Opções de configuração avançada da extensão NPS para autenticação multifator
A extensão NPS (servidor de políticas de rede) estende os recursos de autenticação multifator do Microsoft Entra baseados em nuvem para sua infraestrutura local. Este artigo pressupõe que você já tenha a extensão instalada e agora deseje saber como personalizá-la para as suas necessidades.
ID de logon alternativa
Uma vez que a extensão NPS conecta-se aos seus diretórios locais e de nuvem, você pode encontrar um problema em que seus UPNs (nomes de entidade de usuário) locais não correspondem aos nomes na nuvem. Para resolver esse problema, use as IDs de logon alternativas.
Dentro da extensão NPS, é possível designar um atributo do Active Directory a ser usado como UPN para a autenticação multifator do Microsoft Entra. Isso permite que você proteja seus recursos locais com a verificação em duas etapas sem modificar seu UPNs locais.
Para configurar as IDs de logon alternativo, vá para HKLM\SOFTWARE\Microsoft\AzureMfa e edite os valores de registro a seguir:
| Nome | Type | Valor padrão | Descrição |
|---|---|---|---|
| LDAP_ALTERNATE_LOGINID_ATTRIBUTE | string | Vazio | Nomeie o atributo do Active Directory que você deseja usar, em vez do UPN. Esse atributo é usado como o atributo AlternateLoginId. Se esse valor de registro for definido como um atributo válido do Active Directory (por exemplo, email ou displayName), o valor do atributo será usado como o UPN do usuário para a autenticação. Se esse valor do registro estiver vazio ou não estiver configurado, AlternateLoginId estará desabilitado e o UPN do usuário será usado para autenticação. |
| LDAP_FORCE_GLOBAL_CATALOG | booleano | Falso | Use esse sinalizador para forçar o uso do Catálogo Global para pesquisas LDAP ao procurar AlternateLoginId. Configure um controlador de domínio como um Catálogo Global, adicione o atributo AlternateLoginId ao Catálogo Global e, em seguida, habilite esse sinalizador. Se LDAP_LOOKUP_FORESTS estiver configurado (não vazio), esse sinalizador será imposto como true, independentemente do valor da configuração do registro. Nesse caso, a extensão NPS exige que o Catálogo Global seja configurado com o atributo AlternateLoginId para cada floresta. |
| LDAP_LOOKUP_FORESTS | string | Vazio | Forneça uma lista separada por ponto e vírgula de florestas a pesquisar. Por exemplo, contoso.com;foobar.com. Se esse valor do registro estiver configurado, a extensão NPS pesquisará iterativamente em todas as florestas a ordem em que elas foram listadas e retornará o primeiro valor AlternateLoginId bem-sucedido. Se esse valor do registro não estiver configurado, a pesquisa de AlternateLoginId estará limitada ao domínio atual. |
Para solucionar problemas com IDs de logon alternativo, use as etapas recomendadas para Erros de ID de logon alternativa.
Exceções de IP
Se você precisar monitorar a disponibilidade do servidor, como se os balanceadores de carga verificam se os servidores estão em execução antes de enviarem cargas de trabalho, não desejará que essas verificações sejam bloqueadas por solicitações de verificação. Em vez disso, crie uma lista de endereços IP que você saiba que são usados por contas de serviço e desabilite os requisitos de autenticação multifator para essa lista.
Para configurar uma lista de permissões de IP, vá para HKLM\SOFTWARE\Microsoft\AzureMfa e configure o seguinte valor de registro:
| Nome | Type | Valor padrão | Descrição |
|---|---|---|---|
| IP_WHITELIST | string | Vazio | Forneça uma lista separada por ponto e vírgula de endereços IP. Inclua os endereços IP dos computadores dos quais as solicitações de serviço originam-se, como o servidor NAS/VPN. Os intervalos de IP e sub-redes não têm suporte. Por exemplo, 10.0.0.1;10.0.0.2;10.0.0.3. |
Observação
Essa chave do registro não é criada por padrão pelo instalador e aparece um erro no log AuthZOptCh quando o serviço é reiniciado. Esse erro no log pode ser ignorado, mas se essa chave do registro for criada e deixada vazia, caso não seja usada, a mensagem de erro não será retornada.
Quando uma solicitação chega de um endereço IP existente na IP_WHITELIST, a verificação em duas etapas é ignorada. A lista de IPs é comparada ao endereço IP fornecido no atributo ratNASIPAddress da solicitação RADIUS. Se uma solicitação RADIUS chegar sem o atributo ratNASIPAddress, um aviso será registrado: “"IP_WHITE_LIST_WARNING:: A lista de permissões de IPs está sendo ignorada, uma vez que o IP de origem está ausente na solicitação RADIUS no atributo NasIpAddress”.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de