使用 Microsoft Entra ID 進行 RADIUS 驗證
遠端驗證撥入使用者服務 (RADIUS) 是一種網路通訊協定,可為撥號使用者啟用集中式驗證與授權,以確保網路安全。 許多應用程式仍需使用 RADIUS 通訊協定來驗證使用者。
Microsoft Windows Server 具有名為「網路原則伺服器」(NPS) 的角色,可作為 RADIUS 伺服器並支援 RADIUS 驗證。
Microsoft Entra ID 可透過 RADIUS 型系統啟用多重要素驗證。 如果客戶想要將 Microsoft Entra 多重要素驗證套用至前述任何 RADIUS 工作負載,他們可以將 Microsoft Entra 多重要素驗證 NPS 擴充功能安裝在其 Windows NPS 伺服器上。
Windows NPS 伺服器會根據 Active Directory 來驗證使用者的認證,然後將多重要素驗證要求傳送至 Azure。 接著,使用者會在其行動驗證器上收到挑戰。 成功之後,用戶端應用程式即可連線至服務。
的使用時機:
您必須將多重要素驗證新增至應用程式,例如
- 虛擬私人網路 (VPN)
- WiFi 存取
- 遠端桌面閘道 (RDG)
- 虛擬桌面基礎結構 (VDI)
- 使用 RADIUS 通訊協定向服務驗證使用者的任何其他應用程式。
注意
我們建議您將 VPN 升級為安全性聲明標記語言 (SAML) 並直接將 VPN 與 Microsoft Entra ID 聯合,而不是依賴 RADIUS 和 Microsoft Entra 多重要素驗證 NPS 擴充功能來套用 Microsoft Entra 多重要素驗證。 這可為您的 VPN 提供全面的 Microsoft Entra ID Protection,包括條件式存取、多重要素驗證、裝置合規性和 Microsoft Entra ID Protection。
系統的元件
用戶端應用程式 (VPN 用戶端):將驗證要求傳送至 RADIUS 用戶端。
RADIUS 用戶端:轉換來自用戶端應用程式的要求,並將其傳送至已安裝 NPS 擴充功能的 RADIUS 伺服器。
RADIUS 伺服器:與 Active Directory 連線,以執行 RADIUS 要求的主要驗證。 成功之後,會將要求傳遞至 Microsoft Entra 多重要素驗證 NPS 擴充功能。
NPS 擴充功能:觸發次要驗證的 Microsoft Entra 多重要素驗證要求。 如果成功,NPS 擴充功能即會向 RADIUS 伺服器提供安全性權杖 (其中包含由 Azure's Security Token Service 所發出的多重要素驗證宣告),以完成驗證要求。
Microsoft Entra 多重要素驗證:與 Microsoft Entra ID 通訊以擷取使用者的詳細資料,並使用使用者所設定的驗證方法來執行次要驗證。