Citrix Virtual Apps and Desktops 7 1903实战篇之十九：使用Citrix NetScaler Gateway部署Microsoft Azure MFA和AD Connect(一)

目录

• 为什么您应该部署双因子或多因子认证解决方案
• 设置Azure Active Directory
• 设置Azure AD Connect
• 设置Azure AD Premium
• 在内部设置Azure多重身份验证服务器
• 为NetScaler Gateway配置Azure MFA服务器
• 配置NetScaler Gateway以使用MFA
• 修改MFA的NetScaler Gateway登录页面
• MFA身份验证问题疑难解答
• 审核和报告MFA登录
• Azure MFA黑客尝试通知
• 考虑为自助服务部署Azure MFA用户门户

一、为什么您应该部署双因素或多因素认证解决方案

NetScaler是一个非常强大的设备，您可以在其上设置各种身份验证方法（LDAP / LDAPS，RADIUS，SAML，OAuth等），并且列表不断增长。但是，如果有人知道你的用户ID和域密码，除非你根据另一个因素进行身份验证，否则你无能为力。这是双因子身份验证的“你拥有的东西”的一部分。通常以PIN号码形式的一次性密码/密码（OTP）提供给用户他们拥有的东西，以验证他们是他们说他们是谁。

双因子验证(2FA)，有时又被称作两步验证或者双因素验证，是一种安全验证过程。在这一验证过程中，需要用户提供两种不同的认证因素来证明自己的身份，从而起到更好地保护用户证书和用户可访问的资源。双因子验证比基于单因子的验证方式提供了一种更高级别的保证。在单因子验证中，用户只需提供一种认证因子 —— 一般情况下是一个密码或者口令。双因子验证方式不仅需要用户提供一个密码，而且需要一个第二个因子，通常情况下这一因子会是一个安全令牌或者生物识别因子像指纹和面部扫描。

二、设置Azure Active Directory

首先需要注册Azure申请，然后设置AD Connect。

网址： https://azure.microsoft.com/en-us/

完成后，请按照以下步骤使用AD Connect将内部部署Active Directory链接到Azure：

2.1. 首先登录您的Microsoft Azure帐户 ， 直接转到“Microsoft Azure管理门户”

2.2. 点击ActiveDirectory，添加自定义域名

2.3. 自定义域名，点击添加域

2.4. 到域名注册商处添加解析。

2.5. 这里以阿里云为例，添加txt解析。

2.6. 添加解析验证成功，并设置为主域。

2.7. 点击Active Directory Connect，下载 Azure AD Connect，它是一个名为AzureADConnect.msi的90 MB文件的软件

2.8. 点击下载

三、设置AZURE AD CONNECT

在DC或成员服务器上运行Azure AD Connect，它只是一个简单的同步工具，不会对您的AD做任何事情。以下有一篇指南，介绍如何将您的内部部署Active Directory用户ID与Azure Active Directory集成在一起：

https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnect/

3.1. 在域控上安装 Azure AD Connect 软件，勾选同意并继续。

3.2. 我选择了“快速设置”，但您可以根据需要自定义。您可以指向SQL Server，使用不同的服务帐户，创建自定义同步组等。如果在生产环境中执行此操作，建议执行自定义安装，以便您了解它正在执行的所有操作。

3.3. 在Azure中点击用户，创建了一个具有全局管理员角色的新用户或者直接使用默认用户

3.4. 创建全局管理员，请注意，此帐户必须以“.onmicrosoft.com”结尾，并且是Azure中的全局管理员。

3.5. 接下来返回到刚才安装软件的域控服务器上，键入Enterprise Administrator的凭据，点击下一步。

3.6. 单击“安装”，它将立即安装并开始将Active Directory同步到Azure

3.7. 完成后，按“退出”并确认您的本地AD帐户现在位于Azure AD中。

3.8. .您会注意到所有用户都在“用户”部分中，