Mengintegrasikan infrastruktur Network Policy Server (NPS) Anda yang sudah ada dengan Azure AD Multi-Factor Authentication

Ekstensi Network Policy Server (NPS) untuk Azure AD Multi-Factor Authentication menambahkan kemampuan MFA berbasis cloud ke infrastruktur autentikasi Anda menggunakan server yang ada. Dengan ekstensi NPS, Anda dapat menambahkan panggilan telepon, pesan teks, atau verifikasi aplikasi telepon ke alur autentikasi yang ada tanpa harus menginstal, mengonfigurasi, dan memelihara server baru.

Ekstensi NPS bertindak sebagai adaptor antara RADIUS dan Azure AD Multi-Factor Authentication berbasis cloud untuk memberikan faktor autentikasi kedua bagi pengguna yang digabung atau disinkronkan.

Cara kerja ekstensi NPS

Saat Anda menggunakan ekstensi NPS untuk Azure AD Multi-Factor Authentication, alur autentikasi menyertakan komponen berikut:

  1. NAS/VPN Server menerima permintaan dari klien VPN dan mengonversinya menjadi permintaan RADIUS ke server NPS.
  2. NPS Server terhubung ke Active Directory Domain Services (AD DS) untuk melakukan autentikasi utama untuk permintaan RADIUS dan, setelah berhasil, meneruskan permintaan ke ekstensi yang diinstal.
  3. Ekstensi NPS memicu permintaan ke Azure AD Multi-Factor Authentication untuk autentikasi sekunder. Setelah ekstensi menerima respons, dan jika tantangan MFA berhasil, ia menyelesaikan permintaan autentikasi dengan menyediakan server NPS dengan token keamanan yang menyertakan klaim MFA, yang dikeluarkan oleh Azure STS.

    Catatan

    Pengguna harus memiliki akses ke metode otentikasi default mereka untuk menyelesaikan persyaratan MFA. Pengguna tidak bisa memilih metode alternatif. Metode autentikasi default mereka akan digunakan bahkan jika telah dinonaktifkan dalam metode autentikasi penyewa dan kebijakan MFA.

  4. Azure AD MFA berkomunikasi dengan Azure Active Directory (Azure AD) untuk mengambil detail pengguna dan melakukan autentikasi sekunder menggunakan metode verifikasi yang dikonfigurasi untuk pengguna.

Diagram berikut mengilustrasikan alur permintaan autentikasi tingkat tinggi ini:

Diagram of the authentication flow for user authenticating through a VPN server to NPS server and the Azure AD Multi-Factor Authentication NPS extension

Perilaku protokol RADIUS dan ekstensi NPS

Karena RADIUS adalah protokol UDP, pengirim mengasumsikan kehilangan paket dan menunggu respons. Setelah jangka waktu tertentu, koneksi mungkin menghabiskan waktu. Jika demikian, paket merasa tidak senang karena pengirim menganggap paket tidak mencapai tujuan. Dalam skenario autentikasi di artikel ini, server VPN mengirim permintaan dan menunggu respons. Jika waktu koneksi habis, server VPN akan mengirim permintaan lagi.

Diagram of RADIUS UDP packet flow and requests after timeout on response from NPS server

Server NPS mungkin tidak menanggapi permintaan asli server VPN sebelum koneksi habis karena permintaan MFA mungkin masih diproses. Pengguna mungkin tidak berhasil menanggapi permintaan MFA, sehingga ekstensi NPS Azure AD Multi-Factor Authentication menunggu acara tersebut selesai. Dalam situasi ini, server NPS mengidentifikasi permintaan server VPN tambahan sebagai permintaan duplikat. Server NPS membuang permintaan server VPN duplikat ini.

Diagram of NPS server discarding duplicate requests from RADIUS server

Jika Anda melihat log server NPS, Anda mungkin melihat permintaan tambahan ini sedang dibuang. Perilaku ini dirancang untuk melindungi pengguna akhir agar tidak mendapatkan beberapa permintaan untuk satu upaya autentikasi. Permintaan yang dibuang di log kejadian server NPS tidak menunjukkan ada masalah dengan server NPS atau ekstensi NPS Azure AD Multi-Factor Authentication.

Untuk meminimalkan permintaan yang dibuang, kami menyarankan agar server VPN dikonfigurasi dengan batas waktu setidaknya 60 detik. Jika diperlukan, atau untuk mengurangi permintaan yang dibuang dalam log kejadian, Anda dapat meningkatkan nilai batas waktu server VPN menjadi 90 atau 120 detik.

Karena perilaku protokol UDP ini, server NPS dapat menerima permintaan duplikat dan mengirim permintaan MFA lain, bahkan setelah pengguna telah menanggapi permintaan awal. Untuk menghindari kondisi waktu ini, ekstensi NPS Azure AD Multi-Factor Authentication terus memfilter dan membuang permintaan duplikat hingga 10 detik setelah respons berhasil dikirim ke server VPN.

Diagram of NPS server continuing to discard duplicate requests from VPN server for ten seconds after a successful response is returned

Sekali lagi, Anda mungkin melihat permintaan yang dibuang di log kejadian server NPS, bahkan ketika permintaan Azure AD Multi-Factor Authentication berhasil. Ini adalah perilaku yang diharapkan, dan tidak menunjukkan masalah dengan server NPS atau ekstensi NPS Azure AD Multi-Factor Authentication.

Merencanakan penerapan Anda

Ekstensi NPS secara otomatis menangani redundansi, sehingga Anda tidak memerlukan konfigurasi khusus.

Anda dapat membuat server NPS berkemampuan Azure AD Multi-Factor Authentication sebanyak yang Anda butuhkan. Jika Anda menginstal beberapa server, Anda harus menggunakan sertifikat klien yang berbeda untuk masing-masing server. Membuat sertifikat untuk setiap server berarti Anda dapat memperbarui setiap sertifikasi satu per satu, dan tidak khawatir tentang waktu henti di semua server Anda.

Server VPN merutekan permintaan autentikasi, sehingga mereka perlu mengetahui server NPS berkemampuan Azure AD Multi-Factor Authentication yang baru.

Prasyarat

Ekstensi NPS dimaksudkan untuk bekerja dengan infrastruktur Anda yang ada. Pastikan Anda memiliki prasyarat berikut sebelum memulai.

Lisensi

Ekstensi NPS untuk Azure AD Multifactor Authentication tersedia untuk pelanggan dengan lisensi untuk Azure AD Multifactor Authentication (disertakan dengan Azure AD Premium P1 dan Premium P2 atau Enterprise Mobility + Security). Lisensi berbasis konsumsi untuk Azure AD Multi-Factor Authentication, seperti per pengguna atau per lisensi autentikasi, tidak kompatibel dengan ekstensi NPS.

Perangkat lunak

Windows Server 2012 ke atas.

Pustaka

Anda perlu menginstal pustaka berikut ini secara manual:

Pustaka berikut ini diinstal secara otomatis dengan ekstensi.

Modul Direktori Aktif Microsoft Azure untuk Windows PowerShell juga diinstal melalui skrip konfigurasi yang Anda jalankan sebagai bagian dari proses penyetelan, jika belum ada. Tidak perlu menginstal modul ini sebelumnya jika belum diinstal.

Azure Active Directory

Setiap orang yang menggunakan ekstensi NPS harus disinkronkan ke Azure AD menggunakan Azure AD Connect, dan harus didaftarkan untuk MFA.

Saat menginstal ekstensi, Anda memerlukan ID Penyewa dan kredensial admin untuk penyewa Azure AD Anda. Untuk mendapatkan ID penyewa, selesaikan langkah-langkah berikut:

  1. Masuk ke portal Microsoft Azure sebagai administrator global penyewa Azure.

  2. Cari dan pilih Azure Active Directory.

  3. Pada halaman Gambaran Umum, informasi Penyewa ditampilkan. Di samping ID Penyewa, pilih ikon Salin, seperti yang diperlihatkan dalam contoh tangkapan layar berikut:

    Getting the Tenant ID from the Azure portal

Persyaratan jaringan

Server NPS harus dapat berkomunikasi dengan URL berikut melalui port 80 dan 443:

  • https://strongauthenticationservice.auth.microsoft.com
  • https://strongauthenticationservice.auth.microsoft.us
  • https://strongauthenticationservice.auth.microsoft.cn
  • https://adnotifications.windowsazure.com
  • https://login.microsoftonline.com
  • https://credentials.azure.com

Selain itu, konektivitas ke URL berikut diperlukan untuk menyelesaikan pengaturan adaptor menggunakan skrip PowerShell yang disediakan:

  • https://login.microsoftonline.com
  • https://provisioningapi.microsoftonline.com
  • https://aadcdn.msauth.net
  • https://www.powershellgallery.com
  • https://go.microsoft.com
  • https://aadcdn.msftauthimages.net

Siapkan lingkungan Anda

Sebelum Anda menginstal ekstensi NPS, siapkan lingkungan Anda untuk menangani lalu lintas autentikasi.

Mengaktifkan peran NPS pada server yang bergabung dengan domain

Server NPS tersambung ke Azure AD dan mengautentikasi permintaan MFA. Pilih satu server untuk peran ini. Sebaiknya pilih server yang tidak menangani permintaan dari layanan lain, karena ekstensi NPS melempar kesalahan untuk setiap permintaan yang bukan RADIUS. Server NPS harus disetel sebagai server autentikasi utama dan sekunder untuk lingkungan Anda. Ini tidak dapat memproksi permintaan RADIUS ke server lain.

  1. Di server Anda, buka Manajer Server. Pilih Tambahkan Panduan Peran dan Fitur dari menu Mulai Cepat.
  2. Untuk jenis instalasi Anda, pilih Penginstalan berbasis peran atau berbasis fitur.
  3. Pilih peran server Kebijakan Jaringan dan Layanan Akses. Jendela dapat muncul untuk memberi tahu Anda tentang fitur tambahan yang diperlukan untuk menjalankan peran ini.
  4. Lanjutkan melalui panduan hingga halaman Konfirmasi. Bila sudah siap, pilih Instal.

Mungkin perlu waktu beberapa menit untuk menginstal peran server NPS. Setelah selesai, lanjutkan dengan bagian berikut untuk mengonfigurasi server ini untuk menangani permintaan RADIUS masuk dari solusi VPN.

Mengonfigurasi solusi VPN Anda untuk berkomunikasi dengan server NPS

Bergantung pada solusi VPN mana yang Anda gunakan, langkah-langkah untuk mengonfigurasi kebijakan autentikasi RADIUS Anda bervariasi. Konfigurasikan kebijakan VPN Anda untuk menunjuk ke server NPS RADIUS Anda.

Menyinkronkan pengguna domain ke cloud

Langkah ini mungkin sudah selesai pada penyewa Anda, tetapi ada baiknya untuk memeriksa kembali apakah Azure AD Connect telah menyinkronkan database Anda baru-baru ini.

  1. Masuk ke portal Microsoft Azure sebagai administrator.
  2. Pilih Azure Active Directory>Azure AD Connect
  3. Pastikan bahwa status sinkron Anda Diaktifkan dan sinkron terakhir Anda kurang dari satu jam yang lalu.

Jika Anda perlu memulai putaran sinkronisasi baru, lihat Sinkronisasi Azure AD Connect: Penjadwal.

Menentukan metode autentikasi mana yang dapat digunakan pengguna Anda

Ada dua faktor yang memengaruhi metode autentikasi mana yang tersedia dengan penerapan ekstensi NPS:

  • Algoritma enkripsi kata sandi yang digunakan antara klien RADIUS (VPN, server Netscaler, atau lainnya) dan server NPS.

    • PAP mendukung semua metode autentikasi Azure AD Multi-Factor Authentication di cloud: panggilan telepon, pesan teks satu arah, pemberitahuan aplikasi seluler, token perangkat keras OATH, dan kode verifikasi aplikasi seluler.

    • Chapv2 dan EAP mendukung panggilan telepon dan pemberitahuan aplikasi seluler.

      Catatan

      Saat Anda menerapkan ekstensi NPS, gunakan faktor-faktor ini untuk mengevaluasi metode mana yang tersedia untuk pengguna Anda. Jika klien RADIUS Anda mendukung PAP, tetapi UX klien tidak memiliki bidang input untuk kode verifikasi, maka panggilan telepon dan pemberitahuan aplikasi seluler adalah dua opsi yang didukung.

      Selain itu, terlepas dari protokol autentikasi yang digunakan (PAP, CHAP, atau EAP), jika metode MFA Anda berbasis teks (SMS, kode verifikasi aplikasi seluler, atau token perangkat keras OATH) dan mengharuskan pengguna untuk memasukkan kode atau teks di bidang input UI klien VPN, autentikasi mungkin berhasil. Tetapi setiap atribut RADIUS yang dikonfigurasi dalam Azure Policy Akses Jaringan tidak diteruskan ke klien RADIUS (Perangkat Akses Jaringan, seperti gateway VPN). Akibatnya, klien VPN mungkin memiliki lebih banyak akses daripada yang Anda inginkan, atau kurang akses atau tidak ada akses.

      Sebagai solusi sementara, Anda dapat menjalankan skrip CrpUsernameStuffing untuk meneruskan atribut RADIUS yang dikonfigurasi dalam Kebijakan Akses Jaringan dan memungkinkan MFA ketika metode autentikasi pengguna memerlukan penggunaan Kode Sandi Sekali Pakai (OTP), seperti SMS, kode sandi Microsoft Authenticator, atau FOB perangkat keras.

  • Metode input yang dapat ditangani oleh aplikasi klien (VPN, server Netscaler, atau lainnya). Misalnya, apakah klien VPN memiliki beberapa cara untuk memungkinkan pengguna mengetik kode verifikasi dari teks atau aplikasi seluler?

Anda dapat menonaktifkan metode autentikasi yang tidak didukung di Azure.

Mendaftarkan pengguna untuk MFA

Sebelum Anda menerapkan dan menggunakan ekstensi NPS, pengguna yang diperlukan untuk melakukan Azure AD Multi-Factor Authentication perlu didaftarkan untuk MFA. Untuk menguji ekstensi saat anda menerapkannya, Anda juga memerlukan setidaknya satu akun pengujian yang terdaftar penuh untuk Azure AD Multi-Factor Authentication.

Jika Anda perlu membuat dan mengonfigurasi akun pengujian, gunakan langkah-langkah berikut:

  1. Masuk ke https://aka.ms/mfasetup dengan akun pengujian.
  2. Ikuti perintah untuk menyiapkan metode verifikasi.
  3. Di portal Microsoft Azure sebagai pengguna admin, buat kebijakan Akses Bersyarat yang memerlukan autentikasi multifaktor untuk akun pengujian.

Penting

Pastikan bahwa pengguna telah berhasil mendaftar untuk Azure AD Multi-Factor Authentication. Jika sebelumnya pengguna hanya mendaftar untuk reset kata sandi swalayan (SSPR), StrongAuthenticationMethods diaktifkan untuk akun mereka. Azure AD Multi-Factor Authentication diberlakukan saat StrongAuthenticationMethods dikonfigurasi, bahkan jika pengguna hanya terdaftar untuk SSPR.

Gabungan pendaftaran keamanan dapat diaktifkan yang mengonfigurasi SSPR dan Azure AD Multi-Factor Authentication secara bersamaan. Untuk informasi selengkapnya, lihat Mengaktifkan gabungan pendaftaran informasi keamanan di Azure Active Directory.

Anda juga dapat memaksa pengguna untuk mendaftarkan ulang metode autentikasi jika sebelumnya hanya mengaktifkan SSPR.

Pengguna yang terhubung ke server NPS menggunakan nama pengguna dan kata sandi akan diminta untuk menyelesaikan permintaan autentikasi multifaktor.

Instal ekstensi NPS

Penting

Instal ekstensi NPS di server yang berbeda dari titik akses VPN.

Unduh dan instal ekstensi NPS untuk Azure AD MFA

Untuk mengunduh dan menginstal ekstensi NPS, selesaikan langkah-langkah berikut:

  1. Unduh Ekstensi NPS dari Pusat Unduhan Microsoft.
  2. Salin biner ke Network Policy Server yang ingin Anda konfigurasi.
  3. Jalankan setup.exe dan ikuti instruksi instalasi. Jika Anda mengalami kesalahan, pastikan pustaka dari bagian prasyarat berhasil diinstal.

Memutakhirkan ekstensi NPS

Jika nanti Anda memutakhirkan penginstalan ekstensi NPS yang ada, untuk menghindari reboot server yang mendasarinya, selesaikan langkah-langkah berikut:

  1. Membongkar versi yang ada.
  2. Jalankan penginstal baru.
  3. Mulai ulang layanan Network Policy Server (IAS) .

Menjalankan skrip PowerShell

Penginstal membuat skrip PowerShell di C:\Program Files\Microsoft\AzureMfa\Config (di C:\ mana drive instalasi Anda). Skrip PowerShell ini melakukan tindakan berikut setiap kali dijalankan:

  • Membuat sertifikat yang ditandatangani sendiri.
  • Mengaitkan kunci publik sertifikat ke prinsipal layanan di Azure AD.
  • Menyimpan sertifikat di penyimpanan sertifikat mesin lokal.
  • Memberikan akses ke kunci privat sertifikat kepada Pengguna Jaringan.
  • Memulai ulang layanan NPS.

Kecuali Anda ingin menggunakan sertifikat Anda sendiri (alih-alih sertifikat yang ditandatangani sendiri yang dihasilkan skrip PowerShell), jalankan skrip PowerShell untuk menyelesaikan instalasi ekstensi NPS. Jika Anda menginstal ekstensi pada beberapa server, setiap server harus memiliki sertifikat sendiri.

Untuk menyediakan kemampuan load-balancing atau untuk redundansi, ulangi langkah-langkah ini pada server NPS tambahan seperti yang diinginkan:

  1. Buka perintah Windows PowerShell sebagai administrator.

  2. Ubah direktori ke tempat penginstal membuat skrip PowerShell:

    cd "C:\Program Files\Microsoft\AzureMfa\Config"
    
  3. Jalankan skrip PowerShell yang dibuat oleh penginstal.

    Anda mungkin diharuskan untuk terlebih dahulu mengaktifkan TLS 1.2 agar PowerShell dapat menghubungkan dan mengunduh paket dengan benar:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

    Penting

    Untuk pelanggan yang menggunakan cloud Azure Government atau Azure China 21Vianet, pertama-tama edit Connect-MsolServicecmdlet di skrip AzureMfaNpsExtnConfigSetup.ps1 untuk menyertakan parameter AzureEnvironment untuk cloud yang diperlukan. Misalnya, tentukan -AzureEnvironment USGovernment atau -AzureEnvironment AzureChinaCloud.

    Untuk informasi selengkapnya, lihat Referensi parameter Connect-MsolService.

    .\AzureMfaNpsExtnConfigSetup.ps1
    
  4. Saat diminta, masuk ke Azure AD sebagai administrator.

  5. PowerShell meminta ID penyewa Anda. Gunakan GUID ID Penyewa yang Anda salin dari portal Microsoft Azure di bagian prasyarat.

  6. Pesan keberhasilan diperlihatkan ketika skrip selesai.

Jika sertifikat komputer Anda sebelumnya telah kedaluwarsa, dan sertifikat baru telah dibuat, Anda harus menghapus sertifikat yang kedaluwarsa. Memiliki sertifikat yang kedaluwarsa dapat menyebabkan masalah dengan Ekstensi NPS dimulai.

Catatan

Jika Anda menggunakan sertifikat Anda sendiri alih-alih membuat sertifikat dengan skrip PowerShell, pastikan sertifikat tersebut selaras dengan konvensi penamaan NPS. Nama subjek harus CN=<TenantID>,OU=Microsoft NPS Extension.

Langkah tambahan Microsoft Azure Government atau Azure China 21Vianet

Untuk pelanggan yang menggunakan cloud Azure Government atau Azure China 21Vianet, langkah-langkah konfigurasi tambahan berikut diperlukan di setiap server NPS.

Penting

Hanya konfigurasikan pengaturan registri ini jika Anda adalah pelanggan Azure Government atau Azure China 21Vianet.

  1. Jika Anda adalah pelanggan Azure Government atau Azure China 21Vianet, buka Editor Registri di server NPS.

  2. Navigasikan ke HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.

  3. Untuk pelanggan Azure Government, tetapkan nilai kunci berikut ini.:

    Kunci Registri Nilai
    AZURE_MFA_HOSTNAME strongauthenticationservice.auth.microsoft.us
    AZURE_MFA_RESOURCE_HOSTNAME adnotifications.windowsazure.us
    STS_URL https://login.microsoftonline.us/
  4. Untuk pelanggan Azure China 21Vianet, tetapkan nilai kunci berikut:

    Kunci Registri Nilai
    AZURE_MFA_HOSTNAME strongauthenticationservice.auth.microsoft.cn
    AZURE_MFA_RESOURCE_HOSTNAME adnotifications.windowsazure.cn
    STS_URL https://login.chinacloudapi.cn/
  5. Ulangi dua langkah sebelumnya untuk mengatur nilai kunci registri untuk setiap server NPS.

  6. Mulai ulang layanan NPS untuk setiap server NPS.

    Untuk dampak minimal, keluarkan setiap server NPS dari rotasi NLB satu per satu dan tunggu semua koneksi terkuras.

Rollover sertifikat

Dengan rilis 1.0.1.32 dari ekstensi NPS, membaca beberapa sertifikat sekarang didukung. Kemampuan ini membantu memfasilitasi pembaruan sertifikat bergulir sebelum kedaluwarsanya. Jika organisasi Anda menjalankan versi ekstensi NPS sebelumnya, tingkatkan ke versi 1.0.1.32 atau yang lebih tinggi.

Sertifikat yang dibuat oleh AzureMfaNpsExtnConfigSetup.ps1 skrip berlaku selama 2 tahun. Pantau sertifikat dari kedaluwarsa. Sertifikat untuk ekstensi NPS ditempatkan di penyimpanan sertifikat Komputer Lokal di bawah Pribadi dan Dikeluarkan untuk ID penyewa yang disediakan untuk skrip instalasi.

Ketika sertifikat mendekati tanggal kedaluwarsa, sertifikat baru harus dibuat untuk menggantikannya. Proses ini dicapai dengan menjalankan AzureMfaNpsExtnConfigSetup.ps1 lagi dan menyimpan ID penyewa yang sama saat diminta. Proses ini harus diulang pada setiap server NPS di lingkungan Anda.

Mengonfigurasi ekstensi NPS Anda

Dengan menyiapkan lingkungan Anda, dan ekstensi NPS sekarang diinstal pada server yang disyaratkan, Anda dapat mengonfigurasi ekstensi.

Bagian ini mencakup pertimbangan desain dan saran untuk keberhasilan penerapan ekstensi NPS.

Batasan konfigurasi

  • Ekstensi NPS untuk Azure AD Multi-Factor Authentication tidak menyertakan alat untuk memigrasikan pengguna dan pengaturan dari MFA Server ke cloud. Untuk alasan ini, kami menyarankan untuk menggunakan ekstensi untuk penerapan baru, daripada penerapan yang sudah ada. Jika Anda menggunakan ekstensi pada penerapan yang ada, pengguna Anda harus melakukan pemeriksaan lagi untuk mengisi detail MFA mereka di cloud.
  • Ekstensi NPS menggunakan UPN dari lingkungan AD DS lokal untuk mengidentifikasi pengguna di Azure AD Multi-Factor Authentication untuk melakukan Auth Sekunder. Ekstensi dapat dikonfigurasi untuk menggunakan pengidentifikasi yang berbeda seperti ID login alternatif atau bidang AD DS kustom selain UPN. Untuk informasi selengkapnya, lihat artikel, Opsi konfigurasi tingkat lanjut untuk ekstensi NPS untuk Multi-Factor Authentication.
  • Tidak semua protokol enkripsi mendukung semua metode verifikasi.
    • PAP mendukung panggilan telepon, pesan teks satu arah, pemberitahuan aplikasi seluler, dan kode verifikasi aplikasi seluler
    • Chapv2 dan EAP mendukung panggilan telepon dan pemberitahuan aplikasi seluler

Mengontrol klien RADIUS yang memerlukan MFA

Setelah Anda mengaktifkan MFA untuk klien RADIUS menggunakan ekstensi NPS, semua autentikasi diperlukan untuk melakukan MFA. Jika Anda ingin mengaktifkan MFA untuk beberapa klien RADIUS tetapi tidak yang lain, Anda dapat mengonfigurasi dua server NPS dan menginstal ekstensi hanya pada salah satu dari mereka.

Konfigurasikan klien RADIUS yang ingin Anda minta MFA untuk mengirim permintaan ke server NPS yang dikonfigurasi dengan ekstensi, dan klien RADIUS lainnya ke server NPS yang tidak dikonfigurasi dengan ekstensi.

Bersiaplah para pengguna yang tidak terdaftar untuk MFA

Jika Anda memiliki pengguna yang tidak terdaftar untuk MFA, Anda dapat menentukan apa yang terjadi ketika mereka mencoba mengautentikasi. Untuk mengontrol perilaku ini, gunakan pengaturan REQUIRE_USER_MATCH di jalur registri HKLM\Software\Microsoft\AzureMFA. Pengaturan ini memiliki satu opsi konfigurasi:

Kunci Nilai Default
REQUIRE_USER_MATCH BENAR/SALAH Tidak disetel (setara dengan BENAR)

Pengaturan ini menentukan apa yang harus dilakukan saat pengguna tidak terdaftar untuk MFA. Ketika kunci tidak ada, tidak diatur, atau diatur ke BENAR, dan pengguna tidak terdaftar, ekstensi gagal tantangan MFA.

Ketika kunci diatur ke FALSE dan pengguna tidak terdaftar, auntikasi berlanjut tanpa melakukan MFA. Jika pengguna terdaftar di MFA, mereka harus mengautentikasi dengan MFA bahkan jika REQUIRE_USER_MATCH diatur ke SALAH.

Anda dapat memilih untuk membuat kunci ini dan mengaturnya ke SALAH saat pengguna Anda sedang melakukan onboarding, dan mungkin belum semuanya terdaftar untuk Azure AD Multi-Factor Authentication. Namun, karena menetapkan izin utama pengguna yang tidak terdaftar untuk MFA untuk masuk, Anda harus menghapus kunci ini sebelum pergi ke produksi.

Pemecahan Masalah

Skrip pemeriksaan kesehatan ekstensi NPS

Skrip berikut ini tersedia untuk melakukan langkah-langkah pemeriksaan kesehatan dasar saat memecahkan masalah ekstensi NPS.

MFA_NPS_Troubleshooter.ps1

Bagaimana cara memperbaiki kesalahan "Perwakilan layanan tidak ditemukan" saat menjalankan skrip AzureMfaNpsExtnConfigSetup.ps1?

Jika karena alasan apa pun perwakilan layanan "Azure Multi-Factor Auth Client" tidak dibuat di penyewa , perwakilan layanan dapat dibuat secara manual dengan menjalankan cmdlet New-MsolServicePrincipal seperti yang ditunjukkan di bawah ini.

import-module MSOnline
Connect-MsolService
New-MsolServicePrincipal -AppPrincipalId 981f26a1-7f43-403b-a875-f8b09b8cd720 -DisplayName "Azure Multi-Factor Auth Client"

Setelah selesai , buka https://aad.portal.azure.com> "Aplikasi Enterprise" > Cari "Azure Multi-Factor Auth Client" > Periksa properti untuk aplikasi ini > Konfirmasikan apakah perwakilan layanan diaktifkan atau dinonaktifkan > Klik pada entri aplikasi > Buka Properti aplikasi > Jika opsi "Diaktifkan bagi pengguna untuk masuk? diatur ke Tidak di Properti aplikasi ini , silakan atur ke Ya.

Jalankan skrip AzureMfaNpsExtnConfigSetup.ps1 lagi dan seharusnya tidak akan mengembalikan kesalahan Service principal was not found.

Bagaimana cara memverifikasi bahwa sertifikasi klien diinstal seperti yang diharapkan?

Cari sertifikat yang ditandatangani sendiri yang dibuat oleh penginstal di cert store, dan periksa apakah kunci pribadi memiliki izin yang diberikan kepada pengguna NETWORK SERVICE. Sertifikat memiliki nama subjek CN <tenantid>, OU = Microsoft NPS Extension

Sertifikat yang ditandatangani sendiri yang dihasilkan oleh AzureMfaNpsExtnConfigSetup.ps1 skrip memiliki masa berlaku selama dua tahun. Saat memverifikasi bahwa sertifikat diinstal, Anda juga harus memeriksa apakah sertifikat belum kedaluwarsa.

Bagaimana cara memverifikasi bahwa sertifikat klien saya terkait dengan penyewa saya di Azure AD?

Buka prompt perintah PowerShell dan jalankan perintah berikut ini:

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1

Perintah ini mencetak semua sertifikat yang mengaitkan penyewa Anda dengan contoh ekstensi NPS Anda di sesi PowerShell Anda. Cari sertifikat Anda dengan mengekspor sertifikasi klien Anda sebagai file X.509(.cer) berkode Dasar-64 tanpa kunci pribadi, dan bandingkan dengan daftar dari PowerShell.

Perintah berikut akan membuat file bernama npscertificate di root drive C: Anda dalam format .cer.

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1 | select -ExpandProperty "value" | out-file c:\npscertificate.cer

Setelah Anda menjalankan perintah ini, buka akar drive C: Anda, temukan file, dan klik dua kali di atasnya. Buka detail, dan gulir ke bawah ke "thumbprint". Bandingkan thumbprint sertifikat yang terinstal pada server dengan yang satu ini. Thumbprint sertifikat harus cocok.

Tanda waktuValid-Dari dan Valid-Hingga, yang dalam bentuk yang dapat dibaca manusia, dapat digunakan untuk menyaring ketidakcocokan yang jelas jika perintah mengembalikan lebih dari satu sertifikasi.

Mengapa saya tidak bisa masuk?

Pastikan kata sandi Anda belum kedaluwarsa. Ekstensi NPS tidak mendukung perubahan kata sandi sebagai bagian dari alur kerja masuk. Hubungi Staf TI organisasi Anda untuk bantuan lebih lanjut.

Mengapa permintaan saya gagal dengan kesalahan token?

Kesalahan ini dapat disebabkan karena beberapa alasan. Gunakan langkah-langkah berikut untuk memecahkan masalah Anda:

  1. Hidupkan ulang server NPS.
  2. Verifikasi bahwa sertifikasi klien diinstal seperti yang diharapkan.
  3. Verifikasi bila sertifikat dikaitkan dengan penyewa Anda di Azure AD.
  4. Verifikasi bahwa https://login.microsoftonline.com/ dapat diakses dari server yang menjalankan ekstensi.

Mengapa autentikasi gagal dengan kesalahan dalam log HTTP yang menyatakan bahwa pengguna tidak ditemukan?

Verifikasi bahwa AD Connect sedang berjalan, dan pengguna hadir di lingkungan AD DS lokal dan di Azure AD.

Mengapa saya melihat kesalahan koneksi HTTP dalam log dengan semua kegagalan autentikasi saya?

Pastikan https://adnotifications.windowsazure.com, https://strongauthenticationservice.auth.microsoft.com dapat dijangkau dari server yang menjalankan ekstensi NPS.

Mengapa autentikasi tidak berfungsi, meskipun ada sertifikat yang sahih?

Jika sertifikat komputer Anda sebelumnya telah kedaluwarsa, dan sertifikat baru telah dibuat, hapus sertifikat yang kedaluwarsa. Sertifikat yang kedaluwarsa dapat menyebabkan masalah dengan ekstensi NPS dimulai.

Untuk memeriksa apakah Anda memiliki sertifikat yang valid, periksa Penyimpanan Sertifikat Akun Komputer lokal menggunakan MMC, dan pastikan sertifikat belum melewati tanggal kedaluwarsanya. Untuk membuat sertifikat valid yang baru, jalankan ulang langkah-langkah dari Jalankan skrip penginstal PowerShell.

Mengapa saya melihat permintaan yang dibuang di log server NPS?

Server VPN dapat mengirim permintaan berulang ke server NPS jika nilai waktu habis terlalu rendah. Server NPS mendeteksi permintaan duplikat ini dan membuangnya. Perilaku ini berdasarkan desain, dan tidak menunjukkan masalah dengan server NPS atau ekstensi NPS Azure AD Multi-Factor Authentication.

Untuk informasi selengkapnya tentang mengapa Anda melihat paket yang dibuang di log server NPS, lihat perilaku protokol RADIUS dan ekstensi NPS di awal artikel ini.

Mengelola Protokol TLS/SSL dan Cipher Suites

Disarankan agar suite sandi yang lebih tua dan lebih lemah dinonaktifkan atau dihapus kecuali diperlukan oleh organisasi Anda. Informasi tentang cara menyelesaikan tugas ini dapat ditemukan di artikel, Mengelola Protokol SSL/TLS dan Cipher Suites untuk AD FS

Pemecahan masalah tambahan

Panduan pemecahan masalah tambahan dan solusi yang mungkin dapat ditemukan dalam artikel, Mengatasi pesan kesalahan dari ekstensi NPS untuk Azure AD Multi-Factor Authentication.

Langkah berikutnya