若要在已部署網繭的閘道設定中啟用雙因素驗證的使用,請使用網繭詳細資料頁面中的編輯動作。網繭上的閘道組態會使用 Unified Access Gateway 虛擬機器,並設定為提供使用者對其桌面和應用程式的存取。您可以將這些雙因素驗證設定新增至網繭的現有閘道組態,也可以在新增閘道組態的同時新增這些設定。您可以使用 [編輯網繭] 工作流程,將雙因素驗證設定新增至網繭的閘道組態。

備註: 如果將租用戶設定成使用 Universal Broker,且代理設定啟用了雙因素驗證,則必須在機群中所有網繭的外部閘道上,設定相同的雙因素驗證類型。在此案例中,當執行這些步驟以將雙因素驗證新增到外部閘道時,使用者介面會強制選擇符合代理設定中所設定的雙因素驗證類型的雙因素驗證類型。

必要條件

對於您要在其中新增雙因素驗證的閘道,請確認您已在精靈中完成該閘道組態的欄位。設定對內部部署驗證伺服器的雙因素驗證時,您也可以提供下列欄位中的資訊,使得該閘道的 Unified Access Gateway 執行個體能夠解析該內部部署伺服器的路由。

選項 說明
DNS 位址 指定能夠對內部部署驗證伺服器名稱進行解析之 DNS 伺服器的一或多個位址。
路由 指定一或多個可讓網繭的 Unified Access Gateway 執行個體對您內部部署驗證伺服器之網路路由進行解析的自訂路由。

例如,如果您有內部部署 RADIUS 伺服器使用 10.10.60.20 作為其 IP 位址,則您可以使用 10.10.60.0/24 和預設路由閘道位址作為自訂路由。您可以從 Express Route 或用於此環境的 VPN 組態中取得預設路由閘道位址。

請以 ipv4-network-address/bits ipv4-gateway-address 的形式指定逗號分隔的自訂路由清單,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

請確認您驗證伺服器的組態中使用了下列資訊,以便在網繭部署精靈的適當欄位中提供。如果您正在使用 RADIUS 驗證伺服器,且同時擁有主要和次要伺服器,請分別取得其資訊。

RADIUS

如果您要同時設定主要和輔助 RADIUS 伺服器的設定,請分別取得它們的資訊。

  • 驗證伺服器的 IP 位址或 DNS 名稱
  • 在驗證伺服器的通訊協定訊息中用於加密和解密的共用密碼
  • 驗證連接埠號,對於 RADIUS,通常為 1812/UDP。
  • 驗證通訊協定類型。驗證類型包括 PAP (密碼驗證通訊協定)、CHAP (Challenge Handshake 驗證通訊協定)、MSCHAP1、MSCHAP2 (Microsoft Challenge Handshake 驗證通訊協定,版本 1 和 2)。
    備註: 檢查您的 RADIUS 廠商的說明文件,以取得 RADIUS 廠商建議的驗證通訊協定,並遵循其指定的通訊協定類型。網繭支援使用 RADIUS 搭配雙因素驗證的功能是由 Unified Access Gateway 執行個體提供,而 Unified Access Gateway 支援 PAP、CHAP、MSCHAP1 以及 MSCHAP2。PAP 通常比 MSCHAP2 更不安全。PAP 也是比 MSCHAP2 更簡單的通訊協定。因此,雖然多數 RADIUS 廠商與更簡單的 PAP 通訊協定相容,某些 RADIUS 廠商則與更安全的 MSCHAP2 不相容。
RSA SecurID
備註: 執行資訊清單 3139.x 或更新版本的 Horizon Cloud on Microsoft Azure 部署可支援 RSA SecurID 類型。從 2022 年 3 月中旬開始,[新增網繭] 和 [編輯網繭] 精靈中用來指定 RSA SecurID 類型的 UI 選項將變為可見且可供選擇。
  • RSA SecurID Authentication Manager 伺服器的存取金鑰。
  • RSA SecurID 通訊連接埠號。依照 RSA SecurID 驗證 API 的 RSA Authentication Manager 系統設定中所設定,通常為 5555。
  • RSA SecurID Authentication Manager 伺服器的主機名稱。
  • RSA SecurID Authentication Manager 伺服器的 IP 位址。
  • 如果 RSA SecurID Authentication Manager 伺服器或其負載平衡器伺服器具有自我簽署憑證,則您需要在 [新增網繭] 精靈中提供 CA 憑證。該憑證應為 PEM 格式 (檔案類型為 .cer .cert.pem)。

程序

  1. 如果 [編輯網繭] 視窗的閘道設定步驟尚未開啟,請在網繭的詳細資料頁面中按一下編輯,然後按下一步以移至閘道設定步驟。
  2. 將視窗放置在您想要啟用雙因素驗證的閘道類型 (外部或內部) 上。
  3. 開啟啟用雙因素驗證切換。
    將此切換啟用時,精靈會顯示其他組態欄位。請使用捲軸存取所有欄位。

    下列螢幕擷取畫面為您在外部 UAG 區段中將此切換設為開啟之後顯示的畫面範例。

    Horizon Cloud on Microsoft Azure:啟用此切換來啟用雙因素驗證後,網繭部署精靈中處於初始狀態的雙因素驗證欄位。
  4. 選取您的雙因素驗證類型:RadiusRSA SecurID
    目前,可用的支援類型為 RADIUS 和 RSA SecurID。

    選取類型後,雙因素驗證組態功能表會自動反映您正在新增該所選類型的組態。例如,如果選取 RSA SecurID 類型,則雙因素驗證組態功能表會顯示新的 RSA SecurID

  5. 組態名稱欄位中,輸入此組態的識別名稱。
  6. 在 [內容] 區段中,指定使用者與登入畫面互動的相關詳細資料,以便後續用於存取驗證。

    精靈會根據 Horizon Cloud on Microsoft Azure 部署支援與其閘道組態搭配使用的組態,來顯示欄位。顯示的欄位會因所選的雙因素驗證類型而異。請參閱下表,此表格對應至您選取的類型 (RADIUS 或 RSA SecurID)。

    RADIUS

    在您填寫這些欄位時,需要指定有關主要驗證伺服器的詳細資料。如果您有次要驗證伺服器,請啟用輔助伺服器切換,並指定該伺服器的詳細資料。

    選項 說明
    顯示名稱 您可以將此欄位保留空白。即使此欄位會在精靈中顯示,它僅會在 Unified Access Gateway 組態中設定內部名稱。Horizon 用戶端不會使用此名稱。
    顯示提示 選擇性地輸入文字字串,其在使用者用戶端登入畫面上提示使用者輸入 RADIUS 使用者名稱與密碼時,將在訊息中向使用者顯示。指定的提示會向使用者顯示為 Enter your DisplayHint user name and passcode,其中的 DisplayHint 是您在此欄位中指定的文字。

    此提示可協助引導使用者輸入正確的 RADIUS 密碼。例如,指定以下的範例公司使用者名稱和網域密碼之類的詞語會造成的提示為 Enter your Example Company user name and domain password below for user name and passcode

    名稱 ID 尾碼 此設定用在 SAML 案例中,在其中,您的網繭設定為使用 TrueSSO 進行單一登入。選擇性地提供一個字串,該字串將附加至傳送給網繭管理員的要求中的 SAML 判斷提示使用者名稱。例如,如果在登入畫面上輸入使用者名稱 user1,並且已在此處指定名稱 ID 尾碼 @example.com,則系統會在要求中傳送 SAML 判斷提示使用者名稱 user1@example.com
    反覆運算的次數 輸入使用者嘗試使用此 RADIUS 系統登入時所允許的失敗驗證嘗試次數上限。
    維護使用者名稱 啟用此切換可在用戶端、Unified Access Gateway 執行個體和 RADIUS 服務之間進行驗證流程期間保留使用者的 Active Directory 使用者名稱。啟用時:
    • 使用者對於 RADIUS 必須使用與其 Active Directory 驗證相同的使用者名稱認證。
    • 使用者無法變更登入畫面中的使用者名稱。

    如果此切換設為關閉,則使用者將可在登入畫面中輸入不同的使用者名稱。

    備註: 針對啟用 維護使用者名稱Horizon Cloud 中網域安全性設定之間的關聯性,請參閱 一般設定頁面上的網域安全性設定主題。
    主機名稱/IP 位址 輸入驗證伺服器的 DNS 名稱或 IP 位址。
    共用密碼 輸入與驗證伺服器通訊的密碼。此值必須與伺服器設定的值相同。
    驗證連接埠 指定在驗證伺服器上設定用來傳送或接收驗證流量的 UDP 連接埠。預設值為 1812。
    帳戶處理連接埠 選擇性地指定在驗證伺服器上設定用來傳送或接收帳戶處理流量的 UDP 連接埠。預設值為 1813。
    機制 選取指定的驗證伺服器支援,且您想要讓已部署網繭使用的驗證通訊協定。
    伺服器逾時 指定網繭應等待驗證伺服器回應的秒數。經過此秒數後,如果伺服器仍未回應,則系統會傳送重試。
    重試次數上限 指定網繭應對驗證伺服器重試失敗要求的次數上限。
    領域前置詞 選擇性地提供系統在使用者名稱傳送至驗證伺服器時將放置在名稱開頭的字串。使用者帳戶位置稱為領域。

    例如,如果在登入畫面上輸入使用者名稱 user1,而先前已在此處指定領域前置詞 DOMAIN-A\,則系統會將 DOMAIN-A\user1 傳送至驗證伺服器。如果未指定領域前置詞,則僅會傳送輸入的使用者名稱。

    領域字尾 選擇性地提供系統在使用者名稱傳送至驗證伺服器時將附加至名稱結尾的字串。例如,如果在登入畫面上輸入使用者名稱 user1,而先前已在此處指定領域字尾 @example.com,則系統會將 user1@example.com 傳送至驗證伺服器。
    RSA SecurID
    選項 說明
    存取金鑰 輸入您 RSA SecurID 系統的存取金鑰,這取自系統的 RSA SecurID 驗證 API 設定中。
    伺服器連接埠 指定您系統 RSA SecurID 驗證 API 設定中所設定的通訊連接埠值,依預設,通常為 5555。
    伺服器主機名稱 輸入驗證伺服器的 DNS 名稱。
    伺服器 IP 位址 輸入驗證伺服器的 IP 位址。
    反覆運算的次數 輸入允許的驗證失敗嘗試次數上限,一旦超過,使用者就會被鎖定一小時。預設值為嘗試五 (5) 次。
    CA 憑證 當 RSA SecurID Authentication Manager 伺服器或其負載平衡器使用自我簽署憑證時,需要使用此項。在此情況下,請複製 CA 憑證並貼到此欄位中。如本頁上文所述,應提供 PEM 格式的憑證資訊。

    如果伺服器具有公用憑證授權機構 (CA) 所簽署的憑證,則此欄位是選用的。

    驗證逾時 指定在逾時之前,可在 Unified Access Gateway 執行個體與 RSA SecurID 驗證伺服器之間嘗試驗證的秒數。預設值為 180 秒。
  7. 完成所有的設定後,按一下儲存並結束
    此時會出現一則確認訊息,要求您確認是否要開始執行工作流程。
  8. 按一下以開始執行工作流程。

結果

在系統完成將新的組態部署至網繭之前,您新增了雙因素驗證所在閘道的網繭摘要頁面區段會顯示擱置中狀態。

工作流程完成時,狀態將會顯示為就緒,且將在頁面中顯示閘道的雙因素驗證設定。

備註: 對 Microsoft Azure China 中的網繭執行此工作流程時,此程序可能要一小時以上才能完成。此程序受限於可能導致下載速度緩慢的地理區域網路問題,因為二進位檔會從雲端控制平面下載。

下一步

重要: 您必須先完成下列工作,您的使用者才能開始使用閘道搭配雙因素驗證功能。
  • 如果網繭的外部閘道設定了雙因素驗證,且在部署了閘道 Unified Access Gateway 執行個體的同一 VNet 拓撲內,無法與雙因素驗證伺服器連線,請將該雙因素驗證伺服器設定成允許來自外部閘道負載平衡器 IP 位址的通訊。

    在與閘道部署相同的 VNet 拓撲內,如果無法與雙因素驗證伺服器連線,則 Unified Access Gateway 執行個體會嘗試使用該負載平衡器位址,與該伺服器聯繫。若要允許該通訊流量,請在雙因素驗證伺服器組態中,針對該外部閘道資源群組中的負載平衡器資源 IP 位址,確定其已指定為用戶端或已登錄的代理程式。如需如何允許該通訊的具體資訊,請參閱雙因素驗證伺服器的說明文件。

  • 如果可以在同一 VNet 拓撲中連線至您的雙因素驗證伺服器,請將雙因素驗證伺服器設定成允許來自適當 NIC (亦即,在 Microsoft Azure 中建立給部署之 Unified Access Gateway 執行個體的 NIC) 的通訊。

    您的網路管理員會判斷雙因素驗證伺服器的網路,對用於部署的 Azure VNet 拓撲及其子網路是否可見。雙因素驗證伺服器必須允許來自 Unified Access Gateway 執行個體 NIC IP 位址的通訊,這些 NIC 對應於您網路管理員為雙因素驗證伺服器提供網路可見度的子網路。

    Microsoft Azure 中的閘道資源群組有四個 NIC 與該子網路對應:兩個 NIC 目前作用中,用於兩個 Unified Access Gateway 執行個體,以及兩個閒置的 NIC,在網繭和其閘道完成更新後將成為作用中的 NIC。

    當執行進行中的網繭作業時,以及在每次網繭更新後,若要支援閘道與雙因素驗證伺服器之間的通訊流量,請確定在該伺服器的組態中已將這四個 NIC 的 IP 位址指定為用戶端或已登錄的代理程式。如需如何允許該通訊的具體資訊,請參閱雙因素驗證伺服器的說明文件。

如需如何取得這些 IP 位址的相關資訊,請參閱使用必要的 Horizon Cloud Pod 閘道資訊,來更新您的雙因素驗證系統