Włączanie uwierzytelniania wieloskładnikowego (MFA) dla sieci VPN typu Point-to-Site (P2S) — uwierzytelnianie Microsoft Entra ID

Jeśli chcesz, aby użytkownicy mogli uzyskać monit o podanie drugiego czynnika uwierzytelniania przed udzieleniem dostępu, możesz skonfigurować uwierzytelnianie wieloskładnikowe firmy Microsoft (MFA). Uwierzytelnianie wieloskładnikowe można skonfigurować dla poszczególnych użytkowników lub korzystać z uwierzytelniania wieloskładnikowego za pośrednictwem dostępu warunkowego.

• Można włączyć uwierzytelnianie wieloskładnikowe dla użytkownika bez dodatkowych kosztów. Po włączeniu uwierzytelniania wieloskładnikowego dla użytkownika, użytkownik zostanie poproszony o uwierzytelnienie drugiego składnika w przypadku wszystkich aplikacji powiązanych z dzierżawą Microsoft Entra. Zobacz Opcję 1 , aby uzyskać instrukcje.
• Dostęp warunkowy umożliwia bardziej szczegółową kontrolę nad sposobem podwyższenia poziomu drugiego czynnika. Może zezwalać na przypisywanie uwierzytelniania wieloskładnikowego wyłącznie do sieci VPN i wykluczać inne aplikacje powiązane z dzierżawą Microsoft Entra. Zobacz Opcję 2 , aby uzyskać instrukcje konfiguracji. Aby uzyskać więcej informacji na temat dostępu warunkowego, zobacz Co to jest dostęp warunkowy?

Włącz uwierzytelnianie

1. Przejdź do Microsoft Entra ID — aplikacje dla przedsiębiorstw —>> wszystkie aplikacje.
2. Na stronie Aplikacje dla przedsiębiorstw — wszystkie aplikacje wybierz pozycję Azure VPN.

Konfigurowanie ustawień logowania

Na stronie Azure VPN — Właściwości skonfiguruj ustawienia logowania.

1. Ustaw Włączone, aby użytkownicy mogli się logować na Tak. Ustawienie to umożliwia wszystkim użytkownikom w dzierżawie usługi Active Directory pomyślne połączenie z siecią VPN.
2. Ustaw wymagane przypisanie użytkownika? na Tak, jeśli chcesz ograniczyć logowanie wyłącznie dla użytkowników, którzy mają uprawnienia do sieci VPN platformy Azure.
3. Zapisz zmiany.

Opcja 1 — dostęp dla użytkownika

Otwórz stronę MFA

1. Zaloguj się w witrynie Azure Portal.
2. Przejdź do pozycji Microsoft Entra ID —> Użytkownicy.
3. Na stronie Użytkownicy — wszyscy użytkownicy wybierz pozycję Uwierzytelnianie wieloskładnikowe dla poszczególnych użytkowników, aby otworzyć stronę uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników.

Wybierz użytkowników

1. Na stronie uwierzytelniania wieloskładnikowego wybierz użytkowników, dla których chcesz włączyć uwierzytelnianie wieloskładnikowe.
2. Wybierz pozycję Włącz uwierzytelnianie wieloskładnikowe.

Opcja 2 — dostęp warunkowy

Zalecanym sposobem włączania i używania uwierzytelniania wieloskładnikowego firmy Microsoft jest użycie zasad dostępu warunkowego. Aby uzyskać szczegółowe instrukcje konfiguracji, zobacz samouczek: Wymaganie uwierzytelniania wieloskładnikowego.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.

2. Przejdź do Ochrona>Security Center>Dostęp warunkowy, wybierz + Nowa zasada, a następnie wybierz Utwórz nową zasadę.

3. W okienku Nowy wprowadź nazwę zasad, taką jak zasady sieci VPN.

4. Uzupełnij poniższe pola:

   Pole	Wartość
   Do czego mają zastosowanie te zasady?	Użytkownicy i grupy
   Przypisania	Określeni użytkownicy uwzględnieni
   Uwzględnij	Wybierz użytkowników i grupy. Zaznacz pole wyboru dla użytkowników i grup
   Wybierz	Wybierz co najmniej jednego użytkownika lub grupę

5. Na stronie Wybierz wyszukaj i wybierz użytkownika lub grupę firmy Microsoft, do której mają zostać zastosowane te zasady. Na przykład użytkownicy sieci VPN, następnie wybierz opcję Wybierz.

Następnie skonfiguruj warunki uwierzytelniania wieloskładnikowego. W poniższych krokach skonfigurujesz aplikację klienta sieci VPN platformy Azure, aby wymagać uwierzytelniania wieloskładnikowego, gdy użytkownik się zaloguje. Aby uzyskać więcej informacji, zobacz Konfigurowanie warunków.

1. Wybierz bieżącą wartość w obszarze Aplikacje lub akcje w chmurze, a następnie w obszarze Wybierz, do czego mają zastosowanie te zasady, sprawdź, czy wybrano aplikacje w chmurze.

2. W obszarze Dołącz wybierz pozycję Wybierz zasoby. Ponieważ nie wybrano jeszcze żadnych aplikacji, lista aplikacji zostanie otwarta automatycznie.

3. W okienku Wybierz wybierz aplikację klienta sieci VPN platformy Azure, a następnie wybierz pozycję Wybierz.

Następnie skonfiguruj mechanizmy kontroli dostępu, aby wymagać uwierzytelniania wieloskładnikowego podczas zdarzenia logowania.

1. W obszarze Kontrole dostępu wybierz Udziel, a następnie wybierz Udziel dostępu.

2. Wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego.

3. W przypadku wielu kontrolek wybierz opcję Wymagaj wszystkich wybranych kontrolek.

Teraz aktywuj politykę.

1. W obszarze Włączanie polityki wybierz Tak.

2. Aby zastosować zasady dostępu warunkowego, wybierz pozycję Utwórz.

Następne kroki

Aby nawiązać połączenie z siecią wirtualną, należy utworzyć i skonfigurować profil klienta sieci VPN. Zobacz Tworzenie połączenia sieci VPN użytkownika typu punkt-do-sieci przy użyciu usługi Azure Virtual WAN — uwierzytelnianie Microsoft Entra.