Włączanie uwierzytelniania wieloskładnikowego Microsoft Entra (MFA) dla użytkowników sieci VPN przy użyciu uwierzytelniania firmy Microsoft Entra
Jeśli chcesz, aby użytkownicy mogli uzyskać monit o podanie drugiego czynnika uwierzytelniania przed udzieleniem dostępu, możesz skonfigurować uwierzytelnianie wieloskładnikowe firmy Microsoft (MFA). Uwierzytelnianie wieloskładnikowe można skonfigurować dla poszczególnych użytkowników lub korzystać z uwierzytelniania wieloskładnikowego za pośrednictwem dostępu warunkowego.
- Uwierzytelnianie wieloskładnikowe na użytkownika można włączyć bez dodatkowych kosztów. Po włączeniu uwierzytelniania wieloskładnikowego na użytkownika zostanie wyświetlony monit o uwierzytelnienie drugiego składnika dla wszystkich aplikacji powiązanych z dzierżawą firmy Microsoft Entra. Zobacz Opcję 1 , aby uzyskać instrukcje.
- Dostęp warunkowy umożliwia bardziej szczegółową kontrolę nad sposobem podwyższenia poziomu drugiego czynnika. Może zezwalać na przypisywanie uwierzytelniania wieloskładnikowego tylko do sieci VPN i wykluczać inne aplikacje powiązane z dzierżawą firmy Microsoft Entra. Zobacz Opcję 2 , aby uzyskać instrukcje.
Włącz uwierzytelnianie
Przejdź do pozycji Microsoft Entra ID — Aplikacje dla przedsiębiorstw —>> wszystkie aplikacje.
Na stronie Aplikacje dla przedsiębiorstw — wszystkie aplikacje wybierz pozycję Azure VPN.
Konfigurowanie ustawień logowania
Na stronie Azure VPN — Właściwości skonfiguruj ustawienia logowania.
Ustaw opcję Włączone dla użytkowników, aby logowali się? na wartość Tak. To ustawienie umożliwia wszystkim użytkownikom w dzierżawie usługi AD pomyślne nawiązanie połączenia z siecią VPN.
Ustaw wymagane przypisanie użytkownika? na wartość Tak , jeśli chcesz ograniczyć logowanie tylko do użytkowników, którzy mają uprawnienia do sieci VPN platformy Azure.
Zapisz zmiany.
Opcja 1 — dostęp na użytkownika
Otwieranie strony uwierzytelniania wieloskładnikowego
Zaloguj się w witrynie Azure Portal.
Przejdź do pozycji Microsoft Entra ID —> wszyscy użytkownicy.
Wybierz pozycję Multi-Factor Authentication , aby otworzyć stronę uwierzytelniania wieloskładnikowego.
Wybierz użytkowników
Na stronie uwierzytelniania wieloskładnikowego wybierz użytkowników, dla których chcesz włączyć uwierzytelnianie wieloskładnikowe.
Wybierz opcję Włącz.
Opcja 2 — dostęp warunkowy
Dostęp warunkowy umożliwia precyzyjną kontrolę dostępu dla poszczególnych aplikacji. Aby można było korzystać z dostępu warunkowego, należy mieć zastosowanie licencji Microsoft Entra ID P1 lub P2 lub nowszej do użytkowników, którzy będą podlegać regułom dostępu warunkowego.
Przejdź do strony Aplikacje dla przedsiębiorstw — wszystkie aplikacje i kliknij pozycję Azure VPN.
- Kliknij pozycję Dostęp warunkowy.
- Kliknij pozycję Nowe zasady , aby otworzyć okienko Nowy .
W okienku Nowy przejdź do pozycji Przypisania —> Użytkownicy i grupy. Na karcie Użytkownicy i grupy ->Include:
- Kliknij pozycję Wybierz użytkowników i grupy.
- Sprawdź użytkowników i grupy.
- Kliknij pozycję Wybierz , aby wybrać grupę lub zestaw użytkowników, których dotyczy uwierzytelnianie wieloskładnikowe.
- Kliknij Gotowe.
W okienku Nowy przejdź do okienka Kontrola dostępu —> Udzielanie :
- Kliknij pozycję Udziel dostępu.
- Kliknij pozycję Wymagaj uwierzytelniania wieloskładnikowego.
- Kliknij pozycję Wymagaj wszystkich wybranych kontrolek.
- Kliknij opcję Wybierz.
W sekcji Włączanie zasad:
- Wybierz pozycję Włączone.
- Kliknij pozycję Utwórz.
Następne kroki
Aby nawiązać połączenie z siecią wirtualną, należy utworzyć i skonfigurować profil klienta sieci VPN. Zobacz Configure Microsoft Entra authentication for Point-to-Site connection to Azure (Konfigurowanie uwierzytelniania entra firmy Microsoft dla połączenia punkt-lokacja z platformą Azure).