Udostępnij za pośrednictwem

Włączanie uwierzytelniania wieloskładnikowego (MFA) firmy Microsoft dla użytkowników sieci VPN P2S

  • Artykuł

Jeśli chcesz, aby użytkownicy mogli uzyskać monit o podanie drugiego czynnika uwierzytelniania przed udzieleniem dostępu, możesz skonfigurować uwierzytelnianie wieloskładnikowe firmy Microsoft (MFA). Uwierzytelnianie wieloskładnikowe można skonfigurować dla poszczególnych użytkowników lub korzystać z uwierzytelniania wieloskładnikowego za pośrednictwem dostępu warunkowego.

  • Uwierzytelnianie wieloskładnikowe na użytkownika można włączyć bez dodatkowych kosztów. Po włączeniu uwierzytelniania wieloskładnikowego na użytkownika zostanie wyświetlony monit o uwierzytelnienie drugiego składnika dla wszystkich aplikacji powiązanych z dzierżawą firmy Microsoft Entra. Zobacz Opcję 1 , aby uzyskać instrukcje.
  • Dostęp warunkowy umożliwia bardziej szczegółową kontrolę nad sposobem podwyższenia poziomu drugiego czynnika. Może zezwalać na przypisywanie uwierzytelniania wieloskładnikowego tylko do sieci VPN i wykluczać inne aplikacje powiązane z dzierżawą firmy Microsoft Entra. Zobacz Opcję 2 , aby uzyskać instrukcje konfiguracji. Aby uzyskać więcej informacji na temat dostępu warunkowego, zobacz Co to jest dostęp warunkowy?

Włącz uwierzytelnianie

  1. Przejdź do pozycji Microsoft Entra ID — Aplikacje dla przedsiębiorstw —>> wszystkie aplikacje.
  2. Na stronie Aplikacje dla przedsiębiorstw — wszystkie aplikacje wybierz pozycję Azure VPN.

Konfigurowanie ustawień logowania

Na stronie Azure VPN — Właściwości skonfiguruj ustawienia logowania.

  1. Ustaw opcję Włączone dla użytkowników, aby logowali się? na wartość Tak. To ustawienie umożliwia wszystkim użytkownikom w dzierżawie usługi AD pomyślne nawiązanie połączenia z siecią VPN.
  2. Ustaw wymagane przypisanie użytkownika? na wartość Tak , jeśli chcesz ograniczyć logowanie tylko do użytkowników, którzy mają uprawnienia do sieci VPN platformy Azure.
  3. Zapisz zmiany.

Opcja 1 — dostęp na użytkownika

Otwieranie strony uwierzytelniania wieloskładnikowego

  1. Zaloguj się w witrynie Azure Portal.
  2. Przejdź do pozycji Microsoft Entra ID —> Użytkownicy.
  3. Na stronie Użytkownicy — wszyscy użytkownicy wybierz pozycję Uwierzytelnianie wieloskładnikowe dla poszczególnych użytkowników, aby otworzyć stronę uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników.

Wybierz użytkowników

  1. Na stronie uwierzytelniania wieloskładnikowego wybierz użytkowników, dla których chcesz włączyć uwierzytelnianie wieloskładnikowe.
  2. Wybierz pozycję Włącz uwierzytelnianie wieloskładnikowe.

Opcja 2 — dostęp warunkowy

Zalecanym sposobem włączania i używania uwierzytelniania wieloskładnikowego firmy Microsoft jest użycie zasad dostępu warunkowego. Aby uzyskać szczegółowe instrukcje konfiguracji, zobacz samouczek: Wymaganie uwierzytelniania wieloskładnikowego.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.

  2. Przejdź do pozycji Ochrona>dostępu warunkowego usługi Security Center>, wybierz pozycję + Nowe zasady, a następnie wybierz pozycję Utwórz nowe zasady.

  3. W okienku Nowy wprowadź nazwę zasad, taką jak zasady sieci VPN.

  4. Uzupełnij poniższe pola:

    Pole Wartość
    Do czego mają zastosowanie te zasady? Użytkownicy i grupy
    Przypisania Określeni użytkownicy uwzględnieni
    Uwzględnij Wybierz użytkowników i grupy. Zaznacz pole wyboru Dla użytkowników i grup
    Wybierz pozycję Wybierz co najmniej jednego użytkownika lub grupę

  5. Na stronie Wybierz wyszukaj i wybierz użytkownika lub grupę firmy Microsoft, do której mają zostać zastosowane te zasady. Na przykład użytkownicy sieci VPN, a następnie wybierz pozycję Wybierz.

Następnie skonfiguruj warunki uwierzytelniania wieloskładnikowego. W poniższych krokach skonfigurujesz aplikację klienta sieci VPN platformy Azure, aby wymagać uwierzytelniania wieloskładnikowego, gdy użytkownik się zaloguje. Aby uzyskać więcej informacji, zobacz Konfigurowanie warunków.

  1. Wybierz bieżącą wartość w obszarze Aplikacje lub akcje w chmurze, a następnie w obszarze Wybierz, do czego mają zastosowanie te zasady, sprawdź, czy wybrano aplikacje w chmurze.

  2. W obszarze Dołącz wybierz pozycję Wybierz zasoby. Ponieważ nie wybrano jeszcze żadnych aplikacji, lista aplikacji zostanie otwarta automatycznie.

  3. W okienku Wybierz wybierz aplikację klienta sieci VPN platformy Azure, a następnie wybierz pozycję Wybierz.

Następnie skonfiguruj mechanizmy kontroli dostępu, aby wymagać uwierzytelniania wieloskładnikowego podczas zdarzenia logowania.

  1. W obszarze Kontrola dostępu wybierz pozycję Udziel, a następnie wybierz pozycję Udziel dostępu.

  2. Wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego.

  3. W przypadku wielu kontrolek wybierz pozycję Wymagaj wszystkich wybranych kontrolek.

Teraz aktywuj zasady.

  1. W obszarze Włączanie zasad wybierz pozycję Włączone.

  2. Aby zastosować zasady dostępu warunkowego, wybierz pozycję Utwórz.

Następne kroki

Aby nawiązać połączenie z siecią wirtualną, należy utworzyć i skonfigurować profil klienta sieci VPN. Zobacz Konfigurowanie klienta sieci VPN dla połączeń sieci VPN punkt-lokacja.