• Startseite
• App-Integrationen
• MFA-Integrationen
• Konfigurieren der Microsoft Push-Benachrichtigung

Wie funktioniert Azure AD MFA mit miniOrange?

• Der Benutzer versucht, sich anzumelden oder eine Self-Service-Kennwortzurücksetzung bzw. Kontoentsperrung durchzuführen.
• Die Seite zur mehrstufigen Authentifizierung wird geladen und der Benutzer initiiert Azure AD MFA.
• Der miniOrange-Server sendet eine RADIUS-Anfrage an den Network Policy Server (NPS).
• Die NPS-Erweiterung für Azure MFA kontaktiert die Azure-Cloud und löst eine MFA-Anfrage aus.
• Wenn Pushbenachrichtigungen oder telefonische Überprüfungsmethoden von Microsoft Authenticator für Azure AD MFA aktiviert sind, wird die Überprüfungsanforderung direkt ausgelöst.
• Wenn für Azure AD MFA die Methoden Microsoft Authenticator-Verifizierungscode, hardwaretokenbasierte oder SMS-basierte Verifizierungscodes aktiviert sind, gibt die NPS-Erweiterung eine RADIUS-Challenge-Response an den miniOrange-Server zurück und der Benutzer wird zur Eingabe des Verifizierungscodes aufgefordert.
• Sobald Azure AD MFA erfolgreich ist, gibt die NPS-Erweiterung eine RADIUS-Akzeptanzantwort an den miniOrange-Server zurück und dem Benutzer wird Zugriff gewährt.

Voraussetzungen:

• Windows Server 2012 und höher.
• .NET Framework 4.7.2 oder höher.
• PowerShell Version 5.1 oder höher.
• Permanente URL-Kommunikation über TCP 443 (ausgehend) mit Azure vom NPS-Server -
  • https://login.microsoftonline.com
  • https://credentials.azure.com
  • https://strongauthenticationservice.auth.microsoft.com
  • https://adnotifications.windowsazure.com
• Temporäre URL-Kommunikation über TCP 443 (ausgehend) mit Azure vom NPS-Server. Dies gilt nur für die Einrichtung. Wir können diese Regeln nach der Einrichtung entfernen.
  • https://onegetcdn.azureedge.net
  • https://login.microsoftonline.com
  • https://graph.microsoft.com
  • https://provisioningapi.microsoftonline.com
  • https://aadcdn.msauth.net
  • https://www.powershellgallery.com
  • https://go.microsoft.com
  • https://aadcdn.msftauthimages.net
• Permanenter UDP 1812 vom miniOrange IDP-Server zum NPS-Server für die RADIUS-Kommunikation. (Dies wird verwendet, um die Push-Benachrichtigungsanforderung von miniOrange an NPS zu senden.)
• Wir müssten diese NPS-Erweiterung für Azure MFA herunterladen und auf dem NPS-Server bereithalten - NPS-Erweiterung für Azure MFA.
• Wir benötigen ein Azure-Konto mit globalen Administratorberechtigungen.
• Wir benötigen außerdem die Mandanten-ID vom Microsoft Entra Admin Center.



• Wir benötigen Administratorzugriff auf den NPS-Server, um die NPS-Erweiterung zu installieren.
• Die NPS-Erweiterung verwendet standardmäßig den UserPrincipalName aus der lokalen AD DS-Umgebung, um den Benutzer in Azure AD zu identifizieren. Daher sollte der UPN übereinstimmen oder ein anderes Attribut vorhanden sein, mit dem der Benutzer in Azure AD identifiziert werden kann.

Schritt-für-Schritt-Anleitung zum Konfigurieren von Microsoft Push Notification

1. Installieren Sie den NPS-Dienst auf dem Windows-Server

Installation über den Server Manager

• Öffnen Sie den Microsoft Store auf Ihrem Windows-PC. Server-Manager über die Windows-Suche.



• Klicken Sie im Server-Manager auf Verwalten, Und klicken Sie auf Rollen und Funktionen hinzufügenDer Assistent „Rollen und Features hinzufügen“ wird geöffnet.



• Klicke Nächster if Bevor Sie beginnen Seite erscheint.
• Stellen Sie unter „Installationstyp auswählen“ sicher, dass Rollenbasierte oder funktionsbasierte Installation ausgewählt ist, und klicken Sie dann auf Nächster.



• Stellen Sie unter Zielserver auswählen sicher, dass Wählen Sie einen Server aus dem Serverpool aus ausgewählt ist. Stellen Sie im Serverpool sicher, dass die lokaler Computer ist ausgewählt. Klicken Nächster.



• Auswählen ServerrollenWählen Sie unter Rollen Netzwerkrichtlinien- und Zugriffsdienste. Es öffnet sich ein Dialogfeld mit der Frage, ob Funktionen hinzugefügt werden sollen, die für Netzwerkrichtlinien und Zugriffsdienste erforderlich sind. Klicken Sie auf Funktionen hinzufügen, Und klicken Sie auf Nächster.





• Überprüfen Sie die Informationen und klicken Sie auf Nächster.



• Dann klick InstallierenDie Seite „Installationsfortschritt“ zeigt den Status während des Installationsvorgangs an. Nach Abschluss des Vorgangs wird die Meldung „Installation erfolgreich auf Computername“ angezeigt, wobei Computername der Name des Computers ist, auf dem Sie den Netzwerkrichtlinienserver installiert haben. Klicken Sie auf Menu.





• Warten Sie, bis die Installation abgeschlossen ist. Klicken Sie anschließend auf Menu.

Installation über Windows PowerShell

• Führen Sie Windows PowerShell als Administrator aus, geben Sie den folgenden Befehl ein und drücken Sie dann die EINGABETASTE.
  Install-WindowsFeature NPAS -IncludeManagementTools
• Jetzt haben wir NPS erfolgreich auf Windows Server installiert.

2. Installieren der NPS-Erweiterung für die Microsoft Entra Multifaktor-Authentifizierung

Voraussetzungen:

• Microsoft Entra ID: Um MFA zu aktivieren, müssen die Benutzer über eine Microsoft Entra ID verfügen, die entweder aus der lokalen Umgebung oder der Cloudumgebung synchronisiert werden muss.
• Stellen Sie sicher, dass das Benutzerkonto in Entra ID nicht gesperrt oder deaktiviert ist, da dies eine erfolgreiche Authentifizierung verhindert.
• Um die Push-Benachrichtigung von Microsoft zu erhalten, muss sich der Benutzer mit den oben erstellten Anmeldeinformationen bei der Microsoft Authenticator-App anmelden. Folgen Sie dieser Anleitung, wenn Probleme auftreten.
• Lizenzen: Die NPS-Erweiterung für die Microsoft Entra-Multifaktor-Authentifizierung ist für Kunden mit Lizenzen für die Microsoft Entra-Multifaktor-Authentifizierung verfügbar (enthalten in Microsoft Entra ID P1 und Premium P2 oder Enterprise Mobility + Security). Verbrauchsbasierte Lizenzen für die Microsoft Entra-Multifaktor-Authentifizierung, z. B. pro Benutzer oder pro Authentifizierung, sind nicht mit der NPS-Erweiterung kompatibel.

Installieren der NPS-Erweiterung:

• Öffnen Sie den Windows-Server, auf dem NPS installiert ist. Öffnen Sie den Browser und herunterladen die ausführbaren Dateien für die NPS-Erweiterung von hier.



• Wenn Sie die NPS-Erweiterung bereits installiert haben, deinstallieren Sie sie zuerst und installieren Sie sie erneut, um die Bibliotheken zu aktualisieren.
• Führen Sie setup.exe und befolgen Sie die Installationsanweisungen.
• Starten Sie den Network Policy Server (IAS)-Dienst über die Windows-Dienste neu.
• Öffnen Sie die Windows PowerShell mit Administratorrechten und geben Sie die folgenden Befehle ein:
  cd "C:\Program Files\Microsoft\AzureMfa\Config"
ls



• Führen Sie das vom Installationsprogramm erstellte PowerShell-Skript aus.
  .\AzureMfaNpsExtnConfigSetup.ps1
  Hinweis: Dies kann einige Zeit dauern, da hier einige Binärdateien installiert werden. Haben Sie also Geduld.
• Sobald die erforderlichen Binärdateien installiert sind, werden Sie aufgefordert, sich bei Microsoft Account anzumelden. Beachten Sie, dass Sie Anmeldeinformationen des globalen Administrators of Eingangs-ID anmelden.
• Nach erfolgreicher Anmeldung fordert Sie das Powershell-Skript zur Eingabe der Mandanten-ID aus dem Microsoft Entra Admin Center auf. Geben Sie die Mandanten-ID ein und drücken Sie die Eingabetaste.



• Sobald dies erledigt ist, sehen Sie, dass der NPS-Dienst neu gestartet wird, und Sie werden aufgefordert, die Eingabetaste zu drücken, um die Powershell zu schließen.
• Jetzt ist die MFA über Microsoft Push-Benachrichtigung aktiviert.

3. So integrieren Sie den miniOrange IDP-Server mit NPS

3.1. Erstkonfiguration

• Melden Sie sich bei miniOrange an Admin-Konsole.
• Navigieren 2-Faktor-Authentifizierung >> 2FA einrichten im linken Menü des Dashboards.



• Klicken Sie auf Microsoft Push-Benachrichtigung von dem Authentifizierungs-Apps um diese Methode zu konfigurieren.

3.2. Radius-Verzeichnis konfigurieren

• Melden Sie sich mit Ihrem Administratorkonto bei miniOrange IDP an. Gehen Sie zu Externe Verzeichnisse Abschnitt im linken Bereich und klicken Sie auf die Verzeichnis hinzufügen .



• Suche das Radius in der Liste der Verzeichnisse und klicken Sie auf das Radius-Verzeichnis.



• Füllen Sie hier die Details aus:
  • Server-Host bezieht sich auf IP-Adresse des NPS (Netzwerkrichtlinienserver).
  • Wenn Sie den miniOrange On-Premise Identity Provider (IDP)-Server verwenden und sich sowohl der NPS-Server als auch der miniOrange IDP-Server im selben Netzwerk befinden, sollte der Server-Host auf die private IP-Adresse des NPS-Servers eingestellt werden.
  • Wenn Sie den miniOrange Cloud Identity Provider (IDP)-Server verwenden, muss die öffentliche IP-Adresse des NPS (Network Policy Server) als Server-Host angegeben werden.
  • Sie müssen eine geheimer Schlüssel, das eine sichere Kommunikation zwischen dem NPS-Server und dem miniOrange IDP ermöglicht.

  Hinweis: Dieser Schlüssel muss auch auf dem NPS-Server konfiguriert werden, wie in den folgenden Schritten beschrieben.

  • Klicken Sie auf Gespeichert um den NPS-Server als RADIUS-Verzeichnis hinzuzufügen.
  
  
  

Oder alternativ

• Navigieren Authenticator-App >> Microsoft Push-Benachrichtigung >> NPS-Konfiguration ändern.



• Wenn keine vorhandene Konfiguration vorhanden ist, wählen Sie Klicken Sie hier, um eine neue Azure NPS-Konfiguration hinzuzufügen.

[Hinweis: Bevor Microsoft Push-Benachrichtigungen für Benutzer aktiviert werden, muss der Administrator ein RADIUS-Verzeichnis konfigurieren.]

3.3. Push-Benachrichtigung für Endbenutzer konfigurieren

• Navigieren 2-Faktor-Authentifizierung >> 2FA-Optionen für Endbenutzer.



• Schalten Sie den Schalter für Drücken Benachrichtigung unter dem Abschnitt Erlaubte 2FA-Methoden.

3.4. Integration des miniOrange IDP-Servers mit NPS

• Öffnen Sie den Network Policy Server (NPS)-Dienst auf dem Windows Server.



• Klicken Sie mit der rechten Maustaste auf RADIUS-Clients und wählen Sie dann Neu aus, um die IP-Adresse des miniOrange IDP als neuen RADIUS-Client hinzuzufügen.



• Geben Sie die erforderlichen Details ein:
  • Der neue RADIUS-Client, einschließlich Anzeigename, IP-Adresse (des miniOrange-IDP) und Shared Secret (zuvor konfiguriert). Stellen Sie sicher, dass alle Felder korrekt ausgefüllt sind, bevor Sie fortfahren.

  Hinweis: Stellen Sie sicher, dass das Kontrollkästchen „Diesen RADIUS-Client aktivieren“ aktiviert ist, um die Clientkonfiguration zu aktivieren.

  • Wenn Sie den miniOrange On-Premise IDP-Server verwenden, geben Sie die private IP-Adresse des IDP-Servers in das Feld „IP-Adresse“ ein.
  • Wenn Sie den miniOrange Cloud IDP-Server verwenden, geben Sie 52.55.147.107, 52.86.38.163, 54.165.245.227 des miniOrange Cloud IDP in das Feld „IP-Adresse“ ein.
  
  
  
• Fügen Sie als Nächstes eine Verbindungsanforderungsrichtlinie hinzu, indem Sie im NPS-Dienst (Network Policy Server) im Abschnitt „Richtlinien“ mit der rechten Maustaste auf „Verbindungsanforderungsrichtlinien“ klicken und „Neu“ auswählen.
• Geben Sie die Richtliniendetails ein:
  • Geben Sie den Richtliniennamen ein, klicken Sie auf Nächster.
  
  
  
  • Klicken Sie auf Speichern und suche nach dem Client-IPV4-Adresse und klicken Sie auf Hinzufügen.
  
  
  
  • Sie werden aufgefordert, eine IP-Adresse einzugeben. Geben Sie dieselbe IP-Adresse des miniOrange-IDP ein, die Sie zuvor beim Hinzufügen des RADIUS-Clients angegeben haben. Klicken Sie auf „OK“ und anschließend auf „Weiter“.
  • Die folgende Eingabeaufforderung sollte angezeigt werden. Stellen Sie sicher, dass Sie die Option „Anfragen auf diesem Server authentifizieren“ auswählen, damit der NPS-Server die Authentifizierung lokal durchführen kann.
  
  
  
• Klicken Sie weiter, um fortzufahren Nächster Führen Sie die Konfigurationsschritte durch, bis die Schaltfläche Fertig stellen verfügbar ist. Klicken Sie dann auf Farbe um das Setup abzuschließen.



• Fügen Sie nun eine neue Netzwerkrichtlinie hinzu, indem Sie im Abschnitt „Richtlinien“ mit der rechten Maustaste auf „Netzwerkrichtlinien“ klicken und „ New.
• Geben Sie die Details ein, um eine Netzwerkrichtlinie zu erstellen:
  • Geben Sie die Versicherungsname.
  
  
  
  • Klicken Sie auf „Hinzufügen“, suchen Sie nach der Client-IPV4-Adresse und klicken Sie auf „Hinzufügen“.
  
  
  
  • Sie werden aufgefordert, eine IP-Adresse einzugeben. Geben Sie dieselbe IP-Adresse des miniOrange-IDP ein, die Sie zuvor beim Hinzufügen des RADIUS-Clients und beim Erstellen der Verbindungsanforderungsrichtlinie angegeben haben. Klicken Sie auf „OK“ und anschließend auf „Weiter“.
  
  
  
• Wählen Sie „Zugriff gewährt“ aus, um die Zugriffsberechtigung festzulegen, und klicken Sie dann auf „Weiter“, um mit der Konfiguration fortzufahren.



• Im Konfigurieren von Authentifizierungsmethoden Deaktivieren Sie im Abschnitt alle zuvor ausgewählten Optionen. Aktivieren Sie dann die Option mit der Bezeichnung Ermöglichen Sie Clients die Authentifizierung, ohne eine Authentifizierungsmethode auszuhandeln.



• Klicken Sie auf „Weiter“, um die Konfigurationsschritte abzuschließen, bis die Schaltfläche „Fertig stellen“ angezeigt wird. Klicken Sie anschließend auf „Fertig stellen“, um die Einrichtung abzuschließen.



• Um Microsoft Push-Benachrichtigungen zu aktivieren, müssen Sie anstelle der Eingabe eines Microsoft Authenticator-Codes einen bestimmten Schlüssel zum System hinzufügen.
  • Suchen Sie in der Windows-Suche nach dem Registrierungs-Editor, wo der NPS-Dienst ausgeführt wird.
  • Gehe zu HKEY_LOCAL_MACHINE > SOFTWARE > MICROSOFT > AzureMFA.
  
  
  
  • Klicken Sie mit der rechten Maustaste auf den Bereich rechts, in dem die Registrierungsschlüssel aufgelistet sind, und fügen Sie einen neuen Zeichenfolgenwert hinzu.
  
  
  
  • Nummernübereinstimmung mit OTP überschreiben Fügen Sie diesen Schlüssel hinzu und klicken Sie erneut mit der rechten Maustaste auf diesen Schlüssel, nachdem dieser zur Registrierung hinzugefügt wurde, und klicken Sie auf „Ändern“ und fügen Sie „FALSE“ als Wert hinzu.
  
  
  
  
  
  • Starten Sie den NPS-Dienst neu. Nach dem Testen sollten Sie nun Microsoft-Push-Benachrichtigungen erhalten.
  • Jetzt haben wir den miniOrange IDP-Server erfolgreich in NPS integriert.

Problemlösung

Häufig gestellte Fragen (FAQs)