我们希望在 Windows Server 系统上要求 RDP 登录(和本地登录)采用多因素身份验证。目前,我们所有的 Windows Server 系统都是 Windows Server 2016。我们正在使用 Azure Active Directory 免费套餐(但如果需要,也可以升级)。我们不想混合使用第三方产品。
因此,理想情况下,我们会将 Windows Server 2016 系统加入 Azure AD。然后,我们会以某种方式要求多因素身份验证。
我们无法找到有关如何执行此操作的简单指南。 StackExchange 上有一些关于此主题的问题,但要么没有答案,要么这些问题已经存在多年,并且说无法完成。
由于现在是 2020 年,并且还有新的 Windows Server 2019 和 2016 操作系统可用,并且由于 Windows 10 桌面支持 MFA,所以我想问这个问题:
如何实现 Azure AD + MFA + Windows Server 2016 RDP 登录?
答案1
可能的方法如下:
如果您的服务器位于本地网络中,而不是托管在 Azure 上然后部署远程桌面网关 (RDG) 场并使用网络策略服务器 (NPS) 扩展将其与 Azure AD 集成,这将让 Azure 处理 MFA 请求:https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-nps-extension-rdg
如果您的服务器托管在 Azure 上,您将能够使用新的(预览)功能,该功能允许您使用 Azure AD 用户帐户进行身份验证,这将允许您在用户通过 RDP 进入服务器时向用户请求 MFA:https://docs.microsoft.com/en-us/azure/active-directory/devices/howto-vm-sign-in-azure-ad-windows
请注意,第二种方法有很多限制,其中:
- 您需要让 RDP 会话两端的计算机加入同一个 Azure AD 租户
- 您可以请求的唯一类型的 MFA 是 Windows Hello For Business PRT,因为 RDP 还没有交互式登录功能……
- 目前不支持按用户进行 MFA