Komma igång med Azure Multi-Factor Authentication Server

  • Artikel

Getting started with MFA Server on-premises

Den här sidan innehåller anvisningar för hur du installerar servern och konfigurerar den med ditt lokala Active Directory. Om du redan har installerat MFA-servern och vill uppgradera så kan du läsa artikeln om att uppgradera till den senaste Azure Multi-Factor Authentication-servern. Om du vill veta hur du endast installerar webbtjänsten kan du läsa artikeln Aktivera mobilappautentisering och Azure Multi-Factor Authentication-servern.

Viktigt!

I september 2022 tillkännagav Microsoft utfasning av Azure Multi-Factor Authentication Server. Från och med den 30 september 2024 kommer Azure Multi-Factor Authentication Server-distributioner inte längre att hantera multifaktorautentiseringsbegäranden, vilket kan leda till att autentiseringar misslyckas för din organisation. För att säkerställa avbrottsfria autentiseringstjänster och förbli i ett tillstånd som stöds bör organisationer migrera sina användares autentiseringsdata till den molnbaserade multifaktorautentiseringstjänsten Microsoft Entra med hjälp av det senaste migreringsverktyget som ingår i den senaste Azure Multi-Factor Authentication Server-uppdateringen. Mer information finns i Migrering av Azure Multi-Factor Authentication Server.

Information om hur du kommer igång med molnbaserad MFA finns i Självstudie: Skydda användarinloggningshändelser med Azure multifaktorautentisering.

Planera distributionen

Innan du laddar ned Azure Multi-Factor Authentication-servern måste du överväga dina krav på belastningar och hög tillgänglighet. Använd den här informationen till att bestämma hur och var du ska distribuera servern.

En bra riktlinje för hur mycket minne du behöver är antalet användare som du förväntar dig att autentisera regelbundet.

Användare RAM
1-10,000 4 GB
10,001-50,000 8 GB
50,001-100,000 12 GB
100,000-200,001 16 GB
200,001+ 32 GB

Behöver du konfigurera flera servrar för hög tillgänglighet eller belastningsutjämning? Det finns många sätt att konfigurera den här konfigurationen med Azure Multi-Factor Authentication Server. När du installerar din första Azure Multi-Factor Authentication-server blir den huvudservern. Andra servrar blir underordnade och synkroniserar automatiskt användare och konfiguration med huvudservern. Sedan kan du konfigurera en primär server och använda resten som reserver, eller så kan du konfigurera belastningsutjämning mellan alla servrarna.

När en huvudserver för Azure Multi-Factor Authentication går offline kan de underordnade servrarna fortfarande bearbeta tvåstegsverifieringsbegäranden. Du kan dock inte lägga till nya användare, och befintliga användare kan inte uppdatera sina inställningar förrän huvudservern är tillbaka online eller en underordnad server blir befordrad.

Förbered din miljö

Kontrollera att servern som du använder för Azure multifaktorautentisering uppfyller följande krav.

Krav för Azure Multi-Factor Authentication Server beskrivning
Maskinvara
  • 200 MB ledigt hårddiskutrymme
  • x32- eller x64-processor
  • Minst 1 GB RAM-minne
    		•
    Programvara
  • Windows Server 20221
  • Windows Server 20191
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008/R2 (endast med ESU )
  • Windows 10
  • Windows 8.1, alla utgåvor
  • Windows 8, alla utgåvor
  • Windows 7, alla utgåvor (endast med ESU )
  • Microsoft .NET 4.0 Framework
  • IIS 7.0 eller senare om du installerar användarportalen eller webbtjänst-SDK
    		•
    Behörigheter Domänadministratörs- eller företagsadministratörskonto för registrering med Active Directory

    1Om Azure Multi-Factor Authentication Server inte kan aktiveras på en virtuell Azure-dator som kör Windows Server 2019 eller senare kan du prova att använda en tidigare version av Windows Server.

    Serverkomponenter för Azure Multi-Factor Authentication

    Det finns tre webbkomponenter som utgör Azure Multi-Factor Authentication Server:

    • Webbtjänst-SDK – Möjliggör kommunikation med de andra komponenterna och installeras på microsoft Entra-programservern för multifaktorautentisering
    • Användarportal – en IIS-webbplats som gör det möjligt för användare att registrera sig i Azure multifaktorautentisering och underhålla sina konton.
    • Webbtjänsten Mobile App – Gör det möjligt att använda en mobilapp som Microsoft Authenticator för tvåstegsverifiering.

    Alla tre komponenterna kan installeras på samma server om servern är Internet-ansluten. Om komponenterna delas upp installeras Webbtjänst-SDK på programservern för Microsoft Entra-multifaktorautentisering och användarportalen och Webbtjänsten för mobilappar installeras på en Internetuppkopplad server.

    Krav för Azure Multi-Factor Authentication Server-brandvägg

    Varje MFA-server måste kunna kommunicera på port 443 för utgående trafik till följande adresser:

    Om brandväggar för utgående trafik är begränsade på port 443 öppnar du följande IP-adressintervall:

    IP-undernät Nätmask IP-intervall
    134.170.116.0/25 255.255.255.128 134.170.116.1 – 134.170.116.126
    134.170.165.0/25 255.255.255.128 134.170.165.1 – 134.170.165.126
    70.37.154.128/25 255.255.255.128 70.37.154.129 – 70.37.154.254
    52.251.8.48/28 255.255.255.240 52.251.8.48 - 52.251.8.63
    52.247.73.160/28 255.255.255.240 52.247.73.160 - 52.247.73.175
    52.159.5.240/28 255.255.255.240 52.159.5.240 - 52.159.5.255
    52.159.7.16/28 255.255.255.240 52.159.7.16 - 52.159.7.31
    52.250.84.176/28 255.255.255.240 52.250.84.176 - 52.250.84.191
    52.250.85.96/28 255.255.255.240 52.250.85.96 - 52.250.85.111

    Om du inte använder funktionen Händelsebekräftelse och om användarna inte använder mobilappar för verifiering från enheter i företagets nätverk så behöver du bara följande intervall:

    IP-undernät Nätmask IP-intervall
    134.170.116.72/29 255.255.255.248 134.170.116.72 – 134.170.116.79
    134.170.165.72/29 255.255.255.248 134.170.165.72 – 134.170.165.79
    70.37.154.200/29 255.255.255.248 70.37.154.201 – 70.37.154.206
    52.251.8.48/28 255.255.255.240 52.251.8.48 - 52.251.8.63
    52.247.73.160/28 255.255.255.240 52.247.73.160 - 52.247.73.175
    52.159.5.240/28 255.255.255.240 52.159.5.240 - 52.159.5.255
    52.159.7.16/28 255.255.255.240 52.159.7.16 - 52.159.7.31
    52.250.84.176/28 255.255.255.240 52.250.84.176 - 52.250.84.191
    52.250.85.96/28 255.255.255.240 52.250.85.96 - 52.250.85.111

    Ladda ned MFA-server

    Dricks

    Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

    Följ dessa steg för att ladda ned Azure Multi-Factor Authentication Server:

    Viktigt!

    I september 2022 tillkännagav Microsoft utfasning av Azure Multi-Factor Authentication Server. Från och med den 30 september 2024 kommer Azure Multi-Factor Authentication Server-distributioner inte längre att hantera multifaktorautentiseringsbegäranden, vilket kan leda till att autentiseringar misslyckas för din organisation. För att säkerställa avbrottsfria autentiseringstjänster och förbli i ett tillstånd som stöds bör organisationer migrera sina användares autentiseringsdata till den molnbaserade multifaktorautentiseringstjänsten Microsoft Entra med hjälp av det senaste migreringsverktyget som ingår i den senaste Azure Multi-Factor Authentication Server-uppdateringen. Mer information finns i Migrering av Azure Multi-Factor Authentication Server.

    Information om hur du kommer igång med molnbaserad MFA finns i Självstudie: Skydda användarinloggningshändelser med Azure multifaktorautentisering.

    Befintliga kunder som aktiverade MFA Server före den 1 juli 2019 kan ladda ned den senaste versionen, framtida uppdateringar och generera aktiveringsuppgifter som vanligt. Följande steg fungerar bara om du var en befintlig MFA Server-kund.

    1. Logga in på administrationscentret för Microsoft Entra som global administratör.

    2. Bläddra till Inställningar för multifaktorautentisering>för skydd>.

    3. Välj hämta och följ instruktionerna på hämtningssidan för att spara installationsprogrammet.

      Download MFA Server

    4. Ha den här sidan öppen eftersom vi kommer att hänvisa till den när vi har kört installationsprogrammet.

    Installera och konfigurera MFA-servern

    Nu när du har laddat ned servern kan du installera och konfigurera den. Se till att servern du installerar den på uppfyller kraven i planeringsavsnittet.

    1. Dubbelklicka på den körbara filen.
    2. Kontrollera att mappen på skärmen Välj installationsmapp stämmer och klicka på Nästa. Följande bibliotek är installerade:
    3. När installationen är klar väljer du Slutför. Konfigurationsguiden startar.
    4. Tillbaka på sidan som du laddade ner servern från, klickar du på knappen skapa autentiseringsuppgifter för aktivering. Kopiera den här informationen till Azure Multi-Factor Authentication Server i de angivna rutorna och klicka på Aktivera.

    Kommentar

    Endast globala administratörer kan generera aktiveringsautentiseringsuppgifter i administrationscentret för Microsoft Entra.

    Skicka ett e-postmeddelande till användare

    Tillåt att MFA-servern kan kommunicera med dina användare för att underlätta distributionen. MFA-servern kan skicka ett e-postmeddelande om att de har registrerats för tvåstegsverifiering.

    Innehållet i e-postmeddelandet som du skickar beror på hur du konfigurerade användarna för tvåstegsverifiering. Om du till exempel importerade telefonnummer från företagets katalog bör e-postmeddelandet innehålla de fördefinierade telefonnumren så att användarna vet vad de ska förvänta sig. Om du inte har importerat användarnas telefonnummer, eller om användarna kommer att använda mobilappen, skickar du ett e-postmeddelande där de uppmanas att slutföra kontoregistreringen. Inkludera en hyperlänk till Azure multifaktorautentisering Användarportal i e-postmeddelandet.

    Innehållet i e-postmeddelandet varierar också beroende på vilken verifieringsmetod som har konfigurerats för användarna (telefonsamtal, SMS eller mobilapp). Om användarna till exempel måste använda en PIN-kod när de autentiserar så meddelar e-postmeddelandet vilken deras ursprungliga PIN-kod är. Användarna uppmanas att ändra sina PIN-koder under den första verifieringen.

    Konfigurera e-post och e-postmallar

    Klicka på e-postikonen till vänster för att konfigurera inställningarna för e-postmeddelanden som du skickar. På den är sidan kan du ange SMTP-information för din e-postserver och skicka e-post genom att markera kryssrutan Skicka e-post till användare.

    MFA Server Email configuration

    På fliken E-postinnehåll kan du se de e-postmallar som du kan välja mellan. Välj lämplig mall beroende på hur du har konfigurerat användarna för tvåstegsverifiering.

    MFA Server Email templates in the console

    Importera användare från Active Directory

    Nu när servern är installerad är det dags att lägga till användare. Du kan välja att skapa dem manuellt, importera användare från Active Directory eller konfigurera automatisk synkronisering med Active Directory.

    Importera manuellt från Active Directory

    1. Välj Användare till vänster i Azure Multi-Factor Authentication Server.

    2. Välj Importera från Active Directory längst ned på sidan.

    3. Nu kan du antingen söka efter enskilda användare eller söka i AD-katalogen efter organisationsenheter som innehåller användare. I det här exemplet anger vi organisationsenheten för användare.

    4. Markera alla användare till höger och klicka på Importera. Ett popup-meddelande visas som informerar dig om att åtgärden lyckades. Stäng importfönstret.

      MFA Server user import from Active Directory

    Automatiserad synkronisering med Active Directory

    1. Välj Katalogintegrering till vänster i Azure Multi-Factor Authentication Server.
    2. Navigera till fliken Synkronisering.
    3. Välj Lägg till längst ned
    4. I rutan Lägg till synkroniseringsobjekt som visas väljer du domän, organisationsenhet eller säkerhetsgrupp, inställningar, standardinställningar för metod och språk för den här synkroniseringsuppgiften och klickar på Lägg till.
    5. Markera rutan Aktivera synkronisering med Active Directory och välj ett synkroniseringsintervall mellan en minut och 24 timmar.

    Hur Azure Multi-Factor Authentication Server hanterar användardata

    När du använder multifaktorautentiseringsservern lokalt lagras en användares data på de lokala servrarna. Inga beständiga användardata lagras i molnet. När användaren utför en tvåstegsverifiering skickar MFA-servern data till molntjänsten Microsoft Entra multifaktorautentisering för att utföra verifieringen. När dessa autentiseringsförfrågningar skickas till molntjänsten skickas följande fält i begäran och loggar så att de är tillgängliga i kundens autentiserings-/användningsrapporter. Vissa av fälten är valfria och kan därför aktiveras eller inaktiveras i Multi-Factor Authentication Server. Kommunikationen från MFA Server till MFA-molntjänsten använder SSL/TLS över port 443 för utgående trafik. Dessa fält är:

    • Unikt ID – antingen användarnamnet eller internt MFA Server-ID
    • För- och efternamn (valfritt)
    • E-postadress (valfritt)
    • Telefonnummer – vid autentisering via röstsamtal eller SMS
    • Enhetstoken – vid autentisering via mobilapp
    • Autentiseringsläge
    • Autentiseringsresultat
    • MFA Server-namn
    • MFA Server-IP
    • Klientens IP – om det är tillgängligt

    Förutom fälten ovan lagras även verifieringsresultatet (lyckades/avvisades) och orsaken till ett eventuellt avvisande tillsammans med autentiseringsinformationen och är tillgängligt i autentiserings-/användningsrapporterna.

    Viktigt!

    Från och med mars 2019 kommer alternativen för telefonsamtal inte att vara tillgängliga för MFA Server-användare i kostnadsfria/utvärderingsversioner av Microsoft Entra-klienter. SMS påverkas inte av den här ändringen. Telefon samtal fortsätter att vara tillgängligt för användare i betalda Microsoft Entra-klienter. Den här ändringen påverkar endast kostnadsfria/utvärderingsversioner av Microsoft Entra-klienter.

    Säkerhetskopiera och återställa Azure Multi-Factor Authentication Server

    Det är viktigt att du har en bra säkerhetskopia.

    Om du vill säkerhetskopiera Azure Multi-Factor Authentication Server kontrollerar du att du har en kopia av mappen C:\Program Files\Multi-Factor Authentication Server\Data, inklusive filen Telefon Factor.pfdata.

    Om en återställning krävs gör du följande:

    1. Installera om Azure Multi-Factor Authentication Server på en ny server.
    2. Aktivera den nya Azure Multi-Factor Authentication-servern.
    3. Avbryt tjänsten MultiFactorAuth.
    4. Skriv över PhoneFactor.pfdata med säkerhetskopian.
    5. Starta tjänsten MultiFactorAuth.

    Den nya servern är nu aktiv och körs med den ursprungliga säkerhetskopierade konfigurationen och användardata.

    Hantering av TLS/SSL-protokoll och chiffersviter

    När du har uppgraderat till eller installerat MFA Server-versionen 8.x eller högre rekommenderar vi att du inaktiverar äldre eller svagare chiffersviter, om de inte behövs av din organisation. Information om hur du slutför den här aktiviteten finns i artikeln om hur du hanterar SSL/TLS-protokoll och chiffersviter för AD FS

    Nästa steg