Geavanceerde configuratieopties voor de NPS-extensie voor meervoudige verificatie
De NPS-extensie (Network Policy Server) breidt uw cloudgebaseerde Microsoft Entra-functies voor meervoudige verificatie uit naar uw on-premises infrastructuur. In dit artikel wordt ervan uitgegaan dat u de extensie al hebt geïnstalleerd en nu wilt weten hoe u de extensie kunt aanpassen aan uw behoeften.
Alternatieve aanmeldings-id
Aangezien de NPS-extensie verbinding maakt met zowel uw on-premises als clouddirectory's, treedt er mogelijk een probleem op waarbij uw on-premises UPN's (User Principal Names) niet overeenkomen met de namen in de cloud. Gebruik alternatieve aanmeldings-id's om dit probleem op te lossen.
In de NPS-extensie kunt u een Active Directory-kenmerk aanwijzen dat moet worden gebruikt als de UPN voor Meervoudige Verificatie van Microsoft Entra. Hierdoor kunt u uw on-premises resources beveiligen met verificatie in twee stappen zonder uw on-premises UPN's te wijzigen.
Als u alternatieve aanmeldings-id's wilt configureren, gaat u naar HKLM\SOFTWARE\Microsoft\AzureMfa en bewerkt u de volgende registerwaarden:
| Name | Type | Default value | Beschrijving |
|---|---|---|---|
| LDAP_ALTERNATE_LOGINID_ATTRIBUTE | tekenreeks | Leeg | Geef de naam op van het Active Directory-kenmerk dat u als de UPN wilt gebruiken. Dit kenmerk wordt gebruikt als het kenmerk AlternateLoginId. Als deze registerwaarde is ingesteld op een geldig Active Directory-kenmerk (bijvoorbeeld mail of displayName), wordt de waarde van het kenmerk gebruikt als de UPN van de gebruiker voor verificatie. Als deze registerwaarde leeg of niet geconfigureerd is, wordt AlternateLoginId uitgeschakeld en wordt de UPN van de gebruiker gebruikt voor verificatie. |
| LDAP_FORCE_GLOBAL_CATALOG | boolean | Onwaar | Gebruik deze vlag om het gebruik van een globale catalogus af te dwingen voor LDAP-zoekopdrachten bij het opzoeken van AlternateLoginId. Configureer een domeincontroller als een globale catalogus, voeg het kenmerk AlternateLoginId toe aan de globale catalogus en schakel vervolgens deze vlag in. Als LDAP_LOOKUP_FORESTS geconfigureerd (niet leeg) is, wordt deze vlag afgedwongen als waar, ongeacht de waarde van de registerinstelling. In dit geval moet voor de NPS-extensie de globale catalogus worden geconfigureerd met het kenmerk AlternateLoginId voor elke forest. |
| LDAP_LOOKUP_FORESTS | tekenreeks | Leeg | Geef een door puntkomma's gescheiden lijst met forests op om te doorzoeken. Bijvoorbeeld contoso.com;foobar.com. Als deze registerwaarde is geconfigureerd, doorzoekt de NPS-extensie iteratief alle forests in de volgorde waarin ze zijn vermeld en retourneert de eerste geslaagde AlternateLoginId-waarde. Als deze registerwaarde niet is geconfigureerd, is de AlternateLoginId-opzoekfunctie beperkt tot het huidige domein. |
Om problemen met alternatieve aanmeldings-id's op te lossen, gebruikt u de aanbevolen stappen voor Alternatieve aanmeldings-id-fouten.
IP-uitzonderingen
Als u de beschikbaarheid van servers wilt bewaken, bijvoorbeeld als load balancers controleren welke servers worden uitgevoerd voordat u workloads verzendt, wilt u niet dat deze controles worden geblokkeerd door verificatieaanvragen. Maak in plaats daarvan een lijst met IP-adressen waarvan u weet dat deze worden gebruikt door serviceaccounts en schakel meervoudige verificatievereisten voor die lijst uit.
Als u een lijst met toegestane IP-adressen wilt configureren, gaat u naar HKLM\SOFTWARE\Microsoft\AzureMfa en configureert u de volgende registerwaarde:
| Name | Type | Default value | Beschrijving |
|---|---|---|---|
| IP_WHITELIST | tekenreeks | Leeg | Geef een door puntkomma's gescheiden lijst met IP-adressen op. Neem de IP-adressen op van computers waarvan serviceaanvragen afkomstig zijn, zoals de NAS/VPN-server. IP-bereiken en -subnetten worden niet ondersteund. Bijvoorbeeld 10.0.0.1;10.0.0.2;10.0.0.3. |
Notitie
Deze registersleutel wordt niet standaard gemaakt door het installatieprogramma en er wordt een fout weergegeven in het AuthZOptCh-logboek wanneer de service opnieuw wordt opgestart. Deze fout in het logboek kan worden genegeerd, maar als deze registersleutel wordt gemaakt en leeg wordt gelaten als deze niet nodig is, wordt het foutbericht niet meer weergegeven.
Wanneer een aanvraag binnenkomt van een IP-adres dat in de IP_WHITELIST bestaat, wordt verificatie in twee stappen overgeslagen. De lijst met IP-adressen wordt vergeleken met het IP-adres dat is opgegeven in het kenmerk ratNASIPAddress van de RADIUS-aanvraag. Als er een RADIUS-aanvraag binnenkomt zonder het kenmerk ratNASIPAddress, wordt er een waarschuwing geregistreerd: 'IP_WHITE_LIST_WARNING::Lijst met goedgekeurde IP-adressen wordt genegeerd omdat het bron-IP-adres ontbreekt in het kenmerk NasIpAddress van de RADIUS-aanvraag.'