Дополнительные параметры конфигурации расширения NPS для многофакторной проверки подлинности
Расширение сервера политики сети (NPS) расширяет облачные функции многофакторной проверки подлинности Microsoft Entra в локальной инфраструктуре. В этой статье предполагается, что расширение уже установлено и вы хотите узнать, как настроить его для своих потребностей.
Альтернативный идентификатор входа
Так как расширение NPS подключается и к локальному, и к облачному каталогу, может возникнуть проблема, при которой имена участников-пользователей в локальной и облачной средах не совпадают. Чтобы решить эту проблему, используйте альтернативные имена пользователей.
В расширении NPS можно назначить атрибут Active Directory, который будет использоваться в качестве имени участника-пользователя для многофакторной проверки подлинности Microsoft Entra. Это позволяет защитить локальные ресурсы с помощью двухфакторной проверки подлинности без изменения локальных имен участников-пользователей.
Чтобы настроить альтернативные имена пользователей, перейдите к HKLM\SOFTWARE\Microsoft\AzureMfa и измените следующие значения реестра:
| Имя. | Type | Default value | Description |
|---|---|---|---|
| LDAP_ALTERNATE_LOGINID_ATTRIBUTE | строка | Нет значения | Укажите имя атрибута Active Directory, которое нужно использовать в качестве имени участника-пользователя. Этот атрибут используется в качестве атрибута AlternateLoginId. Если это значение реестра указано как допустимый атрибут Active Directory (например, mail или displayName), тогда значение атрибута используется в качестве имени участника-пользователя для проверки подлинности. Если значение реестра пустое или не настроено, тогда AlternateLoginId отключен и имя участника-пользователя используется для проверки подлинности. |
| LDAP_FORCE_GLOBAL_CATALOG | boolean | False | Используйте этот параметр, чтобы принудительно использовать глобальный каталог для поисков LDAP при поиске AlternateLoginId. Настройте контроллер домена в качестве глобального каталога, добавьте для него атрибут AlternateLoginId, а затем включите этот параметр. Если LDAP_LOOKUP_FORESTS настроен (не пустой), этот параметр будет устанавливаться со значением TRUE независимо от значения параметра реестра. В этом случае расширению NPS требуется глобальный каталог с настроенным атрибутом AlternateLoginId для каждого леса. |
| LDAP_LOOKUP_FORESTS | строка | Нет значения | Предоставьте список разделенных точкой с запятой лесов для поиска. Например, contoso.com;foobar.com. Если значение реестра настроено, расширение NPS итеративно ищет все леса в порядке, в котором они были перечислены, и возвращает первое успешное значение AlternateLoginId. Если значение реестра не настроено, поиск AlternateLoginId ограничен текущим доменом. |
Для устранения проблем с альтернативным именем пользователя выполните рекомендуемые действия, описанные в разделе Ошибки с альтернативным именем пользователя.
Исключения IP-адресов
При необходимости отслеживать доступность сервера эти проверки не должны блокироваться запросами проверки. Например, если подсистемы балансировки нагрузки проверяют, какие серверы запущены, перед отправкой рабочей нагрузки. Вместо этого создайте список IP-адресов, которые вы знаете, используются учетными записями служб и отключите требования к многофакторной проверке подлинности для этого списка.
Чтобы настроить список разрешенных IP-адресов, перейдите к HKLM\SOFTWARE\Microsoft\AzureMfa и задайте следующий параметр реестра:
| Имя. | Type | Default value | Description |
|---|---|---|---|
| IP_WHITELIST | строка | Нет значения | Предоставьте список разделенных точкой с запятой IP-адресов. Включите в него IP-адреса компьютеров, где создаются запросы к службе, например NAS- или VPN-сервер. Диапазоны IP-адресов подсети не поддерживаются. Например, 10.0.0.1; 10.0.0.2; 10.0.0.3. |
Примечание.
Установщик не создает этот раздел реестра по умолчанию, и при перезапуске службы в журнале AuthZOptCh появляется сообщение об ошибке. Такую ошибку в журнале можно игнорировать, но если создать этот раздел реестра и оставить его пустым (например, если он не нужен), то сообщение об ошибке больше не появится.
При поступлении запроса с IP-адреса, который имеется в списке разрешений IP_WHITELIST, двухфакторная проверка подлинности пропускается. Список IP-адресов сравнивается с IP-адресом, который предоставляется в атрибуте ratNASIPAddress запроса RADIUS. При поступлении запроса RADIUS без атрибута ratNASIPAddress регистрируется следующее предупреждение: "IP_WHITE_LIST_WARNING::IP Whitelist is being ignored as the source IP is missing in the RADIUS request NasIpAddress attribute" (P_WHITE_LIST_WARNING: список разрешенных IP-адресов игнорируется, так как в атрибуте NasIpAddress запроса RADIUS отсутствует исходный IP-адрес).