Это здесь: Azure MFA с проверкой подлинности RADIUS

Опубликовано: 6 Марта, 2023
Это здесь: Azure MFA с проверкой подлинности RADIUS

Вы спрашиваете, Microsoft прислушивается — особенно к своим корпоративным пользователям с большими деньгами. Недавно было объявлено, что Microsoft выпустила общедоступную предварительную версию расширения Network Policy Server (NPS) для поддержки Azure MFA. Это произошло после нескольких запросов от клиентов, которые хотят защитить свои локальные виртуальные частные сети с помощью Azure Active Directory с облачной службой многофакторной проверки подлинности Майкрософт и позволяют администраторам предприятий защищать свои виртуальные частные сети с помощью Azure MFA, не требуя отдельного сервера.

Знакомство с многофакторной идентификацией Azure

С многофакторной идентификацией Azure, решением Microsoft для двухэтапной проверки, доступ к защищенным данным предоставляется только с использованием как минимум двух методов доступа: что-то, что вы знаете (пароль), что-то, что у вас есть (доверенное устройство, брелок) или что-то еще. вы (биометрия):

Azure объясняет подробности своего решения MFA в этом видео Channel9:

Те, кто использует MFA в Azure, могут быть проверены с помощью телефонного звонка, текстового сообщения, уведомления мобильного приложения или кода подтверждения с мобильным приложением, а MFA доступен для Office 365, администраторов Azure или многофакторной проверки подлинности Azure с богатым набором возможностей, включая создание отчетов и поддержку широкого спектра локальных и облачных приложений.

Azure MFA предлагается в рамках MFA Server, локального решения или облачного решения MFA, поддерживаемого корпорацией Майкрософт. Хотя локальное решение — отличный вариант, переход в облако становится все более популярным из-за других полезных функций, таких как условный доступ и защита идентификации Azure AD.

Azure MFA с проверкой подлинности RADIUS

Тем, кто искал аутентификацию RADIUS — технологию, используемую Microsoft Forefront Threat Management Gateway для аутентификации исходящих запросов веб-прокси, входящих запросов к опубликованным веб-серверам и запросов VPN-клиентов, — теперь повезло. Облачные службы MFA могли иметь условный доступ и защиту идентификации Azure AD, но не аутентификацию RADIUS, если только они не развернули несколько серверов MFA локально. С этим объявлением приходят еще лучшие новости для тех, кто ищет облачную Azure MFA с проверкой подлинности RADIUS: поддержка теперь доступна без необходимости устанавливать локальное решение.

Расширение NPS позволяет использовать облачные возможности MFA с использованием существующих серверов NPS, которые поддерживают телефонные звонки, SMS или мобильные приложения MFA для существующего потока проверки подлинности без развертывания новых серверов.

Расширение NPS — это просто расширение. Вот шаги, предпринятые для аутентификации:

  1. Пользователь или VPN-клиент инициирует запрос аутентификации.
  2. Сервер NAS или VPN получает запрос от VPN-клиента и преобразует его в запросы RADIUS.
  3. Затем сервер NPS подключается к Active Directory для выполнения первичной проверки подлинности для запросов RADIUS и в случае успеха передает запрос всем установленным расширениям NPS.
  4. Расширение NPS инициирует запрос MFA к облачному MFA Azure для выполнения вторичного уровня проверки подлинности. Если он получает желаемый ответ, запрос проверки подлинности завершается, и на сервер NPS передаются маркеры безопасности, которые включают утверждение MFA, выданное службой маркеров безопасности Azure (STS).
  5. Azure MFA взаимодействует с Azure AD для получения сведений о пользователе и выполняет вторичную проверку подлинности с помощью метода проверки, настроенного для пользователя.

Начало работы с Azure MFA с проверкой подлинности RADIUS

Эту новую функцию легко развернуть в Azure — просто скачайте расширение NPS для Azure MFA из Центра загрузки Майкрософт. Запустите пакет установки и сценарий PowerShell, который свяжет расширение с вашим арендатором. Затем настройте клиент RADIUS для аутентификации через сервер NPS.

Кто может его использовать?

Новый вариант доступен всем, у кого есть лицензии на Azure MFA. Если вы не уверены, что это вы, вам потребуется подписка на Azure AD Premium, EMS или MFA. Вам также потребуется поддерживать серверную инфраструктуру с Windows Server 2008 R2 SP1 или более поздней версии с включенным компонентом NPS.

Пользователи должны быть синхронизированы с Azure Active Directory с помощью Azure AD Connect и зарегистрированы для MFA.

Цель Microsoft ясна: Microsoft Azure AD становится все ближе к службе «Плоскость управления идентификацией», которая гарантирует, что организации имеют правильный тип облачного/локального доступа, который соответствует их строгим стандартам соответствия и безопасности.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023