- Article
- 22 minutes de lecture
L'extension NPS (Network Policy Server) d'Azure AD Multi-Factor Authentication permet d'ajouter des fonctionnalités MFA basées sur le cloud à votre infrastructure d'authentification à l'aide de vos serveurs existants. Avec l’extension NPS, vous pouvez ajouter des vérifications basées sur des appels téléphoniques, des SMS ou des applications mobiles à votre flux d’authentification existant sans avoir à installer, configurer et gérer les nouveaux serveurs.
L'extension NPS joue un rôle d'adaptateur entre RADIUS et la fonctionnalité Azure AD Multi-Factor Authentication basée sur le cloud pour fournir un second facteur d'authentification aux utilisateurs fédérés ou synchronisés.
Fonctionnement de l’extension NPS
Lorsque vous utilisez l'extension NPS pour Azure AD Multi-Factor Authentication, le flux d'authentification inclut les composants suivants:
- Le serveur NAS/VPN reçoit les demandes des clients VPN et les convertit en demandes RADIUS à des serveurs NPS.
- Le serveur NPS se connecte à Active Directory Domain Services (AD DS) afin de procéder à l’authentification principale pour les requêtes RADIUS et, en cas de réussite, transmet la requête à toutes les extensions installées.
- L'extension NPS déclenche une requête destinée à Azure AD Multi-Factor Authentication pour l'authentification secondaire. Une fois que l’extension reçoit la réponse, et si la demande MFA réussit, elle termine la demande d’authentification en fournissant au serveur NPS des jetons de sécurité qui incluent une revendication MFA, émise par Azure STS.
Notes
Les utilisateurs doivent avoir accès à leur méthode d’authentification par défaut pour terminer l’exigence MFA. Ils ne peuvent pas choisir une autre méthode. Leur méthode d’authentification par défaut sera utilisée même si elle a été désactivée dans les méthodes d’authentification du locataire et les stratégies MFA.
- Azure AD MFA communique avec Azure Active Directory (Azure AD) pour récupérer les informations de l'utilisateur, et procède à l'authentification secondaire à l'aide d'une méthode de vérification configurée par l'utilisateur.
Le diagramme suivant illustre ce flux de demande d’authentification de niveau supérieur:
Comportement du protocole RADIUS et extension NPS
RADIUS étant un protocole UDP, l’expéditeur suppose une perte de paquet et attend une réponse. Après un certain laps de temps, la connexion peut expirer. Dans ce cas, le paquet est renvoyé lorsque l’expéditeur part du principe que le paquet n’a pas atteint la destination. Dans le scénario d’authentification de cet article, les serveurs VPN envoient la requête et attendent une réponse. Si la connexion expire, le serveur VPN renvoie la requête.
Le serveur NPS peut ne pas répondre à la requête d’origine du serveur VPN avant l’expiration de la connexion, car il se peut que la requête MFA soit encore en cours de traitement. L'utilisateur n'ayant peut-être pas répondu à l'invite MFA, l'extension NPS d'Azure AD Multi-Factor Authentication attend la fin de cet événement. Dans ce cas, le serveur NPS identifie les requêtes de serveur VPN supplémentaires comme des requêtes dupliquées. Le serveur NPS ignore ces requêtes de serveur VPN dupliquées.
Si vous examinez les journaux du serveur NPS, vous pouvez constater que ces requêtes supplémentaires sont ignorées. Ce comportement est normal, et destiné à empêcher que l’utilisateur final reçoive plusieurs requêtes pour une même tentative d’authentification. Les requêtes ignorées dans le journal des événements du serveur NPS ne signifient pas qu'il y a un problème au niveau du serveur NPS ou de l'extension NPS d'Azure AD Multi-Factor Authentication.
Pour réduire le nombre de requêtes ignorées, nous recommandons de configurer les serveurs VPN avec un délai d’expiration d’au moins 60secondes. Si nécessaire, ou afin de réduire le nombre de requêtes ignorées dans les journaux des événements, vous pouvez augmenter la valeur du délai d’attente du serveur VPN à 90 ou 120secondes.
En raison de ce comportement de protocole UDP, le serveur NPS pourrait recevoir une requête dupliquée et envoyer une autre invite MFA, même après que l’utilisateur a déjà répondu à la requête initiale. Pour éviter cette condition, l'extension NPS d'Azure AD Multi-Factor Authentication continue de filtrer et d'ignorer les requêtes dupliquées pendant 10secondes après l'envoi d'une réponse de succès au serveur VPN.
Là encore, vous pouvez constater la présence de requêtes rejetées dans les journaux des événements du serveur NPS, même lorsque l'invite Azure AD Multi-Factor Authentication a abouti. Ce comportement est attendu et ne signifie pas qu'il y a un problème au niveau du serveur NPS ou de l'extension NPS d'Azure AD Multi-Factor Authentication.
Planifier votre déploiement
L’extension NPS gère automatiquement la redondance, vous n’avez pas besoin d’une configuration spéciale.
Vous pouvez créer autant de serveurs NPS compatibles avec Azure AD Multi-Factor Authentication que vous le souhaitez. Si vous installez plusieurs serveurs, vous devez utiliser un certificat client différent pour chacun d'entre eux. La création d’un certificat pour chaque serveur signifie que vous pouvez mettre à jour chaque certificat individuellement et que vous n’avez pas à craindre une interruption de service sur tous vos serveurs.
Comme les serveurs VPN routent les requêtes d'authentification, ils doivent connaître les nouveaux serveurs NPS compatibles avec Azure AD Multi-Factor Authentication.
Prérequis
L’extension NPS est conçue pour fonctionner avec votre infrastructure existante. Vérifiez que les conditions préalables suivantes sont remplies avant de commencer.
Licences
L’extension NPS pour Azure AD Multi-Factor Authentication est disponible pour les clients disposant de licences Azure AD Multi-Factor Authentication (incluses avec Azure AD Premium P1/P2 et Enterprise Mobility + Security). Les licences Azure AD Multi-Factor Authentication basées sur la consommation, telles que les licences par utilisateur ou par authentification, ne sont pas compatibles avec l'extension NPS.
Logiciel
Windows Server2012 ou version ultérieure
Bibliothèques
Vous devez installer manuellement la bibliothèque suivante:
- Package redistribuable Visual C++ pour Visual Studio 2015
Les bibliothèques suivantes sont installées automatiquement avec l’extension.
- Visual C++ Redistributable Packages pour Visual Studio 2013 (X64)
- Module Microsoft Azure Active Directory pour Windows PowerShell version 1.1.166.0
Le module Microsoft Azure Active Directory pour Windows PowerShell, s’il n’est pas présent, est également installé par le biais d’un script de configuration que vous exécutez dans le cadre du processus de configuration. Il est inutile d’installer ce module en avance s’il n’est pas déjà installé.
Azure Active Directory
Tous les utilisateurs de l’extension NPS doivent être synchronisés avec Azure AD à l’aide d’Azure AD Connect et doivent être inscrits pour l’authentification MFA.
Lorsque vous installez l’extension, vous devez disposer de l’ID de locataire et des informations d’identification de l’administrateur pour votre locataire AzureAD. Pour obtenir l’ID locataire, suivez ces étapes :
Connectez-vous au portail Azure en tant qu’administrateur général du client Azure.
Recherchez et sélectionnez Azure Active Directory.
Dans la page Vue d’ensemble, les Informations du locataire sont affichées. À côté de l’ID locataire, sélectionnez l’icône Copier, comme indiqué dans la capture d’écran de l’exemple suivant :
See AlsoFAQs for hybrid FIDO2 security key deployment - Microsoft EntraAzure AD Connect cloud sync troubleshooting - Microsoft EntraUse Azure AD Multi-Factor Authentication with NPS - Microsoft EntraUse Azure AD Multi-Factor Authentication with NPS - Microsoft Entra
Configuration requise pour le réseau
Le serveur NPS doit pouvoir communiquer avec les URL suivantes sur le port TCP443 :
https:\//login.microsoftonline.comhttps:\//credentials.azure.com
En outre, la connectivité aux adresses URL suivantes est nécessaire pour terminer la configuration de l’adaptateur à l’aide du script PowerShell fourni:
https:\//login.microsoftonline.comhttps:\//provisioningapi.microsoftonline.comhttps:\//aadcdn.msauth.nethttps:\//www.powershellgallery.comhttps:\//go.microsoft.comhttps:\//aadcdn.msftauthimages.net
Préparation de votre environnement
Avant d’installer l’extension NPS, préparez votre environnement pour qu’il gère le trafic d’authentification.
Activer le rôle NPS sur un serveur joint à un domaine
Le serveur NPS se connecte à Azure AD et authentifie les requêtes MFA. Choisissez un serveur pour ce rôle. Nous vous recommandons de choisir un serveur qui ne gère pas les demandes provenant d’autres services, car l’extension NPS génère des erreurs pour toutes les demandes qui ne sont pas RADIUS. Vous devez configurer le serveur NPS en tant que serveur d’authentification principal et secondaire pour votre environnement. Il ne peut pas servir de proxy pour les requêtes RADIUS vers un autre serveur.
- Sur votre serveur, ouvrez Gestionnaire de serveur. Sélectionnez Assistant Ajout de rôles et de fonctionnalités dans le menu Démarrage rapide.
- Choisissez Installation basée sur un rôle ou une fonctionnalité comme type d’installation.
- Sélectionnez le rôle de serveur Services de stratégie et d’accès réseau. Une fenêtre peut s’afficher pour vous informer des fonctionnalités supplémentaires requises pour exécuter ce rôle.
- Suivez les instructions de l’Assistant jusqu’à la page Confirmation. Quand vous êtes prêt, sélectionnez Installer.
L’installation du rôle serveur NPS peut prendre quelques minutes. Une fois terminé, poursuivez avec les sections suivantes pour configurer ce serveur afin qu’il gère les requêtes RADIUS entrantes en provenance de la solution VPN.
Configurer votre solution VPN pour communiquer avec le serveur NPS
En fonction de la solution VPN utilisée, la procédure servant à configurer votre stratégie d’authentification RADIUS n’est pas la même. Configurez votre stratégie VPN pour qu’elle pointe vers votre serveur NPS RADIUS.
Synchronisation des utilisateurs de domaine dans le cloud
Même si cette étape peut déjà avoir été effectuée sur votre client, il est judicieux de vérifier qu’Azure AD Connect a récemment synchronisé vos bases de données.
- Connectez-vous au portail Azure en tant qu’administrateur.
- Sélectionnez Azure Active Directory>Connexion Azure AD
- Vérifiez que votre état de synchronisation est Activée et que la dernière synchronisation a eu lieu il y a moins d’une heure.
Si vous avez besoin de lancer un nouveau cycle de synchronisation, consultez Synchronisation d’Azure AD Connect: Planificateur de synchronisation Azure AD Connect.
Déterminer les méthodes d’authentification que vos utilisateurs peuvent employer
Il existe deux facteurs qui affectent les méthodes d’authentification disponibles avec un déploiement d’extension NPS:
L’algorithme de chiffrement de mot de passe utilisé entre le client RADIUS (VPN, Netscaler server ou autre) et les serveurs NPS.
- PAP prend en charge toutes les méthodes d'authentification d'Azure AD Multi-Factor Authentication dans le cloud: appel téléphonique, message texte à sens unique, notification d'application mobile, jetons matériels OATH et code de vérification d'application mobile.
- CHAPv2 et EAP prennent en charge l’appel téléphonique et la notification d’application mobile.
Les méthodes d’entrée que l’application cliente (VPN, Netscaler server ou autre) peut gérer. Par exemple, le client VPN dispose-t-il de moyens permettant d’autoriser l’utilisateur à taper un code de vérification à partir d’un texte ou d’une application mobile?
Vous pouvez désactiver les méthodes d’authentification non prises en charge dans Azure.
Notes
Quel que soit le protocole d’authentification utilisé (PAP, CHAP ou EAP), si vous optez pour une méthode MFA textuelle (SMS, code de vérification d’application mobile ou module de sécurité matériel OAuth) invitant l’utilisateur à entrer un code ou du texte dans le champ d’entrée de l’interface utilisateur du client VPN, il est possible que l’authentification réussisse. Toutefois, les attributs RADIUS configurés dans la stratégie d’accès réseau ne sont pas transférés au client RADIUS (l’appareil d’accès réseau, comme la passerelle VPN). Par conséquent, le client VPN pourrait disposer d’un niveau d’accès différent du niveau attendu (supérieur, inférieur ou inexistant).
En guise de solution de contournement, vous pouvez exécuter le script CrpUsernameStuffing pour transférer les attributs RADIUS configurés dans la stratégie d’accès réseau et autoriser l’authentification MFA lorsque la méthode d’authentification de l’utilisateur requiert l’utilisation d’un code secret à usage unique (OTP), comme un SMS, un code secret Microsoft Authenticator ou un FOB matériel.
Inscrire des utilisateurs pour l’authentification MFA
Avant de déployer et d'utiliser l'extension NPS, les utilisateurs soumis à Azure AD Multi-Factor Authentication doivent être inscrits pour l'authentification MFA. Pour tester l'extension lorsque vous la déployez, il vous faut également au moins un compte de test entièrement inscrit pour Azure AD Multi-Factor Authentication.
Si vous devez créer et configurer un compte de test, effectuez les étapes suivantes:
- Connectez-vous à https://aka.ms/mfasetup avec un compte de test.
- Suivez les instructions pour configurer une méthode de vérification.
- Dans le portail Azure en tant qu’utilisateur administrateur, créez une stratégie d’accès conditionnel afin d’exiger l’authentification multifacteur pour le compte de test.
Important
Vérifiez que les utilisateurs sont bien inscrits à Azure AD Multi-Factor Authentication. S’ils ne disposent que d’une inscription à la réinitialisation de mot de passe en libre-service (SSPR), StrongAuthenticationMethods est activé pour leur compte. Azure AD Multi-Factor Authentication est appliqué lorsque StrongAuthenticationMethods est configuré, même avec une simple inscription à SSPR.
L'inscription de sécurité combinée peut être activée pour configurer la réinitialisation SSPR et Azure AD Multi-Factor Authentication en même temps. Pour plus d’informations, consultez Activation de l’inscription combinée des informations de sécurité dans Azure Active Directory.
Vous pouvez également obliger les utilisateurs à se réinscrire à certaines méthodes d’authentification s’ils n’avaient activé que SSPR.
Les utilisateurs qui se connectent au serveur NPS à l’aide du nom d’utilisateur et du mot de passe doivent effectuer une invite d’authentification multi-facteur.
Installer l’extension NPS
Important
Installez l’extension NPS sur un serveur autre que le point d’accès VPN.
Télécharger et installer l'extension NPS d'Azure AD MFA
Pour télécharger et installer l’extension NPS, effectuez les étapes suivantes:
- Téléchargez l’extension NPS à partir du Centre de téléchargement Microsoft.
- Copiez le fichier binaire sur le serveur NPS (Network Policy Server) que vous souhaitez configurer.
- Exécutez le fichier setup.exe et suivez les instructions d’installation. Si vous rencontrez des erreurs, vérifiez que les bibliothèques de la section Prérequis ont été installées avec succès.
Mettre à niveau l’extension NPS
Si vous effectuez ultérieurement la mise à niveau d’une extension NPS existante, effectuez les étapes suivantespour éviter la réinitialisation du serveur sous-jacent:
- Désinstallez la version existante.
- Exécutez le nouveau programme d’installation.
- Redémarrez le service Network Policy Server (IAS) .
Exécution du script PowerShell
Le programme d’installation crée un script PowerShell à C:\Program Files\Microsoft\AzureMfa\Config (où C:\ est le lecteur d’installation). Ce script PowerShell effectue les opérations suivantes à chaque exécution:
- Crée un certificat auto-signé
- Associe la clé publique du certificat au principal du service sur Azure AD
- Stocke le certificat dans le magasin de certificats de la machine locale
- Accorde à l’utilisateur réseau un accès à la clé privée du certificat
- Redémarre le service NPS
À moins que vous ne souhaitiez utiliser vos propres certificats (au lieu des certificats auto-signés générés par le script PowerShell), exécutez le script PowerShell pour terminer l’installation de l’extension NPS. Si vous installez l’extension sur plusieurs serveurs, chacun d’eux doit avoir son propre certificat.
Pour fournir des fonctionnalités d’équilibrage de charge ou de redondance, répétez ces étapes sur d’autres serveurs NPS en fonction de vos besoins:
Ouvrez une invite Windows PowerShell en tant qu’administrateur.
Accédez au répertoire dans lequel le programme d’installation a créé le script PowerShell:
cd "C:\Program Files\Microsoft\AzureMfa\Config"Exécutez le script PowerShell créé par le programme d’installation.
Vous devrez peut-être d’abord activer le protocoleTLS1.2 pour que PowerShell puisse se connecter et télécharger les packages correctement:
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12Important
Pour les clients qui utilisent les clouds Azure Government ou Azure China 21Vianet, commencez par modifier les cmdlets
Connect-MsolServicedans le script AzureMfaNpsExtnConfigSetup.ps1 pour inclure les paramètres AzureEnvironment pour le cloud requis. Par exemple, spécifiez -AzureEnvironment USGovernment ou -AzureEnvironment AzureChinaCloud.Pour plus d’informations, consultez Référence du paramètre Connect-MsolService.
.\AzureMfaNpsExtnConfigSetup.ps1À l’invite, connectez-vous à Azure AD en tant qu’administrateur.
PowerShell vous invite à entrer votre ID client. Utilisez l’ID de locataire que vous avez copié à partir du portail Azure dans la section Configuration requise.
Un message de réussite s’affiche lorsque le script est terminé.
Si votre certificat d’ordinateur précédent est arrivé à expiration, et qu’un nouveau certificat a été généré, vous devez supprimer tous les certificats arrivés à expiration. En effet, des certificats arrivés à expiration peuvent provoquer des problèmes lors du démarrage de l’extension NPS.
Notes
Si vous utilisez vos propres certificats au lieu de générer des certificats avec le script PowerShell, vous devez veiller à ce qu’ils respectent la convention de nommage du serveur NPS. Le nom de l’objet doit être CN=<ID_locataire>,OU= Extension NPS Microsoft.
Étapes supplémentaires pour Microsoft Azure Government ou Azure Chine
Pour les clients qui utilisent les clouds Azure Government ou Azure Chine, les étapes de configuration supplémentaires suivantes sont requises sur chaque serveurNPS.
Important
Configurez ces paramètres de registre uniquement si vous êtes un client Azure Government ou Azure Chine.
Si vous êtes un client Azure Government ou Azure Chine, ouvrez l’Éditeur du Registre sur le serveurNPS.
Accédez à
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.Pour les clients Azure Government, définissez les valeurs de clés suivantes:
Clé de Registre Valeur AZURE_MFA_HOSTNAME strongauthenticationservice.auth.microsoft.us AZURE_MFA_RESOURCE_HOSTNAME adnotifications.windowsazure.us STS_URL https://login.microsoftonline.us/ Pour les clients Azure Chine, définissez les valeurs de clés suivantes:
Clé de Registre Valeur AZURE_MFA_HOSTNAME strongauthenticationservice.auth.microsoft.cn AZURE_MFA_RESOURCE_HOSTNAME adnotifications.windowsazure.cn STS_URL https://login.chinacloudapi.cn/ Répétez les deux étapes précédentes afin de définir les valeurs de clé de Registre pour chaque serveur NPS.
Redémarrez le service NPS pour chaque serveur NPS.
Pour un impact minimal, retirez un par un les différents serveurs NPS de la rotation NLB (équilibrage de la charge réseau) et attendez que toutes les connexions soient drainées.
Substitution de certificat
Dans la version 1.0.1.32 de l’extension NPS, la lecture de plusieurs certificats est désormais prise en charge. Cette fonctionnalité contribue à faciliter la propagation des mises à jour de certificats avant leur arrivée à expiration. Si votre organisation exécute une version antérieure de l’extension NPS, mettez-la à niveau vers la version1.0.1.32 ou ultérieure.
Les certificats créés par le script AzureMfaNpsExtnConfigSetup.ps1 sont valides pendant 2 ans. Supervisez l’expiration des certificats. Les certificats de l’extension NPS sont placés dans le magasin de certificats de l’Ordinateur local sous Personnel, et sont Envoyés à l’ID de locataire fourni au script d’installation.
Lorsque la date d’expiration d’un certificat approche, un nouveau certificat doit être généré pour le remplacer. Pour cela, vous devez exécuter à nouveau le script AzureMfaNpsExtnConfigSetup.ps1, en indiquant le même ID de locataire à l’invite. Ce processus doit être répété sur chaque serveur NPS au sein de votre environnement.
Configurer votre extension NPS
Une fois votre environnement préparé et l’extension du serveur NPS installée sur les serveurs requis, vous pouvez configurer l’extension.
Cette section comprend des considérations relatives à la conception ainsi que des suggestions visant à garantir la réussite des déploiements d’extension NPS.
Limites de configuration
- L'extension NPS d'Azure AD Multi-Factor Authentication n'inclut pas les outils permettant de migrer les utilisateurs et les paramètres du serveur MFA vers le cloud. De ce fait, nous vous conseillons d’utiliser l’extension pour les nouveaux déploiements, plutôt que pour les déploiements existants. Si vous utilisez l’extension sur un déploiement existant, vos utilisateurs doivent suivre de nouveau la procédure de vérification pour remplir leurs détails MFA dans le cloud.
- L'extension NPS utilise le nom d'utilisateur principal (UPN) de l'environnement AD DS local pour identifier l'utilisateur sur Azure AD Multi-Factor Authentication afin de procéder à l'authentification secondaire. L’extension peut être configurée pour utiliser un identificateur autre que l’UPN (un autre ID de connexion ou un champ AD DS personnalisé, par exemple). Pour plus d’informations, consultez l’article Options de configuration avancée de l’extension de serveur NPS pour l’authentification multifacteur.
- Tous les protocoles de chiffrement ne prennent pas en charge toutes les méthodes de vérification.
- PAP prend en charge l’appel téléphonique, le message texte à sens unique, la notification de l’application mobile et le code de vérification de l’application mobile
- CHAPv2 et EAP prennent en charge l’appel téléphonique et la notification d’application mobile
Contrôler les clients RADIUS nécessitant l’authentification MFA
Une fois que vous activez MFA pour un client RADIUS à l’aide de l’extension NPS, toutes les authentifications de ce client doivent utiliser la méthode MFA. Si vous souhaitez activer l’authentification MFA pour certains clients RADIUS et d’autres non, vous pouvez configurer deux serveurs NPS et installer l’extension sur un seul d’entre eux.
Configurez les clients RADIUS pour lesquels vous souhaitez exiger l’authentification MFA de sorte qu’ils envoient des demandes au serveur NPS configuré avec l’extension, et les autres clients RADIUS pour qu’ils les envoient au serveur NPS non configuré avec l’extension.
Anticiper la présence d’utilisateurs qui ne sont pas inscrits pour l’authentification MFA
Si vous avez des utilisateurs qui ne sont pas inscrits pour l’authentification MFA, vous pouvez déterminer ce qui se passe lorsqu’ils tentent de s’authentifier. Pour contrôler ce comportement, utilisez le paramètre REQUIRE_USER_MATCH dans le chemin de Registre HKLM\Software\Microsoft\AzureMFA. Ce paramètre ne dispose que d’une seule option de configuration:
| Clé | Valeur | Default |
|---|---|---|
| REQUIRE_USER_MATCH | TRUE/FALSE | Non défini (équivaut à TRUE) |
Ce paramètre détermine ce qu’il faut faire lorsqu’un utilisateur n’est pas inscrit pour MFA. Lorsque la clé n’existe pas, n’est pas définie ou est définie sur TRUE, et que l’utilisateur n’est pas inscrit, l’extension échoue à la requête d’authentification MFA.
Lorsque la clé est définie sur FALSE et que l’utilisateur n’est pas inscrit, l’authentification s’effectue sans procéder à l’authentification MFA. Si un utilisateur est inscrit dans MFA, il doit s’authentifier avec MFA même si REQUIRE_USER_MATCH est défini sur FALSE.
Vous pouvez choisir de créer cette clé et de lui affecter la valeur FALSE pour vos utilisateurs qui sont en cours d'intégration et ne sont peut-être pas encore inscrits pour Azure AD Multi-Factor Authentication. Toutefois, étant donné que la définition de la clé permet aux utilisateurs qui ne sont pas inscrits pour l’authentification MFA de se connecter, vous devez supprimer cette clé avant de passer en production.
Dépannage
Script de vérification de l’intégrité de l’extension NPS
Le script suivant permet de vérifier l’intégrité de base lors de la résolution des problèmes relatifs à l’extensionNPS.
MFA_NPS_Troubleshooter.ps1
Comment corriger l’erreur «Principal du service introuvable» lors de l’exécution du script AzureMfaNpsExtnConfigSetup.ps1?
Si, pour une raison quelconque, le principal du service «Client d’authentification multifacteur Azure» n’a pas été créé dans le locataire, vous pouvez le créer manuellement en exécutant la cmdlet New-MsolServicePrincipal comme indiqué ci-dessous.
import-module MSOnlineConnect-MsolServiceNew-MsolServicePrincipal -AppPrincipalId 981f26a1-7f43-403b-a875-f8b09b8cd720 -DisplayName "Azure Multi-Factor Auth Client"Une fois que c’est fait, accédez au portail Azure>Azure Active Directory>Applications d’entreprise> Recherchez «Client d’authentification multifacteur Azure» > Vérifiez les propriétés de cette application > Vérifiez si le principal du service est activé ou désactivé > Cliquez sur l’entrée de l’application > Accédez aux Propriétés de l’application > Si l’option «Activé pour que les utilisateurs se connectent?» est définie sur Non dans les propriétés de cette application, veuillez la définir sur Oui.
Réexécutez le script AzureMfaNpsExtnConfigSetup.ps1: il ne doit normalement pas retourner l’erreur Service principal was not found.
Comment vérifier que le certificat client est installé comme prévu?
Recherchez le certificat auto-signé créé par le programme d’installation dans le magasin de certificats et vérifiez que la clé privée dispose d’autorisations accordées à l’utilisateur NETWORK SERVICE. Le certificat porte un nom d’objet de type CN <tenantid>, UO = Extension Microsoft NPS
Les certificats auto-signés générés par le script AzureMfaNpsExtnConfigSetup.ps1 ont une durée de validité de deux ans. Lorsque vous vérifiez que le certificat est installé, assurez-vous également qu’il n’est pas arrivé à expiration.
Comment vérifier que mon certificat client est associé à mon locataire dans Azure AD?
Ouvrez une invite de commandes PowerShell et exécutez les commandes suivantes:
import-module MSOnlineConnect-MsolServiceGet-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1Ces commandes impriment tous les certificats qui associent votre client à votre instance de l’extension NPS dans votre session PowerShell. Recherchez votre certificat en exportant votre certificat client en tant que fichier X.509 (.cer) encodé en base64 sans la clé privée et comparez-le à la liste de PowerShell.
La commande suivante crée un fichier nommé npscertificate à la racine de votre lecteur C: au format .cer.
import-module MSOnlineConnect-MsolServiceGet-MsolServicePrincipalCredential -AppPrincipalId "981f26a1-7f43-403b-a875-f8b09b8cd720" -ReturnKeyValues 1 | select -ExpandProperty "value" | out-file c:\npscertificate.cerUne fois que vous avez exécuté cette commande, accédez à la racine de votre lecteur C: , recherchez le fichier et double-cliquez dessus. Accédez aux détails, puis faites défiler jusqu’à «empreinte numérique». Comparez l’empreinte numérique du certificat installé sur le serveur à celle-ci. Les empreintes des certificats doivent correspondre.
Les horodatages Valid-From (Valide à partir de) et Valid-Until (Valide jusqu’à), qui sont dans un format explicite, peuvent être utilisés pour filtrer les certificats de toute évidence non appropriés si la commande en retourne plusieurs.
Pourquoi ne puis-je pas me connecter?
Vérifiez que votre mot de passe n’a pas expiré. L’extension NPS ne prend pas en charge les changements de mots de passe dans le cadre du workflow de connexion. Contactez le service informatique de votre entreprise pour obtenir de l’aide.
Pourquoi mes requêtes échouent-elles avec une erreur de jeton de sécurité ?
Cette erreur peut être due à plusieurs raisons. Effectuez les étapes suivantes pour résoudre le problème:
- Redémarrez votre serveur NPS.
- Vérifiez que le certificat client est installé comme prévu.
- Vérifiez que le certificat est associé à votre client sur Azure AD.
- Vérifiez que
https://login.microsoftonline.com/est accessible depuis le serveur exécutant l’extension.
Pourquoi l’authentification échoue-t-elle avec une erreur dans les journaux d’activité HTTP indiquant que l’utilisateur est introuvable?
Vérifiez qu’AD Connect est en cours d’exécution et que l’utilisateur est présent dans l’environnement AD DS local et dans Azure AD.
Pourquoi existe-t-il des erreurs de connexion HTTP dans les journaux d’activité pour tous mes échecs d’authentification?
Vérifiez que https://adnotifications.windowsazure.com, https://strongauthenticationservice.auth.microsoft.com est accessible depuis le serveur exécutant l’extension NPS.
Pourquoi l’authentification ne fonctionne-t-elle pas, même si le certificat est valide ?
Si votre certificat d’ordinateur précédent est arrivé à expiration et qu’un nouveau certificat a été généré, supprimez tous les certificats arrivés à expiration. Des certificats arrivés à expiration peuvent provoquer des problèmes lors du démarrage de l’extension NPS.
Pour vous assurer que vous disposez d’un certificat valide, vérifiez le magasin de certificats du compte d’ordinateur local à l’aide de MMC pour savoir si le certificat a atteint sa date d’expiration. Pour générer un nouveau certificat valide, réexécutez les étapes de la section Exécuter le script d’installation PowerShell.
Pourquoi des requêtes ignorées sont-elles visibles dans les journaux du serveur NPS?
Un serveur VPN peut envoyer des requêtes répétées au serveur NPS si la valeur du délai d’attente est trop faible. Le serveur NPS détecte ces requêtes dupliquées et les ignore. Ce comportement est lié à la conception et ne signifie pas qu'il y a un problème au niveau du serveur NPS ou de l'extension NPS d'Azure AD Multi-Factor Authentication.
Pour plus d’informations sur les raisons pour lesquelles des paquets ignorés figurent dans les journaux du serveur NPS, consultez Comportement du protocole RADIUS et extension NPS au début de cet article.
Comment faire obtenir la correspondance du numéro Microsoft Authenticator pour fonctionner avec NPS ?
Veillez à exécuter la dernière version de l’extension NPS. Les versions d’extension NPS commençant par 1.0.1.40 prennent en charge la correspondance de numéro.
L’extension NPS ne pouvant pas afficher de numéro, un utilisateur pour lequel la correspondance de numéro est activée est toujours invité à Approuver/Refuser. Toutefois, vous pouvez créer une clé de Registre qui remplace les notifications Push pour demander à l’utilisateur d’entrer un code secret à usage unique. Pour voir ce comportement, l’utilisateur doit disposer d’une méthode d’authentification par code secret à usage unique inscrite. Les méthodes courantes d’authentification par code secret à usage unique incluent le code secret à usage unique disponible dans l’application Authenticator, d’autres jetons logiciels, etc.
Si l’utilisateur n’a pas de méthode d’authentification par code secret à usage unique inscrite, il continue d’avoir l’expérience Approuver/Refuser. Un utilisateur pour lequel la correspondance de numéro est désactivée voit toujours l’expérience Approuver/Refuser.
Pour créer la clé de Registre qui remplace les notifications Push:
- Sur le serveur NPS, ouvrez l’éditeur du Registre.
- Accédez à HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.
- Définissez la paire clé-valeur suivante: Clé: OVERRIDE_NUMBER_MATCHING_WITH_OTP Valeur = TRUE
- Redémarrez le service NPS.
Gestion des protocoles TLS/SSL et des suites de chiffrement
Nous vous recommandons de désactiver ou de supprimer les suites de chiffrement plus anciennes et plus faibles, sauf si votre organisation en a besoin. Vous trouverez plus d’informations sur la manière d’effectuer cette tâche dans l’article Gestion des protocoles SSL/TLS et des suites de chiffrement pour AD FS.
Résolution de problèmes supplémentaires
Vous trouverez des conseils supplémentaires et des solutions potentielles dans l'article Résoudre les messages d'erreur liés à l'extension NPS d'Azure AD Multi-Factor Authentication.
Étapes suivantes
Vue d’ensemble et configuration du serveurNPS dans Windows Server
Configurez d’autres ID de connexion, ou créez une liste d’exceptions pour les adressesIP qui ne nécessitent pas de vérification en deux étapes dans Options de configuration avancée de l’extension de serveur NPS pour l’authentification multifacteur
Apprendre à intégrer la passerelle des services Bureau à distance et des serveurs VPN à l’aide de l’extension NPS
Résoudre les messages d'erreur liés à l'extension NPS d'Azure AD Multi-Factor Authentication