Поделиться через

Включение многофакторной проверки подлинности (MFA) идентификатора Microsoft Entra ID для пользователей VPN P2S

  • Статья

Если необходимо, чтобы пользователи могли получать запрос на второй фактор проверки подлинности перед предоставлением доступа, можно настроить многофакторную проверку подлинности Microsoft Entra (MFA). Многофакторную проверку подлинности можно настроить отдельно для каждого пользователя или использовать ее посредством Условного доступа.

  • Многофакторную проверку подлинности для каждого пользователя можно включить без дополнительных затрат. При включении многофакторной проверки подлинности для каждого пользователя пользователю предлагается второй фактор проверки подлинности для всех приложений, привязанных к клиенту Microsoft Entra. Пошаговые инструкции см. в разделе Вариант 1.
  • Условный доступ обеспечивает более детализированный контроль в отношении того, как должен запрашиваться второй фактор проверки. Он может разрешить назначение MFA только VPN и исключить другие приложения, привязанные к клиенту Microsoft Entra. См . вариант 2 для действий по настройке. Дополнительные сведения об условном доступе см. в разделе "Что такое условный доступ"?

Включение проверки подлинности

  1. Перейдите к идентификатору Microsoft Entra —> корпоративные приложения —> все приложения.
  2. На странице Корпоративные приложения — все приложения выберите Azure VPN.

Настройка параметров входа

На странице Azure VPN — свойства настройте параметры входа.

  1. Задайте для параметра Включено для входа пользователей? значение Да. Этот параметр позволяет всем пользователям в клиенте AD подключаться к VPN.
  2. Задайте для параметра Требуется назначение пользователей? значение Да, если нужно ограничить вход только пользователями, у которых есть разрешения на VPN-подключение к Azure.
  3. Сохранение изменений.

Вариант 1 — доступ для каждого пользователя

Открытие страницы MFA

  1. Войдите на портал Azure.
  2. Перейдите к идентификатору Microsoft Entra —> Users.
  3. На странице "Пользователи — все пользователи" выберите MFA для каждого пользователя, чтобы открыть страницу многофакторной проверки подлинности для каждого пользователя.

Выбрать пользователей

  1. На странице Многофакторная идентификация выберите пользователей, для которых нужно включить MFA.
  2. Выберите "Включить MFA".

Вариант 2 — условный доступ

Рекомендуемый способ включения и использования многофакторной проверки подлинности Microsoft Entra — с политиками условного доступа. Подробные инструкции по настройке см. в руководстве. Требование многофакторной проверки подлинности.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.

  2. Перейдите к условному доступу в Центре>безопасности Защиты>, выберите +Создать политику, а затем нажмите кнопку "Создать новую политику".

  3. В области "Создать" введите имя политики, например VPN-политики.

  4. Заполните следующие поля:

    Поле значение
    К чему применяется эта политика? Пользователи и группы
    Назначения Включены определенные пользователи
    Включение Выберите пользователей и группы. Установите флажок для пользователей и групп
    Выбрать Выберите по крайней мере одного пользователя или группы

  5. На странице "Выбор" найдите и выберите пользователя или группу Microsoft Entra, к которой требуется применить эту политику. Например, VPN-пользователи, а затем нажмите кнопку "Выбрать".

Затем настройте условия многофакторной проверки подлинности. В следующих шагах вы настроите приложение VPN-клиента Azure, чтобы требовать многофакторную проверку подлинности при входе пользователя. Дополнительные сведения см. в разделе "Настройка условий".

  1. Выберите текущее значение в разделе Облачные приложения или действия и убедитесь, что в пункте Выбрать объект, к которому будет применяться эта политика выбрано Облачные приложения.

  2. В разделе "Включить" выберите " Выбрать ресурсы". Так как приложения еще не выбраны, список приложений открывается автоматически.

  3. В области "Выбор" выберите приложение VPN-клиента Azure, а затем нажмите кнопку "Выбрать".

Затем настройте элементы управления доступом, чтобы требовать многофакторную проверку подлинности во время события входа.

  1. В разделе "Элементы управления доступом" выберите "Предоставить" и выберите "Предоставить доступ".

  2. Выберите " Требовать многофакторную проверку подлинности".

  3. Для нескольких элементов управления выберите "Требовать все выбранные элементы управления".

Теперь активируйте политику.

  1. В разделе Включить политику нажмите кнопку Вкл.

  2. Чтобы применить политику условного доступа, выберите Создать.

Следующие шаги

Чтобы подключиться к виртуальной сети, нужно создать и настроить профиль VPN-клиента. См. раздел Настройка клиента VPN для подключений P2S VPN.