MFA – ajouter une authentification MFA sur votre infrastructure NPS

Dans les versions précédentes de MFA (Multi Factor Authentification) du service Azure AD, il était nécessaire de mettre en place le service MFA sur un serveur local pour permettre de l’ouverture de session sur les services réseaux NPS (Network Protection Service de Windows Server 2008R2 -> 2012R2).

Depuis Février 2017, avec l’extension pour NPS, il est maintenant possible d’utiliser le service MFA sans installer de serveur avec la fonctionnalité MFA pour le NPS.

Lorsque vous utilisez l’extension NPS pour Azure MFA, le flux d’authentification se comporte de la sorte:
1. Le Service NAS / VPN reçoit les demandes des clients VPN et les convertit en requêtes RADIUS pour le NPS.
2. Le Serveur NPS se connecte à Active Directory pour effectuer l’authentification principale pour les demandes RADIUS et, en cas de succès, transmet la requête à toutes les extensions installées.
3. Le module (extension) NPS déclenche une demande à Azure MFA pour valider l’authentification secondaire.
Une fois que l’extension reçoit la réponse, et si le jeton MFA est validé, il remplit la requête d’authentification en fournissant au serveur NPS des jetons de sécurité qui sont émises par Azure STS.
4. Azure MFA communique avec Azure Active Directory pour récupérer les détails de l’utilisateur et exécute l’authentification secondaire en utilisant une méthode de vérification configurée pour l’utilisateur.

Le diagramme suivant illustre ce flux de requêtes d’authentification:

Attention quelques pré requis tout de même :

Avoir des licences MFA / Azure AD Premium ou EMS ou une souscription MFA spécifique (pour chaque utilisateur devant utiliser le service)

Les composants MFA pour NPS sont disponibles à Partir de Windows 2008R2 SP1 ou plus…

 

Plus d’information si vous souhaitez implémenter la solution dans votre environnement :

https://docs.microsoft.com/fr-fr/azure/multi-factor-authentication/multi-factor-authentication-nps-extension

composant MFA pour serveur NPS disponible :

https://www.microsoft.com/en-us/download/details.aspx?id=54688

Comment gérer le MFA dans Azure AD

https://docs.microsoft.com/en-us/azure/multi-factor-authentication/multi-factor-authentication-get-started-cloud

MFA de Microsoft , quelques explications

https://docs.microsoft.com/en-us/azure/multi-factor-authentication/multi-factor-authentication

N’hésitez pas à me contacter pour plus d’information..