整合現有的網路原則伺服器 (NPS) 基礎結構與 Microsoft Entra 多重要素驗證

Microsoft Entra 多重要素驗證的網路原則伺服器 (NPS) 擴充功能會使用現有的伺服器,將雲端式 MFA 功能新增至您的驗證基礎結構。 透過 NPS 擴充功能,您可以將通話、簡訊或電話應用程式驗證新增至您現有的驗證流程,而不需要安裝、設定及維護新的伺服器。

NPS 擴充功能可作為 RADIUS 與雲端式 Microsoft Entra 多重要素驗證之間的配接器,為同盟或同步的使用者提供第二個驗證要素。

NPS 擴充功能的運作方式

當您針對 Microsoft Entra 多重要素驗證使用 NPS 擴充功能時,驗證流程會包含下列元件:

  1. NAS/VPN 伺服器 會接收來自 VPN 用戶端的要求,並將其轉換成 NPS 伺服器的 RADIUS 要求。

  2. NPS 伺服器 會連線到 Active Directory 網域服務 (AD DS),以執行 RADIUS 要求的主要驗證,並在成功時,將要求傳遞至任何已安裝的延伸模組。

  3. NPS 擴充功能 會針對次要驗證觸發 Microsoft Entra 多重要素驗證的要求。 一旦延伸模組收到回應,如果 MFA 挑戰成功,它會藉由為 NPS 伺服器提供包含 Azure STS 所發出 MFA 宣告的安全性權杖,來完成驗證要求。

    注意

    雖然 NPS 不支援 數位比 對,但最新的 NPS 擴充功能確實支援以時間為基礎的單次密碼 (TOTP) 方法,例如 Microsoft Authenticator 中提供的 TOTP。 TOTP 登入提供比替代 核准 / 拒絕 體驗更好的安全性。

    在 2023 年 5 月 8 日之後,當所有使用者啟用數位比對之後,任何使用 NPS 擴充功能 1.2.2216.1 版或更新版本執行 RADIUS 連線的人,將會改為提示使用 TOTP 方法登入。 使用者必須註冊 TOTP 驗證方法,才能看到此行為。 若未註冊 TOTP 方法,使用者仍會看到核准 / 拒絕。

  4. Microsoft Entra 多重要素驗證 會與 Microsoft Entra ID 通訊,以擷取使用者的詳細資料,並使用設定給使用者的驗證方法來執行次要驗證。

下圖說明此高階驗證要求流程:

Diagram of the authentication flow for user authenticating through a VPN server to NPS server and the Microsoft Entra multifactor authentication NPS extension

RADIUS 通訊協定行為和 NPS 擴充功能

由於 RADIUS 是 UDP 通訊協定,傳送者會假設封包遺失,並等候回應。 經過一段時間之後,連線可能會逾時。如果是,封包會因為傳送者假設封包未到達目的地而遭到重新傳送。 在本文中的驗證案例中,VPN 伺服器會傳送要求並等候回應。 如果連線逾時,VPN 伺服器會再次傳送要求。

Diagram of RADIUS UDP packet flow and requests after timeout on response from NPS server

NPS 伺服器可能不會在連線逾時之前回應 VPN 伺服器的原始要求,因為 MFA 要求可能仍在處理中。 使用者可能無法成功回應 MFA 提示,因此 Microsoft Entra 多重要素驗證 NPS 擴充功能正在等候該事件完成。 在此情況下,NPS 伺服器會將其他 VPN 伺服器要求識別為重複要求。 NPS 伺服器會捨棄這些重複的 VPN 伺服器要求。

Diagram of NPS server discarding duplicate requests from RADIUS server

如果您查看 NPS 伺服器記錄,您可能會看到這些額外的要求遭到捨棄。 此行為是設計來保護終端使用者無法取得單一驗證嘗試的多個要求。 NPS 伺服器事件記錄檔中捨棄的要求不會指出 NPS 伺服器或 Microsoft Entra 多重要素驗證 NPS 擴充功能發生問題。

若要將捨棄的要求降到最低,建議您將 VPN 伺服器設定為至少 60 秒的逾時。 如有需要,或減少事件記錄檔中捨棄的要求,您可以將 VPN 伺服器逾時值增加到 90 或 120 秒。

由於這個 UDP 通訊協定行為,NPS 伺服器可能會收到重複的要求,並傳送另一個 MFA 提示,即使使用者已經回應初始要求。 為避免這種計時狀況,Microsoft Entra 多重要素驗證 NPS 延伸模組會在成功回應傳送至 VPN 伺服器之後,繼續篩選並捨棄重複的要求長達 10 秒。

Diagram of NPS server continuing to discard duplicate requests from VPN server for ten seconds after a successful response is returned

同樣地,您可能會在 NPS 伺服器事件記錄中看到捨棄的要求,即使 Microsoft Entra 多重要素驗證提示成功也一般。 這是預期的行為,而且不會指出 NPS 伺服器或 Microsoft Entra 多重要素驗證 NPS 擴充功能發生問題。

規劃您的部署

NPS 擴充功能會自動處理備援,因此您不需要特殊設定。

您可以視需要建立啟用多個 Microsoft Entra 多重要素驗證的 NPS 伺服器。 如果您確實安裝多部伺服器,則應該為每個伺服器使用不同的用戶端憑證。 為每個伺服器建立憑證表示您可以個別更新每個憑證,而不必擔心所有伺服器的停機時間。

VPN 伺服器會路由驗證要求,因此必須注意已啟用新 Microsoft Entra 多重要素驗證的 NPS 伺服器。

必要條件

NPS 擴充功能旨在與現有的基礎結構搭配使用。 開始之前,請確定您有下列必要條件。

授權

Microsoft Entra 多重要素驗證的 NPS 延伸模組適用于具有 Microsoft Entra 多重要素驗證 授權的客戶(隨附于 Microsoft Entra ID P1 和 進階版 P2 或 Enterprise Mobility + Security)。 Microsoft Entra 多重要素驗證的取用型授權,例如每個使用者或每個驗證授權,都與 NPS 延伸模組不相容。

軟體

Windows Server 2012 或更新版本。

Libraries

您必須手動安裝下列程式庫:

下列程式庫會自動隨延伸模組一起安裝。

如果尚未存在,PowerShell 模組也會透過您在安裝程式過程中執行的組態腳本來安裝。 如果尚未安裝此模組,就不需要事先安裝此模組。

取得目錄租使用者識別碼

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

在 NPS 擴充功能的設定中,您必須提供系統管理員認證和 Microsoft Entra 租使用者的識別碼。 若要取得租使用者識別碼,請完成下列步驟:

  1. 以至少全域管理員istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [ 身分 > 識別設定]。

    Getting the Tenant ID from the Microsoft Entra admin center

網路需求

NPS 伺服器必須能夠透過 TCP 埠 443 與下列 URL 通訊:

  • https://login.microsoftonline.com
  • https://login.microsoftonline.us (Azure Government)
  • https://login.chinacloudapi.cn (Microsoft Azure operated by 21Vianet)
  • https://credentials.azure.com
  • https://strongauthenticationservice.auth.microsoft.com
  • https://strongauthenticationservice.auth.microsoft.us (Azure Government)
  • https://strongauthenticationservice.auth.microsoft.cn (Microsoft Azure operated by 21Vianet)
  • https://adnotifications.windowsazure.com
  • https://adnotifications.windowsazure.us (Azure Government)
  • https://adnotifications.windowsazure.cn (Microsoft Azure operated by 21Vianet)

此外,需要連線到下列 URL,才能使用提供的 PowerShell 腳本 完成 配接器的設定:

  • https://login.microsoftonline.com
  • https://provisioningapi.microsoftonline.com
  • https://aadcdn.msauth.net
  • https://www.powershellgallery.com
  • https://go.microsoft.com
  • https://aadcdn.msftauthimages.net

準備您的環境

安裝 NPS 擴充功能之前,請先準備環境以處理驗證流量。

在已加入網域的伺服器上啟用 NPS 角色

NPS 伺服器會連線到 Microsoft Entra ID,並驗證 MFA 要求。 為此角色選擇一部伺服器。 建議您選擇不會處理其他服務要求的伺服器,因為 NPS 擴充功能會針對非 RADIUS 的任何要求擲回錯誤。 NPS 伺服器必須設定為您環境的主要和次要驗證服務器。 它無法將 RADIUS 要求 Proxy 至另一部伺服器。

  1. 在您的伺服器上,開啟 伺服器管理員 。 從 [快速入門] 功能表選取 [新增角色和功能精 ]。
  2. 針對您的安裝類型,選擇 [ 角色型] 或 [功能型安裝 ]。
  3. 選取 [網路原則] 和 [ 存取服務 伺服器] 角色。 視窗可能會彈出,通知您執行此角色的其他必要功能。
  4. 繼續執行精靈,直到 [ 確認 ] 頁面為止。 準備好時,請選取 [ 安裝 ]。

安裝 NPS 伺服器角色可能需要幾分鐘的時間。 完成後,請繼續進行下列各節,以設定此伺服器來處理來自 VPN 解決方案的傳入 RADIUS 要求。

設定 VPN 解決方案以與 NPS 伺服器通訊

根據您使用的 VPN 解決方案,設定 RADIUS 驗證原則的步驟會有所不同。 將您的 VPN 原則設定為指向 RADIUS NPS 伺服器。

將網域使用者同步至雲端

此步驟可能已經在您的租使用者上完成,但最好仔細檢查 Microsoft Entra 連線最近已同步處理您的資料庫。

  1. 以全域管理員istrator 身分 登入 Microsoft Entra 系統管理中心
  2. 流覽至身 > 識別混合式管理 > Microsoft Entra 連線。
  3. 確認您的同步狀態為 [已啟用 ],且您的上次同步處理時間小於一小時前。

如果您需要開始新的一輪同步處理,請參閱 Microsoft Entra 連線 Sync:Scheduler

判斷使用者可以使用的驗證方法

有兩個因素會影響 NPS 擴充功能部署可用的驗證方法:

  • RADIUS 用戶端(VPN、Netscaler 伺服器或其他)與 NPS 伺服器之間所使用的密碼加密演算法。

    • PAP 支援雲端中 Microsoft Entra 多重要素驗證的所有驗證方法:通話、單向簡訊、行動代理程式更新、OATH 硬體權杖和行動應用程式驗證碼。
    • CHAPV2 EAP 支援通話和行動代理程式更新。
  • 用戶端應用程式(VPN、Netscaler 伺服器或其他)可以處理的輸入方法。 例如,VPN 用戶端是否有某種方法可讓使用者從文字或行動應用程式輸入驗證碼?

您可以在 Azure 中停用不支援的 驗證方法。

注意

無論您的 MFA 方法是以文字為基礎的(SMS、行動應用程式驗證碼或 OATH 硬體權杖),且要求使用者在 VPN 用戶端 UI 輸入欄位中輸入代碼或文字,驗證可能會成功。 但是 ,在網路存取原則 中設定的任何 RADIUS 屬性都不會 轉送至 RADIUS 用戶端(網路存取裝置,例如 VPN 閘道)。 因此,VPN 用戶端的存取權可能比您想要存取的還要多,或更少存取權或沒有存取權。

因應措施是,您可以執行 CrpUsernameStuffing 腳本 來轉送網路存取原則中設定的 RADIUS 屬性,並在使用者驗證方法需要使用單次密碼 (OTP)時允許 MFA,例如 SMS、Microsoft Authenticator 密碼或硬體 FOB。

註冊 MFA 的使用者

部署和使用 NPS 擴充功能之前,必須註冊執行 Microsoft Entra 多重要素驗證的使用者才能註冊 MFA。 若要在部署擴充功能時測試延伸模組,您也需要至少一個已完整註冊 Microsoft Entra 多重要素驗證的測試帳戶。

如果您需要建立及設定測試帳戶,請使用下列步驟:

  1. 使用測試帳戶登入 https://aka.ms/mfasetup
  2. 請遵循提示來設定驗證方法。
  3. 以至少驗證 原則管理員istrator 身分登入 Microsoft Entra 系統管理中心
  4. 流覽至 [ 保護 > 多重要素驗證 ] 並啟用測試帳戶。

重要

請確定使用者已成功註冊 Microsoft Entra 多重要素驗證。 如果使用者先前只註冊自助式密碼重設 (SSPR), 則會為其帳戶啟用 StrongAuthenticationMethods 。 Microsoft Entra 多重要素驗證會在設定 StrongAuthenticationMethods 強制執行,即使使用者只註冊 SSPR 也一樣。

您可以啟用合併的安全性註冊,同時設定 SSPR 和 Microsoft Entra 多重要素驗證。 如需詳細資訊,請參閱 在 Microsoft Entra ID 中啟用合併的安全性資訊註冊。

如果使用者先前只啟用 SSPR,您也可以 強制使用者重新註冊驗證方法

若要完成多重要素驗證提示,必須使用使用者名稱和密碼連線到 NPS 伺服器的使用者。

安裝 NPS 擴充功能

重要

在 VPN 存取點以外的不同伺服器上安裝 NPS 擴充功能。

下載並安裝 Microsoft Entra 多重要素驗證的 NPS 擴充功能

若要下載並安裝 NPS 擴充功能,請完成下列步驟:

  1. 從 Microsoft 下載中心下載 NPS 擴充功能
  2. 將二進位檔複製到您想要設定的網路原則伺服器。
  3. 執行 setup.exe ,並遵循安裝指示。 如果您遇到錯誤,請確定已成功安裝必要條件區段中 的連結 庫。

升級 NPS 擴充功能

如果您稍後升級現有的 NPS 擴充功能安裝,若要避免重新開機基礎伺服器,請完成下列步驟:

  1. 卸載現有的版本。
  2. 執行新的安裝程式。
  3. 重新開機網路原則伺服器 (IAS) 服務。

執行 PowerShell 指令碼

安裝程式會在 (其中 C:\ 是您的安裝磁片磁碟機) 建立 PowerShell 腳本 C:\Program Files\Microsoft\AzureMfa\Config 。 此 PowerShell 腳本會在每次執行時執行下列動作:

  • 建立自我簽署憑證。
  • 將憑證的公開金鑰與 Microsoft Entra 識別碼上的服務主體產生關聯。
  • 將憑證儲存在本機電腦憑證存放區中。
  • 將憑證私密金鑰的存取權授與網路使用者。
  • 重新開機 NPS 服務。

除非您想要使用自己的憑證(而不是 PowerShell 腳本產生的自我簽署憑證),否則請執行 PowerShell 腳本來完成 NPS 擴充功能安裝。 如果您在多部伺服器上安裝擴充功能,則每個伺服器都應該有自己的憑證。

若要提供負載平衡功能或備援,請視需要對其他 NPS 伺服器重複這些步驟:

  1. 以系統管理員的身分開啟 Windows PowerShell 命令提示字元。

  2. 將目錄變更為安裝程式建立 PowerShell 腳本的位置:

    cd "C:\Program Files\Microsoft\AzureMfa\Config"
    
  3. 執行安裝程式建立的 PowerShell 指令碼。

    您可能需要先讓 PowerShell 啟用 TLS 1.2,才能正確連線和下載套件:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

    重要

    針對使用由 21Vianet 雲端運作的 Azure Government 或 Microsoft Azure 的客戶,請先編輯 Connect-MsolService AzureMfaNpsExtnConfigSetup.ps1 腳本中的 Cmdlet,以包含 所需雲端的 AzureEnvironment 參數。 例如,指定 -AzureEnvironment USGovernment -AzureEnvironment AzureChinaCloud

    如需詳細資訊,請參閱 連線-MsolService 參數參考

    .\AzureMfaNpsExtnConfigSetup.ps1
    
  4. 出現提示時,以全域管理員身分登入 Microsoft Entra ID。

  5. PowerShell 會提示您輸入您的租用戶識別碼。 使用您在必要條件一節中複製的租使用者識別碼 GUID。

  6. 腳本完成時會顯示成功訊息。

如果先前的電腦憑證已過期,而且已產生新的憑證,您應該刪除任何過期的憑證。 憑證過期可能會導致 NPS 擴充功能啟動的問題。

注意

如果您使用自己的憑證,而不是使用 PowerShell 腳本產生憑證,請確定它們符合 NPS 命名慣例。 主體名稱必須是 CN= < TenantID,OU > =Microsoft NPS Extension

由 21Vianet 操作的 Microsoft Azure Government 或 Microsoft Azure 其他步驟

對於使用由 21Vianet 雲端運作的 Azure Government 或 Azure 的客戶,每個 NPS 伺服器上都需要下列額外的設定步驟。

重要

只有在您是 21Vianet 客戶的 Azure Government 或 Azure 時,才設定這些登錄設定。

  1. 如果您是由 21Vianet 客戶營運的 Azure Government 或 Azure,請在 NPS 伺服器上開啟 登錄編輯程式

  2. 瀏覽至 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

  3. 針對 Azure Government 客戶,設定下列索引鍵值:

    登錄機碼
    AZURE_MFA_HOSTNAME strongauthenticationservice.auth.microsoft.us
    AZURE_MFA_RESOURCE_HOSTNAME adnotifications.windowsazure.us
    STS_URL https://login.microsoftonline.us/
  4. 針對由 21Vianet 客戶營運的 Microsoft Azure,請設定下列索引鍵值:

    登錄機碼
    AZURE_MFA_HOSTNAME strongauthenticationservice.auth.microsoft.cn
    AZURE_MFA_RESOURCE_HOSTNAME adnotifications.windowsazure.cn
    STS_URL https://login.chinacloudapi.cn/
  5. 重複上述兩個步驟,為每個 NPS 伺服器設定登錄機碼值。

  6. 重新開機每個 NPS 伺服器的 NPS 服務。

    為了影響最小,請讓每個 NPS 伺服器一次從 NLB 輪替中取出一部,並等候所有連線清空。

憑證變換

使用 NPS 延伸模組 1.0.1.32 ,現在支援讀取多個憑證。 這項功能有助於在憑證到期前加速輪替憑證更新。 如果您的組織執行舊版的 NPS 擴充功能,請升級至 1.0.1.32 版或更高版本。

AzureMfaNpsExtnConfigSetup.ps1 指令碼所建立的憑證有 2 年的有效期。 監視憑證的到期時間。 NPS 擴充功能的憑證會放在 [個人 ] 底下的 [本機電腦 ] 憑證存放區中,並 發行至 提供給安裝腳本的租使用者識別碼。

當憑證接近到期日時,應建立新的憑證加以取代。 此程式可藉由再次執行 AzureMfaNpsExtnConfigSetup.ps1 ,並在出現提示時保留相同的租使用者識別碼來完成。 此程序應在環境中的每個 NPS 伺服器上重複執行。

設定 NPS 擴充功能

準備好您的環境,且 NPS 擴充功能現在安裝在所需的伺服器上,您可以設定擴充功能。

本節包含成功 NPS 擴充功能部署的設計考慮和建議。

設定限制

  • 適用于 Microsoft Entra 多重要素驗證的 NPS 擴充功能不包含將使用者和設定從 MFA Server 移轉至雲端的工具。 基於這個理由,我們建議針對新的部署使用擴充功能,而不是現有的部署。 如果您在現有的部署上使用擴充功能,您的使用者必須再次執行證明,以在雲端填入其 MFA 詳細資料。
  • NPS 擴充功能會使用來自內部部署 AD DS 環境的 UPN 來識別 Microsoft Entra 多重要素驗證上的使用者,以執行次要驗證。擴充功能可以設定為使用不同的識別碼,例如替代登入識別碼或 UPN 以外的自訂 AD DS 欄位。 如需詳細資訊,請參閱適用于多重要素驗證 之 NPS 延伸模組的進階組態選項一文
  • 並非所有加密通訊協定都支援所有驗證方法。
    • PAP 支援通話、單向簡訊、行動代理程式更新和行動應用程式驗證碼
    • CHAPV2 EAP 支援通話和行動代理程式更新

控制需要 MFA 的 RADIUS 用戶端

使用 NPS 擴充功能為 RADIUS 用戶端啟用 MFA 之後,需要此用戶端的所有驗證才能執行 MFA。 如果您想要為某些 RADIUS 用戶端啟用 MFA,但不能為其他用戶端啟用 MFA,您可以設定兩部 NPS 伺服器,並只在其中一部伺服器上安裝擴充功能。

設定您想要要求 MFA 的 RADIUS 用戶端,將要求傳送至使用擴充功能設定的 NPS 伺服器,並將其他 RADIUS 用戶端傳送至未設定擴充功能的 NPS 伺服器。

準備未註冊 MFA 的使用者

如果您有未註冊 MFA 的使用者,您可以判斷他們嘗試驗證時會發生什麼事。 若要控制此行為,請使用登錄路徑 HKLM\Software\Microsoft\AzureMFA 中的設定 REQUIRE_USER_MATCH 。 此設定具有單一組態選項:

Key 預設
REQUIRE_USER_MATCH TRUE/FALSE 未設定 (相當於 TRUE)

此設定會決定當使用者未註冊 MFA 時要執行的動作。 當金鑰不存在、未設定或設定為 TRUE ,且使用者未註冊時,擴充功能會失敗 MFA 挑戰。

當金鑰設定為 FALSE 且使用者未註冊時,驗證會繼續執行而不執行 MFA。 如果使用者已在 MFA 中註冊,即使REQUIRE_USER_MATCH 設為 FALSE ,他們也必須向 MFA 進行驗證。

您可以選擇建立此金鑰,並在使用者上線時將其 設定為 FALSE ,而且可能尚未註冊 Microsoft Entra 多重要素驗證。 不過,由於設定金鑰可允許未註冊 MFA 的使用者登入,因此您應該先移除此金鑰,再進入生產環境。

疑難排解

NPS 擴充功能健康情況檢查腳本

Microsoft Entra 多重要素驗證 NPS 延伸模組健康情況檢查腳本 會在針對 NPS 擴充功能進行疑難排解時執行基本健康情況檢查。 執行腳本,然後選擇其中一個可用的選項。

如何在執行 AzureMfaNpsExtnConfigSetup.ps1 腳本時修正「找不到服務主體」錯誤?

如果基於任何原因,「Azure 多重要素驗證用戶端」服務主體未在租使用者中建立,則可以執行 New-MsolServicePrincipal Cmdlet 來手動建立,如下所示。

import-module MSOnline
Connect-MsolService
New-MsolServicePrincipal -AppPrincipalId 981f26a1-7f43-403b-a875-f8b09b8cd720 -DisplayName "Azure Multi-Factor Auth Client"

完成後,請以 全域管理員istrator 身分登入 Microsoft Entra 系統管理中心 。 流覽至 [ 身分 > 識別應用程式企業應用程式 >> ],然後搜尋「Azure 多重要素驗證用戶端」。 然後按一下 [ 檢查此應用程式 的屬性]。 確認服務主體是否已啟用或停用。 按一下應用程式專案 > [屬性 ]。 如果 [為使用者啟用登入] 選項 設定 為 [否 ],請將它設定為 [是 ]。

AzureMfaNpsExtnConfigSetup.ps1再次執行腳本,不應該傳回 找不到 服務主體錯誤。

如何?確認用戶端憑證是否如預期般安裝?

尋找安裝程式在憑證存放區中建立的自我簽署憑證,並檢查私密金鑰是否具有授與使用者 NETWORK SERVICE 的許可權。 憑證的主體名稱 為 CN < tenantid,OU > = Microsoft NPS 擴充功能

腳本所產生的 AzureMfaNpsExtnConfigSetup.ps1 自我簽署憑證的有效存留期為兩年。 確認憑證已安裝時,您也應該檢查憑證是否已過期。

如何確認我的用戶端憑證是否與 Microsoft Entra 識別碼中的租使用者相關聯?

開啟 PowerShell 命令提示字元,然後執行下列命令:

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1

這些命令會列印將租使用者與您的 PowerShell 會話中 NPS 擴充功能實例建立關聯的所有憑證。 將用戶端憑證匯出為 沒有私密金鑰的 Base-64 編碼 X.509(.cer) 檔案,並將其與 PowerShell 的清單進行比較,以尋找您的憑證。

下列命令會在 C: 磁片磁碟機的根目錄建立名為 npscertificate 檔案, 格式為 .cer

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1 | select -ExpandProperty "value" | out-file c:\npscertificate.cer

執行此命令之後,請移至 C: 磁片磁碟機的 根目錄、找出檔案,然後按兩下該檔案。 移至詳細資料,然後向下捲動至「指紋」。 比較伺服器上所安裝憑證的指紋與這個指紋。 憑證指紋應該相符。

Valid-From Valid-Until 時間戳記,其格式為人類可讀取,如果命令傳回一個以上的憑證,就可以用來篩選出明顯的不合時宜。

為什麼我無法登入?

檢查您的密碼是否已過期。 NPS 擴充功能不支援在登入工作流程中變更密碼。 請連絡貴組織的 IT 人員以取得進一步的協助。

為什麼我的要求因安全性權杖錯誤而失敗?

此錯誤可能是因為數個原因之一。 使用下列步驟進行疑難排解:

  1. 重新開機 NPS 伺服器。
  2. 確認用戶端憑證已如預期般安裝。
  3. 確認憑證與 Microsoft Entra 識別碼上的租使用者相關聯。
  4. 確認可以從執行延伸模組的伺服器存取 https://login.microsoftonline.com/

為什麼驗證失敗,且 HTTP 記錄檔中有錯誤,指出找不到使用者?

確認 AD 連線正在執行,且使用者同時存在於內部部署 AD DS 環境和 Microsoft Entra ID 中。

為什麼我在記錄中看到 HTTP 連線錯誤,而我的所有驗證都失敗?

確認 https://adnotifications.windowsazure.comhttps://strongauthenticationservice.auth.microsoft.com 可從執行 NPS 延伸模組的伺服器連線到 。

為什麼驗證無法運作,儘管有有效的憑證存在?

如果先前的電腦憑證已過期,且已產生新的憑證,請刪除任何過期的憑證。 過期的憑證可能會導致 NPS 擴充功能啟動的問題。

若要檢查您是否有有效的憑證,請使用 MMC 檢查本機 電腦帳戶的憑證存放區 ,並確定憑證尚未通過其到期日。 若要產生新有效的憑證,請重新執行執行 PowerShell 安裝程式腳本 中的步驟。

為什麼我在 NPS 伺服器記錄中看到捨棄的要求?

如果逾時值太低,VPN 伺服器可能會將重複的要求傳送至 NPS 伺服器。 NPS 伺服器會偵測這些重複的要求,並捨棄這些要求。 此行為是設計方式,而且不會指出 NPS 伺服器或 Microsoft Entra 多重要素驗證 NPS 擴充功能發生問題。

如需為何在 NPS 伺服器記錄中看到捨棄封包的詳細資訊,請參閱 本文開頭的 RADIUS 通訊協定行為和 NPS 擴充功能

如何?取得與 NPS 搭配運作的 Microsoft Authenticator 號碼比對?

雖然 NPS 不支援數位比對,但最新的 NPS 延伸模組支援以時間為基礎的單次密碼 (TOTP) 方法,例如 Microsoft Authenticator 中提供的 TOTP、其他軟體權杖和硬體 FOB。 TOTP 登入提供比替代 核准 / 拒絕 體驗更好的安全性。 請確定您執行最新版的 NPS 擴充功能

在 2023 年 5 月 8 日之後,當所有使用者啟用數位比對之後,任何使用 NPS 擴充功能 1.2.2216.1 版或更新版本執行 RADIUS 連線的人,將會改為提示使用 TOTP 方法登入。

使用者必須註冊 TOTP 驗證方法,才能看到此行為。 若未註冊 TOTP 方法,使用者仍會看到核准 / 拒絕。

在 2023 年 5 月 8 日之後發行 NPS 擴充功能 1.2.2216.1 版之前,執行舊版 NPS 擴充功能的組織可以修改登錄,以要求使用者輸入 TOTP。 如需詳細資訊,請參閱 NPS 擴充功能

管理 TLS/SSL 通訊協定和加密套件

除非貴組織需要,否則建議停用或移除較舊且較弱的加密套件。 如需如何完成這項工作的資訊,請參閱管理 AD FS 的 SSL/TLS 通訊協定和加密套件一文

其他疑難排解

如需其他疑難排解指引和可能的解決方案, 請參閱解決 Microsoft Entra 多重要素驗證 NPS 擴充功能的錯誤訊息一文。

下一步