Začínáme s Azure Multi-Factor Authentication Serverem

  • Článek
  • 8 min ke čtení

Getting started with MFA Server on-premises

Tato stránka popisuje novou instalaci serveru a jeho nastavení pro spolupráci s místní službou Active Directory. Pokud už máte nainstalovaný server MFA a chcete provést upgrade, přečtěte si téma Upgrade na nejnovější verzi Azure Multi-Factor Authentication Serveru. Pokud hledáte informace pouze o instalaci webové služby, přečtěte si téma Nasazení webové služby mobilní aplikace Azure Multi-Factor Authentication Serveru.

Důležité

Od 1. července 2019 Microsoft už nenabízí server vícefaktorového ověřování pro nová nasazení. Noví zákazníci, kteří chtějí během událostí přihlašování vyžadovat vícefaktorové ověřování (MFA), by měli používat cloudové ověřování Azure AD Multi-Factor Authentication.

Pokud chcete začít s cloudovým vícefaktorovým ověřováním, přečtěte si kurz: Zabezpečení událostí přihlašování uživatelů pomocí služby Azure AD Multi-Factor Authentication.

Stávající zákazníci, kteří aktivovali MFA Server před 1. červencem 2019, si můžou stáhnout nejnovější verzi, budoucí aktualizace a generovat přihlašovací údaje pro aktivaci jako obvykle.

Plánování nasazení

Před stažením Azure Multi-Factor Authentication Serveru se zamyslete nad tím, jaké jsou vaše požadavky na zatížení a vysokou dostupnost. Tyto informace použijte k rozhodnutí, jak a kde provést nasazení.

Dobrým vodítkem pro velikost potřebné paměti je počet uživatelů, u kterých očekáváte pravidelné ověřování.

Uživatelé Paměť RAM
1-10,000 4 GB
10,001-50,000 8 GB
50,001-100,000 12 GB
100,000-200,001 16 GB
200,001+ 32 GB

Potřebujete nastavit několik serverů pro zajištění vysoké dostupnosti nebo vyrovnávání zatížení? Existuje řada způsobů, jak tuto konfiguraci s Azure MFA Serverem nastavit. Z prvního nainstalovaného Azure MFA Serveru se stane hlavní server. Všechny další servery jsou podřízené a automaticky synchronizují uživatele a konfiguraci s hlavním serverem. Potom můžete nakonfigurovat jeden primární server a využívat ostatní jako zálohu, nebo můžete nastavit vyrovnávání zatížení mezi všemi servery.

Když hlavní Azure MFA Server přejde do offline režimu, podřízené servery mohou nadále zpracovávat žádosti o dvoustupňové ověření. Nemůžete ale přidávat nové uživatele a stávající uživatelé nemohou aktualizovat svoje nastavení, dokud se hlavní server nevrátí do online režimu nebo dokud nedojde ke zvýšení úrovně podřízeného severu.

Příprava prostředí

Ujistěte se, že server, který používáte pro Azure Multi-Factor Authentication, splňuje následující požadavky:

Požadavky pro Azure Multi-Factor Authentication Server Description
Hardware
  • 200 MB volného místa na pevném disku
  • Procesor kompatibilní s x32 nebo x64
  • 1 GB RAM nebo víc
    		•
    Software
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008/R2 (pouze s ESU )
  • Windows 10
  • Windows 8.1, všechny edice
  • Windows 8, všechny edice
  • Windows 7, všechny edice (pouze s ESU )
  • Microsoft .NET 4.0 Framework
  • IIS 7.0 nebo novější, pokud instalujete uživatelský portál nebo sadu SDK webové služby
    		•
    Oprávnění Účet správce domény nebo podnikový správce pro registraci ve službě Active Directory

    Komponenty Azure MFA Serveru

    Azure MFA Server se skládá ze tří webových komponent:

    • Sada SDK webové služby – Umožňuje komunikaci s dalšími komponentami a je nainstalovaná na aplikačním serveru Azure MFA.
    • User Portal – Web služby IIS, který uživatelům umožňuje se zaregistrovat do služby Azure Multi-Factor Authentication (MFA) a spravovat své účty.
    • Webová služba mobilní aplikace – Umožňuje používání mobilní aplikace, jako je aplikace Microsoft Authenticator, pro dvoustupňové ověřování.

    Všechny tři komponenty můžou být nainstalované na stejném serveru, pokud má přístup k internetu. V případě rozdělení komponent je sada SDK webové služby nainstalovaná na aplikačním serveru Azure MFA a portál User Portal a webová služba mobilní aplikace jsou nainstalované na serveru s přístupem k internetu.

    Požadavky na firewall pro Azure Multi-Factor Authentication Server

    Každý server MFA musí být schopný komunikovat na odchozím portu 443 s těmito adresami:

    Pokud brána firewall omezuje odchozí port 443, je nutné otevřít tyto rozsahy IP adres:

    Podsíť IP Síťová maska Rozsah IP adres
    134.170.116.0/25 255.255.255.128 134.170.116.1 – 134.170.116.126
    134.170.165.0/25 255.255.255.128 134.170.165.1 – 134.170.165.126
    70.37.154.128/25 255.255.255.128 70.37.154.129 – 70.37.154.254
    52.251.8.48/28 255.255.255.240 52.251.8.48 - 52.251.8.63
    52.247.73.160/28 255.255.255.240 52.247.73.160 - 52.247.73.175
    52.159.5.240/28 255.255.255.240 52.159.5.240 - 52.159.5.255
    52.159.7.16/28 255.255.255.240 52.159.7.16 - 52.159.7.31
    52.250.84.176/28 255.255.255.240 52.250.84.176 - 52.250.84.191
    52.250.85.96/28 255.255.255.240 52.250.85.96 - 52.250.85.111

    Pokud nepoužíváte funkci Potvrzení události a vaši uživatelé nepoužívají k ověřování ze zařízení v podnikové síti mobilní aplikace, potřebujete pouze následující rozsahy:

    Podsíť IP Síťová maska Rozsah IP adres
    134.170.116.72/29 255.255.255.248 134.170.116.72 – 134.170.116.79
    134.170.165.72/29 255.255.255.248 134.170.165.72 – 134.170.165.79
    70.37.154.200/29 255.255.255.248 70.37.154.201 – 70.37.154.206
    52.251.8.48/28 255.255.255.240 52.251.8.48 - 52.251.8.63
    52.247.73.160/28 255.255.255.240 52.247.73.160 - 52.247.73.175
    52.159.5.240/28 255.255.255.240 52.159.5.240 - 52.159.5.255
    52.159.7.16/28 255.255.255.240 52.159.7.16 - 52.159.7.31
    52.250.84.176/28 255.255.255.240 52.250.84.176 - 52.250.84.191
    52.250.85.96/28 255.255.255.240 52.250.85.96 - 52.250.85.111

    Stažení MFA Serveru

    Postupujte podle těchto kroků a stáhněte Azure Multi-Factor Authentication Server z webu Azure Portal:

    Důležité

    Od 1. července 2019 Microsoft už nenabízí server vícefaktorového ověřování pro nová nasazení. Noví zákazníci, kteří chtějí vyžadovat vícefaktorové ověřování (MFA) od svých uživatelů, by měli používat cloudové ověřování Azure AD Multi-Factor Authentication.

    Pokud chcete začít s cloudovým vícefaktorovým ověřováním, přečtěte si kurz: Zabezpečení událostí přihlašování uživatelů pomocí služby Azure AD Multi-Factor Authentication.

    Stávající zákazníci, kteří aktivovali MFA Server před 1. červencem 2019, si můžou stáhnout nejnovější verzi, budoucí aktualizace a generovat přihlašovací údaje pro aktivaci jako obvykle. Následující kroky fungují jenom v případě, že jste stávajícím zákazníkem MFA Serveru.

    1. Přihlaste se k webu Azure Portal jako správce.

    2. Vyhledejte a vyberte Azure Active Directory. VyberteVícefaktorové ověřovánízabezpečení>.

    3. V části Správce MFA Server vyberte Nastavení serveru.

    4. Vyberte Stáhnout a podle pokynů na stránce pro stažení uložte instalační program.

      Download MFA Server from the Azure portal

    5. Ponechte tuto stránku otevřenou, protože se k ní vrátíme po spuštění instalačního programu.

    Instalace a konfigurace MFA Serveru

    Teď, když jste server stáhli, ho můžete nainstalovat a nastavit. Ujistěte se, že server, na kterém ho chcete nainstalovat, splňuje požadavky uvedené v části věnované plánování.

    1. Dvakrát klikněte na spustitelný soubor.

    2. Na obrazovce Vybrat instalační složku se ujistěte, že je složka správná, a klikněte na Tlačítko Další.

    3. Až instalace skončí, klikněte na Dokončit. Spustí se průvodce konfigurací.

    4. Na úvodní obrazovce průvodce konfigurací zaškrtněte políčko Vynechat použití průvodce konfigurací ověřování a klikněte na Další. Průvodce se zavře a spustí se server.

      Skip using the Authentication Configuration Wizard

    5. Zpátky na stránce, odkud jste server stáhli, klikněte na tlačítko Vytvoření přihlašovacích údajů pro aktivaci. Tyto údaje zkopírujte do příslušných polí v Azure MFA Serveru a klikněte na Aktivovat.

    Poznámka

    Na webu Azure Portal můžou generovat přihlašovací údaje pro aktivaci jenom globální správci.

    Zaslání e-mailu uživatelům

    Pro usnadnění uvedení povolte MFA Serveru komunikaci s vašimi uživateli. MFA Server jim může odeslat e-mail s informací, že byli zaregistrování k dvoustupňovému ověřování.

    Jaký e-mail odešlete byste měli určit podle toho, jak jste pro uživatele nakonfigurovali dvoustupňové ověřování. Například pokud máte možnost naimportovat telefonní čísla z adresáře společnosti, e-mail by měl obsahovat výchozí telefonní čísla, aby uživatelé věděli, co mají očekávat. Pokud telefonní čísla nenaimportujete nebo pokud budou uživatelé používat mobilní aplikaci, odešlete jim e-mail, který je nasměruje k dokončení registrace účtu. Do e-mailu přidejte hypertextový odkaz na portál Azure Multi-Factor Authentication User Portal.

    Obsah e-mailu se liší také podle metody ověřování nastavené pro konkrétního uživatele (telefonní hovor, zpráva SMS nebo mobilní aplikace). Pokud například uživatel musí při ověřování zadat PIN, v e-mailu se dozví, jaký počáteční PIN je pro něj nastavený. Uživatelé musí při prvním ověření svůj PIN změnit.

    Konfigurace e-mailu a šablon e-mailu

    Kliknutím vlevo na ikonu e-mailu můžete změnit nastavení odesílání těchto e-mailů. Na této stránce můžete zadat informace o vašem poštovním serveru SMTP a odesílat e-maily zaškrtnutím políčka Odesílat uživatelům e-maily.

    MFA Server Email configuration

    Na kartě Obsah e-mailu uvidíte šablony e-mailů, ze kterých si můžete vybrat. V závislosti na tom, jak jste uživatelům nakonfigurovali dvoustupňové ověřování, vyberte nejvhodnější šablonu.

    MFA Server Email templates in the console

    Import uživatelů ze služby Active Directory

    Teď, když je server nainstalovaný, budete chtít přidat uživatele. Můžete je vytvořit ručně, naimportovat uživatele ze služby Active Directory nebo nakonfigurovat automatizovanou synchronizaci se službou Active Directory.

    Ruční import ze služby Active Directory

    1. V Azure MFA Serveru klikněte vlevo na Uživatelé.

    2. Dole vyberte Importovat ze služby Active Directory.

    3. Teď můžete hledat jednotlivé uživatele nebo v adresáři AD vyhledat organizační jednotky, ve kterých jsou uživatelé. V tomto případě vyhledáme OJ uživatele.

    4. Vpravo označte všechny uživatele a klikněte na Importovat. Mělo by se zobrazit vyskakovací okno s informací, že akce proběhla úspěšně. Zavřete okno importu.

      MFA Server user import from Active Directory

    Automatizovaná synchronizace se službou Active Directory

    1. V Azure MFA Serveru klikněte na levé straně na Integrace adresáře.
    2. Přejděte na kartu Synchronizace.
    3. V dolní části zvolte Přidat.
    4. V zobrazeném okně Přidat položku synchronizace zvolte pro tuto úlohu synchronizace doménu, organizační jednotku nebo skupinu zabezpečení, nastavení, výchozí hodnoty metod a výchozí hodnoty jazyka a klikněte na Přidat.
    5. Zaškrtněte políčko s popiskem Povolit synchronizaci se službou Active Directory a zvolte Interval synchronizace mezi jednou minutou a 24 hodinami.

    Jak Azure Multi-Factor Authentication Server nakládá s uživatelskými daty

    Pokud používáte místní server MFA (Multi-Factor Authentication), ukládají se data uživatele na místních serverech. V cloudu se neukládají žádná trvalá data. Když uživatel provádí dvoustupňové ověření, MFA Server odešle data do cloudové služby Azure MFA, a tam se provede ověření. Když se tyto požadavky na ověření pošlou do cloudové služby, odešlou se v žádosti a následující pole a protokoly, aby byly dostupné pro sestavy o používání/ověřování zákazníka. Některá tato pole jsou volitelná a můžou se v Multi-Factor Authentication Serveru zapnout nebo vypnout. Komunikace z MFA Serveru do cloudové služby MFA probíhá přes SSL/TLS na odchozím portu 443. Tato pole jsou:

    • Jedinečné ID - uživatelské jméno nebo interní ID serveru MFA
    • Jméno a příjmení (volitelné)
    • E-mailová adresa (volitelné)
    • Telefonní číslo – při ověření přes telefonní hovor nebo zprávu SMS
    • Token zařízení - při ověření přes mobilní aplikaci
    • Režim ověřování
    • Výsledek ověřování
    • Název MFA Serveru
    • IP adresa serveru MFA
    • IP adresa klienta – pokud je dostupná

    Vedle těchto polí se s ověřovacími údaji uloží taky výsledek ověření (úspěch/zamítnuto) a případně důvod zamítnutí, které jsou dostupné v sestavách o ověřování/používání.

    Důležité

    Od března 2019 nebudou možnosti telefonního hovoru dostupné uživatelům MFA Serveru v tenantech Azure AD zdarma nebo zkušební verzi. Tato změna nemá vliv na zprávy SMS. Telefonní hovor bude dál dostupný uživatelům v placených tenantech Azure AD. Tato změna se týká jenom bezplatných nebo zkušebních tenantů Azure AD.

    Zálohování a obnovení Azure MFA Serveru

    Zajištění dobrého zálohování je důležitý krok, který byste měli provést u každého systému.

    Pokud chcete zálohovat Azure MFA Server, ujistěte se, že máte kopii složky C:\Program Files\Multi-Factor Authentication Server\Data včetně souboru PhoneFactor.pfdata.

    Pokud potřebujete provést obnovení, proveďte následující kroky:

    1. Přeinstalujte Azure MFA Server na nový server.
    2. Aktivujte nový Azure MFA Server.
    3. Zastavte službu MultiFactorAuth.
    4. Přepište soubor PhoneFactor.pfdata zálohovanou kopií.
    5. Spusťte službu MultiFactorAuth.

    Nový server je teď zprovozněný s původní zálohovanou konfigurací a uživatelskými daty.

    Správa protokolů TLS a SSL a šifrovacích sad

    Po upgradu na MFA Server verze 8.x nebo novější nebo jeho instalaci se doporučuje zakázat nebo odebrat starší a slabší šifrovací sady, pokud je vaše organizace nevyžaduje. Informace o tom, jak to provést, najdete v článku Správa protokolů SSL a TLS a šifrovacích sad pro AD FS.

    Další kroky