Začínáme s Azure Multi-Factor Authentication ServeremGetting started with the Azure Multi-Factor Authentication Server

Místní MFA
MFA on-premises

Teď, když jsme zjistili, jestli se má použít místní Multi-Factor Authentication Server, se můžeme dát do toho.Now that we have determined to use on-premises Multi-Factor Authentication Server, let’s get going. Tato stránka popisuje novou instalaci serveru a jeho nastavení pro spolupráci s místní službou Active Directory.This page covers a new installation of the server and setting it up with on-premises Active Directory. Pokud už máte nainstalovaný server MFA a chcete provést upgrade, přečtěte si téma Upgrade na nejnovější verzi Azure Multi-Factor Authentication Serveru.If you already have the MFA server installed and are looking to upgrade, see Upgrade to the latest Azure Multi-Factor Authentication Server. Pokud hledáte informace pouze o instalaci webové služby, přečtěte si téma Nasazení webové služby mobilní aplikace Azure Multi-Factor Authentication Serveru.If you're looking for information on installing just the web service, see Deploying the Azure Multi-Factor Authentication Server Mobile App Web Service.

Plánování nasazeníPlan your deployment

Před stažením Azure Multi-Factor Authentication Serveru se zamyslete nad tím, jaké jsou vaše požadavky na zatížení a vysokou dostupnost.Before you download the Azure Multi-Factor Authentication Server, think about what your load and high availability requirements are. Tyto informace použijte k rozhodnutí, jak a kde provést nasazení.Use this information to decide how and where to deploy.

Dobrým vodítkem pro velikost potřebné paměti je počet uživatelů, u kterých očekáváte pravidelné ověřování.A good guideline for the amount of memory you need is the number of users you expect to authenticate on a regular basis.

UživateléUsers Paměť RAMRAM
1-10,0001-10,000 4 GB4 GB
10,001-50,00010,001-50,000 8 GB8 GB
50,001-100,00050,001-100,000 12 GB12 GB
100,000-200,001100,000-200,001 16 GB16 GB
200,001+200,001+ 32 GB32 GB

Potřebujete nastavit několik serverů pro zajištění vysoké dostupnosti nebo vyrovnávání zatížení?Do you need to set up multiple servers for high availability or load balancing? Existuje řada způsobů, jak tuto konfiguraci s Azure MFA Serverem nastavit.There are a number of ways to set up this configuration with Azure MFA Server. Z prvního nainstalovaného Azure MFA Serveru se stane hlavní server.When you install your first Azure MFA Server, it becomes the master. Všechny další servery jsou podřízené a automaticky synchronizují uživatele a konfiguraci s hlavním serverem.Any additional servers become subordinate, and automatically synchronize users and configuration with the master. Potom můžete nakonfigurovat jeden primární server a využívat ostatní jako zálohu, nebo můžete nastavit vyrovnávání zatížení mezi všemi servery.Then, you can configure one primary server and have the rest act as backup, or you can set up load balancing among all the servers.

Když hlavní Azure MFA Server přejde do offline režimu, podřízené servery mohou nadále zpracovávat žádosti o dvoustupňové ověření.When a master Azure MFA Server goes offline, the subordinate servers can still process two-step verification requests. Nemůžete ale přidávat nové uživatele a stávající uživatelé nemohou aktualizovat svoje nastavení, dokud se hlavní server nevrátí do online režimu nebo dokud nedojde ke zvýšení úrovně podřízeného severu.However, you can't add new users and existing users can't update their settings until the master is back online or a subordinate gets promoted.

Příprava prostředíPrepare your environment

Ujistěte se, že server, který používáte pro Azure Multi-Factor Authentication, splňuje následující požadavky:Make sure the server that you're using for Azure Multi-Factor Authentication meets the following requirements:

Požadavky pro Azure Multi-Factor Authentication ServerAzure Multi-Factor Authentication Server Requirements PopisDescription
HardwareHardware
  • 200 MB volného místa na pevném disku200 MB of hard disk space
  • Procesor kompatibilní s x32 nebo x64x32 or x64 capable processor
  • 1 GB RAM nebo víc1 GB or greater RAM
  • SoftwareSoftware
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2008, aktualizace SP1, SP2Windows Server 2008, SP1, SP2
  • Windows Server 2003 R2Windows Server 2003 R2
  • Windows Server 2003, aktualizace SP1, SP2Windows Server 2003, SP1, SP2
  • Windows 10Windows 10
  • Windows 8.1, všechny ediceWindows 8.1, all editions
  • Windows 8, všechny ediceWindows 8, all editions
  • Windows 7, všechny ediceWindows 7, all editions
  • Windows Vista, všechny edice, aktualizace SP1, SP2Windows Vista, all editions, SP1, SP2
  • Microsoft .NET 4.0 FrameworkMicrosoft .NET 4.0 Framework
  • IIS 7.0 nebo novější, pokud instalujete uživatelský portál nebo sadu SDK webové službyIIS 7.0 or greater if installing the user portal or web service SDK
  • Komponenty Azure MFA ServeruAzure MFA Server Components

    Azure MFA Server se skládá ze tří webových komponent:There are three web components that make up Azure MFA Server:

    • Sada SDK webové služby – Umožňuje komunikaci s dalšími komponentami a je nainstalovaná na aplikačním serveru Azure MFA.Web Service SDK - Enables communication with the other components and is installed on the Azure MFA application server
    • User Portal – Web služby IIS, který uživatelům umožňuje se zaregistrovat do služby Azure Multi-Factor Authentication (MFA) a spravovat své účty.User Portal - An IIS web site that allows users to enroll in Azure Multi-Factor Authentication (MFA) and maintain their accounts.
    • Webová služba mobilní aplikace – Umožňuje používání mobilní aplikace, jako je aplikace Microsoft Authenticator, pro dvoustupňové ověřování.Mobile App Web Service - Enables using a mobile app like the Microsoft Authenticator app for two-step verification.

    Všechny tři komponenty můžou být nainstalované na stejném serveru, pokud má přístup k internetu.All three components can be installed on the same server if the server is internet-facing. V případě rozdělení komponent je sada SDK webové služby nainstalovaná na aplikačním serveru Azure MFA a portál User Portal a webová služba mobilní aplikace jsou nainstalované na serveru s přístupem k internetu.If breaking up the components, the Web Service SDK is installed on the Azure MFA application server and the User Portal and Mobile App Web Service are installed on an internet-facing server.

    Požadavky na firewall pro Azure Multi-Factor Authentication ServerAzure Multi-Factor Authentication Server firewall requirements

    Každý server MFA musí být schopný komunikovat na odchozím portu 443 s těmito adresami:Each MFA server must be able to communicate on port 443 outbound to the following addresses:

    Pokud brána firewall omezuje odchozí port 443, je nutné otevřít tyto rozsahy IP adres:If outbound firewalls are restricted on port 443, open the following IP address ranges:

    Podsíť IPIP Subnet Síťová maskaNetmask Rozsah IP adresIP Range
    134.170.116.0/25134.170.116.0/25 255.255.255.128255.255.255.128 134.170.116.1 – 134.170.116.126134.170.116.1 – 134.170.116.126
    134.170.165.0/25134.170.165.0/25 255.255.255.128255.255.255.128 134.170.165.1 – 134.170.165.126134.170.165.1 – 134.170.165.126
    70.37.154.128/2570.37.154.128/25 255.255.255.128255.255.255.128 70.37.154.129 – 70.37.154.25470.37.154.129 – 70.37.154.254

    Pokud nepoužíváte funkci Potvrzení události a vaši uživatelé nepoužívají k ověřování ze zařízení v podnikové síti mobilní aplikace, potřebujete pouze následující rozsahy:If you aren't using the Event Confirmation feature, and your users aren't using mobile apps to verify from devices on the corporate network, you only need the following ranges:

    Podsíť IPIP Subnet Síťová maskaNetmask Rozsah IP adresIP Range
    134.170.116.72/29134.170.116.72/29 255.255.255.248255.255.255.248 134.170.116.72 – 134.170.116.79134.170.116.72 – 134.170.116.79
    134.170.165.72/29134.170.165.72/29 255.255.255.248255.255.255.248 134.170.165.72 – 134.170.165.79134.170.165.72 – 134.170.165.79
    70.37.154.200/2970.37.154.200/29 255.255.255.248255.255.255.248 70.37.154.201 – 70.37.154.20670.37.154.201 – 70.37.154.206

    Stažení MFA ServeruDownload the MFA Server

    Postupujte podle těchto kroků a stáhněte Azure Multi-Factor Authentication Server z webu Azure Portal:Follow these steps to download the Azure Multi-Factor Authentication Server from the Azure portal:

    1. Přihlaste se na webu Azure Portal jako správce.Sign in to the Azure portal as an administrator.
    2. Vyberte Azure Active Directory > MFA Server.Select Azure Active Directory > MFA Server.
    3. Vyberte Nastavení serveru.Select Server settings.
    4. Vyberte Stáhnout a podle pokynů na stránce pro stažení uložte instalační program.Select Download and follow the instructions on the download page to save the installer.

      Stažení MFA Serveru

    5. Ponechte tuto stránku otevřenou, protože se k ní vrátíme po spuštění instalačního programu.Keep this page open as we will refer to it after running the installer.

    Instalace a konfigurace MFA ServeruInstall and configure the MFA Server

    Teď, když jste server stáhli, ho můžete nainstalovat a nastavit.Now that you have downloaded the server you can install and configure it. Ujistěte se, že server, na kterém ho chcete nainstalovat, splňuje požadavky uvedené v části věnované plánování.Be sure that the server you are installing it on meets requirements listed in the planning section.

    1. Dvakrát klikněte na spustitelný soubor.Double-click the executable.
    2. Na obrazovce Výběr instalační složky zkontrolujte, že je složka zadaná správně, a klikněte na Další.On the Select Installation Folder screen, make sure that the folder is correct and click Next.
    3. Až instalace skončí, klikněte na Dokončit.Once the installation is complete, click Finish. Spustí se průvodce konfigurací.The configuration wizard launches.
    4. Na úvodní obrazovce průvodce konfigurací zaškrtněte políčko Vynechat použití průvodce konfigurací ověřování a klikněte na Další.On the configuration wizard welcome screen, check Skip using the Authentication Configuration Wizard and click Next. Průvodce se zavře a spustí se server.The wizard closes and the server starts.

      Cloud

    5. Zpátky na stránce, odkud jste server stáhli, klikněte na tlačítko Vytvoření přihlašovacích údajů pro aktivaci.Back on the page that you downloaded the server from, click the Generate Activation Credentials button. Tyto údaje zkopírujte do příslušných polí v Azure MFA Serveru a klikněte na Aktivovat.Copy this information into the Azure MFA Server in the boxes provided and click Activate.

    Zaslání e-mailu uživatelůmSend users an email

    Pro usnadnění uvedení povolte MFA Serveru komunikaci s vašimi uživateli.To ease rollout, allow MFA Server to communicate with your users. MFA Server jim může odeslat e-mail s informací, že byli zaregistrování k dvoustupňovému ověřování.MFA Server can send an email to inform them that they have been enrolled for two-step verification.

    Jaký e-mail odešlete byste měli určit podle toho, jak jste pro uživatele nakonfigurovali dvoustupňové ověřování.The email you send should be determined by how you configure your users for two-step verification. Například pokud máte možnost naimportovat telefonní čísla z adresáře společnosti, e-mail by měl obsahovat výchozí telefonní čísla, aby uživatelé věděli, co mají očekávat.For example, if you are able to import phone numbers from the company directory, the email should include the default phone numbers so that users know what to expect. Pokud telefonní čísla nenaimportujete nebo pokud budou uživatelé používat mobilní aplikaci, odešlete jim e-mail, který je nasměruje k dokončení registrace účtu.If you do not import phone numbers, or your users are going to use the mobile app, send them an email that directs them to complete their account enrollment. Do e-mailu přidejte hypertextový odkaz na portál Azure Multi-Factor Authentication User Portal.Include a hyperlink to the Azure Multi-Factor Authentication User Portal in the email.

    Obsah e-mailu se liší také podle metody ověřování nastavené pro konkrétního uživatele (telefonní hovor, zpráva SMS nebo mobilní aplikace).The content of the email also varies depending on the method of verification that has been set for the user (phone call, SMS, or mobile app). Pokud například uživatel musí při ověřování zadat PIN, v e-mailu se dozví, jaký počáteční PIN je pro něj nastavený.For example, if the user is required to use a PIN when they authenticate, the email tells them what their initial PIN has been set to. Uživatelé musí při prvním ověření svůj PIN změnit.Users are required to change their PIN during their first verification.

    Konfigurace e-mailu a šablon e-mailuConfigure email and email templates

    Kliknutím vlevo na ikonu e-mailu můžete změnit nastavení odesílání těchto e-mailů.Click the email icon on the left to set up the settings for sending these emails. Na této stránce můžete zadat informace o vašem poštovním serveru SMTP a odesílat e-maily zaškrtnutím políčka Odesílat uživatelům e-maily.This page is where you can enter the SMTP information of your mail server and send email by checking the Send emails to users check box.

    Konfigurace e-mailu MFA Serveru

    Na kartě Obsah e-mailu uvidíte šablony e-mailů, ze kterých si můžete vybrat.On the Email Content tab, you can see the email templates that are available to choose from. V závislosti na tom, jak jste uživatelům nakonfigurovali dvoustupňové ověřování, vyberte nejvhodnější šablonu.Depending on how you have configured your users to perform two-step verification, choose the template that best suits you.

    Šablony e-mailů MFA Serveru

    Import uživatelů ze služby Active DirectoryImport users from Active Directory

    Teď, když je server nainstalovaný, budete chtít přidat uživatele.Now that the server is installed you will want to add users. Můžete je vytvořit ručně, naimportovat uživatele ze služby Active Directory nebo nakonfigurovat automatizovanou synchronizaci se službou Active Directory.You can choose to create them manually, import users from Active Directory, or configure automated synchronization with Active Directory.

    Ruční import ze služby Active DirectoryManual import from Active Directory

    1. V Azure MFA Serveru klikněte vlevo na Uživatelé.In the Azure MFA Server, on the left, select Users.
    2. Dole vyberte Importovat ze služby Active Directory.At the bottom, select Import from Active Directory.
    3. Teď můžete hledat jednotlivé uživatele nebo v adresáři AD vyhledat organizační jednotky, ve kterých jsou uživatelé.Now you can either search for individual users or search the AD directory for OUs with users in them. V tomto případě vyhledáme OJ uživatele.In this case, we specify the users OU.
    4. Vpravo označte všechny uživatele a klikněte na Importovat.Highlight all the users on the right and click Import. Mělo by se zobrazit vyskakovací okno s informací, že akce proběhla úspěšně.You should receive a pop-up telling you that you were successful. Zavřete okno importu.Close the import window.

      Import uživatelů do MFA Serveru

    Automatizovaná synchronizace se službou Active DirectoryAutomated synchronization with Active Directory

    1. V Azure MFA Serveru klikněte na levé straně na Integrace adresáře.In the Azure MFA Server, on the left, select Directory Integration.
    2. Přejděte na kartu Synchronizace.Navigate to the Synchronization tab.
    3. V dolní části zvolte Přidat.At the bottom, choose Add
    4. V zobrazeném okně Přidat položku synchronizace zvolte pro tuto úlohu synchronizace doménu, organizační jednotku nebo skupinu zabezpečení, nastavení, výchozí hodnoty metod a výchozí hodnoty jazyka a klikněte na Přidat.In the Add Synchronization Item box that appears choose the Domain, OU or security group, Settings, Method Defaults, and Language Defaults for this synchronization task and click Add.
    5. Zaškrtněte políčko s popiskem Povolit synchronizaci se službou Active Directory a zvolte Interval synchronizace mezi jednou minutou a 24 hodinami.Check the box labeled Enable synchronization with Active Directory and choose a Synchronization interval between one minute and 24 hours.

    Jak Azure Multi-Factor Authentication Server nakládá s uživatelskými datyHow the Azure Multi-Factor Authentication Server handles user data

    Když Multi-Factor Authentication (MFA) Server používáte lokálně, uživatelská data se ukládají na lokálních serverech.When you use the Multi-Factor Authentication (MFA) Server on-premises, a user’s data is stored in the on-premises servers. V cloudu se neukládají žádná trvalá data.No persistent user data is stored in the cloud. Když uživatel provádí dvoustupňové ověření, MFA Server odešle data do cloudové služby Azure MFA, a tam se provede ověření.When the user performs a two-step verification, the MFA Server sends data to the Azure MFA cloud service to perform the verification. Když se tyto požadavky na ověření pošlou do cloudové služby, odešlou se v žádosti a následující pole a protokoly, aby byly dostupné pro sestavy o používání/ověřování zákazníka.When these authentication requests are sent to the cloud service, the following fields are sent in the request and logs so that they are available in the customer's authentication/usage reports. Některá tato pole jsou volitelná a můžou se v Multi-Factor Authentication Serveru zapnout nebo vypnout.Some of the fields are optional so they can be enabled or disabled within the Multi-Factor Authentication Server. Komunikace z MFA Serveru do cloudové služby MFA probíhá přes SSL/TLS na odchozím portu 443.The communication from the MFA Server to the MFA cloud service uses SSL/TLS over port 443 outbound. Tato pole jsou:These fields are:

    • Jedinečné ID - uživatelské jméno nebo interní ID serveru MFAUnique ID - either username or internal MFA server ID
    • Jméno a příjmení (volitelné)First and last name (optional)
    • E-mailová adresa (volitelné)Email address (optional)
    • Telefonní číslo – při ověření přes telefonní hovor nebo zprávu SMSPhone number - when doing a voice call or SMS authentication
    • Token zařízení - při ověření přes mobilní aplikaciDevice token - when doing mobile app authentication
    • Režim ověřováníAuthentication mode
    • Výsledek ověřováníAuthentication result
    • Název MFA ServeruMFA Server name
    • IP adresa serveru MFAMFA Server IP
    • IP adresa klienta – pokud je dostupnáClient IP – if available

    Vedle těchto polí se s ověřovacími údaji uloží taky výsledek ověření (úspěch/zamítnuto) a případně důvod zamítnutí, které jsou dostupné v sestavách o ověřování/používání.In addition to the fields above, the verification result (success/denial) and reason for any denials is also stored with the authentication data and available through the authentication/usage reports.

    Zálohování a obnovení Azure MFA ServeruBack up and restore Azure MFA Server

    Zajištění dobrého zálohování je důležitý krok, který byste měli provést u každého systému.Making sure that you have a good backup is an important step to take with any system.

    Pokud chcete zálohovat Azure MFA Server, ujistěte se, že máte kopii složky C:\Program Files\Multi-Factor Authentication Server\Data včetně souboru PhoneFactor.pfdata.To back up Azure MFA Server, ensure that you have a copy of the C:\Program Files\Multi-Factor Authentication Server\Data folder including the PhoneFactor.pfdata file.

    Pokud potřebujete provést obnovení, proveďte následující kroky:In case a restore is needed complete the following steps:

    1. Přeinstalujte Azure MFA Server na nový server.Reinstall Azure MFA Server on a new server.
    2. Aktivujte nový Azure MFA Server.Activate the new Azure MFA Server.
    3. Zastavte službu MultiFactorAuth.Stop the MultiFactorAuth service.
    4. Přepište soubor PhoneFactor.pfdata zálohovanou kopií.Overwrite the PhoneFactor.pfdata with the backed up copy.
    5. Spusťte službu MultiFactorAuth.Start the MultiFactorAuth service.

    Nový server je teď zprovozněný s původní zálohovanou konfigurací a uživatelskými daty.The new server is now up and running with the original backed-up configuration and user data.

    Další krokyNext steps