整合 P2S RADIUS 驗證與 NPS 以進行多重要素驗證

本文可協助您整合網路原則伺服器 （NPS） 與 Azure VPN 閘道 RADIUS 驗證，以提供點對站 VPN 連線的多重要素驗證 （MFA）。

必要條件

• Microsoft Entra 識別碼：若要啟用 MFA，用戶必須位於 Microsoft Entra 標識符，該標識元必須從內部部署環境或雲端環境同步處理。

  • 用戶必須已完成 MFA 的自動註冊程式。 如需詳細資訊，請參閱 設定我的帳戶以進行雙步驟驗證。

  • 如果您的 MFA 是以文字為基礎（SMS、行動應用程式驗證碼等），且要求使用者在 VPN 用戶端 UI 中輸入代碼或文字，則驗證將不會成功，而且不是支援的案例。

• 路由式 VPN 閘道：您必須已經有路由式 VPN 閘道。 如需建立路由式 VPN 閘道的步驟，請參閱 教學課程：建立和管理 VPN 閘道。

• NPS：您必須已安裝網路原則伺服器，並設定RADIUS的 VPN 原則。

  • 如需安裝網路原則伺服器的步驟，請參閱 安裝網路原則伺服器 （NPS） 。

  • 如需建立RADIUS VPN原則的步驟，請參閱 建立RADIUS的 VPN 原則。

建立RADIUS用戶端

1. 藉由指定下列設定來建立RADIUS用戶端：
   • 易記名稱：輸入任何名稱。
   • 位址 （IP 或 DNS）：使用為您的 VPN 閘道閘道子網指定的值。 例如，10.1.255.0/27。
   • 共用密碼：輸入任何秘密密鑰，並記住它以供稍後使用。
2. 在 [ 進階 ] 索引標籤上，將廠商名稱設定為 RADIUS Standard ，並確定未選取 [ 其他選項 ] 複選框。 然後選取 [確定]。
3. 移至 [ 原則>網络原則]。 按兩下 [連線] 以Microsoft路由和遠端訪問伺服器原則 。 選取 [ 授與存取權]，然後選取 [ 確定]。

設定 VPN 閘道

1. 在 Azure 入口網站 中，開啟虛擬網路網關 （VPN 閘道）。

2. 在 [概 觀 ] 頁面上，確認 [網關類型] 已設定為 [VPN ]，且 VPN 類型是以 路由為基礎。

3. 在左窗格中，展開 [設定]，然後選取 [立即設定點對站設定>]。

4. 檢視 [點對站組態 ] 頁面。

   

5. 在 [ 點對站組態 ] 頁面上，設定下列設定：

   • 位址池：此值會指定 VPN 用戶端在連線到 VPN 閘道時接收 IP 位址的客戶端位址池。 位址池必須是不會與虛擬網路位址範圍重疊的私人IP位址範圍。 例如， 172.16.201.0/24。
   • 通道類型：選取通道類型。 例如，選取 [IKEv2] 和 [OpenVPN][SSL]。
   • 驗證類型：選取 [RADIUS 驗證]。
   • 如果您有主動-主動 VPN 閘道，則需要第三個公用IP位址。 您可以使用範例值 VNet1GWpip3 來建立新的公用 IP 位址。
   • 主伺服器 IP 位址：輸入網路原則伺服器 （NPS） 的 IP 位址。
   • 主伺服器密碼：輸入您在 NPS 上建立 RADIUS 用戶端時所指定的共享密碼。

6. 在頁面頂端， 儲存 組態設定。

儲存設定之後，您可以按兩下 [ 下載 VPN 用戶端 ] 來下載 VPN 用戶端元件，並使用設定來設定 VPN 用戶端。 如需 P2S VPN 用戶端設定的詳細資訊，請參閱 點對站用戶端設定需求 表格。

整合 NPS 與 Microsoft Entra MFA

使用下列連結來整合 NPS 基礎結構與 Microsoft Entra 多重要素驗證：

• 運作方式：Microsoft Entra 多重要素驗證
• 整合現有的 NPS 基礎結構與 Microsoft Entra 多重要素驗證

下一步

如需設定 VPN 用戶端的步驟，請參閱 點對站用戶端設定需求 數據表。