設定 IIS Web 應用程式的 Azure Multi-Factor Authentication Server

  • 發行項

使用 Azure Multi-Factor Authentication (MFA) 伺服器的 [IIS 驗證] 區段來啟用和設定 IIS 驗證,以便與 Microsoft IIS Web 應用程式整合。 Azure Multi-Factor Authentication Server 會安裝外掛程式,以篩選對 IIS 網頁伺服器提出的要求,以新增 Azure Multi-Factor Authentication。 IIS 外掛程式支援表單式驗證和整合式 Windows HTTP 驗證。 受信任的 IP 也可以設定為豁免雙因素驗證的內部 IP 位址。

重要

在 2022 年 9 月,Microsoft 宣佈淘汰 Azure Multi-Factor Authentication Server。 從 2024 年 9 月 30 日起,Azure Multi-Factor Authentication Server 部署將不再服務多重要素驗證 (MFA) 要求,這可能會導致貴組織驗證失敗。 為了確保不間斷的驗證服務並維持在支援的狀態,組織應該 使用最新 Azure Multi-Factor Authentication Server 更新 中包含的最新 移轉公用程式,將其使用者的驗證資料 遷移至雲端式 Azure Multi-Factor Authentication 服務。 如需詳細資訊,請參閱 Azure Multi-Factor Authentication Server 移轉

若要開始使用雲端式 MFA,請參閱 教學課程:使用 Azure Multi-Factor Authentication 保護使用者登入事件。

當您使用雲端式 Azure Multi-Factor Authentication 時,Azure Multi-Factor Authentication (MFA) 伺服器所提供的 IIS 外掛程式沒有替代方案。 請改用 Web 應用程式 Proxy (WAP) 搭配 Active Directory 同盟服務 (AD FS) 或 Microsoft Entra 應用程式 Proxy。

IIS Authentication in MFA Server

搭配 Azure Multi-Factor Authentication Server 使用表單式 IIS 驗證

若要保護使用表單式驗證的 IIS Web 應用程式,請在 IIS Web 服務器上安裝 Azure Multi-Factor Authentication Server,並根據下列程式設定伺服器:

  1. 在 Azure Multi-Factor Authentication Server 中,按一下左側功能表中的 [IIS 驗證] 圖示。

  2. 按一下 [ 表單型] 索引標籤。

  3. 按一下新增

  4. 若要自動偵測使用者名稱、密碼和網域變數,請在 [自動設定表單型網站] 對話方塊中輸入 [登入 URL] https://localhost/contoso/auth/login.aspx ,然後按一下 [ 確定 ]。

  5. 核取 [ 需要 Multi-Factor Authentication 使用者比對 ] 方塊,如果所有使用者都已或將匯入伺服器,並受限於多重要素驗證。 如果大量使用者尚未匯入伺服器和/或會豁免多重要素驗證,請取消核取此方塊。

  6. 如果無法自動偵測到頁面變數,請按一下 [自動設定表單型網站] 對話方塊中的 [ 手動 指定]。

  7. 在 [新增表單型網站] 對話方塊中,于 [提交 URL] 欄位中輸入登入頁面的 URL,然後輸入 [應用程式名稱] (選擇性)。 應用程式名稱會出現在 Azure Multi-Factor Authentication 報告中,而且可能會顯示在 SMS 或行動應用程式驗證訊息內。

  8. 選取正確的要求格式。 這會針對大部分的 Web 應用程式設定為 POST 或 GET

  9. 輸入 Username 變數、密碼變數和網域變數(如果出現在登入頁面上)。 若要尋找輸入方塊的名稱,請流覽至網頁瀏覽器中的登入頁面,以滑鼠右鍵按一下頁面,然後選取 [檢視來源 ]。

  10. 核取 [ 需要 Azure Multi-Factor Authentication 使用者比對 ] 方塊,如果所有使用者都已匯入或將匯入伺服器,並受限於多重要素驗證。 如果大量使用者尚未匯入伺服器和/或會豁免多重要素驗證,請取消核取此方塊。

  11. 按一下 [ 進階] 以檢閱進階 設定,包括:

    • 選取自訂拒絕頁面檔案
    • 使用 Cookie 快取網站成功驗證一段時間
    • 選取是否要針對 Windows 網域、LDAP 目錄驗證主要認證。 或 RADIUS 伺服器。

  12. 按一下 [確定 ] 返回 [新增表單型網站] 對話方塊。

  13. 按一下 [確定]

  14. 一旦偵測到或輸入 URL 和頁面變數,網站資料就會顯示在 [表單型] 面板中。

搭配 Azure Multi-Factor Authentication Server 使用整合式Windows 驗證

若要保護使用整合式 Windows HTTP 驗證的 IIS Web 應用程式,請在 IIS Web 服務器上安裝 Azure Multi-Factor Authentication Server,然後使用下列步驟設定伺服器:

  1. 在 Azure Multi-Factor Authentication Server 中,按一下左側功能表中的 [IIS 驗證] 圖示。
  2. 按一下 [HTTP] 索引 標籤。
  3. 按一下新增
  4. 在 [新增基底 URL] 對話方塊中,輸入執行 HTTP 驗證的網站 URL(例如 http://localhost/owa ),並提供 [應用程式名稱] (選擇性)。 應用程式名稱會出現在 Azure Multi-Factor Authentication 報告中,而且可能會顯示在 SMS 或行動應用程式驗證訊息內。
  5. 如果預設值不足,請調整 [閒置逾時] 和 [最大會話時間]。
  6. 核取 [ 需要 Multi-Factor Authentication 使用者比對 ] 方塊,如果所有使用者都已或將匯入伺服器,並受限於多重要素驗證。 如果大量使用者尚未匯入伺服器和/或會豁免多重要素驗證,請取消核取此方塊。
  7. 如有需要, 請檢查 Cookie 快取 方塊。
  8. 按一下 [確定]

啟用 Azure Multi-Factor Authentication Server 的 IIS 外掛程式

設定表單式或 HTTP 驗證 URL 和設定之後,請選取應在 IIS 中載入並啟用 Azure Multi-Factor Authentication IIS 外掛程式的位置。 請使用下列程序:

  1. 如果在 IIS 6 上執行,請按一下 [ISAPI ] 索引標籤。選取 Web 應用程式正在執行的網站,以啟用該網站的 Azure Multi-Factor Authentication ISAPI 篩選外掛程式。
  2. 如果在 IIS 7 或更新版本上執行,請按一下 [ 原生模組 ] 索引標籤。選取伺服器、網站或應用程式,以在所需的層級啟用 IIS 外掛程式。
  3. 按一下畫面頂端的 [ 啟用 IIS 驗證 ] 方塊。 Azure Multi-Factor Authentication 現在正在保護選取的 IIS 應用程式。 確定使用者已匯入伺服器。

可信任 IP

受信任的 IP 可讓使用者略過源自特定 IP 位址或子網的網站要求 Azure Multi-Factor Authentication。 例如,您可能想要在從辦公室登入時豁免 Azure Multi-Factor Authentication 的使用者。 在此情況下,您可以將 Office 子網指定為受信任的 IP 專案。 若要設定信任的 IP,請使用下列程式:

  1. 在 [IIS 驗證] 區段中,按一下 [ 受信任的 IP ] 索引標籤。
  2. 按一下新增
  3. 當 [新增受信任的 IP] 對話方塊出現時,選取 [單一 IP ]、 [IP 範圍 ] 或 [子網] 選項按鈕。
  4. 輸入應允許的 IP 位址、IP 位址範圍或子網。 如果輸入子網,請選取適當的 Netmask,然後按一下 [ 確定 ]。