Integrieren Ihrer vorhandenen NPS-Infrastruktur in Azure Multi-Factor AuthenticationIntegrate your existing NPS infrastructure with Azure Multi-Factor Authentication

Die NPS-Erweiterung (Network Policy Server, Netzwerkrichtlinienserver) für Azure MFA fügt Ihrer Authentifizierungsinfrastruktur unter Verwendung Ihrer vorhandenen Server cloudbasierte MFA-Funktionen hinzu.The Network Policy Server (NPS) extension for Azure MFA adds cloud-based MFA capabilities to your authentication infrastructure using your existing servers. Mit der NPS-Erweiterung können Sie Ihrem bestehenden Authentifizierungsvorgang eine Überprüfung per Telefonanruf, SMS oder Telefon-App hinzufügen, ohne neue Server installieren, konfigurieren und verwalten zu müssen.With the NPS extension, you can add phone call, text message, or phone app verification to your existing authentication flow without having to install, configure, and maintain new servers. 

Diese Erweiterung wurde für Organisationen entwickelt, die VPN-Verbindungen schützen möchten, ohne den Azure MFA-Server bereitzustellen.This extension was created for organizations that want to protect VPN connections without deploying the Azure MFA Server. Die NPS-Erweiterung fungiert als Adapter zwischen RADIUS und cloudbasierter Azure MFA, um eine zweite Stufe der Authentifizierung für Verbund- oder synchronisierte Benutzer bereitzustellen.The NPS extension acts as an adapter between RADIUS and cloud-based Azure MFA to provide a second factor of authentication for federated or synced users.

Bei Verwenden der NPS-Erweiterung für Azure MFA umfasst der Authentifizierungsprozess die folgenden Komponenten:When using the NPS extension for Azure MFA, the authentication flow includes the following components: 

  1. Der NAS/VPN-Server empfängt Anforderungen von VPN-Clients und wandelt sie in RADIUS-Anforderungen an NPS-Server um.NAS/VPN Server receives requests from VPN clients and converts them into RADIUS requests to NPS servers. 
  2. Der NPS-Server stellt eine Verbindung mit Active Directory her, um die primäre Authentifizierung für die RADIUS-Anforderungen durchzuführen und übergibt bei Erfolg die Anforderung an installierte Erweiterungen.NPS Server connects to Active Directory to perform the primary authentication for the RADIUS requests and, upon success, passes the request to any installed extensions.  
  3. Die NPS-Erweiterung löst eine Anforderung einer sekundären Authentifizierung an Azure MFA aus.NPS Extension triggers a request to Azure MFA for the secondary authentication. Sobald die Erweiterung die Antwort empfängt und die MFA-Abfrage erfolgreich ist, wird die Authentifizierungsanforderung abgeschlossen, indem dem NPS-Server Sicherheitstoken bereitgestellt werden, die einen von Azure STS ausgegebenen MFA-Anspruch enthalten.Once the extension receives the response, and if the MFA challenge succeeds, it completes the authentication request by providing the NPS server with security tokens that include an MFA claim, issued by Azure STS.  
  4. Azure MFA kommuniziert mit Azure Active Directory zum Abrufen der Details des Benutzers und führt die sekundäre Authentifizierung mithilfe einer Überprüfungsmethode aus, die für den Benutzer konfiguriert ist.Azure MFA communicates with Azure Active Directory to retrieve the user’s details and performs the secondary authentication using a verification method configured to the user.

Das folgende Diagramm veranschaulicht den allgemeinen Ablauf dieser Authentifizierungsanforderung:The following diagram illustrates this high-level authentication request flow: 

Diagramm des Authentifizierungsablaufs

Planen der BereitstellungPlan your deployment

Die NPS-Erweiterung kümmert sich automatisch um die Redundanz, sodass keine spezielle Konfiguration erforderlich ist.The NPS extension automatically handles redundancy, so you don't need a special configuration.

Sie können beliebig viele Azure MFA-fähige NPS-Server erstellen.You can create as many Azure MFA-enabled NPS servers as you need. Wenn Sie mehrere Server installieren, sollten Sie für jeden ein anderes Clientzertifikat verwenden.If you do install multiple servers, you should use a difference client certificate for each one of them. Durch das Erstellen eines Zertifikats für jeden Server können Sie jedes Zertifikat einzeln aktualisieren und müssen sich so keine Gedanken über Ausfallzeiten für Ihre einzelnen Server machen.Creating a cert for each server means that you can update each cert individually, and not worry about downtime across all your servers.

Da VPN-Server die Authentifizierungsanforderungen weiterleiten, müssen sie über neue NPS-Server mit Azure MFA informiert werden.VPN servers route authentication requests, so they need to be aware of the new Azure MFA-enabled NPS servers.

VoraussetzungenPrerequisites

Die NPS-Erweiterung soll mit der vorhandenen Infrastruktur zusammenarbeiten.The NPS extension is meant to work with your existing infrastructure. Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind, bevor Sie beginnen.Make sure you have the following prerequisites before you begin.

LizenzenLicenses

Die NPS-Erweiterung für Azure MFA steht Kunden mit Lizenzen für Azure Multi-Factor Authentication zur Verfügung (enthalten in Azure AD Premium, EMS oder einer eigenständigen MFA-Lizenz).The NPS Extension for Azure MFA is available to customers with licenses for Azure Multi-Factor Authentication (included with Azure AD Premium, EMS, or an MFA stand-alone license). Verbrauchsbasierte Lizenzen für Azure MFA, z.B. pro Benutzer oder pro Authentifizierungslizenz, sind mit der NPS-Erweiterung nicht kompatibel.Consumption-based licenses for Azure MFA such as per user or per authentication licenses are not compatible with the NPS extension.

SoftwareSoftware

Windows Server 2008 R2 SP1 oder höherWindows Server 2008 R2 SP1 or above.

BibliothekenLibraries

Diese Bibliotheken werden automatisch mit der Erweiterung installiert.These libraries are installed automatically with the extension.

Das Microsoft Azure Active Directory-Modul für Windows PowerShell wird, sofern es nicht bereits vorhanden ist, über ein Konfigurationsskript installiert, das Sie als Teil des Installationsvorgangs ausführen.The Microsoft Azure Active Directory Module for Windows PowerShell is installed, if it is not already present, through a configuration script you run as part of the setup process. Es ist nicht erforderlich, dieses Modul vorab zu installieren, wenn es nicht bereits installiert ist.There is no need to install this module ahead of time if it is not already installed.

Azure Active DirectoryAzure Active Directory

Alle Benutzer der NPS-Erweiterung müssen mithilfe von Azure AD Connect mit Azure Active Directory synchronisiert und für MFA registriert werden.Everyone using the NPS extension must be synced to Azure Active Directory using Azure AD Connect, and must be registered for MFA.

Wenn Sie die Erweiterung installieren, benötigen Sie die Verzeichnis-ID und die Administratoranmeldeinformationen für Ihren Azure AD-Mandanten.When you install the extension, you need the directory ID and admin credentials for your Azure AD tenant. Ihre Verzeichnis-ID finden Sie im Azure-Portal.You can find your directory ID in the Azure portal. Melden Sie sich als Administrator an, wählen Sie links das Symbol Azure Active Directory und anschließend Eigenschaften aus.Sign in as an administrator, select the Azure Active Directory icon on the left, then select Properties. Kopieren Sie die GUID in das Feld Verzeichnis-ID, und speichern Sie sie.Copy the GUID in the Directory ID box and save it. Wenn Sie die NPS-Erweiterung installieren, verwenden Sie diese GUID als Mandanten-ID.You use this GUID as the tenant ID when you install the NPS extension.

Ihre Verzeichnis-ID finden Sie in den Azure Active Directory-Eigenschaften

NetzwerkanforderungenNetwork requirements

Der NPS-Server muss über die Ports 80 und 443 mit den folgenden URLs kommunizieren können.The NPS server needs to be able to communicate with the following URLs over ports 80 and 443.

  • https://adnotifications.windowsazure.comhttps://adnotifications.windowsazure.com
  • https://login.microsoftonline.comhttps://login.microsoftonline.com

Darüber hinaus ist eine Verbindung zu den folgenden URLs erforderlich, um die Einrichtung des Adapters mit dem bereitgestellten PowerShell-Skript abzuschließen.Additionally, connectivity to the following URLs is required to complete the setup of the adapter using the provided PowerShell script

  • https://login.microsoftonline.comhttps://login.microsoftonline.com
  • https://provisioningapi.microsoftonline.comhttps://provisioningapi.microsoftonline.com
  • https://aadcdn.msauth.nethttps://aadcdn.msauth.net

Vorbereiten der UmgebungPrepare your environment

Vor der Installation der NPS-Erweiterung müssen Sie Ihre Umgebung für die Verarbeitung des Authentifizierungsdatenverkehrs vorbereiten.Before you install the NPS extension, you want to prepare you environment to handle the authentication traffic.

Aktivieren der NPS-Rolle auf einem in die Domäne eingebundenen ServerEnable the NPS role on a domain-joined server

Der NPS-Server stellt eine Verbindung mit Azure Active Directory her und authentifiziert die MFA-Anforderungen.The NPS server connects to Azure Active Directory and authenticates the MFA requests. Wählen Sie einen Server für diese Rolle aus.Choose one server for this role. Sie sollten einen Server auswählen, der keine Anforderungen von anderen Diensten verarbeitet, da die NPS-Erweiterung für alle Anforderungen Fehler auslöst, die keine RADIUS-Anforderungen sind.We recommend choosing a server that doesn't handle requests from other services, because the NPS extension throws errors for any requests that aren't RADIUS. Der NPS-Server muss als primärer und sekundärer Authentifizierungsserver für Ihre Umgebung eingerichtet werden. Eine Weiterleitung von RADIUS-Anfragen an einen anderen Server als Proxy ist nicht möglich.The NPS server must be set up as the primary and secondary authentication server for your environment; it cannot proxy RADIUS requests to another server.

  1. Öffnen Sie auf dem Server den Assistenten zum Hinzufügen von Rollen und Features über das Schnellstartmenü im Server-Manager.On your server, open the Add Roles and Features Wizard from the Server Manager Quickstart menu.
  2. Wählen Sie als Installationstyp Rollenbasierte oder featurebasierte Installation aus.Choose Role-based or feature-based installation for your installation type.
  3. Wählen Sie die Serverrolle Netzwerkrichtlinien- und Zugriffsdienste aus.Select the Network Policy and Access Services server role. Es wird möglicherweise ein Fenster angezeigt, in dem Sie über die erforderlichen Features für die Ausführung dieser Rolle informiert werden.A window may pop up to inform you of required features to run this role.
  4. Gehen Sie den Assistenten bis zur Bestätigungsseite durch.Continue through the wizard until the Confirmation page. Wählen Sie Installieren aus.Select Install.

Nachdem Sie einen Server für NPS festgelegt haben, sollten Sie diesen Server für die Verarbeitung eingehender RADIUS-Anforderungen von der VPN-Lösung konfigurieren.Now that you have a server designated for NPS, you should also configure this server to handle incoming RADIUS requests from the VPN solution.

Konfigurieren der VPN-Lösung für die Kommunikation mit dem NPS-ServerConfigure your VPN solution to communicate with the NPS server

Die Schritte zum Konfigurieren der RADIUS-Authentifizierungsrichtlinie variieren in Abhängigkeit von der verwendeten VPN-Lösung.Depending on which VPN solution you use, the steps to configure your RADIUS authentication policy vary. Konfigurieren Sie diese Richtlinie mit einem Verweis auf Ihren RADIUS-NPS-Server.Configure this policy to point to your RADIUS NPS server.

Synchronisieren von Domänenbenutzern in der CloudSync domain users to the cloud

Dieser Schritt wurde möglicherweise bereits auf Ihrem Mandanten durchgeführt. Es ist aber ratsam zu überprüfen, ob Azure AD Connect die Datenbanken kürzlich synchronisiert hat.This step may already be complete on your tenant, but it's good to double-check that Azure AD Connect has synchronized your databases recently.

  1. Melden Sie sich beim Azure-Portal als Administrator an.Sign in to the Azure portal as an administrator.
  2. Wählen Sie Azure Active Directory > Azure AD Connect aus.Select Azure Active Directory > Azure AD Connect
  3. Vergewissern Sie sich, dass der Synchronisierungsstatus Aktiviert lautet und dass die letzte Synchronisierung weniger als eine Stunde zurückliegt.Verify that your sync status is Enabled and that your last sync was less than an hour ago.

Wenn Sie einen neuen Synchronisierungslauf starten möchten, gehen Sie anhand der Anweisungen in Azure AD Connect-Synchronisierung: Scheduler vor.If you need to kick off a new round of synchronization, us the instructions in Azure AD Connect sync: Scheduler.

Bestimmen Sie die Authentifizierungsmethoden, die Ihre Benutzer verwenden könnenDetermine which authentication methods your users can use

Zwei Faktoren haben Einfluss darauf, welche Authentifizierungsmethoden mit der Bereitstellung einer NPS-Erweiterung verfügbar sind:There are two factors that affect which authentication methods are available with an NPS extension deployment:

  1. Der Kennwortverschlüsselungsalgorithmus wird zwischen dem RADIUS-Client (VPN, NetScaler-Server oder andere) und den NPS-Servern verwendet.The password encryption algorithm used between the RADIUS client (VPN, Netscaler server, or other) and the NPS servers.

    • PAP unterstützt alle Authentifizierungsmethoden von Azure MFA in der Cloud: Telefonanruf, unidirektionale Textnachricht, Benachrichtigung über eine mobile App und Überprüfungscode in der mobilen App.PAP supports all the authentication methods of Azure MFA in the cloud: phone call, one-way text message, mobile app notification, and mobile app verification code.

    • CHAPV2 und EAP unterstützt Telefonanruf und Benachrichtigung über eine mobile App.CHAPV2 and EAP support phone call and mobile app notification.

      Hinweis

      Verwenden Sie bei der Bereitstellung der NPS-Erweiterung diese Faktoren, um auszuwerten, welche Methoden für Benutzer verfügbar sind.When you deploy the NPS extension, use these factors to evaluate which methods are available for your users. Wenn Ihr RADIUS-Client PAP unterstützt, der Client UX jedoch über kein Eingabefeld für einen Überprüfungscode verfügt, sind der Telefonanruf und die Benachrichtigung über eine mobile App die zwei unterstützten Optionen.If your RADIUS client supports PAP, but the client UX doesn't have input fields for a verification code, then phone call and mobile app notification are the two supported options.

      Wenn die Benutzeroberfläche Ihres VPN-Clients kein Eingabefeld unterstützt und Sie eine Netzwerkzugriffsrichtlinie konfiguriert haben, kann zwar die Authentifizierung erfolgreich sein, aber keines der in der Netzwerkrichtlinie konfigurierten RADIUS-Attribute wird auf das Netzwerkzugriffsgerät, z. B. den RRAS-Server, oder den VPN-Client angewendet.In addition, if your VPN client UX does support input field and you have configured Network Access Policy - the authentication might succeed, however none of the RADIUS attributes configured in the Network Policy will be applied to neither the Network Access Device, like the RRAS server, nor the VPN client. Daraus resultiert, dass der VPN-Client mehr, weniger oder fast keinen Zugriff haben kann, als gewünscht.As a result, the VPN client might have more access than desired or less to no access.

  2. Die Eingabemethoden, die von der Clientanwendung (VPN, NetScaler-Server oder andere) verarbeitet werden kann.The input methods that the client application (VPN, Netscaler server, or other) can handle. Beispiel: Verfügt der VPN-Client über Mittel, die es dem Benutzer erlauben, einen Überprüfungscode aus einem Text oder einer mobilen App einzugeben?For example, does the VPN client have some means to allow the user to type in a verification code from a text or mobile app?

Sie können nicht unterstützte Authentifizierungsmethoden in Azure deaktivieren.You can disable unsupported authentication methods in Azure.

Registrieren von Benutzern für MFARegister users for MFA

Bevor Sie die NPS-Erweiterung bereitstellen und verwenden, müssen Benutzer, die die zweistufige Überprüfung durchführen müssen, für MFA registriert werden.Before you deploy and use the NPS extension, users that are required to perform two-step verification need to be registered for MFA. Vorher benötigen Sie zum Testen der Erweiterung bei der Bereitstellung zumindest ein Testkonto, das vollständig für Multi-Factor Authentication registriert ist.More immediately, to test the extension as you deploy it, you need at least one test account that is fully registered for Multi-Factor Authentication.

Führen Sie die folgende Schritte aus, um ein Testkonto einzurichten:Use these steps to get a test account started:

  1. Melden Sie sich bei https://aka.ms/mfasetup mit einem Testkonto an.Sign in to https://aka.ms/mfasetup with a test account.
  2. Befolgen Sie die Anweisungen zum Einrichten einer Überprüfungsmethode.Follow the prompts to set up a verification method.
  3. Erstellen Sie eine bedingte Zugriffsrichtline für eine mehrstufige Authentifizierung beim Testkonto.Create a Conditional Access policy to require multi-factor authentication for the test account.

Installieren der NPS-ErweiterungInstall the NPS extension

Wichtig

Installieren Sie die NPS-Erweiterung auf einem anderen Server als dem VPN-Zugriffspunkt.Install the NPS extension on a different server than the VPN access point.

Herunterladen und Installieren der NPS-Erweiterung für Azure MFADownload and install the NPS extension for Azure MFA

  1. Laden Sie die NPS-Erweiterung aus dem Microsoft Download Center herunter.Download the NPS Extension from the Microsoft Download Center.
  2. Kopieren Sie die Binärdatei auf den Netzwerkrichtlinienserver, der konfiguriert werden soll.Copy the binary to the Network Policy Server you want to configure.
  3. Führen Sie setup.exe aus, und folgen Sie den Installationsanweisungen.Run setup.exe and follow the installation instructions. Wenn Fehler auftreten, überprüfen Sie, ob die beiden Bibliotheken im Abschnitt „Voraussetzungen“ installiert wurden.If you encounter errors, double-check that the two libraries from the prerequisite section were successfully installed.

Aktualisieren der NPS-ErweiterungUpgrade the NPS extension

Wenn Sie eine bestehende NPS-Erweiterung aktualisieren, führen Sie die folgenden Schritte aus, um einen Neustart des zugrunde liegenden Servers zu vermeiden:When upgrading an existing NPS extension install, to avoid a reboot of the underlying server complete the following steps:

  1. Deinstallieren der vorhandenen VersionUninstall the existing version
  2. Ausführen des neuen InstallersRun the new installer
  3. Starten des Network Policy Server (IAS)-DienstsRestart the Network Policy Server (IAS) service

Ausführen des PowerShell-SkriptsRun the PowerShell script

Das Installationsprogramm erstellt ein PowerShell-Skript an diesem Speicherort: C:\Program Files\Microsoft\AzureMfa\Config (wobei „C:\“ Ihr Installationslaufwerk ist).The installer creates a PowerShell script in this location: C:\Program Files\Microsoft\AzureMfa\Config (where C:\ is your installation drive). Dieses PowerShell-Skript führt bei jeder Ausführung folgende Aktionen aus:This PowerShell script performs the following actions each time it is run:

  • Erstellen eines selbstsignierten ZertifikatsCreate a self-signed certificate.
  • Zuordnen des öffentlichen Schlüssels des Zertifikats zum Dienstprinzipal in Azure ADAssociate the public key of the certificate to the service principal on Azure AD.
  • Speichern des Zertifikats im lokalen ZertifikatspeicherStore the cert in the local machine cert store.
  • Gewähren des Zugriffs auf den privaten Schlüssel des Zertifikats für den NetzwerkbenutzerGrant access to the certificate’s private key to Network User.
  • Neustarten des NPSRestart the NPS.

Außer wenn Sie Ihre eigenen Zertifikate nutzen möchten (anstelle der selbstsignierten Zertifikate, die das PowerShell-Skript generiert), führen Sie zum Abschließen der Installation das PowerShell-Skript aus.Unless you want to use your own certificates (instead of the self-signed certificates that the PowerShell script generates), run the PowerShell Script to complete the installation. Wenn Sie die Erweiterung auf mehreren Servern installieren möchten, sollte jeder über ein eigenes Zertifikat verfügen.If you install the extension on multiple servers, each one should have its own certificate.

  1. Führen Sie Windows PowerShell als Administrator aus.Run Windows PowerShell as an administrator.

  2. Wechseln Sie das Verzeichnis.Change directories.

    cd "C:\Program Files\Microsoft\AzureMfa\Config"

  3. Führen Sie das PowerShell-Skript aus, das vom Installationsprogramm erstellt wurde.Run the PowerShell script created by the installer.

    .\AzureMfaNpsExtnConfigSetup.ps1

  4. Melden Sie sich bei Azure AD als Administrator an.Sign in to Azure AD as an administrator.

  5. PowerShell fordert Sie zur Angabe Ihrer Mandanten-ID auf.PowerShell prompts for your tenant ID. Verwenden Sie die Verzeichnis-ID-GUID, die Sie im Abschnitt „Voraussetzungen“ aus dem Azure-Portal kopiert haben.Use the Directory ID GUID that you copied from the Azure portal in the prerequisites section.

  6. PowerShell zeigt eine Erfolgsmeldung an, wenn die Skriptausführung abgeschlossen wurde.PowerShell shows a success message when the script is finished.

Wiederholen Sie diese Schritte für alle zusätzlichen NPS-Server, die Sie für den Lastenausgleich einrichten möchten.Repeat these steps on any additional NPS servers that you want to set up for load balancing.

Wenn das vorherige Computerzertifikat abgelaufen ist und ein neues Zertifikat generiert wurde, sollten Sie alle abgelaufenen Zertifikate löschen.If your previous computer certificate has expired, and a new certificate has been generated, you should delete any expired certificates. Bei abgelaufenen Zertifikaten können beim Start der NPS-Erweiterung Probleme auftreten.Having expired certificates can cause issues with the NPS Extension starting.

Hinweis

Wenn Sie Ihre eigenen Zertifikate verwenden, statt diese mit dem PowerShell-Skript zu generieren, stellen Sie sicher, dass sie den NPS-Namenskonventionen entsprechen.If you use your own certificates instead of generating certificates with the PowerShell script, make sure that they align to the NPS naming convention. Der Antragstellernamen muss CN=<Mandanten-ID>,OU=Microsoft NPS Extension sein.The subject name must be CN=<TenantID>,OU=Microsoft NPS Extension.

ZertifikatrolloverCertificate rollover

Mit der Veröffentlichung von Version 1.0.1.32 der NPS-Erweiterung wird jetzt das Lesen von mehreren Zertifikaten unterstützt.With release 1.0.1.32 of the NPS extension, reading multiple certificates is now supported. Diese Funktion hilft Ihnen dabei, Zertifikatupdates vor ihrem Ablauf einzuführen.This capability will help facilitate rolling certificate updates prior to their expiration. Wenn Ihre Organisation eine ältere Version der NPS-Erweiterung verwendet, dann sollten Sie sie auf 1.0.1.32 oder neuer aktualisieren.If your organization is running a previous version of the NPS extension, you should upgrade to version 1.0.1.32 or higher.

Zertifikat, die vom AzureMfaNpsExtnConfigSetup.ps1-Skript erstellt werden, sind 2 Jahre gültig.Certificates created by the AzureMfaNpsExtnConfigSetup.ps1 script are valid for 2 years. IT-Organisationen sollten ein Auge auf das Ablaufdatum von Zertifikaten haben.IT organizations should monitor certificates for expiration. Zertifikate für die NPS-Erweiter werden im Zertifikatspeicher des lokalen Computers unter „persönlich“ gespeichert und der Mandanten-ID zugeteilt, die zum Skript gehört.Certificates for the NPS extension are placed in the Local Computer certificate store under Personal and are Issued To the tenant ID provided to the script.

Wenn ein Zertifikat sich seinem Ablaufdatum nähert, dann sollten Sie ein neues Zertifikat erstellen, das es ersetzt.When a certificate is approaching the expiration date, a new certificate should be created to replace it. Dies können Sie durch erneutes Ausführen von AzureMfaNpsExtnConfigSetup.ps1 erreichen. Behalten Sie dazu die Mandanten-ID bei, wenn Sie dazu aufgefordert werden.This process is accomplished by running the AzureMfaNpsExtnConfigSetup.ps1 again and keeping the same tenant ID when prompted. Wiederholen Sie diesen Vorgang auf jedem NPS-Server in Ihrer Umgebung.This process should be repeated on each NPS server in your environment.

Konfigurieren der NPS-ErweiterungConfigure your NPS extension

Dieser Abschnitt enthält Überlegungen zum Entwurf und Vorschläge für erfolgreiche Bereitstellungen der NPS-Erweiterung.This section includes design considerations and suggestions for successful NPS extension deployments.

Einschränkungen der KonfigurationConfiguration limitations

  • Die NPS-Erweiterung bietet für Azure MFA keine Tools zum Migrieren von Benutzern und Einstellungen vom MFA-Server in die Cloud.The NPS extension for Azure MFA does not include tools to migrate users and settings from MFA Server to the cloud. Aus diesem Grund wird die Verwendung der Erweiterung für neue Bereitstellungen statt vorhandener Bereitstellung empfohlen.For this reason, we suggest using the extension for new deployments, rather than existing deployment. Wenn Sie die Erweiterung für eine vorhandene Bereitstellung verwenden, müssen die Benutzer die Bestätigung erneut ausführen, um ihre MFA-Details in der Cloud anzugeben.If you use the extension on an existing deployment, your users have to perform proof-up again to populate their MFA details in the cloud.
  • Die NPS-Erweiterung verwendet für die Durchführung der sekundären Authentifizierung den Benutzerprinzipalnamen (User Principal Name, UPN) aus dem lokalen Active Directory zur Identifizierung des Benutzers in Azure MFA. Die Erweiterung kann für die Verwendung eines anderen Bezeichners wie einer alternativen Anmelde-ID oder eines benutzerdefinierten Active Directory-Felde (außer dem UPN) konfiguriert werden.The NPS extension uses the UPN from the on-premises Active directory to identify the user on Azure MFA for performing the Secondary Auth. The extension can be configured to use a different identifier like alternate login ID or custom Active Directory field other than UPN. Weitere Informationen finden Sie im Artikel Erweiterte Konfigurationsoptionen für die NPS-Erweiterung für Multi-Factor Authentication.For more information, see the article, Advanced configuration options for the NPS extension for Multi-Factor Authentication.
  • Nicht alle Verschlüsselungsprotokolle unterstützen alle Überprüfungsmethoden.Not all encryption protocols support all verification methods.
    • PAP unterstützt Telefonanruf, unidirektionale Textnachricht, Benachrichtigung über eine mobile App und Überprüfungscode in der mobilen AppPAP supports phone call, one-way text message, mobile app notification, and mobile app verification code
    • CHAPV2 und EAP unterstützt Telefonanruf und Benachrichtigung über eine mobile AppCHAPV2 and EAP support phone call and mobile app notification

Steuern von RADIUS-Clients, die MFA erfordernControl RADIUS clients that require MFA

Nachdem Sie MFA für einen RADIUS-Client mithilfe der NPS-Erweiterung aktiviert haben, muss bei allen Authentifizierungen für diesen Client MFA erfolgen.Once you enable MFA for a RADIUS client using the NPS Extension, all authentications for this client are required to perform MFA. Wenn Sie MFA nur für einige RADIUS-Clients aktivieren möchten, für andere dagegen nicht, können Sie zwei NPS-Server konfigurieren und die Erweiterung nur auf einem installieren.If you want to enable MFA for some RADIUS clients but not others, you can configure two NPS servers and install the extension on only one of them. Verweisen Sie RADIUS-Clients, die MFA zum Senden von Anforderungen auffordern sollen, an den mit der Erweiterung konfigurierten NPS-Server und andere RADIUS-Clients an den NPS-Server, der nicht mit der Erweiterung konfiguriert ist.Configure RADIUS clients that you want to require MFA to send requests to the NPS server configured with the extension, and other RADIUS clients to the NPS server not configured with the extension.

Vorbereiten von Benutzern, die nicht für MFA registriert sindPrepare for users that aren't enrolled for MFA

Wenn es Benutzer gibt, die nicht für MFA registriert sind, können Sie bestimmen, was geschieht, wenn sie versuchen, sie zu authentifizieren.If you have users that aren't enrolled for MFA, you can determine what happens when they try to authenticate. Verwenden Sie die Registrierungseinstellung REQUIRE_USER_MATCH im Registrierungspfad HKLM\Software\Microsoft\AzureMFA zum Steuern des Verhaltens des Features.Use the registry setting REQUIRE_USER_MATCH in the registry path HKLM\Software\Microsoft\AzureMFA to control the feature behavior. Diese Einstellung hat eine einzelne Konfigurationsoption:This setting has a single configuration option:

SchlüsselKey WertValue StandardDefault
REQUIRE_USER_MATCHREQUIRE_USER_MATCH TRUE/FALSETRUE/FALSE Nicht festgelegt (gleichwertig mit TRUE)Not set (equivalent to TRUE)

Diese Einstellung dient zum Bestimmen, was zu tun, wenn ein Benutzer nicht für MFA registriert ist.The purpose of this setting is to determine what to do when a user is not enrolled for MFA. Wenn der Schlüssel nicht vorhanden, nicht festgelegt oder auf TRUE festgelegt ist und der Benutzer nicht registriert ist, erfüllt die Erweiterung die MFA-Abfrage nicht.When the key does not exist, is not set, or is set to TRUE, and the user is not enrolled, then the extension fails the MFA challenge. Wenn der Schlüssel auf FALSE festgelegt und der Benutzer nicht registriert ist, wird die Authentifizierung ohne MFA fortgesetzt.When the key is set to FALSE and the user is not enrolled, authentication proceeds without performing MFA. Wenn ein Benutzer für MFA registriert ist, muss er sich mit MFA authentifizieren, auch wenn REQUIRE_USER_MATCH auf FALSE festgelegt ist.If a user is enrolled in MFA, they must authenticate with MFA even if REQUIRE_USER_MATCH is set to FALSE.

Sie können diesen Schlüssel erstellen und auf FALSE festlegen, während Ihre Benutzer eingebunden werden und möglicherweise noch nicht alle für Azure MFA registriert sind.You can choose to create this key and set it to FALSE while your users are onboarding, and may not all be enrolled for Azure MFA yet. Da das Festlegen des Schlüssels Benutzern, die nicht für MFA registriert sind, die Anmeldung erlaubt, müssen Sie diesen Schlüssel vor dem Wechsel in die Produktionsumgebung entfernen.However, since setting the key permits users that aren't enrolled for MFA to sign in, you should remove this key before going to production.

ProblembehandlungTroubleshooting

Skript für die Integritätsprüfung der NPS-ErweiterungNPS extension health check script

Das folgende Skript steht im TechNet-Katalog zur Verfügung, um Schritte der grundlegenden Integritätsprüfung bei der Problembehandlung der NPS-Erweiterung durchzuführen.The following script is available on the TechNet Gallery to perform basic health check steps when troubleshooting the NPS extension.

MFA_NPS_Troubleshooter.ps1MFA_NPS_Troubleshooter.ps1


Wie überprüfe ich, ob das Clientzertifikat wie erwartet installiert ist?How do I verify that the client cert is installed as expected?

Suchen Sie das vom Installationsprogramm erstellte selbstsignierte Zertifikat im Zertifikatspeicher, und prüfen Sie, ob der private Schlüssel dem Benutzer NETZWERKDIENST Berechtigungen erteilt.Look for the self-signed certificate created by the installer in the cert store, and check that the private key has permissions granted to user NETWORK SERVICE. Das Zertifikat hat den Antragstellernamen CN <Mandanten-ID>, OU = Microsoft NPS Extension.The cert has a subject name of CN <tenantid>, OU = Microsoft NPS Extension

Selbstsignierte Zertifikate, die mit dem Skript AzureMfaNpsExtnConfigSetup.ps1 generiert werden, haben eine Gültigkeitsdauer von zwei Jahren.Self-signed certificates generated by the AzureMfaNpsExtnConfigSetup.ps1 script also have a validity lifetime of two years. Wenn Sie überprüfen, ob das Zertifikat installiert ist, sollten Sie auch überprüfen, ob das Zertifikat nicht abgelaufen ist.When verifying that the certificate is installed, you should also check that the certificate has not expired.


Wie kann ich überprüfen, ob mein Clientzertifikat meinem Mandanten in Azure Active Directory zugeordnet ist?How can I verify that my client cert is associated to my tenant in Azure Active Directory?

Öffnen Sie eine PowerShell-Eingabeaufforderung, und führen Sie die folgenden Befehle aus:Open PowerShell command prompt and run the following commands:

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1

Diese Befehle geben alle Zertifikate aus, die Ihren Mandanten Ihrer Instanz der NPS-Erweiterung in der PowerShell-Sitzung zuordnen.These commands print all the certificates associating your tenant with your instance of the NPS extension in your PowerShell session. Suchen Sie Ihr Zertifikat, indem Sie Ihr Clientzertifikat als Datei des Typs „Base64-codiert X.509 (.CER)“ ohne den privaten Schlüssel exportieren und es mit der Liste aus PowerShell vergleichen.Look for your certificate by exporting your client cert as a "Base-64 encoded X.509(.cer)" file without the private key, and compare it with the list from PowerShell.

Der folgende Befehl erstellt eine Datei namens „npscertificate“ im CER-Format auf dem Laufwerk „C:“.The following command will create a file named "npscertificate" on your "C:" drive in format .cer.

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1 | select -ExpandProperty "value" | out-file c:\npscertficicate.cer

Wenn Sie diesen Befehl ausgeführt haben, rufen Sie Laufwerk „C:“ auf, suchen Sie die Datei, und doppelklicken Sie darauf.Once you run this command, go to your C drive, locate the file and double-click on it. Öffnen Sie die Details und scrollen Sie nach unten zu „Fingerabdruck“, vergleichen Sie den Fingerabdruck des auf dem Server installierten Zertifikats mit diesem.Go to details and scroll down to "thumbprint", compare the thumbprint of the certificate installed on the server to this one. Der Zertifikatfingerabdruck muss übereinstimmen.The certificate thumbprints should match.

Die Zeitstempel „Valid-From“ und „Valid-Until“ in einem vom Menschen lesbaren Format dienen zum Herausfiltern offensichtlicher Fehler, wenn der Befehl mehrere Zertifikate zurückgibt.Valid-From and Valid-Until timestamps, which are in human-readable form, can be used to filter out obvious misfits if the command returns more than one cert.


Warum kann ich mich nicht anmelden?Why cant I sign in?

Überprüfen Sie, ob Ihr Kennwort nicht abgelaufen ist.Check that your password hasn't expired. Die NPS-Erweiterung unterstützt nicht das Ändern von Kennwörtern im Rahmen des Anmeldeworkflows.The NPS Extension does not support changing passwords as part of the sign-in workflow. Wenden Sie sich an das IT-Team Ihrer Organisation, um weitere Unterstützung zu erhalten.Contact your organization's IT Staff for further assistance.


Warum misslingen meine Anforderungen mit ADAL-Tokenfehler?Why are my requests failing with ADAL token error?

Dieser Fehler kann verschiedene Gründe haben.This error could be due to one of several reasons. Gehen Sie zur Problembehandlung folgendermaßen vor:Use these steps to help troubleshoot:

  1. Starten Sie den NPS-Server neu.Restart your NPS server.
  2. Vergewissern Sie sich, dass das Clientzertifikat wie erwartet installiert wurde.Verify that client cert is installed as expected.
  3. Überprüfen Sie, ob das Zertifikat Ihrem Mandanten in Azure AD zugeordnet ist.Verify that the certificate is associated with your tenant on Azure AD.
  4. Überprüfen Sie auf dem Server, auf dem die Erweiterung ausgeführt wird, ob auf https://login.microsoftonline.com/ zugegriffen werden kann.Verify that https://login.microsoftonline.com/ is accessible from the server running the extension.

Warum misslingt die Authentifizierung mit einem Fehler in den HTTP-Protokollen, der besagt, dass der Benutzer nicht gefunden wurde?Why does authentication fail with an error in HTTP logs stating that the user is not found?

Überprüfen Sie, ob AD Connect ausgeführt wird und der Benutzer in Windows Active Directory und Azure Active Directory vorhanden ist.Verify that AD Connect is running, and that the user is present in both Windows Active Directory and Azure Active Directory.


Warum enthalten meine Protokolle HTTP-Verbindungs- und Authentifizierungsfehler?Why do I see HTTP connect errors in logs with all my authentications failing?

Überprüfen Sie auf dem Server, auf dem die NPS-Erweiterung ausgeführt wird, ob auf https://adnotifications.windowsazure.com zugegriffen werden kann.Verify that https://adnotifications.windowsazure.com is reachable from the server running the NPS extension.


Warum funktioniert die Authentifizierung trotz eines gültigen Zertifikats nicht?Why is authentication not working, despite a valid certificate being present?

Wenn das vorherige Computerzertifikat abgelaufen ist und ein neues Zertifikat generiert wurde, sollten Sie alle abgelaufenen Zertifikate löschen.If your previous computer certificate has expired, and a new certificate has been generated, you should delete any expired certificates. Bei abgelaufenen Zertifikaten können beim Start der NPS-Erweiterung Probleme auftreten.Having expired certificates can cause issues with the NPS Extension starting.

Um festzustellen, ob ein gültiges Zertifikat vorhanden ist, überprüfen Sie über MMC den Zertifikatspeicher des lokalen Computerkontos, und stellen Sie sicher, dass das Ablaufdatum des Zertifikats nicht überschritten wurde.To check if you have a valid certificate, check the local Computer Account's Certificate Store using MMC, and ensure the certificate has not passed its expiry date. Um ein neues gültiges Zertifikat zu generieren, führen Sie die Schritte im Abschnitt Ausführen des PowerShell-Skripts erneut aus.To generate a newly valid certificate, rerun the steps under the section "Run the PowerShell script"

Verwalten von TLS/SSL-Protokollen und VerschlüsselungssammlungenManaging the TLS/SSL Protocols and Cipher Suites

Es empfiehlt sich, ältere und weniger leistungsstarke Verschlüsselungssammlungen zu deaktivieren oder zu entfernen, sofern diese nicht von Ihrer Organisation benötigt werden.It is recommended that older and weaker cipher suites be disabled or removed unless required by your organization. Informationen zur Durchführung dieser Aufgabe finden Sie im Artikel Verwalten von SSL/TLS-Protokollen und Verschlüsselungssammlungen für AD FS.Information on how to complete this task can be found in the article Managing SSL/TLS Protocols and Cipher Suites for AD FS

Weitere Informationen zur ProblembehandlungAdditional troubleshooting

Zusätzliche Anleitungen zur Problembehandlung und mögliche Lösungen finden Sie im Artikel „Auflösen von Fehlermeldungen in der NPS-Erweiterung für Azure Multi-Factor Authentication“.Additional troubleshooting guidance and possible solutions can be found in the article Resolve error messages from the NPS extension for Azure Multi-Factor Authentication.

Nächste SchritteNext steps