远程身份验证拨入用户服务(RADIUS)是一种网络协议,它通过启用拨入用户的集中式身份验证和授权来保护网络。 许多应用程序仍依赖于 RADIUS 协议对用户进行身份验证。
Microsoft Windows Server具有称为“网络策略服务器”(NPS)的角色,该服务器可以充当 RADIUS 服务器并支持 RADIUS 身份验证。
Microsoft Entra ID支持使用基于 RADIUS 的系统进行多重身份验证。 如果客户想要将Microsoft Entra多重身份验证应用到上述任何 RADIUS 工作负载,他们可以在其Windows NPS 服务器上安装Microsoft Entra多重身份验证 NPS 扩展。
Windows NPS 服务器根据Active Directory对用户的凭据进行身份验证,然后将多重身份验证请求发送到Azure。 然后,用户在其移动验证器上收到质询。 成功后,允许客户端应用程序连接到服务。
在以下情况下使用:
需要向应用程序添加多重身份验证,例如
- 虚拟专用网络 (VPN)
- 无线网络访问
- 远程桌面网关(RDG)
- 虚拟桌面基础结构 (VDI)
- 任何其他依赖于 RADIUS 协议进行用户身份验证的服务。
注释
建议将 VPN 升级到安全断言标记语言(SAML),并直接将 VPN 与 Microsoft Entra ID 联合,而不是依赖于 RADIUS 和 Microsoft Entra 多重身份验证 NPS 扩展来为 VPN 工作负载应用 Microsoft Entra 多重身份验证。 这为 VPN 提供了Microsoft Entra ID Protection的完整范围,包括条件访问、多重身份验证、设备符合性。
系统的组件
客户端应用程序(VPN 客户端): 将身份验证请求发送到 RADIUS 客户端。
RADIUS 客户端:转换来自客户端应用程序的请求,并将其发送到安装了 NPS 扩展的 RADIUS 服务器。
RADIUS server: 使用 Active Directory 进行连接,以执行 RADIUS 请求的主身份验证。 成功后,将请求传递给Microsoft Entra多重身份验证 NPS 扩展。
NPS 扩展:触发对 Microsoft Entra 多重身份验证的辅助身份验证请求。 如果成功,NPS 扩展会通过向 RADIUS 服务器提供由 Azure 的安全令牌服务颁发的多重身份验证声明的安全令牌,来完成身份验证请求。
Microsoft Entra多重身份验证:与Microsoft Entra ID通信,以检索用户的详细信息,并使用用户配置的验证方法执行辅助身份验证。
使用 Microsoft Entra ID 实现 RADIUS
使用 NPS 提供 Microsoft Entra 的多重身份验证功能