Share via

將 RADIUS 驗證與 Azure Multi-Factor Authentication Server 整合

  • 發行項

RADIUS 是接受驗證要求以及處理這些要求的標準通訊協定。 Azure Multi-Factor Authentication Server 可以做為 RADIUS 伺服器。 在您的 RADIUS 用戶端 (VPN 設備) 與驗證目標之間插入它,以新增雙步驟驗證。 您的驗證目標可以是 Active Directory、LDAP 目錄或其他 RADIUS 伺服器。 若要讓 Azure 多重要素驗證運作,您必須設定 Azure MFA Server,才能與用戶端伺服器和驗證目標通訊。 Azure MFA Server 會接受 RADIUS 用戶端的要求、驗證驗證目標認證、新增 Azure 多重要素驗證,並將回應傳回 RADIUS 用戶端。 只有在主要驗證和 Azure 多重要素驗證都成功時,驗證要求才會成功。

重要

在 2022 年 9 月,Microsoft 宣佈淘汰 Azure Multi-Factor Authentication Server。 從 2024 年 9 月 30 日起,Azure Multi-Factor Authentication Server 部署將不再服務多重要素驗證要求,這可能會導致貴組織驗證失敗。 為了確保不會中斷的驗證服務並維持在支援的狀態,組織應該 使用最新 Azure MFA Server 更新 中包含的最新移轉公用程式,將其使用者的驗證資料 遷移至雲端式 Azure MFA 服務。 如需詳細資訊,請參閱 Azure MFA 伺服器移轉

若要開始使用雲端式 MFA,請參閱 教學課程:使用 Microsoft Entra 多重要素驗證 保護使用者登入事件。

如果您使用雲端式 MFA,請參閱 整合現有的 NPS 基礎結構與 Azure 多重要素驗證

注意

MFA 伺服器在做為 RADIUS 伺服器時,僅支援 PAP(密碼驗證通訊協定)和 MSCHAPv2(Microsoft 的挑戰-交握驗證通訊協定)RADIUS 通訊協定。 當 MFA 伺服器做為另一部支援該通訊協定的 RADIUS 伺服器時,可以使用其他通訊協定,例如 EAP(可延伸驗證通訊協定)的通訊協定。

在此設定中,單向 SMS 和 OATH 權杖無法運作,因為 MFA 伺服器無法使用替代通訊協定來起始成功的 RADIUS 挑戰回應。

Radius Authentication in MFA Server

新增 RADIUS 用戶端

若要設定 RADIUS 驗證,請在 Windows 伺服器上安裝 Azure Multi-Factor Authentication Server。 如果您有 Active Directory 環境,伺服器應該加入網路內的網域。 使用下列程式來設定 Azure Multi-Factor Authentication Server:

  1. 在 Azure Multi-Factor Authentication Server 中,按一下左側功能表中的 RADIUS 驗證圖示。

  2. 核取 [ 啟用 RADIUS 驗證] 核取方塊。

  3. 在 [用戶端] 索引標籤上,如果 Azure MFA RADIUS 服務需要在非標準埠上接聽 RADIUS 要求,請變更 [驗證] 和 [會計埠]。

  4. 按一下新增

  5. 輸入裝置/伺服器的 IP 位址,以向 Azure Multi-Factor Authentication Server、應用程式名稱(選擇性)和共用密碼進行驗證。

    應用程式名稱會出現在報表中,而且可能會顯示在 SMS 或行動應用程式驗證訊息內。

    在 Azure Multi-Factor Authentication Server 和設備/伺服器上,共用密碼必須相同。

  6. 如果所有使用者都已匯入伺服器並受限於多重要素驗證,請核取 [需要多重要素驗證使用者比對 ] 方塊。 如果大量使用者尚未匯入伺服器或免除雙步驟驗證,請取消核取此方塊。

  7. 如果您想要從行動驗證應用程式使用 OATH 密碼作為備份方法,請核取 [ 啟用後援 OATH 權杖 ] 方塊。

  8. 按一下 [確定]

重複步驟 4 到 8,以視需要新增更多 RADIUS 用戶端。

設定 RADIUS 用戶端

  1. 按一下 [ 目標] 索引卷 標。

    • 如果 Azure MFA Server 安裝在 Active Directory 環境中的已加入網域的伺服器上,請選取 [Windows 網域 ]。
    • 如果應該對 LDAP 目錄驗證使用者,請選取 [ LDAP 系結 ]。 選取 [目錄整合] 圖示,然後在 [設定] 索引標籤上編輯 LDAP 組態,讓伺服器可以系結至您的目錄。 如需設定 LDAP 的指示,請參閱 LDAP Proxy 設定指南
    • 如果應該對另一部 RADIUS 伺服器驗證使用者,請選取 [RADIUS 伺服器]。

  2. 按一下 [新增 ] 以設定 Azure MFA Server 將 Proxy 處理 RADIUS 要求的伺服器。

  3. 在 [新增 RADIUS 伺服器] 對話方塊中,輸入 RADIUS 伺服器的 IP 位址和共用密碼。

    在 Azure Multi-Factor Authentication Server 和 RADIUS 伺服器上,共用密碼必須相同。 如果 RADIUS 伺服器使用不同的埠,請變更驗證埠和會計埠。

  4. 按一下 [確定]

  5. 將 Azure MFA Server 新增為其他 RADIUS 伺服器的 RADIUS 用戶端,以便處理從 Azure MFA Server 傳送至它的存取要求。 使用在 Azure Multi-Factor Authentication Server 中設定的相同共用密碼。

重複這些步驟以新增更多 RADIUS 伺服器。 設定 Azure MFA Server 應該使用 [上移 ] 和 [ 移] 按鈕來呼叫它們的順序。

您已成功設定 Azure Multi-Factor Authentication Server。 伺服器現在正在接聽來自已設定用戶端之 RADIUS 存取要求的已設定埠。

RADIUS 用戶端設定

若要設定 RADIUS 用戶端,請使用指導方針:

  • 將設備/伺服器設定為透過 RADIUS 向做為 RADIUS 伺服器的 Azure Multi-Factor Authentication Server IP 位址進行驗證。
  • 使用稍早設定的相同共用密碼。
  • 將 RADIUS 逾時設定為 60 秒,以便有時間驗證使用者的認證、執行雙步驟驗證、接收其回應,然後回應 RADIUS 存取要求。

下一步

如果您在雲端中有 Microsoft Entra 多重要素驗證,請瞭解如何 與 RADIUS 驗證 整合。