通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为 P2S VPN 用户启用 Microsoft Entra ID 多重身份验证 (MFA)

  • 项目

如果你希望在授予访问权限之前提示用户执行第二重身份验证,你可以配置 Microsoft Entra 多重身份验证 (MFA)。 可以针对每个用户配置 MFA,也可以通过条件访问利用 MFA。

  • 可以为每个用户启用 MFA,而不收费额外费用。 为每个用户启用 MFA 后,系统会提示用户针对绑定到 Microsoft Entra 租户的所有应用程序执行第二重身份验证。 有关步骤,请参阅选项 1
  • 使用条件访问可对提升第二个因素的方式进行更细粒度的控制。 它允许仅将 MFA 分配给 VPN,并排除绑定到 Microsoft Entra 租户的其他应用程序。 有关配置步骤,请参阅选项 2。 有关条件访问的详细信息,请参阅什么是条件访问

启用身份验证

  1. 浏览到“Microsoft Entra ID -> 企业应用程序 -> 所有应用程序”。
  2. 在“企业应用程序 - 所有应用程序”页面上,选择“Azure VPN”。

配置登录设置

在“Azure VPN - 属性”页面上,配置登录设置。

  1. 将“启用以供用户登录?”设置为“是”。 此设置允许 AD 租户中的所有用户成功连接到 VPN。
  2. 如果希望仅允许对 Azure VPN 具有权限的用户登录,请将“需要进行用户分配?”设置为“是”
  3. 保存更改。

选项 1 -“按用户”访问

打开 MFA 页

  1. 登录到 Azure 门户。
  2. 导航到“Microsoft Entra ID -> 用户”
  3. 在“用户 - 所有用户”页上,选择“每用户 MFA”以打开“每用户多重身份验证”页。

选择用户

  1. 在“多重身份验证”页上,选择要为其启用 MFA 的用户。
  2. 选择“启用 MFA”。

选项 2 - 条件访问

建议使用条件访问策略来启用和使用 Microsoft Entra 多重身份验证。 如需细致的配置步骤,请参阅教程:需要多重身份验证

  1. 最低以条件访问管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“保护”>“安全中心”>“条件访问”,选择“+ 新建策略”,然后选择“创建新策略”。

  3. 在“新建”窗格中输入策略的名称,例如“VPN 策略”。

  4. 完成以下字段:

    字段
    此策略适用于哪些内容? 用户和组
    分配 包含特定用户
    包括 选择用户和组。 选中“用户和组”复选框
    选择 选择至少一个用户或组

  5. 在“选择”页上,浏览并选择你要对其应用此策略的 Microsoft Entra 用户或组, 例如“VPN 用户”,然后选中“选择”。

接下来,配置多重身份验证的条件。 在以下步骤中,请将 Azure VPN 客户端应用配置为要求在用户登录时进行多重身份验证。 有关详细信息,请参阅配置条件

  1. 在“云应用或操作”下选择当前值,然后在“选择此策略应用到的对象”下,确认选择了“云应用”。

  2. 在“包括”下,选择“选择资源”。 由于尚未选择任何应用,因此会自动打开应用列表。

  3. 在“选择”窗格中选择“Azure VPN 客户端”应用,然后选中“选择”。

接下来,将访问控制配置为要求在登录事件期间进行多重身份验证。

  1. 在“访问控制”下选择“授予”,然后选择“授予访问权限”。

  2. 选择“要求进行多重身份验证”

  3. 对于多个控件,请选择“需要所有已选控件”。

现在激活策略。

  1. 在“启用策略”下,选择“开” 。

  2. 若要应用条件访问策略,请选择“创建”。

后续步骤

若要连接到虚拟网络,必须创建并配置 VPN 客户端配置文件。 请参阅配置 VPN 客户端以建立 P2S VPN 连接