Включение многофакторной проверки подлинности Microsoft Entra ID (MFA) для VPN-пользователей

Если необходимо, чтобы пользователи могли получать запрос на второй фактор проверки подлинности перед предоставлением доступа, можно настроить многофакторную проверку подлинности Microsoft Entra (MFA). Многофакторную проверку подлинности можно настроить отдельно для каждого пользователя или использовать ее посредством Условного доступа.

• Многофакторную проверку подлинности для каждого пользователя можно включить без дополнительных затрат. При включении многофакторной проверки подлинности для каждого пользователя пользователю предлагается второй фактор проверки подлинности для всех приложений, привязанных к клиенту Microsoft Entra. Пошаговые инструкции см. в разделе Вариант 1.
• Условный доступ обеспечивает более детализированный контроль в отношении того, как должен запрашиваться второй фактор проверки. Он может разрешить назначение MFA только VPN и исключить другие приложения, привязанные к клиенту Microsoft Entra. Пошаговые инструкции см. в разделе Вариант 2.

Включение проверки подлинности

1. Перейдите к идентификатору Microsoft Entra —> корпоративные приложения —> все приложения.

2. На странице Корпоративные приложения — все приложения выберите Azure VPN.

   

Настройка параметров входа

На странице Azure VPN — свойства настройте параметры входа.

1. Задайте для параметра Включено для входа пользователей? значение Да. Этот параметр позволяет всем пользователям в клиенте AD подключаться к VPN.

2. Задайте для параметра Требуется назначение пользователей? значение Да, если нужно ограничить вход только пользователями, у которых есть разрешения на VPN-подключение к Azure.

3. Сохранение изменений.

   

Вариант 1 — доступ для каждого пользователя

Открытие страницы MFA

1. Войдите на портал Azure.

2. Перейдите к идентификатору Microsoft Entra —> все пользователи.

3. Нажмите пункт Многофакторная проверка подлинности, чтобы открыть страницу многофакторной проверки подлинности.

   

Выбрать пользователей

1. На странице Многофакторная идентификация выберите пользователей, для которых нужно включить MFA.

2. Выберите Включить.

   

Вариант 2 — условный доступ

Условный доступ обеспечивает детальное управление доступом для отдельных приложений. Чтобы использовать условный доступ, необходимо применить лицензирование Идентификатора Microsoft Entra ID P1 или P2 или более поздней лицензии для пользователей, которые будут применяться к правилам условного доступа.

1. Перейдите к странице Корпоративные приложения — все приложения и нажмите Azure VPN.

   • Щелкните Условный доступ.
   • Щелкните Новая политика, чтобы открыть панель Создание.

2. В области Создание перейдите в раздел Назначения -> Пользователи и группы. На вкладке "Пользователи и группы" — > вкладка "Включить":

   • Щелкните Выбрать пользователей и группы.
   • Установите флажок в пункте Пользователи и группы.
   • Нажмите Выбрать, чтобы выбрать группу или набор пользователей, для которых будет применяться многофакторная проверка подлинности.
   • Нажмите кнопку Готово.

   

3. В области Создание перейдите к панели Элементы управления доступом -> Предоставление доступа.

   • Щелкните Предоставить доступ.
   • Щелкните Требовать многофакторную проверку подлинности.
   • Щелкните Требовать все выбранные элементы управления.
   • Щелкните Выбрать.

   

4. В разделе Включение политики:

   • Выберите Вкл.
   • Нажмите кнопку Создать.

   

Следующие шаги

Чтобы подключиться к виртуальной сети, нужно создать и настроить профиль VPN-клиента. См. раздел Настройка клиента VPN для подключений P2S VPN.