Начало работы с сервером Многофакторной идентификации Azure

На этой странице рассматривается новая установка сервера и его настройка с помощью локальная служба Active Directory. Если у вас уже установлен сервер MFA и вы хотите обновить его, см . статью "Обновление до последнего сервера Многофакторной идентификации Azure". Если вы ищете сведения об установке только веб-службы, см . статью "Развертывание веб-службы мобильного приложения сервера Многофакторной идентификации Azure".

Сведения о начале работы с облачной многофакторной идентификацией см. в руководстве по обеспечению безопасности событий входа пользователей с помощью многофакторной проверки подлинности Azure.

Планирование развертывания

Прежде чем скачать сервер Многофакторной идентификации Azure, ознакомьтесь с требованиями к загрузке и высокой доступности. Используйте эти сведения, чтобы решить, как и где развернуть.

Хорошее руководство по объему необходимой памяти — это количество пользователей, которые вы ожидаете регулярно проходить проверку подлинности.

Необходимо ли настроить несколько серверов для обеспечения высокой доступности или балансировки нагрузки? Существует множество способов настройки этой конфигурации с помощью сервера Многофакторной идентификации Azure. При установке первого сервера Многофакторной идентификации Azure он становится главным. Все остальные серверы становятся подчиненными, а также автоматически синхронизируют пользователей и конфигурацию с главной службой. Затем можно настроить один первичный сервер и выполнить остальные действия в качестве резервного копирования или настроить балансировку нагрузки между всеми серверами.

Когда главный сервер Многофакторной идентификации Azure переходит в автономный режим, подчиненные серверы по-прежнему могут обрабатывать двухфакторные запросы на проверку подлинности. Однако вы не можете добавлять новых пользователей и существующих пользователей не могут обновлять свои параметры, пока главный пользователь не будет в сети или подчиненный будет повышен.

Подготовка среды

Убедитесь, что сервер, который вы используете для многофакторной проверки подлинности Azure, соответствует следующим требованиям.

¹Если сервер Многофакторной идентификации Azure не может активироваться на виртуальной машине Azure, работающей под управлением Windows Server 2019 или более поздней, попробуйте использовать более раннюю версию Windows Server.

Компоненты сервера Многофакторной идентификации Azure

Существует три веб-компонента, составляющие сервер Многофакторной идентификации Azure:

• Пакет SDK для веб-службы. Включает взаимодействие с другими компонентами и устанавливается на сервере приложений сервера многофакторной идентификации Azure.
• Пользовательский портал — веб-сайт службы IIS (IIS), позволяющий пользователям регистрироваться в многофакторной проверке подлинности Microsoft Entra и поддерживать свои учетные записи.
• Веб-служба мобильных приложений— включает использование мобильного приложения, например приложения Microsoft Authenticator для двухфакторной проверки подлинности.

Все три компонента можно установить на одном сервере, если сервер подключен к Интернету. При разрыве компонентов пакет SDK веб-службы устанавливается на сервере приложений многофакторной проверки подлинности Microsoft Entra, а портал пользователя и веб-служба мобильных приложений устанавливаются на сервере с подключением к Интернету.

Требования к брандмауэру сервера Многофакторной идентификации Azure

Каждый сервер MFA должен иметь возможность взаимодействовать через порт 443 исходящего трафика со следующими адресами:

• https://pfd.phonefactor.net
• https://pfd2.phonefactor.net
• https://css.phonefactor.net

Если исходящие брандмауэры ограничены через порт 443, откройте следующие диапазоны IP-адресов:

Если вы не используете функцию подтверждения событий, а пользователи не используют мобильные приложения для проверки с устройств в корпоративной сети, вам потребуется только следующие диапазоны:

Скачивание сервера MFA

Выполните следующие действия, чтобы скачать сервер Многофакторной идентификации Azure:

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.

2. Перейдите к параметрам сервера многофакторной проверки подлинности> защиты.>

3. Нажмите кнопку "Скачать " и следуйте инструкциям на странице скачивания, чтобы сохранить установщик.

   

4. Оставьте эту страницу открытой, так как мы будем ссылаться на нее после запуска установщика.

Установка и настройка сервера MFA

Теперь, когда вы скачали сервер, его можно установить и настроить. Убедитесь, что сервер, устанавливаемый на него, соответствует требованиям, указанным в разделе планирования.

1. Дважды щелкните исполняемый файл.
2. На экране выбора папки установки убедитесь, что папка правильна и нажмите кнопку "Далее". Установлены следующие библиотеки:
   • Распространяемый компонент Visual C++ для Visual Studio 2017 (x64)
   • Распространяемый компонент Visual C++ для Visual Studio 2017 (x86)
3. После завершения установки нажмите кнопку Готово. Запускается мастер настройки.
4. Вернитесь на страницу, из которую вы скачали сервер, нажмите кнопку "Создать учетные данные активации ". Скопируйте эти сведения на сервер Многофакторной идентификации Azure в указанных полях и нажмите кнопку "Активировать".

Отправка пользователям сообщения электронной почты

Чтобы упростить развертывание, разрешите серверу MFA взаимодействовать с пользователями. Сервер MFA может отправить сообщение электронной почты, чтобы сообщить им о том, что они были зарегистрированы для двухфакторной проверки подлинности.

Отправленное сообщение должно определяться способом настройки пользователей для двухфакторной проверки подлинности. Например, если вы можете импортировать номера телефонов из каталога компании, электронная почта должна содержать номера телефонов по умолчанию, чтобы пользователи знали, что ожидать. Если вы не импортируете номера телефонов или пользователи будут использовать мобильное приложение, отправьте им сообщение электронной почты, которое направляет их для завершения регистрации учетной записи. Добавьте гиперссылку на портал пользователя многофакторной проверки подлинности Azure в сообщение электронной почты.

Содержимое сообщения электронной почты также зависит от метода проверки, установленного для пользователя (телефонный звонок, SMS или мобильное приложение). Например, если пользователю требуется использовать ПИН-код при проверке подлинности, сообщение электронной почты сообщает ему, что было задано в качестве начального ПИН-кода. Пользователям необходимо изменить ПИН-код во время первой проверки.

Настройка шаблонов электронной почты и электронной почты

Щелкните значок электронной почты слева, чтобы настроить параметры для отправки этих сообщений. На этой странице можно ввести сведения о простом протоколе передачи почты (SMTP) почтового сервера и отправить сообщение электронной почты, установив флажок "Отправить сообщения электронной почты пользователям ".

На вкладке "Содержимое электронной почты" можно просмотреть шаблоны электронной почты, доступные для выбора. В зависимости от того, как вы настроили пользователей на двухфакторную проверку подлинности, выберите шаблон, который лучше всего подходит вам.

Импорт пользователей из Active Directory

Теперь, когда сервер установлен, вы хотите добавить пользователей. Вы можете создать их вручную, импортировать пользователей из Active Directory или настроить автоматическую синхронизацию с Active Directory.

Импорт вручную из Active Directory

1. В сервере Многофакторной идентификации Azure слева выберите "Пользователи".

2. В нижней части экрана выберите "Импорт из Active Directory".

3. Теперь вы можете выполнить поиск отдельных пользователей или выполнить поиск в Windows Server Active Directory для подразделений (OUS) с пользователями. В этом случае мы указываем подразделение пользователей.

4. Выделите всех пользователей справа и нажмите кнопку "Импорт". Вы должны получить всплывающее окно с сообщением о том, что вы были успешными. Закройте окно импорта.

   

Автоматическая синхронизация с Active Directory

1. В сервере Многофакторной идентификации Azure слева выберите "Интеграция каталогов".
2. Перейдите на вкладку "Синхронизация ".
3. В нижней части экрана нажмите кнопку "Добавить"
4. В поле "Добавить элемент синхронизации", который отображается, выберите домен, подразделение или группу безопасности, параметры, параметры, значения по умолчанию метода и язык по умолчанию для этой задачи синхронизации и нажмите кнопку "Добавить".
5. Установите флажок Включить синхронизацию с Active Directory и выберите интервал синхронизации между одной минутой и 24 часами.

Как сервер Многофакторной идентификации Azure обрабатывает пользовательские данные

При использовании локального сервера Многофакторной идентификации данные пользователя хранятся на локальных серверах. В облаке не хранятся данные постоянных пользователей. Когда пользователь выполняет двухфакторную проверку подлинности, сервер MFA отправляет данные в облачную службу многофакторной проверки подлинности Microsoft Entra для выполнения проверки. Когда эти запросы проверки подлинности отправляются в облачную службу, следующие поля отправляются в запросах и журналах, чтобы они были доступны в отчетах о проверке подлинности и использовании клиента. Некоторые поля являются необязательными, поэтому их можно включить или отключить на сервере Многофакторной идентификации. Обмен данными с сервера MFA в облачную службу MFA использует протокол SSL/TLS через исходящий порт 443. Эти поля:

• Уникальный идентификатор — имя пользователя или внутренний идентификатор сервера MFA
• Имя и фамилия (необязательно)
• Адрес электронной почты (необязательно)
• Номер телефона — при выполнении голосового звонка или проверки подлинности SMS
• Маркер устройства — при выполнении проверки подлинности мобильного приложения
• Режим проверки подлинности
• Результат проверки подлинности
• Имя сервера MFA
• IP-адрес сервера MFA
• IP-адрес клиента — если он доступен

Помимо указанных выше полей, результат проверки (успешность или отказ) и причина отказа также хранятся с данными проверки подлинности и доступны через отчеты о проверке подлинности и использовании.

Резервное копирование и восстановление сервера Многофакторной идентификации Azure

Убедитесь, что у вас есть хорошая резервная копия, это важный шаг, который необходимо предпринять с любой системой.

Чтобы создать резервную копию сервера Многофакторной идентификации Azure, убедитесь, что у вас есть копия папки C:\Program Files\Multi-Factor Authentication Server\Data , включая файл PhoneFactor.pfdata .

Если восстановление необходимо выполнить следующие действия:

1. Переустановите сервер Многофакторной идентификации Azure на новом сервере.
2. Активируйте новый сервер Многофакторной идентификации Azure.
3. Остановите службу MultiFactorAuth .
4. Перезапись PhoneFactor.pfdata с резервной копией.
5. Запустите службу MultiFactorAuth.

Теперь новый сервер работает и работает с исходной конфигурацией резервного копирования и пользовательскими данными.

Управление протоколами TLS/SSL и наборами шифров

После обновления до или установки сервера MFA версии 8.x или более поздней рекомендуется отключить или удалить более старые и слабые наборы шифров, если не требуется вашей организации. Сведения о том, как выполнить эту задачу, см. в статье об управлении протоколами SSL/TLS и наборами шифров для службы федерации Active Directory (AD FS) (AD FS).

Дальнейшие действия

• Настройте и настройте портал пользователя для самостоятельного обслуживания пользователей.
• Настройте и настройте сервер Многофакторной идентификации Azure с помощью службы федерации Active Directory, проверки подлинности RADIUS или протокола LDAP.
• Настройте и настройте шлюз удаленных рабочих столов и сервер Многофакторной идентификации Azure с помощью RADIUS.
• Разверните веб-службу мобильного приложения сервера Многофакторной идентификации Azure.
• Расширенные сценарии с многофакторной проверкой подлинности Azure и сторонними виртуальными сетями.