多重要素驗證之 NPS 延伸模組的進階設定選項
網路原則伺服器 (NPS) 延伸模組會將雲端式 Microsoft Entra 多重要素驗證功能延伸到內部部署基礎結構。 本文假設您已經安裝延伸模組,而現在想要知道如何為您的需求自訂延伸模組。
替代登入識別碼
因為 NPS 延伸模組會連接到您的內部部署和雲端目錄,所以您可能會發生內部部署使用者主體名稱 (UPN) 不符合雲端中名稱的問題。 若要解決此問題,請使用替代登入識別碼。
在 NPS 延伸模組內,您可以指定要用來作為 Microsoft Entra 多重要素驗證 UPN 的 Active Directory 屬性。 這可讓您保護具有雙步驟驗證的內部部署資源,而不需要修改內部部署 UPN。
若要設定替代登入識別碼,請移至 HKLM\SOFTWARE\Microsoft\AzureMfa,然後編輯下列登錄值:
| 名稱 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| LDAP_ALTERNATE_LOGINID_ATTRIBUTE | 字串 | 空的 | 指定您想要用來作為 UPN 的 Active Directory 屬性名稱。 此屬性用作 AlternateLoginId 屬性。 如果此登錄值設定為有效的 Active Directory 屬性 (例如,mail 或 displayName),則會使用屬性的值作為使用者的 UPN 以進行驗證。 如果此登錄值是空的或未設定,則會停用 AlternateLoginId,並以使用者的 UPN 進行驗證。 |
| LDAP_FORCE_GLOBAL_CATALOG | boolean | False | 使用此旗標,可在查閱 AlternateLoginId 時強制使用通用類別目錄進行 LDAP 搜尋。 將網域控制站設定為通用類別目錄,並將 AlternateLoginId 屬性新增至通用類別目錄,然後啟用此旗標。 如果設定 LDAP_LOOKUP_FORESTS (不是空的),則此旗標會強制執行為 true,不論登錄設定的值為何。 在此情況下,NPS 延伸模組需要使用每個樹系的 AlternateLoginId 屬性來設定通用類別目錄。 |
| LDAP_LOOKUP_FORESTS | 字串 | 空的 | 提供要搜尋的樹系清單 (以分號分隔)。 例如,contoso.com;foobar.com。 如果設定此登錄值,NPS 延伸模組會依列出順序反覆搜尋所有樹系,並傳回第一個成功的 AlternateLoginId 值。 如果未設定此登錄值,AlternateLoginId 查閱會侷限於目前網域。 |
若要針對替代登入識別碼問題進行疑難排解,請使用替代登入識別碼錯誤的建議步驟。
IP 例外狀況
如果您需要監視伺服器可用性 (例如,如果負載平衡器確認哪些伺服器在傳送工作負載之前執行),則不會想要驗證要求封鎖這些檢查。 相反地,建立一份您知道服務帳戶所使用的 IP 位址清單,並停用該清單的多重要素驗證需求。
若要設定 IP 允許清單,請移至 HKLM\SOFTWARE\Microsoft\AzureMfa,然後設定下列登錄值:
| 名稱 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| IP_WHITELIST | 字串 | 空的 | 提供 IP 位址清單 (以分號分隔)。 包含產生服務要求之機器的 IP 位址,例如 NAS/VPN 伺服器。 不支援 IP 範圍和子網路。 例如,10.0.0.1;10.0.0.2;10.0.0.3。 |
注意
安裝程式依預設不會建立此登錄機碼,且在重新啟動服務時,AuthZOptCh 記錄中會出現錯誤。 您可以忽略記錄檔中的這個錯誤,但如果建立此登錄機碼,並在不需要時保留空白,則不會傳回錯誤訊息。
從 IP_WHITELIST 中的 IP 位址傳入要求時,會跳過雙步驟驗證。 IP 清單會與 RADIUS 要求之 ratNASIPAddress 屬性中所提供的 IP 位址進行比較。 如果傳入沒有 ratNASIPAddress 屬性的 RADIUS 要求,則會記錄下列警告:「P_WHITE_LIST_WARNING::IP 允許清單將會予以忽略,因為 RADIUS 要求的 NasIpAddress 屬性中遺漏來源 IP」。