Integrar sua infraestrutura existente do servidor de políticas de rede (NPS) à autenticação multifator do Azure AD

A extensão do NPS (Servidor de Políticas de Rede) para a Autenticação Multifator do Azure Active Directory adiciona funcionalidades de MFA baseadas em nuvem à sua infraestrutura de autenticação usando os servidores existentes. Com a extensão do NPS, você pode adicionar verificação por chamada telefônica, mensagem de texto ou aplicativo ao fluxo de autenticação existente sem a necessidade de instalar, configurar e manter novos servidores.

A extensão do NPS atua como um adaptador entre o RADIUS e a autenticação multifator do Azure AD baseada em nuvem para fornecer um segundo fator de autenticação para usuários federados ou sincronizados.

Como a extensão do NPS funciona

Ao usar a extensão do NPS para a Autenticação Multifator do Azure AD, o fluxo de autenticação inclui os seguintes componentes:

  1. Servidor VPN/NAS recebe solicitações de clientes VPN e converte-os em solicitações RADIUS para servidores NPS.
  2. O Servidor NPS conecta-se ao Active Directory Domain Services (AD DS) para executar a autenticação primária das solicitações RADIUS e, ao obter êxito, passa a solicitação para qualquer uma das extensões instaladas.
  3. A Extensão do NPS dispara uma solicitação de autenticação secundária para a autenticação multifator do Azure AD. Quando a extensão receber a resposta, e se o desafio de MFA for bem-sucedido, ela concluirá a solicitação de autenticação, fornecendo ao servidor NPS os tokens de segurança que incluem uma declaração MFA, emitida pelo STS do Azure.

    Observação

    Os usuários devem ter acesso ao método de autenticação padrão para concluir o requisito de MFA. Eles não podem escolher um método alternativo. O método de autenticação padrão será usado mesmo se ele tiver sido desabilitado nos métodos de autenticação de locatário e nas políticas de MFA.

  4. O Azure AD MFA comunica-se com o Azure Active Directory (Azure AD) para recuperar os detalhes do usuário e executa a autenticação secundária usando um método de verificação configurado para o usuário.

O diagrama a seguir ilustra esse fluxo de solicitação de autenticação de alto nível:

Diagram of the authentication flow for user authenticating through a VPN server to NPS server and the Azure AD Multi-Factor Authentication NPS extension

Comportamento do protocolo RADIUS e a extensão do NPS

Como o RADIUS é um protocolo UDP, o remetente assume a perda de pacotes e aguarda uma resposta. Após um período, a conexão pode atingir o tempo limite. Nesse caso, o pacote é reenviado, pois o remetente supõe que o pacote não alcançou o destino. No cenário de autenticação descrito neste artigo, os servidores VPN enviam a solicitação e aguardam uma resposta. Se a conexão atingir o tempo limite, o servidor VPN enviará a solicitação novamente.

Diagram of RADIUS UDP packet flow and requests after timeout on response from NPS server

O servidor NPS pode não responder à solicitação original do servidor VPN antes que a conexão expire, pois a solicitação de MFA pode ainda estar sendo processada. O usuário pode não ter respondido à solicitação de MFA. Portanto, a extensão do NPS da Autenticação Multifator do Azure AD está aguardando a conclusão desse evento. Nessa situação, o servidor NPS identifica solicitações de servidor VPN adicionais como solicitações duplicadas. O servidor NPS descarta essas solicitações duplicadas do servidor VPN.

Diagram of NPS server discarding duplicate requests from RADIUS server

Se examinar os logs do servidor NPS, você verá essas solicitações adicionais sendo descartadas. Esse é um comportamento intencional para proteger o usuário final de obter várias solicitações por uma única tentativa de autenticação. As solicitações descartadas no log de eventos do servidor NPS não indicam que haja um problema com o servidor NPS ou com a extensão do NPS da autenticação multifator do Azure AD.

Para minimizar as solicitações descartadas, recomendamos que os servidores VPN sejam configurados com um tempo limite de pelo menos 60 segundos. Se necessário, ou para reduzir solicitações descartadas nos logs de eventos, você pode aumentar o valor de tempo limite do servidor VPN para 90 ou 120 segundos.

Devido a esse comportamento do protocolo UDP, o servidor NPS pode receber uma solicitação duplicada e enviar outro prompt de MFA mesmo depois que o usuário já tiver respondido à solicitação inicial. Para evitar essa condição de tempo, a extensão do NPS da autenticação multifator do Azure AD continua a filtrar e descartar solicitações duplicadas por até 10 segundos depois que uma resposta bem-sucedida tiver sido enviada para o servidor VPN.

Diagram of NPS server continuing to discard duplicate requests from VPN server for ten seconds after a successful response is returned

Novamente, você poderá ver solicitações descartadas nos logs de eventos do servidor NPS mesmo quando a solicitação de autenticação multifator do Azure AD for bem-sucedida. Esse é o comportamento esperado e não indica um problema com o servidor NPS ou com a extensão do NPS da autenticação multifator do Azure AD.

Planejar sua implantação

A extensão NPS controla automaticamente a redundância, de maneira que você não precisa de uma configuração especial.

Você pode criar tantos servidores NPS habilitados para a Autenticação Multifator do Azure quanto necessário. Se você instalar vários servidores, use um certificado de cliente diferente para cada um deles. Ao criar um certificado para cada servidor, você pode atualizar cada certificado individualmente sem se preocupar com o tempo de inatividade em todos os servidores.

Os servidores VPN encaminham as solicitações de autenticação e, portanto, precisam estar cientes dos novos servidores NPS habilitados para o Azure AD MFA.

Pré-requisitos

A extensão do NPS deve trabalhar com sua infraestrutura existente. Verifique se você cumpre os seguintes pré-requisitos antes de iniciar.

Licenças

A extensão do NPS para a autenticação multifator do Azure AD está disponível para clientes com licenças da Autenticação Multifator do Azure AD (incluída no Azure AD Premium P1 e Premium P2 ou no Enterprise Mobility + Security). As licenças baseadas em consumo para a Autenticação Multifator do Azure AD, tais como as licenças por usuário ou por autenticação, não são compatíveis com a extensão do NPS.

Software

Windows Server 2012 ou superior.

Bibliotecas

Você precisa instalar manualmente a biblioteca a seguir:

As bibliotecas a seguir são instaladas automaticamente com a extensão do NPS.

O Módulo Microsoft Azure Active Directory para Windows PowerShell também é instalado, se ainda não estiver presente, por meio de um script de configuração que é executado como parte do processo de instalação. Não é necessário instalar este módulo antecipadamente, se ele ainda não estiver instalado.

Azure Active Directory

Todos os que usam a extensão do NPS devem estar sincronizados com o Azure Active Directory usando o Azure AD Connect e devem estar registrados para MFA.

Ao instalar a extensão, você precisa da ID de locatário e das credenciais de administrador para o seu locatário do Azure AD. Para obter o ID de locatário, siga estas etapas:

  1. Entre no Portal do Azure como administrador global do locatário do Azure.

  2. Procurar e selecionar o serviço Azure Active Directory.

  3. Na página Visão geral, são mostradas as Informações do locatário. Ao lado do ID de locatário, selecione o ícone Copiar, conforme mostrado no exemplo da captura de tela a seguir:

    Getting the Tenant ID from the Azure portal

Requisitos de rede

O servidor NPS precisa ser capaz de se comunicar com as seguintes URLs por meio das portas 80 e 443:

  • https://strongauthenticationservice.auth.microsoft.com
  • https://strongauthenticationservice.auth.microsoft.us
  • https://strongauthenticationservice.auth.microsoft.cn
  • https://adnotifications.windowsazure.com
  • https://login.microsoftonline.com
  • https://credentials.azure.com

Além disso, a conectividade com as URLs a seguir é necessária para concluir a configuração do adaptador usando o script do PowerShell fornecido:

  • https://login.microsoftonline.com
  • https://provisioningapi.microsoftonline.com
  • https://aadcdn.msauth.net
  • https://www.powershellgallery.com
  • https://go.microsoft.com
  • https://aadcdn.msftauthimages.net

Prepare o seu ambiente

Antes de instalar a extensão do NPS, prepare o ambiente para lidar com o tráfego de autenticação.

Habilitar a função NPS em um servidor ingressado no domínio

O servidor NPS se conecta ao Azure Active Directory e autentica as solicitações da MFA. Escolha um servidor para essa função. É recomendável escolher um servidor que não manipule solicitações de outros serviços, porque a extensão NPS gerará erros para solicitações que não sejam RADIUS. O servidor NPS deve ser configurado como o servidor de autenticação primário e secundário para o seu ambiente. Ele não pode fazer proxy de solicitações RADIUS para outro servidor.

  1. No servidor do site, abra o Gerenciador do Servidor. Selecione Assistente de adição de funções e recursos no menu Início Rápido.
  2. No tipo de instalação, escolha Instalação baseada em função ou recurso.
  3. Selecione a função de servidor Serviços de Acesso e Política de Rede. Uma janela poderá ser exibida para informá-lo dos recursos necessários para executar essa função.
  4. Siga as etapas do assistente até a página de Confirmação. Quando estiver pronto, selecione Instalar.

Pode levar alguns minutos para instalar a função de servidor NPS. Quando terminar, continue nas seções a seguir para configurar esse servidor para tratar as solicitações RADIUS que chegam da solução de VPN.

Configurar a solução VPN para se comunicar com o servidor NPS

Dependendo da solução VPN que você usa, as etapas para configurar a política de autenticação RADIUS variam. Configure a política de VPN para apontar para o servidor NPS de RADIUS.

Sincronizar usuários de domínio com a nuvem

Esta etapa pode já estar concluída no seu locatário, mas é bom verificar se Azure AD Connect sincronizou recentemente os seus bancos de dados.

  1. Entre no Portal do Azure como administrador.
  2. Selecione Azure Active Directory>Azure AD Connect
  3. Verifique se o status de sincronização está Habilitado e se a última sincronização foi há menos de uma hora.

Se você precisar disparar uma nova rodada de sincronização, consulte Sincronização do Azure AD Connect: Agendador.

Determinar quais métodos de autenticação os usuários podem usar

Há dois fatores que afetam quais métodos de autenticação estão disponíveis com uma implantação de extensão do NPS:

  • O algoritmo de criptografia de senha usado entre o cliente RADIUS (VPN, servidor Netscaler ou outros) e os servidores NPS.

    • O PAP oferece suporte a todos os métodos de autenticação da MFA do Azure na nuvem: chamada telefônica, mensagem de texto unidirecional, notificação de aplicativo móvel, tokens de hardware OATH e código de verificação de aplicativo móvel.

    • CHAPV2 e EAP dão suporte a chamada telefônica e notificação de aplicativo móvel.

      Observação

      Quando você implanta a extensão do NPS, use esses fatores para avaliar quais métodos estão disponíveis para os usuários. Se o cliente RADIUS dá suporte a PAP, mas a experiência do cliente não tem campos de entrada para um código de verificação, chamada telefônica e notificação do aplicativo móvel são as duas opções com suporte.

      Além disso, seja qual for o protocolo de autenticação usado (PAP, CHAP ou EAP), se o método de MFA for baseado em texto (SMS, código de verificação de aplicativo móvel ou token de hardware OATH) e exigir que o usuário insira um código ou texto no campo de entrada da interface do usuário do cliente VPN, a autenticação provavelmente terá sucesso. Mas qualquer atributo RADIUS configurado na política de acesso à rede não será encaminhado para o cliente RADIUS (o Dispositivo de Acesso à Rede, como o gateway de VPN). Como resultado, o cliente VPN pode ter mais acesso do que você deseja que ele tenha, menos acesso ou nenhum acesso.

      Como solução alternativa, você pode executar o script CrpUsernameStuffing para encaminhar atributos RADIUS configurados na política de acesso à rede e permitir a MFA quando o método de autenticação do usuário exigir o uso de uma OTP (senha de uso único), como um SMS, uma senha do Microsoft Authenticator ou um FOB de hardware.

  • Os métodos de entrada que o aplicativo cliente (VPN, servidor Netscaler ou outros) pode manipular. Por exemplo, o cliente VPN tem algum meio de permitir que o usuário digite um código de verificação de um texto ou aplicativo móvel?

Você pode desabilitar métodos de autenticação sem suporte no Azure.

Registrar usuários para a MFA

Antes de implantar e usar a extensão do NPS, os usuários que necessitam executar a Autenticação Multifator do Azure AD precisam ser registrados para MFA. A fim de testar a extensão ao implantá-la, você precisa de pelo menos uma conta de teste que esteja totalmente registrada para a Autenticação Multifator do Azure AD.

Se você precisar criar e configurar uma conta de teste, siga as seguintes etapas:

  1. Entre em https://aka.ms/mfasetup com uma conta de teste.
  2. Siga os prompts para configurar um método de verificação.
  3. No portal do Azure, como usuário administrador, crie uma política de acesso condicional para habilitar a autenticação multifator para a conta de teste.

Importante

Verifique se os usuários se registraram com êxito para a Autenticação Multifator do Azure AD. Se os usuários tiverem sido registrados somente para SSPR (redefinição de senha por autoatendimento), StrongAuthenticationMethods será habilitado para a conta deles. A Autenticação Multifator do Azure AD é imposta quando StrongAuthenticationMethods está configurado, mesmo que o usuário esteja registrado apenas para SSPR.

O registro de segurança combinado pode ser habilitado para configurar o SSPR e a Autenticação Multifator do Azure simultaneamente. Para obter mais informações, confira Habilitar o registro de informações de segurança combinadas no Azure Active Directory.

Você também poderá forçar os usuários a registrar novamente os métodos de autenticação se eles tiverem habilitado anteriormente apenas SSPR.

Os usuários que se conectarem ao servidor NPS com nome de usuário e senha deverão realizar uma autenticação multifator.

Instalar a extensão NPS

Importante

Instale a extensão do NPS em um servidor diferente do ponto de acesso VPN.

Baixar e instalar a extensão do NPS para o Azure AD MFA

Para baixar e instalar a extensão do NPS, conclua as seguintes etapas:

  1. Baixe a extensão NPS do Centro de Download da Microsoft.
  2. Copie o binário para o Servidor de Políticas de Rede que você deseja configurar.
  3. Execute o arquivo setup.exe e siga as instruções de instalação. Se você encontrar erros, confira se as bibliotecas, da seção de pré-requisitos foram instaladas com êxito.

Atualizar a extensão NPS

Ao atualizar uma instalação de extensão do NPS existente, conclua as seguintes etapas para evitar uma reinicialização do servidor subjacente:

  1. Desinstale a versão existente.
  2. Execute o novo instalador.
  3. Reinicie o serviço do Servidor de Políticas de Rede (IAS) .

Executar o script do PowerShell

O instalador cria um script do PowerShell em C:\Program Files\Microsoft\AzureMfa\Config (em que C:\ é a sua unidade de instalação). Esse script do PowerShell executa as ações a seguir a cada vez que é executado:

  • Cria um certificado autoassinado.
  • Associa a chave pública do certificado à entidade de serviço no Azure AD.
  • Importa o certificado para o repositório de certificados do computador local.
  • Permite acesso à chave privada do certificado ao usuário de rede.
  • Reinicia o serviço NPS.

A não ser que você deseje usar seus próprios certificados (em vez dos certificados autoassinados gerados pelo script do PowerShell), execute o Script do PowerShell para concluir a instalação da extensão do NPS. Se for instalar a extensão em vários servidores, cada um deverá ter seu próprio certificado.

Para fornecer recursos de balanceamento de carga ou para redundância, repita essas etapas em servidores NPS adicionais, conforme desejado:

  1. Abra uma janela de prompt do Windows PowerShell como administrador.

  2. Altere os diretórios para aqueles onde o instalador criou o script do PowerShell:

    cd "C:\Program Files\Microsoft\AzureMfa\Config"
    
  3. Execute o script do PowerShell criado pelo instalador.

    Pode ser necessário primeiro habilitar o TLS 1.2 para que o PowerShell possa se conectar e baixar pacotes corretamente:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

    Importante

    Para clientes que usam as nuvens Azure Governamental ou Azure China 21Vianet, primeiro edite os Connect-MsolService cmdlets no script AzureMfaNpsExtnConfigSetup.ps1 para incluir os parâmetros de AzureEnvironment na nuvem necessária. Por exemplo, especifique -AzureEnvironment USGovernment ou -AzureEnvironment AzureChinaCloud.

    Para mais informações, veja referência do parâmetro Connect-MsolService.

    .\AzureMfaNpsExtnConfigSetup.ps1
    
  4. Quando solicitado, entre no Azure AD como administrador.

  5. O PowerShell solicitará a sua ID de locatário. Use o GUID da ID do locatário que você copiou do Portal do Azure na seção de pré-requisitos.

  6. Uma mensagem de êxito é mostrada quando o script é concluído.

Se o certificado do computador anterior tiver expirado e um novo certificado tiver sido gerado, você deverá excluir todos os certificados expirados. Ter certificados expirados pode causar problemas com a inicialização da extensão do NPS.

Observação

Se você usar seus próprios certificados em vez de gerar certificados com o script do PowerShell, certifique-se de que eles estejam alinhados com a convenção de nomenclatura do NPS. O nome da entidade deve ser CN=<TenantID>,OU=Microsoft NPS Extension.

Etapas adicionais do Microsoft Azure Governamental ou do Azure China 21Vianet

Para clientes que usam a nuvem do Azure Governamental ou do Azure China 21Vianet, as etapas de configuração adicionais a seguir são necessárias em cada servidor NPS.

Importante

Defina essas configurações de registro somente se você for um cliente do Azure Governamental ou do Azure China 21Vianet.

  1. Se você for um cliente do Azure Governamental ou do Azure China 21Vianet, abra o Editor de Registro no servidor NPS.

  2. Navegue até HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.

  3. Para clientes do Azure Governamental, defina os seguintes valores de chave:

    Chave do Registro Valor
    AZURE_MFA_HOSTNAME strongauthenticationservice.auth.microsoft.us
    AZURE_MFA_RESOURCE_HOSTNAME adnotifications.windowsazure.us
    STS_URL https://login.microsoftonline.us/
  4. Para clientes do Azure China 21Vianet, defina os seguintes valores de chave:

    Chave do Registro Valor
    AZURE_MFA_HOSTNAME strongauthenticationservice.auth.microsoft.cn
    AZURE_MFA_RESOURCE_HOSTNAME adnotifications.windowsazure.cn
    STS_URL https://login.chinacloudapi.cn/
  5. Repita as duas etapas anteriores para definir os valores de chave do Registro para cada servidor NPS.

  6. Reinicie o serviço NPS para cada servidor NPS.

    Para o mínimo de impacto, coloque cada servidor NPS fora da rotação NLB (um de cada vez) e aguarde a descarga de todas as conexões.

Sobreposição de certificado

A versão 1.0.1.32 da extensão do NPS é compatível com a leitura de vários certificados. Essa funcionalidade ajuda a implementar as atualizações de certificados antes que eles expirem. Se a sua organização estiver executando uma versão anterior da extensão do NPS, você deverá atualizar para a versão 1.0.1.32 ou superior.

Os certificados criados pelo script AzureMfaNpsExtnConfigSetup.ps1 são válidos por dois anos. Monitorar a expiração de certificados. Os certificados para a extensão do NPS são colocados no repositório de certificados do computador local em Pessoal e são emitidos para a ID de locatário fornecida ao script de instalação.

Quando a data de validade de um certificado está se aproximando, outro certificado deve ser criado para substituí-lo. Esse processo é realizado executando o AzureMfaNpsExtnConfigSetup.ps1 novamente e mantendo a mesma ID de locatário quando solicitado. Esse processo deve ser repetido em cada servidor NPS em seu ambiente.

Configurar sua extensão do NPS

Com o ambiente preparado e a extensão do NPS instalada nos servidores necessários, você pode configurar a extensão.

Esta seção inclui considerações sobre o design e sugestões para implantações bem-sucedidas da extensão do NPS.

Limitações de configuração

  • A extensão NPS para a Autenticação Multifator do Azure AD não inclui ferramentas para migrar usuários e configurações do Servidor MFA para a nuvem. Por esse motivo, é aconselhável usar a extensão para novas implantações, em vez da implantação existente. Se você usar a extensão em uma implantação existente, os usuários terão que executar a verificação novamente para preencher os detalhes de MFA na nuvem.
  • A extensão do NPS usa o UPN do ambiente do AD DS local para identificar o usuário com a Autenticação Multifator do Azure AD e realizar a autenticação secundária. A extensão pode ser configurada para usar um identificador diferente, como uma ID de logon alternativa ou um campo personalizado do AD DS que não seja o UPN. Consulte Opções de configuração avançadas da extensão NPS para a Autenticação Multifator para obter mais informações.
  • Nem todos os protocolos de criptografia dão suporte a todos os métodos de verificação.
    • O PAP dá suporte a chamadas telefônicas, mensagens de texto unidirecionais, notificações de aplicativo móvel e códigos de verificação de aplicativo móvel
    • CHAPV2 e EAP dão suporte a chamada telefônica e notificação do aplicativo móvel

Clientes RADIUS de controle que exigem MFA

Depois que você habilita a MFA para um cliente RADIUS usando a extensão do NPS, todas as autenticações desse cliente necessitam executar a MFA. Se você deseja habilitar a MFA para alguns clientes RADIUS, mas outros não, você pode configurar dois servidores NPS e instalar a extensão em apenas um deles.

Configure clientes RADIUS para os quais você deseja que a MFA envie solicitações ao servidor NPS configurado com a extensão e outros clientes RADIUS para o servidor NPS não configurado com a extensão.

Preparar usuários que não são registrados na MFA

Se você tiver usuários que não são registrados na MFA, determine o que acontece quando eles tentam fazer a autenticação. Use a configuração REQUIRE_USER_MATCH no caminho do registro HKLM\Software\Microsoft\AzureMFA para controlar esse comportamento. Essa configuração tem uma opção de configuração única:

Chave Valor Padrão
REQUIRE_USER_MATCH TRUE/FALSE Não definido (equivalente a TRUE)

Essa configuração determina o que fazer quando um usuário não está registrado para MFA. Quando a chave não existir, não estiver definida ou estiver definida como TRUE e o usuário não estiver registrado, a extensão falha no desafio da MFA.

Quando a chave estiver definida como FALSE e o usuário não estiver registrado, a autenticação continuará sem executar a MFA. Se um usuário estiver inscrito na MFA, ele deverá autenticar-se com a MFA, mesmo se REQUIRE_USER_MATCH estiver configurado como FALSE.

Você pode optar por criar essa chave e defini-la como FALSE enquanto os usuários estiverem sendo integrados e ainda não estiverem todos registrados para a Autenticação multifator do Azure AD. Porém, como definir a chave permite que os usuários que não são registrados na MFA se conectem, você deve remover essa chave antes de ir para a produção.

Solução de problemas

Script de verificação de integridade da extensão do NPS

O script a seguir está disponível para executar as etapas básicas de verificação de integridade ao solucionar problemas da extensão do NPS.

MFA_NPS_Troubleshooter.ps1

Como corrigir o erro "A entidade de serviço não foi encontrada" durante a execução do script AzureMfaNpsExtnConfigSetup.ps1?

Se, por algum motivo, a entidade de serviço "Cliente de Autenticação Multifator do Azure" não tiver sido criada no locatário, ela poderá ser criada manualmente executando o cmdlet New-MsolServicePrincipal conforme mostrado abaixo.

import-module MSOnline
Connect-MsolService
New-MsolServicePrincipal -AppPrincipalId 981f26a1-7f43-403b-a875-f8b09b8cd720 -DisplayName "Azure Multi-Factor Auth Client"

Depois de terminar, acesse https://aad.portal.azure.com> "Aplicativos Corporativos" > Pesquise "Cliente de Autenticação Multifator do Azure" > Verifique as propriedades deste aplicativo > Confirme se a entidade de serviço está habilitada ou desabilitada > Clique na entrada do aplicativo > Vá para Propriedades do aplicativo > Se a opção "Habilitado para os usuários entrarem?" estiver definida como Não em Propriedades deste aplicativo, defina-a como Sim.

Execute o script AzureMfaNpsExtnConfigSetup.ps1 novamente e ele não deverá retornar o erro Service principal was not found.

Como verificar se o certificado do cliente está instalado conforme o esperado?

Procure o certificado autoassinado criado pelo instalador no repositório de certificados e verifique se a chave privada tem permissões concedidas ao usuário NETWORK SERVICE. O certificado tem um nome de entidade igual a CN <tenantid>, OU = extensão NPS da Microsoft

Os certificados autoassinados gerados pelo script AzureMfaNpsExtnConfigSetup.ps1 também têm um tempo de vida válido de dois anos. Ao verificar se o certificado está instalado, você também deve verificar se ele não expirou.

Como verificar se o certificado do cliente está associado ao meu locatário no Azure Active Directory?

Abra um prompt de comando no PowerShell e execute os seguintes comandos:

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1

Esses comandos imprimem todos os certificados associados ao seu locatário com a instância da extensão do NPS em sua sessão do PowerShell. Procure seu certificado exportando o certificado do cliente como um arquivo codificado em Base 64 X.509(.cer) sem a chave particular e compare-o com a lista do PowerShell.

O comando a seguir criará um arquivo chamado npscertificate na raiz da sua unidade C: no formato .cer.

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1 | select -ExpandProperty "value" | out-file c:\npscertificate.cer

Depois de executar este comando, vá para a unidade C: , localize o arquivo e clique duas vezes nele. Vá para detalhes e role para baixo até "impressão digital". Compare a impressão digital do certificado instalado no servidor com esta. As impressões digitais do certificado devem corresponder.

Os carimbos de data/hora Válido-de e Válido-até, que estão em formato legível, poderão ser usados para filtrar desvios óbvios se o comando retornar mais de um certificado.

Por que não consigo entrar?

Verifique se sua senha não expirou. A extensão do NPS não oferece suporte à alteração de senhas como parte do fluxo de trabalho de entrada. Entre em contato com a equipe de TI da sua organização para obter mais assistência.

Por que minhas solicitações estão falhando com erro de token de segurança?

Esse erro pode ser causado por vários motivos. Execute as etapas a seguir para solucionar o problema:

  1. Reinicie o servidor NPS.
  2. Verifique se o certificado do cliente está instalado conforme o esperado.
  3. Verifique se o certificado está associado ao seu locatário no Azure AD.
  4. Verifique se https://login.microsoftonline.com/ pode ser acessado no servidor que está executando a extensão.

Por que a autenticação falha, com um erro nos logs de HTTP, informando que o usuário não foi encontrado?

Verifique se o AD Connect está em execução e se o usuário está presente no ambiente de AD DS local e no Azure AD.

Por que vejo erros de conexão HTTP nos logs, com todas as minhas autenticações falhando?

Verifique se https://adnotifications.windowsazure.com, https://strongauthenticationservice.auth.microsoft.com pode ser alcançado no servidor que está executando a extensão NPS.

Por que a autenticação não está funcionando, apesar de um certificado válido estar presente?

Se o certificado do computador anterior tiver expirado e um novo certificado tiver sido gerado, você deverá excluir todos os certificados expirados. Ter certificados expirados pode causar problemas com a inicialização da extensão do NPS.

Para verificar se você tem um certificado válido, verifique o repositório de certificados da conta do computador local usando o MMC e confira se o certificado não ultrapassou a data de expiração. Para gerar um certificado recente e válido, execute novamente as etapas descritas em Executar o script do instalador do PowerShell.

Por que vejo solicitações descartadas nos logs do servidor NPS?

Um servidor VPN pode enviar solicitações repetidas para o servidor NPS se o valor de tempo limite for muito baixo. O servidor NPS detecta essas solicitações duplicadas e as descarta. Esse é o comportamento esperado e não indica um problema com o servidor NPS ou com a extensão do NPS da Autenticação multifator do Azure AD.

Para mais informações sobre o motivo dos pacotes descartados nos logs do servidor NPS, consulte o Comportamento do protocolo RADIUS e a extensão do NPS no início deste artigo.

Como gerenciar protocolos TLS/SSL e conjuntos de codificação

É recomendável que os conjuntos de criptografia mais antigos ou mais fracos sejam desabilitados ou removidos, a menos que eles sejam exigidos por sua organização. Você pode obter informações sobre como concluir esta tarefa no artigo Gerenciar protocolos SSL/TLS e conjuntos de criptografia para o AD FS

Soluções de problemas adicionais

Diretrizes de soluções de problemas adicionais e possíveis soluções podem ser encontrados no artigo Resolver mensagens de erro da extensão do NPS para a Autenticação Multifator do Azure.

Próximas etapas