Włączanie uwierzytelniania wieloskładnikowego (MFA) firmy Microsoft dla użytkowników sieci VPN P2S
Jeśli chcesz, aby użytkownicy mogli uzyskać monit o podanie drugiego czynnika uwierzytelniania przed udzieleniem dostępu, możesz skonfigurować uwierzytelnianie wieloskładnikowe firmy Microsoft (MFA). Uwierzytelnianie wieloskładnikowe można skonfigurować dla poszczególnych użytkowników lub korzystać z uwierzytelniania wieloskładnikowego za pośrednictwem dostępu warunkowego.
- Uwierzytelnianie wieloskładnikowe na użytkownika można włączyć bez dodatkowych kosztów. Po włączeniu uwierzytelniania wieloskładnikowego na użytkownika zostanie wyświetlony monit o uwierzytelnienie drugiego składnika dla wszystkich aplikacji powiązanych z dzierżawą firmy Microsoft Entra. Zobacz Opcję 1 , aby uzyskać instrukcje.
- Dostęp warunkowy umożliwia bardziej szczegółową kontrolę nad sposobem podwyższenia poziomu drugiego czynnika. Może zezwalać na przypisywanie uwierzytelniania wieloskładnikowego tylko do sieci VPN i wykluczać inne aplikacje powiązane z dzierżawą firmy Microsoft Entra. Zobacz Opcję 2 , aby uzyskać instrukcje konfiguracji. Aby uzyskać więcej informacji na temat dostępu warunkowego, zobacz Co to jest dostęp warunkowy?
Włącz uwierzytelnianie
- Przejdź do pozycji Microsoft Entra ID — Aplikacje dla przedsiębiorstw —>> wszystkie aplikacje.
- Na stronie Aplikacje dla przedsiębiorstw — wszystkie aplikacje wybierz pozycję Azure VPN.
Konfigurowanie ustawień logowania
Na stronie Azure VPN — Właściwości skonfiguruj ustawienia logowania.
- Ustaw opcję Włączone dla użytkowników, aby logowali się? na wartość Tak. To ustawienie umożliwia wszystkim użytkownikom w dzierżawie usługi AD pomyślne nawiązanie połączenia z siecią VPN.
- Ustaw wymagane przypisanie użytkownika? na wartość Tak , jeśli chcesz ograniczyć logowanie tylko do użytkowników, którzy mają uprawnienia do sieci VPN platformy Azure.
- Zapisz zmiany.
Opcja 1 — dostęp na użytkownika
Otwieranie strony uwierzytelniania wieloskładnikowego
- Zaloguj się w witrynie Azure Portal.
- Przejdź do pozycji Microsoft Entra ID —> Użytkownicy.
- Na stronie Użytkownicy — wszyscy użytkownicy wybierz pozycję Uwierzytelnianie wieloskładnikowe dla poszczególnych użytkowników, aby otworzyć stronę uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników.
Wybierz użytkowników
- Na stronie uwierzytelniania wieloskładnikowego wybierz użytkowników, dla których chcesz włączyć uwierzytelnianie wieloskładnikowe.
- Wybierz pozycję Włącz uwierzytelnianie wieloskładnikowe.
Opcja 2 — dostęp warunkowy
Zalecanym sposobem włączania i używania uwierzytelniania wieloskładnikowego firmy Microsoft jest użycie zasad dostępu warunkowego. Aby uzyskać szczegółowe instrukcje konfiguracji, zobacz samouczek: Wymaganie uwierzytelniania wieloskładnikowego.
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
Przejdź do pozycji Ochrona>dostępu warunkowego usługi Security Center>, wybierz pozycję + Nowe zasady, a następnie wybierz pozycję Utwórz nowe zasady.
W okienku Nowy wprowadź nazwę zasad, taką jak zasady sieci VPN.
Uzupełnij poniższe pola:
Pole Wartość Do czego mają zastosowanie te zasady? Użytkownicy i grupy Przypisania Określeni użytkownicy uwzględnieni Uwzględnij Wybierz użytkowników i grupy. Zaznacz pole wyboru Dla użytkowników i grup Wybierz pozycję Wybierz co najmniej jednego użytkownika lub grupę Na stronie Wybierz wyszukaj i wybierz użytkownika lub grupę firmy Microsoft, do której mają zostać zastosowane te zasady. Na przykład użytkownicy sieci VPN, a następnie wybierz pozycję Wybierz.
Następnie skonfiguruj warunki uwierzytelniania wieloskładnikowego. W poniższych krokach skonfigurujesz aplikację klienta sieci VPN platformy Azure, aby wymagać uwierzytelniania wieloskładnikowego, gdy użytkownik się zaloguje. Aby uzyskać więcej informacji, zobacz Konfigurowanie warunków.
Wybierz bieżącą wartość w obszarze Aplikacje lub akcje w chmurze, a następnie w obszarze Wybierz, do czego mają zastosowanie te zasady, sprawdź, czy wybrano aplikacje w chmurze.
W obszarze Dołącz wybierz pozycję Wybierz zasoby. Ponieważ nie wybrano jeszcze żadnych aplikacji, lista aplikacji zostanie otwarta automatycznie.
W okienku Wybierz wybierz aplikację klienta sieci VPN platformy Azure, a następnie wybierz pozycję Wybierz.
Następnie skonfiguruj mechanizmy kontroli dostępu, aby wymagać uwierzytelniania wieloskładnikowego podczas zdarzenia logowania.
W obszarze Kontrola dostępu wybierz pozycję Udziel, a następnie wybierz pozycję Udziel dostępu.
Wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego.
W przypadku wielu kontrolek wybierz pozycję Wymagaj wszystkich wybranych kontrolek.
Teraz aktywuj zasady.
W obszarze Włączanie zasad wybierz pozycję Włączone.
Aby zastosować zasady dostępu warunkowego, wybierz pozycję Utwórz.
Następne kroki
Aby nawiązać połączenie z siecią wirtualną, należy utworzyć i skonfigurować profil klienta sieci VPN. Zobacz Konfigurowanie klienta sieci VPN dla połączeń sieci VPN punkt-lokacja.