Ler em inglês

Compartilhar via


Autenticação RADIUS com o Microsoft Entra ID

O serviço RADIUS (Remote Authentication Dial-In User Service) é um protocolo de rede que protege uma rede habilitando a autenticação centralizada e a autorização de usuários de discagem. Muitos aplicativos ainda dependem do protocolo RADIUS para autenticar usuários.

O Microsoft Windows Server tem uma função chamada NPS (Network Policy Server), que pode atuar como um servidor RADIUS e oferecer suporte à autenticação RADIUS.

O Microsoft Entra ID permite a autenticação multifator em sistemas baseados em RADIUS. Se um cliente quiser aplicar a autenticação multifator do Microsoft Entra a qualquer uma das cargas de trabalho RADIUS mencionadas anteriormente, ele poderá instalar a extensão NPS de autenticação multifator do Microsoft Entra no servidor NPS do Windows.

O servidor Windows NPS autentica as credenciais de um usuário no Active Directory e, em seguida, envia a solicitação de autenticação multifator ao Azure. O usuário então recebe um desafio em seu autenticador móvel. Uma vez bem-sucedido, o aplicativo cliente tem permissão para se conectar ao serviço.

Use quando:

Você precisa adicionar a autenticação multifator a aplicativos como

  • uma VPN (Virtual Private Network)
  • Acesso WiFi
  • Gateway de Área de Trabalho Remota (RDG)
  • Virtual Desktop Infrastructure (VDI)
  • Qualquer outro que dependa do protocolo RADIUS para autenticar usuários no serviço.

Observação

Em vez de depender do RADIUS e da extensão NPS de autenticação multifator do Microsoft Entra para aplicar a autenticação multifator do Microsoft Entra a cargas de trabalho de VPN, recomendamos que você atualize suas VPNs para Security Assertion Markup Language (SAML) e federe sua VPN diretamente com o Microsoft Entra ID. Isso confere à VPN toda a amplitude do Microsoft Entra ID Protection, incluindo Acesso Condicional, autenticação multifator, conformidade de dispositivos e Microsoft Entra ID Protection.

diagrama de arquitetura

Componentes do sistema

  • Aplicativo cliente (cliente VPN) : envia a solicitação de autenticação para o cliente RADIUS.

  • Cliente RADIUS: converte solicitações do aplicativo cliente e as envia ao servidor RADIUS que tem a extensão NPS instalada.

  • Servidor RADIUS: conecta-se com o Active Directory para executar a autenticação primária para a solicitação RADIUS. Após o sucesso, passa a solicitação para a extensão NPS de autenticação multifator do Microsoft Entra.

  • Extensão do NPS: dispara uma solicitação de autenticação secundária para a autenticação multifator do Microsoft Entra. Se for bem-sucedida, a extensão NPS conclui a solicitação de autenticação fornecendo ao servidor RADIUS tokens de segurança que incluem uma reivindicação de autenticação multifator, emitida pelo Serviço de Token de Segurança do Azure.

  • Autenticação multifator Microsoft Entra: Comunica-se com o Microsoft Entra ID para recuperar os detalhes do usuário e executa uma autenticação secundária usando um método de verificação configurado pelo usuário.

Implementar RADIUS com o Microsoft Entra ID