使用 Azure AD 進行 RDP 的 Windows Server 2016 多因素身份驗證
我們希望在我們的 Windows Server 系統上對 RDP 登錄(和本地登錄)進行多因素身份驗證。目前我們所有的 Windows Server 系統都是 Windows Server 2016。我們正在使用 Azure Active Directory 免費層(但如果需要,可以升級)。我們不想在組合中使用第三方產品。
因此,理想情況下,我們會將 Windows Server 2016 系統加入 Azure AD。然後我們會以某種方式要求多因素身份驗證。
我們無法找到有關如何執行此操作的簡單指南。StackExchange 上有一些關於此主題的問題,但要麼沒有答案,要麼問題已經存在多年並且說無法完成。
由於是 2020 年,並且還有新的 Windows Server 2019 和 2016 作業系統可用,並且由於 Windows 10 桌面支持 MFA,所以我想問這個問題:
如何實現 Azure AD + MFA + Windows Server 2016 RDP 登錄?
可能的方法如下:
**如果您的伺服器位於本地網路中且未託管在 Azure 上,**則部署遠端桌面網關 (RDG) 場並使用網路策略伺服器 (NPS) 擴展將其與 Azure AD 集成,這將讓 Azure 處理 MFA 請求:https:// docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-nps-extension-rdg
如果您的伺服器託管在 Azure 上,您將能夠使用新的(預覽版)功能,該功能允許您使用 Azure AD 使用者帳戶進行身份驗證,這將允許您在使用者 RDP 進入伺服器時向使用者請求 MFA:https: //docs.microsoft.com/en-us/azure/active-directory/devices/howto-vm-sign-in-azure-ad-windows
請注意,第二種方式有很多限制,其中:
- 您需要將 RDP 會話兩端的電腦加入同一個 Azure AD 租戶
- 您可以請求的唯一 MFA 類型是 Windows Hello For Business PRT,因為 RDP 還沒有互動式登錄功能……。
- 目前不支持按使用者 MFA