Çok faktörlü kimlik doğrulaması için NPS uzantısı için gelişmiş yapılandırma seçenekleri
Ağ İlkesi Sunucusu (NPS) uzantısı, bulut tabanlı Microsoft Entra çok faktörlü kimlik doğrulama özelliklerinizi şirket içi altyapınıza genişletir. Bu makalede, uzantının zaten yüklü olduğu varsayılır ve artık uzantıyı gereksinimlerinize göre nasıl özelleştirebileceğinizi öğrenmek istiyorsunuz.
Alternatif oturum açma kimliği
NPS uzantısı hem şirket içi hem de bulut dizinlerinize bağlandığından, şirket içi kullanıcı asıl adlarınızın (UPN) buluttaki adlarla eşleşmediği bir sorunla karşılaşabilirsiniz. Bu sorunu çözmek için alternatif oturum açma kimliklerini kullanın.
NPS uzantısında, çok faktörlü Microsoft Entra kimlik doğrulaması için UPN olarak kullanılacak bir Active Directory özniteliği atayabilirsiniz. Bu, şirket içi UPN'lerinizi değiştirmeden iki aşamalı doğrulama ile şirket içi kaynaklarınızı korumanızı sağlar.
Alternatif oturum açma kimliklerini yapılandırmak için adresine gidin HKLM\SOFTWARE\Microsoft\AzureMfa ve aşağıdaki kayıt defteri değerlerini düzenleyin:
| Ad | Tür | Varsayılan değer | Description |
|---|---|---|---|
| LDAP_ALTERNATE_LOGINID_ATTRIBUTE | string | Boş | UPN olarak kullanmak istediğiniz Active Directory özniteliğinin adını belirtin. Bu öznitelik, AlternateLoginId özniteliği olarak kullanılır. Bu kayıt defteri değeri geçerli bir Active Directory özniteliğine (örneğin, mail veya displayName) ayarlanırsa, özniteliğin değeri kimlik doğrulaması için kullanıcının UPN'si olarak kullanılır. Bu kayıt defteri değeri boşsa veya yapılandırılmamışsa AlternateLoginId devre dışı bırakılır ve kimlik doğrulaması için kullanıcının UPN'si kullanılır. |
| LDAP_FORCE_GLOBAL_CATALOG | boolean | Yanlış | AlternateLoginId ararken LDAP aramaları için Genel Katalog kullanımını zorlamak için bu bayrağı kullanın. Bir etki alanı denetleyicisini Genel Katalog olarak yapılandırın, Genel Katalog'a AlternateLoginId özniteliğini ekleyin ve ardından bu bayrağı etkinleştirin. LDAP_LOOKUP_FORESTS yapılandırılırsa (boş değilse), kayıt defteri ayarının değeri ne olursa olsun bu bayrak true olarak zorlanır. Bu durumda, NPS uzantısı her orman için Genel Kataloğun AlternateLoginId özniteliğiyle yapılandırılmasını gerektirir. |
| LDAP_LOOKUP_FORESTS | string | Boş | Aranacak ormanların noktalı virgülle ayrılmış bir listesini sağlayın. Örneğin, contoso.com;foobar.com. Bu kayıt defteri değeri yapılandırılırsa, NPS uzantısı tüm ormanları listelendikleri sırayla yinelemeli olarak arar ve ilk başarılı AlternateLoginId değerini döndürür. Bu kayıt defteri değeri yapılandırılmamışsa, AlternateLoginId araması geçerli etki alanıyla sınırlı olur. |
Alternatif oturum açma kimlikleriyle ilgili sorunları gidermek için Alternatif oturum açma kimliği hataları için önerilen adımları kullanın.
IP özel durumları
Yük dengeleyicilerin iş yüklerini göndermeden önce hangi sunucuların çalıştığını doğrulaması gibi sunucu kullanılabilirliğini izlemeniz gerekiyorsa, bu denetimlerin doğrulama istekleri tarafından engellenmesini istemezsiniz. Bunun yerine, hizmet hesapları tarafından kullanıldığını bildiğiniz bir IP adresleri listesi oluşturun ve bu liste için çok faktörlü kimlik doğrulama gereksinimlerini devre dışı bırakın.
IP izin verilenler listesini yapılandırmak için adresine gidin HKLM\SOFTWARE\Microsoft\AzureMfa ve aşağıdaki kayıt defteri değerini yapılandırın:
| Ad | Tür | Varsayılan değer | Description |
|---|---|---|---|
| IP_WHITELIST | string | Boş | IP adreslerinin noktalı virgülle ayrılmış listesini sağlayın. NAS/VPN sunucusu gibi hizmet isteklerinin kaynaklandığı makinelerin IP adreslerini ekleyin. IP aralıkları ve alt ağlar desteklenmez. Örneğin, 10.0.0.1;10.0.0.2;10.0.0.3. |
Not
Bu kayıt defteri anahtarı yükleyici tarafından varsayılan olarak oluşturulmaz ve hizmet yeniden başlatıldığında AuthZOptCh günlüğünde bir hata görüntülenir. Günlükteki bu hata yoksayılabilir, ancak bu kayıt defteri anahtarı oluşturulursa ve gerekli değilse boş bırakılırsa hata iletisi döndürülemez.
içinde bulunan IP_WHITELISTbir IP adresinden istek geldiğinde iki aşamalı doğrulama atlanır. IP listesi, RADIUS isteğinin ratNASIPAddress özniteliğinde sağlanan IP adresiyle karşılaştırılır. Bir RADIUS isteği ratNASIPAddress özniteliği olmadan gelirse, şu uyarı günlüğe kaydedilir: "RADIUS isteği NasIpAddress özniteliğinde kaynak IP eksik olduğundan IP_WHITE_LIST_WARNING::IP Beyaz Listesi yoksayılıyor."