Integrare l'infrastruttura di Server dei criteri di rete (NPS) esistente con l'autenticazione a più fattori di Microsoft Entra

  • Articolo

L'estensione NPS (Server dei criteri di rete) per l’autenticazione a più fattori di Microsoft Entra aggiunge funzionalità di autenticazione a più fattori basate sul cloud all'infrastruttura di autenticazione usando i server esistenti. Con l'estensione di Server dei criteri di rete, è possibile aggiungere la verifica con telefonata, messaggio di testo o app telefonica al flusso di autenticazione esistente senza dover installare, configurare e gestire nuovi server.

L'estensione NPS funge da adattatore tra RADIUS e l'autenticazione a più fattori di Microsoft Entra basata su cloud per fornire un secondo fattore di autenticazione per utenti federati o sincronizzati.

Come funziona l'estensione NPS

Quando si usa l'estensione NPS per l'autenticazione a più fattori di Microsoft Entra, il flusso di autenticazione include i componenti seguenti:

  1. Il Server NAS/VPN riceve le richieste dei client VPN e le converte in richieste RADIUS per il Server dei criteri di rete.

  2. Il Server NPS si connette ad Active Directory Domain Services (AD DS) per eseguire l'autenticazione principale per le richieste RADIUS e, al completamento dell'operazione, passa la richiesta alle estensioni installate.

  3. L'estensione NPS attiva una richiesta all'autenticazione a più fattori di Microsoft Entra per un'autenticazione secondaria. Dopo che l'estensione riceve la risposta e se la richiesta di verifica MFA ha esito positivo, la richiesta di autenticazione viene completata, fornendo al server di Server dei criteri di rete i token di sicurezza che includono un'attestazione MFA, emessa dal servizio token di sicurezza di Azure.

    Nota

    Anche se NPS non supporta la corrispondenza dei numeri, l'estensione NPS più recente supporta i metodi TOTP (password monouso a tempo), ad esempio TOTP disponibile in Microsoft Authenticator. L'accesso TOTP offre una sicurezza migliore rispetto all'esperienza alternativa Approva/Nega.

    Dopo l'8 maggio 2023, quando la corrispondenza dei numeri è abilitata per tutti gli utenti, a chiunque esegua una connessione RADIUS con l'estensione NPS versione 1.2.2216.1 o successiva verrà richiesto di accedere con un metodo TOTP. Per visualizzare questo comportamento, gli utenti devono avere un metodo di autenticazione TOTP registrato. Senza un metodo TOTP registrato, gli utenti continuano a vedere Approva/Nega.

  4. L'autenticazione a più fattori di Microsoft Entra comunica con Microsoft Entra ID per recuperare i dettagli dell'utente ed esegue un'autenticazione secondaria usando un metodo di verifica configurato dall'utente.

Il diagramma seguente illustra questo flusso di richiesta di autenticazione ad alto livello:

Diagramma del flusso di autenticazione per l'autenticazione dell'utente tramite un server VPN al server NPS e l'estensione NPS dell'autenticazione a più fattori di Microsoft Entra

Comportamento del protocollo RADIUS ed estensione NPS

Poiché RADIUS è un protocollo UDP, il mittente presuppone la perdita del pacchetto e attende una risposta. Dopo un periodo di tempo, la connessione potrebbe scadere. In tal caso, il pacchetto viene reinviato perché il mittente presuppone che il pacchetto non abbia raggiunto la destinazione. Nello scenario di autenticazione di questo articolo i server VPN inviano la richiesta e attendono una risposta. Se si verifica il timeout della connessione, il server VPN invia nuovamente la richiesta.

Diagramma del flusso di pacchetti UDP RADIUS e delle richieste dopo il timeout sulla risposta dal server NPS

Il server NPS potrebbe non rispondere alla richiesta originale del server VPN prima del timeout della connessione perché la richiesta MFA potrebbe essere ancora in fase di elaborazione. L'utente potrebbe non aver risposto correttamente al prompt dell'autenticazione a più fattori, pertanto l'estensione NPS di autenticazione a più fattori di Microsoft Entra è in attesa del completamento dell'evento. In questo caso, il server NPS identifica le richieste aggiuntive del server VPN come richiesta duplicata. Il server NPS rimuove queste richieste di server VPN duplicate.

Diagramma del server NPS che rimuove le richieste duplicate dal server RADIUS

Se si esaminano i log del server NPS, è possibile notare che queste richieste aggiuntive vengono rimosse. Questo comportamento è progettato per proteggere l'utente finale dalla ricezione di più richieste per un singolo tentativo di autenticazione. Le richieste rimosse nel registro eventi del server NPS non indicano che si è verificato un problema con il server NPS o l'estensione NPS dell'autenticazione a più fattori di Microsoft Entra.

Per ridurre al minimo le richieste rimosse, è consigliabile configurare i server VPN con un timeout di almeno 60 secondi. Se necessario, o per ridurre le richieste rimosse nei registri eventi, è possibile aumentare il valore di timeout del server VPN a 90 o 120 secondi.

A causa di questo comportamento del protocollo UDP, il server NPS potrebbe ricevere una richiesta duplicata e inviare un'altro prompt di autenticazione a più fattori, anche dopo che l'utente ha già risposto alla richiesta iniziale. Per evitare questa condizione di tempistica, l'estensione NPS dell'autenticazione a più fattori di Microsoft Entra continua a filtrare ed rimuovere le richieste duplicate per un massimo di 10 secondi dopo l'invio di una risposta riuscita al server VPN.

Diagramma del server NPS che continua a rimuovere le richieste duplicate dal server VPN per dieci secondi dopo la restituzione di una risposta con esito positivo

Anche in questo caso, è possibile che le richieste rimosse nei registri eventi del server NPS vengano visualizzate anche quando la richiesta di autenticazione a più fattori di Microsoft Entra ha avuto esito positivo. Si tratta di un comportamento previsto e non indica un problema con il server NPS o con l'estensione NPS dell'autenticazione a più fattori di Microsoft Entra.

Pianificazione della distribuzione

L'estensione di Server dei criteri di rete gestisce automaticamente la ridondanza, pertanto non è necessaria una configurazione speciale.

È possibile creare tutti i server NPS abilitati all'autenticazione a più fattori di Microsoft Entra necessari. Se si installano più server, è consigliabile usare un certificato client di differenza per ciascuno. La creazione di un certificato per ogni server significa che è possibile aggiornare singolarmente ogni certificato senza doversi preoccupare dei tempi di inattività in tutti i server.

I server VPN indirizzano le richieste di autenticazione, quindi è necessario essere a conoscenza dei nuovi server NPS abilitati all'autenticazione a più fattori di Microsoft Entra.

Prerequisiti

L'estensione di Server dei criteri di rete è progettata per funzionare con l'infrastruttura esistente. Prima di iniziare, verificare che i prerequisiti seguenti siano disponibili.

Licenze

L'estensione NPS per l'autenticazione a più fattori di Microsoft Entra è disponibile per chi è in possesso di licenze per l'autenticazione a più fattori di Microsoft Entra (inclusa in Microsoft Entra ID P1 e Premium P2 o Enterprise Mobility + Security). Le licenze in base al consumo per l'autenticazione a più fattori di Microsoft Entra, ad esempio le licenze per utente o per autenticazione, non sono compatibili con l'estensione NPS.

Software

  • Windows Server 2012 o versioni successive. Tenere presente che Windows Server 2012 ha raggiunto la fine del supporto.

  • È necessario .NET Framework 4.7.2 o versione successiva per il modulo PowerShell di Microsoft Graph.

  • PowerShell versione 5.1 o successiva. Per controllare la versione di PowerShell, eseguire il comando:

    PS C:\> $PSVersionTable.PSVersion
Major  Minor  Build  Revision
-----  -----  -----  --------
5      1      16232  1000

Librerie

  • Visual Studio 2017 C++ Redistributable (x64) verrà installato dal programma di installazione dell'estensione NPS.

  • PowerShell di Microsoft Graph è già installato tramite uno script di configurazione eseguito come parte del processo di configurazione, se non già presente. Non è necessario installare un modulo in anticipo.

Ottenere l'ID tenant della directory

Come parte della configurazione dell'estensione NPS, è necessario inserire le credenziali amministrative e l'ID per il tenant di Microsoft Entra. Per ottenere l’ID del tenant, completare i seguenti passaggi:

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

  2. Passare a Identità>Impostazioni.

    Recupero dell'ID tenant dall'interfaccia di amministrazione di Microsoft Entra

Requisiti di rete

Il server NPS deve essere in grado di comunicare con gli URL seguenti sulla porta TCP 443:

  • https://login.microsoftonline.com
  • https://login.microsoftonline.us (Azure Government)
  • https://login.chinacloudapi.cn (Microsoft Azure operated by 21Vianet)
  • https://credentials.azure.com
  • https://strongauthenticationservice.auth.microsoft.com
  • https://strongauthenticationservice.auth.microsoft.us (Azure Government)
  • https://strongauthenticationservice.auth.microsoft.cn (Microsoft Azure operated by 21Vianet)
  • https://adnotifications.windowsazure.com
  • https://adnotifications.windowsazure.us (Azure Government)
  • https://adnotifications.windowsazure.cn (Microsoft Azure operated by 21Vianet)

Inoltre, è necessaria la connettività agli URL seguenti per completare la configurazione della scheda usando lo script di PowerShell fornito:

  • https://onegetcdn.azureedge.net
  • https://login.microsoftonline.com
  • https://provisioningapi.microsoftonline.com
  • https://aadcdn.msauth.net
  • https://www.powershellgallery.com
  • https://go.microsoft.com
  • https://aadcdn.msftauthimages.net

La tabella seguente descrive le porte e i protocolli necessari per l'estensione NPS. TCP 443 (in ingresso e in uscita) è l'unica porta necessaria dal server dell'estensione NPS a Entra ID. Le porte RADIUS sono necessarie tra il punto d'accesso e il server dell'estensione NPS.

Protocollo Porta Descrizione
HTTPS 443 Abilitare l'autenticazione dell'utente per Entra ID (necessaria per l'installazione dell'estensione)
UDP 1812 Porta comune per l'autenticazione RADIUS da parte di NPS
UDP 1645 Porta non comune per l'autenticazione RADIUS da parte di NPS
UDP 1813 Porta comune per la contabilità RADIUS da parte di NPS
UDP 1646 Porta non comune per la contabilità RADIUS da parte di NPS

Predisporre l'ambiente

Prima di installare l'estensione NPS, preparare l'ambiente per gestire il traffico di autenticazione.

Abilitare il ruolo del Server dei criteri di rete in un server appartenente a un dominio

Il server NPS si connette a Microsoft Entra ID ed esegue l'autenticazione delle richieste MFA. Scegliere un server per questo ruolo. Si consiglia di scegliere un server che non gestisce le richieste provenienti da altri servizi, poiché l'estensione di Server dei criteri di rete genera errori per qualsiasi richiesta non RADIUS. Il server NPS deve essere configurato come server di autenticazione primaria e secondaria per l'ambiente. Non può inviare tramite proxy le richieste RADIUS a un altro server.

  1. Nel server, aprire Server Manager. Selezionare Aggiunta guidata ruoli e funzionalità dal menu Avvio rapido.
  2. Come tipo di installazione, scegliere Installazione basata su ruoli o basata su funzionalità.
  3. Selezionare il ruolo del server Servizi di accesso e criteri di rete. Potrebbe essere visualizzata una finestra per informare l'utente riguardo alle funzionalità necessarie per eseguire questo ruolo.
  4. Continuare la procedura guidata fino alla pagina di Conferma. Quindi selezionare Installa.

L'installazione del ruolo del server NPS potrebbe richiedere alcuni minuti. Al termine, continuare con le sezioni seguenti per configurare questo server per gestire le richieste RADIUS in ingresso dalla soluzione VPN.

Configurare la soluzione VPN in modo che comunichi con il Server dei criteri di rete

La procedura per configurare i criteri di autenticazione RADIUS può variare a seconda della soluzione VPN in uso. Configurare i criteri VPN in modo che la soluzione punti al server NPS RADIUS.

Sincronizzare gli utenti del dominio con il cloud

Questo passaggio potrebbe essere già completato nel tenant, tuttavia è consigliabile verificare che Microsoft Entra Connect abbia sincronizzato i database di recente.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come Amministratore delle identità ibride.
  2. Passare a Identità>Gestione ibrida>Microsoft Entra Connect.
  3. Verificare che lo stato della sincronizzazione sia Abilitata e che l'ultima sincronizzazione sia stata eseguita da meno di un'ora.

Se è necessario avviare un nuovo ciclo di sincronizzazione, vedere Sincronizzazione Microsoft Entra Connect: Utilità di pianificazione.

Determinare i metodi di autenticazione che è possibile usare

Sono due i fattori che determinano i metodi di autenticazione disponibili con una distribuzione dell'estensione di Server dei criteri di rete:

  • L'algoritmo di crittografia della password usato tra il client RADIUS (VPN, server Netscaler o altri) e i Server dei criteri di rete.

    • PAP supporta tutti i metodi di autenticazione a più fattori di Microsoft Entra nel cloud: chiamata telefonica, SMS unidirezionale, notifica dell'app per dispositivi mobili, token hardware OATH e codice di verifica dell'app per dispositivi mobili.
    • CHAPV2 e EAP supportano la chiamata telefonica e la notifica dell'app per dispositivi mobili.

  • I metodi di input che l'applicazione client (VPN, server Netscaler o altra) può gestire. Ad esempio, gli strumenti usati dal client VPN per consentire all'utente di digitare un codice di verifica da un testo o da un'app per dispositivi mobili.

È possibile disabilitare i metodi di autenticazione non supportati in Azure.

Nota

Indipendentemente dal protocollo di autenticazione usato (PAP, CHAP o EAP), se il metodo MFA è basato su testo (SMS, codice di verifica dell'app per dispositivi mobili o token hardware OATH) e richiede all'utente di immettere un codice o un testo nel campo di input dell'interfaccia utente del client VPN, l'autenticazione potrebbe avere esito positivo. Tuttavia, tutti gli attributi RADIUS configurati nei criteri di accesso alla rete non vengono inoltrati al client RADIUS (il dispositivo di accesso alla rete, ad esempio il gateway VPN). Di conseguenza, il client VPN potrebbe avere un accesso maggiore di quello desiderato oppure accesso limitato o nessun accesso.

Come soluzione alternativa, è possibile eseguire lo script CrpUsernameStuffing per inoltrare gli attributi RADIUS configurati nei criteri di accesso alla rete e consentire l'autenticazione a più fattori quando il metodo di autenticazione dell'utente richiede l'uso di un passcode monouso (OTP), ad esempio SMS, un passcode di Microsoft Authenticator o un FOB hardware.

Registrare utenti per l'MFA

Prima di distribuire e usare l'estensione NPS, gli utenti che devono eseguire l'autenticazione a più fattori di Microsoft Entra devono essere registrati per l'MFA. Per testare l'estensione in modo più immediato mentre viene distribuita, è necessario almeno un account di test completamente registrato per l'autenticazione a più fattori di Microsoft Entra.

Se è necessario creare e configurare un account di test, seguire questa procedura:

  1. Accedere a https://aka.ms/mfasetup con un account di prova.
  2. Seguire le richieste per configurare un metodo di verifica.
  3. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
  4. Passare a Protezione>Autenticazione a più fattori e abilitare l'account di test.

Importante

Assicurarsi che gli utenti abbiano eseguito correttamente la registrazione per l'autenticazione a più fattori di Microsoft Entra. Se gli utenti sono stati registrati in precedenza solo per la reimpostazione della password self-service (SSPR), StrongAuthenticationMethods viene abilitato per i loro account. L'autenticazione a più fattori di Microsoft Entra viene applicata quando si configura StrongAuthenticationMethods, anche se l'utente è registrato solo per la reimpostazione della password self-service.

È possibile abilitare la registrazione combinata delle informazioni di sicurezza per configurare contemporaneamente la reimpostazione della password self-service e l'autenticazione a più fattori di Microsoft Entra. Per altre informazioni, vedere: Registrazione combinata delle informazioni di sicurezza per Microsoft Entra ID.

È anche possibile imporre agli utenti di registrare nuovamente i metodi di autenticazione se in precedenza erano abilitati solo per la reimpostazione della password self-service.

Gli utenti che si connettono al server NPS tramite nome utente e password dovranno completare un prompt di autenticazione a più fattori.

Installare l'estensione di Server dei criteri di rete

Importante

Installare l'estensione di Server dei criteri di rete in un server diverso rispetto al punto di accesso della VPN.

Scaricare e installare l'estensione NPS per l'autenticazione a più fattori di Microsoft Entra

Per scaricare e installare l'estensione NPS completare la seguente procedura:

  1. Scaricare l'estensione di Server dei criteri di rete dall'Area download di Microsoft.
  2. Copiare il file binario nel Server dei criteri di rete da configurare.
  3. Eseguire setup.exe e seguire le istruzioni di installazione. Se si verificano errori, controllare che le librerie dalla sezione dei prerequisiti siano state installate correttamente.

Aggiornare l'estensione di Server dei criteri di rete

Se si aggiorna successivamente un'installazione dell'estensione NPS esistente, per evitare il riavvio del server sottostante completare questa procedura:

  1. Disinstallare la versione esistente.
  2. Eseguire il nuovo programma di installazione.
  3. Riavviare il servizio Server dei criteri di rete (IAS).

Eseguire lo script di PowerShell

Il programma di installazione crea uno script di PowerShell in C:\Program Files\Microsoft\AzureMfa\Config (dove C:\ è l'unità di installazione). Questo script PowerShell segue le seguenti azioni ogni volta che viene eseguito:

  • Crea un certificato autofirmato
  • Associa la chiave pubblica del certificato all'entità servizio in Microsoft Entra ID.
  • Archivia il certificato nell'archivio certificati del computer locale.
  • Concede l'accesso alla chiave privata del certificato all'utente di rete.
  • Riavvia il servizio Server dei criteri di rete.

A meno che non si desideri utilizzare i propri certificati (invece dei certificati autofirmati generati dallo script di PowerShell), eseguire lo script di PowerShell per completare l'installazione dell'estensione NPS. Se si installa l'estensione su più server, ciascun server dovrebbe avere il proprio certificato.

Per fornire funzionalità di bilanciamento del carico o per la ridondanza, ripetere questi passaggi nei server NPS aggiuntivi in base alle esigenze:

  1. Aprire un prompt dei comandi di Windows PowerShell come amministratore.

  2. Modificare le directory in cui il programma di installazione ha creato lo script di PowerShell:

    cd "C:\Program Files\Microsoft\AzureMfa\Config"

  3. Eseguire lo script di PowerShell creato dal programma di installazione.

    Per potersi connettere e scaricare correttamente i pacchetti, potrebbe essere necessario prima abilitare TLS 1.2 per PowerShell:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

    Importante

    Per i clienti che usano Azure per il governo degli Stati Uniti o Azure gestito da cloud 21Vianet, modificare prima di tutto lo script AzureMfaNpsExtnConfigSetup.ps1 per includere i parametri di AzureEnvironment per il cloud richiesto. Ad esempio, specificare -AzureEnvironment USGovernment o -AzureEnvironment AzureChinaCloud.

    .\AzureMfaNpsExtnConfigSetup.ps1

  4. Quando richiesto, accedere a Microsoft Entra ID.

    Per gestire questa funzionalità è necessario un amministratore globale.

  5. Prompt di PowerShell per l'ID tenant. Usare il ID tenant GUID copiato nella sezione prerequisiti.

  6. Verrà visualizzato un messaggio al termine dello script.

Se il certificato del computer precedente è scaduto ed è stato generato un nuovo certificato, è consigliabile eliminare eventuali certificati scaduti. La presenza di certificati scaduti può causare problemi con l'avvio dell'estensione di Server dei criteri di rete.

Nota

Se si usano i propri certificati invece di generare certificati con lo script di PowerShell, verificare che rispettino la convenzione di denominazione di Server dei criteri di rete. Il nome oggetto deve essere CN=<TenantID>,OU=Estensione di Server dei criteri di rete Microsoft.

Microsoft Azure per enti pubblici o Microsoft Azure operato da procedure aggiuntive 21Vianet

Per i clienti che usano il cloud di Azure per enti pubblici o Azure operato da cloud 21Vianate, è necessario eseguire i passaggi di configurazione aggiuntivi seguenti in ogni NPS.

Importante

Configurare queste impostazioni del registro solo se si è clienti di Azure per enti pubblici o di Azure gestito da 21Vianet.

  1. Se si è clienti di Azure per enti pubblici o di Azure gestito da 21Vianet, aprire l'editor del registro nel server NPS.

  2. Accedere a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.

  3. Per clienti di Azure per enti pubblici, impostare i valori di chiave seguenti:

    Chiave del Registro di sistema Valore
    AZURE_MFA_HOSTNAME strongauthenticationservice.auth.microsoft.us
    AZURE_MFA_RESOURCE_HOSTNAME adnotifications.windowsazure.us
    STS_URL https://login.microsoftonline.us/

  4. Per i clienti di Microsoft Azure gestito da 21Vianet, impostare i valori di chiave seguenti:

    Chiave del Registro di sistema Valore
    AZURE_MFA_HOSTNAME strongauthenticationservice.auth.microsoft.cn
    AZURE_MFA_RESOURCE_HOSTNAME adnotifications.windowsazure.cn
    STS_URL https://login.chinacloudapi.cn/

  5. Ripetere i due passaggi precedenti per impostare i valori della chiave del Registro di sistema per ogni Server dei criteri di rete.

  6. Riavviare il servizio Server dei criteri di rete per ogni Server dei criteri di rete.

    Per limitare l'impatto, escludere ogni Server dei criteri di rete dalla rotazione del bilanciamento del carico uno alla volta e attendere lo svuotamento di tutte le connessioni.

Rollover dei certificati

Con la versione 1.0.1.32 dell'estensione NPS è ora supportata la lettura di più certificati. Questa funzionalità consente di semplificare la distribuzione degli aggiornamenti dei certificati prima della scadenza. Se l'organizzazione esegue una versione precedente dell'estensione NPS, è necessario eseguire l'aggiornamento alla versione 1.0.1.32 o successiva.

I certificati creati dallo script AzureMfaNpsExtnConfigSetup.ps1 sono validi per 2 anni. Monitorare i certificati per la scadenza. I certificati per l'estensione NPS vengono inseriti nell'archivio certificati del computer locale sotto Personale e vengono rilasciati all'ID tenant fornito allo script di installazione.

Quando un certificato si avvicina alla data di scadenza, è necessario creare un nuovo certificato per sostituirlo. Questo processo viene eseguito eseguendo di nuovo AzureMfaNpsExtnConfigSetup.ps1 e mantenendo lo stesso ID tenant quando richiesto. Questo processo deve essere ripetuto in ogni Server dei criteri di rete nell'ambiente in uso.

Configurare l'estensione di Server dei criteri di rete

Dopo aver preparato l'ambiente e l'estensione NPS ora installata nei server necessari, è possibile configurare l'estensione.

In questa sezione sono disponibili considerazioni e suggerimenti sulla progettazione per una corretta distribuzione dell'estensione di Server dei criteri di rete.

Limitazioni di configurazione

  • L'estensione NPS per l'autenticazione a più fattori di Microsoft Entra non include strumenti per la migrazione degli utenti e delle impostazioni dal Server MFA al cloud. Per questo motivo, è consigliabile usare l'estensione per le distribuzioni nuove piuttosto che per quelle esistenti. Se si usano le estensioni in una distribuzione esistente, gli utenti dovranno ripetere il processo di registrazione per popolare i dettagli di Azure MFA nel cloud.
  • L'estensione NPS non supporta chiamate telefoniche personalizzate configurate nelle impostazioni delle chiamate telefoniche. Verrà usata la lingua di chiamata telefonica predefinita (EN-US).
  • L'estensione NPS usa l'UPN dell'ambiente di Active Directory Domain Services locale per identificare l'utente nell'autenticazione a più fattori di Microsoft Entra per l'esecuzione dell'autenticazione secondaria. L'estensione può essere configurata per l'uso di un identificatore diverso, ad esempio un ID di accesso alternativo o un campo di Active Directory Domain Services personalizzato diverso da UPN. Per altre informazioni, vedere l'articolo Opzioni di configurazione avanzate per l'estensione NPS per l'autenticazione a più fattori.
  • Non tutti i protocolli di crittografia supportano tutti i metodi di verifica.
    • PAP supporta la chiamata telefonica, gli SMS unidirezionali, la notifica dell'app per dispositivi mobili e il codice di verifica app per dispositivi mobili
    • CHAPV2 e EAP supportano la chiamata telefonica e la notifica dell'app per dispositivi mobili

Client RADIUS di controllo che richiedono MFA

Dopo aver abilitato l'MFA per un client RADIUS utilizzando l'estensione NPS, tutte le autenticazioni per questo client devono eseguire l'MFA. Se si desidera abilitare MFA solo per alcuni client RADIUS, è possibile configurare due server di Server dei criteri di rete e installare l'estensione solo su uno di questi.

Configurare i client RADIUS per cui si vuole fare in modo che MFA invii richieste al server di Server dei criteri di rete configurato con l'estensione e gli altri client RADIUS al server di Server dei criteri di rete senza configurazione per l'estensione.

Impostazioni per gli utenti che non sono registrati per MFA

Se sono presenti utenti che non sono registrati per MFA, è possibile stabilire cosa succede quando questi tentano di eseguire l'autenticazione. Usare l'impostazione REQUIRE_USER_MATCH nel percorso del registro HKLM\Software\Microsoft\AzureMFA per controllare questo comportamento. Questa impostazione non ha un'unica opzione di configurazione:

Chiave Valore Predefiniti
REQUIRE_USER_MATCH Vero/Falso Non impostato (equivalente a VERO)

Lo scopo di questa impostazione è stabilire cosa fare quando un utente non è registrato per l'MFA. Quando la chiave non esiste, non è impostata o è impostata su TRUE e l'utente non è registrato, allora l'estensione non esegue correttamente la richiesta di verifica MFA.

Quando la chiave è impostata su FALSE e l'utente non è registrato, l'autenticazione procede senza eseguire l'MFA. Se un utente è registrato nell'MFA, è necessario eseguire l'autenticazione con MFA anche se REQUIRE_USER_MATCH è impostato su FALSE.

È possibile scegliere di creare questa chiave e impostarla su FALSE, durante il caricamento degli utenti che potrebbero non essere ancora registrati per l'autenticazione a più fattori di Microsoft Entra. Poiché l'impostazione della chiave consente agli utenti che non sono registrati all'MFA di accedere, è necessario rimuovere la chiave prima di passare all'ambiente di produzione.

Risoluzione dei problemi

Script di controllo integrità dell'estensione Server dei criteri di rete

Lo script di controllo integrità dell'estensione NPS per l'autenticazione a più fattori di Microsoft Entra esegue un controllo di integrità di base durante la risoluzione dei problemi dell'estensione NPS. Eseguire lo script e scegliere una delle opzioni disponibili.

Come correggere l'errore "Impossibile trovare l'entità servizio" durante l'esecuzione dello script AzureMfaNpsExtnConfigSetup.ps1?

Se per qualsiasi motivo l'entità servizio "Azure Multi-Factor Auth Client" non è stata creata nel tenant, può essere creata manualmente eseguendo PowerShell.

Connect-MgGraph -Scopes 'Application.ReadWrite.All'
New-MgServicePrincipal -AppId 00001111-aaaa-2222-bbbb-3333cccc4444 -DisplayName "Azure Multi-Factor Auth Client"
  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.
  2. Passare a Identità>Applicazioni>Applicazioni Enterprise> e cercare "Azure Multi-Factor Auth Client".
  3. Fare quindi clic su Controlla le proprietà per questa app. Verificare se l'entità servizio è abilitata o disabilitata.
  4. Fare clic sulla voce >Proprietà dell'applicazione.
  5. Se l'opzione Abilitato per l'accesso degli utenti? è impostata su No, impostarla su .

Eseguire di nuovo lo script AzureMfaNpsExtnConfigSetup.ps1; non dovrebbe restituire l'errore L'entità servizio non è stata trovata.

Come verificare che il certificato client sia installato come previsto?

Cercare il certificato autofirmato creato dal programma di installazione nell'archivio dei certificati e verificare che la chiave privata disponga delle autorizzazioni "READ" concesse all'utente SERVIZIO DI RETE. Il certificato ha come nome oggetto CN <tenantid>, OU = Estensione di Server dei criteri di rete Microsoft

Anche i certificati autofirmati generati dallo script AzureMfaNpsExtnConfigSetup.ps1 hanno una durata di validità di due anni. Quando si verifica che il certificato sia installato, è necessario verificare anche che il certificato non sia scaduto.

Come verificare che il certificato client sia associato al tenant in Microsoft Entra ID?

Aprire il prompt dei comandi di PowerShell ed eseguire i comandi seguenti:

Connect-MgGraph -Scopes 'Application.Read.All'
(Get-MgServicePrincipal -Filter "appid eq '00001111-aaaa-2222-bbbb-3333cccc4444'" -Property "KeyCredentials").KeyCredentials | Format-List KeyId, DisplayName, StartDateTime, EndDateTime, @{Name = "Key"; Expression = {[System.Convert]::ToBase64String($_.Key)}}, @{Name = "Thumbprint"; Expression = {$Cert = New-object System.Security.Cryptography.X509Certificates.X509Certificate2; $Cert.Import([System.Text.Encoding]::UTF8.GetBytes([System.Convert]::ToBase64String($_.Key))); $Cert.Thumbprint}}

Questi comandi consentono di stampare tutti i certificati associando il tenant con l'istanza dell'estensione di Server dei criteri di rete nella sessione di PowerShell. Cercare il certificato esportando il certificato client come file Base-64 encoded X.509(.cer) senza la chiave privata e confrontarlo con l'elenco di PowerShell. Confrontare l'identificazione personale del certificato installato nel server con questa. Le identificazioni personali devono corrispondere.

I timbri StartDateTime e EndDateTime, che sono in formato leggibile, possono essere usati per filtrare i risultati errati se il comando restituisce più di un certificato.

Perché non è possibile accedere?

Verificare che la password non sia scaduta. L'estensione NPS non supporta la modifica delle password come parte del flusso di lavoro di accesso. Contattare il personale IT dell'organizzazione per ricevere assistenza.

Perché le richieste hanno esito negativo con errore token di sicurezza?

Questo errore potrebbe essere dovuto a diverse ragioni. Utilizzare la procedura riportata di seguito per risolvere i problemi:

  1. Riavviare il server di Server dei criteri di rete.
  2. Verificare che il certificato client sia installato come previsto.
  3. Verificare che il certificato sia associato al tenant su Microsoft Entra ID.
  4. Verificare che https://login.microsoftonline.com/ sia accessibile dal server che esegue l'estensione.

Perché l'autenticazione ha esito negativo e restituisce un errore nei log HTTP che indica che l'utente non è stato trovato?

Verificare che AD Connect sia in esecuzione e che l'utente sia presente sia nell'ambiente di Active Directory Domain Services locale che in Microsoft Entra ID.

Perché vengono visualizzati errori di connessione HTTP nei log che contengono le autenticazioni non riuscite?

Verificare che https://adnotifications.windowsazure.comhttps://strongauthenticationservice.auth.microsoft.com sia raggiungibile dal server che esegue l'estensione NPS.

Perché l'autenticazione non funziona, nonostante sia presente un certificato valido?

Se il certificato del computer precedente è scaduto ed è stato generato un nuovo certificato, è consigliabile eliminare eventuali certificati scaduti. La presenza di certificati scaduti può causare problemi con l'avvio dell'estensione NPS.

Per verificare se è disponibile un certificato valido, controllare l'archivio certificati dell'account del computer locale usando MMC e verificare che il certificato non abbia superato la data di scadenza. Per generare un nuovo certificato valido, rieseguire i passaggi descritti nella sezione Eseguire lo script di installazione di PowerShell.

Perché vengono visualizzate richieste eliminate nei log del server NPS?

Un server VPN può inviare richieste ripetute al server NPS se il valore di timeout è troppo basso. Il server NPS rileva queste richieste duplicate e le rimuove. Questo comportamento è previsto dalla progettazione e non indica un problema con il server NPS o l'estensione NPS dell'autenticazione a più fattori di Microsoft Entra.

Per altre informazioni sui motivi per cui vengono visualizzati pacchetti rimossi nei log del server NPS, vedere Comportamento del protocollo RADIUS e l'estensione NPS all'inizio di questo articolo.

Come far funzionare la corrispondenza dei numeri di Microsoft Authenticator con NPS?

Anche se NPS non supporta la corrispondenza dei numeri, l'estensione NPS più recente supporta metodi con password monouso a tempo (TOTP), ad esempio la TOTP disponibile in Microsoft Authenticator, altri token software e FOB hardware. L'accesso TOTP offre una sicurezza migliore rispetto all'esperienza alternativa Approva/Nega. Assicurarsi di avere la versione più recente dell'estensione NPS.

Dopo l'8 maggio 2023, quando la corrispondenza dei numeri è abilitata per tutti gli utenti, a chiunque esegua una connessione RADIUS con l'estensione NPS versione 1.2.2216.1 o successiva verrà richiesto di accedere con un metodo TOTP.

Per visualizzare questo comportamento, gli utenti devono avere un metodo di autenticazione TOTP registrato. Senza un metodo TOTP registrato, gli utenti continuano a vedere Approva/Nega.

Prima del rilascio dell'estensione NPS versione 1.2.2216.1 dopo l'8 maggio 2023, le organizzazioni che eseguono versioni precedenti dell'estensione NPS possono modificare il registro per richiedere agli utenti di immettere una TOTP. Per altre informazioni, vedere Estensione NPS.

Gestione dei protocolli TLS/SSL e dei pacchetti di crittografia

È consigliabile disabilitare o rimuovere i pacchetti di crittografia meno recenti e meno sicuri, a meno che non siano richiesti dall'organizzazione. Altre informazioni sul completamento di questa attività sono disponibili nell'articolo Gestire i protocolli SSL/TLS e pacchetti di crittografia per AD FS.

Risoluzione dei problemi aggiuntiva

Altre indicazioni per la risoluzione dei problemi e le possibili soluzioni sono disponibili nell'articolo Risolvere i messaggi di errore dall'estensione NPS per l'autenticazione a più fattori di Microsoft Entra.

Passaggi successivi