你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为 P2S VPN 用户启用 Microsoft Entra ID 多重身份验证 (MFA)

如果你希望在授予访问权限之前提示用户执行第二重身份验证,你可以配置 Microsoft Entra 多重身份验证 (MFA)。 可以针对每个用户配置 MFA,也可以通过条件访问利用 MFA。

  • 可以为每个用户启用 MFA,而不收费额外费用。 为每个用户启用 MFA 后,系统会提示用户针对绑定到 Microsoft Entra 租户的所有应用程序执行第二重身份验证。 有关步骤,请参阅选项 1
  • 使用条件访问可对提升第二个因素的方式进行更细粒度的控制。 它允许仅将 MFA 分配给 VPN,并排除绑定到 Microsoft Entra 租户的其他应用程序。 有关配置步骤,请参阅选项 2。 有关条件访问的详细信息,请参阅什么是条件访问

启用身份验证

  1. 浏览到“Microsoft Entra ID -> 企业应用程序 -> 所有应用程序”。
  2. 在“企业应用程序 - 所有应用程序”页面上,选择“Azure VPN”。

配置登录设置

在“Azure VPN - 属性”页面上,配置登录设置。

  1. 将“启用以供用户登录?”设置为“是”。 此设置允许 AD 租户中的所有用户成功连接到 VPN。
  2. 如果希望仅允许对 Azure VPN 具有权限的用户登录,请将“需要进行用户分配?”设置为“是”
  3. 保存更改。

选项 1 -“按用户”访问

打开 MFA 页

  1. 登录到 Azure 门户。
  2. 导航到“Microsoft Entra ID -> 用户”
  3. 在“用户 - 所有用户”页上,选择“每用户 MFA”以打开“每用户多重身份验证”页。

选择用户

  1. 在“多重身份验证”页上,选择要为其启用 MFA 的用户。
  2. 选择“启用 MFA”。

选项 2 - 条件访问

条件访问允许基于每个应用程序进行细化的访问控制。 若要使用条件访问,应将 Microsoft Entra ID P1 或 P2 或更高版本的许可应用于将受条件访问规则约束的用户。 有关详细信息,请参阅什么是条件访问

  1. 转到“Microsoft Entra ID - 企业应用程序 - 所有应用程序”页,然后单击“Azure VPN”。

    • 单击“条件访问”。
    • 单击“新建策略”打开“新建”窗格。
  2. 在“新建”窗格上,导航到“分配”->“用户和组”。 在“用户和组”->“包括”选项卡上

    • 单击“选择用户和组”。
    • 选中“用户和组”。
    • 单击“选择”以选择受 MFA 影响的组或用户集。
    • 单击“Done”(完成) 。

    分配设置的屏幕截图。

  3. 在“新建”窗格上,导航到“访问控制”->“授予”窗格:

    • 单击“授予访问权限”。
    • 单击“需要多重身份验证”。
    • 单击“需要所有已选控件”。
    • 单击“选择”。

    多重身份验证访问的屏幕截图。

  4. 在“启用策略”部分中:

    • 选择“启用”。
    • 单击“创建”以创建策略。

后续步骤

若要连接到虚拟网络,必须创建并配置 VPN 客户端配置文件。 请参阅配置 VPN 客户端以建立 P2S VPN 连接