Integre a sua infraestrutura existente do Network Policy Server (NPS) com a autenticação multi-factor AD Azure ADIntegrate your existing Network Policy Server (NPS) infrastructure with Azure AD Multi-Factor Authentication

A extensão do Servidor de Política de Rede (NPS) para autenticação multi-factor Azure AD adiciona capacidades MFA baseadas na nuvem à sua infraestrutura de autenticação utilizando os servidores existentes.The Network Policy Server (NPS) extension for Azure AD Multi-Factor Authentication adds cloud-based MFA capabilities to your authentication infrastructure using your existing servers. Com a extensão NPS, pode adicionar chamadas telefónicas, mensagens de texto ou verificação de aplicativos telefónicos ao fluxo de autenticação existente sem ter de instalar, configurar e manter novos servidores.With the NPS extension, you can add phone call, text message, or phone app verification to your existing authentication flow without having to install, configure, and maintain new servers.

A extensão NPS funciona como um adaptador entre RADIUS e Azure AD Multi-Factor Authentication baseado na nuvem para fornecer um segundo fator de autenticação para utilizadores federados ou sincronizados.The NPS extension acts as an adapter between RADIUS and cloud-based Azure AD Multi-Factor Authentication to provide a second factor of authentication for federated or synced users.

Como funciona a extensão NPSHow the NPS extension works

Quando utiliza a extensão NPS para autenticação multi-factor Azure AD, o fluxo de autenticação inclui os seguintes componentes:When you use the NPS extension for Azure AD Multi-Factor Authentication, the authentication flow includes the following components:

  1. O SERVIDOR NAS/VPN recebe pedidos de clientes VPN e converte-os em pedidos RADIUS para servidores NPS.NAS/VPN Server receives requests from VPN clients and converts them into RADIUS requests to NPS servers.
  2. O NPS Server conecta-se aos Serviços de Domínio do Diretório Ativo (DS AD) para realizar a autenticação primária para os pedidos RADIUS e, após o sucesso, passa o pedido a quaisquer extensões instaladas.NPS Server connects to Active Directory Domain Services (AD DS) to perform the primary authentication for the RADIUS requests and, upon success, passes the request to any installed extensions.
  3. A extensão NPS desencadeia um pedido de autenticação multi-factor Azure AD para a autenticação secundária.NPS Extension triggers a request to Azure AD Multi-Factor Authentication for the secondary authentication. Uma vez que a extensão recebe a resposta, e se o desafio MFA for bem sucedido, completa o pedido de autenticação fornecendo ao servidor NPS fichas de segurança que incluem uma reclamação de MFA, emitida pela Azure STS.Once the extension receives the response, and if the MFA challenge succeeds, it completes the authentication request by providing the NPS server with security tokens that include an MFA claim, issued by Azure STS.
  4. O Azure AD MFA comunica com o Azure Ative Directory (Azure AD) para recuperar os dados do utilizador e efetua a autenticação secundária utilizando um método de verificação configurado para o utilizador.Azure AD MFA communicates with Azure Active Directory (Azure AD) to retrieve the user's details and performs the secondary authentication using a verification method configured to the user.

O diagrama que se segue ilustra este fluxo de pedido de autenticação de alto nível:The following diagram illustrates this high-level authentication request flow:

Diagrama do fluxo de autenticação para o utilizador autenticando através de um servidor VPN para servidor NPS e a extensão NPS de autenticação multi-factor Ad Azure AD

Comportamento do protocolo RADIUS e a extensão do NPSRADIUS protocol behavior and the NPS extension

Como RADIUS é um protocolo UDP, o remetente assume a perda de pacotes e aguarda uma resposta.As RADIUS is a UDP protocol, the sender assumes packet loss and awaits a response. Após um período de tempo, a ligação pode esgotar-se. Se assim for, o pacote está ressentido, pois o remetente assume que o pacote não chegou ao destino.After a period of time, the connection may time out. If so, the packet is resent as the sender assumes the packet didn't reach the destination. No cenário de autenticação neste artigo, os servidores VPN enviam o pedido e aguardam uma resposta.In the authentication scenario in this article, VPN servers send the request and wait for a response. Se a ligação esgotar, o servidor VPN envia novamente o pedido.If the connection times out, the VPN server sends the request again.

Diagrama do fluxo de pacotes EDP RADIUS e pedidos após o intervalo na resposta do servidor NPS

O servidor NPS pode não responder ao pedido original do servidor VPN antes do intervalo da ligação, uma vez que o pedido de MFA ainda pode estar a ser processado.The NPS server may not respond to the VPN server's original request before the connection times out as the MFA request may still be being processed. O utilizador pode não ter respondido com sucesso à solicitação do MFA, pelo que a extensão NPS de autenticação multi-factor Azure AD está à espera que o evento esteja concluído.The user may not have successfully responded to the MFA prompt, so the Azure AD Multi-Factor Authentication NPS extension is waiting for that event to complete. Nesta situação, o servidor NPS identifica pedidos adicionais de servidor VPN como um pedido duplicado.In this situation, the NPS server identifies additional VPN server requests as a duplicate request. O servidor NPS descarta estes pedidos duplicados de servidor VPN.The NPS server discards these duplicate VPN server requests.

Diagrama do servidor NPS descartando pedidos duplicados do servidor RADIUS

Se olhar para os registos do servidor NPS, poderá ver estes pedidos adicionais a serem descartados.If you look at the NPS server logs, you may see these additional requests being discarded. Este comportamento é por design para proteger o utilizador final de receber vários pedidos para uma única tentativa de autenticação.This behavior is by design to protect the end user from getting multiple requests for a single authentication attempt. Os pedidos descartados no registo de eventos do servidor NPS não indicam que há um problema com o servidor NPS ou com a extensão NPS de autenticação multi-factor Ad Azure.Discarded requests in the NPS server event log don't indicate there's a problem with the NPS server or the Azure AD Multi-Factor Authentication NPS extension.

Para minimizar os pedidos descartados, recomendamos que os servidores VPN estejam configurados com um intervalo de tempo de pelo menos 60 segundos.To minimize discarded requests, we recommend that VPN servers are configured with a timeout of at least 60 seconds. Se necessário, ou para reduzir os pedidos descartados nos registos do evento, pode aumentar o valor de tempo limite do servidor VPN para 90 ou 120 segundos.If needed, or to reduce discarded requests in the event logs, you can increase the VPN server timeout value to 90 or 120 seconds.

Devido a este comportamento do protocolo UDP, o servidor NPS poderia receber um pedido duplicado e enviar outra solicitação de MFA, mesmo depois de o utilizador já ter respondido ao pedido inicial.Due to this UDP protocol behavior, the NPS server could receive a duplicate request and send another MFA prompt, even after the user has already responded to the initial request. Para evitar esta condição de tempo, a extensão NPS de autenticação multi-factor Azure AD continua a filtrar e a descartar pedidos duplicados até 10 segundos após o envio de uma resposta bem sucedida para o servidor VPN.To avoid this timing condition, the Azure AD Multi-Factor Authentication NPS extension continues to filter and discard duplicate requests for up to 10 seconds after a successful response has been sent to the VPN server.

Diagrama do servidor NPS continua a descartar pedidos duplicados do servidor VPN durante dez segundos após a reação de uma resposta bem sucedida

Mais uma vez, poderá ver pedidos descartados nos registos de eventos do servidor NPS, mesmo quando o pedido de autenticação multi-factor AD Azure foi bem sucedido.Again, you may see discarded requests in the NPS server event logs, even when the Azure AD Multi-Factor Authentication prompt was successful. Este comportamento é esperado e não indica um problema com o servidor NPS ou a extensão NPS de autenticação multi-factor Azure.This is expected behavior, and doesn't indicate a problem with the NPS server or Azure AD Multi-Factor Authentication NPS extension.

Planear a sua implementaçãoPlan your deployment

A extensão NPS lida automaticamente com a redundância, pelo que não precisa de uma configuração especial.The NPS extension automatically handles redundancy, so you don't need a special configuration.

Pode criar os mais servidores NPS ativados por autenticação Azure AD que necessite.You can create as many Azure AD Multi-Factor Authentication-enabled NPS servers as you need. Se instalar vários servidores, deverá utilizar um certificado de cliente de diferença para cada um deles.If you do install multiple servers, you should use a difference client certificate for each one of them. A criação de um certificado para cada servidor significa que pode atualizar cada cert individualmente e não se preocupar com o tempo de inatividade em todos os seus servidores.Creating a certificate for each server means that you can update each cert individually, and not worry about downtime across all your servers.

Os servidores VPN encaminham pedidos de autenticação, pelo que precisam de estar atentos aos novos servidores NPS ativados por autenticação multi-factor Azure AD.VPN servers route authentication requests, so they need to be aware of the new Azure AD Multi-Factor Authentication-enabled NPS servers.

Pré-requisitosPrerequisites

A extensão NPS destina-se a trabalhar com a sua infraestrutura existente.The NPS extension is meant to work with your existing infrastructure. Certifique-se de que tem os seguintes pré-requisitos antes de começar.Make sure you have the following prerequisites before you begin.

LicençasLicenses

A Extensão NPS para autenticação multi-factor Azure AD está disponível para clientes com licenças para autenticação multi-factor Azure AD.The NPS Extension for Azure AD Multi-Factor Authentication is available to customers with licenses for Azure AD Multi-Factor Authentication. As licenças baseadas no consumo para autenticação multi-factor Azure AD, tais como por utilizador ou por licença de autenticação, não são compatíveis com a extensão NPS.Consumption-based licenses for Azure AD Multi-Factor Authentication, such as per user or per authentication licenses, aren't compatible with the NPS extension.

SoftwareSoftware

Windows Server 2012 ou superior.Windows Server 2012 or above.

BibliotecasLibraries

Tem de instalar manualmente a seguinte biblioteca:You need to manually install the following library:

As seguintes bibliotecas são instaladas automaticamente com a extensão.The following libraries are installed automatically with the extension.

O Módulo de Diretório Ativo microsoft Azure para Windows PowerShell também é instalado através de um script de configuração que executou como parte do processo de configuração, se ainda não estiver presente.The Microsoft Azure Active Directory Module for Windows PowerShell is also installed through a configuration script you run as part of the setup process, if not already present. Não há necessidade de instalar este módulo antes do tempo se ainda não estiver instalado.There's no need to install this module ahead of time if it's not already installed.

Azure Active DirectoryAzure Active Directory

Todos os que usam a extensão NPS devem ser sincronizados com Azure AD usando Azure AD Connect, e devem ser registados para MFA.Everyone using the NPS extension must be synced to Azure AD using Azure AD Connect, and must be registered for MFA.

Quando instalar a extensão, precisa da identificação do inquilino e credenciais de administração para o seu inquilino AD Azure.When you install the extension, you need the Tenant ID and admin credentials for your Azure AD tenant. Para obter a iD do inquilino, complete os seguintes passos:To get the tenant ID, complete the following steps:

  1. Inscreva-se no portal Azure como administrador global do inquilino Azure.Sign in to the Azure portal as the global administrator of the Azure tenant.

  2. Procure e selecione o Diretório Ativo Azure.Search for and select the Azure Active Directory.

  3. Na página geral, é mostrada a informação do Arrendatário.On the Overview page, the Tenant information is shown. Ao lado do ID do inquilino, selecione o ícone Copy, como mostra o seguinte exemplo de imagem:Next to the Tenant ID, select the Copy icon, as shown in the following example screenshot:

    Obter a ID do Inquilino do portal Azure

Requisitos de redeNetwork requirements

O servidor NPS deve ser capaz de comunicar com os seguintes URLs sobre as portas 80 e 443:The NPS server must be able to communicate with the following URLs over ports 80 and 443:

  • https: / /adnotifications.windowsazure.comhttps://adnotifications.windowsazure.com
  • https: / /login.microsoftonline.comhttps://login.microsoftonline.com
  • https: / /credentials.azure.comhttps://credentials.azure.com

Além disso, a conectividade com os urls seguintes é necessária para completar a configuração do adaptador utilizando o script PowerShell fornecido:Additionally, connectivity to the following URLs is required to complete the setup of the adapter using the provided PowerShell script:

  • https: / /login.microsoftonline.comhttps://login.microsoftonline.com
  • https: / /provisioningapi.microsoftonline.comhttps://provisioningapi.microsoftonline.com
  • https: / /aadcdn.msauth.nethttps://aadcdn.msauth.net
  • https: / /www.powershellgallery.comhttps://www.powershellgallery.com
  • https: / /aadcdn.msftauthimages.nethttps://aadcdn.msftauthimages.net

Preparar o ambientePrepare your environment

Antes de instalar a extensão NPS, prepare-o para lidar com o tráfego de autenticação.Before you install the NPS extension, prepare you environment to handle the authentication traffic.

Ativar o papel de NPS num servidor ligado a domíniosEnable the NPS role on a domain-joined server

O servidor NPS conecta-se ao AZure AD e autentica os pedidos de MFA.The NPS server connects to Azure AD and authenticates the MFA requests. Escolha um servidor para este papel.Choose one server for this role. Recomendamos a escolha de um servidor que não lide com pedidos de outros serviços, porque a extensão NPS lança erros para quaisquer pedidos que não sejam RADIUS.We recommend choosing a server that doesn't handle requests from other services, because the NPS extension throws errors for any requests that aren't RADIUS. O servidor NPS deve ser configurado como o servidor de autenticação primária e secundária para o seu ambiente.The NPS server must be set up as the primary and secondary authentication server for your environment. Não pode pedir pedidos de RADIUS a outro servidor.It can't proxy RADIUS requests to another server.

  1. No seu servidor, abra o Gestor do Servidor.On your server, open Server Manager. Selecione Adicionar Funções e Funcionalidades Assistente no menu Quickstart.Select Add Roles and Features Wizard from the Quickstart menu.
  2. Para o seu tipo de instalação, escolha instalação baseada em funções ou baseada em recursos.For your installation type, choose Role-based or feature-based installation.
  3. Selecione a função de servidor de Política de Rede e Serviços de Acesso.Select the Network Policy and Access Services server role. Uma janela pode aparecer para informá-lo sobre as funcionalidades adicionais necessárias para executar este papel.A window may pop up to inform you of additional required features to run this role.
  4. Continue através do assistente até à página de Confirmação.Continue through the wizard until the Confirmation page. Quando estiver pronto, selecione Instalar.When ready, select Install.

Pode levar alguns minutos para instalar a função do servidor NPS.It may take a few minutes to install the NPS server role. Quando terminar, continue com as seguintes secções para configurar este servidor para lidar com os pedidos de RADIUS que chegam a partir da solução VPN.When finished, continue with the following sections to configure this server to handle incoming RADIUS requests from the VPN solution.

Configure a sua solução VPN para comunicar com o servidor NPSConfigure your VPN solution to communicate with the NPS server

Dependendo da solução VPN que utiliza, os passos para configurar a sua política de autenticação RADIUS variam.Depending on which VPN solution you use, the steps to configure your RADIUS authentication policy vary. Configure a sua política VPN para apontar para o seu servidor RADIUS NPS.Configure your VPN policy to point to your RADIUS NPS server.

Sincronizar os utilizadores de domínio para a nuvemSync domain users to the cloud

Este passo pode já estar completo no seu inquilino, mas é bom verificar duas vezes que o Azure AD Connect sincronizou as suas bases de dados recentemente.This step may already be complete on your tenant, but it's good to double-check that Azure AD Connect has synchronized your databases recently.

  1. Inicie sessão no portal do Azure como administrador.Sign in to the Azure portal as an administrator.
  2. Selecione Azure Ative Directory > Azure AD ConnectSelect Azure Active Directory > Azure AD Connect
  3. Verifique se o seu estado de sincronização está ativado e que a sua última sincronização foi há menos de uma hora.Verify that your sync status is Enabled and that your last sync was less than an hour ago.

Se precisar de iniciar uma nova ronda de sincronização, consulte a sincronização do Azure AD Connect: Scheduler.If you need to kick off a new round of synchronization, see Azure AD Connect sync: Scheduler.

Determinar quais os métodos de autenticação que os seus utilizadores podem utilizarDetermine which authentication methods your users can use

Existem dois fatores que afetam os métodos de autenticação disponíveis com uma extensão NPS:There are two factors that affect which authentication methods are available with an NPS extension deployment:

  • O algoritmo de encriptação de palavra-passe utilizado entre o cliente RADIUS (VPN, servidor Netscaler ou outro) e os servidores NPS.The password encryption algorithm used between the RADIUS client (VPN, Netscaler server, or other) and the NPS servers.

    • O PAP suporta todos os métodos de autenticação de Autenticação Multi-Factor Azure na nuvem: chamada telefónica, mensagem de texto unidirecionais, notificação de aplicações móveis, tokens de hardware OATH e código de verificação de aplicações móveis.PAP supports all the authentication methods of Azure AD Multi-Factor Authentication in the cloud: phone call, one-way text message, mobile app notification, OATH hardware tokens, and mobile app verification code.

    • CHAPV2 e EAP suportam chamada telefónica e notificação de aplicativos móveis.CHAPV2 and EAP support phone call and mobile app notification.

      Nota

      Quando implementar a extensão NPS, utilize estes fatores para avaliar quais os métodos disponíveis para os seus utilizadores.When you deploy the NPS extension, use these factors to evaluate which methods are available for your users. Se o seu cliente RADIUS suporta PAP, mas o cliente UX não tem campos de entrada para um código de verificação, então a chamada telefónica e a notificação de aplicações móveis são as duas opções suportadas.If your RADIUS client supports PAP, but the client UX doesn't have input fields for a verification code, then phone call and mobile app notification are the two supported options.

      Além disso, independentemente do protocolo de autenticação utilizado (PAP, CHAP ou EAP), se o seu método MFA for baseado em texto (SMS, código de verificação de aplicações móveis ou token de hardware OATH) e exigir que o utilizador introduza um código ou texto no campo de entrada UI do cliente VPN, a autenticação pode ter sucesso.Also, regardless of the authentication protocol that's used (PAP, CHAP, or EAP), if your MFA method is text-based (SMS, mobile app verification code, or OATH hardware token) and requires the user to enter a code or text in the VPN client UI input field, the authentication might succeed. Mas quaisquer atributos RADIUS configurados na Política de Acesso à Rede não são encaminhados para o cient RADIUS (o Dispositivo de Acesso à Rede, como o gateway VPN).But any RADIUS attributes that are configured in the Network Access Policy are not forwarded to the RADIUS cient (the Network Access Device, like the VPN gateway). Como resultado, o cliente VPN pode ter mais acesso do que você quer que tenha, ou menos acesso ou sem acesso.As a result, the VPN client might have more access than you want it to have, or less access or no access.

  • Os métodos de entrada que a aplicação do cliente (VPN, servidor Netscaler, ou outro) podem lidar.The input methods that the client application (VPN, Netscaler server, or other) can handle. Por exemplo, o cliente VPN tem alguns meios para permitir que o utilizador escreva um código de verificação a partir de um texto ou aplicação móvel?For example, does the VPN client have some means to allow the user to type in a verification code from a text or mobile app?

Pode desativar métodos de autenticação não suportados em Azure.You can disable unsupported authentication methods in Azure.

Registar utilizadores de MFARegister users for MFA

Antes de implementar e utilizar a extensão NPS, os utilizadores que são obrigados a realizar a autenticação multi-factor Azure AD precisam de ser registados para MFA.Before you deploy and use the NPS extension, users that are required to perform Azure AD Multi-Factor Authentication need to be registered for MFA. Para testar a extensão à medida que a implementa, também precisa de pelo menos uma conta de teste que esteja totalmente registada para autenticação multi-factor Ad Azure.To test the extension as you deploy it, you also need at least one test account that is fully registered for Azure AD Multi-Factor Authentication.

Se precisar de criar e configurar uma conta de teste, utilize os seguintes passos:If you need to create and configure a test account, use the following steps:

  1. Inscreva-se https://aka.ms/mfasetup com uma conta de teste.Sign in to https://aka.ms/mfasetup with a test account.
  2. Siga as instruções para configurar um método de verificação.Follow the prompts to set up a verification method.
  3. No portal Azure como utilizador administrativo, crie uma política de Acesso Condicional para exigir a autenticação de vários fatores para a conta de teste.In the Azure portal as an admin user, create a Conditional Access policy to require multi-factor authentication for the test account.

Importante

Certifique-se de que os utilizadores registaram com sucesso a autenticação multi-factor Azure AD.Make sure that users have successfully registered for Azure AD Multi-Factor Authentication. Se os utilizadores tiverem registado anteriormente apenas para reposição de password de autosserviço (SSPR), os Meditods StrongAuthentication estão ativados para a sua conta.If users have previously only registered for self-service password reset (SSPR), StrongAuthenticationMethods is enabled for their account. A autenticação multi-factor Azure AD é aplicada quando a StrongAuthenticationMethods está configurada, mesmo que o utilizador apenas se registe para SSPR.Azure AD Multi-Factor Authentication is enforced when StrongAuthenticationMethods is configured, even if the user only registered for SSPR.

O registo combinado de segurança pode ser ativado que configura a autenticação multi-factor SSPR e Azure AD ao mesmo tempo.Combined security registration can be enabled that configures SSPR and Azure AD Multi-Factor Authentication at the same time. Para obter mais informações, consulte Ativar o registo combinado de informações de segurança no Diretório Ativo Azure.For more information, see Enable combined security information registration in Azure Active Directory.

Também pode forçar os utilizadores a re-registar métodos de autenticação se anteriormente apenas ativarem sSPR.You can also force users to re-register authentication methods if they previously only enabled SSPR.

Instale a extensão NPSInstall the NPS extension

Importante

Instale a extensão NPS num servidor diferente do ponto de acesso VPN.Install the NPS extension on a different server than the VPN access point.

Descarregue e instale a extensão NPS para Azure AD MFADownload and install the NPS extension for Azure AD MFA

Para descarregar e instalar a extensão NPS, complete os seguintes passos:To download and install the NPS extension, complete the following steps:

  1. Descarregue a extensão NPS a partir do Microsoft Download Center.Download the NPS Extension from the Microsoft Download Center.
  2. Copie o binário para o Servidor de Política de Rede que pretende configurar.Copy the binary to the Network Policy Server you want to configure.
  3. Executar setup.exe e siga as instruções de instalação.Run setup.exe and follow the installation instructions. Se encontrar erros, certifique-se de que as bibliotecas da secção pré-requisito foram instaladas com sucesso.If you encounter errors, make sure that the libraries from the prerequisite section were successfully installed.

Atualizar a extensão NPSUpgrade the NPS extension

Se posteriormente atualizar uma instalação de extensão NPS existente, para evitar o reinício do servidor subjacente, complete os seguintes passos:If you later upgrade an existing NPS extension install, to avoid a reboot of the underlying server, complete the following steps:

  1. Desinstale a versão existente.Uninstall the existing version.
  2. Executar o novo instalador.Run the new installer.
  3. Reinicie o serviço Desemis (IAS) do Servidor de Política de Rede (IAS).Restart the Network Policy Server (IAS) service.

Executar o script do PowerShellRun the PowerShell script

O instalador cria um script PowerShell C:\Program Files\Microsoft\AzureMfa\Config (onde C:\ está a sua unidade de instalação).The installer creates a PowerShell script at C:\Program Files\Microsoft\AzureMfa\Config (where C:\ is your installation drive). Este script PowerShell executa as seguintes ações cada vez que é executado:This PowerShell script performs the following actions each time it's run:

  • Cria um certificado auto-assinado.Creates a self-signed certificate.
  • Associa a chave pública do certificado ao principal de serviço na Azure AD.Associates the public key of the certificate to the service principal on Azure AD.
  • Armazena o certificado na loja de certificados de máquina local.Stores the certificate in the local machine certificate store.
  • Concede acesso à chave privada do certificado para o Utilizador da Rede.Grants access to the certificate's private key to Network User.
  • Reinicia o serviço NPS.Restarts the NPS service.

A menos que queira utilizar os seus próprios certificados (em vez dos certificados auto-assinados que o script PowerShell gera), execute o script PowerShell para completar a instalação de extensão NPS.Unless you want to use your own certificates (instead of the self-signed certificates that the PowerShell script generates), run the PowerShell script to complete the NPS extension installation. Se instalar a extensão em vários servidores, cada servidor deverá ter o seu próprio certificado.If you install the extension on multiple servers, each server should have its own certificate.

Para fornecer capacidades de equilíbrio de carga ou para redundância, repita estes passos em servidores NPS adicionais, conforme desejado:To provide load-balancing capabilities or for redundancy, repeat these steps on additional NPS servers as desired:

  1. Abra um pedido do Windows PowerShell como administrador.Open a Windows PowerShell prompt as an administrator.

  2. Alterar diretórios para onde o instalador criou o script PowerShell:Change directories to where the installer created the PowerShell script:

    cd "C:\Program Files\Microsoft\AzureMfa\Config"
    
  3. Executar o script PowerShell criado pelo instalador.Run the PowerShell script created by the installer.

    Pode ser-lhe exigido que, primeiro, o TLS 1.2 para o PowerShell possa ligar e descarregar corretamente os pacotes:You might be required to first enable TLS 1.2 for PowerShell to be able to connect and download packages properly:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

    Importante

    Para os clientes que usam o Governo Azure ou as nuvens Azure China 21Vianet, edite primeiro os Connect-MsolService cmdlets no AzureMfaNpsExtnConfigSetup.ps1 script para incluir os parâmetros AzureEnvironment para a nuvem necessária.For customers that use the Azure Government or Azure China 21Vianet clouds, first edit the Connect-MsolService cmdlets in the AzureMfaNpsExtnConfigSetup.ps1 script to include the AzureEnvironment parameters for the required cloud. Por exemplo, especificar -AzureEnvironment USGovernment ou -AzureEnvironment AzureChinaCloud.For example, specify -AzureEnvironment USGovernment or -AzureEnvironment AzureChinaCloud.

    Para obter mais informações, consulte a referência do parâmetro Connect-MsolService.For more information, see Connect-MsolService parameter reference.

    .\AzureMfaNpsExtnConfigSetup.ps1
    
  4. Quando solicitado, inscreva-se na Azure AD como administrador.When prompted, sign in to Azure AD as an administrator.

  5. PowerShell pede a identificação do seu inquilino.PowerShell prompts for your tenant ID. Utilize o ID GUID do inquilino que copiou do portal Azure na secção pré-requisitos.Use the Tenant ID GUID that you copied from the Azure portal in the prerequisites section.

  6. Uma mensagem de sucesso é mostrada quando o script está terminado.A success message is shown when the script is finished.

Se o seu certificado de computador anterior tiver expirado e tiver sido gerado um novo certificado, deverá eliminar quaisquer certificados caducados.If your previous computer certificate has expired, and a new certificate has been generated, you should delete any expired certificates. Ter certificados caducados pode causar problemas com o início da Extensão NPS.Having expired certificates can cause issues with the NPS Extension starting.

Nota

Se utilizar os seus próprios certificados em vez de gerar certificados com o script PowerShell, certifique-se de que se alinham com a convenção de nomeação NPS.If you use your own certificates instead of generating certificates with the PowerShell script, make sure that they align to the NPS naming convention. O nome do assunto deve ser CN= <TenantID> EXTENSÃO OU=Microsoft NPS.The subject name must be CN=<TenantID>,OU=Microsoft NPS Extension.

Microsoft Azure Government ou Azure China 21Vianet passos adicionaisMicrosoft Azure Government or Azure China 21Vianet additional steps

Para os clientes que utilizam o Governo Azure ou as nuvens Azure China 21Vianet, são necessários os seguintes passos de configuração adicionais em cada servidor NPS.For customers that use the Azure Government or Azure China 21Vianet clouds, the following additional configuration steps are required on each NPS server.

Importante

Configurar apenas estas definições de registo se for um cliente Azure Government ou Azure China 21Vianet.Only configure these registry settings if you're an Azure Government or Azure China 21Vianet customer.

  1. Se você é um cliente Azure Government ou Azure China 21Vianet, abra o Editor de Registo no servidor NPS.If you're an Azure Government or Azure China 21Vianet customer, open Registry Editor on the NPS server.

  2. Navegue para HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.Navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.

  3. Para os clientes do Governo Azure, desa estalem os seguintes valores-chave.:For Azure Government customers, set the following key values.:

    Chave do registoRegistry key ValorValue
    AZURE_MFA_HOSTNAMEAZURE_MFA_HOSTNAME adnotifications.windowsazure.usadnotifications.windowsazure.us
    STS_URLSTS_URL https://login.microsoftonline.us/
  4. Para os clientes Azure China 21Vianet, desa um conjunto de valores-chave:For Azure China 21Vianet customers, set the following key values:

    Chave do registoRegistry key ValorValue
    AZURE_MFA_HOSTNAMEAZURE_MFA_HOSTNAME adnotifications.windowsazure.cnadnotifications.windowsazure.cn
    STS_URLSTS_URL https://login.chinacloudapi.cn/
  5. Repita os dois passos anteriores para definir os valores das chaves de registo para cada servidor NPS.Repeat the previous two steps to set the registry key values for each NPS server.

  6. Reinicie o serviço NPS para cada servidor NPS.Restart the NPS service for each NPS server.

    Para um impacto mínimo, retire cada servidor NPS da rotação NLB um de cada vez e aguarde que todas as ligações escorram.For minimal impact, take each NPS server out of the NLB rotation one at a time and wait for all connections to drain.

Capotamento de certificadoCertificate rollover

Com o lançamento 1.0.1.32 da extensão NPS, a leitura de vários certificados é agora suportada.With release 1.0.1.32 of the NPS extension, reading multiple certificates is now supported. Esta capacidade ajuda a facilitar as atualizações dos certificados de rolamento antes da sua expiração.This capability helps facilitate rolling certificate updates prior to their expiration. Se a sua organização estiver a executar uma versão anterior da extensão NPS, atualize para a versão 1.0.1.32 ou superior.If your organization is running a previous version of the NPS extension, upgrade to version 1.0.1.32 or higher.

Os certificados criados pelo AzureMfaNpsExtnConfigSetup.ps1 script são válidos por 2 anos.Certificates created by the AzureMfaNpsExtnConfigSetup.ps1 script are valid for 2 years. Monitorize certificados para expiração.Monitor certificates for expiration. Os certificados para a extensão NPS são colocados na loja de certificados de Computador Local sob o Personal e são emitidos para o ID do inquilino fornecido ao script de instalação.Certificates for the NPS extension are placed in the Local Computer certificate store under Personal and are Issued To the tenant ID provided to the installation script.

Quando um certificado se aproxima da data de validade, deve ser criado um novo certificado para o substituir.When a certificate is approaching the expiration date, a new certificate should be created to replace it. Este processo é realizado executando o AzureMfaNpsExtnConfigSetup.ps1 novo e mantendo a mesma identificação do inquilino quando solicitado.This process is accomplished by running the AzureMfaNpsExtnConfigSetup.ps1 again and keeping the same tenant ID when prompted. Este processo deve ser repetido em cada servidor NPS no seu ambiente.This process should be repeated on each NPS server in your environment.

Configure a sua extensão de NPSConfigure your NPS extension

Com o ambiente preparado e a extensão NPS agora instalada nos servidores necessários, pode configurar a extensão.With your environment prepared, and the NPS extension now installed on the required servers, you can configure the extension.

Esta secção inclui considerações de design e sugestões para implementações bem sucedidas de extensão de NPS.This section includes design considerations and suggestions for successful NPS extension deployments.

Limitações de configuraçãoConfiguration limitations

  • A extensão NPS para autenticação multi-factor Azure AD não inclui ferramentas para migrar utilizadores e configurações do MFA Server para a nuvem.The NPS extension for Azure AD Multi-Factor Authentication doesn't include tools to migrate users and settings from MFA Server to the cloud. Por esta razão, sugerimos a utilização da extensão para novas implementações, em vez de implantação existente.For this reason, we suggest using the extension for new deployments, rather than existing deployment. Se utilizar a extensão numa implementação existente, os seus utilizadores têm de efetuar novamente a prova para preencher os seus dados de MFA na nuvem.If you use the extension on an existing deployment, your users have to perform proof-up again to populate their MFA details in the cloud.
  • A extensão NPS utiliza a UPN a partir do ambiente AD DS no local para identificar o utilizador na Autenticação Multi-Factor AD Azure para a realização do Auth Secundário. A extensão pode ser configurada para usar um identificador diferente, como iD de login alternativo ou campo DS AD personalizado que não o UPN.The NPS extension uses the UPN from the on-premises AD DS environment to identify the user on Azure AD Multi-Factor Authentication for performing the Secondary Auth. The extension can be configured to use a different identifier like alternate login ID or custom AD DS field other than UPN. Para obter mais informações, consulte o artigo, opções de configuração avançadas para a extensão NPS para autenticação multi-factor.For more information, see the article, Advanced configuration options for the NPS extension for Multi-Factor Authentication.
  • Nem todos os protocolos de encriptação suportam todos os métodos de verificação.Not all encryption protocols support all verification methods.
    • O PAP suporta chamadas telefónicas, mensagens de texto unidirecionais, notificação de aplicações móveis e código de verificação de aplicações móveisPAP supports phone call, one-way text message, mobile app notification, and mobile app verification code
    • CHAPV2 e EAP suportam chamada telefónica e notificação de aplicativos móveisCHAPV2 and EAP support phone call and mobile app notification

Controle clientes RADIUS que requerem MFAControl RADIUS clients that require MFA

Uma vez que você ativa MFA para um cliente RADIUS usando a extensão NPS, todas as autenticações para este cliente são necessárias para realizar MFA.Once you enable MFA for a RADIUS client using the NPS extension, all authentications for this client are required to perform MFA. Se pretender ativar o MFA para alguns clientes RADIUS, mas não para outros, pode configurar dois servidores NPS e instalar a extensão em apenas um deles.If you want to enable MFA for some RADIUS clients but not others, you can configure two NPS servers and install the extension on only one of them.

Configurar clientes RADIUS que pretende exigir que a MFA envie pedidos para o servidor NPS configurados com a extensão, e outros clientes RADIUS para o servidor NPS não configurados com a extensão.Configure RADIUS clients that you want to require MFA to send requests to the NPS server configured with the extension, and other RADIUS clients to the NPS server not configured with the extension.

Prepare-se para utilizadores que não estão inscritos para MFAPrepare for users that aren't enrolled for MFA

Se tiver utilizadores que não estão inscritos para MFA, pode determinar o que acontece quando tentam autenticar.If you have users that aren't enrolled for MFA, you can determine what happens when they try to authenticate. Para controlar este comportamento, utilize a definição REQUIRE_USER_MATCH na trajetória de registo HKLM\Software\Microsoft\AzureMFA.To control this behavior, use the setting REQUIRE_USER_MATCH in the registry path HKLM\Software\Microsoft\AzureMFA. Esta definição tem uma única opção de configuração:This setting has a single configuration option:

ChaveKey ValorValue PredefiniçãoDefault
REQUIRE_USER_MATCHREQUIRE_USER_MATCH VERDADEIRO/FALSOTRUE/FALSE Não definido (equivalente a VERDADEIRO)Not set (equivalent to TRUE)

Esta definição determina o que fazer quando um utilizador não está matriculado para MFA.This setting determines what to do when a user isn't enrolled for MFA. Quando a tecla não existe, não está definida, ou está definida para TRUE, e o utilizador não está inscrito, a extensão falha o desafio MFA.When the key doesn't exist, is not set, or is set to TRUE, and the user isn't enrolled, the extension fails the MFA challenge.

Quando a chave está definida para FALSE e o utilizador não está matriculado, a autenticação prossegue sem efetuar MFA.When the key is set to FALSE and the user isn't enrolled, authentication proceeds without performing MFA. Se um utilizador estiver matriculado em MFA, deve autenticar-se com MFA mesmo que REQUIRE_USER_MATCH esteja definido como FALSE.If a user is enrolled in MFA, they must authenticate with MFA even if REQUIRE_USER_MATCH is set to FALSE.

Pode optar por criar esta tecla e defini-la para FALSE enquanto os seus utilizadores estão a bordo, e pode ainda não estar inscrita para autenticação multi-factor AD Azure.You can choose to create this key and set it to FALSE while your users are onboarding, and may not all be enrolled for Azure AD Multi-Factor Authentication yet. No entanto, uma vez que a definição da chave permite que os utilizadores que não estão inscritos para o MFA se inscrevam, deve remover esta chave antes de ir para a produção.However, since setting the key permits users that aren't enrolled for MFA to sign in, you should remove this key before going to production.

Resolução de problemasTroubleshooting

Roteiro de verificação de saúde de extensão de NPSNPS extension health check script

O seguinte script está disponível para executar etapas básicas de verificação de saúde ao resolver problemas na extensão de NPS.The following script is available to perform basic health check steps when troubleshooting the NPS extension.

MFA_NPS_Troubleshooter.ps1MFA_NPS_Troubleshooter.ps1

Como posso verificar se o certificado do cliente está instalado como esperado?How do I verify that the client cert is installed as expected?

Procure o certificado auto-assinado criado pelo instalador na loja cert, e verifique se a chave privada tem permissões concedidas ao serviço de rede de utilizador.Look for the self-signed certificate created by the installer in the cert store, and check that the private key has permissions granted to user NETWORK SERVICE. O cert tem um nome de assunto de <tenantid> CN, OU = Extensão NPS do MicrosoftThe cert has a subject name of CN <tenantid>, OU = Microsoft NPS Extension

Os certificados auto-assinados gerados pelo AzureMfaNpsExtnConfigSetup.ps1 script têm uma vida útil de validade de dois anos.Self-signed certificates generated by the AzureMfaNpsExtnConfigSetup.ps1 script have a validity lifetime of two years. Ao verificar se o certificado está instalado, deve também verificar se o certificado não expirou.When verifying that the certificate is installed, you should also check that the certificate hasn't expired.

Como posso verificar se o certificado do meu cliente está associado ao meu inquilino em Azure AD?How can I verify that my client certificate is associated to my tenant in Azure AD?

Abra o comando PowerShell e execute os seguintes comandos:Open PowerShell command prompt and run the following commands:

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1

Estes comandos imprimem todos os certificados que associam o seu inquilino à sua instância da extensão NPS na sua sessão PowerShell.These commands print all the certificates associating your tenant with your instance of the NPS extension in your PowerShell session. Procure o seu certificado exportando o seu certificado de cliente como um ficheiro X.509 (.cer) codificado sem a chave privada e compare-o com a lista da PowerShell.Look for your certificate by exporting your client cert as a Base-64 encoded X.509(.cer) file without the private key, and compare it with the list from PowerShell.

O seguinte comando criará um ficheiro denominado npscertificado na raiz do seu C: unidade em formato .cer.The following command will create a file named npscertificate at the root of your C: drive in format .cer.

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1 | select -ExpandProperty "value" | out-file c:\npscertificate.cer

Depois de executar este comando, vá até à raiz do seu C: unidade, localize o ficheiro e clique duas vezes nele.After you run this command, go to the root of your C: drive, locate the file, and double-click on it. Vá para os detalhes, e desça para "impressão digital".Go to details, and scroll down to "thumbprint". Compare a impressão digital do certificado instalado no servidor com este.Compare the thumbprint of the certificate installed on the server to this one. As impressões digitais do certificado devem coincidir.The certificate thumbprints should match.

Os certificados de tempo válidos e válidos, que estão na forma legível pelo homem, podem ser utilizados para filtrar os desajustados óbvios se o comando devolver mais de um cert.Valid-From and Valid-Until timestamps, which are in human-readable form, can be used to filter out obvious misfits if the command returns more than one cert.

Por que não posso me inscrever?Why cannot I sign in?

Verifique se a sua senha não expirou.Check that your password hasn't expired. A extensão NPS não suporta a alteração de palavras-passe como parte do fluxo de trabalho de entrada.The NPS extension doesn't support changing passwords as part of the sign-in workflow. Contacte o pessoal de TI da sua organização para mais assistência.Contact your organization's IT Staff for further assistance.

Porque é que os meus pedidos estão a falhar com o erro da ADAL?Why are my requests failing with ADAL token error?

Este erro pode dever-se a uma de várias razões.This error could be due to one of several reasons. Utilize os seguintes passos para resolver problemas:Use the following steps to troubleshoot:

  1. Reinicie o servidor NPS.Restart your NPS server.
  2. Verifique se o certificado do cliente está instalado como esperado.Verify that client cert is installed as expected.
  3. Verifique se o certificado está associado ao seu inquilino no Azure AD.Verify that the certificate is associated with your tenant on Azure AD.
  4. Certifique-se de que https://login.microsoftonline.com/ está acessível a partir do servidor que executa a extensão.Verify that https://login.microsoftonline.com/ is accessible from the server running the extension.

Porque é que a autenticação falha com um erro nos registos HTTP indicando que o utilizador não é encontrado?Why does authentication fail with an error in HTTP logs stating that the user is not found?

Verifique se o AD Connect está em funcionamento e se o utilizador está presente tanto no ambiente AD DS no local como no Azure AD.Verify that AD Connect is running, and that the user is present in both the on-premises AD DS environment and in Azure AD.

Por que vejo HTTP ligar erros em registos com todas as minhas autenticações falhando?Why do I see HTTP connect errors in logs with all my authentications failing?

Certifique-se de que https://adnotifications.windowsazure.com está acessível a partir do servidor que executa a extensão NPS.Verify that https://adnotifications.windowsazure.com is reachable from the server running the NPS extension.

Porque é que a autenticação não está a funcionar, apesar da presença de um certificado válido?Why is authentication not working, despite a valid certificate being present?

Se o seu certificado de computador anterior tiver expirado e tiver sido gerado um novo certificado, elimine quaisquer certificados caducados.If your previous computer certificate has expired, and a new certificate has been generated, delete any expired certificates. Os certificados expirados podem causar problemas com o início da extensão NPS.Expired certificates can cause issues with the NPS extension starting.

Para verificar se tem um certificado válido, consulte a Loja de Certificados da Conta Informática local utilizando o MMC e certifique-se de que o certificado não passou a data de validade.To check if you have a valid certificate, check the local Computer Account's Certificate Store using MMC, and ensure the certificate hasn't passed its expiry date. Para gerar um certificado recém-válido, reexamque os passos do script do instalador PowerShell.To generate a newly valid certificate, rerun the steps from Run the PowerShell installer script.

Por que vejo pedidos descartados nos registos do servidor NPS?Why do I see discarded requests in the NPS server logs?

Um servidor VPN pode enviar pedidos repetidos para o servidor NPS se o valor de tempo limite for demasiado baixo.A VPN server may send repeated requests to the NPS server if the timeout value is too low. O servidor NPS deteta estes pedidos duplicados e deita-os fora.The NPS server detects these duplicate requests and discards them. Este comportamento é por design e não indica um problema com o servidor NPS ou com a extensão NPS de autenticação multi-factor Azure.This behavior is by design, and doesn't indicate a problem with the NPS server or the Azure AD Multi-Factor Authentication NPS extension.

Para obter mais informações sobre o porquê de ver pacotes descartados nos registos do servidor NPS, consulte o comportamento do protocolo RADIUS e a extensão NPS no início deste artigo.For more information on why you see discarded packets in the NPS server logs, see RADIUS protocol behavior and the NPS extension at the start of this article.

Gerir os Protocolos TLS/SSL e Conjuntos de CifrasManaging the TLS/SSL Protocols and Cipher Suites

Recomenda-se que as suites de cifra mais antigas e mais fracas sejam desativadas ou removidas, a menos que a sua organização o exija.It's recommended that older and weaker cipher suites be disabled or removed unless required by your organization. Informações sobre como completar esta tarefa podem ser encontradas no artigo, Protocolos SSL/TLS e Cipher Suites para FS ADInformation on how to complete this task can be found in the article, Managing SSL/TLS Protocols and Cipher Suites for AD FS

Resolução de problemas adicionalAdditional troubleshooting

Orientações adicionais de resolução de problemas e possíveis soluções podem ser encontradas no artigo, Resolver mensagens de erro da extensão NPS para autenticação multi-factor Azure AD.Additional troubleshooting guidance and possible solutions can be found in the article, Resolve error messages from the NPS extension for Azure AD Multi-Factor Authentication.

Passos seguintesNext steps