Mevcut Ağ İlkesi Sunucusu (NPS) altyapınızı Azure AD Multi-Factor Authentication ile tümleştirme

Azure AD Multi-Factor Authentication için Ağ İlkesi Sunucusu (NPS) uzantısı, mevcut sunucularınızı kullanarak kimlik doğrulama altyapınıza bulut tabanlı MFA özellikleri ekler. NPS uzantısıyla, yeni sunucuları yüklemek, yapılandırmak ve bakımını yapmak zorunda kalmadan mevcut kimlik doğrulama akışınıza telefon araması, kısa mesaj veya telefon uygulaması doğrulaması ekleyebilirsiniz.

NPS uzantısı, federasyon veya eşitlenmiş kullanıcılar için ikinci bir kimlik doğrulaması faktörü sağlamak üzere RADIUS ile bulut tabanlı Azure AD Multi-Factor Authentication arasında bir bağdaştırıcı işlevi görür.

NPS uzantısı nasıl çalışır?

Azure AD Multi-Factor Authentication için NPS uzantısını kullandığınızda, kimlik doğrulama akışı aşağıdaki bileşenleri içerir:

  1. NAS/VPN Sunucusu , VPN istemcilerinden gelen istekleri alır ve NPS sunucularına RADIUS isteklerine dönüştürür.
  2. NPS Sunucusu, RADIUS istekleri için birincil kimlik doğrulamasını gerçekleştirmek üzere Active Directory Domain Services 'ye (AD DS) bağlanır ve başarılı olduğunda, isteği yüklü uzantılara geçirir.
  3. NPS Uzantısı , ikincil kimlik doğrulaması için Azure AD Multi-Factor Authentication isteği tetikler. Uzantı yanıtı aldıktan ve MFA sınaması başarılı olursa, NPS sunucusuna Azure STS tarafından verilen bir MFA talebi içeren güvenlik belirteçleri sağlayarak kimlik doğrulama isteğini tamamlar.

    Not

    Kullanıcıların MFA gereksinimini tamamlamak için varsayılan kimlik doğrulama yöntemlerine erişimi olmalıdır. Alternatif bir yöntem seçemezler. Kiracı kimlik doğrulama yöntemlerinde ve MFA ilkelerinde devre dışı bırakılmış olsa bile varsayılan kimlik doğrulama yöntemleri kullanılır.

  4. Azure AD MFA, kullanıcının ayrıntılarını almak için Azure Active Directory (Azure AD) ile iletişim kurar ve kullanıcıya yapılandırılmış bir doğrulama yöntemini kullanarak ikincil kimlik doğrulamasını gerçekleştirir.

Aşağıdaki diyagramda bu üst düzey kimlik doğrulama isteği akışı gösterilmektedir:

Diagram of the authentication flow for user authenticating through a VPN server to NPS server and the Azure AD Multi-Factor Authentication NPS extension

RADIUS protokolü davranışı ve NPS uzantısı

RADIUS bir UDP protokolü olduğundan, gönderen paket kaybı olduğunu varsayar ve bir yanıt bekler. Belirli bir süre sonra bağlantı zaman aşımına uğradı. Bu durumda, gönderen paketin hedefe ulaşmadığını varsaydığından paket yeniden gönderilir. Bu makaledeki kimlik doğrulama senaryosunda VPN sunucuları isteği gönderir ve yanıt bekler. Bağlantı zaman aşımına uğradıysa VPN sunucusu isteği yeniden gönderir.

Diagram of RADIUS UDP packet flow and requests after timeout on response from NPS server

MFA isteği hala işleniyor olabileceğinden, bağlantı zaman aşımına uğramadan önce NPS sunucusu VPN sunucusunun özgün isteğine yanıt vermeyebilir. Kullanıcı MFA istemine başarıyla yanıt vermemiş olabilir, bu nedenle Azure AD Multi-Factor Authentication NPS uzantısı bu olayın tamamlanmasını bekliyor. Bu durumda, NPS sunucusu ek VPN sunucusu isteklerini yinelenen istek olarak tanımlar. NPS sunucusu bu yinelenen VPN sunucusu isteklerini atar.

Diagram of NPS server discarding duplicate requests from RADIUS server

NPS sunucu günlüklerine bakarsanız, bu ek isteklerin atıldığını görebilirsiniz. Bu davranış, son kullanıcıyı tek bir kimlik doğrulama girişimi için birden çok istek almaktan korumak amacıyla tasarlanmıştır. NPS sunucusu olay günlüğünde atılan istekler, NPS sunucusu veya Azure AD Multi-Factor Authentication NPS uzantısıyla ilgili bir sorun olduğunu göstermez.

Atılan istekleri en aza indirmek için VPN sunucularının en az 60 saniyelik bir zaman aşımı ile yapılandırılmasını öneririz. Gerekirse veya olay günlüklerindeki atılan istekleri azaltmak için VPN sunucusu zaman aşımı değerini 90 veya 120 saniyeye çıkarabilirsiniz.

Bu UDP protokolü davranışı nedeniyle, kullanıcı ilk isteği zaten yanıtladıktan sonra bile NPS sunucusu yinelenen bir istek alabilir ve başka bir MFA istemi gönderebilir. Bu zamanlama koşulundan kaçınmak için Azure AD Multi-Factor Authentication NPS uzantısı, VPN sunucusuna başarılı bir yanıt gönderildikten sonra yinelenen istekleri 10 saniye boyunca filtrelemeye ve atmaya devam eder.

Diagram of NPS server continuing to discard duplicate requests from VPN server for ten seconds after a successful response is returned

Yine, Azure AD Multi-Factor Authentication istemi başarılı olsa bile NPS sunucusu olay günlüklerinde atılan istekleri görebilirsiniz. Bu beklenen bir davranıştır ve NPS sunucusu veya Azure AD Multi-Factor Authentication NPS uzantısıyla ilgili bir sorun olduğunu göstermez.

Dağıtımınızı planlama

NPS uzantısı yedekliliği otomatik olarak işler, bu nedenle özel bir yapılandırmaya ihtiyacınız yoktur.

İhtiyacınız olan sayıda Azure AD Multi-Factor Authentication özellikli NPS sunucusu oluşturabilirsiniz. Birden çok sunucu yüklerseniz, her biri için farklı bir istemci sertifikası kullanmanız gerekir. Her sunucu için bir sertifika oluşturmak, her sertifikayı tek tek güncelleştirebileceğiniz ve tüm sunucularınızda kapalı kalma süresi konusunda endişelenmeyebileceğiniz anlamına gelir.

VPN sunucuları kimlik doğrulama isteklerini yönlendirir, bu nedenle yeni Azure AD Multi-Factor Authentication özellikli NPS sunucularının farkında olmaları gerekir.

Önkoşullar

NPS uzantısının mevcut altyapınızla çalışması amaçlanır. Başlamadan önce aşağıdaki önkoşullara sahip olduğunuzdan emin olun.

Lisanslar

Azure AD Multi-Factor Authentication için NPS Uzantısı, Azure AD Multi-Factor Authentication lisansına sahip müşteriler tarafından kullanılabilir (Azure AD Premium P1 ve Premium P2 veya Enterprise Mobility + Security dahildir). Kullanıcı başına veya kimlik doğrulama lisansı başına gibi Azure AD Multi-Factor Authentication için tüketim tabanlı lisanslar NPS uzantısıyla uyumlu değildir.

Yazılım

Windows Server 2012 veya üzeri.

Kitaplıklar

Aşağıdaki kitaplığı el ile yüklemeniz gerekir:

Aşağıdaki kitaplıklar uzantıyla birlikte otomatik olarak yüklenir.

Windows PowerShell için Microsoft Azure Active Directory Modülü, henüz yoksa kurulum işleminin bir parçası olarak çalıştırdığınız bir yapılandırma betiği aracılığıyla da yüklenir. Henüz yüklenmemişse bu modülü önceden yüklemeniz gerekmez.

Azure Active Directory

NPS uzantısını kullanan herkesin Azure AD Bağlan kullanılarak Azure AD ile eşitlenmesi ve MFA için kaydedilmesi gerekir.

Uzantıyı yüklediğinizde, Azure AD kiracınız için Kiracı Kimliği ve yönetici kimlik bilgileri gerekir. Kiracı kimliğini almak için aşağıdaki adımları tamamlayın:

  1. azure kiracısının genel yöneticisi olarak Azure portal oturum açın.

  2. Azure Active Directory arayın ve seçin.

  3. Genel Bakış sayfasında Kiracı bilgileri gösterilir. Kiracı Kimliği'nin yanında, aşağıdaki örnek ekran görüntüsünde gösterildiği gibi Kopyala simgesini seçin:

    Getting the Tenant ID from the Azure portal

Ağ gereksinimleri

NPS sunucusunun 80 ve 443 bağlantı noktaları üzerinden aşağıdaki URL'lerle iletişim kurabilmesi gerekir:

  • https://strongauthenticationservice.auth.microsoft.com
  • https://strongauthenticationservice.auth.microsoft.us
  • https://strongauthenticationservice.auth.microsoft.cn
  • https://adnotifications.windowsazure.com
  • https://login.microsoftonline.com
  • https://credentials.azure.com

Ayrıca, sağlanan PowerShell betiğini kullanarak bağdaştırıcının kurulumunu tamamlamak için aşağıdaki URL'lere bağlantı gerekir:

  • https://login.microsoftonline.com
  • https://provisioningapi.microsoftonline.com
  • https://aadcdn.msauth.net
  • https://www.powershellgallery.com
  • https://go.microsoft.com
  • https://aadcdn.msftauthimages.net

Ortamınızı hazırlama

NPS uzantısını yüklemeden önce, kimlik doğrulama trafiğini işlemek için ortamınızı hazırlayın.

Etki alanına katılmış bir sunucuda NPS rolünü etkinleştirme

NPS sunucusu Azure AD'ye bağlanır ve MFA isteklerinin kimliğini doğrular. Bu rol için bir sunucu seçin. NPS uzantısı RADIUS olmayan istekler için hatalar oluşturacağından, diğer hizmetlerden gelen istekleri işlemeyen bir sunucu seçmeniz önerilir. NPS sunucusu, ortamınız için birincil ve ikincil kimlik doğrulama sunucusu olarak ayarlanmalıdır. RADIUS isteklerini başka bir sunucuya ara sunucuyla gönderemez.

  1. Sunucunuzda Sunucu Yöneticisi açın. Hızlı Başlangıç menüsünde Rol ve Özellik Ekleme Sihirbazı'nı seçin.
  2. Yükleme türünüz için Rol tabanlı veya özellik tabanlı yükleme'yi seçin.
  3. Ağ İlkesi'ni ve Access Hizmetleri sunucu rolünü seçin. Bu rolü çalıştırmak için gereken ek özellikler hakkında sizi bilgilendirmek için bir pencere açılabilir.
  4. Onay sayfasına kadar sihirbazda devam edin. Hazır olduğunuzda Yükle'yi seçin.

NPS sunucu rolünün yüklenmesi birkaç dakika sürebilir. İşiniz bittiğinde, bu sunucuyu VPN çözümünden gelen RADIUS isteklerini işleyecek şekilde yapılandırmak için aşağıdaki bölümlerle devam edin.

VPN çözümünüzü NPS sunucusuyla iletişim kuracak şekilde yapılandırma

Kullandığınız VPN çözümüne bağlı olarak, RADIUS kimlik doğrulama ilkenizi yapılandırma adımları farklılık gösterir. VPN ilkenizi RADIUS NPS sunucunuza işaret etmek için yapılandırın.

Etki alanı kullanıcılarını buluta eşitleme

Bu adım kiracınızda zaten tamamlanmış olabilir, ancak Azure AD Bağlan'nin yakın zamanda veritabanlarınızı eşitlediğini bir kez daha denetlemek iyi olur.

  1. Azure Portal’da yönetici olarak oturum açın.
  2. Azure Active Directory>Azure AD Bağlan seçin
  3. Eşitleme durumunuzun Etkin olduğunu ve son eşitlemenizin bir saatten kısa bir süre önce olduğunu doğrulayın.

Yeni bir eşitleme turu başlatmanız gerekiyorsa bkz. Azure AD Bağlan eşitleme: Scheduler.

Kullanıcılarınızın hangi kimlik doğrulama yöntemlerini kullanabileceğini belirleme

NPS uzantısı dağıtımında hangi kimlik doğrulama yöntemlerinin kullanılabilir olduğunu etkileyen iki faktör vardır:

  • RADIUS istemcisi (VPN, Netscaler sunucusu veya diğer) ile NPS sunucuları arasında kullanılan parola şifreleme algoritması.

    • PAP , bulutta Azure AD Multi-Factor Authentication'ın tüm kimlik doğrulama yöntemlerini destekler: telefon araması, tek yönlü kısa mesaj, mobil uygulama bildirimi, OATH donanım belirteçleri ve mobil uygulama doğrulama kodu.

    • CHAPV2 ve EAP , telefon aramasını ve mobil uygulama bildirimini destekler.

      Not

      NPS uzantısını dağıtırken, kullanıcılarınız için hangi yöntemlerin kullanılabilir olduğunu değerlendirmek için bu faktörleri kullanın. RADIUS istemciniz PAP'yi destekliyorsa ancak istemci UX'sinde doğrulama kodu için giriş alanları yoksa, telefon araması ve mobil uygulama bildirimi desteklenen iki seçenek olur.

      Ayrıca, kullanılan kimlik doğrulama protokolünden (PAP, CHAP veya EAP) bağımsız olarak, MFA yönteminiz metin tabanlıysa (SMS, mobil uygulama doğrulama kodu veya OATH donanım belirteci) ve kullanıcının VPN istemcisi kullanıcı arabirimi giriş alanına bir kod veya metin girmesini gerektiriyorsa, kimlik doğrulaması başarılı olabilir. Ancak , Ağ Erişim İlkesi'nde yapılandırılan RADIUS öznitelikleri RADIUS istemcisine (VPN ağ geçidi gibi Ağ Erişim Cihazı) iletılmaz . Sonuç olarak, VPN istemcisi istediğinizden daha fazla erişime sahip olabilir veya daha az erişime sahip olabilir veya hiç erişime sahip olmayabilir.

      Geçici bir çözüm olarak, CrpUsernameStuffing betiğini çalıştırarak Ağ Erişim İlkesi'nde yapılandırılan RADIUS özniteliklerini iletebilir ve kullanıcının kimlik doğrulama yöntemi SMS, Microsoft Authenticator geçiş kodu veya donanım FOB gibi bir One-Time Geçiş Kodu (OTP) kullanılmasını gerektirdiğinde MFA'ya izin vekleyebilirsiniz.

  • İstemci uygulamasının (VPN, Netscaler sunucusu veya diğer) işleyebileceği giriş yöntemleri. Örneğin, VPN istemcisinin kullanıcının bir metinden veya mobil uygulamadan doğrulama kodu yazmasına izin vermek için bazı araçları var mı?

Azure'da desteklenmeyen kimlik doğrulama yöntemlerini devre dışı bırakabilirsiniz.

Kullanıcıları MFA'ya kaydetme

NPS uzantısını dağıtmadan ve kullanmadan önce, Azure AD Multi-Factor Authentication'ı gerçekleştirmesi gereken kullanıcıların MFA'ya kaydedilmesi gerekir. Uzantıyı dağıtırken test etmek için Azure AD Multi-Factor Authentication için tam olarak kaydedilmiş en az bir test hesabına da ihtiyacınız vardır.

Test hesabı oluşturmanız ve yapılandırmanız gerekiyorsa aşağıdaki adımları kullanın:

  1. Bir test hesabıyla oturum https://aka.ms/mfasetup açın.
  2. Doğrulama yöntemi ayarlamak için istemleri izleyin.
  3. Yönetici kullanıcı olarak Azure portal, test hesabı için çok faktörlü kimlik doğrulamasını gerektirecek bir Koşullu Erişim ilkesi oluşturun.

Önemli

Kullanıcıların Azure AD Multi-Factor Authentication'a başarıyla kaydolduğunu doğrulayın. Kullanıcılar daha önce yalnızca self servis parola sıfırlama (SSPR) için kaydolmuşsa, hesapları için StrongAuthenticationMethods etkinleştirilir. Kullanıcı yalnızca SSPR'ye kaydolmuş olsa bile StrongAuthenticationMethods yapılandırıldığında Azure AD Multi-Factor Authentication uygulanır.

SSPR ve Azure AD Multi-Factor Authentication'ı aynı anda yapılandıran birleşik güvenlik kaydı etkinleştirilebilir. Daha fazla bilgi için bkz. Azure Active Directory'de birleşik güvenlik bilgileri kaydını etkinleştirme.

Ayrıca, daha önce yalnızca SSPR'yi etkinleştirmişlerse , kullanıcıları kimlik doğrulama yöntemlerini yeniden kaydetmeye zorlayabilirsiniz .

NPS sunucusuna kullanıcı adı ve parola kullanarak bağlanan kullanıcıların çok faktörlü kimlik doğrulama istemini tamamlaması gerekir.

NPS uzantısını yükleme

Önemli

NPS uzantısını VPN erişim noktasından farklı bir sunucuya yükleyin.

Azure AD MFA için NPS uzantısını indirme ve yükleme

NPS uzantısını indirmek ve yüklemek için aşağıdaki adımları tamamlayın:

  1. NPS Uzantısını Microsoft İndirme Merkezi'nden indirin.
  2. İkiliyi yapılandırmak istediğiniz Ağ İlkesi Sunucusuna kopyalayın.
  3. setup.exe çalıştırın ve yükleme yönergelerini izleyin. Hatalarla karşılaşırsanız önkoşul bölümündeki kitaplıkların başarıyla yüklendiğinden emin olun.

NPS uzantısını yükseltme

Daha sonra mevcut bir NPS uzantısı yüklemesini yükseltirseniz, temel sunucunun yeniden başlatılmasını önlemek için aşağıdaki adımları tamamlayın:

  1. Mevcut sürümü kaldırın.
  2. Yeni yükleyiciyi çalıştırın.
  3. Ağ İlkesi Sunucusu (IAS) hizmetini yeniden başlatın.

PowerShell betiğini çalıştırma

Yükleyici konumunda C:\Program Files\Microsoft\AzureMfa\Config bir PowerShell betiği oluşturur (yükleme sürücünüz nerededir C:\ ). Bu PowerShell betiği her çalıştırıldığında aşağıdaki eylemleri gerçekleştirir:

  • Otomatik olarak imzalanan bir sertifika oluşturur.
  • Sertifikanın ortak anahtarını Azure AD'de hizmet sorumlusuyla ilişkilendirir.
  • Sertifikayı yerel makine sertifika deposunda depolar.
  • Sertifikanın özel anahtarına Ağ Kullanıcısı için erişim verir.
  • NPS hizmetini yeniden başlatır.

Kendi sertifikalarınızı kullanmak istemiyorsanız (PowerShell betiğinin oluşturduğu otomatik olarak imzalanan sertifikalar yerine), NPS uzantısı yüklemesini tamamlamak için PowerShell betiğini çalıştırın. Uzantıyı birden çok sunucuya yüklerseniz, her sunucunun kendi sertifikası olmalıdır.

Yük dengeleme özellikleri sağlamak veya yedeklilik sağlamak için ek NPS sunucularında bu adımları istediğiniz gibi yineleyin:

  1. Yönetici olarak bir Windows PowerShell istemi açın.

  2. Dizinleri yükleyicinin PowerShell betiğini oluşturduğu yere değiştirin:

    cd "C:\Program Files\Microsoft\AzureMfa\Config"
    
  3. Yükleyici tarafından oluşturulan PowerShell betiğini çalıştırın.

    Paketleri düzgün bir şekilde bağlayıp indirebilmek için öncelikle PowerShell için TLS 1.2'yi etkinleştirmeniz gerekebilir:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

    Önemli

    Azure Kamu veya Azure China 21Vianet bulutlarını kullanan müşteriler için, önce AzureMfaNpsExtnConfigSetup.ps1 betiğindeki cmdlet'leri gerekli bulut için AzureEnvironment parametrelerini içerecek şekilde düzenleyinConnect-MsolService. Örneğin, -AzureEnvironment USGovernment veya -AzureEnvironment AzureChinaCloud belirtin.

    Daha fazla bilgi için bkz. Bağlan-MsolService parametre başvurusu.

    .\AzureMfaNpsExtnConfigSetup.ps1
    
  4. İstendiğinde Azure AD'de yönetici olarak oturum açın.

  5. PowerShell kiracı kimliğinizi ister. Önkoşullar bölümündeki Azure portal kopyaladığınız Kiracı Kimliği GUID'sini kullanın.

  6. Betik tamamlandığında bir başarı iletisi gösterilir.

Önceki bilgisayar sertifikanızın süresi dolduysa ve yeni bir sertifika oluşturulduysa süresi dolan sertifikaları silmeniz gerekir. Sertifikaların süresi dolmuş olması NPS Uzantısının başlatılmasıyla ilgili sorunlara neden olabilir.

Not

PowerShell betiğiyle sertifika oluşturmak yerine kendi sertifikalarınızı kullanıyorsanız, NPS adlandırma kuralına uygun olduklarından emin olun. Konu adı CN=<TenantID,OU>=Microsoft NPS Uzantısı olmalıdır.

Microsoft Azure Government veya Azure China 21Vianet ek adımları

Azure Kamu veya Azure China 21Vianet bulutlarını kullanan müşteriler için her NPS sunucusunda aşağıdaki ek yapılandırma adımları gereklidir.

Önemli

Bu kayıt defteri ayarlarını yalnızca Azure Kamu veya Azure China 21Vianet müşterisiyseniz yapılandırın.

  1. Azure Kamu veya Azure China 21Vianet müşterisiyseniz, NPS sunucusunda Kayıt Defteri Düzenleyicisi'ni açın.

  2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa sayfasına gidin.

  3. Azure Kamu müşteriler için aşağıdaki anahtar değerlerini ayarlayın::

    Kayıt defteri anahtarı Değer
    AZURE_MFA_HOSTNAME strongauthenticationservice.auth.microsoft.us
    AZURE_MFA_RESOURCE_HOSTNAME adnotifications.windowsazure.us
    STS_URL https://login.microsoftonline.us/
  4. Azure China 21Vianet müşterileri için aşağıdaki temel değerleri ayarlayın:

    Kayıt defteri anahtarı Değer
    AZURE_MFA_HOSTNAME strongauthenticationservice.auth.microsoft.cn
    AZURE_MFA_RESOURCE_HOSTNAME adnotifications.windowsazure.cn
    STS_URL https://login.chinacloudapi.cn/
  5. Her NPS sunucusu için kayıt defteri anahtarı değerlerini ayarlamak için önceki iki adımı yineleyin.

  6. Her NPS sunucusu için NPS hizmetini yeniden başlatın.

    En az etki için, her NPS sunucusunu NLB döndürmeden birer birer alın ve tüm bağlantıların boşalmasını bekleyin.

Sertifika geçişi

NPS uzantısının 1.0.1.32 sürümüyle birden çok sertifikayı okuma artık desteklenmektedir. Bu özellik, süre sonu öncesinde sıralı sertifika güncelleştirmelerini kolaylaştırmaya yardımcı olur. Kuruluşunuz NPS uzantısının önceki bir sürümünü çalıştırıyorsa 1.0.1.32 veya sonraki bir sürüme yükseltin.

Betik tarafından AzureMfaNpsExtnConfigSetup.ps1 oluşturulan sertifikalar 2 yıl geçerlidir. Sertifikaları süre sonu için izleyin. NPS uzantısının sertifikaları, Kişisel altındaki Yerel Bilgisayar sertifika deposuna yerleştirilir ve yükleme betiğine sağlanan kiracı kimliğine Verilir.

Bir sertifika son kullanma tarihine yaklaştığında, sertifikayı değiştirmek için yeni bir sertifika oluşturulmalıdır. Bu işlem, yeniden çalıştırılarak AzureMfaNpsExtnConfigSetup.ps1 ve istendiğinde aynı kiracı kimliği tutularak gerçekleştirilir. Bu işlem ortamınızdaki her NPS sunucusunda yinelenmelidir.

NPS uzantınızı yapılandırma

Ortamınız hazır ve NPS uzantısı artık gerekli sunuculara yüklendikten sonra uzantıyı yapılandırabilirsiniz.

Bu bölüm, başarılı NPS uzantısı dağıtımları için tasarımla ilgili önemli noktaları ve önerileri içerir.

Yapılandırma sınırlamaları

  • Azure AD Multi-Factor Authentication için NPS uzantısı, kullanıcıları ve ayarları MFA Sunucusundan buluta geçirmeye yönelik araçlar içermez. Bu nedenle, mevcut dağıtım yerine yeni dağıtımlar için uzantıyı kullanmanızı öneririz. Uzantıyı mevcut bir dağıtımda kullanırsanız, kullanıcılarınızın MFA ayrıntılarını bulutta doldurmak için yeniden yazım denetlemesi yapması gerekir.
  • NPS uzantısı, İkincil Kimlik Doğrulaması gerçekleştirmek üzere Azure AD Multi-Factor Authentication'da kullanıcıyı tanımlamak için şirket içi AD DS ortamındaki UPN'yi kullanır. Uzantı, alternatif oturum açma kimliği veya UPN dışında özel AD DS alanı gibi farklı bir tanımlayıcı kullanacak şekilde yapılandırılabilir. Daha fazla bilgi için Multi-Factor Authentication için NPS uzantısı için gelişmiş yapılandırma seçenekleri makalesine bakın.
  • Tüm şifreleme protokolleri tüm doğrulama yöntemlerini desteklemez.
    • PAP telefon aramasını, tek yönlü kısa mesajı, mobil uygulama bildirimini ve mobil uygulama doğrulama kodunu destekler
    • CHAPV2 ve EAP desteği telefon araması ve mobil uygulama bildirimi

MFA gerektiren RADIUS istemcilerini denetleme

NPS uzantısını kullanarak bir RADIUS istemcisi için MFA'yı etkinleştirdikten sonra, MFA gerçekleştirmek için bu istemciye yönelik tüm kimlik doğrulamaları gerekir. Bazı RADIUS istemcileri için MFA'yı etkinleştirmek ancak diğerleri için etkinleştirmek istemiyorsanız, iki NPS sunucusu yapılandırabilir ve uzantıyı bunlardan yalnızca birine yükleyebilirsiniz.

MFA'nın uzantıyla yapılandırılmış NPS sunucusuna ve diğer RADIUS istemcilerinin uzantıyla yapılandırılmamış NPS sunucusuna istek göndermesini istediğiniz RADIUS istemcilerini yapılandırın.

MFA'ya kaydedilmemiş kullanıcılara hazırlanma

MFA'ya kayıtlı olmayan kullanıcılarınız varsa, kimlik doğrulamaya çalıştıkları zaman ne olacağını belirleyebilirsiniz. Bu davranışı denetlemek için HKLM\Software\Microsoft\AzureMFA kayıt defteri yolundaki REQUIRE_USER_MATCH ayarını kullanın. Bu ayarın tek bir yapılandırma seçeneği vardır:

Anahtar Değer Varsayılan
REQUIRE_USER_MATCH DOĞRU/YANLIŞ Ayarlanmadı (TRUE ile eşdeğer)

Bu ayar, bir kullanıcı MFA'ya kaydedilmediğinde ne yapacağını belirler. Anahtar mevcut olmadığında, ayarlanmadığında veya TRUE olarak ayarlandığında ve kullanıcı kaydedilmediğinde uzantı MFA sınamasını başarısız olur.

Anahtar FALSE olarak ayarlandığında ve kullanıcı kaydedilmediğinde, kimlik doğrulaması MFA gerçekleştirmeden devam eder. Bir kullanıcı MFA'ya kayıtlıysa, REQUIRE_USER_MATCHFALSE olarak ayarlansa bile MFA ile kimlik doğrulaması yapması gerekir.

Kullanıcılarınız eklenirken bu anahtarı oluşturmayı ve YANLIŞ olarak ayarlamayı seçebilirsiniz ve bunların tümü henüz Azure AD Multi-Factor Authentication'a kaydedilmemiş olabilir. Ancak, anahtarın ayarlanması MFA'ya kayıtlı olmayan kullanıcıların oturum açmasına izin vereceğinden, üretime geçmeden önce bu anahtarı kaldırmanız gerekir.

Sorun giderme

NPS uzantısı sistem durumu denetimi betiği

NPS uzantısı sorunlarını giderirken temel sistem durumu denetimi adımlarını gerçekleştirmek için aşağıdaki betik kullanılabilir.

MFA_NPS_Troubleshooter.ps1

Betiği çalıştırırken AzureMfaNpsExtnConfigSetup.ps1 "Hizmet sorumlusu bulunamadı" hatası nasıl düzeltilir?

Herhangi bir nedenle kiracıda "Azure Multi-Factor Auth İstemcisi" hizmet sorumlusu oluşturulmadıysa, aşağıda gösterildiği gibi cmdlet çalıştırılarak New-MsolServicePrincipal el ile oluşturulabilir.

import-module MSOnline
Connect-MsolService
New-MsolServicePrincipal -AppPrincipalId 981f26a1-7f43-403b-a875-f8b09b8cd720 -DisplayName "Azure Multi-Factor Auth Client"

İşlem tamamlandıktan sonra "Enterprise Uygulamalar" > bölümüne gidin>https://aad.portal.azure.com"Azure Multi-Factor Auth İstemcisi" > için arama Bu uygulamanın > özelliklerini denetleyin Hizmet sorumlusunun etkinleştirilip etkinleştirilmediğini > onaylayın Uygulama girişine > tıklayın Uygulamanın > Özelliklerine gidin "Kullanıcıların oturum açması etkinleştirildi mi? bu uygulamanın Özellikleri'nde Hayır olarak ayarlanmışsa, lütfen Evet olarak ayarlayın.

AzureMfaNpsExtnConfigSetup.ps1 Betiği yeniden çalıştırın; hata döndürmemelidirService principal was not found.

İstemci sertifikasının beklendiği gibi yüklendiğini doğrulamak Nasıl yaparım??

Sertifika deposunda yükleyici tarafından oluşturulan otomatik olarak imzalanan sertifikayı arayın ve özel anahtarın kullanıcı AĞ HİzMETİ'ne verilen izinlere sahip olup olmadığını denetleyin. Sertifikanın konu adı CN <tenantid>, OU = Microsoft NPS Uzantısı

Betik tarafından oluşturulan otomatik olarak imzalanan sertifikaların AzureMfaNpsExtnConfigSetup.ps1 geçerlilik süresi iki yıldır. Sertifikanın yüklü olduğunu doğrularken, sertifikanın süresinin dolmamış olup olmadığını da denetlemeniz gerekir.

İstemci sertifikamın Azure AD'deki kiracımla ilişkili olduğunu nasıl doğrularım?

PowerShell komut istemini açın ve aşağıdaki komutları çalıştırın:

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1

Bu komutlar, kiracınızı PowerShell oturumunuzda NPS uzantısı örneğiniz ile ilişkilendiren tüm sertifikaları yazdırır. İstemci sertifikanızı özel anahtar olmadan Base-64 kodlu X.509(.cer) dosyası olarak dışarı aktararak sertifikanızı arayın ve PowerShell'den gelen listeyle karşılaştırın.

Aşağıdaki komut, C: sürücünüzün kökünde .cer biçiminde npscertificate adlı bir dosya oluşturur.

import-module MSOnline
Connect-MsolService
Get-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1 | select -ExpandProperty "value" | out-file c:\npscertificate.cer

Bu komutu çalıştırdıktan sonra C: sürücünüzün köküne gidin, dosyayı bulun ve çift tıklayın. Ayrıntılara gidin ve ekranı aşağı kaydırarak "parmak izi" bölümüne gelin. Sunucuda yüklü sertifikanın parmak izini bununla karşılaştırın. Sertifika parmak izleri eşleşmelidir.

İnsan tarafından okunabilen biçimdeki Geçerlilik Süresi ve Geçerli-Bitiş zaman damgaları, komut birden fazla sertifika döndürdüğünde bariz uyumsuzlukları filtrelemek için kullanılabilir.

Neden oturum açamıyorum?

Parolanızın süresinin dolmadığını denetleyin. NPS uzantısı, oturum açma iş akışının bir parçası olarak parolaların değiştirilmesini desteklemez. Daha fazla yardım için kuruluşunuzun BT Personeline başvurun.

İsteklerim neden güvenlik belirteci hatasıyla başarısız oluyor?

Bu hatanın nedeni çeşitli nedenlerden biri olabilir. Sorun gidermek için aşağıdaki adımları kullanın:

  1. NPS sunucunuzu yeniden başlatın.
  2. İstemci sertifikasının beklendiği gibi yüklendiğini doğrulayın.
  3. Sertifikanın Azure AD'de kiracınızla ilişkilendirildiğini doğrulayın.
  4. Uzantıyı çalıştıran sunucudan https://login.microsoftonline.com/ adresine erişilebildiğini doğrulayın.

Kimlik doğrulaması neden HTTP günlüklerinde kullanıcının bulunamadığını belirten bir hatayla başarısız oluyor?

AD Bağlan çalıştığını ve kullanıcının hem şirket içi AD DS ortamında hem de Azure AD'de mevcut olduğunu doğrulayın.

Tüm kimlik doğrulamalarımın başarısız olduğu günlüklerde neden HTTP bağlantısı hataları görüyorum?

NPS uzantısını https://adnotifications.windowsazure.comçalıştıran sunucudan öğesine https://strongauthenticationservice.auth.microsoft.com erişildiğini doğrulayın.

Geçerli bir sertifika mevcut olmasına rağmen kimlik doğrulaması neden çalışmıyor?

Önceki bilgisayar sertifikanızın süresi dolduysa ve yeni bir sertifika oluşturulduysa süresi dolan sertifikaları silin. Süresi dolan sertifikalar, NPS uzantısının başlatılmasıyla ilgili sorunlara neden olabilir.

Geçerli bir sertifikanız olup olmadığını denetlemek için MMC kullanarak yerel Bilgisayar Hesabının Sertifika Deposu'na bakın ve sertifikanın sona erme tarihini geçmediğinden emin olun. Yeni geçerli bir sertifika oluşturmak için PowerShell yükleyici betiğini çalıştırma bölümündeki adımları yeniden çalıştırın.

NPS sunucu günlüklerinde neden atılmış istekler görüyorum?

Zaman aşımı değeri çok düşükse BIR VPN sunucusu NPS sunucusuna yinelenen istekler gönderebilir. NPS sunucusu bu yinelenen istekleri algılar ve atar. Bu davranış tasarım gereğidir ve NPS sunucusu veya Azure AD Multi-Factor Authentication NPS uzantısıyla ilgili bir sorun olduğunu göstermez.

NPS sunucu günlüklerinde atılan paketleri neden gördüğünüz hakkında daha fazla bilgi için, bu makalenin başındaki RADIUS protokolü davranışı ve NPS uzantısına bakın.

TLS/SSL Protokollerini ve Şifre Paketlerini yönetme

Eski ve zayıf şifreleme paketlerinin kuruluşunuz tarafından gerekmedikçe devre dışı bırakılması veya kaldırılması önerilir. Bu görevin nasıl tamamlanabileceğine ilişkin bilgiler, AD FS için SSL/TLS Protokollerini ve Şifreleme Paketlerini Yönetme makalesinde bulunabilir

Ek sorun giderme işlemleri

Ek sorun giderme yönergeleri ve olası çözümler , Azure AD Multi-Factor Authentication için NPS uzantısından gelen hata iletilerini çözümleme makalesinde bulunabilir.

Sonraki adımlar