Dela via


RADIUS-autentisering med Microsoft Entra-ID

Remote Authentication Dial-In User Service (RADIUS) är ett nätverksprotokoll som skyddar ett nätverk genom att aktivera centraliserad autentisering och auktorisering av uppringningsanvändare. Många program förlitar sig fortfarande på RADIUS-protokollet för att autentisera användare.

Microsoft Windows Server har en roll som kallas NETWORK Policy Server (NPS), som kan fungera som en RADIUS-server och stödja RADIUS-autentisering.

Microsoft Entra ID möjliggör multifaktorautentisering med RADIUS-baserade system. Om en kund vill tillämpa Microsoft Entra multifaktorautentisering på någon av de tidigare nämnda RADIUS-arbetsbelastningarna kan de installera NPS-tillägget för Microsoft Entra-multifaktorautentisering på sin Windows NPS-server.

Windows NPS-servern autentiserar en användares autentiseringsuppgifter mot Active Directory och skickar sedan begäran om multifaktorautentisering till Azure. Användaren får sedan en utmaning på sin mobila autentisering. När det har lyckats kan klientprogrammet ansluta till tjänsten.

Använd när:

Du måste lägga till multifaktorautentisering i program som

  • ett virtuellt privat nätverk (VPN)
  • WiFi-åtkomst
  • Fjärrskrivbordsgateway (RDG)
  • VDI (Virtual Desktop Infrastructure)
  • Andra som är beroende av RADIUS-protokollet för att autentisera användare till tjänsten.

Kommentar

I stället för att förlita dig på RADIUS och NPS-tillägget för multifaktorautentisering i Microsoft Entra för att tillämpa Microsoft Entra multifaktorautentisering på VPN-arbetsbelastningar rekommenderar vi att du uppgraderar VPN:erna till SAML (Security Assertion Markup Language) och federerar ditt VPN direkt med Microsoft Entra-ID. Detta ger ditt VPN hela bredden av Microsoft Entra ID Protection, inklusive villkorlig åtkomst, multifaktorautentisering, enhetsefterlevnad och Microsoft Entra ID Protection.

arkitekturdiagram

Komponenter i systemet

  • Klientprogram (VPN-klient): Skickar autentiseringsbegäran till RADIUS-klienten.

  • RADIUS-klient: Konverterar begäranden från klientprogrammet och skickar dem till RADIUS-servern som har NPS-tillägget installerat.

  • RADIUS-server: Ansluter med Active Directory för att utföra den primära autentiseringen för RADIUS-begäran. När det har lyckats skickar du begäran till NPS-tillägget för Multifaktorautentisering i Microsoft Entra.

  • NPS-tillägg: Utlöser en begäran till Microsoft Entra multifaktorautentisering för en sekundär autentisering. Om det lyckas slutför NPS-tillägget autentiseringsbegäran genom att ge RADIUS-servern säkerhetstoken som inkluderar anspråk för multifaktorautentisering som utfärdats av Azures säkerhetstokentjänst.

  • Microsoft Entra multifaktorautentisering: Kommunicerar med Microsoft Entra-ID för att hämta användarens information och utför en sekundär autentisering med hjälp av en verifieringsmetod som konfigurerats av användaren.

Implementera RADIUS med Microsoft Entra-ID