Приступая к работе с сервером Многофакторной идентификации Azure

  • Статья

Getting started with MFA Server on-premises

На этой странице рассматривается процедура установки сервера и его настройка в локальной службе Active Directory. Если сервер MFA уже установлен и вам нужно его обновить, см. сведения в статье Обновление сервера Многофакторной идентификации Azure до последней версии. Сведения об установке только веб-службы см. в статье Включение проверки подлинности мобильных приложений с помощью сервера Многофакторной идентификации Azure.

Важно!

В сентябре 2022 года корпорация Майкрософт объявила об отмене использования сервера Многофакторной идентификации Azure. Начиная с 30 сентября 2024 г. развертывания сервера Многофакторной идентификации Azure больше не будут обслуживать многофакторные запросы проверки подлинности, что может привести к сбою проверки подлинности для вашей организации. Чтобы обеспечить непрерывную проверку подлинности и оставаться в поддерживаемом состоянии, организации должны перенести данные проверки подлинности пользователей в облачную службу многофакторной проверки подлинности Microsoft Entra с помощью последней служебной программы миграции, включенной в последнее обновление сервера Многофакторной идентификации Azure. Дополнительные сведения см. в статье "Миграция сервера Многофакторной идентификации Azure".

Сведения о начале работы с облачной многофакторной идентификацией см. в руководстве по обеспечению безопасности событий входа пользователей с помощью многофакторной проверки подлинности Azure.

Планирование развертывания

Прежде чем скачивать сервер Многофакторной идентификации Azure, определите требования к нагрузке и высокому уровню доступности. Используйте эти сведения, чтобы выбрать способ и расположение развертывания.

Хорошее руководство по объему необходимой памяти — это количество пользователей, которые вы ожидаете регулярно проходить проверку подлинности.

Пользователи ОЗУ
1–10 000 4 ГБ
10 001–50 000 8 ГБ
50 001–100 000 12 ГБ
100 000–200 001 16 ГБ
200 001+ 32 Гб

Следует ли настроить несколько серверов для обеспечения высокого уровня доступности или балансировки нагрузки? Существует множество способов настройки этой конфигурации с помощью сервера Многофакторной идентификации Azure. При установке первого сервера Многофакторной идентификации Azure он становится главным. Все остальные серверы становятся подчиненными, а также автоматически синхронизируют пользователей и конфигурацию с главной службой. Позже вы можете настроить один сервер-источник, а остальные использовать в качестве серверов резервного копирования или же настроить балансировку нагрузки между серверами.

Когда главный сервер Многофакторной идентификации Azure переходит в автономный режим, подчиненные серверы по-прежнему могут обрабатывать двухфакторные запросы на проверку подлинности. Но вы не сможете добавить новых пользователей, как и существующие пользователи не смогут обновить свои параметры, пока главный сервер снова не подключится к сети или уровень подчиненного сервера не будет повышен.

Подготовка среды

Убедитесь, что сервер, который вы используете для многофакторной проверки подлинности Azure, соответствует следующим требованиям.

Требования к серверу Многофакторной идентификации Azure Description
Оборудование
  • 200 МБ места на жестком диске
  • 32- или 64-разрядный процессор
  • Не менее 1 ГБ ОЗУ
    		•
    Программное обеспечение.
  • Windows Server 20221
  • Windows Server 20191
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2 (только с ESU)
  • Windows 10
  • Windows 8.1, все выпуски
  • Windows 8, все выпуски
  • Windows 7, все выпуски (только с ESU)
  • Microsoft .NET Framework 4.0
  • IIS 7.0 или более поздняя версия, если вы устанавливаете SDK для пользовательского портала или веб-службы
    		•
    Разрешения Учетная запись администратора домена или администратора предприятия для регистрации в Active Directory

    1Если сервер Многофакторной идентификации Azure не может активироваться на виртуальной машине Azure под управлением Windows Server 2019 или более поздней версии, попробуйте использовать более раннюю версию Windows Server.

    Компоненты сервера Многофакторной идентификации Azure

    Существует три веб-компонента, составляющие сервер Многофакторной идентификации Azure:

    • Пакет SDK веб-службы — включает взаимодействие с другими компонентами и устанавливается на сервере приложений многофакторной проверки подлинности Microsoft Entra
    • Пользовательский портал — веб-сайт IIS, позволяющий пользователям регистрироваться в многофакторной проверке подлинности Azure и поддерживать свои учетные записи.
    • Веб-служба мобильного приложения — позволяет использовать мобильное приложение, например Microsoft Authenticator, для двухфакторной проверки подлинности.

    Все три компонента можно установить на одном сервере, если он поддерживает выход в Интернет. При разрыве компонентов пакет SDK веб-службы устанавливается на сервере приложений многофакторной проверки подлинности Microsoft Entra, а портал пользователя и веб-служба мобильных приложений устанавливаются на сервере с подключением к Интернету.

    Требования к брандмауэру сервера Многофакторной идентификации Azure

    На каждом сервере MFA порт 443 должен быть открыт для передачи данных на следующие адреса:

    Если в брандмауэре на порту 443 есть ограничения для исходящего трафика, откройте следующие диапазоны IP-адресов:

    IP-подсеть Маска сети Диапазон IP-адресов
    134.170.116.0/25 255.255.255.128 134.170.116.1–134.170.116.126
    134.170.165.0/25 255.255.255.128 134.170.165.1–134.170.165.126
    70.37.154.128/25 255.255.255.128 70.37.154.129–70.37.154.254
    52.251.8.48/28 255.255.255.240 52.251.8.48–52.251.8.63
    52.247.73.160/28 255.255.255.240 52.247.73.160–52.247.73.175
    52.159.5.240/28 255.255.255.240 52.159.5.240 –52.159.5.255
    52.159.7.16/28 255.255.255.240 52.159.7.16–52.159.7.31
    52.250.84.176/28 255.255.255.240 52.250.84.176–52.250.84.191
    52.250.85.96/28 255.255.255.240 52.250.85.96–52.250.85.111

    Если вы не используете функции подтверждения событий и пользователи не проходят проверку подлинности при помощи мобильных приложений с устройств в корпоративной сети, вам необходимо использовать следующие диапазоны:

    IP-подсеть Маска сети Диапазон IP-адресов
    134.170.116.72/29 255.255.255.248 134.170.116.72–134.170.116.79
    134.170.165.72/29 255.255.255.248 134.170.165.72–134.170.165.79
    70.37.154.200/29 255.255.255.248 70.37.154.201–70.37.154.206
    52.251.8.48/28 255.255.255.240 52.251.8.48–52.251.8.63
    52.247.73.160/28 255.255.255.240 52.247.73.160–52.247.73.175
    52.159.5.240/28 255.255.255.240 52.159.5.240 –52.159.5.255
    52.159.7.16/28 255.255.255.240 52.159.7.16–52.159.7.31
    52.250.84.176/28 255.255.255.240 52.250.84.176–52.250.84.191
    52.250.85.96/28 255.255.255.240 52.250.85.96–52.250.85.111

    Скачивание сервера Многофакторной идентификации

    Совет

    Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

    Выполните следующие действия, чтобы скачать сервер Многофакторной идентификации Azure:

    Важно!

    В сентябре 2022 года корпорация Майкрософт объявила об отмене использования сервера Многофакторной идентификации Azure. Начиная с 30 сентября 2024 г. развертывания сервера Многофакторной идентификации Azure больше не будут обслуживать многофакторные запросы проверки подлинности, что может привести к сбою проверки подлинности для вашей организации. Чтобы обеспечить непрерывную проверку подлинности и оставаться в поддерживаемом состоянии, организации должны перенести данные проверки подлинности пользователей в облачную службу многофакторной проверки подлинности Microsoft Entra с помощью последней служебной программы миграции, включенной в последнее обновление сервера Многофакторной идентификации Azure. Дополнительные сведения см. в статье "Миграция сервера Многофакторной идентификации Azure".

    Сведения о начале работы с облачной многофакторной идентификацией см. в руководстве по обеспечению безопасности событий входа пользователей с помощью многофакторной проверки подлинности Azure.

    Существующие клиенты, которые активировали "Сервер MFA" до 1 июля 2019 г., могут скачивать последнюю версию и последующие обновления, а также генерировать учетные данные для активации как обычно. Следующие действия возможны, только если вы являетесь существующим клиентом сервера MFA.

    1. Войдите в Центр администрирования Microsoft Entra в качестве глобального Администратор istrator.

    2. Перейдите к параметрам сервера многофакторной проверки подлинности> защиты.>

    3. Выберите Загрузить и следуйте инструкциям на странице скачивания, чтобы сохранить установщик.

      Download MFA Server

    4. Не закрывайте эту страницу — мы вернемся к ней после запуска установщика.

    Установка и настройка сервера Многофакторной идентификации

    Загрузив сервер, установите и настройте его. Убедитесь, что компьютер, на который вы устанавливаете сервер, соответствует требованиям, перечисленным в разделе планирования.

    1. Дважды щелкните исполняемый файл.
    2. На экране "Выбор папки для установки" убедитесь, что выбрана правильная папка, и нажмите кнопку Далее. Установлены следующие библиотеки:
    3. После завершения установки нажмите кнопку Готово. Запускается мастер настройки.
    4. На странице, с которой вы скачали сервер, нажмите кнопку Создать учетные данные для активации. Скопируйте эти сведения на сервер Многофакторной идентификации Azure в указанных полях и нажмите кнопку "Активировать".

    Примечание.

    Только глобальные администраторы могут создавать учетные данные активации в Центре администрирования Microsoft Entra.

    Отправка электронного письма пользователям

    Чтобы упростить развертывание, разрешите серверу MFA взаимодействовать с пользователями. С сервера MFA отправьте пользователям сообщение о том, что они зарегистрированы для прохождения двухфакторной проверки подлинности.

    Содержимое отправленного сообщения зависит от настройки двухфакторной проверки подлинности для пользователей. Например, если вы импортировали номера телефонов из каталога организации, сообщение должно содержать номера телефонов по умолчанию, чтобы пользователи знали, чего ожидать. Если номера телефонов не были импортированы или пользователи планируют использовать мобильное приложение, отправьте им сообщение, в котором предлагается завершить регистрацию учетной записи. Добавьте гиперссылку на портал пользователя многофакторной проверки подлинности Azure в сообщение электронной почты.

    Содержимое электронного письма также будет различным в зависимости от метода проверки подлинности, установленного для пользователя (телефонный звонок, SMS или мобильное приложение). Например, если пользователь должен использовать ПИН-код при проверке подлинности, в электронном письме будет указано начальное значение ПИН-кода. ПИН-код требуется изменить при первой проверке подлинности.

    Настройка электронной почты и шаблонов электронной почты

    Щелкните значок электронной почты в левой части окна, чтобы настроить параметры отправки этих сообщений. Здесь можно указать параметры SMTP почтового сервера и отправить письмо, установив флажок Отправлять электронную почту пользователям.

    MFA Server Email configuration

    На вкладке Email Content (Содержимое электронного письма) отображаются различные шаблоны электронной почты. В зависимости от настроек многофакторной проверки подлинности можно выбрать тот шаблон, который максимально вам подходит.

    MFA Server Email templates in the console

    Импорт пользователей из Active Directory

    Теперь, когда сервер установлен, необходимо добавить пользователей. Вы можете создать их вручную, импортировать из Active Directory или настроить автоматическую синхронизацию с Active Directory.

    Импорт из Active Directory вручную

    1. В сервере Многофакторной идентификации Azure слева выберите "Пользователи".

    2. Внизу выберите команду Импортировать из Active Directory.

    3. Теперь вы можете искать в каталоге AD отдельных пользователей. Вы также можете искать подразделения и входящих в них пользователей. В этом случае будет указано подразделение, к которому принадлежит пользователь.

    4. Выделите всех пользователей справа и нажмите кнопку Импортировать. Должно появиться всплывающее окно с сообщением о том, что импорт выполнен успешно. Закройте окно импорта.

      MFA Server user import from Active Directory

    Автоматическая синхронизация с Active Directory

    1. В сервере Многофакторной идентификации Azure слева выберите "Интеграция каталогов".
    2. Перейдите на вкладку Синхронизация.
    3. В нижней части окна нажмите кнопку Добавить.
    4. В открывшемся окне Добавление объекта синхронизации задайте домен, подразделение или группу безопасности, параметры, настройки метода по умолчанию и языковые настройки по умолчанию для этой задачи синхронизации, а затем нажмите кнопку Добавить.
    5. Установите флажок Включить синхронизацию с Active Directory и укажите интервал синхронизации от одной минуты до 24 часов.

    Как сервер Многофакторной идентификации Azure обрабатывает данные пользователя?

    При использовании локального сервера Многофакторной идентификации данные пользователя хранятся на локальных серверах. В облаке данные пользователя постоянно не хранятся. Когда пользователь выполняет двухфакторную проверку подлинности, сервер MFA отправляет данные в облачную службу многофакторной проверки подлинности Microsoft Entra для выполнения проверки. При отправке запросов проверки подлинности в облачную службу в запросы и журналы включаются указанные ниже поля, что позволяет использовать их в отчетах о проверке подлинности клиентов или об использовании. Некоторые поля являются необязательными и могут включаться и выключаться на сервере Многофакторной идентификации. Взаимодействие сервера MFA сервера с облачной службой многофакторной проверки подлинности осуществляется по протоколу SSL/TLS через порт 443 для исходящих подключений. В число этих полей входят следующие.

    • Уникальный идентификатор: имя пользователя или внутренний идентификатор сервера MFA
    • Имя и фамилия (необязательно).
    • Адрес электронной почты (необязательно).
    • Номер телефона (при выполнении голосовых вызовов или проверке подлинности по SMS).
    • Маркер устройства: при выполнении проверки подлинности мобильного приложения
    • Режим проверки подлинности
    • Результат проверки подлинности.
    • Имя сервера MFA.
    • IP-адрес сервера MFA
    • IP-адрес клиента: если он доступен

    Кроме указанных выше полей, результат проверки подлинности (пройдена или получен отказ) и причины отказов также хранятся с данными проверки подлинности и могут быть получены из отчетов о проверке подлинности или использовании.

    Важно!

    Начиная с марта 2019 года параметры телефонного звонка не будут доступны пользователям сервера MFA в клиентах Microsoft Entra бесплатно или пробной версии. Это изменение не влияет на отправку текстовых сообщений. Телефон вызов будет по-прежнему доступен пользователям в платных клиентах Microsoft Entra. Это изменение влияет только на бесплатные или пробные клиенты Microsoft Entra.

    Резервное копирование и восстановление сервера Многофакторной идентификации Azure

    Обеспечение надежного резервного копирования является важным шагом при работе с любой системой.

    Чтобы создать резервную копию сервера Многофакторной идентификации Azure, убедитесь, что у вас есть копия папки C:\Program Files\Multi-Factor Authentication Server\Data, включая файл Телефон Factor.pfdata.

    Если потребуется восстановить сервер, сделайте следующее:

    1. Переустановите сервер Многофакторной идентификации Azure на новом сервере.
    2. Активируйте новый сервер Многофакторной идентификации Azure.
    3. Остановите службу MultiFactorAuth.
    4. Перезапишите файл PhoneFactor.pfdata его резервной копией.
    5. Запустите службу MultiFactorAuth.

    Теперь новый сервер запущен и работает с исходной конфигурацией и данными пользователя из резервной копии.

    Управление протоколами TLS и SSL, а также комплектами шифров

    После установки сервера MFA 8.x или более поздней версии (либо обновления до этой версии) рекомендуется отключить или удалить прежние, менее надежные комплекты шифров (если они не требуются в организации). Соответствующие инструкции см. в статье, посвященной управлению протоколами SSL и TLS, а также комплектами шифров для AD FS.

    Следующие шаги