RADIUS-verificatie met Microsoft Entra-id

Remote Authentication Dial-In User Service (RADIUS) is een netwerkprotocol dat een netwerk beveiligt door gecentraliseerde verificatie en autorisatie van inbelgebruikers in te schakelen. Veel toepassingen zijn nog steeds afhankelijk van het RADIUS-protocol om gebruikers te verifiëren.

Microsoft Windows Server heeft een rol met de naam NPS (Network Policy Server), die kan fungeren als een RADIUS-server en RADIUS-verificatie kan ondersteunen.

Microsoft Entra ID maakt meervoudige verificatie mogelijk met systemen op basis van RADIUS. Als een klant meervoudige verificatie van Microsoft Entra wil toepassen op een van de eerder genoemde RADIUS-workloads, kunnen ze de NPS-extensie voor Microsoft Entra-meervoudige verificatie installeren op hun Windows NPS-server.

De Windows NPS-server verifieert de referenties van een gebruiker voor Active Directory en verzendt vervolgens de aanvraag voor meervoudige verificatie naar Azure. De gebruiker ontvangt vervolgens een uitdaging op zijn mobiele verificator. Zodra dit is gelukt, mag de clienttoepassing verbinding maken met de service.

Gebruik wanneer:

U moet meervoudige verificatie toevoegen aan toepassingen zoals

• een virtueel particulier netwerk (VPN)
• WiFi-toegang
• Extern bureaublad-gateway (RDG)
• Virtual Desktop Infrastructure (VDI)
• Alle andere die afhankelijk zijn van het RADIUS-protocol om gebruikers te verifiëren bij de service.

Notitie

In plaats van te vertrouwen op RADIUS en de NPS-extensie voor meervoudige verificatie van Microsoft Entra om Multifactor Authentication toe te passen op VPN-workloads, raden we u aan om uw VPN bij te werken naar Security Assertion Markup Language (SAML) en uw VPN rechtstreeks te federeren met Microsoft Entra ID. Dit biedt uw VPN de volledige breedte van Microsoft Entra ID-beveiliging, waaronder voorwaardelijke toegang, meervoudige verificatie, apparaatcompatibiliteit en Microsoft Entra ID Protection.

Onderdelen van het systeem

• Clienttoepassing (VPN-client): verzendt verificatieaanvraag naar de RADIUS-client.

• RADIUS-client: converteert aanvragen van de clienttoepassing en verzendt deze naar de RADIUS-server waarop de NPS-extensie is geïnstalleerd.

• RADIUS-server: maakt verbinding met Active Directory om de primaire verificatie voor de RADIUS-aanvraag uit te voeren. Als de aanvraag is geslaagd, wordt de aanvraag doorgegeven aan de NPS-extensie voor meervoudige verificatie van Microsoft Entra.

• NPS-extensie: activeert een aanvraag voor Meervoudige Verificatie van Microsoft Entra voor een secundaire verificatie. Als dit lukt, voltooit de NPS-extensie de verificatieaanvraag door de RADIUS-server te voorzien van beveiligingstokens met een claim voor meervoudige verificatie, uitgegeven door de beveiligingstokenservice van Azure.

• Meervoudige verificatie van Microsoft Entra: communiceert met Microsoft Entra-id om de details van de gebruiker op te halen en voert een secundaire verificatie uit met behulp van een verificatiemethode die door de gebruiker is geconfigureerd.

RADIUS implementeren met Microsoft Entra-id

• Mogelijkheden voor meervoudige verificatie van Microsoft Entra bieden met NPS

• De NPS-extensie voor meervoudige verificatie van Microsoft Entra configureren

• VPN met Microsoft Entra meervoudige verificatie met behulp van de NPS-extensie