Autenticação RADIUS com ID do Microsoft Entra
O Remote Authentication Dial-In User Service (RADIUS) é um protocolo de rede que protege uma rede permitindo a autenticação centralizada e a autorização de utilizadores de acesso telefónico. Muitos aplicativos ainda dependem do protocolo RADIUS para autenticar usuários.
O Microsoft Windows Server tem uma função chamada NPS (Servidor de Diretivas de Rede), que pode atuar como um servidor RADIUS e oferecer suporte à autenticação RADIUS.
O Microsoft Entra ID permite a autenticação multifator com sistemas baseados em RADIUS. Se um cliente quiser aplicar a autenticação multifator do Microsoft Entra a qualquer uma das cargas de trabalho RADIUS mencionadas anteriormente, ele poderá instalar a extensão NPS de autenticação multifator do Microsoft Entra em seu servidor Windows NPS.
O servidor Windows NPS autentica as credenciais de um usuário no Ative Directory e, em seguida, envia a solicitação de autenticação multifator para o Azure. Em seguida, o usuário recebe um desafio em seu autenticador móvel. Uma vez bem-sucedido, o aplicativo cliente tem permissão para se conectar ao serviço.
Você precisa adicionar autenticação multifator a aplicativos como
- uma Rede Privada Virtual (VPN)
- Acesso Wi-Fi
- Gateway de Área de Trabalho Remota (RDG)
- Infraestrutura de área de trabalho virtual (VDI)
- Quaisquer outros que dependam do protocolo RADIUS para autenticar usuários no serviço.
Nota
Em vez de confiar no RADIUS e na extensão NPS de autenticação multifator do Microsoft Entra para aplicar a autenticação multifator do Microsoft Entra a cargas de trabalho de VPN, recomendamos que você atualize suas VPNs para SAML (Security Assertion Markup Language) e federar diretamente sua VPN com o Microsoft Entra ID. Isso dá à sua VPN toda a amplitude da Proteção de ID do Microsoft Entra, incluindo Acesso Condicional, autenticação multifator, conformidade de dispositivo e Proteção de ID do Microsoft Entra.
Aplicativo cliente (cliente VPN): Envia solicitação de autenticação para o cliente RADIUS.
Cliente RADIUS: converte solicitações do aplicativo cliente e as envia para o servidor RADIUS que tem a extensão NPS instalada.
Servidor RADIUS: Conecta-se ao Ative Directory para executar a autenticação primária para a solicitação RADIUS. Após o êxito, passa a solicitação para a extensão NPS de autenticação multifator do Microsoft Entra.
Extensão NPS: dispara uma solicitação para a autenticação multifator do Microsoft Entra para uma autenticação secundária. Se bem-sucedida, a extensão NPS conclui a solicitação de autenticação fornecendo ao servidor RADIUS tokens de segurança que incluem a declaração de autenticação multifator, emitida pelo Serviço de Token de Segurança do Azure.
Autenticação multifator do Microsoft Entra: Comunica-se com o ID do Microsoft Entra para recuperar os detalhes do usuário e executa uma autenticação secundária usando um método de verificação configurado pelo usuário.