Opções avançadas de configuração para a extensão NPS para autenticação multifator
A extensão NPS (Servidor de Políticas de Rede) estende os recursos de autenticação multifator do Microsoft Entra baseados em nuvem para sua infraestrutura local. Este artigo pressupõe que você já tenha a extensão instalada e agora queira saber como personalizar a extensão para suas necessidades.
ID de login alternativo
Como a extensão NPS se conecta aos diretórios local e na nuvem, você pode encontrar um problema em que os UPNs (nomes principais de usuário) locais não correspondem aos nomes na nuvem. Para resolver esse problema, use IDs de login alternativos.
Dentro da extensão NPS, você pode designar um atributo do Ative Directory a ser usado como UPN para autenticação multifator do Microsoft Entra. Isso permite que você proteja seus recursos locais com a verificação em duas etapas sem modificar seus UPNs locais.
Para configurar IDs de login alternativos, vá para HKLM\SOFTWARE\Microsoft\AzureMfa e edite os seguintes valores do Registro:
| Name | Type | Default value | Description |
|---|---|---|---|
| LDAP_ALTERNATE_LOGINID_ATTRIBUTE | string | Vazio | Designe o nome do atributo do Ative Directory que você deseja usar como UPN. Este atributo é usado como o atributo AlternateLoginId. Se esse valor do Registro for definido como um atributo válido do Ative Directory (por exemplo, mail ou displayName), o valor do atributo será usado como UPN do usuário para autenticação. Se esse valor do Registro estiver vazio ou não estiver configurado, AlternateLoginId será desabilitado e o UPN do usuário será usado para autenticação. |
| LDAP_FORCE_GLOBAL_CATALOG | boolean | False | Use esse sinalizador para forçar o uso do Catálogo Global para pesquisas LDAP ao procurar AlternateLoginId. Configure um controlador de domínio como um Catálogo Global, adicione o atributo AlternateLoginId ao Catálogo Global e habilite esse sinalizador. Se LDAP_LOOKUP_FORESTS estiver configurado (não vazio), esse sinalizador será imposto como true, independentemente do valor da configuração do Registro. Nesse caso, a extensão NPS requer que o Catálogo Global seja configurado com o atributo AlternateLoginId para cada floresta. |
| LDAP_LOOKUP_FORESTS | string | Vazio | Forneça uma lista separada por ponto-e-vírgula de florestas para pesquisar. Por exemplo, contoso.com; foobar.com. Se esse valor do Registro estiver configurado, a extensão NPS pesquisará iterativamente todas as florestas na ordem em que foram listadas e retornará o primeiro valor AlternateLoginId bem-sucedido. Se esse valor do Registro não estiver configurado, a pesquisa AlternateLoginId será confinada ao domínio atual. |
Para solucionar problemas com IDs de login alternativos, use as etapas recomendadas para erros de ID de login alternativo.
Exceções de PI
Se você precisar monitorar a disponibilidade do servidor, como se os balanceadores de carga verificarem quais servidores estão sendo executados antes de enviar cargas de trabalho, você não deseja que essas verificações sejam bloqueadas por solicitações de verificação. Em vez disso, crie uma lista de endereços IP que você sabe que são usados por contas de serviço e desabilite os requisitos de autenticação multifator para essa lista.
Para configurar uma lista de IP permitidos, vá para HKLM\SOFTWARE\Microsoft\AzureMfa e configure o seguinte valor do Registro:
| Name | Type | Default value | Description |
|---|---|---|---|
| IP_WHITELIST | string | Vazio | Forneça uma lista separada por ponto-e-vírgula de endereços IP. Inclua os endereços IP de máquinas de onde as solicitações de serviço se originam, como o servidor NAS/VPN. Não há suporte para intervalos de IP e sub-redes. Por exemplo, 10.0.0.1; 10.0.0.2; 10.0.0.3. |
Nota
Essa chave do Registro não é criada por padrão pelo instalador e um erro aparece no log AuthZOptCh quando o serviço é reiniciado. Esse erro no log pode ser ignorado, mas se essa chave do Registro for criada e deixada vazia se não for necessária, a mensagem de erro não retornará.
Quando uma solicitação chega de um endereço IP que existe no , a IP_WHITELISTverificação em duas etapas é ignorada. A lista de IP é comparada com o endereço IP fornecido no atributo ratNASIPAddress da solicitação RADIUS. Se uma solicitação RADIUS entrar sem o atributo ratNASIPAddress, um aviso será registrado: "IP_WHITE_LIST_WARNING::IP Whitelist está sendo ignorado, pois o IP de origem está ausente no atributo NasIpAddress da solicitação RADIUS."