Microsoft Entra Kimliği ile RADIUS kimlik doğrulaması

Uzaktan Kimlik Doğrulama Arayarak Bağlanma Kullanıcı Hizmeti (RADIUS), merkezi kimlik doğrulamasını ve arayarak bağlanma kullanıcılarının yetkilendirmesini etkinleştirerek ağın güvenliğini sağlayan bir ağ protokolüdür. Çoğu uygulama, kullanıcıların kimliğini doğrulamak için RADIUS protokolüne bağımlıdır.

Microsoft Windows Server, RADIUS sunucusu olarak davranabilen ve RADIUS kimlik doğrulamasını destekleyen Ağ İlkesi Sunucusu (NPS) adlı bir role sahiptir.

Microsoft Entra ID, RADIUS tabanlı sistemlerle çok faktörlü kimlik doğrulamasını etkinleştirir. Müşteri, daha önce bahsedilen RADIUS iş yüklerinden herhangi birine Microsoft Entra çok faktörlü kimlik doğrulaması uygulamak istiyorsa, Microsoft Entra çok faktörlü kimlik doğrulaması NPS uzantısını Kendi Windows NPS sunucusuna yükleyebilir.

Windows NPS sunucusu, Active Directory'de bir kullanıcının kimlik bilgilerini doğrular ve ardından çok faktörlü kimlik doğrulama isteğini Azure'a gönderir. Kullanıcı daha sonra mobil kimlik doğrulayıcıda bir sınama alır. Başarılı olduktan sonra istemci uygulamasının hizmete bağlanmasına izin verilir.

Şu durumlarda kullanın:

Gibi uygulamalara çok faktörlü kimlik doğrulaması eklemeniz gerekir

• Sanal Özel Ağ (VPN)
• WiFi erişimi
• Uzak Masaüstü Ağ Geçidi (RDG)
• Sanal Masaüstü Altyapısı (VDI)
• Kullanıcıların hizmette kimliğini doğrulamak için RADIUS protokolüne bağımlı olan diğer tüm kullanıcılar.

Not

VPN iş yüklerine Microsoft Entra çok faktörlü kimlik doğrulaması uygulamak için RADIUS ve Microsoft Entra çok faktörlü kimlik doğrulaması NPS uzantısına güvenmek yerine VPN'lerinizi Güvenlik Onay İşaretleme Dili'ne (SAML) yükseltmenizi ve VPN'nizi Microsoft Entra Id ile doğrudan birleştirmenizi öneririz. Bu, VPN'inize Koşullu Erişim, çok faktörlü kimlik doğrulaması, cihaz uyumluluğu ve Microsoft Entra Kimlik Koruması dahil olmak üzere tüm Microsoft Entra Kimlik Koruması sağlar.

Sistemin bileşenleri

• İstemci uygulaması (VPN istemcisi): RADIUS istemcisine kimlik doğrulama isteği gönderir.

• RADIUS istemcisi: İstemci uygulamasından gelen istekleri dönüştürür ve NPS uzantısının yüklü olduğu RADIUS sunucusuna gönderir.

• RADIUS sunucusu: RADIUS isteği için birincil kimlik doğrulamasını gerçekleştirmek için Active Directory'ye bağlanır. Başarılı olduğunda, isteği Microsoft Entra çok faktörlü kimlik doğrulaması NPS uzantısına geçirir.

• NPS uzantısı: İkincil kimlik doğrulaması için Microsoft Entra çok faktörlü kimlik doğrulamasına yönelik bir istek tetikler. Başarılı olursa, NPS uzantısı RADIUS sunucusuna Azure'ın Güvenlik Belirteci Hizmeti tarafından verilen çok faktörlü kimlik doğrulama talebini içeren güvenlik belirteçleri sağlayarak kimlik doğrulama isteğini tamamlar.

• Microsoft Entra çok faktörlü kimlik doğrulaması: Kullanıcının ayrıntılarını almak için Microsoft Entra Kimliği ile iletişim kurar ve kullanıcı tarafından yapılandırılan bir doğrulama yöntemini kullanarak ikincil bir kimlik doğrulaması gerçekleştirir.

Radius'u Microsoft Entra Id ile uygulama

• NPS kullanarak Microsoft Entra çok faktörlü kimlik doğrulama özellikleri sağlama

• Microsoft Entra çok faktörlü kimlik doğrulaması NPS uzantısını yapılandırma

• NPS uzantısını kullanarak Microsoft Entra çok faktörlü kimlik doğrulaması ile VPN