使用 Microsoft Entra ID 进行 RADIUS 身份验证

远程身份验证拨入用户服务 (RADIUS) 是一种网络协议,通过对拨入用户启用集中式身份验证和授权来保护网络。 许多应用程序仍然依赖于 RADIUS 协议来对用户进行身份验证。

Microsoft Windows Server 具有名为网络策略服务器 (NPS) 的角色,该角色可充当 RADIUS 服务器并支持 RADIUS 身份验证。

Microsoft Entra ID 支持使用基于 RADIUS 的系统进行多重身份验证。 如果客户想要将 Microsoft Entra 多重身份验证应用到前面提到的任何 RADIUS 工作负载,则他们可以在其 Windows NPS 服务器上安装 Microsoft Entra 多重身份验证 NPS 扩展。

Windows NPS 服务器会根据 Active Directory 对用户的凭据进行身份验证,然后将多重身份验证请求发送到 Azure。 然后,用户在其移动身份验证器上收到质询。 成功后,将允许客户端应用程序连接到该服务。

何时使用:

需要向某些应用程序添加多重身份验证,如

  • 虚拟专用网络 (VPN)
  • WiFi 访问
  • 远程桌面网关 (RDG)
  • 虚拟桌面基础结构 (VDI)
  • 依赖于 RADIUS 协议对服务中的用户进行身份验证的任何其他应用程序。

注意

建议将 VPN 升级为安全断言标记语言 (SAML),并使用 Microsoft Entra ID 直接联合 VPN,而不是依靠 RADIUS 和 Microsoft Entra 多重身份验证 NPS 扩展将 Microsoft Entra 多重身份验证应用于 VPN 工作负载。 这为你的 VPN 提供了全面的 Microsoft Entra ID 保护,包括条件访问、多重身份验证、设备合规性。

体系结构图

系统的组件

  • 客户端应用程序 (VPN 客户端) :向 RADIUS 客户端发送身份验证请求。

  • RADIUS 客户端:转换来自客户端应用程序的请求,并将其发送到安装了 NPS 扩展的 RADIUS 服务器。

  • RADIUS 服务器:连接 Active Directory 以执行 RADIUS 请求的主要身份验证。 成功后,会将请求传递到 Microsoft Entra 多重身份验证 NPS 扩展。

  • NPS 扩展触发一个 Microsoft Entra 多重身份验证请求来执行辅助身份验证。 如果成功,NPS 扩展将向 RADIUS 服务器提供包含由 Azure 的安全令牌服务颁发的安全令牌(其中包含多重身份验证声明),从而完成身份验证请求。

  • Microsoft Entra 多重身份验证:与 Microsoft Entra ID 通信来检索用户的详细信息,并使用配置给用户的验证方法执行辅助身份验证。

使用 Microsoft Entra ID 实现 RADIUS