多重要素驗證之 NPS 擴充功能的進階組態選項
網路原則伺服器 (NPS) 擴充功能會將雲端式 Microsoft Entra 多重要素驗證功能延伸至內部部署基礎結構。 本文假設您已經安裝延伸模組,現在想要知道如何自訂擴充功能以符合您的需求。
替代登入識別碼
由於 NPS 擴充功能會同時連線到內部部署和雲端目錄,因此您可能會遇到內部部署使用者主體名稱 (UPN) 不符合雲端中名稱的問題。 若要解決此問題,請使用替代登入識別碼。
在 NPS 延伸模組中,您可以指定 Active Directory 屬性做為 Microsoft Entra 多重要素驗證的 UPN。 這可讓您使用雙步驟驗證來保護內部部署資源,而不需修改內部部署 UPN。
若要設定替代登入識別碼,請移至 HKLM\SOFTWARE\Microsoft\AzureMfa 並編輯下列登錄值:
| 名稱 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| LDAP_ALTERNATE_LOGINID_ATTRIBUTE | string | 空的 | 指定您想要作為 UPN 使用的 Active Directory 屬性名稱。 這個屬性會當做 AlternateLoginId 屬性使用。 如果此登錄值設定為 有效的 Active Directory 屬性 (例如 mail 或 displayName),則會使用屬性的值做為使用者的 UPN 進行驗證。 如果此登錄值是空的或未設定的,則會停用 AlternateLoginId,並使用使用者的 UPN 進行驗證。 |
| LDAP_FORCE_GLOBAL_CATALOG | boolean | False | 使用此旗標在查閱 AlternateLoginId 時強制使用通用類別目錄進行 LDAP 搜尋。 將網域控制站設定為通用類別目錄、將 AlternateLoginId 屬性新增至通用類別目錄,然後啟用此旗標。 如果已設定LDAP_LOOKUP_FORESTS (非空白), 不論登錄設定的值為何,此旗標都會強制執行為 true 。 在此情況下,NPS 擴充功能需要針對每個樹系設定 AlternateLoginId 屬性的通用類別目錄。 |
| LDAP_LOOKUP_FORESTS | string | 空的 | 提供要搜尋的樹系分號分隔清單。 例如, contoso.com;foobar.com。 如果設定此登錄值,NPS 擴充功能會反復搜尋所有樹系,依列出的順序,並傳回第一個成功的 AlternateLoginId 值。 如果未設定此登錄值,AlternateLoginId 查閱會限制為目前的網域。 |
若要針對替代登入識別碼的問題進行疑難排解,請使用替代登入識別碼錯誤 的建議步驟 。
IP 例外狀況
如果您需要監視伺服器可用性,例如負載平衡器在傳送工作負載之前確認哪些伺服器正在執行,您不希望這些檢查遭到驗證要求封鎖。 請改為建立您知道的服務帳戶所使用的 IP 位址清單,並停用該清單的多重要素驗證需求。
若要設定 IP 允許的清單,請移至 HKLM\SOFTWARE\Microsoft\AzureMfa 並設定下列登錄值:
| 名稱 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| IP_WHITELIST | string | 空的 | 提供分號分隔的 IP 位址清單。 包含服務要求來源的電腦 IP 位址,例如 NAS/VPN 伺服器。 不支援 IP 範圍和子網。 例如, 10.0.0.1;10.0.0.2;10.0.0.3 。 |
注意
安裝程式預設不會建立此登錄機碼,當服務重新開機時,AuthZOptCh 記錄檔中會出現錯誤。 您可以忽略記錄檔中的這個錯誤,但如果建立此登錄機碼,若不需要,則不會傳回錯誤訊息。
當要求來自 存在於 中的 IP_WHITELIST IP 位址時,會略過雙步驟驗證。 IP 清單會與 RADIUS 要求的 ratNASIPAddress 屬性中 提供的 IP 位址進行比較。 如果 RADIUS 要求沒有 ratNASIPAddress 屬性,則會記錄警告:「IP_WHITE_LIST_WARNING::IP 白名單會被忽略,因為 RADIUS 要求 NasIpAddress 屬性中遺漏來源 IP。