“默认”。 选择此选项会告知计算机使用当前由Windows Defender防火墙中的本地管理员定义的身份验证方法，或默认组策略。

此证书颁发机构提供的计算机证书。 选择此选项并输入证书颁发机构的标识 (CA) 告知计算机使用所选 CA 颁发的证书并要求进行身份验证。 如果还选择“ 仅接受运行状况证书”，则只有网络访问保护 (NAP) 基础结构中通常提供的包含系统运行状况身份验证扩展密钥用法 (E) KU 的证书才能用于此规则。

高级。 单击“ 自定义 ”以指定方案所需的身份验证方法的自定义组合。 可以同时指定 First 身份验证方法和Second 身份验证方法。

第一个身份验证方法可以是以下方法之一：

计算机 (NTLMv2) 。 选择此选项会告知计算机使用并要求使用计算机的域凭据进行身份验证。 此选项仅适用于其他可以使用 AuthIP 的计算机。 IKE v1 不支持使用 Kerberos V5 进行基于用户的身份验证。

此证书颁发机构提供的计算机证书 (CA) 。 选择此选项并输入 CA 的标识将告知计算机使用，并要求使用该 CA 颁发的证书进行身份验证。 如果同时选择“ 仅接受运行状况证书”，则只能使用 NAP 服务器颁发的证书。

不建议) 预共享密钥 (。 选择此方法并输入预共享密钥会告知计算机通过交换预共享密钥进行身份验证。 如果它们匹配，则身份验证会成功。 不建议使用此方法，仅出于向后兼容性和测试目的而提供此方法。

如果选择“ 首次身份验证为可选”，则即使此列中指定的身份验证尝试失败，连接也可以成功。

第二种身份验证方法可以是以下方法之一：

用户 (NTLMv2) 。 选择此选项会告知计算机使用并要求使用当前登录用户的域凭据进行身份验证，并使用 NTLMv2 协议而不是 Kerberos V5。 此身份验证方法仅适用于其他可以使用 AuthIP 的计算机。 IKE v1 不支持使用 Kerberos V5 进行基于用户的身份验证。

此证书颁发机构的用户运行状况证书 (CA) 。 选择此选项并输入 CA 的标识会告知计算机使用和要求使用指定 CA 颁发的证书进行基于用户的身份验证。 如果还选择“ 启用到帐户的证书映射”，则可以将证书与 Active Directory 中的用户关联，以便授予或拒绝对指定用户或用户组的访问权限。

此证书颁发机构提供的计算机运行状况证书 (CA) 。 选择此选项并输入 CA 的标识会告知计算机使用，并要求使用指定 CA 颁发的证书进行身份验证。 如果还选择“ 仅接受运行状况证书”，则只有包含通常包含在 NAP 基础结构中提供的系统运行状况身份验证 EKU 的证书才能用于此规则。

如果选择“ 第二次身份验证为可选”，则即使此列中指定的身份验证尝试失败，连接也可以成功。

重要：请确保不要选中“检查”框，以使第一次和第二次身份验证都可选。 这样做允许在身份验证失败时进行纯文本连接。