Avancerade konfigurationsalternativ för NPS-tillägget för multifaktorautentisering
NPS-tillägget (Network Policy Server) utökar dina molnbaserade Funktioner för multifaktorautentisering i Microsoft Entra i din lokala infrastruktur. Den här artikeln förutsätter att du redan har tillägget installerat och nu vill veta hur du anpassar tillägget efter dina behov.
Alternativt inloggnings-ID
Eftersom NPS-tillägget ansluter till både dina lokala kataloger och molnkataloger kan det uppstå ett problem där dina lokala användarhuvudnamn (UPN) inte matchar namnen i molnet. Lös problemet genom att använda alternativa inloggnings-ID:t.
I NPS-tillägget kan du ange ett Active Directory-attribut som ska användas som UPN för Microsoft Entra multifaktorautentisering. På så sätt kan du skydda dina lokala resurser med tvåstegsverifiering utan att ändra dina lokala UPN.
Om du vill konfigurera alternativa inloggnings-ID:t går du till HKLM\SOFTWARE\Microsoft\AzureMfa och redigerar följande registervärden:
| Namn | Type | Default value | beskrivning |
|---|---|---|---|
| LDAP_ALTERNATE_LOGINID_ATTRIBUTE | sträng | Tomt | Ange namnet på det Active Directory-attribut som du vill använda som UPN. Det här attributet används som attributet AlternateLoginId. Om det här registervärdet är inställt på ett giltigt Active Directory-attribut (till exempel e-post eller displayName) används attributets värde som användarens UPN för autentisering. Om registervärdet är tomt eller inte konfigurerat inaktiveras AlternateLoginId och användarens UPN används för autentisering. |
| LDAP_FORCE_GLOBAL_CATALOG | boolean | Falsk | Använd den här flaggan för att framtvinga användningen av global katalog för LDAP-sökningar när du letar upp AlternateLoginId. Konfigurera en domänkontrollant som en global katalog, lägg till attributet AlternateLoginId i den globala katalogen och aktivera sedan den här flaggan. Om LDAP_LOOKUP_FORESTS har konfigurerats (inte tomt) tillämpas den här flaggan som true, oavsett värdet för registerinställningen. I det här fallet kräver NPS-tillägget att den globala katalogen konfigureras med attributet AlternateLoginId för varje skog. |
| LDAP_LOOKUP_FORESTS | sträng | Tomt | Ange en semikolonavgränsad lista över skogar som ska sökas. Till exempel contoso.com; foobar.com. Om det här registervärdet har konfigurerats söker NPS-tillägget iterativt igenom alla skogar i den ordning de listades och returnerar det första lyckade AlternateLoginId-värdet. Om det här registervärdet inte har konfigurerats är AlternateLoginId-sökningen begränsad till den aktuella domänen. |
Om du vill felsöka problem med alternativa inloggnings-ID:t använder du de rekommenderade stegen för alternativa inloggnings-ID-fel.
IP-undantag
Om du behöver övervaka servertillgängligheten, till exempel om lastbalanserare kontrollerar vilka servrar som körs innan du skickar arbetsbelastningar, vill du inte att dessa kontroller ska blockeras av verifieringsbegäranden. Skapa i stället en lista över IP-adresser som du vet används av tjänstkonton och inaktivera krav för multifaktorautentisering för listan.
Om du vill konfigurera en lista över tillåtna IP-adresser går du till HKLM\SOFTWARE\Microsoft\AzureMfa och konfigurerar följande registervärde:
| Namn | Type | Default value | beskrivning |
|---|---|---|---|
| IP_WHITELIST | sträng | Tomt | Ange en semikolonavgränsad lista över IP-adresser. Inkludera IP-adresserna för datorer där tjänstbegäranden kommer från, till exempel NAS/VPN-servern. IP-intervall och undernät stöds inte. Till exempel 10.0.0.1; 10.0.0.2; 10.0.0.3. |
Kommentar
Den här registernyckeln skapas inte som standard av installationsprogrammet och ett fel visas i AuthZOptCh-loggen när tjänsten startas om. Det här felet i loggen kan ignoreras, men om den här registernyckeln skapas och lämnas tom om den inte behövs returneras inte felmeddelandet.
När en begäran kommer in från en IP-adress som finns i hoppas tvåstegsverifieringen IP_WHITELISTöver. IP-listan jämförs med IP-adressen som anges i attributet ratNASIPAddress för RADIUS-begäran. Om en RADIUS-begäran kommer in utan attributet ratNASIPAddress loggas en varning: "IP_WHITE_LIST_WARNING::IP Whitelist ignoreras eftersom käll-IP saknas i ATTRIBUTEt RADIUS-begäran NasIpAddress."