Włączanie usługi Azure AD Multi-Factor Authentication (MFA) dla użytkowników sieci VPN przy użyciu uwierzytelniania usługi Azure AD

Jeśli chcesz, aby użytkownicy mogli uzyskać monit o podanie drugiego czynnika uwierzytelniania przed udzieleniem dostępu, możesz skonfigurować usługę Azure AD Multi-Factor Authentication (MFA). Uwierzytelnianie wieloskładnikowe można skonfigurować dla poszczególnych użytkowników lub korzystać z uwierzytelniania wieloskładnikowego za pośrednictwem dostępu warunkowego.

  • Uwierzytelnianie wieloskładnikowe na użytkownika można włączyć bez dodatkowych kosztów. Podczas włączania uwierzytelniania wieloskładnikowego na użytkownika zostanie wyświetlony monit o uwierzytelnienie dwuskładnikowe dla wszystkich aplikacji powiązanych z dzierżawą usługi Azure AD. Zobacz Opcję 1 , aby uzyskać instrukcje.
  • Dostęp warunkowy umożliwia bardziej szczegółową kontrolę nad sposobem podwyższenia poziomu drugiego czynnika. Umożliwia przypisanie usługi MFA tylko do sieci VPN i wykluczanie innych aplikacji powiązanych z dzierżawą usługi Azure AD. Zobacz Opcję 2 , aby uzyskać instrukcje.

Włącz uwierzytelnianie

  1. Przejdź do Azure Active Directory —> aplikacje Enterprise —> wszystkie aplikacje.

  2. Na stronie Enterprise aplikacje — wszystkie aplikacje wybierz pozycję Azure VPN.

    Directory ID

Konfigurowanie ustawień logowania

Na stronie Azure VPN — Właściwości skonfiguruj ustawienia logowania.

  1. Ustaw opcję Włączone dla użytkowników, aby logowali się? na wartość Tak. To ustawienie umożliwia wszystkim użytkownikom w dzierżawie usługi AD pomyślne nawiązanie połączenia z siecią VPN.

  2. Ustaw opcję Wymagane przypisanie użytkownika? na wartość Tak , jeśli chcesz ograniczyć logowanie tylko do użytkowników, którzy mają uprawnienia do sieci VPN platformy Azure.

  3. Zapisz zmiany.

    Permissions

Opcja 1 — dostęp na użytkownika

Otwieranie strony uwierzytelniania wieloskładnikowego

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do Azure Active Directory —> wszyscy użytkownicy.

  3. Wybierz pozycję Multi-Factor Authentication , aby otworzyć stronę uwierzytelniania wieloskładnikowego.

    Sign in

Wybieranie użytkowników

  1. Na stronie uwierzytelniania wieloskładnikowego wybierz użytkowników, dla których chcesz włączyć uwierzytelnianie wieloskładnikowe.

  2. Wybierz pozycję Włącz.

    Select

Opcja 2 — dostęp warunkowy

Dostęp warunkowy umożliwia precyzyjną kontrolę dostępu dla poszczególnych aplikacji. Aby korzystać z dostępu warunkowego, należy mieć Azure AD — wersja Premium 1 lub większą licencję zastosowaną do użytkowników, którzy będą podlegać regułom dostępu warunkowego.

  1. Przejdź do strony aplikacje Enterprise — wszystkie aplikacje i kliknij pozycję Azure VPN.

    • Kliknij pozycję Dostęp warunkowy.
    • Kliknij pozycję Nowe zasady , aby otworzyć okienko Nowy .
  2. W okienku Nowy przejdź do pozycji Przypisania —> użytkownicy i grupy. Na karcie Użytkownicy i grupy ->Dołączanie:

    • Kliknij pozycję Wybierz użytkowników i grupy.
    • Zaznacz pozycję Użytkownicy i grupy.
    • Kliknij pozycję Wybierz , aby wybrać grupę lub zestaw użytkowników, których dotyczy uwierzytelnianie wieloskładnikowe.
    • Kliknij przycisk Gotowe.

    Assignments

  3. W okienku Nowy przejdź do okienka Kontrole dostępu —> udziel :

    • Kliknij pozycję Udziel dostępu.
    • Kliknij pozycję Wymagaj uwierzytelniania wieloskładnikowego.
    • Kliknij pozycję Wymagaj wszystkich wybranych kontrolek.
    • Kliknij pozycję Wybierz.

    Grant access - MFA

  4. W sekcji Włączanie zasad :

    • Wybierz pozycję Włączone.
    • Kliknij pozycję Utwórz.

    Enable Policy

Następne kroki

Aby nawiązać połączenie z siecią wirtualną, należy utworzyć i skonfigurować profil klienta sieci VPN. Zobacz Konfigurowanie uwierzytelniania usługi Azure AD dla połączenia punkt-lokacja z platformą Azure.