Autenticação RADIUS com ID do Microsoft Entra

O Remote Authentication Dial-In User Service (RADIUS) é um protocolo de rede que protege uma rede permitindo a autenticação centralizada e a autorização de utilizadores de acesso telefónico. Muitos aplicativos ainda dependem do protocolo RADIUS para autenticar usuários.

O Microsoft Windows Server tem uma função chamada NPS (Servidor de Diretivas de Rede), que pode atuar como um servidor RADIUS e oferecer suporte à autenticação RADIUS.

O Microsoft Entra ID permite a autenticação multifator com sistemas baseados em RADIUS. Se um cliente quiser aplicar a autenticação multifator do Microsoft Entra a qualquer uma das cargas de trabalho RADIUS mencionadas anteriormente, ele poderá instalar a extensão NPS de autenticação multifator do Microsoft Entra em seu servidor Windows NPS.

O servidor Windows NPS autentica as credenciais de um usuário no Ative Directory e, em seguida, envia a solicitação de autenticação multifator para o Azure. Em seguida, o usuário recebe um desafio em seu autenticador móvel. Uma vez bem-sucedido, o aplicativo cliente tem permissão para se conectar ao serviço.

Use quando:

Você precisa adicionar autenticação multifator a aplicativos como

• uma Rede Privada Virtual (VPN)
• Acesso Wi-Fi
• Gateway de Área de Trabalho Remota (RDG)
• Infraestrutura de área de trabalho virtual (VDI)
• Quaisquer outros que dependam do protocolo RADIUS para autenticar usuários no serviço.

Nota

Em vez de confiar no RADIUS e na extensão NPS de autenticação multifator do Microsoft Entra para aplicar a autenticação multifator do Microsoft Entra a cargas de trabalho de VPN, recomendamos que você atualize suas VPNs para SAML (Security Assertion Markup Language) e federar diretamente sua VPN com o Microsoft Entra ID. Isso dá à sua VPN toda a amplitude da Proteção de ID do Microsoft Entra, incluindo Acesso Condicional, autenticação multifator, conformidade de dispositivo e Proteção de Identidade.

Componentes do sistema

• Aplicativo cliente (cliente VPN): Envia solicitação de autenticação para o cliente RADIUS.

• Cliente RADIUS: converte solicitações do aplicativo cliente e as envia para o servidor RADIUS que tem a extensão NPS instalada.

• Servidor RADIUS: Conecta-se ao Ative Directory para executar a autenticação primária para a solicitação RADIUS. Após o êxito, passa a solicitação para a extensão NPS de autenticação multifator do Microsoft Entra.

• Extensão NPS: dispara uma solicitação para a autenticação multifator do Microsoft Entra para uma autenticação secundária. Se bem-sucedida, a extensão NPS conclui a solicitação de autenticação fornecendo ao servidor RADIUS tokens de segurança que incluem a declaração de autenticação multifator, emitida pelo Serviço de Token de Segurança do Azure.

• Autenticação multifator do Microsoft Entra: Comunica-se com o ID do Microsoft Entra para recuperar os detalhes do usuário e executa uma autenticação secundária usando um método de verificação configurado pelo usuário.

Implementar RADIUS com o Microsoft Entra ID

• Fornecer recursos de autenticação multifator do Microsoft Entra usando o NPS

• Configurar a extensão NPS de autenticação multifator do Microsoft Entra

• VPN com autenticação multifator Microsoft Entra usando a extensão NPS