共用方式為

對 P2S VPN 使用者啟用 Microsoft Entra ID 多重要素驗證 (MFA)

  • 發行項

如果您想要在授與存取權之前,提示使用者輸入第二個驗證要素,可以設定 Microsoft Entra 多重要素驗證 (MFA)。 您可以根據每個使用者設定 MFA,也可以透過條件式存取利用 MFA。

  • 每位使用者的 MFA 可以不需額外費用啟用。 當您為每個使用者啟用 MFA 時,系統會針對所有繫結至 Microsoft Entra 租用戶的應用程式,提示使用者輸入第二個要素驗證。 如需步驟,請參閱選項 1
  • 條件式存取可讓您更精細地控制應該如何提升第二個因素。 其可以只允許將 MFA 指派給 VPN,並排除與 Microsoft Entra 租用戶繫結的其他應用程式。 如需設定步驟,請參閱選項 2。 如需條件式存取的詳細資訊,請參閱什麼是條件式存取

啟用驗證

  1. 瀏覽至 Microsoft Entra ID -> 企業應用程式 -> 所有應用程式
  2. 在 [企業應用程式 - 所有應用程式] 頁面上,選取 [Azure VPN]

設定登入設定

在 [Azure VPN - 屬性] 頁面上,設定登入設定。

  1. 將 [為使用者啟用登入?] 設定為 [是]。 此設定可讓 AD 租用戶中的所有使用者成功連線 VPN。
  2. 如果您想要將登入限制為只有具有 Azure VPN 權限的使用者,請將 [需要使用者指派?] 設定為 [是]
  3. 儲存您的變更。

選項 1 - 依使用者存取

開啟 MFA 頁面

  1. 登入 Azure 入口網站。
  2. 瀏覽至 [Microsoft Entra ID -> 使用者]。
  3. 在 [使用者 - 所有使用者] 頁面上,選取 [個別使用者 MFA] 以開啟 [每一使用者多重要素驗證] 頁面。

選取使用者

  1. 在 [多重要素驗證] 頁面上,選取您要啟用 MFA 的使用者。
  2. 選取 [啟用 MFA]

選項 2 - 條件式存取

啟用及使用 Microsoft Entra 多重要素驗證的建議方式是搭配條件式存取原則。 如需細微的設定步驟,請參閱教學課程: 需要多重要素驗證

  1. 至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [保護>資訊安全中心>條件式存取],選取 [+ 新增原則],然後選取 [建立新原則]。

  3. 在 [ 新增 ] 窗格中,輸入原則的名稱,例如 VPN 原則。

  4. 完成下列欄位:

    欄位
    此原則的套用對象? 使用者和群組
    指派 已包含特定使用者
    包括​​ 選取 [使用者和群組]。 選取 [使用者和群組] 複選框
    選取 至少選取一個使用者或群組

  5. 在 [ 選取 ] 頁面上,流覽並選取您要套用此原則的 Microsoft Entra 使用者或群組。 例如,VPN 使用者,然後選擇 [ 選取]。

接下來,設定多重要素驗證的條件。 在下列步驟中,您會將 Azure VPN 用戶端應用程式設定為在使用者登入時要求多重要素驗證。 如需詳細資訊,請參閱 設定條件

  1. 在 [雲端應用程式或動作] 底下選取目前的值,然後在 [選取此原則的套用對象] 底下確認已選取 [雲端應用程式]

  2. 在 [包含] 下,選擇 [選取資源]。 由於尚未選取任何應用程式,因此應用程式清單會自動開啟。

  3. 在 [ 選取 ] 窗格中,選取 Azure VPN 用戶端應用程式 ,然後選擇 [ 選取]。

接下來,將訪問控制設定為在登入事件期間要求多重要素驗證。

  1. 在 [訪問控制] 底下,選取 [與],然後選取 [授與存取權]。

  2. 選取 [需要多重要素驗證]。

  3. 針對多個控件,選取 [需要所有選取的控件]。

現在,啟動原則。

  1. 在 [啟用原則] 下,選取 [開啟]

  2. 若要套用條件式存取原則,請選取 [建立]

下一步

若要連線到您的虛擬網路,您必須建立並設定 VPN 用戶端設定檔。 請參閱設定 P2S VPN 連線的 VPN 用戶端