使用 Microsoft Entra ID 進行 RADIUS 驗證
遠端驗證撥入使用者服務 (RADIUS) 是一種網路通訊協定,可為撥號使用者啟用集中式驗證與授權,以確保網路安全。 許多應用程式仍需使用 RADIUS 通訊協定來驗證使用者。
Microsoft Windows Server 具有名為「網路原則伺服器」(NPS) 的角色,可作為 RADIUS 伺服器並支援 RADIUS 驗證。
Microsoft Entra ID 可透過RADIUS型系統啟用多重要素驗證。 如果客戶想要將 Microsoft Entra 多重要素驗證套用至任何先前提及的 RADIUS 工作負載,他們可以在其 Windows NPS 伺服器上安裝 Microsoft Entra 多重要素驗證 NPS 擴充功能。
Windows NPS 伺服器會對 Active Directory 驗證使用者的認證,然後將多重要素驗證要求傳送至 Azure。 接著,使用者會在其行動驗證器上收到挑戰。 成功之後,用戶端應用程式即可連線至服務。
的使用時機:
您需要將多重要素驗證新增至應用程式,例如
- 虛擬私人網路 (VPN)
- WiFi 存取
- 遠端桌面閘道 (RDG)
- 虛擬桌面基礎結構 (VDI)
- 使用 RADIUS 通訊協定向服務驗證使用者的任何其他應用程式。
注意
建議您將 VPN 升級至安全性判斷提示標記語言 (SAML) 並直接將 VPN 與 VPN 建立同盟,而不是依賴 RADIUS 和 Microsoft Entra 多重要素驗證 NPS 擴充功能,將 MICROSOFT Entra 多重要素驗證套用至 VPN 工作負載。 這可讓您的 VPN 提供 Microsoft Entra ID Protection 的完整廣度,包括條件式存取、多重要素驗證、裝置合規性和 Identity Protection。
系統的元件
用戶端應用程式 (VPN 用戶端):將驗證要求傳送至 RADIUS 用戶端。
RADIUS 用戶端:轉換來自用戶端應用程式的要求,並將其傳送至已安裝 NPS 擴充功能的 RADIUS 伺服器。
RADIUS 伺服器:與 Active Directory 連線,以執行 RADIUS 要求的主要驗證。 成功時,將要求傳遞至 Microsoft Entra 多重要素驗證 NPS 延伸模組。
NPS 擴充功能: 針對次要驗證觸發對 Microsoft Entra 多重要素驗證的要求。 如果成功,NPS 擴充功能會藉由為RADIUS伺服器提供包含 Azure 安全性令牌服務所發出多重要素驗證宣告的安全性令牌,來完成驗證要求。
Microsoft Entra 多重要素驗證: 與 Microsoft Entra 標識符通訊,以擷取使用者的詳細數據,並使用使用者設定的驗證方法來執行次要驗證。