Проверка подлинности Windows и сервер Многофакторной идентификации Azure

Раздел проверки подлинности Windows сервера Многофакторной идентификации Azure позволяет включить и настроить проверку подлинности Windows для приложений. Перед тем как настроить проверку подлинности Windows, обратите внимание на следующий список.

• После установки перезагрузите многофакторную проверку подлинности Azure, чтобы службы терминалов вступили в силу.
• Если параметр "Требовать соответствие пользователя многофакторной проверки подлинности Azure" проверка, и вы не находитесь в списке пользователей, вы не сможете войти на компьютер после перезагрузки.
• Надежные IP-адреса зависят от того, может ли приложение предоставлять IP-адрес клиента с проверкой подлинности. В настоящее время поддерживаются только службы терминалов.

Важно!

По состоянию на 1 июля 2019 года корпорация Майкрософт больше не предлагает сервер MFA для новых развертываний. Новые клиенты, которые хотят требовать многофакторную проверку подлинности во время событий входа, должны использовать облачную проверку подлинности Microsoft Entra Multifactor.

Сведения о начале работы с облачной многофакторной проверкой подлинности см. в руководстве по обеспечению безопасности событий входа пользователей с помощью многофакторной проверки подлинности Microsoft Entra.

Существующие клиенты, которые активировали "Сервер MFA" до 1 июля 2019 г., могут скачивать последнюю версию и последующие обновления, а также генерировать учетные данные для активации как обычно.

Примечание.

Для обеспечения безопасности служб терминалов в Windows Server 2012 R2 эта функция не поддерживается.

Для защиты приложения с помощью проверки подлинности Windows используйте следующую процедуру.

1. На сервере Многофакторной идентификации Azure щелкните значок проверки подлинности Windows.
2. Установите флажок Включить проверку подлинности Windows. По умолчанию этот флажок не установлен.
3. На вкладке «Приложения» администратор может настроить одно или несколько приложений для проверки подлинности Windows.
4. Выберите сервер или приложение — укажите, включен ли сервер или приложение. Щелкните OK.
5. Щелкните Добавить.
6. Вкладка доверенных IP-адресов позволяет пропускать многофакторную проверку подлинности Azure для сеансов Windows, исходящих из определенных IP-адресов. Например, если сотрудники используют приложение из офиса и дома, вы можете решить, что вы не хотите, чтобы их телефоны звонили для многофакторной проверки подлинности Azure во время работы в офисе. Для этого для офисной подсети установите значение «Надежные IP-адреса».
7. Щелкните Добавить.
8. Выберите один IP-адрес, если необходимо пропустить один IP-адрес.
9. Выберите диапазон IP-адресов, если необходимо пропустить целый диапазон IP-адресов. Пример: 10.63.193.1-10.63.193.100.
10. Выберите подсеть, если необходимо указать диапазон IP-адресов с помощью подсети. Введите начальный IP-адрес подсети и выберите соответствующую маску сети в раскрывающемся списке.
11. Щелкните OK.

Следующие шаги

• Расширенные сценарии с использованием Многофакторной идентификации Azure и VPN-решений сторонних поставщиков

• Включение расширения NPS для Многофакторной идентификации Azure (общедоступная предварительная версия) в существующую инфраструктуру аутентификации