Обход сервера политики сети с помощью расширения Azure AD
Я надеюсь, что кто-то может помочь мне здесь!
У нас есть среда RDS, мы представили Azure MFA и успешно ее создали, используя следующее руководство: https://learn.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-nps-extension-rdg .
Проблема, с которой я столкнулся, заключается в том, что нам нужна возможность избавить пользователей от необходимости предоставлять MFA в случае, если у них нет мобильного устройства. Насколько я понимаю, любой запрос, поступающий на сервер NPS с установленным расширением MFA, независимо от этого запрашивается для MFA.
Я сделал кое-что на этой странице в Microsoft (https://learn.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-nps-extension#control-radius-clients-that-require-mfa ), где говорится: «Если вы хотите включить MFA для некоторых клиентов RADIUS, но не для других, вы можете настроить два NPS-сервера и установить расширение только на одном из них».
К сожалению, я не видел руководства о том, как этого добиться.
С тех пор я создал еще один NPS-сервер (без расширения, называемый Сервером A), и у меня есть Сервер B (NPS с расширением MFA). Мне удалось заставить наш шлюз удаленных рабочих столов отправить запрос на аутентификацию на сервер A. Существует сетевая политика, позволяющая пользователю входить в систему, если он входит в группу безопасности AD «Обход MFA». Я хотел бы, чтобы кто-то был частью другой группы безопасности AD (например, MFA), чтобы сервер A затем пересылал запрос на сервер B, чтобы он обработал аутентификацию с помощью MFA.
При создании новой политики запросов на подключение на сервере A я просто не вижу в доступном списке условия, которое позволило бы мне направить запрос на сервер B для обработки MFA, и именно здесь я застрял.
Может ли сервер NPS эффективно ретранслировать запрос аутентификации на другой сервер NPS на основе членства пользователя в группе безопасности? Или я иду неправильным путем для достижения этой цели?
Любая помощь будет принята с благодарностью! Если потребуется, готов предоставить скриншоты. Спасибо за прочтение :)