Wprowadzenie do serwera usługi Azure Multi-Factor Authentication
Na tej stronie opisano nową instalację serwera i skonfigurowanie go przy użyciu lokalna usługa Active Directory. Jeśli masz już zainstalowany serwer usługi MFA i chcesz przeprowadzić uaktualnienie, zobacz Uaktualnianie do najnowszego serwera usługi Azure Multi-Factor Authentication. Jeśli szukasz informacji na temat instalowania tylko usługi internetowej, zobacz Deploying the Azure Multi-Factor Authentication Server Mobile App Web Service (Wdrażanie usługi sieci Web aplikacji mobilnej serwera usługi Azure Multi-Factor Authentication).
Ważny
We wrześniu 2022 r. firma Microsoft ogłosiła wycofanie serwera usługi Azure Multi-Factor Authentication. Od 30 września 2024 r. wdrożenia serwera usługi Azure Multi-Factor Authentication nie będą już obsługiwać żądań uwierzytelniania wieloskładnikowego, co może spowodować niepowodzenie uwierzytelniania w organizacji. Aby zapewnić nieprzerwane usługi uwierzytelniania i pozostać w obsługiwanym stanie, organizacje powinny migrować dane uwierzytelniania użytkowników do opartej na chmurze usługi uwierzytelniania wieloskładnikowego firmy Microsoft przy użyciu najnowszej aktualizacji serwera usługi Azure Multi-Factor Authentication. Aby uzyskać więcej informacji, zobacz Migracja serwera usługi Azure Multi-Factor Authentication.
Aby rozpocząć pracę z uwierzytelnianiem wieloskładnikowym opartym na chmurze, zobacz Samouczek: Zabezpieczanie zdarzeń logowania użytkowników przy użyciu uwierzytelniania wieloskładnikowego platformy Azure.
Planowanie wdrożenia
Przed pobraniem serwera usługi Azure Multi-Factor Authentication zastanów się, jakie są wymagania dotyczące obciążenia i wysokiej dostępności. Użyj tych informacji, aby zdecydować, jak i gdzie wdrożyć.
Dobrą wskazówką dla ilości potrzebnej pamięci jest liczba użytkowników, których oczekujesz regularnie uwierzytelniać.
| Użytkowników | BARAN |
|---|---|
| 1-10,000 | 4 GB |
| 10,001-50,000 | 8 GB |
| 50,001-100,000 | 12 GB |
| 100,000-200,001 | 16 GB |
| 200,001+ | 32 GB |
Czy musisz skonfigurować wiele serwerów pod kątem wysokiej dostępności lub równoważenia obciążenia? Istnieje wiele sposobów konfigurowania tej konfiguracji za pomocą serwera usługi Azure Multi-Factor Authentication. Po zainstalowaniu pierwszego serwera usługi Azure Multi-Factor Authentication staje się on serwerem głównym. Wszystkie inne serwery stają się podrzędne i automatycznie synchronizują użytkowników i konfigurację z serwerem głównym. Następnie można skonfigurować jeden serwer podstawowy i pozostałe pełnić rolę kopii zapasowej lub skonfigurować równoważenie obciążenia między wszystkimi serwerami.
Gdy główny serwer usługi Azure Multi-Factor Authentication przechodzi w tryb offline, serwery podrzędne nadal mogą przetwarzać żądania weryfikacji dwuetapowej. Nie można jednak dodawać nowych użytkowników, a istniejący użytkownicy nie mogą aktualizować ich ustawień, dopóki serwer główny nie wróci do trybu online lub podwładny zostanie podwyższony poziom.
Przygotowywanie środowiska
Upewnij się, że serwer używany do uwierzytelniania wieloskładnikowego platformy Azure spełnia następujące wymagania.
| Wymagania dotyczące serwera usługi Azure Multi-Factor Authentication | Opis |
|---|---|
| Sprzęt | |
| Oprogramowanie | |
| Uprawnienia | Konto administratora domeny lub administratora przedsiębiorstwa w celu zarejestrowania się w usłudze Active Directory |
1Jeśli nie można aktywować serwera usługi Azure Multi-Factor Authentication na maszynie wirtualnej platformy Azure z systemem Windows Server 2019 lub nowszym, spróbuj użyć starszej wersji systemu Windows Server.
Składniki serwera usługi Azure Multi-Factor Authentication
Istnieją trzy składniki internetowe, które składają się na serwer usługi Azure Multi-Factor Authentication:
- Zestaw SDK usługi sieci Web — umożliwia komunikację z innymi składnikami i jest instalowany na serwerze aplikacji serwera usługi Azure Multi-Factor Authentication
- Portal użytkowników — witryna internetowa usług Internet Information Services (IIS), która umożliwia użytkownikom rejestrowanie się w uwierzytelnianiu wieloskładnikowym firmy Microsoft i utrzymywaniu kont.
- Usługa internetowa aplikacji mobilnej — umożliwia korzystanie z aplikacji mobilnej, takiej jak aplikacja Microsoft Authenticator na potrzeby weryfikacji dwuetapowej.
Wszystkie trzy składniki można zainstalować na tym samym serwerze, jeśli serwer jest dostępny z Internetu. W przypadku podziału składników zestaw SDK usługi internetowej jest instalowany na serwerze aplikacji uwierzytelniania wieloskładnikowego firmy Microsoft, a portal użytkowników i usługa sieci Web aplikacji mobilnej są instalowane na serwerze dostępnym z Internetu.
Wymagania dotyczące zapory serwera usługi Azure Multi-Factor Authentication
Każdy serwer usługi MFA musi mieć możliwość komunikowania się na porcie 443 wychodzącym z następującymi adresami:
Jeśli zapory wychodzące są ograniczone na porcie 443, otwórz następujące zakresy adresów IP:
| Podsieć IP | Maska sieci | Zakres adresów IP |
|---|---|---|
| 134.170.116.0/25 | 255.255.255.128 | 134.170.116.1 – 134.170.116.126 |
| 134.170.165.0/25 | 255.255.255.128 | 134.170.165.1 – 134.170.165.126 |
| 70.37.154.128/25 | 255.255.255.128 | 70.37.154.129 – 70.37.154.254 |
| 52.251.8.48/28 | 255.255.255.240 | 52.251.8.48 - 52.251.8.63 |
| 52.247.73.160/28 | 255.255.255.240 | 52.247.73.160 - 52.247.73.175 |
| 52.159.5.240/28 | 255.255.255.240 | 52.159.5.240 - 52.159.5.255 |
| 52.159.7.16/28 | 255.255.255.240 | 52.159.7.16 - 52.159.7.31 |
| 52.250.84.176/28 | 255.255.255.240 | 52.250.84.176 - 52.250.84.191 |
| 52.250.85.96/28 | 255.255.255.240 | 52.250.85.96 - 52.250.85.111 |
Jeśli nie używasz funkcji potwierdzania zdarzeń, a użytkownicy nie używają aplikacji mobilnych do weryfikowania z urządzeń w sieci firmowej, potrzebne są tylko następujące zakresy:
| Podsieć IP | Maska sieci | Zakres adresów IP |
|---|---|---|
| 134.170.116.72/29 | 255.255.255.248 | 134.170.116.72 – 134.170.116.79 |
| 134.170.165.72/29 | 255.255.255.248 | 134.170.165.72 – 134.170.165.79 |
| 70.37.154.200/29 | 255.255.255.248 | 70.37.154.201 – 70.37.154.206 |
| 52.251.8.48/28 | 255.255.255.240 | 52.251.8.48 - 52.251.8.63 |
| 52.247.73.160/28 | 255.255.255.240 | 52.247.73.160 - 52.247.73.175 |
| 52.159.5.240/28 | 255.255.255.240 | 52.159.5.240 - 52.159.5.255 |
| 52.159.7.16/28 | 255.255.255.240 | 52.159.7.16 - 52.159.7.31 |
| 52.250.84.176/28 | 255.255.255.240 | 52.250.84.176 - 52.250.84.191 |
| 52.250.85.96/28 | 255.255.255.240 | 52.250.85.96 - 52.250.85.111 |
Pobieranie serwera MFA
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Wykonaj następujące kroki, aby pobrać serwer usługi Azure Multi-Factor Authentication:
Ważny
We wrześniu 2022 r. firma Microsoft ogłosiła wycofanie serwera usługi Azure Multi-Factor Authentication. Od 30 września 2024 r. wdrożenia serwera usługi Azure Multi-Factor Authentication nie będą już obsługiwać żądań uwierzytelniania wieloskładnikowego, co może spowodować niepowodzenie uwierzytelniania w organizacji. Aby zapewnić nieprzerwane usługi uwierzytelniania i pozostać w obsługiwanym stanie, organizacje powinny migrować dane uwierzytelniania użytkowników do opartej na chmurze usługi uwierzytelniania wieloskładnikowego firmy Microsoft przy użyciu najnowszej aktualizacji serwera usługi Azure Multi-Factor Authentication. Aby uzyskać więcej informacji, zobacz Migracja serwera usługi Azure Multi-Factor Authentication.
Aby rozpocząć pracę z uwierzytelnianiem wieloskładnikowym opartym na chmurze, zobacz Samouczek: Zabezpieczanie zdarzeń logowania użytkowników przy użyciu uwierzytelniania wieloskładnikowego platformy Azure.
Istniejący klienci, którzy aktywowali serwer MFA przed 1 lipca 2019 r., mogą pobrać najnowszą wersję, przyszłe aktualizacje i wygenerować poświadczenia aktywacji w zwykły sposób. Poniższe kroki działają tylko wtedy, gdy jesteś istniejącym klientem serwera MFA.
-
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.
Przejdź do pozycji Ochrona>ustawień serwera uwierzytelniania wieloskładnikowego.>
Wybierz pozycję Pobierz i postępuj zgodnie z instrukcjami na stronie pobierania, aby zapisać instalatora.
Pozostaw tę stronę otwartą, ponieważ odwołujemy się do niej po uruchomieniu instalatora.
Instalowanie i konfigurowanie serwera MFA
Po pobraniu serwera można go zainstalować i skonfigurować. Upewnij się, że serwer, na którym jest zainstalowany, spełnia wymagania wymienione w sekcji planowania.
- Kliknij dwukrotnie plik wykonywalny.
- Na ekranie Wybieranie folderu instalacyjnego upewnij się, że folder jest poprawny, a następnie kliknij przycisk Dalej. Zainstalowane są następujące biblioteki:
- Po zakończeniu instalacji wybierz pozycję Zakończ. Zostanie uruchomiony kreator konfiguracji.
- Po powrocie na stronę, z której pobrano serwer, kliknij przycisk Generuj poświadczenia aktywacji. Skopiuj te informacje na serwer usługi Azure Multi-Factor Authentication w podanych polach i kliknij przycisk Aktywuj.
Nuta
Do zarządzania tą funkcją jest wymagany administrator globalny.
Wysyłanie użytkownikom wiadomości e-mail
Aby ułatwić wdrażanie, zezwól serwerowi MFA na komunikację z użytkownikami. Serwer usługi MFA może wysłać wiadomość e-mail, aby poinformować ich, że zostały zarejestrowane w celu weryfikacji dwuetapowej.
Wysyłana wiadomość e-mail powinna być określana przez sposób konfigurowania użytkowników na potrzeby weryfikacji dwuetapowej. Jeśli na przykład możesz zaimportować numery telefonów z katalogu firmy, wiadomość e-mail powinna zawierać domyślne numery telefonów, aby użytkownicy wiedzieli, czego oczekiwać. Jeśli nie zaimportujesz numerów telefonów lub użytkownicy będą używać aplikacji mobilnej, wyślij im wiadomość e-mail kierującą ich do ukończenia rejestracji konta. Dołącz hiperlink do portalu użytkowników uwierzytelniania wieloskładnikowego platformy Azure w wiadomości e-mail.
Zawartość wiadomości e-mail różni się również w zależności od metody weryfikacji ustawionej dla użytkownika (połączenia telefonicznego, wiadomości SMS lub aplikacji mobilnej). Jeśli na przykład użytkownik jest wymagany do używania numeru PIN podczas uwierzytelniania, wiadomość e-mail informuje o tym, na co został ustawiony początkowy numer PIN. Użytkownicy muszą zmienić swój numer PIN podczas pierwszej weryfikacji.
Konfigurowanie szablonów wiadomości e-mail i wiadomości e-mail
Kliknij ikonę wiadomości e-mail po lewej stronie, aby skonfigurować ustawienia wysyłania tych wiadomości e-mail. Na tej stronie można wprowadzić informacje o protokole SMTP (Simple Mail Transfer Protocol) serwera poczty i wysłać wiadomość e-mail, zaznaczając pole wyboru Wyślij wiadomości e-mail do użytkowników .
Na karcie Zawartość wiadomości e-mail możesz zobaczyć szablony wiadomości e-mail, które są dostępne do wyboru. W zależności od tego, jak skonfigurowano użytkowników do przeprowadzania weryfikacji dwuetapowej, wybierz szablon, który najlepiej ci odpowiada.
Importowanie użytkowników z usługi Active Directory
Po zainstalowaniu serwera chcesz dodać użytkowników. Możesz utworzyć je ręcznie, zaimportować użytkowników z usługi Active Directory lub skonfigurować automatyczną synchronizację z usługą Active Directory.
Ręczne importowanie z usługi Active Directory
Na serwerze usługi Azure Multi-Factor Authentication po lewej stronie wybierz pozycję Użytkownicy.
W dolnej części wybierz pozycję Importuj z usługi Active Directory.
Teraz możesz wyszukać poszczególnych użytkowników lub wyszukać usługę Active Directory systemu Windows Server pod kątem jednostek organizacyjnych z użytkownikami w nich. W tym przypadku określamy jednostkę organizacyjną użytkowników.
Wyróżnij wszystkich użytkowników po prawej stronie i kliknij przycisk Importuj. Powinno pojawić się wyskakujące okienko z informacją, że udało Ci się odnieść sukces. Zamknij okno importu.
Automatyczna synchronizacja z usługą Active Directory
- Na serwerze usługi Azure Multi-Factor Authentication po lewej stronie wybierz pozycję Integracja katalogu.
- Przejdź do karty Synchronizacja.
- W dolnej części wybierz pozycję Dodaj
- W wyświetlonym polu Dodaj element synchronizacji wybierz domenę, jednostki organizacyjnej lub grupę zabezpieczeń, ustawienia, wartości domyślne metody i wartości domyślne języka dla tego zadania synchronizacji i kliknij przycisk Dodaj.
- Zaznacz pole wyboru z etykietą Włącz synchronizację z usługą Active Directory i wybierz interwał synchronizacji między minutą a 24 godzinami.
Jak serwer usługi Azure Multi-Factor Authentication obsługuje dane użytkownika
W przypadku korzystania z lokalnego serwera Multi-Factor Authentication dane użytkownika są przechowywane na serwerach lokalnych. W chmurze nie są przechowywane żadne trwałe dane użytkownika. Gdy użytkownik przeprowadza weryfikację dwuetapową, serwer MFA wysyła dane do usługi w chmurze uwierzytelniania wieloskładnikowego firmy Microsoft w celu przeprowadzenia weryfikacji. Po wysłaniu tych żądań uwierzytelniania do usługi w chmurze następujące pola są wysyłane w żądaniu i dziennikach, aby były dostępne w raportach uwierzytelniania/użycia klienta. Niektóre pola są opcjonalne, aby można je było włączyć lub wyłączyć na serwerze usługi Multi-Factor Authentication. Komunikacja z serwera MFA do usługi w chmurze MFA używa protokołu SSL/TLS przez port 443 wychodzący. Te pola to:
- Unikatowy identyfikator — nazwa użytkownika lub wewnętrzny identyfikator serwera MFA
- Imię i nazwisko (opcjonalnie)
- Adres e-mail (opcjonalnie)
- Numer telefonu — podczas nawiązywania połączenia głosowego lub uwierzytelniania sms
- Token urządzenia — podczas uwierzytelniania aplikacji mobilnej
- Tryb uwierzytelniania
- Wynik uwierzytelniania
- Nazwa serwera usługi MFA
- Adres IP serwera MFA
- Adres IP klienta — jeśli jest dostępny
Oprócz powyższych pól wynik weryfikacji (powodzenie/odmowa) i przyczyna wszelkich odmów są również przechowywane z danymi uwierzytelniania i dostępne za pośrednictwem raportów uwierzytelniania/użycia.
Ważny
Począwszy od marca 2019 r., opcje połączeń telefonicznych nie będą dostępne dla użytkowników serwera MFA w dzierżawach bezpłatnej/próbnej firmy Microsoft Entra. Ta zmiana nie ma wpływu na wiadomości SMS. Połączenie telefoniczne będzie nadal dostępne dla użytkowników w płatnych dzierżawach firmy Microsoft Entra. Ta zmiana ma wpływ tylko na dzierżawy bezpłatnej/próbnej firmy Microsoft Entra.
Tworzenie kopii zapasowej i przywracanie serwera usługi Azure Multi-Factor Authentication
Upewnienie się, że masz dobrą kopię zapasową, jest ważnym krokiem do wykonania w dowolnym systemie.
Aby utworzyć kopię zapasową serwera usługi Azure Multi-Factor Authentication, upewnij się, że masz kopię folderu C:\Program Files\Multi-Factor Authentication Server\Data , w tym pliku PhoneFactor.pfdata .
W przypadku, gdy konieczne jest przywrócenie, wykonaj następujące czynności:
- Zainstaluj ponownie serwer usługi Azure Multi-Factor Authentication na nowym serwerze.
- Aktywuj nowy serwer usługi Azure Multi-Factor Authentication.
- Zatrzymaj usługę MultiFactorAuth .
- Zastąp plik PhoneFactor.pfdata kopią zapasową.
- Uruchom usługę MultiFactorAuth .
Nowy serwer jest teraz uruchomiony z oryginalną konfiguracją kopii zapasowej i danymi użytkownika.
Zarządzanie protokołami TLS/SSL i zestawami szyfrowania
Po uaktualnieniu lub zainstalowaniu serwera MFA w wersji 8.x lub nowszej zaleca się wyłączenie lub usunięcie starszych i słabszych zestawów szyfrowania, chyba że są wymagane przez organizację. Informacje na temat wykonywania tego zadania można znaleźć w artykule Zarządzanie protokołami SSL/TLS i zestawami szyfrowania dla usług Active Directory Federation Services (AD FS).
Następne kroki
- Skonfiguruj i skonfiguruj portal użytkowników na potrzeby samoobsługi użytkownika.
- Skonfiguruj i skonfiguruj serwer usługi Azure Multi-Factor Authentication przy użyciu usługi federacyjnej Active Directory, uwierzytelniania RADIUS lub uwierzytelniania LDAP (Lightweight Directory Access Protocol).
- Skonfiguruj i skonfiguruj bramę usług pulpitu zdalnego i serwer usługi Azure Multi-Factor Authentication przy użyciu usługi RADIUS.
- Wdróż usługę internetową aplikacji mobilnej serwera Azure Multi-Factor Authentication.
- Zaawansowane scenariusze z uwierzytelnianiem wieloskładnikowym platformy Azure i sieciami VPN innych firm.