Opzioni di configurazione avanzate per l'estensione NPS per Multi-Factor AuthenticationAdvanced configuration options for the NPS extension for Multi-Factor Authentication

L'estensione Server dei criteri di rete o NPS (Network Policy Server) estende le funzionalità di Azure Multi-Factor Authentication basate sul cloud all'infrastruttura locale.The Network Policy Server (NPS) extension extends your cloud-based Azure Multi-Factor Authentication features into your on-premises infrastructure. Questo articolo presuppone che l'estensione sia già installata e che sia necessario sapere in che modo personalizzare l'estensione in base alle proprie esigenze.This article assumes that you already have the extension installed, and now want to know how to customize the extension for you needs.

ID di accesso alternativoAlternate login ID

Poiché l'estensione NPS si connette sia alle directory locali sia a quelle nel cloud, è possibile riscontrare un problema se i nomi dell'entità utente (UPN) locali non corrispondono ai nomi nel cloud.Since the NPS extension connects to both your on-premises and cloud directories, you might encounter an issue where your on-premises user principal names (UPNs) don't match the names in the cloud. Per risolvere questo problema, usare ID di accesso alternativi.To solve this problem, use alternate login IDs.

All'interno dell'estensione NPS è possibile definire un attributo di Active Directory da usare al posto del nome UPN per Azure Multi-Factor Authentication.Within the NPS extension, you can designate an Active Directory attribute to be used in place of the UPN for Azure Multi-Factor Authentication. Ciò consente di proteggere le risorse locali con la verifica in due passaggi senza modificare i nomi UPN locali.This enables you to protect your on-premises resources with two-step verification without modifying your on-premises UPNs.

Per configurare gli ID di accesso alternativi, passare a HKLM\SOFTWARE\Microsoft\AzureMfa e modificare i seguenti valori del Registro di sistema:To configure alternate login IDs, go to HKLM\SOFTWARE\Microsoft\AzureMfa and edit the following registry values:

NomeName TipoType Valore predefinitoDefault value DescrizioneDescription
LDAP_ALTERNATE_LOGINID_ATTRIBUTELDAP_ALTERNATE_LOGINID_ATTRIBUTE stringstring EmptyEmpty Specificare il nome dell'attributo di Active Directory che si vuole usare al posto dell'UPN.Designate the name of Active Directory attribute that you want to use instead of the UPN. Questo attributo viene usato come attributo AlternateLoginId.This attribute is used as the AlternateLoginId attribute. Se questo valore del Registro di sistema è impostato su un attributo di Active Directory valido (ad esempio, mail o displayName), il valore dell'attributo viene utilizzato al posto dell'UPN dell'utente per l'autenticazione.If this registry value is set to a valid Active Directory attribute (for example, mail or displayName), then the attribute's value is used in place of the user's UPN for authentication. Se questo valore del Registro di sistema è vuoto o non configurato, AlternateLoginId è disabilitato e l'UPN dell'utente viene usato per l'autenticazione.If this registry value is empty or not configured, then AlternateLoginId is disabled and the user's UPN is used for authentication.
LDAP_FORCE_GLOBAL_CATALOGLDAP_FORCE_GLOBAL_CATALOG booleanboolean FalseFalse Usare questo flag per forzare l'uso del catalogo globale per le ricerche LDAP quando si effettua la ricerca di AlternateLoginId.Use this flag to force the use of Global Catalog for LDAP searches when looking up AlternateLoginId. Configurare un controller di dominio come catalogo globale, aggiungere l'attributo AlternateLoginId al catalogo globale e quindi abilitare questo flag.Configure a domain controller as a Global Catalog, add the AlternateLoginId attribute to the Global Catalog, and then enable this flag.

Se LDAP_LOOKUP_FORESTSè configurato (non vuoto), questo flag viene applicato come true, indipendentemente dal valore del Registro di sistema.If LDAP_LOOKUP_FORESTS is configured (not empty), this flag is enforced as true, regardless of the value of the registry setting. In questo caso, l'estensione NPS richiede che il catalogo globale sia configurato con l'attributo AlternateLoginId per ogni foresta.In this case, the NPS extension requires the Global Catalog to be configured with the AlternateLoginId attribute for each forest.
LDAP_LOOKUP_FORESTSLDAP_LOOKUP_FORESTS stringstring EmptyEmpty Specificare un elenco separato da punti e virgola delle foreste in cui eseguire la ricerca.Provide a semi-colon separated list of forests to search. Ad esempio, contoso.com;foobar.com. Se questo valore del Registro di sistema è configurato, l'estensione NPS esegue una ricerca in modo iterativo in tutte le foreste nell'ordine in cui sono elencate e restituisce il primo valore AlternateLoginId corretto.For example, contoso.com;foobar.com. If this registry value is configured, the NPS extension iteratively searches all the forests in the order in which they were listed, and returns the first successful AlternateLoginId value. Se questo valore del Registro di sistema non è configurato, la ricerca di AlternateLoginId è limitata al dominio corrente.If this registry value is not configured, the AlternateLoginId lookup is confined to the current domain.

Per risolvere i problemi con gli ID di accesso alternativi, usare le procedure consigliate per gli errori degli ID di accesso alternativi.To troubleshoot problems with alternate login IDs, use the recommended steps for Alternate login ID errors.

Eccezioni IPIP exceptions

Se è necessario monitorare la disponibilità del server, ad esempio se i servizi di bilanciamento del carico verificano quali server sono in esecuzione prima di inviare i carichi di lavoro, è opportuno che questi controlli non vengano bloccati da richieste di verifica.If you need to monitor server availability, like if load balancers verify which servers are running before sending workloads, you don't want these checks to be blocked by verification requests. Creare quindi un elenco di indirizzi IP sicuramente usati dagli account del servizio e disattivare i requisiti di Multi-Factor Authentication per tale elenco.Instead, create a list of IP addresses that you know are used by service accounts, and disable Multi-Factor Authentication requirements for that list.

Per configurare un elenco di indirizzi IP consentiti, passare a HKLM\SOFTWARE\Microsoft\AzureMfa e configurare il seguente valore del Registro di sistema:To configure an IP whitelist, go to HKLM\SOFTWARE\Microsoft\AzureMfa and configure the following registry value:

NomeName TipoType Valore predefinitoDefault value DescrizioneDescription
IP_WHITELISTIP_WHITELIST stringstring EmptyEmpty Specificare un elenco separato da punti e virgola degli indirizzi IP.Provide a semi-colon separated list of IP addresses. Includere gli indirizzi IP dei computer in cui hanno origine le richieste di servizio, ad esempio il server NAS/VPN.Include the IP addresses of machines where service requests originate, like the NAS/VPN server. Gli intervalli IP di subnet non sono supportati.IP ranges are subnets are not supported.

Ad esempio: 10.0.0.1;10.0.0.2;10.0.0.3.For example, 10.0.0.1;10.0.0.2;10.0.0.3.

Quando arriva una richiesta da un indirizzo IP presente nell'elenco degli indirizzi consentiti, la verifica in due passaggi viene ignorata.When a request comes in from an IP address that exists in the whitelist, two-step verification is skipped. L'elenco degli indirizzi IP consentiti viene confrontato con l'indirizzo IP specificato nell'attributo ratNASIPAddress della richiesta RADIUS.The IP whitelist is compared to the IP address that is provided in the ratNASIPAddress attribute of the RADIUS request. Se arriva una richiesta RADIUS senza l'attributo ratNASIPAddress, viene registrato un avviso P_WHITE_LIST_WARNING che indica che l'indirizzo IP viene ignorato poiché l'IP di origine non è presente nella richiesta RADIUS nell'attributo NasIpAddress.If a RADIUS request comes in without the ratNASIPAddress attribute, the following warning is logged: "P_WHITE_LIST_WARNING::IP Whitelist is being ignored as source IP is missing in RADIUS request in NasIpAddress attribute."

Passaggi successiviNext steps

Risolvere i messaggi di errore dall'estensione del Server dei criteri di rete per Azure Multi-Factor AuthenticationResolve error messages from the NPS extension for Azure Multi-Factor Authentication