Začínáme s Azure Multi-Factor Authentication Serverem

  • Článek

Getting started with MFA Server on-premises

Tato stránka popisuje novou instalaci serveru a jeho nastavení pro spolupráci s místní službou Active Directory. Pokud už máte nainstalovaný server MFA a chcete provést upgrade, přečtěte si téma Upgrade na nejnovější verzi Azure Multi-Factor Authentication Serveru. Pokud hledáte informace pouze o instalaci webové služby, přečtěte si téma Nasazení webové služby mobilní aplikace Azure Multi-Factor Authentication Serveru.

Důležité

V září 2022 oznámil Microsoft vyřazení Azure Multi-Factor Authentication Serveru. Od 30. září 2024 už nasazení Azure Multi-Factor Authentication Serveru nebudou obsluhovat žádosti o vícefaktorové ověřování, což může způsobit selhání ověřování pro vaši organizaci. Aby se zajistily nepřerušované ověřovací služby a aby zůstaly v podporovaném stavu, měly by organizace migrovat ověřovací data uživatelů do cloudové služby ověřování Microsoft Entra multifactor pomocí nejnovějšího nástroje migration, který je součástí nejnovější aktualizace serveru Azure Multi-Factor Authentication. Další informace najdete v tématu Migrace serveru Azure Multi-Factor Authentication.

Pokud chcete začít s cloudovým vícefaktorovým ověřováním, přečtěte si kurz : Zabezpečení událostí přihlašování uživatelů pomocí vícefaktorového ověřování Azure.

Plánování nasazení

Před stažením Azure Multi-Factor Authentication Serveru se zamyslete nad tím, jaké jsou vaše požadavky na zatížení a vysokou dostupnost. Tyto informace použijte k rozhodnutí, jak a kde provést nasazení.

Dobrým vodítkem pro množství paměti, které potřebujete, je počet uživatelů, které očekáváte pravidelně ověřovat.

Uživatelé Paměť RAM
1-10,000 4 GB
10,001-50,000 8 GB
50,001-100,000 12 GB
100,000-200,001 16 GB
200,001+ 32 GB

Potřebujete nastavit několik serverů pro zajištění vysoké dostupnosti nebo vyrovnávání zatížení? Existuje mnoho způsobů, jak tuto konfiguraci nastavit pomocí Azure Multi-Factor Authentication Serveru. Když nainstalujete svůj první Azure Multi-Factor Authentication Server, stane se hlavním serverem. Všechny ostatní servery se stanou podřízenými a automaticky synchronizují uživatele a konfiguraci s hlavním serverem. Potom můžete nakonfigurovat jeden primární server a využívat ostatní jako zálohu, nebo můžete nastavit vyrovnávání zatížení mezi všemi servery.

Když hlavní server Azure Multi-Factor Authentication přejde do režimu offline, podřízené servery můžou stále zpracovávat požadavky na dvoustupňové ověřování. Nemůžete ale přidávat nové uživatele a stávající uživatelé nemohou aktualizovat svoje nastavení, dokud se hlavní server nevrátí do online režimu nebo dokud nedojde ke zvýšení úrovně podřízeného severu.

Příprava prostředí

Ujistěte se, že server, který používáte pro vícefaktorové ověřování Azure, splňuje následující požadavky.

Požadavky pro Azure Multi-Factor Authentication Server Popis
Hardware
  • 200 MB volného místa na pevném disku
  • Procesor kompatibilní s x32 nebo x64
  • 1 GB RAM nebo víc
    		•
    Software
  • Windows Server 20221
  • Windows Server 20191
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008/R2 (pouze s ESU )
  • Windows 10
  • Windows 8.1, všechny edice
  • Windows 8, všechny edice
  • Windows 7, všechny edice (pouze s ESU )
  • Microsoft .NET 4.0 Framework
  • IIS 7.0 nebo novější, pokud instalujete uživatelský portál nebo sadu SDK webové služby
    		•
    Oprávnění Doména Správa istrator nebo účet Enterprise Správa istrator pro registraci ve službě Active Directory

    1Pokud se azure Multi-Factor Authentication Serveru nepodaří aktivovat na virtuálním počítači Azure se systémem Windows Server 2019 nebo novějším, zkuste použít starší verzi Windows Serveru.

    Komponenty serveru Azure Multi-Factor Authentication

    Existují tři webové komponenty, které tvoří Azure Multi-Factor Authentication Server:

    • Sada SDK webové služby – Umožňuje komunikaci s ostatními komponentami a je nainstalovaná na vícefaktorovém aplikačním serveru Microsoft Entra multifactor authentication
    • User Portal – web SLUŽBY IIS, který umožňuje uživatelům zaregistrovat se do vícefaktorového ověřování Azure a spravovat jejich účty.
    • Webová služba mobilní aplikace – Umožňuje používání mobilní aplikace, jako je aplikace Microsoft Authenticator, pro dvoustupňové ověřování.

    Všechny tři komponenty můžou být nainstalované na stejném serveru, pokud má přístup k internetu. Pokud rozdělíte komponenty, sada SDK webové služby se nainstaluje na server vícefaktorového ověřování Microsoft Entra a na internetovém serveru se nainstaluje portál User Portal a webová služba mobilní aplikace.

    Požadavky na firewall pro Azure Multi-Factor Authentication Server

    Každý server MFA musí být schopný komunikovat na odchozím portu 443 s těmito adresami:

    Pokud brána firewall omezuje odchozí port 443, je nutné otevřít tyto rozsahy IP adres:

    Podsíť IP Síťová maska Rozsah IP adres
    134.170.116.0/25 255.255.255.128 134.170.116.1 – 134.170.116.126
    134.170.165.0/25 255.255.255.128 134.170.165.1 – 134.170.165.126
    70.37.154.128/25 255.255.255.128 70.37.154.129 – 70.37.154.254
    52.251.8.48/28 255.255.255.240 52.251.8.48 - 52.251.8.63
    52.247.73.160/28 255.255.255.240 52.247.73.160 - 52.247.73.175
    52.159.5.240/28 255.255.255.240 52.159.5.240 - 52.159.5.255
    52.159.7.16/28 255.255.255.240 52.159.7.16 - 52.159.7.31
    52.250.84.176/28 255.255.255.240 52.250.84.176 - 52.250.84.191
    52.250.85.96/28 255.255.255.240 52.250.85.96 - 52.250.85.111

    Pokud nepoužíváte funkci Potvrzení události a vaši uživatelé nepoužívají k ověřování ze zařízení v podnikové síti mobilní aplikace, potřebujete pouze následující rozsahy:

    Podsíť IP Síťová maska Rozsah IP adres
    134.170.116.72/29 255.255.255.248 134.170.116.72 – 134.170.116.79
    134.170.165.72/29 255.255.255.248 134.170.165.72 – 134.170.165.79
    70.37.154.200/29 255.255.255.248 70.37.154.201 – 70.37.154.206
    52.251.8.48/28 255.255.255.240 52.251.8.48 - 52.251.8.63
    52.247.73.160/28 255.255.255.240 52.247.73.160 - 52.247.73.175
    52.159.5.240/28 255.255.255.240 52.159.5.240 - 52.159.5.255
    52.159.7.16/28 255.255.255.240 52.159.7.16 - 52.159.7.31
    52.250.84.176/28 255.255.255.240 52.250.84.176 - 52.250.84.191
    52.250.85.96/28 255.255.255.240 52.250.85.96 - 52.250.85.111

    Stažení MFA Serveru

    Tip

    Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

    Pokud chcete stáhnout Azure Multi-Factor Authentication Server, postupujte takto:

    Důležité

    V září 2022 oznámil Microsoft vyřazení Azure Multi-Factor Authentication Serveru. Od 30. září 2024 už nasazení Azure Multi-Factor Authentication Serveru nebudou obsluhovat žádosti o vícefaktorové ověřování, což může způsobit selhání ověřování pro vaši organizaci. Aby se zajistily nepřerušované ověřovací služby a aby zůstaly v podporovaném stavu, měly by organizace migrovat ověřovací data uživatelů do cloudové služby ověřování Microsoft Entra multifactor pomocí nejnovějšího nástroje migration, který je součástí nejnovější aktualizace serveru Azure Multi-Factor Authentication. Další informace najdete v tématu Migrace serveru Azure Multi-Factor Authentication.

    Pokud chcete začít s cloudovým vícefaktorovým ověřováním, přečtěte si kurz : Zabezpečení událostí přihlašování uživatelů pomocí vícefaktorového ověřování Azure.

    Stávající zákazníci, kteří aktivovali MFA Server před 1. červencem 2019, si můžou stáhnout nejnovější verzi, budoucí aktualizace a generovat přihlašovací údaje pro aktivaci obvyklým způsobem. Následující kroky fungují jenom v případě, že jste stávajícím zákazníkem MFA Serveru.

    1. Přihlaste se k Centru pro správu Microsoft Entra jako globální Správa istrator.

    2. Přejděte na Nastavení> vícefaktorového ověřovacího>serveru.

    3. Vyberte Stáhnout a podle pokynů na stránce pro stažení uložte instalační program.

      Download MFA Server

    4. Ponechte tuto stránku otevřenou, protože se k ní vrátíme po spuštění instalačního programu.

    Instalace a konfigurace MFA Serveru

    Teď, když jste server stáhli, ho můžete nainstalovat a nastavit. Ujistěte se, že server, na kterém ho chcete nainstalovat, splňuje požadavky uvedené v části věnované plánování.

    1. Dvakrát klikněte na spustitelný soubor.
    2. Na obrazovce Výběr instalační složky zkontrolujte, že je složka zadaná správně, a klikněte na Další. Nainstalují se následující knihovny:
    3. Po dokončení instalace vyberte Dokončit. Spustí se průvodce konfigurací.
    4. Zpátky na stránce, odkud jste server stáhli, klikněte na tlačítko Vytvoření přihlašovacích údajů pro aktivaci. Zkopírujte tyto informace do Azure Multi-Factor Authentication Serveru v zadaných polích a klikněte na Aktivovat.

    Poznámka:

    V Centru pro správu Microsoft Entra můžou generovat přihlašovací údaje pro aktivaci pouze globální správci.

    Zaslání e-mailu uživatelům

    Pro usnadnění uvedení povolte MFA Serveru komunikaci s vašimi uživateli. MFA Server jim může odeslat e-mail s informací, že byli zaregistrování k dvoustupňovému ověřování.

    Jaký e-mail odešlete byste měli určit podle toho, jak jste pro uživatele nakonfigurovali dvoustupňové ověřování. Například pokud máte možnost naimportovat telefonní čísla z adresáře společnosti, e-mail by měl obsahovat výchozí telefonní čísla, aby uživatelé věděli, co mají očekávat. Pokud telefonní čísla nenaimportujete nebo pokud budou uživatelé používat mobilní aplikaci, odešlete jim e-mail, který je nasměruje k dokončení registrace účtu. Do e-mailu vložte hypertextový odkaz na portál User Portal pro vícefaktorové ověřování Azure.

    Obsah e-mailu se liší také podle metody ověřování nastavené pro konkrétního uživatele (telefonní hovor, zpráva SMS nebo mobilní aplikace). Pokud například uživatel musí při ověřování zadat PIN, v e-mailu se dozví, jaký počáteční PIN je pro něj nastavený. Uživatelé musí při prvním ověření svůj PIN změnit.

    Konfigurace e-mailu a šablon e-mailu

    Kliknutím vlevo na ikonu e-mailu můžete změnit nastavení odesílání těchto e-mailů. Na této stránce můžete zadat informace o vašem poštovním serveru SMTP a odesílat e-maily zaškrtnutím políčka Odesílat uživatelům e-maily.

    MFA Server Email configuration

    Na kartě Obsah e-mailu uvidíte šablony e-mailů, ze kterých si můžete vybrat. V závislosti na tom, jak jste uživatelům nakonfigurovali dvoustupňové ověřování, vyberte nejvhodnější šablonu.

    MFA Server Email templates in the console

    Import uživatelů ze služby Active Directory

    Teď, když je server nainstalovaný, budete chtít přidat uživatele. Můžete je vytvořit ručně, naimportovat uživatele ze služby Active Directory nebo nakonfigurovat automatizovanou synchronizaci se službou Active Directory.

    Ruční import ze služby Active Directory

    1. Na azure Multi-Factor Authentication Serveru na levé straně vyberte Uživatelé.

    2. Dole vyberte Importovat ze služby Active Directory.

    3. Teď můžete hledat jednotlivé uživatele nebo v adresáři AD vyhledat organizační jednotky, ve kterých jsou uživatelé. V tomto případě vyhledáme OJ uživatele.

    4. Vpravo označte všechny uživatele a klikněte na Importovat. Mělo by se zobrazit vyskakovací okno s informací, že akce proběhla úspěšně. Zavřete okno importu.

      MFA Server user import from Active Directory

    Automatizovaná synchronizace se službou Active Directory

    1. Na azure Multi-Factor Authentication Serveru na levé straně vyberte Integraci adresáře.
    2. Přejděte na kartu Synchronizace.
    3. V dolní části zvolte Přidat.
    4. V zobrazeném okně Přidat položku synchronizace zvolte pro tuto úlohu synchronizace doménu, organizační jednotku nebo skupinu zabezpečení, nastavení, výchozí hodnoty metod a výchozí hodnoty jazyka a klikněte na Přidat.
    5. Zaškrtněte políčko s popiskem Povolit synchronizaci se službou Active Directory a zvolte Interval synchronizace mezi jednou minutou a 24 hodinami.

    Jak Azure Multi-Factor Authentication Server nakládá s uživatelskými daty

    Pokud používáte místní Multi-Factor Authentication Server, ukládají se data uživatele na místních serverech. V cloudu se neukládají žádná trvalá data. Když uživatel provede dvoustupňové ověření, MFA Server odešle data do cloudové služby vícefaktorového ověřování Microsoft Entra, aby provedl ověření. Když se tyto požadavky na ověření pošlou do cloudové služby, odešlou se v žádosti a následující pole a protokoly, aby byly dostupné pro sestavy o používání/ověřování zákazníka. Některá tato pole jsou volitelná a můžou se v Multi-Factor Authentication Serveru zapnout nebo vypnout. Komunikace z MFA Serveru do cloudové služby MFA probíhá přes SSL/TLS na odchozím portu 443. Tato pole jsou:

    • Jedinečné ID - uživatelské jméno nebo interní ID serveru MFA
    • Jméno a příjmení (volitelné)
    • E-mailová adresa (volitelné)
    • Telefonní číslo – při ověření přes telefonní hovor nebo zprávu SMS
    • Token zařízení - při ověření přes mobilní aplikaci
    • Režim ověřování
    • Výsledek ověřování
    • Název MFA Serveru
    • IP adresa serveru MFA
    • IP adresa klienta – pokud je dostupná

    Vedle těchto polí se s ověřovacími údaji uloží taky výsledek ověření (úspěch/zamítnuto) a případně důvod zamítnutí, které jsou dostupné v sestavách o ověřování/používání.

    Důležité

    Od března 2019 nebudou možnosti telefonního hovoru dostupné uživatelům MFA Serveru v bezplatných nebo zkušebních tenantech Microsoft Entra. Tato změna nemá vliv na zprávy SMS. Telefon bude nadále k dispozici uživatelům v placených tenantech Microsoft Entra. Tato změna se týká jenom tenantů Microsoft Entra zdarma nebo zkušební verze.

    Zálohování a obnovení Azure Multi-Factor Authentication Serveru

    Zajištění dobrého zálohování je důležitý krok, který byste měli provést u každého systému.

    Pokud chcete zálohovat Azure Multi-Factor Authentication Server, ujistěte se, že máte kopii složky C:\Program Files\Multi-Factor Authentication Server\Data včetně souboru Telefon Factor.pfdata.

    Pokud potřebujete provést obnovení, proveďte následující kroky:

    1. Přeinstalujte Azure Multi-Factor Authentication Server na novém serveru.
    2. Aktivujte nový Azure Multi-Factor Authentication Server.
    3. Zastavte službu MultiFactorAuth.
    4. Přepište soubor PhoneFactor.pfdata zálohovanou kopií.
    5. Spusťte službu MultiFactorAuth.

    Nový server je teď zprovozněný s původní zálohovanou konfigurací a uživatelskými daty.

    Správa protokolů TLS a SSL a šifrovacích sad

    Po upgradu na MFA Server verze 8.x nebo novější nebo jeho instalaci se doporučuje zakázat nebo odebrat starší a slabší šifrovací sady, pokud je vaše organizace nevyžaduje. Informace o tom, jak to provést, najdete v článku Správa protokolů SSL a TLS a šifrovacích sad pro AD FS.

    Další kroky