我希望有人能帮助指导我!
我们有一个 RDS 环境并引入了 Azure MFA,并使用以下指南成功构建了它:https://learn.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-nps-extension-rdg
我遇到的问题是,我们需要有机会让用户在他们没有移动设备的情况下不必提供 MFA。我的理解是,无论如何,任何到达安装了 MFA 扩展的 NPS 服务器的请求都会提示进行 MFA。
我在 Microsoft 的这个页面上做了一些事情(https://learn.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-nps-extension#control-radius-clients-that-require-mfa) 其中指出,“如果您想为某些 RADIUS 客户端启用 MFA,但不为其他客户端启用,则可以配置两个 NPS 服务器并仅在其中一个服务器上安装扩展。”
不幸的是,我还没有看到任何关于如何实现这一点的指南。
从那时起,我创建了另一台 NPS 服务器(没有扩展,称为服务器 A),并且我有服务器 B(带有 MFA 扩展的 NPS)。我设法让我们的远程桌面网关将其身份验证请求发送到服务器 A。有一个网络策略,它允许用户登录,如果他们是“绕过 MFA”AD 安全组的一部分。我希望发生的事情是,如果某人属于不同的 AD 安全组(例如 MFA),服务器 A 会将请求转发到服务器 B,以便它使用 MFA 处理身份验证。
在服务器 A 上创建新的连接请求策略时,我只是无法在可用列表中看到允许我将请求定向到服务器 B 来处理 MFA 的条件,这就是我陷入困境的地方。
NPS 服务器是否可以根据用户的安全组成员身份有效地将身份验证请求中继到另一台 NPS 服务器?还是我采用的方法错误?
任何帮助都将不胜感激!如果需要,很乐意提供任何截图。谢谢阅读 :)