Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Ağ İlkesi Sunucusu (NPS) uzantısı, bulut tabanlı Microsoft Entra çok faktörlü kimlik doğrulama özelliklerinizi şirket içi altyapınıza genişletir. Bu makalede uzantının zaten yüklü olduğu varsayılır ve şimdi uzantıyı ihtiyaçlarınıza göre nasıl özelleştirebileceğinizi öğrenmek istiyorsunuz.
Alternatif oturum açma kimliği
NPS uzantısı hem şirket içi hem de bulut dizinlerinize bağlandığından, şirket içi kullanıcı asıl adlarınızın (UPN) buluttaki adlarla eşleşmediği bir sorunla karşılaşabilirsiniz. Bu sorunu çözmek için alternatif oturum açma kimliklerini kullanın.
NPS uzantısında, Microsoft Entra çok faktörlü kimlik doğrulaması için UPN olarak kullanılacak bir Active Directory özniteliği belirleyebilirsiniz. Bu, şirket içi UPN'lerinizi değiştirmeden iki aşamalı doğrulama ile şirket içi kaynaklarınızı korumanızı sağlar.
Alternatif oturum açma kimliklerini yapılandırmak için HKLM\SOFTWARE\Microsoft\AzureMfa gidin ve aşağıdaki kayıt defteri değerlerini düzenleyin:
| İsim | Tür | Varsayılan değer | Açıklama |
|---|---|---|---|
| LDAP_ALTERNATE_LOGINID_ATTRIBUTE | dizgi | Boş | UPN olarak kullanmak istediğiniz Active Directory özniteliğinin adını belirtin. Bu öznitelik, AlternateLoginId özniteliği olarak kullanılır. Bu kayıt defteri değeri geçerli bir Active Directory özniteliği (örneğin, posta veya displayName) olarak ayarlanırsa, özniteliğin değeri kimlik doğrulaması için kullanıcının UPN'si olarak kullanılır. Bu kayıt defteri değeri boşsa veya yapılandırılmamışsa, AlternateLoginId devre dışı bırakılır ve kullanıcının UPN'si kimlik doğrulaması için kullanılır. |
| LDAP_FORCE_GLOBAL_CATALOG | Boolean | Yanlış | AlternateLoginId ararken LDAP aramaları için Genel Katalog kullanımını zorlamak için bu bayrağı kullanın. Bir etki alanı denetleyicisini Genel Katalog olarak yapılandırın, Genel Katalog'a AlternateLoginId özniteliğini ekleyin ve bu bayrağı etkinleştirin. LDAP_LOOKUP_FORESTS yapılandırıldıysa (boş değilse), bu bayrak, kayıt defteri ayarının değerinden bağımsız olarak doğru olarak zorlanır. Bu durumda NPS uzantısı, Genel Kataloğun her orman için AlternateLoginId özniteliğiyle yapılandırılmasını gerektirir. |
| LDAP_ARAMA_ORMANLARI | dizgi | Boş | Aranacak ormanların noktalı virgülle ayrılmış listesini sağlayın. Örneğin, contoso.com; foobar.com. Bu kayıt defteri değeri yapılandırılırsa, NPS uzantısı tüm ormanları listelendikleri sırayla yinelemeli olarak arar ve ilk başarılı AlternateLoginId değerini döndürür. Bu kayıt defteri değeri yapılandırılmamışsa, AlternateLoginId araması geçerli etki alanıyla sınırlandırılır. |
Alternatif oturum açma kimlikleriyle ilgili sorunları gidermek için Alternatif oturum açma kimliği hatalarıiçin önerilen adımları kullanın.
IP istisnaları
Yük dengeleyicilerin iş yüklerini göndermeden önce hangi sunucuların çalıştığını doğrulaması gibi sunucu kullanılabilirliğini izlemeniz gerekiyorsa, doğrulama isteklerinin bu denetimleri engellemesini istemezsiniz. Bunun yerine, hizmet hesapları tarafından kullanıldığını bildiğiniz IP adreslerinin listesini oluşturun ve bu liste için çok faktörlü kimlik doğrulama gereksinimlerini devre dışı bırakın.
IP izin verilenler listesini yapılandırmak için HKLM\SOFTWARE\Microsoft\AzureMfa gidin ve aşağıdaki kayıt defteri değerini yapılandırın:
| İsim | Tür | Varsayılan değer | Açıklama |
|---|---|---|---|
| IP BEYAZ LİSTESİ | dizgi | Boş | IP adreslerinin noktalı virgülle ayrılmış listesini sağlayın. NAS/VPN sunucusu gibi hizmet isteklerinin kaynaklandığı makinelerin IP adreslerini ekleyin. IP aralıkları ve alt ağlar desteklenmez. Örneğin, 10.0.0.1; 10.0.0.2; 10.0.0.3. |
Not
Bu kayıt defteri anahtarı yükleyici tarafından varsayılan olarak oluşturulmaz ve hizmet yeniden başlatıldığında AuthZOptCh günlüğünde bir hata görüntülenir. Günlükteki bu hata yoksayılabilir, ancak bu kayıt defteri anahtarı oluşturulur ve gerekli olmadığı takdirde boş bırakılırsa, hata iletisi tekrar görünmüyor.
IP_WHITELISTiçinde bulunan bir IP adresinden istek geldiğinde iki aşamalı doğrulama atlanır. IP listesi, RADIUS isteğinin ratNASIPAddress özniteliğinde sağlanan IP adresiyle karşılaştırılır. Bir RADIUS isteği ratNASIPAddress özniteliği olmadan gelirse, şu uyarı günlüğe kaydedilir: "IP_WHITE_LIST_WARNING::Kaynak IP, RADIUS isteği NasIpAddress özniteliğinde eksik olduğu için IP Beyaz Listesi göz ardı ediliyor."
Sonraki adımlar
- Microsoft Entra çok faktörlü kimlik doğrulaması için NPS uzantısından gelen hata iletilerini çözme
- MFA'ya kayıtlı olmayan kullanıcılar için REQUIRE_USER_MATCH'i kullanarak hazırlanın