Die Azure MFA NPS-Erweiterung verbessert die Authentifizierungsfunktionen

Ihre traditionelle RADIUS-Infrastruktur kann mit Unterstützung der Cloud ein neues Leben und eine erweiterte Multi-Faktor-Authentifizierungsfunktion erhalten.

Microsoft bietet über seinen Azure-Dienst die Multi-Faktor-Authentifizierung (MFA) mit der Flexibilität, dass Unternehmen sie sowohl in Cloud-Diensten als auch in der lokalen Infrastruktur verwenden können. Für Unternehmen, die Cloud-basierte MFA-Funktionen innerhalb der lokalen Infrastruktur benötigen, bietet Microsoft eine NPS-Erweiterung (Network Policy Server) an. Diese Funktion fungiert als Adapter zwischen Azure Active Directory (AD) MFA und dem Einwählbenutzerdienst für die Remote-Authentifizierung (RADIUS) Anfragen. Die Azure MFA NPS-Erweiterung stellt Telefonanrufe, Textnachrichten oder App-Überprüfungsdienste direkt für den Organisationsauthentifizierungsablauf bereit, ohne dass ein neuer lokaler Server erforderlich ist. Diese Anordnung bringt Authentifizierungsverbesserungen für das vorhandene Framework mit sich, aber es gibt einige Einschränkungen beim Verbinden dieser Infrastruktur mit der Cloud.

Voraussetzungen und Kosten für die Azure MFA NPS-Erweiterung

Azure MFA verknüpft die zweite Faktoranforderung entweder mit einem Cloud-Konto oder einem synchronisierten Konto in Azure AD. Obwohl die NPS-Erweiterung einfach zu verwenden und zu implementieren ist, erweitert sie die Azure MFA-Funktionen direkt auf Dienste wie Microsoft Remote Desktop oder VPNs. Der Authentifizierungsmechanismus wurde geändert, um die Autorisierung mithilfe einer mobilen Authentifizierungs-App zu unterstützen.
Für die Verwendung der NPS-Erweiterung für Azure AD MFA ist Folgendes erforderlich: korrekte Lizenzierung. Die Funktion steht Organisationen mit Lizenzen für Azure MFA zur Verfügung, die über Azure AD Premium, Enterprise Mobility and Security oder eine eigenständige MFA-Lizenz verfügbar sind.
Verbrauchsbasierte Lizenzen, z. B. pro Benutzer oder pro Authentifizierung, für Azure MFA sind nicht mit der NPS-Erweiterung kompatibel. Unternehmen können die NPS-Erweiterung nicht mit der kostenlosen Azure AD-Schicht oder Office 365 / Microsoft 365 Apps-Lizenzen verwenden. Microsoft berechnet Azure MFA monatlich pro Benutzer oder pro Gerät. Wenn ein Unternehmen andere Lizenzen verwendet, die nicht pro Benutzer oder Gerät gelten, fallen keine zusätzlichen Kosten an.

Auf den lokalen Servern muss Windows Server 2012 oder höher ausgeführt werden, um mit der NPS-Erweiterung arbeiten zu können. Administratoren müssen das Visual C ++ Redistributable-Paket und das Azure AD PowerShell-Modul installieren, um die Konfiguration der NPS-Erweiterung abzuschließen. Der NPS benötigt einen Internetzugang und muss über die Ports 80 und 443 eine Verbindung zu den folgenden URLs herstellen können:
Benutzer, die sich für MFA auf die NPS-Erweiterung verlassen, müssen über Azure AD Connect mit Azure AD synchronisiert werden. Die Implementierung der NPS-Erweiterung erfordert auch die gesamte Authentifizierung, um MFA verwenden zu können.

Warum sollten Sie Azure MFA und keine Plattform eines Drittanbieters verwenden?

Es gibt viele andere MFA-Anbieter und verfügbare Plattformen, die ähnliche Authentifizierungsfunktionen bieten. Viele der anderen Plattformen erfordern noch eine Azure MFA-Lizenzierung und eine spezifische Produkt- oder Plattformlizenzierung. Die meisten modernen Plattformen von Drittanbietern unterstützen jetzt die Implementierung des bedingten Zugriffs im Vergleich zur direkten Benutzerkonfiguration, erfordern jedoch auch eine doppelte Lizenzierung.
Der Vorteil eines Drittanbieters besteht häufig in einer besseren Unterstützung für andere Dienste und Anwendungen, einer Unterstützung für verschiedene Betriebssysteme und Anwendungen sowie einer besseren Unterstützung für einmaliges Anmelden und einer besseren Endbenutzererfahrung.
Die Hauptvorteile der Verwendung der NPS-Erweiterung sind, dass MFA mit einer einzigen Lizenz arbeitet und der Betriebssystemserver die erforderlichen Rollen enthält.

Faktoren, die bei der Bereitstellung der Azure MFA NPS-Erweiterung berücksichtigt werden müssen

Abhängig von der Bereitstellungsgröße der NPS-Erweiterung können Organisationen entweder dedizierte NPS verwenden oder einen vorhandenen Server wiederverwenden. Die meisten gängigen Bereitstellungen verwenden einen vorhandenen NPS, der möglicherweise bereits als VPN-Server für die Installation der NPS-Erweiterung fungiert. Nach der Bereitstellung vermittelt die NPS-Erweiterung die Verbindung zwischen lokal und der Cloud. Die Endbenutzerautorisierung fließt für den zweiten Faktor an den primären Authentifikator, z. B. lokales Active Directory, und dann direkt an den Azure MFA-Dienst.
Zwei Hauptfaktoren wirken sich auf die Authentifizierungsmethoden aus, die in der NPS-Erweiterungsbereitstellung verfügbar sind. Der erste ist der ausgewählte Kennwortalgorithmus, der zwischen dem RADIUS-Client, z. B. dem VPN-Client, verwendet wird, und der zweite ist die ausgewählte Eingabemethode für die Überprüfung des zweiten Faktors.
Die NPS-Erweiterung unterstützt derzeit mehrere Kennwortalgorithmen: Kennwortauthentifizierungsprotokoll (PAP), Challenge-Handshake-Authentifizierungsprotokoll Version 2 (CHAPV2) und erweiterbares Authentifizierungsprotokoll (EAP). PAP unterstützt alle Authentifizierungsmethoden in Azure AD MFA: Telefonanruf, Einweg-Textnachricht, Benachrichtigung über mobile Apps, Hardware-Token für offene Authentifizierung und Bestätigungscode für mobile Apps. CHAPV2 und EAP unterstützen nur Telefonanrufe und Benachrichtigungen für mobile Apps.

Wo kann man suchen, wenn Probleme auftreten?

Wenn bei der NPS-Erweiterung ein Fehler auftritt, kann dies den gesamten Authentifizierungs- und Autorisierungsprozess beeinträchtigen. Einige häufige Probleme, die in vielen NPS-Erweiterungsimplementierungen auftreten, betreffen Sicherheitstokenfehler, fehlgeschlagene Authentifizierung und sogar ungültige Zertifikate.
Wenn ein Fehler auftritt, starten Sie den NPS neu und führen Sie Überprüfungstests durch, um zu überprüfen, ob das System wie erwartet funktioniert: Überprüfen Sie die Zertifikate, überprüfen Sie die Azure AD Connect-Kontosynchronisierung und den NPS-Internetzugang.
Protokolle in der Ereignisanzeige, insbesondere in der AzureMFA Ereignisliste, helfen Sie Administratoren bei der Fehlerbehebung. Fehlerdetails sind auch in der Option Benutzerdefinierte Ansichten der Ereignisprotokolle für Netzwerkrichtlinien und Zugriffsdienste verfügbar.
Die NPS-Erweiterung unterstützt keine Änderungen des Kennworts des Endbenutzers als Teil des Anmelde-Workflows. Dies ist zwar technisch gesehen kein Problem, kann jedoch zu Supportproblemen für das IT-Team führen.

Was passiert, wenn ein Azure Service-Ausfall auftritt?

Ausfälle sind häufige Probleme für Unternehmen, die auf einen Cloud-Service angewiesen sind. Was passiert, wenn unerwartete Ausfallzeiten auftreten?
Bei einer Implementierung der NPS-Erweiterung und von Azure MFA können Endbenutzer die erforderliche Überprüfung des zweiten Faktors nicht abschließen. Die Auswirkungen dieses Ausfalls können je nach Verwendung und Implementierung massiv oder relativ gering sein. Beispielsweise könnte es auf den VPN-Zugriff auf das Netzwerk beschränkt sein. Dies könnte einen Administrator daran hindern, Remotedesktop für den Zugriff auf lokale Server zu verwenden. Es könnte die Verwendung aller Cloud-Dienste wie Microsoft 365 blockieren.
Administratoren können versuchen, dieses Problem mit Konfigurationsänderungen zu beheben, wenn der Fehler auftritt. Das Aktivieren von MFA für das Konto ist eine Cloud-Anpassung, die aufgrund des Ausfalls möglicherweise nicht funktioniert. Ein einfacher Ansatz besteht darin, sicherzustellen, dass Sicherheitsgruppen die Verwendung von MFA erzwingen. Die IT kann Benutzer hinzufügen oder entfernen, für die die Durchsetzung des zweiten Faktors erforderlich ist, und dann eine andere Gruppe verwenden, für die bei einem Cloud-Ausfall kein zweiter Faktor erforderlich ist. Eine weitere Option besteht darin, zwei NPS einzurichten – einen mit der Azure MFA-Erweiterung und einen ohne -, um bei Bedarf einen Austausch durchzuführen.

Leave a Reply