Çok faktörlü kimlik doğrulaması için NPS uzantısı için gelişmiş yapılandırma seçenekleri
Ağ İlkesi Sunucusu (NPS) uzantısı, bulut tabanlı Microsoft Entra çok faktörlü kimlik doğrulama özelliklerinizi şirket içi altyapınıza genişletir. Bu makalede uzantının zaten yüklü olduğu varsayılır ve şimdi uzantıyı ihtiyaçlarınıza göre nasıl özelleştirebileceğinizi öğrenmek istiyorsunuz.
Alternatif oturum açma kimliği
NPS uzantısı hem şirket içi hem de bulut dizinlerinize bağlandığından, şirket içi kullanıcı asıl adlarınızın (UPN) buluttaki adlarla eşleşmediği bir sorunla karşılaşabilirsiniz. Bu sorunu çözmek için alternatif oturum açma kimliklerini kullanın.
NPS uzantısında, Microsoft Entra çok faktörlü kimlik doğrulaması için UPN olarak kullanılacak bir Active Directory özniteliği belirleyebilirsiniz. Bu, şirket içi UPN'lerinizi değiştirmeden iki aşamalı doğrulama ile şirket içi kaynaklarınızı korumanızı sağlar.
Alternatif oturum açma kimliklerini yapılandırmak için HKLM\SOFTWARE\Microsoft\AzureMfa adresine gidin ve aşağıdaki kayıt defteri değerlerini düzenleyin:
| Veri Akışı Adı | Türü | Default value | Açıklama |
|---|---|---|---|
| LDAP_ALTERNATE_LOGINID_ATTRIBUTE | Dize | Boş | UPN olarak kullanmak istediğiniz Active Directory özniteliğinin adını belirtin. Bu öznitelik, AlternateLoginId özniteliği olarak kullanılır. Bu kayıt defteri değeri geçerli bir Active Directory özniteliğine (örneğin, posta veya displayName) ayarlanırsa, özniteliğin değeri kimlik doğrulaması için kullanıcının UPN'si olarak kullanılır. Bu kayıt defteri değeri boşsa veya yapılandırılmamışsa, AlternateLoginId devre dışı bırakılır ve kullanıcının UPN'si kimlik doğrulaması için kullanılır. |
| LDAP_FORCE_GLOBAL_CATALOG | boolean | False | AlternateLoginId ararken LDAP aramaları için Genel Katalog kullanımını zorlamak için bu bayrağı kullanın. Bir etki alanı denetleyicisini Genel Katalog olarak yapılandırın, Genel Katalog'a AlternateLoginId özniteliğini ekleyin ve bu bayrağı etkinleştirin. LDAP_LOOKUP_FORESTS yapılandırıldıysa (boş değilse), bu bayrak kayıt defteri ayarının değerinden bağımsız olarak true olarak zorlanır. Bu durumda NPS uzantısı, Genel Kataloğun her orman için AlternateLoginId özniteliğiyle yapılandırılmasını gerektirir. |
| LDAP_LOOKUP_FORESTS | Dize | Boş | Aranacak ormanların noktalı virgülle ayrılmış listesini sağlayın. Örneğin, contoso.com; foobar.com. Bu kayıt defteri değeri yapılandırılırsa, NPS uzantısı tüm ormanları listelendikleri sırayla yinelemeli olarak arar ve ilk başarılı AlternateLoginId değerini döndürür. Bu kayıt defteri değeri yapılandırılmamışsa, AlternateLoginId araması geçerli etki alanıyla sınırlandırılır. |
Alternatif oturum açma kimlikleriyle ilgili sorunları gidermek için Alternatif oturum açma kimliği hataları için önerilen adımları kullanın.
IP özel durumları
Yük dengeleyicilerin iş yüklerini göndermeden önce hangi sunucuların çalıştığını doğrulaması gibi sunucu kullanılabilirliğini izlemeniz gerekiyorsa, bu denetimlerin doğrulama istekleri tarafından engellenmesini istemezsiniz. Bunun yerine, hizmet hesapları tarafından kullanıldığını bildiğiniz IP adreslerinin listesini oluşturun ve bu liste için çok faktörlü kimlik doğrulama gereksinimlerini devre dışı bırakın.
IP izin verilenler listesini yapılandırmak için adresine gidin HKLM\SOFTWARE\Microsoft\AzureMfa ve aşağıdaki kayıt defteri değerini yapılandırın:
| Veri Akışı Adı | Türü | Default value | Açıklama |
|---|---|---|---|
| IP_WHITELIST | Dize | Boş | IP adreslerinin noktalı virgülle ayrılmış listesini sağlayın. NAS/VPN sunucusu gibi hizmet isteklerinin kaynaklandığı makinelerin IP adreslerini ekleyin. IP aralıkları ve alt ağlar desteklenmez. Örneğin, 10.0.0.1; 10.0.0.2; 10.0.0.3. |
Dekont
Bu kayıt defteri anahtarı yükleyici tarafından varsayılan olarak oluşturulmaz ve hizmet yeniden başlatıldığında AuthZOptCh günlüğünde bir hata görüntülenir. Günlükteki bu hata yoksayılabilir, ancak bu kayıt defteri anahtarı oluşturulur ve gerekli değilse boş bırakılırsa hata iletisi döndürülmüyor.
içinde bulunan IP_WHITELISTbir IP adresinden bir istek geldiğinde iki aşamalı doğrulama atlanır. IP listesi, RADIUS isteğinin ratNASIPAddress özniteliğinde sağlanan IP adresiyle karşılaştırılır. Bir RADIUS isteği ratNASIPAddress özniteliği olmadan gelirse, şu uyarı günlüğe kaydedilir: "RADIUS isteği NasIpAddress özniteliğinde kaynak IP eksik olduğundan IP_WHITE_LIST_WARNING::IP Beyaz Listesi yoksayılıyor."