Integrera din befintliga infrastruktur för nätverksprincipservern (NPS) med multifaktorautentisering i Azure AD

  • Artikel
  • 17 minuter för att läsa

NPS-tillägget (Network Policy Server) för Azure AD Multi-Factor Authentication lägger till molnbaserade MFA-funktioner i din autentiseringsinfrastruktur med dina befintliga servrar. Med NPS-tillägget kan du lägga till telefonsamtal, sms eller telefonappverifiering i ditt befintliga autentiseringsflöde utan att behöva installera, konfigurera och underhålla nya servrar.

NPS-tillägget fungerar som ett kort mellan RADIUS och molnbaserad Azure AD Multi-Factor Authentication för att tillhandahålla en andra autentiseringsfaktor för federerade eller synkroniserade användare.

Så här fungerar NPS-tillägget

När du använder NPS-tillägget för Azure AD Multi-Factor Authentication innehåller autentiseringsflödet följande komponenter:

  1. NAS/VPN Server tar emot begäranden från VPN-klienter och konverterar dem till RADIUS-begäranden till NPS-servrar.
  2. NPS Server ansluter till Active Directory Domain Services (AD DS) för att utföra den primära autentiseringen för RADIUS-begäranden och skickar vid lyckat resultat begäran till eventuella installerade tillägg.
  3. NPS-tillägget utlöser en begäran om att Azure AD Multi-Factor Authentication för den sekundära autentiseringen. När tillägget har fått svaret och MFA-utmaningen lyckas slutför det autentiseringsbegäran genom att förse NPS-servern med säkerhetstoken som innehåller ett MFA-anspråk som utfärdats av Azure STS.

    Anteckning

    Användarna måste ha åtkomst till sin standardautentiseringsmetod för att uppfylla MFA-kravet. De kan inte välja en alternativ metod. Deras standardautentiseringsmetod används även om den har inaktiverats i klientautentiseringsmetoderna och MFA-principerna.

  4. Azure AD MFA kommunicerar med Azure Active Directory (Azure AD) för att hämta användarens information och utföra den sekundära autentiseringen med hjälp av en verifieringsmetod som konfigurerats för användaren.

Följande diagram illustrerar det här flödet för autentiseringsbegäran på hög nivå:

Diagram över autentiseringsflödet för användare som autentiserar via en VPN-server till NPS-servern och nps-tillägget Azure AD Multi-Factor Authentication

RADIUS-protokollbeteende och NPS-tillägget

Eftersom RADIUS är ett UDP-protokoll förutsätter avsändaren paketförlust och väntar på ett svar. Efter en viss tid kan anslutningen överskrida tidsgränsen. I så fall är paketet återstå eftersom avsändaren förutsätter att paketet inte nådde målet. I autentiseringsscenariot i den här artikeln skickar VPN-servrar begäran och väntar på ett svar. Om anslutningen överskrider tidsgränsen skickar VPN-servern begäran igen.

Diagram över RADIUS UDP-paketflöde och begäranden efter timeout vid svar från NPS-servern

NPS-servern kanske inte svarar på VPN-serverns ursprungliga begäran innan anslutningen överskrider tidsgränsen eftersom MFA-begäran fortfarande kan bearbetas. Användaren kanske inte har svarat på MFA-prompten, så Azure AD NPS-tillägget för multifaktorautentisering väntar på att händelsen ska slutföras. I det här fallet identifierar NPS-servern ytterligare VPN-serverbegäranden som en duplicerad begäran. NPS-servern tar bort dessa duplicerade VPN-serverbegäranden.

Diagram över NPS-servern som tar bort dubblettbegäranden från RADIUS-servern

Om du tittar på NPS-serverloggarna kan du se att dessa ytterligare begäranden ignoreras. Det här beteendet är avsiktligt för att skydda slutanvändaren från att få flera begäranden för ett enda autentiseringsförsök. Ignorerade begäranden i NPS-serverhändelseloggen indikerar inte att det är problem med NPS-servern eller Azure AD NPS-tillägget för multifaktorautentisering.

För att minimera borttagna begäranden rekommenderar vi att VPN-servrar konfigureras med en tidsgräns på minst 60 sekunder. Om det behövs, eller för att minska borttagna begäranden i händelseloggarna, kan du öka vpn-serverns timeoutvärde till 90 eller 120 sekunder.

På grund av det här UDP-protokollbeteendet kan NPS-servern ta emot en duplicerad begäran och skicka en annan MFA-prompt, även efter att användaren redan har svarat på den första begäran. För att undvika det här tidsbestämningsvillkoret fortsätter Azure AD NPS-tillägget för multifaktorautentisering att filtrera och ignorera duplicerade begäranden i upp till 10 sekunder efter att ett lyckat svar har skickats till VPN-servern.

Diagram över NPS-servern som fortsätter att ignorera duplicerade begäranden från VPN-servern i tio sekunder efter att ett lyckat svar har returnerats

Återigen kan du se borttagna begäranden i NPS-serverns händelseloggar, även när Azure AD Multi-Factor Authentication-prompten lyckades. Detta är ett förväntat beteende och indikerar inte något problem med NPS-servern eller Azure AD NPS-tillägget för multifaktorautentisering.

Planera distributionen

NPS-tillägget hanterar automatiskt redundans, så du behöver ingen särskild konfiguration.

Du kan skapa så många Azure AD MULTI-Factor Authentication-aktiverade NPS-servrar som du behöver. Om du installerar flera servrar bör du använda ett skillnadsklientcertifikat för var och en av dem. Att skapa ett certifikat för varje server innebär att du kan uppdatera varje certifikat individuellt och inte oroa dig för driftstopp på alla servrar.

VPN-servrar dirigerar autentiseringsbegäranden, så de måste vara medvetna om de nya Azure AD MULTI-Factor Authentication-aktiverade NPS-servrar.

Förutsättningar

NPS-tillägget är avsett att fungera med din befintliga infrastruktur. Kontrollera att du har följande förutsättningar innan du börjar.

Licenser

NPS-tillägget för Azure AD Multi-Factor Authentication är tillgängligt för kunder med licenser för Azure AD Multi-Factor Authentication (ingår i Azure AD Premium P1 och Premium P2 eller Enterprise Mobility + Security). Förbrukningsbaserade licenser för Azure AD Multi-Factor Authentication, till exempel per användare eller per autentiseringslicenser, är inte kompatibla med NPS-tillägget.

Programvara

Windows Server 2012 eller senare.

Bibliotek

Du måste installera följande bibliotek manuellt:

Följande bibliotek installeras automatiskt med tillägget.

Microsoft Azure Active Directory-modulen för Windows PowerShell installeras också via ett konfigurationsskript som du kör som en del av konfigurationsprocessen, om den inte redan finns. Du behöver inte installera modulen i förväg om den inte redan är installerad.

Azure Active Directory

Alla som använder NPS-tillägget måste synkroniseras för att Azure AD med Azure AD Connect och måste vara registrerade för MFA.

När du installerar tillägget behöver du klientorganisations-ID och administratörsautentiseringsuppgifter för din Azure AD klientorganisation. Utför följande steg för att hämta klientorganisations-ID:t:

  1. Logga in på Azure Portal som global administratör för Azure-klientorganisationen.

  2. Sök efter och välj Azure Active Directory.

  3. På sidan Översikt visas information om klientorganisationen . Bredvid klientorganisations-ID:t väljer du ikonen Kopiera enligt följande skärmbild:

    Hämta klientorganisations-ID:t från Azure Portal

Nätverkskrav

NPS-servern måste kunna kommunicera med följande URL:er över TCP-port 443:

  • https:\//login.microsoftonline.com
  • https:\//credentials.azure.com

Dessutom krävs anslutning till följande URL:er för att slutföra installationen av adaptern med hjälp av det angivna PowerShell-skriptet:

  • https:\//login.microsoftonline.com
  • https:\//provisioningapi.microsoftonline.com
  • https:\//aadcdn.msauth.net
  • https:\//www.powershellgallery.com
  • https:\//go.microsoft.com
  • https:\//aadcdn.msftauthimages.net

Förbered din miljö

Innan du installerar NPS-tillägget förbereder du miljön för att hantera autentiseringstrafiken.

Aktivera NPS-rollen på en domänansluten server

NPS-servern ansluter till Azure AD och autentiserar MFA-begäranden. Välj en server för den här rollen. Vi rekommenderar att du väljer en server som inte hanterar begäranden från andra tjänster, eftersom NPS-tillägget genererar fel för alla begäranden som inte är RADIUS. NPS-servern måste konfigureras som den primära och sekundära autentiseringsservern för din miljö. Det går inte att skicka RADIUS-proxybegäranden till en annan server.

  1. Öppna Serverhanteraren på servern. Välj Guiden Lägg till roller och funktionersnabbstartsmenyn .
  2. För installationstypen väljer du Rollbaserad eller funktionsbaserad installation.
  3. Välj serverrollen Nätverksprincip och Åtkomsttjänster . Ett fönster kan visas för att informera dig om ytterligare funktioner som krävs för att köra den här rollen.
  4. Fortsätt genom guiden till sidan Bekräftelse . När du är klar väljer du Installera.

Det kan ta några minuter att installera NPS-serverrollen. När du är klar fortsätter du med följande avsnitt för att konfigurera den här servern för att hantera inkommande RADIUS-begäranden från VPN-lösningen.

Konfigurera VPN-lösningen så att den kommunicerar med NPS-servern

Beroende på vilken VPN-lösning du använder varierar stegen för att konfigurera RADIUS-autentiseringsprincipen. Konfigurera VPN-principen så att den pekar på RADIUS NPS-servern.

Synkronisera domänanvändare till molnet

Det här steget kanske redan är klart i klientorganisationen, men det är bra att dubbelkolla att Azure AD Connect har synkroniserat dina databaser nyligen.

  1. Logga in på Azure Portal som administratör.
  2. Välj Azure Active Directory>Azure AD Anslut
  3. Kontrollera att synkroniseringsstatusen är Aktiverad och att din senaste synkronisering var för mindre än en timme sedan.

Om du behöver starta en ny synkroniseringsrunda kan du läsa Azure AD Connect-synkronisering: Scheduler.

Avgöra vilka autentiseringsmetoder användarna kan använda

Det finns två faktorer som påverkar vilka autentiseringsmetoder som är tillgängliga med en NPS-tilläggsdistribution:

  • Algoritmen för lösenordskryptering som används mellan RADIUS-klienten (VPN, Netscaler-servern eller andra) och NPS-servrarna.

    • PAP stöder alla autentiseringsmetoder för Azure AD Multi-Factor Authentication i molnet: telefonsamtal, enkelriktad textmeddelande, mobilappavisering, OATH-maskinvarutoken och verifieringskod för mobilappar.
    • CHAPV2 och EAP stöder telefonsamtal och mobilappsavisering.

  • De indatametoder som klientprogrammet (VPN, Netscaler-servern eller annat) kan hantera. Har VPN-klienten till exempel något sätt att tillåta användaren att skriva in en verifieringskod från en text eller mobilapp?

Du kan inaktivera autentiseringsmetoder som inte stöds i Azure.

Anteckning

Oavsett vilket autentiseringsprotokoll som används (PAP, CHAP eller EAP), om MFA-metoden är textbaserad (SMS, verifieringskod för mobilappar eller OATH-maskinvarutoken) och kräver att användaren anger en kod eller text i indatafältet för VPN-klientens användargränssnitt, kan autentiseringen lyckas. Men alla RADIUS-attribut som konfigureras i nätverksåtkomstprincipen vidarebefordras inte till RADIUS-klienten (nätverksåtkomstenheten, som VPN-gatewayen). Därför kan VPN-klienten ha mer åtkomst än du vill att den ska ha, eller mindre åtkomst eller ingen åtkomst.

Som en lösning kan du köra crpUsernameStuffing-skriptet för att vidarebefordra RADIUS-attribut som har konfigurerats i nätverksåtkomstprincipen och tillåta MFA när användarens autentiseringsmetod kräver användning av ett One-Time lösenord (OTP), till exempel SMS, ett Microsoft Authenticator-lösenord eller en FOB för maskinvara.

Registrera användare för MFA

Innan du distribuerar och använder NPS-tillägget måste användare som krävs för att utföra Azure AD Multi-Factor Authentication registreras för MFA. För att testa tillägget när du distribuerar det behöver du också minst ett testkonto som är helt registrerat för Azure AD Multi-Factor Authentication.

Om du behöver skapa och konfigurera ett testkonto använder du följande steg:

  1. Logga in https://aka.ms/mfasetup på med ett testkonto.
  2. Följ anvisningarna för att konfigurera en verifieringsmetod.
  3. I Azure Portal som administratörsanvändare skapar du en princip för villkorsstyrd åtkomst som kräver multifaktorautentisering för testkontot.

Viktigt

Kontrollera att användarna har registrerat sig för Azure AD Multi-Factor Authentication. Om användarna tidigare bara har registrerat sig för självbetjäning av lösenordsåterställning (SSPR) aktiveras StrongAuthenticationMethods för sitt konto. Azure AD Multi-Factor Authentication framtvingas när StrongAuthenticationMethods har konfigurerats, även om användaren bara har registrerat sig för SSPR.

Kombinerad säkerhetsregistrering kan aktiveras som konfigurerar SSPR och Azure AD Multi-Factor Authentication samtidigt. Mer information finns i Aktivera kombinerad registrering av säkerhetsinformation i Azure Active Directory.

Du kan också tvinga användare att registrera om autentiseringsmetoder om de tidigare bara har aktiverat SSPR.

Användare som ansluter till NPS-servern med användarnamn och lösenord måste slutföra en fråga om multifaktorautentisering.

Installera NPS-tillägget

Viktigt

Installera NPS-tillägget på en annan server än VPN-åtkomstpunkten.

Ladda ned och installera NPS-tillägget för Azure AD MFA

Utför följande steg för att ladda ned och installera NPS-tillägget:

  1. Ladda ned NPS-tillägget från Microsoft Download Center.
  2. Kopiera binärfilen till den nätverksprincipserver som du vill konfigurera.
  3. Kör setup.exe och följ installationsanvisningarna. Om du stöter på fel kontrollerar du att biblioteken från det nödvändiga avsnittet har installerats.

Uppgradera NPS-tillägget

Om du senare uppgraderar en befintlig NPS-tilläggsinstallation utför du följande steg för att undvika en omstart av den underliggande servern:

  1. Avinstallera den befintliga versionen.
  2. Kör det nya installationsprogrammet.
  3. Starta om IAS-tjänsten (Network Policy Server).

Kör PowerShell-skriptet

Installationsprogrammet skapar ett PowerShell-skript på C:\Program Files\Microsoft\AzureMfa\Config (där C:\ är installationsenheten). Det här PowerShell-skriptet utför följande åtgärder varje gång det körs:

  • Skapar ett självsignerat certifikat.
  • Associerar certifikatets offentliga nyckel till tjänstens huvudnamn på Azure AD.
  • Lagrar certifikatet i certifikatarkivet för den lokala datorn.
  • Ger åtkomst till certifikatets privata nyckel till nätverksanvändare.
  • Startar om NPS-tjänsten.

Om du inte vill använda dina egna certifikat (i stället för de självsignerade certifikat som PowerShell-skriptet genererar) kör du PowerShell-skriptet för att slutföra installationen av NPS-tillägget. Om du installerar tillägget på flera servrar bör varje server ha ett eget certifikat.

Om du vill tillhandahålla funktioner för belastningsutjämning eller redundans upprepar du dessa steg på ytterligare NPS-servrar efter behov:

  1. Öppna en Windows PowerShell-prompt som administratör.

  2. Ändra kataloger till där installationsprogrammet skapade PowerShell-skriptet:

    cd "C:\Program Files\Microsoft\AzureMfa\Config"

  3. Kör PowerShell-skriptet som skapades av installationsprogrammet.

    Du kan behöva aktivera TLS 1.2 för att PowerShell ska kunna ansluta och ladda ned paket på rätt sätt:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

    Viktigt

    För kunder som använder Azure Government- eller Azure China 21Vianet-molnen redigerar Connect-MsolService du först cmdletarna i AzureMfaNpsExtnConfigSetup.ps1 skriptet för att inkludera AzureEnvironment-parametrarna för det moln som krävs. Ange till exempel -AzureEnvironment USGovernment eller -AzureEnvironment AzureChinaCloud.

    Mer information finns i Parameterreferens för Connect-MsolService.

    .\AzureMfaNpsExtnConfigSetup.ps1

  4. Logga in på Azure AD som administratör när du uppmanas till det.

  5. PowerShell frågar efter ditt klientorganisations-ID. Använd det klientorganisations-ID-GUID som du kopierade från Azure Portal i avsnittet förutsättningar.

  6. Ett meddelande visas när skriptet är klart.

Om det tidigare datorcertifikatet har upphört att gälla och ett nytt certifikat har genererats bör du ta bort eventuella utgångna certifikat. Om certifikaten har upphört att gälla kan det orsaka problem med att NPS-tillägget startar.

Anteckning

Om du använder dina egna certifikat i stället för att generera certifikat med PowerShell-skriptet kontrollerar du att de överensstämmer med NPS-namngivningskonventionen. Ämnesnamnet måste vara CN=<TenantID,OU>=Microsoft NPS-tillägget.

Ytterligare steg för Microsoft Azure Government eller Azure China 21Vianet

För kunder som använder molnen Azure Government eller Azure China 21Vianet krävs följande ytterligare konfigurationssteg på varje NPS-server.

Viktigt

Konfigurera endast de här registerinställningarna om du är en Azure Government eller Azure China 21Vianet-kund.

  1. Om du är en Azure Government eller Azure China 21Vianet-kund öppnar du Registereditorn på NPS-servern.

  2. Navigera till HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.

  3. För Azure Government kunder anger du följande nyckelvärden::

    Registernyckel Värde
    AZURE_MFA_HOSTNAME strongauthenticationservice.auth.microsoft.us
    AZURE_MFA_RESOURCE_HOSTNAME adnotifications.windowsazure.us
    STS_URL https://login.microsoftonline.us/

  4. För Azure China 21Vianet-kunder anger du följande nyckelvärden:

    Registernyckel Värde
    AZURE_MFA_HOSTNAME strongauthenticationservice.auth.microsoft.cn
    AZURE_MFA_RESOURCE_HOSTNAME adnotifications.windowsazure.cn
    STS_URL https://login.chinacloudapi.cn/

  5. Upprepa de föregående två stegen för att ange registernyckelvärdena för varje NPS-server.

  6. Starta om NPS-tjänsten för varje NPS-server.

    För minimal påverkan tar du bort varje NPS-server från NLB-rotationen en i taget och väntar på att alla anslutningar töms.

Redundans för certifikat

Med version 1.0.1.32 av NPS-tillägget stöds nu läsning av flera certifikat. Den här funktionen underlättar löpande certifikatuppdateringar innan de upphör att gälla. Om din organisation kör en tidigare version av NPS-tillägget uppgraderar du till version 1.0.1.32 eller senare.

Certifikat som skapats med skriptet AzureMfaNpsExtnConfigSetup.ps1 är giltiga i två år. Övervaka certifikat för förfallotid. Certifikat för NPS-tillägget placeras i certifikatarkivet För lokal dator under Personligt och utfärdas till det klientorganisations-ID som tillhandahålls till installationsskriptet.

När ett certifikat närmar sig förfallodatumet bör ett nytt certifikat skapas för att ersätta det. Den här processen utförs genom att köra AzureMfaNpsExtnConfigSetup.ps1 igen och behålla samma klientorganisations-ID när du uppmanas till det. Den här processen bör upprepas på alla NPS-servrar som finns i din miljö.

Konfigurera NPS-tillägget

När din miljö har förberetts och NPS-tillägget nu är installerat på de servrar som krävs kan du konfigurera tillägget.

Det här avsnittet innehåller designöverväganden och förslag för lyckade distributioner av NPS-tillägg.

Konfigurationsbegränsningar

  • NPS-tillägget för Azure AD Multi-Factor Authentication innehåller inte verktyg för att migrera användare och inställningar från MFA Server till molnet. Därför rekommenderar vi att du använder tillägget för nya distributioner i stället för en befintlig distribution. Om du använder tillägget för en befintlig distribution måste användarna utföra proof-up igen för att fylla i sin MFA-information i molnet.
  • NPS-tillägget använder UPN från den lokala AD DS-miljön för att identifiera användaren på Azure AD Multi-Factor Authentication för att utföra den sekundära autentiseringen. Tillägget kan konfigureras för att använda en annan identifierare som alternativt inloggnings-ID eller anpassat AD DS-fält förutom UPN. Mer information finns i artikeln Avancerade konfigurationsalternativ för NPS-tillägget för Multi-Factor Authentication.
  • Alla krypteringsprotokoll stöder inte alla verifieringsmetoder.
    • PAP har stöd för telefonsamtal, enkelriktade sms, mobilappsavisering och verifieringskod för mobilappar
    • CHAPV2 - och EAP-supportmeddelande för telefonsamtal och mobilappar

Kontrollera RADIUS-klienter som kräver MFA

När du aktiverar MFA för en RADIUS-klient med hjälp av NPS-tillägget måste alla autentiseringar för den här klienten utföra MFA. Om du vill aktivera MFA för vissa RADIUS-klienter, men inte andra, kan du konfigurera två NPS-servrar och installera tillägget på endast en av dem.

Konfigurera RADIUS-klienter som du vill kräva att MFA skickar begäranden till NPS-servern som konfigurerats med tillägget och andra RADIUS-klienter till NPS-servern som inte har konfigurerats med tillägget.

Förbereda för användare som inte har registrerats för MFA

Om du har användare som inte har registrerats för MFA kan du avgöra vad som händer när de försöker autentisera. Om du vill styra det här beteendet använder du inställningen REQUIRE_USER_MATCH i registersökvägen HKLM\Software\Microsoft\AzureMFA. Den här inställningen har ett enda konfigurationsalternativ:

Tangent Värde Standard
REQUIRE_USER_MATCH SANT/FALSKT Inte inställt (motsvarar TRUE)

Den här inställningen avgör vad du ska göra när en användare inte har registrerats för MFA. När nyckeln inte finns, inte har angetts eller har angetts till TRUE och användaren inte har registrerats misslyckas tillägget MFA-utmaningen.

När nyckeln är inställd på FALSE och användaren inte har registrerats fortsätter autentiseringen utan att utföra MFA. Om en användare har registrerats i MFA måste de autentisera med MFA även om REQUIRE_USER_MATCH är inställt på FALSE.

Du kan välja att skapa den här nyckeln och ställa in den på FALSE medan användarna registrerar sig och kanske inte alla har registrerats för Azure AD Multi-Factor Authentication ännu. Men eftersom inställningen av nyckeln tillåter användare som inte har registrerats för MFA att logga in, bör du ta bort den här nyckeln innan du går till produktion.

Felsökning

Hälsokontrollskript för NPS-tillägg

Följande skript är tillgängligt för att utföra grundläggande hälsokontrollsteg när du felsöker NPS-tillägget.

MFA_NPS_Troubleshooter.ps1

Hur åtgärdar jag felet "Tjänstens huvudnamn hittades inte" när skriptet kördes AzureMfaNpsExtnConfigSetup.ps1 ?

Om tjänstens huvudnamn "Azure Multi-Factor Auth Client" av någon anledning inte har skapats i klientorganisationen kan det skapas manuellt genom att köra cmdleten New-MsolServicePrincipal enligt nedan.

import-module MSOnline
Connect-MsolService
New-MsolServicePrincipal -AppPrincipalId 981f26a1-7f43-403b-a875-f8b09b8cd720 -DisplayName "Azure Multi-Factor Auth Client"

När du är klar går du till Azure Portal>Azure Active Directory>Enterprise Applications> Search for "Azure Multi-Factor Auth Client" > Kontrollera egenskaperna för den här appen > Bekräfta om tjänstens huvudnamn är aktiverat eller inaktiverat > Klicka på programposten > Gå till egenskaper för appen > Om alternativet "Aktiverat för användare att logga in? är inställt på Nej i Egenskaper för den här appen . Ange ja.

Kör skriptet AzureMfaNpsExtnConfigSetup.ps1 igen och det bör inte returnera Service principal was not found felet.

Hur gör jag för att kontrollera att klientcertifikatet är installerat som förväntat?

Leta efter det självsignerade certifikatet som skapades av installationsprogrammet i certifikatarkivet och kontrollera att den privata nyckeln har behörigheter som beviljats användaren NETWORK SERVICE. Certifikatet har ämnesnamnet CN <tenantid>, OU = Microsoft NPS-tillägget

Självsignerade certifikat som genereras av skriptet AzureMfaNpsExtnConfigSetup.ps1 har en giltighetstid på två år. När du verifierar att certifikatet har installerats bör du också kontrollera att certifikatet inte har upphört att gälla.

Hur kan jag verifiera att mitt klientcertifikat är associerat med min klientorganisation i Azure AD?

Öppna PowerShell-kommandotolken och kör följande kommandon:

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1

Dessa kommandon skriver ut alla certifikat som associerar din klientorganisation med din instans av NPS-tillägget i PowerShell-sessionen. Leta efter certifikatet genom att exportera klientcertifikatet som en Base-64-kodad X.509(.cer) -fil utan den privata nyckeln och jämföra den med listan från PowerShell.

Följande kommando skapar en fil med namnet npscertificate i roten på C: -enheten i formatet .cer.

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1 | select -ExpandProperty "value" | out-file c:\npscertificate.cer

När du har kört det här kommandot går du till roten på C: -enheten, letar upp filen och dubbelklickar på den. Gå till information och rulla ned till "tumavtryck". Jämför tumavtrycket för certifikatet som är installerat på servern med det här. Certifikatets tumavtryck bör matcha.

Valid-From och Valid-Until-tidsstämplar , som är i läsbar form, kan användas för att filtrera bort uppenbara felpassningar om kommandot returnerar mer än ett certifikat.

Varför kan jag inte logga in?

Kontrollera att lösenordet inte har upphört att gälla. NPS-tillägget stöder inte ändring av lösenord som en del av inloggningsarbetsflödet. Kontakta din organisations IT-personal om du vill ha mer hjälp.

Varför misslyckas mina begäranden med fel med säkerhetstoken?

Det här felet kan bero på en av flera orsaker. Använd följande steg för att felsöka:

  1. Starta om NPS-servern.
  2. Kontrollera att klientcertifikatet är installerat som förväntat.
  3. Kontrollera att certifikatet är associerat med din klientorganisation på Azure AD.
  4. Kontrollera att https://login.microsoftonline.com/ kan nås från servern som kör tillägget.

Varför misslyckas autentiseringen med ett fel i HTTP-loggar som anger att användaren inte hittas?

Kontrollera att AD Connect körs och att användaren finns i både den lokala AD DS-miljön och i Azure AD.

Varför visas HTTP-anslutningsfel i loggar där alla mina autentiseringar misslyckas?

Kontrollera att https://adnotifications.windowsazure.com, https://strongauthenticationservice.auth.microsoft.com kan nås från servern som kör NPS-tillägget.

Varför fungerar inte autentisering trots att ett giltigt certifikat finns?

Om det tidigare datorcertifikatet har upphört att gälla och ett nytt certifikat har genererats tar du bort eventuella utgångna certifikat. Utgångna certifikat kan orsaka problem med att NPS-tillägget startar.

Kontrollera om du har ett giltigt certifikat genom att kontrollera det lokala datorkontots certifikatarkiv med MMC och se till att certifikatet inte har passerat förfallodatumet. Om du vill generera ett nyligen giltigt certifikat kör du stegen igen från Kör PowerShell-installationsskriptet.

Varför visas borttagna begäranden i NPS-serverloggarna?

En VPN-server kan skicka upprepade begäranden till NPS-servern om tidsgränsvärdet är för lågt. NPS-servern identifierar dessa duplicerade begäranden och tar bort dem. Det här beteendet är avsiktligt och indikerar inte något problem med NPS-servern eller Azure AD NPS-tillägget för multifaktorautentisering.

Mer information om varför du ser ignorerade paket i NPS-serverloggarna finns i RADIUS-protokollbeteende och NPS-tillägget i början av den här artikeln.

Hur gör jag för att få matchning av Microsoft Authenticator-nummer att fungera med NPS?

Kontrollera att du kör den senaste versionen av NPS-tillägget. NPS-tilläggsversioner som börjar med 1.0.1.40 supportnummermatchning.

Eftersom NPS-tillägget inte kan visa ett tal uppmanas en användare som är aktiverad för nummermatchning fortfarande att godkänna/neka. Du kan dock skapa en registernyckel som åsidosätter push-meddelanden för att be en användare att ange ett One-Time lösenord (OTP). Användaren måste ha en OTP-autentiseringsmetod registrerad för att se det här beteendet. Vanliga OTP-autentiseringsmetoder är OTP som är tillgängligt i Authenticator-appen, andra programvarutoken och så vidare.

Om användaren inte har någon OTP-metod registrerad fortsätter de att få upplevelsen Godkänn/Neka. En användare med nummermatchning inaktiverad ser alltid upplevelsen Godkänn/Neka.

Så här skapar du registernyckeln som åsidosätter push-meddelanden:

  1. Öppna Registereditorn på NPS-servern.
  2. Gå till HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.
  3. Ange följande nyckelvärdepar: Nyckel: OVERRIDE_NUMBER_MATCHING_WITH_OTP värde = TRUE
  4. Starta om NPS-tjänsten.

Hantering av TLS/SSL-protokoll och chiffersviter

Vi rekommenderar att äldre och svagare chiffersviter inaktiveras eller tas bort om det inte krävs av din organisation. Information om hur du slutför den här uppgiften finns i artikeln Hantera SSL/TLS-protokoll och chiffersviter för AD FS

Ytterligare felsökning

Ytterligare felsökningsvägledning och möjliga lösningar finns i artikeln Lös felmeddelanden från NPS-tillägget för Azure AD Multi-Factor Authentication.

Nästa steg