사용자가 모바일 인증자에 대한 챌린지를 받게 됩니다. 성공적으로 완료되면 클라이언트 애플리케이션이 서비스에 연결할 수 있습니다.

다음과 같은 경우 를 사용합니다.

다음과 같은 애플리케이션에 다단계 인증을 추가해야 합니다.

  • VPN(가상 사설망)
  • WiFi 액세스
  • RDG(원격 데스크톱 게이트웨이)
  • VDI(가상 데스크톱 인프라)
  • RADIUS 프로토콜에 따라 사용자를 서비스로 인증하는 다른 모든 항목.

참고 항목

RADIUS 및 Microsoft Entra 다단계 인증 NPS 확장을 사용하여 VPN 워크로드에 Microsoft Entra 다단계 인증을 적용하는 대신 VPN을 SAML(Security Assertion Markup Language)로 업그레이드하고 VPN을 Microsoft Entra ID와 직접 페더레이션하는 것이 좋습니다. 이를 통해 조건부 액세스, 다단계 인증, 디바이스 규정 준수 및 ID 보호를 포함한 Microsoft Entra ID 보호의 전체 범위를 VPN에 제공합니다.

아키텍처 다이어그램

시스템의 구성 요소

  • 클라이언트 애플리케이션(VPN 클라이언트): RADIUS 클라이언트에 인증 요청을 보냅니다.

  • RADIUS 클라이언트: 클라이언트 애플리케이션에서 요청을 변환하고 NPS 확장이 설치된 RADIUS 서버에 보냅니다.

  • RADIUS 서버: Active Directory와 연결하여 RADIUS 요청에 대한 기본 인증을 수행합니다. 성공하면 요청을 Microsoft Entra 다단계 인증 NPS 확장에 전달합니다.

  • NPS 확장: 보조 인증을 위해 Microsoft Entra 다단계 인증에 대한 요청을 트리거합니다. 성공하면 NPS 확장은 Azure의 보안 토큰 서비스에서 발급한 다단계 인증 클레임을 포함하는 보안 토큰을 RADIUS 서버에 제공하여 인증 요청을 완료합니다.

  • Microsoft Entra 다단계 인증: Microsoft Entra ID와 통신하여 사용자 세부 정보를 검색하고 사용자가 구성한 확인 방법을 사용하여 2차 인증을 수행합니다.

Microsoft Entra ID로 RADIUS 구현