在 MIM PAM 中使用Microsoft Entra多重要素驗證進行啟用
重要
2022 年 9 月,Microsoft 宣佈淘汰 Azure MFA 伺服器。 從 2024 年 9 月 30 日開始,Azure Multi-Factor Authentication Server 部署將不再服務多重要素驗證 (MFA) 要求。 Azure Multi-Factor Authentication Server 的客戶應該計畫改為在 AD 中使用自訂 MFA 提供者或Windows Hello或智慧卡型驗證。
在設定 PAM 角色時,您可以選擇如何為要求啟用角色的使用者授權。 PAM 授權活動可實作的選項包括:
- 角色擁有者核准
- Microsoft Entra多重要素驗證
如果未啟用檢查,會針對其角色自動啟動候選使用者。
Microsoft Entra多重要素驗證是一項驗證服務,要求使用者使用行動應用程式、通話或簡訊來驗證其登入嘗試。
注意
MIM 所提供防禦環境的 PAM 方法旨在用於無法使用網際網路存取的隔離環境的自訂架構、法規需要此設定,或在離線研究基礎和中斷連線的操作技術或監督控制與資料擷取環境等高影響隔離環境中使用。 由於Microsoft Entra多重要素驗證是網際網路服務,因此本指導方針僅針對現有的 MIM PAM 客戶或法規要求此設定的環境中提供。 如果您的 Active Directory 是網際網路連線環境的一部分,請參閱 在何處開始保護特殊許可權存取 。
必要條件
若要搭配 MIM PAM 使用Microsoft Entra多重要素驗證,您需要:
- 從每個提供 PAM 的 MIM 服務進行網際網路存取,以連絡Microsoft Entra多重要素驗證服務
- Azure 訂用帳戶
- Azure Multi-Factor Authentication Server 2019 年 7 月 1 日之前
- Microsoft Entra候選使用者的識別碼 P1 或 P2 授權
- 所有候選使用者的電話號碼
下載Microsoft Entra多重要素驗證服務認證
如需使用 Azure Multi-Factor Authentication Server 的詳細資訊,請參閱在 PAM 或 SSPR 中使用 Azure Multi-Factor Authentication Server。
設定 MIM 服務以進行Microsoft Entra多重要素驗證
在安裝 MIM 服務的電腦上,以管理員或安裝 MIM 時所使用的使用者身分登入。
在 MIM 服務安裝的目錄下建立新的目錄資料夾,例如
C:\Program Files\Microsoft Forefront Identity Manager\2010\Service\MfaCerts。使用 Windows 檔案總管,瀏覽至上節中所下載 ZIP 檔案的
pf\certs資料夾。 將檔案cert\_key.p12複製到新目錄。使用 Windows 檔案總管,流覽至
pfZIP 的資料夾,然後在 [記事本] 之類的文字編輯器中開啟檔案pf\_auth.cs。找出這三個參數:
LICENSE\_KEY、GROUP\_KEY、CERT\_PASSWORD。
使用 [記事本] 開啟位於
C:\Program Files\Microsoft Forefront Identity Manager\2010\Service的 MfaSettings.xml。將 LICENSE_KEY、GROUP_KEY 和 CERT_PASSWORD 參數 pf_auth的值複製到 MfaSettings.xml 檔案中的個別 xml 元素。
在< CertFilePath > XML 元素中,指定先前擷取之 cert_key.p12 檔案的完整路徑名稱。
在username > 元素中 <,輸入任何使用者名稱。
在< DefaultCountryCode >元素中,輸入用來撥打使用者的國家/地區代碼,例如 1 代表美國和加拿大。 如果使用者用電話號碼註冊但沒有提供國碼,就能使用此值。 如果使用者的電話號碼包括國際國碼,與組織中設定的電話號碼不同,則必須在要註冊的電話號碼中納入該國碼。
儲存並覆寫 MIM 服務資料夾中的
C:\Program Files\Microsoft Forefront Identity Manager\2010\\ServiceMfaSettings.xml 檔案。
注意
在程序快要結束時,請確定檔案 MfaSettings.xml 或該檔案的任何複本或 ZIP 檔案並未設定為可公開讀取。
設定 PAM 使用者以進行Microsoft Entra多重要素驗證
若要讓使用者啟用需要Microsoft Entra多重要素驗證的角色,使用者的電話號碼必須儲存在 MIM 中。 有兩種方法可以設定此屬性。
首先,New-PAMUser 命令會從 CORP 網域的使用者目錄項目中,將電話號碼複製到 MIM 服務資料庫。 請注意這項作業只需進行一次。
接下來,Set-PAMUser 命令會更新 MIM 服務資料庫中的電話號碼屬性。 例如,以下項目會取代 MIM 服務中的現存 PAM 使用者電話號碼。 這些服務者的目錄項目則維持不變。
Set-PAMUser (Get-PAMUser -SourceDisplayName Jen) -SourcePhoneNumber 12135551212
設定Microsoft Entra多重要素驗證的 PAM 角色
一旦 PAM 角色的所有候選使用者都將其電話號碼儲存在 MIM 服務資料庫中,就可以將角色設定為需要多重要素驗證Microsoft Entra。 這是使用 New-PAMRole 或 Set-PAMRole 命令完成的。 例如
Set-PAMRole (Get-PAMRole -DisplayName "R") -MFAEnabled 1
Microsoft Entra 您可以在 命令中 Set-PAMRole 指定參數 「-MFAEnabled 0」,以停用角色的多重要素驗證。
疑難排解
您可以在 Privileged Access Management 事件日誌中找到下列事件:
| 識別碼 | 嚴重性 | 產生者 | Description |
|---|---|---|---|
| 101 | 錯誤 | MIM 服務 | 使用者未完成Microsoft Entra多重要素驗證 (例如,未接聽電話) |
| 103 | 資訊 | MIM 服務 | 使用者在啟用期間已完成多重要素驗證Microsoft Entra |
| 825 | 警告 | PAM 監視服務 | 已變更電話號碼 |