Włączanie uwierzytelniania wieloskładnikowego (MFA) dla sieci VPN typu punkt-lokacja — uwierzytelnianie identyfikatora entra firmy Microsoft
Jeśli chcesz, aby użytkownicy mogli uzyskać monit o podanie drugiego czynnika uwierzytelniania przed udzieleniem dostępu, możesz skonfigurować uwierzytelnianie wieloskładnikowe firmy Microsoft (MFA). Uwierzytelnianie wieloskładnikowe można skonfigurować dla poszczególnych użytkowników lub korzystać z uwierzytelniania wieloskładnikowego za pośrednictwem dostępu warunkowego.
- Uwierzytelnianie wieloskładnikowe na użytkownika można włączyć bez dodatkowych kosztów. Po włączeniu uwierzytelniania wieloskładnikowego na użytkownika zostanie wyświetlony monit o uwierzytelnienie drugiego składnika dla wszystkich aplikacji powiązanych z dzierżawą firmy Microsoft Entra. Zobacz Opcję 1 , aby uzyskać instrukcje.
- Dostęp warunkowy umożliwia bardziej szczegółową kontrolę nad sposobem podwyższenia poziomu drugiego czynnika. Może zezwalać na przypisywanie uwierzytelniania wieloskładnikowego tylko do sieci VPN i wykluczać inne aplikacje powiązane z dzierżawą firmy Microsoft Entra. Zobacz Opcję 2 , aby uzyskać instrukcje konfiguracji. Aby uzyskać więcej informacji na temat dostępu warunkowego, zobacz Co to jest dostęp warunkowy?
Włącz uwierzytelnianie
- Przejdź do pozycji Microsoft Entra ID — Aplikacje dla przedsiębiorstw —>> wszystkie aplikacje.
- Na stronie Aplikacje dla przedsiębiorstw — wszystkie aplikacje wybierz pozycję Azure VPN.
Konfigurowanie ustawień logowania
Na stronie Azure VPN — Właściwości skonfiguruj ustawienia logowania.
- Ustaw opcję Włączone dla użytkowników, aby logowali się? na wartość Tak. To ustawienie umożliwia wszystkim użytkownikom w dzierżawie usługi AD pomyślne nawiązanie połączenia z siecią VPN.
- Ustaw wymagane przypisanie użytkownika? na wartość Tak , jeśli chcesz ograniczyć logowanie tylko do użytkowników, którzy mają uprawnienia do sieci VPN platformy Azure.
- Zapisz zmiany.
Opcja 1 — dostęp na użytkownika
Otwieranie strony uwierzytelniania wieloskładnikowego
- Zaloguj się w witrynie Azure Portal.
- Przejdź do pozycji Microsoft Entra ID —> Użytkownicy.
- Na stronie Użytkownicy — wszyscy użytkownicy wybierz pozycję Uwierzytelnianie wieloskładnikowe dla poszczególnych użytkowników, aby otworzyć stronę uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników.
Wybierz użytkowników
- Na stronie uwierzytelniania wieloskładnikowego wybierz użytkowników, dla których chcesz włączyć uwierzytelnianie wieloskładnikowe.
- Wybierz pozycję Włącz uwierzytelnianie wieloskładnikowe.
Opcja 2 — dostęp warunkowy
Dostęp warunkowy umożliwia precyzyjną kontrolę dostępu dla poszczególnych aplikacji. Aby można było korzystać z dostępu warunkowego, należy mieć zastosowanie licencji Microsoft Entra ID P1 lub P2 lub nowszej do użytkowników, którzy będą podlegać regułom dostępu warunkowego. Aby uzyskać więcej informacji, zobacz Co to jest dostęp warunkowy?
Przejdź do strony Microsoft Entra ID — Aplikacje dla przedsiębiorstw — wszystkie aplikacje i kliknij pozycję Azure VPN.
- Kliknij pozycję Dostęp warunkowy.
- Kliknij pozycję Nowe zasady , aby otworzyć okienko Nowy .
W okienku Nowy przejdź do pozycji Przypisania —> Użytkownicy i grupy. Na karcie Użytkownicy i grupy — > dołączanie:
- Kliknij pozycję Wybierz użytkowników i grupy.
- Sprawdź użytkowników i grupy.
- Kliknij pozycję Wybierz , aby wybrać grupę lub zestaw użytkowników, których dotyczy uwierzytelnianie wieloskładnikowe.
- Kliknij Gotowe.
W okienku Nowy przejdź do okienka Kontrola dostępu —> Udzielanie :
- Kliknij pozycję Udziel dostępu.
- Kliknij pozycję Wymagaj uwierzytelniania wieloskładnikowego.
- Kliknij pozycję Wymagaj wszystkich wybranych kontrolek.
- Kliknij opcję Wybierz.
W sekcji Włączanie zasad:
- Wybierz pozycję Włączone.
- Kliknij przycisk Utwórz , aby utworzyć zasady.
Następne kroki
Aby nawiązać połączenie z siecią wirtualną, należy utworzyć i skonfigurować profil klienta sieci VPN. Zobacz Configure Microsoft Entra authentication for Point-to-Site connection to Azure (Konfigurowanie uwierzytelniania entra firmy Microsoft dla połączenia punkt-lokacja z platformą Azure).