您可以使用 [編輯網繭] 工作流程,變更網繭閘道上的雙因素驗證設定,或完全停用雙因素驗證。變更設定時,您基本上會為雙因素驗證設定的集合輸入新名稱,輸入您想要的新設定,請確定已為特定閘道選取該新名稱,然後儲存。您可以使用 [編輯網繭] 工作流程來變更雙因素驗證設定。

必要條件

如果您要為其中一個閘道啟用雙因素驗證,但變更特定設定,請確認您具有下列資訊:

  • 當雙因素驗證服務器為內部部署時,請確認您具有下欄欄位的相關資訊,以便該閘道的 Unified Access Gateway 執行個體可以解析該伺服器的路由。
    選項 說明
    DNS 位址 指定能夠對內部部署驗證伺服器名稱進行解析之 DNS 伺服器的一或多個位址。
    路由 指定一或多個可讓網繭的 Unified Access Gateway 執行個體對您內部部署驗證伺服器之網路路由進行解析的自訂路由。

    例如,如果您有內部部署 RADIUS 伺服器使用 10.10.60.20 作為其 IP 位址,則您可以使用 10.10.60.0/24 和預設路由閘道位址作為自訂路由。您可以從 Express Route 或用於此環境的 VPN 組態中取得預設路由閘道位址。

    請以 ipv4-network-address/bits ipv4-gateway-address 的形式指定逗號分隔的自訂路由清單,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

  • 請確認您驗證伺服器的組態中使用了下列資訊,以便在網繭部署精靈的適當欄位中提供。如果您同時有主要和次要伺服器,請取得兩者的資訊。

    • 驗證伺服器的 IP 位址或 DNS 名稱
    • 在驗證伺服器的通訊協定訊息中用於加密和解密的共用密碼
    • 驗證連接埠號碼,通常為 1812 UDP 連接埠。
    • 驗證通訊協定類型。驗證類型包括 PAP (密碼驗證通訊協定)、CHAP (Challenge Handshake 驗證通訊協定)、MSCHAP1、MSCHAP2 (Microsoft Challenge Handshake 驗證通訊協定,版本 1 和 2)。
      備註: 檢查您的 RADIUS 廠商的說明文件,以取得 RADIUS 廠商建議的驗證通訊協定,並遵循其指定的通訊協定類型。網繭支援使用 RADIUS 搭配雙因素驗證的功能是由 Unified Access Gateway 執行個體提供,而 Unified Access Gateway 支援 PAP、CHAP、MSCHAP1 以及 MSCHAP2。PAP 通常比 MSCHAP2 更不安全。PAP 也是比 MSCHAP2 更簡單的通訊協定。因此,雖然多數 RADIUS 廠商與更簡單的 PAP 通訊協定相容,某些 RADIUS 廠商則與更安全的 MSCHAP2 不相容。

程序

  1. 從網繭的詳細資料頁面中按一下編輯來開啟 [編輯網繭] 視窗。
  2. 在 [編輯網繭] 視窗中按下一步,以移至閘道設定步驟。
    此步驟有針對外部閘道組態的區段,以及針對內部閘道組態的區段。使用者介面會反映網繭目前的組態,以及它具有的閘道設定。
  3. 將視窗放置在您想要變更雙因素驗證的閘道類型 (外部或內部) 上。
  4. 若要在閘道上停用雙因素驗證,請將啟用雙因素驗證開關切換為關閉,然後前往步驟 10 以儲存變更。
    如果另一個閘道也已啟用雙因素驗證,而您想要將其停用,請在該另一個閘道的區段中將開關切換為關閉。
  5. 若要變更閘道上設定的特定雙因素驗證設定,請繼續執行下列步驟。
    您可以為新的雙因素驗證值集建立新名稱,並在視窗中為該閘道區段選取該新名稱來儲存組態。
  6. 名稱欄位中,輸入此組態的識別名稱。
  7. 在 [內容] 區段中,指定使用者與登入畫面互動的相關詳細資料,以便後續用於存取驗證。
    選項 說明
    顯示名稱 您可以將此欄位保留空白。即使此欄位會在精靈中顯示,它僅會在 Unified Access Gateway 中設定內部名稱。Horizon 用戶端不會使用此名稱。
    顯示提示 選擇性地輸入文字字串,其在使用者用戶端登入畫面上提示使用者輸入 RADIUS 使用者名稱與密碼時,將在訊息中向使用者顯示。指定的提示會向使用者顯示為 Enter your DisplayHint user name and passcode,其中的 DisplayHint 是您在此欄位中指定的文字。

    此提示可協助引導使用者輸入正確的 RADIUS 密碼。例如,指定以下的範例公司使用者名稱和網域密碼之類的詞語會造成的提示為 Enter your Example Company user name and domain password below for user name and passcode

    名稱 ID 尾碼 此設定用在 SAML 案例中,在其中,您的網繭設定為使用 TrueSSO 進行單一登入。選擇性地提供一個字串,該字串將附加至傳送給網繭管理員的要求中的 SAML 判斷提示使用者名稱。例如,如果在登入畫面上輸入使用者名稱 user1,並且已在此處指定名稱 ID 尾碼 @example.com,則系統會在要求中傳送 SAML 判斷提示使用者名稱 user1@example.com
    反覆運算的次數 輸入使用者嘗試使用此 RADIUS 系統登入時所允許的失敗驗證嘗試次數上限。
    維護使用者名稱 啟用此切換可在對 Horizon Cloud 進行驗證期間保有使用者的 RADIUS 使用者名稱。啟用時:
    • 使用者對於 RADIUS 必須使用與其 Horizon Cloud 的 Active Directory 驗證相同的使用者名稱認證。
    • 使用者無法變更登入畫面中的使用者名稱。

    如果此切換設為關閉,則使用者將可在登入畫面中輸入不同的使用者名稱。

    備註: 針對啟用 維護使用者名稱Horizon Cloud 中網域安全性設定之間的關聯性,請參閱 一般設定頁面上的網域安全性設定主題。
  8. 在 [主要伺服器] 區段中,指定驗證伺服器的相關詳細資料。
    選項 說明
    主機名稱/IP 位址 輸入驗證伺服器的 DNS 名稱或 IP 位址。
    共用密碼 輸入與驗證伺服器通訊的密碼。此值必須與伺服器設定的值相同。
    驗證連接埠 指定在驗證伺服器上設定用來傳送或接收驗證流量的 UDP 連接埠。預設值為 1812。
    帳戶處理連接埠 選擇性地指定在驗證伺服器上設定用來傳送或接收帳戶處理流量的 UDP 連接埠。預設值為 1813。
    機制 選取指定的驗證伺服器支援,且您想要讓已部署網繭使用的驗證通訊協定。
    伺服器逾時 指定網繭應等待驗證伺服器回應的秒數。經過此秒數後,如果伺服器仍未回應,則系統會傳送重試。
    重試次數上限 指定網繭應對驗證伺服器重試失敗要求的次數上限。
    領域前置詞 選擇性地提供系統在使用者名稱傳送至驗證伺服器時將放置在名稱開頭的字串。使用者帳戶位置稱為領域。

    例如,如果在登入畫面上輸入使用者名稱 user1,而先前已在此處指定領域前置詞 DOMAIN-A\,則系統會將 DOMAIN-A\user1 傳送至驗證伺服器。如果未指定領域前置詞,則僅會傳送輸入的使用者名稱。

    領域字尾 選擇性地提供系統在使用者名稱傳送至驗證伺服器時將附加至名稱結尾的字串。例如,如果在登入畫面上輸入使用者名稱 user1,而先前已在此處指定領域字尾 @example.com,則系統會將 user1@example.com 傳送至驗證伺服器。
  9. (選擇性) 在 [次要伺服器] 區段中,選擇性地指定輔助驗證伺服器的相關詳細資料。
    您可以設定次要驗證伺服器以提供高可用性。將 輔助伺服器切換啟用,並依照 主要伺服器區段中所述完成相關欄位。
  10. 完成所有的設定後,按一下儲存並結束
    此時會出現一則確認訊息,要求您確認是否要開始執行工作流程。
  11. 按一下以開始執行工作流程。

結果

在系統完成將新的組態部署至網繭之前,您新增了雙因素驗證所在閘道的網繭摘要頁面區段會顯示擱置中狀態。

工作流程完成時,狀態將會顯示為就緒,且將在頁面中顯示閘道的雙因素驗證設定。

備註: 對 Microsoft Azure China 中的網繭執行此工作流程時,此程序可能要一小時以上才能完成。此程序受限於可能導致下載速度緩慢的地理區域網路問題,因為二進位檔會從雲端控制平面下載。

後續步驟

重要: 當您將閘道的雙因素驗證設定的值變更為新的值時,在您的使用者繼續使用具有新雙因素驗證值的閘道前,您必須完成下列工作。
  • 如果您已使用 RADIUS 設定來設定外部閘道,並且該 RADIUS 伺服器無法在網繭所使用的相同 VNet 中連線,或無法在對等的 VNet 拓撲內連線 (如果您將外部閘道部署至其本身的 VNet 中),請確認您在閘道組態中指定的 RADIUS 伺服器允許來自外部閘道負載平衡器的 IP 位址的用戶端連線。在外部閘道組態中,Unified Access Gateway 執行個體會嘗試與使用該負載平衡器位址的 RADIUS 伺服器連絡。若要允許連線,請確保已在 RADIUS 伺服器組態中將該外部閘道資源群組中的負載平衡器資源的 IP 位址指定為用戶端。
  • 如果您已設定內部閘道或外部閘道,且您的 RADIUS 伺服器可在網繭所使用的相同 VNet 中連線,請確認 RADIUS 伺服器已設定為允許來自 Microsoft Azure 閘道資源群組中所建立的適當 NIC 的連線。網路管理員會判斷 RADIUS 伺服器對網繭的 Azure 虛擬網路和子網路的網路可見度。您的 RADIUS 伺服器必須允許來自與網路管理員已為其提供 RADIUS 伺服器網路可見度的子網路對應的這些閘道 NIC 的 IP 位址的用戶端連線。Microsoft Azure 中的閘道資源群組有四個 NIC 與該子網路對應:兩個 NIC 目前作用中,用於兩個 Unified Access Gateway 執行個體,以及兩個閒置的 NIC,在網繭完成更新後將成為作用中的 NIC。若要支援用於進行中網繭作業和每個網繭更新後的閘道與 RADIUS 伺服器之間的連線,請確定您已在 RADIUS 伺服器組態中將這四個 NIC IP 位址指定為用戶端。

如需如何取得這些 IP 位址的相關資訊,請參閱使用所需的 Horizon Cloud Pod 閘道資訊更新您的 RADIUS 系統