Włączanie usługi Azure AD Multi-Factor Authentication (MFA) dla użytkowników sieci VPN przy użyciu uwierzytelniania usługi Azure AD

Jeśli chcesz, aby użytkownicy mogli uzyskać monit o podanie drugiego czynnika uwierzytelniania przed udzieleniem dostępu, możesz skonfigurować usługę Azure AD Multi-Factor Authentication (MFA). Uwierzytelnianie wieloskładnikowe można skonfigurować dla poszczególnych użytkowników lub korzystać z uwierzytelniania wieloskładnikowego za pośrednictwem dostępu warunkowego.

• Uwierzytelnianie wieloskładnikowe na użytkownika można włączyć bez dodatkowych kosztów. Podczas włączania uwierzytelniania wieloskładnikowego na użytkownika zostanie wyświetlony monit o uwierzytelnienie dwuskładnikowe dla wszystkich aplikacji powiązanych z dzierżawą usługi Azure AD. Zobacz Opcję 1 , aby uzyskać instrukcje.
• Dostęp warunkowy umożliwia bardziej szczegółową kontrolę nad sposobem podwyższenia poziomu drugiego czynnika. Umożliwia przypisanie usługi MFA tylko do sieci VPN i wykluczanie innych aplikacji powiązanych z dzierżawą usługi Azure AD. Zobacz Opcję 2 , aby uzyskać instrukcje.

Włącz uwierzytelnianie

1. Przejdź do Azure Active Directory —> aplikacje Enterprise —> wszystkie aplikacje.

2. Na stronie Enterprise aplikacje — wszystkie aplikacje wybierz pozycję Azure VPN.

   

Konfigurowanie ustawień logowania

Na stronie Azure VPN — Właściwości skonfiguruj ustawienia logowania.

1. Ustaw opcję Włączone dla użytkowników, aby logowali się? na wartość Tak. To ustawienie umożliwia wszystkim użytkownikom w dzierżawie usługi AD pomyślne nawiązanie połączenia z siecią VPN.

2. Ustaw opcję Wymagane przypisanie użytkownika? na wartość Tak , jeśli chcesz ograniczyć logowanie tylko do użytkowników, którzy mają uprawnienia do sieci VPN platformy Azure.

3. Zapisz zmiany.

   

Opcja 1 — dostęp na użytkownika

Otwieranie strony uwierzytelniania wieloskładnikowego

1. Zaloguj się w witrynie Azure Portal.

2. Przejdź do Azure Active Directory —> wszyscy użytkownicy.

3. Wybierz pozycję Multi-Factor Authentication , aby otworzyć stronę uwierzytelniania wieloskładnikowego.

   

Wybieranie użytkowników

1. Na stronie uwierzytelniania wieloskładnikowego wybierz użytkowników, dla których chcesz włączyć uwierzytelnianie wieloskładnikowe.

2. Wybierz pozycję Włącz.

   

Opcja 2 — dostęp warunkowy

Dostęp warunkowy umożliwia precyzyjną kontrolę dostępu dla poszczególnych aplikacji. Aby korzystać z dostępu warunkowego, należy mieć Azure AD — wersja Premium 1 lub większą licencję zastosowaną do użytkowników, którzy będą podlegać regułom dostępu warunkowego.

1. Przejdź do strony aplikacje Enterprise — wszystkie aplikacje i kliknij pozycję Azure VPN.

   • Kliknij pozycję Dostęp warunkowy.
   • Kliknij pozycję Nowe zasady , aby otworzyć okienko Nowy .

2. W okienku Nowy przejdź do pozycji Przypisania —> użytkownicy i grupy. Na karcie Użytkownicy i grupy ->Dołączanie:

   • Kliknij pozycję Wybierz użytkowników i grupy.
   • Zaznacz pozycję Użytkownicy i grupy.
   • Kliknij pozycję Wybierz , aby wybrać grupę lub zestaw użytkowników, których dotyczy uwierzytelnianie wieloskładnikowe.
   • Kliknij przycisk Gotowe.

   

3. W okienku Nowy przejdź do okienka Kontrole dostępu —> udziel :

   • Kliknij pozycję Udziel dostępu.
   • Kliknij pozycję Wymagaj uwierzytelniania wieloskładnikowego.
   • Kliknij pozycję Wymagaj wszystkich wybranych kontrolek.
   • Kliknij pozycję Wybierz.

   

4. W sekcji Włączanie zasad :

   • Wybierz pozycję Włączone.
   • Kliknij pozycję Utwórz.

   

Następne kroki

Aby nawiązać połączenie z siecią wirtualną, należy utworzyć i skonfigurować profil klienta sieci VPN. Zobacz Konfigurowanie uwierzytelniania usługi Azure AD dla połączenia punkt-lokacja z platformą Azure.