Обновление сервера Многофакторной идентификации Azure до последней версии

В этой статье описывается процесс обновления сервера Многофакторной идентификации Azure версии 6.0 или более поздней версии. Если требуется обновить старую версию агента PhoneFactor, то см. статью Переход с агента PhoneFactor на сервер Многофакторной идентификации Azure.

При обновлении с версии 6.x или более ранней до версии 7.x или более поздней все компоненты .NET 2.0 заменяются компонентами .NET 4.5. Для всех компонентов также требуется распространяемый компонент Microsoft Visual C++ 2015, обновление 1 или более поздней версии. Установщик сервера MFA установит версии x86 и x64 этих компонентов, если они еще не установлены. Если пользовательский портал и веб-служба мобильного приложения работают на отдельных серверах, то необходимо установить эти пакеты, прежде чем обновлять данные компоненты. Последнее обновление распространяемого компонента Microsoft Visual C++ 2015 можно найти в Центре загрузки Майкрософт.

Важно!

В сентябре 2022 года корпорация Майкрософт объявила об отмене использования сервера Многофакторной идентификации Azure. Начиная с 30 сентября 2024 г. развертывания сервера Многофакторной идентификации Azure больше не будут обслуживать многофакторные запросы проверки подлинности, что может привести к сбою проверки подлинности для вашей организации. Чтобы обеспечить непрерывную проверку подлинности и оставаться в поддерживаемом состоянии, организации должны перенести данные проверки подлинности пользователей в облачную службу Azure MFA с помощью последней программы миграции, включенной в последнее обновление сервера MFA Azure. Дополнительные сведения см. в статье "Миграция сервера MFA Azure".

Сведения о начале работы с облачной многофакторной проверкой подлинности см. в руководстве по обеспечению безопасности событий входа пользователей с помощью многофакторной проверки подлинности Microsoft Entra.

Основные шаги по обновлению:

• обновление серверов MFA Azure (сначала подчиненных, а затем главного);
• обновление экземпляров пользовательского портала;
• обновление экземпляров адаптера для службы федерации Active Directory (AD FS).

Обновление сервера MFA Azure

1. Следуйте указаниям, изложенным в разделе Скачивание сервера Многофакторной идентификации, чтобы скачать последнюю версию сервера MFA Azure.

2. Создайте резервную копию файла данных сервера MFA, который находится в расположении C:\Program Files\Multi-Factor Authentication Server\Data\PhoneFactor.pfdata (если расположение по умолчанию не было изменено при установке) на главном сервере MFA.

3. Если для обеспечения высокой доступности работает несколько серверов, то измените клиентские системы, которые выполняют аутентификацию на сервере Mногофакторной идентификации, чтобы они прекратили отправлять трафик на обновляемые серверы Mногофакторной идентификации. При использовании подсистемы балансировки нагрузки удалите из нее подчиненный сервер MFA, выполните обновление, а затем снова добавьте сервер в ферму.

4. Запустите новый установщик на каждом сервере MFA. Сначала обновите подчиненные серверы, так как они смогут считывать устаревший файл данных, реплицируемый главным сервером.

   Примечание.

   При обновлении сервер должен быть исключен из системы балансировки нагрузки или разделения трафика с другими серверами MFA.

   Текущую версию сервера MFA не нужно удалять перед запуском установщика. Установщик выполняет обновление на месте. Путь установки берется из реестра предыдущей установки, поэтому сервер устанавливается в то же расположение (например, C:\Program Files\Multi-Factor Authentication Server).

5. Если отобразится запрос на установку пакета обновления распространяемого компонента Microsoft Visual C++ 2015, то примите этот запрос. Устанавливаются версии x86 и x64 пакета.

6. Если используется пакет SDK веб-службы, вам будет предложено установить новый пакет SDK веб-службы. При установке нового пакета SDK веб-службы убедитесь, что имя виртуального каталога совпадает с именем ранее установленного виртуального каталога (например, MultiFactorAuthWebServiceSdk).

7. Повторите эти шаги на всех подчиненных серверах. Сделайте один из подчиненных серверов главным, а затем обновите сервер, который был главным.

Обновление пользовательского портала

Завершите обновление серверов MFA, прежде чем перейти к этому разделу.

1. Создайте резервную копию файла web.config, который находится в виртуальном каталоге, где установлен пользовательский портал (например, C:\inetpub\wwwroot\MultiFactorAuth). Если тема по умолчанию была изменена, то создайте также резервную копию папки App_Themes\Default. Рекомендуется создать копию папки Default и создать новую тему, а не изменять тему по умолчанию.

2. Если пользовательский портал работает на одном сервере с другими компонентами сервера MFA, то при установке сервера MFA отобразится запрос на обновление пользовательского портала. Примите запрос и установите это обновление пользовательского портала. При этом убедитесь, что имя виртуального каталога совпадает с именем ранее установленного виртуального каталога (например, MultiFactorAuth).

3. Если пользовательский портал установлен на отдельном сервере, то скопируйте файл MultiFactorAuthenticationUserPortalSetup64.msi из расположения установки одного из серверов Mногофакторной идентификации и поместите его на веб-сервер пользовательского портала. Запустите установщик.

   Если возникает ошибка и отображается сообщение о том, что требуется распространяемый компонент Microsoft Visual C++ 2015, обновление 1 или более поздней версии, то скачайте и установите последнюю версию пакета обновления из Центра загрузки Майкрософт. Установите версии x86 и x64.

4. После установки обновленного программного обеспечения пользовательского портала сравните резервную копию файла web.config, которую вы создали на шаге 1, с новым файлом web.config. Если в новом файле web.config отсутствуют новые атрибуты, то скопируйте резервную копию этого файла в виртуальный каталог, чтобы перезаписать новую версию. Другой вариант — скопировать значения раздела appSettings и URL-адрес пакета SDK веб-службы из резервной копии файла и вставить их в новый файл web.config.

Если пользовательский портал размещен на нескольких серверах, то повторите установку на каждом из них.

Установление веб-службы мобильного приложения

Примечание.

После обновления старой версии сервера Azure MFA (до 8.0) до новой версии (выше 8.0) веб-службу мобильного приложения можно удалить.

Обновление AD FS-адаптеров

Завершите обновление серверов MFA и пользовательского портала, прежде чем перейти к этому разделу.

Если MFA и службы AD FS работают на разных серверах

Эти инструкции применяются только в том случае, если сервер Многофакторной идентификации используется отдельно от серверов AD FS. Если обе службы работают на одних и тех же серверах, то пропустите этот раздел и перейдите к действиям по установке.

1. Сохраните копию файла MultiFactorAuthenticationAdfsAdapter.config, зарегистрированного в AD FS, или экспортируйте конфигурацию с помощью следующей команды PowerShell: Export-AdfsAuthenticationProviderConfigurationData -Name [adapter name] -FilePath [path to config file]. Имя адаптера — WindowsAzureMultiFactorAuthentication или AzureMfaServerAuthentication (в зависимости от ранее установленной версии).

2. Скопируйте следующие файлы из расположения установки сервера MFA и вставьте их в серверы AD FS:

   • MultiFactorAuthenticationAdfsAdapterSetup64.msi
   • Register-MultiFactorAuthenticationAdfsAdapter.ps1
   • Unregister-MultiFactorAuthenticationAdfsAdapter.ps1
   • MultiFactorAuthenticationAdfsAdapter.config

3. Измените скрипт Register-MultiFactorAuthenticationAdfsAdapter.ps1, добавив -ConfigurationFilePath [path] в конец команды Register-AdfsAuthenticationProvider. В качестве значения [путь] укажите полный путь к файлу MultiFactorAuthenticationAdfsAdapter.config или файлу конфигурации, экспортированному на предыдущем шаге.

   Проверьте атрибуты в новом файле MultiFactorAuthenticationAdfsAdapter.config, чтобы выяснить, соответствуют ли они старому файлу конфигурации. Если в новой версии какие-то атрибуты добавлены или отсутствуют, то скопируйте значения атрибутов из старой версии файла конфигурации в новый файл или измените старый файл, чтобы значения совпадали.

Установка новых AD FS-адаптеров

Важно!

Пользователям не нужно будет выполнять двухфакторную проверку подлинности, описанную на шагах 3–8 этого раздела. Если вы настроили службы AD FS в нескольких кластерах, то можете удалять, обновлять или восстанавливать каждый кластер в ферме независимо от других кластеров, чтобы избежать простоя.

1. Удалите из фермы несколько серверов AD FS. Обновите эти серверы, пока остальные продолжают работать.

2. Установите новый AD FS-адаптер на каждом сервере, удаленном из фермы AD FS. Если сервер MFA установлен на каждом сервере AD FS, то обновление можно выполнить с помощью интерфейса администратора сервера MFA. Если нет, то выполните обновление, запустив файл MultiFactorAuthenticationAdfsAdapterSetup64.msi.

   Если возникает ошибка и отображается сообщение о том, что требуется распространяемый компонент Microsoft Visual C++ 2015, обновление 1 или более поздней версии, то скачайте и установите последнюю версию пакета обновления из Центра загрузки Майкрософт. Установите версии x86 и x64.

3. Перейдите к политикам проверки подлинности AD FS>изменение глобальной многофакторной> политики проверки подлинности. Снимите флажок WindowsAzureMultiFactorAuthentication или AzureMFAServerAuthentication (в зависимости от установленной версии).

   По завершении этого шага двухфакторная проверка подлинности через сервер Mногофакторной идентификации станет доступна в этом кластере AD FS, пока вы не выполните шаг 8.

4. Отмените регистрацию старой версии AD FS-адаптера, выполнив сценарий PowerShell Unregister-MultiFactorAuthenticationAdfsAdapter.ps1. Убедитесь, что параметр -Name (WindowsAzureMultiFactorAuthentication или AzureMFAServerAuthentication) совпадает с именем, которое отображалось на шаге 3. Это относится ко всем серверам в одном кластере AD FS, так как существует центральная конфигурация.

5. Зарегистрируйте новый AD FS-адаптер, выполнив сценарий PowerShell Register-MultiFactorAuthenticationAdfsAdapter.ps1. Это относится ко всем серверам в одном кластере AD FS, так как существует центральная конфигурация.

6. Перезапустите службу AD FS на каждом сервере, удаленном из фермы AD FS.

7. Добавьте обновленные серверы обратно в ферму AD FS и удалите из нее другие серверы.

8. Перейдите к политикам проверки подлинности AD FS>изменение глобальной многофакторной> политики проверки подлинности. Установите флажок AzureMfaServerAuthentication.

9. Теперь повторите шаг 2, чтобы обновить серверы, удаленные из фермы AD FS, и перезапустите службу AD FS на этих серверах.

10. Добавьте эти серверы обратно в ферму AD FS.

Следующие шаги

• Получение примеров расширенных сценариев с многофакторной проверкой подлинности Microsoft Entra и сторонними виртуальными сетями

• Интеграция каталогов между сервером Azure Multi-Factor Authentication и Active Directory.

• Настройте для своих приложений проверку подлинности Windows, как описано в статье Проверка подлинности Windows и сервер Azure Multi-Factor Authentication.