Delen via

Aan de slag met de Azure Multi-Factor Authentication-server

  • Artikel

Aan de slag met on-premises MFA-server

Op deze pagina wordt een nieuwe installatie van de server beschreven en ingesteld met on-premises Active Directory. Als u de MFA-server al hebt geïnstalleerd en wilt upgraden, raadpleegt u Upgraden naar de nieuwste Azure Multi-Factor Authentication-server. Als u op zoek bent naar informatie over het installeren van alleen de webservice, raadpleegt u De webservice voor mobiele apps van de Azure Multi-Factor Authentication-server implementeren.

Belangrijk

In september 2022 kondigde Microsoft de afschaffing van de Azure Multi-Factor Authentication-server aan. Vanaf 30 september 2024 worden implementaties van De Azure Multi-Factor Authentication-server geen meervoudige verificatieaanvragen meer uitgevoerd, waardoor verificaties voor uw organisatie mislukken. Om ononderbroken verificatieservices te garanderen en in een ondersteunde status te blijven, moeten organisaties de verificatiegegevens van hun gebruikers migreren naar de cloudgebaseerde Microsoft Entra-service voor meervoudige verificatie met behulp van het meest recente migratiehulpprogramma dat is opgenomen in de meest recente update van de Azure Multi-Factor Authentication-server. Zie Azure Multi-Factor Authentication-servermigratie voor meer informatie.

Zie zelfstudie: Aanmeldingsgebeurtenissen van gebruikers beveiligen met Meervoudige verificatie van Azure om aan de slag te gaan met MFA in de cloud.

Uw implementatie plannen

Voordat u de Azure Multi-Factor Authentication-server downloadt, moet u nadenken over wat uw belastings- en hoge beschikbaarheidsvereisten zijn. Gebruik deze informatie om te bepalen hoe en waar u wilt implementeren.

Een goede richtlijn voor de hoeveelheid geheugen die u nodig hebt, is het aantal gebruikers dat u verwacht regelmatig te verifiëren.

Gebruikers RAM
1-10,000 4 GB
10,001-50,000 8 GB
50,001-100,000 12 GB
100,000-200,001 16 GB
200,001+ 32 GB

Moet u meerdere servers instellen voor hoge beschikbaarheid of taakverdeling? Er zijn veel manieren om deze configuratie in te stellen met de Azure Multi-Factor Authentication-server. Wanneer u uw eerste Azure Multi-Factor Authentication-server installeert, wordt deze de hoofdserver. Alle andere servers worden ondergeschikt en synchroniseren gebruikers en configuratie automatisch met de master. Vervolgens kunt u één primaire server configureren en de rest laten fungeren als back-up, of u kunt taakverdeling tussen alle servers instellen.

Wanneer een hoofdserver van Azure Multi-Factor Authentication offline gaat, kunnen de onderliggende servers nog steeds verificatieaanvragen in twee stappen verwerken. U kunt echter geen nieuwe gebruikers toevoegen en bestaande gebruikers kunnen hun instellingen pas bijwerken als de master weer online is of als een onderliggende gebruiker wordt gepromoveerd.

Uw omgeving voorbereiden

Zorg ervoor dat de server die u gebruikt voor meervoudige verificatie van Azure voldoet aan de volgende vereisten.

Vereisten voor Azure Multi-Factor Authentication-server Beschrijving
Hardware
  • 200 MB aan schijfruimte
  • x32- of x64-compatibele processor
  • 1 GB of hoger RAM-geheugen
    		•
    Software
  • Windows Server 20221
  • Windows Server 20191
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008/R2 (met [uitgebreide beveiligingsupdate (ESU)](/lifecycle/faq/extended-security-updates) alleen)
  • Windows 10
  • Windows 8.1, alle edities
  • Windows 8, alle edities
  • Windows 7, alle edities ([uitgebreide beveiligingsupdate (ESU)](/lifecycle/faq/extended-security-updates) alleen)
  • Microsoft .NET 4.0 Framework
  • IIS 7.0 of hoger als u de gebruikersportal of webservice-SDK installeert
    		•
    Machtigingen Account domeinbeheerder of ondernemingsbeheerder om te registreren bij Active Directory

    1Als de Azure Multi-Factor Authentication-server niet kan worden geactiveerd op een virtuele Azure-machine (VM) waarop Windows Server 2019 of hoger wordt uitgevoerd, probeert u een eerdere versie van Windows Server te gebruiken.

    Azure Multi-Factor Authentication-serveronderdelen

    Er zijn drie webonderdelen waaruit de Azure Multi-Factor Authentication-server bestaat:

    • Webservice-SDK: schakelt communicatie met de andere onderdelen in en wordt geïnstalleerd op de Toepassingsserver van de Azure Multi-Factor Authentication-server
    • Gebruikersportal: een IIS-website (Internet Information Services) waarmee gebruikers zich kunnen inschrijven bij Meervoudige Verificatie van Microsoft Entra en hun accounts kunnen onderhouden.
    • Webservice voor mobiele apps: hiermee kunt u een mobiele app gebruiken, zoals de Microsoft Authenticator-app voor verificatie in twee stappen.

    Alle drie de onderdelen kunnen op dezelfde server worden geïnstalleerd als de server internetgericht is. Als de onderdelen opsplitsen, wordt de Web Service SDK geïnstalleerd op de Toepassingsserver voor meervoudige verificatie van Microsoft Entra en worden de gebruikersportal en de webservice voor mobiele apps geïnstalleerd op een internetgerichte server.

    Firewallvereisten voor Azure Multi-Factor Authentication-server

    Elke MFA-server moet kunnen communiceren op poort 443 uitgaand naar de volgende adressen:

    Als uitgaande firewalls zijn beperkt op poort 443, opent u de volgende IP-adresbereiken:

    IP-subnet Netmask IP-bereik
    134.170.116.0/25 255.255.255.128 134.170.116.1 – 134.170.116.126
    134.170.165.0/25 255.255.255.128 134.170.165.1 – 134.170.165.126
    70.37.154.128/25 255.255.255.128 70.37.154.129 – 70.37.154.254
    52.251.8.48/28 255.255.255.240 52.251.8.48 - 52.251.8.63
    52.247.73.160/28 255.255.255.240 52.247.73.160 - 52.247.73.175
    52.159.5.240/28 255.255.255.240 52.159.5.240 - 52.159.5.255
    52.159.7.16/28 255.255.255.240 52.159.7.16 - 52.159.7.31
    52.250.84.176/28 255.255.255.240 52.250.84.176 - 52.250.84.191
    52.250.85.96/28 255.255.255.240 52.250.85.96 - 52.250.85.111

    Als u de functie Gebeurtenisbevestiging niet gebruikt en uw gebruikers geen mobiele apps gebruiken om te controleren vanaf apparaten in het bedrijfsnetwerk, hebt u alleen de volgende bereiken nodig:

    IP-subnet Netmask IP-bereik
    134.170.116.72/29 255.255.255.248 134.170.116.72 – 134.170.116.79
    134.170.165.72/29 255.255.255.248 134.170.165.72 – 134.170.165.79
    70.37.154.200/29 255.255.255.248 70.37.154.201 – 70.37.154.206
    52.251.8.48/28 255.255.255.240 52.251.8.48 - 52.251.8.63
    52.247.73.160/28 255.255.255.240 52.247.73.160 - 52.247.73.175
    52.159.5.240/28 255.255.255.240 52.159.5.240 - 52.159.5.255
    52.159.7.16/28 255.255.255.240 52.159.7.16 - 52.159.7.31
    52.250.84.176/28 255.255.255.240 52.250.84.176 - 52.250.84.191
    52.250.85.96/28 255.255.255.240 52.250.85.96 - 52.250.85.111

    De MFA-server downloaden

    Fooi

    Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

    Volg deze stappen om de Azure Multi-Factor Authentication-server te downloaden:

    Belangrijk

    In september 2022 kondigde Microsoft de afschaffing van de Azure Multi-Factor Authentication-server aan. Vanaf 30 september 2024 worden implementaties van De Azure Multi-Factor Authentication-server geen meervoudige verificatieaanvragen meer uitgevoerd, waardoor verificaties voor uw organisatie mislukken. Om ononderbroken verificatieservices te garanderen en in een ondersteunde status te blijven, moeten organisaties de verificatiegegevens van hun gebruikers migreren naar de cloudgebaseerde Microsoft Entra-service voor meervoudige verificatie met behulp van het meest recente migratiehulpprogramma dat is opgenomen in de meest recente update van de Azure Multi-Factor Authentication-server. Zie Azure Multi-Factor Authentication-servermigratie voor meer informatie.

    Zie zelfstudie: Aanmeldingsgebeurtenissen van gebruikers beveiligen met Meervoudige verificatie van Azure om aan de slag te gaan met MFA in de cloud.

    Bestaande klanten die MFA Server vóór 1 juli 2019 hebben geactiveerd, kunnen de nieuwste versie, toekomstige updates downloaden en activeringsreferenties genereren zoals gebruikelijk. De volgende stappen werken alleen als u een bestaande MFA-serverklant bent.

    1. Meld u als globale beheerder aan bij het Microsoft Entra-beheercentrum.

    2. Blader naar >de serverinstellingen voor meervoudige verificatiebeveiliging.>

    3. Selecteer Downloaden en volg de instructies op de downloadpagina om het installatieprogramma op te slaan.

      MFA-server downloaden

    4. Houd deze pagina geopend, omdat we ernaar verwijzen nadat u het installatieprogramma hebt uitgevoerd.

    De MFA-server installeren en configureren

    Nu u de server hebt gedownload, kunt u deze installeren en configureren. Zorg ervoor dat de server waarop u deze installeert voldoet aan de vereisten die worden vermeld in de planningssectie.

    1. Dubbelklik op het uitvoerbare bestand.
    2. Controleer in het scherm Installatiemap selecteren of de map juist is en klik op Volgende. De volgende bibliotheken zijn geïnstalleerd:
    3. Wanneer de installatie is voltooid, selecteert u Voltooien. De configuratiewizard wordt gestart.
    4. Klik op de pagina van waaruit u de server hebt gedownload op de knop Activeringsreferenties genereren. Kopieer deze informatie naar de Azure Multi-Factor Authentication-server in de opgegeven vakken en klik op Activeren.

    Notitie

    Er is een globale beheerder nodig om deze functie te beheren.

    Gebruikers een e-mail sturen

    Om de implementatie te vereenvoudigen, staat u MFA-server toe om met uw gebruikers te communiceren. MFA Server kan een e-mailbericht verzenden om hen te informeren dat ze zijn ingeschreven voor verificatie in twee stappen.

    Het e-mailbericht dat u verzendt, moet worden bepaald door de wijze waarop u uw gebruikers configureert voor verificatie in twee stappen. Als u bijvoorbeeld telefoonnummers uit de bedrijfsadreslijst kunt importeren, moet de e-mail de standaardtelefoonnummers bevatten, zodat gebruikers weten wat ze kunnen verwachten. Als u geen telefoonnummers importeert of als uw gebruikers de mobiele app gaan gebruiken, stuurt u hen een e-mail waarmee ze hun accountinschrijving kunnen voltooien. Voeg een hyperlink toe naar de Gebruikersportal voor meervoudige verificatie van Azure in het e-mailbericht.

    De inhoud van het e-mailbericht is ook afhankelijk van de verificatiemethode die is ingesteld voor de gebruiker (telefoongesprek, sms of mobiele app). Als de gebruiker bijvoorbeeld een pincode moet gebruiken wanneer deze zich verifieert, wordt in het e-mailbericht aangegeven waarop de oorspronkelijke pincode is ingesteld. Gebruikers moeten hun pincode wijzigen tijdens hun eerste verificatie.

    E-mail- en e-mailsjablonen configureren

    Klik op het e-mailpictogram aan de linkerkant om de instellingen voor het verzenden van deze e-mailberichten in te stellen. Op deze pagina kunt u de SMTP-gegevens (Simple Mail Transfer Protocol) van uw e-mailserver invoeren en e-mail verzenden door het selectievakje E-mailberichten verzenden naar gebruikers in te schakelen.

    E-mailconfiguratie van MFA-server

    Op het tabblad E-mailinhoud ziet u de e-mailsjablonen waaruit u kunt kiezen. Afhankelijk van hoe u uw gebruikers hebt geconfigureerd om verificatie in twee stappen uit te voeren, kiest u de sjabloon die het beste bij u past.

    E-mailsjablonen voor MFA Server in de console

    Gebruikers importeren uit Active Directory

    Nu de server is geïnstalleerd, wilt u gebruikers toevoegen. U kunt ervoor kiezen om ze handmatig te maken, gebruikers uit Active Directory te importeren of automatische synchronisatie met Active Directory te configureren.

    Handmatig importeren uit Active Directory

    1. Selecteer gebruikers in de Azure Multi-Factor Authentication-server aan de linkerkant.

    2. Selecteer onderaan Importeren uit Active Directory.

    3. U kunt nu zoeken naar afzonderlijke gebruikers of de Windows Server Active Directory zoeken naar organisatie-eenheden (OE's) met gebruikers erin. In dit geval geven we de organisatie-eenheid van de gebruikers op.

    4. Markeer alle gebruikers aan de rechterkant en klik op Importeren. U zou een pop-up moeten ontvangen waarin staat dat u succesvol bent. Sluit het importvenster.

      MFA Server-gebruiker importeren uit Active Directory

    Automatische synchronisatie met Active Directory

    1. Selecteer in de Azure Multi-Factor Authentication-server aan de linkerkant Directory-integratie.
    2. Navigeer naar het tabblad Synchronisatie .
    3. Kies Onderaan toevoegen
    4. Kies in het vak Synchronisatie-item toevoegen dat wordt weergegeven de domein-, OE - of beveiligingsgroep, Instellingen, Standaardinstellingen voor methoden en Taalstandaarden voor deze synchronisatietaak en klik op Toevoegen.
    5. Schakel het selectievakje Synchronisatie inschakelen met Active Directory in en kies een synchronisatie-interval tussen één minuut en 24 uur.

    Hoe de Azure Multi-Factor Authentication-server gebruikersgegevens verwerkt

    Wanneer u de Multi-Factor Authentication-server on-premises gebruikt, worden de gegevens van een gebruiker opgeslagen op de on-premises servers. Er worden geen permanente gebruikersgegevens opgeslagen in de cloud. Wanneer de gebruiker een verificatie in twee stappen uitvoert, verzendt de MFA-server gegevens naar de Cloudservice voor meervoudige verificatie van Microsoft Entra om de verificatie uit te voeren. Wanneer deze verificatieaanvragen naar de cloudservice worden verzonden, worden de volgende velden verzonden in de aanvraag en logboeken, zodat ze beschikbaar zijn in de verificatie-/gebruiksrapporten van de klant. Sommige velden zijn optioneel, zodat ze kunnen worden ingeschakeld of uitgeschakeld op de Multi-Factor Authentication-server. De communicatie van de MFA-server naar de MFA-cloudservice maakt gebruik van SSL/TLS via poort 443 uitgaand. Deze velden zijn:

    • Unieke id: gebruikersnaam of interne MFA-server-id
    • Voor- en achternaam (optioneel)
    • E-mailadres (optioneel)
    • Telefoonnummer - bij het uitvoeren van een spraakoproep of sms-verificatie
    • Apparaattoken: bij het uitvoeren van verificatie van mobiele apps
    • Verificatiemodus
    • Verificatieresultaat
    • MFA-servernaam
    • IP van MFA-server
    • CLIENT-IP – indien beschikbaar

    Naast de bovenstaande velden wordt het verificatieresultaat (geslaagd/ontkenning) en de reden voor eventuele weigeringen ook opgeslagen met de verificatiegegevens en beschikbaar via de verificatie-/gebruiksrapporten.

    Belangrijk

    Vanaf maart 2019 zijn de opties voor telefoongesprekken niet beschikbaar voor MFA Server-gebruikers in de gratis/proefversie van Microsoft Entra-tenants. Sms-berichten worden niet beïnvloed door deze wijziging. Telefoongesprek blijft beschikbaar voor gebruikers in betaalde Microsoft Entra-tenants. Deze wijziging is alleen van invloed op de gratis/proefversie van Microsoft Entra-tenants.

    Een back-up maken van de Azure Multi-Factor Authentication-server en deze herstellen

    Zorg ervoor dat u een goede back-up hebt, is een belangrijke stap die u moet uitvoeren met elk systeem.

    Als u een back-up wilt maken van de Azure Multi-Factor Authentication-server, moet u ervoor zorgen dat u een kopie hebt van de map C:\Program Files\Multi-Factor Authentication Server\Data , inclusief het PhoneFactor.pfdata-bestand .

    Als een herstelbewerking nodig is, voert u de volgende stappen uit:

    1. Installeer de Azure Multi-Factor Authentication-server opnieuw op een nieuwe server.
    2. Activeer de nieuwe Azure Multi-Factor Authentication-server.
    3. Stop de MultiFactorAuth-service .
    4. Overschrijf de PhoneFactor.pfdata met de back-upkopie.
    5. Start de MultiFactorAuth-service .

    De nieuwe server is nu actief met de oorspronkelijke back-upconfiguratie en gebruikersgegevens.

    De TLS/SSL-protocollen en coderingssuites beheren

    Zodra u een upgrade hebt uitgevoerd naar of MFA Server versie 8.x of hoger hebt geïnstalleerd, is het raadzaam oudere en zwakkere coderingssuites uit te schakelen of te verwijderen, tenzij dit is vereist door uw organisatie. Informatie over het voltooien van deze taak vindt u in het artikel SSL/TLS-protocollen en coderingssuites voor Active Directory Federation Services (AD FS) beheren.

    Volgende stappen