利用Azure MFA认证者电话应用程序认证Amazon WorkSp

小提示：您能找到这篇{利用Azure MFA认证者电话应用程序认证Amazon WorkSp}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的利用Azure MFA认证者电话应用程序认证Amazon WorkSp内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

Amazon WorkSpaces是一个托管的虚拟桌面即服务（DaaS）解决方案。用户可以使用Amazon WorkSpaces来配置Windows或Linux虚拟桌面。

Multi Factor Authentication通过要求用户输入由您的虚拟或硬件MFA解决方案提供的验证码（第二个因素），为用户名和密码（第一个“因素”）增加了一层额外的保护。除非用户提供有效的MFA代码，否则这些因素将通过阻止对AWS服务的访问来提供额外的安全性。

Azure MFA是一种流行的多因素身份验证解决方案，通常是多步骤身份验证MFA的一部分。

Azure MFA提供以下验证形式：

Microsoft Authenticator电话应用程序（通知或应用程序代码）

OATH硬件令牌

短信

语音通话

在我们的方案中，将Azure MFA与Microsoft Authenticator应用程序一起使用将提供带外身份验证机制。在这篇文章中，我们将讨论有关配置Aws工作区以用作另一个身份验证因素（一个因素将是AD用企业市场营销策划方案户密码），以及使用组织拥有的MS Active Directory目录服务（AD DS）和Microsoft Authenticator电话应用程序通知来通知Azure MFA的信息。）。

在执行本文章中详述的任何步骤之前，请确保已部署并配置了“先决条件”下列出的所有要求。

先决条件

具有一个或多个域控制器的现有MS Active Directory域。

现有的Azure AD。

现有的Azure AD Connect将所需的用户帐户同步到Azure AD。

用户在手机上下载了MS Authenticator应用程序的电话（Android/iOS）。

启用Azure MFA和Authenticator应用程序推送通知。

已加入域的NPS服务器与安装的Azure MFA扩展一起充当客户拥有的RADIUS服务器。

配置NstrongPS Radius服务器：将Aws目录连接器IP添加为论高校公关危机与危机公关Radius客户端

从Amazon WorkSpaces控制台转到Directories，然后展开您需要MFA的目录。请注意从目录IP地址字段中的两个目录IP地址。

使用您的随机密码生成器来生成一个随机秘码。这将用作Radius客户端（Aws）与NPS Radius服务器之间的共享密钥。当Radius客户端与Radius服务器对话时，Radius共享秘码用于所有需要隐藏数据的操作。

登录NPS控制台,在NPS控制台上,右键单击“RADIUS客户端和新建”。

输入一个友好的名称，这将帮助您识别Radius客户端。

在“Aws Directory IP地址”字段中输入您先前记下的第一个IP。

对于共享机密，请选择“手动”，并提供先前生成的共享机密。

单击确定。

对先前在“Aws目录IP地址”字段中记下的辅助IP重复相同的步骤，以添加第二个Radius客户端。

启用WorkSpaces多重身份验证

从Amazon WorkSpaces控制台转到Directories，然后选择需要MFA的Directory，然后展开“Actions”菜单，然后单击“Update Details”。

选中“启用多重身份验证”复选框以启用它。

输入以下:

您的NPS服务器IP地址（如果多个）用逗号隔开。

添加用于Radius客户端的NPS上的共享机密。

对于协议，在编写时有四个选择：默认为PAP。

对于服务器超时（以秒为单位），您可以将其增加到最大50（允许的值在1到50之间，这是Aws等待RADIUS服务器响应的时间）。由于使用了超出范围的MFA，因此会增加超时，因此用户将需要一点时间来批准其手机应用程序上的请求，这意味着Radius服务器响应将被延迟。

对于“最大RADIUS请求重试次数”，您可以在0到10之间选择。值1、2或3将起作用。这指定与Radius服务器进行通信尝试的次数。

选择更新或更新并退出。当RADIUS状态更改为“已完成”（Aws测试凭据使用不带密码的用户名（awsfaketestuser），Aws希望Radius服务器发出“拒绝”消息）时，多因素身份验证可用。

PAP支持Azure MFA的所有身份验证方法：电话，单向短信，移动应用程序通知，OATH硬件令牌和移动应用程序验证代码。CHAPV2和EAP支持电话和移动应用通知。

配置NPS Radius服务器：添加连接请求策略

连接请求处理在充当Radius服务器的NPS服务器上进行。该策略将指示它如何识别来自Aws Radius客户端的请求，并在此特定策略下对其进行处理。

该策略还将决定是否执行主要因素身份验证（AD用户凭据）。

首先，我们将禁用默认的连接请求和网络策略（以确保它们不与我们自己的重叠）。

现在，我们添加策略。在NPS控制台上，在“NPS（Local）”>“Policies”上，右键单击“Connection and Request Policies and New”。

指定策略名称。

在“指定条件”下，向下滚动至“Radius客户端属性”并添加客户端IPv4Address。此处输入的IP地址将是您先前在Aws Directory IP地址字段中记下的第一个IP。

在“指定连接请求转发”上，选择“接受用户而不验证凭据”。

重复相同的步骤，为您先前在Aws Directory IP地址字段中记录的辅助IP添加另一个策略。

测试WorkSpaces MFA

现在，与测试用户建立联系。在我们的测试中，使用的客户端将是Windows客户端版本。WorkSpaces登录页面将提示用户输入MFA代码。用户在此字段中再次输入其AD密码。

给它几秒钟，您的手机应该会收到通知。从那您可以批准登录。

通过MFA身份验证后，WorkSpaces客户端将让您登录到桌面。

总结

在此博客中，我们为您提供了有关如何设置Amazon WorkSpaces MFA电话身份验证的示例。身份验证有很多不同的类型，电话身份验证就是其中之一。我们建议客户启用MFA for WorkSpaces以提供附加的安全桌面访问。