使用 RADIUS 的遠端桌面閘道器和 Azure Multi-Factor Authentication Server

文章
10/25/2023

遠端桌面（RD）閘道通常會使用局域網絡原則服務（NPS）來驗證使用者。本文說明如何將 RADIUS 要求從遠端桌面閘道（透過本機 NPS）路由傳送至 Multi-Factor Authentication Server。 Azure MFA 和 RD 閘道的組合表示，您的使用者可以從任何地方存取其工作環境，同時執行增強式驗證。

由於 Server 2012 R2 不支援終端機服務的 Windows 驗證，因此請使用 RD 閘道和 RADIUS 來與 MFA Server 整合。

在個別的伺服器上安裝 Azure Multi-Factor Authentication Server，此伺服器會將 RADIUS 要求轉回遠端桌面閘道伺服器上的 NPS。在 NPS 驗證使用者名稱和密碼之後，它會傳回 Multi-Factor Authentication Server 的回應。然後，MFA Server 會執行第二個驗證因素，並將結果傳回至閘道。

重要

在 2022 年 9 月，Microsoft 宣佈淘汰 Azure Multi-Factor Authentication Server。從 2024 年 9 月 30 日起，Azure Multi-Factor Authentication Server 部署將不再服務多重要素驗證（MFA）要求，這可能會導致貴組織驗證失敗。為了確保不會中斷的驗證服務並維持在支援的狀態，組織應該使用最新 Azure MFA Server 更新中包含的最新移轉公用程式，將其使用者的驗證資料遷移至雲端式 Azure MFA 服務。如需詳細資訊，請參閱 Azure MFA 伺服器移轉。

若要開始使用雲端式 MFA，請參閱教學課程：使用 Azure Multi-Factor Authentication 保護使用者登入事件。

如果您使用雲端式 MFA，請參閱如何與 Azure Multi-Factor Authentication 的 RADIUS 驗證整合。

必要條件

已加入網域的 Azure MFA Server。如果您尚未安裝一個，請遵循開始使用 Azure Multi-Factor Authentication Server 中的步驟。
現有的已設定 NPS 伺服器。
使用網路原則服務進行驗證的遠端桌面閘道。

注意

本文應該只與 MFA Server 部署搭配使用，而不是 Azure MFA （雲端式）。

設定遠端桌面閘道

設定 RD 閘道以將 RADIUS 驗證傳送至 Azure Multi-Factor Authentication Server。

在 [RD 閘道管理員] 中，以滑鼠右鍵按一下伺服器名稱，然後選取 [ 屬性 ]。
移至 [RD CAP 存放區 ] 索引標籤，然後選取執行 NPS 的 中央伺服器。
輸入每部伺服器的名稱或 IP 位址，將一或多個 Azure Multi-Factor Authentication Server 新增為 RADIUS 伺服器。
為每個伺服器建立共用密碼。

設定 NPS

RD 閘道會使用 NPS 將 RADIUS 要求傳送至 Azure Multi-Factor Authentication。若要設定 NPS，請先變更逾時設定，以防止 RD 閘道在雙步驟驗證完成之前逾時。然後，您會更新 NPS 以從 MFA Server 接收 RADIUS 驗證。使用下列程式來設定 NPS：

修改逾時原則

在 NPS 中，開啟左欄中的 [RADIUS 用戶端和伺服器 ] 功能表，然後選取 [ 遠端 RADIUS 伺服器群組 ]。
選取 [ TS 閘道伺服器群組 ]。
移至 [ 負載平衡] 索引標籤。
將要求視為捨棄 前的秒數，以及 當伺服器識別為無法使用 至 30 到 60 秒時，要求之間的秒數。（如果您發現伺服器在驗證期間仍然逾時，您可以回到這裡並增加秒數。
移至 [ 驗證/帳戶 ] 索引標籤，並檢查指定的 RADIUS 埠是否符合 Multi-Factor Authentication Server 正在接聽的埠。

準備 NPS 以從 MFA 伺服器接收驗證

以滑鼠右鍵按一下 左欄中 [RADIUS 用戶端和伺服器] 下的 [RADIUS 用戶端 和伺服器]，然後選取 [ 新增 ]。
將 Azure Multi-Factor Authentication Server 新增為 RADIUS 用戶端。選擇 [易記名稱]，並指定共用密碼。
開啟左欄中的 [ 原則] 功能表，然後選取 [連線ion 要求原則 ]。您應該會看到名為 TS 閘道授權原則的原則，該原則是在設定 RD 閘道時建立的。此原則會將 RADIUS 要求轉送至 Multi-Factor Authentication Server。
以滑鼠右鍵按一下 [TS 閘道授權原則 ]，然後選取 [ 複製原則 ]。
開啟新的原則，然後移至 [ 條件] 索引標籤。
新增符合 Azure Multi-Factor Authentication Server RADIUS 用戶端步驟 2 中所設定易記名稱的 [用戶端易記名稱] 的條件。
移至 [設定] 索引卷 標，然後選取 [ 驗證 ]。
將驗證提供者變更為 驗證此伺服器上的 要求。此原則可確保當 NPS 從 Azure MFA Server 收到 RADIUS 要求時，會在本機進行驗證，而不是將 RADIUS 要求傳回至 Azure Multi-Factor Authentication Server，這會導致迴圈狀況。
若要防止迴圈條件，請確定新原則已排序在 [連線ion 要求原則 ] 窗格中的原始 原則上方。

設定 Azure Multi-Factor Authentication

Azure Multi-Factor Authentication Server 會設定為 RD 閘道與 NPS 之間的 RADIUS Proxy。它應該安裝在與 RD 閘道伺服器分開的已加入網域的伺服器上。使用下列程式來設定 Azure Multi-Factor Authentication Server。

開啟 Azure Multi-Factor Authentication Server，然後選取 RADIUS 驗證圖示。
核取 [ 啟用 RADIUS 驗證] 核取方塊。
在 [用戶端] 索引標籤上，確定埠符合 NPS 中所設定的專案，然後選取 [ 新增 ]。
新增 RD 閘道伺服器 IP 位址、應用程式名稱（選擇性），以及共用密碼。在 Azure Multi-Factor Authentication Server 和 RD 閘道上，共用密碼必須相同。
移至 [ 目標] 索引標籤，然後選取 [RADIUS 伺服器] 選項按鈕。
選取 [新增 ]，然後輸入 NPS 伺服器的 IP 位址、共用密碼和埠。除非使用中央 NPS，否則 RADIUS 用戶端和 RADIUS 目標都相同。共用密碼必須符合 NPS 伺服器的 RADIUS 用戶端區段中的一個設定。

Radius Authentication in MFA Server

下一步

整合 Azure MFA 和 IIS Web 應用程式
在 Azure Multi-Factor Authentication 常見問題中取得解答

分享方式：