設定遠端存取使用者

VPN >遠端存取部分 >遠端存取使用者頁面上可為個人使用者和使用者群組關閉 指定有相關職責的使用者群組。設定遠端存取 VPN 權限。

可在使用者和物件檢視 >使用者管理>使用者頁面上設定使用者和使用者群組關閉 有共用屬性的物件集合,例如使用者帳戶。

遠端存取使用者頁面專用於有遠端存取 VPN 權限的使用者。

可設定:

  • 本機使用者

  • 本機使用者群組

  • Active Directory 使用者(R81.10.15 以上版本)

  • Active Directory 使用者群組

  • Active Directory權限

  • Azure AD(現稱為 Microsoft Entra ID)(版本 R81.10.15 以上版本)

  • RADIUS 群組

  • RADIUS 使用者(在 R81.10.15 以上版本中)

也可以按使用者、使用者群組、RADIUS 使用者和 Active Directory 群組設定 SSL VPN 書籤。

最佳實踐:如果未定義身份驗證伺服器,請按一下最上面的Active Directory / RADIUS連結來定義。

注意事項:當使用者感知關閉時,不會根據瀏覽器上的身份驗證和 Active Directory 查詢來辨識使用者。

觀看影片(R81.10.10 以下版本):

為特定本機使用者新增遠端存取權限

  1. 「新增」按鈕附近,按一下向下箭頭 > 按一下「新增本機使用者」

  2. 「遠端存取」標籤中:

    1. 名稱欄位中,輸入使用者名稱。

    2. 密碼欄位中輸入密碼。

      注意 - 密碼最多可以包含 100 個字符。

    3. 確認密碼欄位中再次輸入密碼。

    4. 電子郵件欄位中,輸入使用者的電子郵件。這是雙重認證所需。

    5. 手機號碼欄位中,輸入使用者的電話號碼。這是雙重認證所需。

    6. 可選:註釋欄位中,輸入應用程式使用者的描述。

    7. 如果設定的是臨時使用者,請選擇臨時使用者

      輸入到期日期和時間。

    8. 選擇 遠端存取權限

      從 R81.10.15 開始,會多出兩個核取方塊:

      1. 選用:選擇使用辦公室模式靜態 IP 位址,輸入辦公室模式所需的 IP 位址。使用者不會從閘道器動態取得指派的 WAN IP 位址,而是取得與該使用者有關的靜態 IP 位址。

      2. 可選:選擇「覆寫全域設定」來為每個單獨的使用者設定原則,不套用閘道器設定。

        會出現兩個額外的核取方塊:

        • 選用:選擇用 VPN 定向這個使用者的所有流量,用 VPN 通道定向這個使用者的流量。

        • 可選:選擇啟用強制執行雙重認證 (2FA) ,對這名使用者強制執行雙重認證。

          選擇適用的選項:

          • 使用簡訊/電子郵件

          • 使用身份驗證器應用程式

  3. 可選:SSL VPN 書籤索引標籤中:

    1. 按一下新增>新增本機使用者/使用者群組/Active Directory 群組> SSL VPN 書籤標籤。

    2. 在新視窗中,輸入新的書籤或選擇現有的書籤。

      注意 - 如果您選擇 全局書籤,則該書籤將始終出現。

    3. 按一下「儲存」.

  4. 按一下「儲存」.

新增本機使用者群組的遠端存取權限

  1. 「新增」按鈕附近,按一下向下的箭頭 > 按一下「新增使用者群組」

  2. 「遠端存取」標籤中:

    1. 群組名稱欄位中輸入組名。

    2. 選擇 遠端存取權限

    3. 在清單中勾選使用者,或按一下新增來新增使用者,選擇要新增至群組中的初始使用者。

      您可以在使用者清單上方看到群組成員的摘要。

      您可以通過單擊相關使用者名旁邊的 X 來刪除成員。

  3. 可選:SSL VPN 書籤索引標籤中:

    1. 按一下新增>新增本機使用者/使用者群組/Active Directory 群組> SSL VPN 書籤標籤。

    2. 在新視窗中,輸入新的書籤或選擇現有的書籤。

      注意 - 如果您選擇 全局書籤,則該書籤將始終出現。

    3. 按一下「儲存」.

  4. 按一下「儲存」.

新增 Active Directory 使用者的遠端存取權限

注意事項:本功能在 R81.10.15 以上版本中支援。

  1. 新增按鈕附近,按一下向下箭頭 > 按一下Active Directory > 按一下Active Directory 使用者

  2. 如果未定義 Active Directory,系統會提示您設定一個。

    更多設定 Active Directory 的詳細資訊,請參閱設定遠端存取的身份驗證伺服器.

  3. 名稱欄位中,輸入在 Active Directory 中設定的使用者名稱。

  4. 電子郵件欄位中,輸入 Active Directory 中設定的使用者電子郵件。

  5. 可選:選擇「覆寫全域設定」來為每個單獨的使用者設定原則,不套用閘道器設定。

    會出現兩個額外的核取方塊:

    • 選用:選擇用 VPN 定向這個使用者的所有流量,用 VPN 通道定向這個使用者的流量。

    • 可選:選擇啟用強制執行雙重認證 (2FA) ,對這名使用者強制執行雙重認證。

      選擇適用的選項:

      • 使用簡訊/電子郵件

      • 使用身份驗證器應用程式

      當這名遠端存取 VPN 使用者首次連線到 Quantum Spark 閘道器時,驗證資訊會傳送至 Active Directory 伺服器。取得 Active Directory 伺服器確認後,Quantum Spark 閘道器會用簡訊或電子郵件發送一次性代碼,或使用者須從 Authenticator 應用程式輸入一次性代碼。

  6. 按一下「儲存」.

另請參閱給在 Active Directory 中定義的所有使用者新增遠端存取權限的程序.

  1. 執行下列其中一項:

    • 在工具列中,按一下「編輯權限」

    • 新增按鈕旁邊,按一下向下箭頭 > 按一下Active Directory > 按一下Active Directory 群組

  2. 新增按鈕旁邊,按一下向下箭頭 > 按一下Active Directory > 按一下Active Directory 群組

  3. 如果未定義 Active Directory,系統會提示您設定一個。

  4. 定義 Active Directory 後,您會看到服務器中定義的可用使用者群組列表。

  5. 選擇其中一個使用者群組。

  6. 按一下「儲存」.

  1. 「新增」按鈕旁邊,按一下向下的箭頭 > 按一下「Active Directory」 > 按一下「Active Directory 權限」

  2. 選擇適用的選項:

    • Active Directory 中的所有使用者

      注意事項:大多數 Active Directory 網域都包含大量使用者清單。考慮將遠端存取 VPN 權限僅限於特定使用者群組。

    • 選定的 Active Directory 使用者群組(這是預設)

      注意事項:需額外設定。

  3. 按一下「儲存」.

  4. 如果選擇「選定的 Active Directory 使用者群組」,請依照新增 Active Directory 特定使用者的遠端存取權限之流程.

注意事項:本功能在 R81.10.15 以上版本中支援。

  1. 「新增」按鈕旁邊,按一下向下箭頭 > 按一下「Active Directory」 > 按一下「Azure AD 群組」

  2. 名稱欄位中,輸入在 Microsoft Entra ID 中設定的使用者群組名稱。

    重要提示:在 Quantum Spark 閘道器上,名稱須一律以「EXT_ID_」開頭。

    範例:

    若 Azure AD 群組名為「VPN_Users」,則須輸入「EXT_ID_VPN_Users」。

  3. 選用:「註解」欄位中,輸入 Microsoft Entra ID 使用者群組的描述。

  4. 可選:選擇「覆寫全域設定」來為每個單獨的使用者設定原則,不套用閘道器設定。

    選用:選擇用 VPN 定向這個 Azure AD 群組的所有流量,用 VPN 通道定向這個使用者群組的流量。

更多相關資訊請參閱設定遠端存取 VPN 的 SAML 身份驗證..

新增 RADIUS 使用者的遠端存取權限

  1. 新增按鈕旁邊,按一下向下箭頭 > 按一下RADIUS > 按一下RADIUS 群組

  2. 選擇 為使用者識別、遠端訪問和熱點啟用 RADIUS 身份驗證

  3. 可選:選擇「遠端存取使用僅限特定的 RADIUS 群組」

    驗證用的 RADIUS 群組欄位中,輸入合適的 RADIUS 群組。

  4. 按一下「儲存」.

注意事項:本功能在 R81.10.15 以上版本中支援。

  1. 新增按鈕旁邊,按一下向下箭頭 > 按一下RADIUS > 按一下RADIUS 使用者(雙重認證)

  2. 名稱欄位中,輸入使用者名稱。

  3. 電子郵件欄位中,輸入使用者的電子郵件。這是雙重認證所需。

  4. 電話號碼欄位中,輸入使用者的電話號碼。這是雙重認證所需。

  5. 可選:選擇「覆寫全域設定」來為每個單獨的使用者設定原則,不套用閘道器設定。

    會出現兩個額外的核取方塊:

    • 選用:選擇用 VPN 定向這個使用者的所有流量,用 VPN 通道定向這個使用者的流量。

    • 可選:選擇啟用強制執行雙重認證 (2FA) ,對這名使用者強制執行雙重認證。

      選擇適用的選項:

      • 使用簡訊/電子郵件

      • 使用身份驗證器應用程式

  6. 按一下「儲存」.

刪除現有使用者或使用者群組

  1. 按一下使用者或使用者群組物件。

  2. 點擊刪除.

  3. 在確認訊息中點擊 確定