Azure RADIUS MFA fordert nicht zur Eingabe von Textcode auf für GlobalProtect

• GlobalProtect Authentifizierung auf RADIUS
• RADIUS Serverauthentifizierungsprotokoll PEAP- MSCHAPv2
• Azure RADIUS MFA mit Textnachricht konfiguriert
• Nach der Eingabe von Benutzername / Passwort für GlobalProtect die zweite Authentifizierung wurde die Aufforderung zur Eingabe von PIN "Code eingeben" nie angezeigt.  
• Die authd.log in CLI zeigt ""Auth FAILED"

>less mp-log authd.log

Auth FAILED for user "testuser" thru <"Radius_Authentication", "vsys1">: remote server 10.0.0.10 of server profile "Radius" is down, or in retry interval, or request timed out (elapsed time 55 secs, max allowed 55 secs)

• Für die MFA Textnachrichtenoption muss azure Radius-Server die Authentifizierungsherausforderung an die firewall Weiterleitung an den Client GP senden. In firewall authd.log haben wir keinen Hinweis darauf gesehen, dass wir eine Herausforderung erhalten RADIUS haben, die an den Kunden weitergegeben werden soll.

• PAN-OS 8.1.3
• GlobalProtect
• RADIUS Authentifizierung mit PEAP- MSCHAPv2
• Azure MFA über Textnachricht

• Einweg-Textnachrichten werden für CHAPV2   und   EAP Azure AD Multi-Factor nicht unterstützt

• PAP unterstützt alle Authentifizierungsmethoden von Azure AD Multi-Factor Authentication in der Cloud: Telefonanruf, einseitige Textnachricht, mobile app OATH hardware Benachrichtigung, Token und app mobiler Überprüfungscode.
• CHAPV2   und  EAP   Unterstützen Sie Telefonanruf und mobile app Benachrichtigung.