共用方式為


設定 Azure Multi-Factor Authentication Server 以與 AD FS 2.0 搭配運作

本文適用于與 Microsoft Entra ID 同盟的組織,且想要保護內部部署或雲端中的資源。 使用 Azure Multi-Factor Authentication Server 保護資源,並將其設定為使用 AD FS,以便針對高價值端點觸發雙步驟驗證。

本檔涵蓋搭配 AD FS 2.0 使用 Azure Multi-Factor Authentication Server。 如需 AD FS 的相關資訊,請參閱 使用 Azure Multi-Factor Authentication Server 搭配 Windows Server 保護雲端和內部部署資源。

重要

在 2022 年 9 月,Microsoft 宣佈淘汰 Azure Multi-Factor Authentication Server。 從 2024 年 9 月 30 日起,Azure Multi-Factor Authentication Server 部署將不再服務多重要素驗證要求,這可能會導致貴組織驗證失敗。 為了確保不會中斷的驗證服務並維持在支援的狀態,組織應該 使用最新 Azure Multi-Factor Authentication Server 更新 中包含的最新移轉公用程式,將其使用者的驗證資料 遷移至雲端式 Microsoft Entra 多重要素驗證服務。 如需詳細資訊,請參閱 Azure Multi-Factor Authentication Server 移轉

若要開始使用雲端式 MFA,請參閱 教學課程:使用 Azure 多重要素驗證 保護使用者登入事件。

如果您使用雲端式 MFA,請參閱 使用 Azure 多重要素驗證和 AD FS 保護雲端資源。

在 2019 年 7 月 1 日之前啟用 MFA Server 的現有客戶可以像往常一樣下載最新版本、未來的更新,並產生啟用認證。

使用 Proxy 保護 AD FS 2.0

若要使用 Proxy 保護 AD FS 2.0,請在 AD FS Proxy 伺服器上安裝 Azure Multi-Factor Authentication Server。

設定 IIS 驗證

  1. 在 Azure Multi-Factor Authentication Server 中,按一下 左側功能表中的 [IIS 驗證] 圖示。

  2. 按一下 [ 表單型] 索引標籤。

  3. 按一下新增

    MFA Server IIS Authentication window

  4. 若要自動偵測使用者名稱、密碼和網域變數,請在 [自動設定表單型網站] 對話方塊中輸入登入 URL, https://sso.contoso.com/adfs/ls 然後按一下 [ 確定 ]。

  5. 如果所有使用者都已匯入或將匯入伺服器,並受限於雙步驟驗證,請核取 [需要 Azure 多重要素驗證使用者比 對] 方塊。 如果大量使用者尚未匯入伺服器和/或將免除雙步驟驗證,請取消核取此方塊。

  6. 如果無法自動偵測到頁面變數,請按一下 [自動設定表單型網站] 對話方塊中的 [手動指定... ] 按鈕。

  7. 在 [新增表單型網站] 對話方塊中,于 [提交 URL] 欄位中輸入 AD FS 登入頁面的 URL, https://sso.contoso.com/adfs/ls 然後輸入 [應用程式名稱] (選擇性)。 應用程式名稱會出現在 Azure 多重要素驗證報告中,而且可能會顯示在 SMS 或行動應用程式驗證訊息內。

  8. 將 [要求格式] 設定為 POST 或 GET

  9. 輸入 Username 變數 (ctl00$ContentPlaceHolder1$UsernameTextBox) 和密碼變數 (ctl00$ContentPlaceHolder1$PasswordTextBox)。 如果您的表單型登入頁面顯示網域文字方塊,也請輸入 Domain 變數。 若要在登入頁面上尋找輸入方塊的名稱,請移至網頁瀏覽器中的登入頁面,以滑鼠右鍵按一下頁面,然後選取 [檢視來源 ]。

  10. 如果所有使用者都已匯入或將匯入伺服器,並受限於雙步驟驗證,請核取 [需要 Azure 多重要素驗證使用者比 對] 方塊。 如果大量使用者尚未匯入伺服器和/或將免除雙步驟驗證,請取消核取此方塊。

    Add form-based website to MFA Server

  11. 按一下 [ 進階... ] 以檢閱進階設定。 您可以設定的設定包括:

    • 選取自訂拒絕頁面檔案
    • 使用 Cookie 快取網站成功驗證
    • 選取如何驗證主要認證
  12. 由於 AD FS Proxy 伺服器不太可能加入網域,因此您可以使用 LDAP 連線到網域控制站進行使用者匯入和預先驗證。 在 [進階表單型網站] 對話方塊中,按一下 [ 主要驗證 ] 索引標籤,然後針對預先驗證驗證類型選取 [LDAP 系結 ]。

  13. 完成時,按一下 [ 確定 ] 返回 [新增表單型網站] 對話方塊。

  14. 按一下 [確定] ,關閉對話方塊。

  15. 一旦偵測到或輸入 URL 和頁面變數,網站資料就會顯示在 [表單型] 面板中。

  16. 按一下 [ 原生模組 ] 索引標籤,然後選取伺服器、AD FS Proxy 執行所在的網站(例如 「預設網站」),或 AD FS Proxy 應用程式(例如 「adfs」 底下的 「ls」),以在所需的層級啟用 IIS 外掛程式。

  17. 按一下畫面頂端的 [ 啟用 IIS 驗證 ] 方塊。

IIS 驗證現已啟用。

設定目錄整合

您已啟用 IIS 驗證,但若要透過 LDAP 對 Active Directory 執行預先驗證,您必須設定網域控制站的 LDAP 連線。

  1. 按一下目錄 整合 圖示。

  2. 在 [設定] 索引標籤上,選取 [ 使用特定 LDAP 設定 ] 選項按鈕。

    Configure LDAP settings for specific LDAP settings

  3. 按一下 [編輯]

  4. 在 [編輯 LDAP 組態] 對話方塊中,將連線到 AD 網域控制站所需的資訊填入欄位。

  5. 按一下 [ 測試 ] 按鈕來測試 LDAP 連線。

    Test LDAP Configuration in MFA Server

  6. 如果 LDAP 連線測試成功,請按一下 [ 確定 ]。

設定公司設定

  1. 接下來,按一下 [公司設定 ] 圖示,然後選取 [ 使用者名稱解析 ] 索引標籤。
  2. 選取 [ 使用 LDAP 唯一 識別碼屬性來比對使用者名稱] 選項按鈕。
  3. 如果使用者以 「domain\username」 格式輸入其使用者名稱,伺服器必須在建立 LDAP 查詢時,能夠將網域從使用者名稱移除,這可以透過登錄設定來完成。
  4. 開啟登錄編輯器,然後移至 64 位伺服器上的 HKEY_LOCAL_MACHINE/SOFTWARE/Wow6432Node/Positive Networks/電話Factor。 如果您使用 32 位伺服器,請從路徑中移除 /Wow6432Node 。 建立名為 「UsernameCxz_stripPrefixDomain」 的 DWORD 登錄機碼,並將值設定為 1。 Azure 多重要素驗證現在會保護 AD FS Proxy。

請確定使用者已從 Active Directory 匯入伺服器。 若要允許使用者略過內部 IP 位址的雙步驟驗證,請參閱 受信任的 IP

Registry editor to configure company settings

沒有 Proxy 的 AD FS 2.0 直接存取

未使用 AD FS Proxy 時,您可以保護 AD FS。 在 AD FS 伺服器上安裝 Azure Multi-Factor Authentication Server,並依照下列步驟設定伺服器:

  1. 在 Azure Multi-Factor Authentication Server 內,按一下 左側功能表中的 [IIS 驗證] 圖示。

  2. 按一下 [HTTP] 索引 標籤。

  3. 按一下新增

  4. 在 [新增基底 URL] 對話方塊中,將執行 https://sso.domain.com/adfs/ls/auth/integrated HTTP 驗證的 AD FS 網站的 URL 輸入 [基底 URL] 欄位。 然後,輸入應用程式名稱(選擇性)。 應用程式名稱會出現在 Azure 多重要素驗證報告中,而且可能會顯示在 SMS 或行動應用程式驗證訊息內。

  5. 如有需要,請調整閒置逾時和會話時間上限。

  6. 如果所有使用者都已匯入或將匯入伺服器,並受限於雙步驟驗證,請核取 [需要 Azure 多重要素驗證使用者比 對] 方塊。 如果大量使用者尚未匯入伺服器和/或將免除雙步驟驗證,請取消核取此方塊。

  7. 如有需要,請檢查 Cookie 快取方塊。

    AD FS 2.0 Direct without a proxy

  8. 按一下 [確定]

  9. 按一下 [ 原生模組 ] 索引標籤,然後選取伺服器、網站(例如「預設網站」)或 AD FS 應用程式(例如 「adfs」 下的 「ls」),以在所需的層級啟用 IIS 外掛程式。

  10. 按一下畫面頂端的 [ 啟用 IIS 驗證 ] 方塊。

Azure 多重要素驗證現在正在保護 AD FS。

確定使用者已從 Active Directory 匯入伺服器。 如果您想要允許內部 IP 位址,以便在從這些位置登入網站時不需要雙步驟驗證,請參閱下一節。

可信任 IP

受信任的 IP 可讓使用者略過源自特定 IP 位址或子網的網站要求 Azure 多重要素驗證。 例如,您可能想要在使用者從辦公室登入時免除雙步驟驗證。 為此,您會將 Office 子網指定為受信任的 IP 專案。

設定信任的 IP

  1. 在 [IIS 驗證] 區段中,按一下 [ 受信任的 IP ] 索引標籤。
  2. 按一下 [新增] 按鈕。
  3. 當 [新增信任 IP] 對話方塊出現時,請選取其中一個 [單一 IP]、 [IP 範圍 ] 或 [子網 ] 選項按鈕。
  4. 輸入應允許的 IP 位址、IP 位址範圍或子網。 如果輸入子網,請選取適當的 Netmask,然後按一下 [ 確定] 按鈕。

Configure trusted IPs to MFA Server