Compartir a través de

将 Azure VPN 网关 RADIUS 身份验证与 NPS 服务器集成实现多重身份验证

本文介绍如何将网络策略服务器 (NPS) 与 Azure VPN 网关 RADIUS 身份验证集成,为点到站点 VPN 连接提供多重身份验证 (MFA)。

先决条件

若要启用 MFA,用户必须位于 Microsoft Entra ID 中,后者必须从本地或云环境进行同步。 此外,用户还必须已完成 MFA 的自动注册过程。 如果 MFA 基于文本(短信、移动应用验证码等),并且要求用户在 VPN 客户端 UI 中输入代码或文本,则身份验证将失败,并且是不受支持的方案。有关详细信息,请参阅为帐户设置双重验证

详细步骤

步骤 1:创建虚拟网络网关

  1. 登录到 Azure 门户

  2. 在将托管虚拟网络网关的虚拟网络中,依次选择“子网”、“网关子网”以创建子网。

    有关如何添加网关子网的图像

  3. 通过指定以下设置创建虚拟网络网关:

    • 网关类型:选择“VPN”。

    • VPN 类型:选择“基于路由”

    • SKU:根据需要选择 SKU 类型。

    • 虚拟网络:选择已在其中创建网关子网的虚拟网络。

      有关虚拟网络网关设置的图像

步骤 2:为 Microsoft Entra 多重身份验证配置 NPS

  1. 在 NPS 服务器上,安装用于 Microsoft Entra 多重身份验证的 NPS 扩展

  2. 打开 NPS 控制台,右键单击“RADIUS 客户端”,然后选择“新建”。 通过指定以下设置创建 RADIUS 客户端:

    • 友好名称:键入任何名称。

    • 地址(IP 或 DNS):键入在步骤 1 中创建的网关子网。

    • 共享机密:键入任何密钥,并记住它以供将来使用。

      有关 RADIUS 客户端设置的图像

  3. 在“高级”选项卡上,将供应商名称设置为“RADIUS Standard”并确保未选中“其他选项”复选框。

    有关 RADIUS 客户端高级设置的图像

  4. 转到“策略”>“网络策略”,双击“到 Microsoft 路由和远程访问服务器的连接”策略,选择“授予访问权限”,然后单击“确定”。

步骤 3:配置虚拟网络网关

  1. 登录到 Azure 门户

  2. 打开已创建的虚拟网络网关。 请确保网关类型设置为 VPN 并且 VPN 类型为“基于路由”

  3. 单击“点到站点配置”>“立即配置”,然后指定以下设置:

    • 地址池:键入在步骤 1 中创建的网关子网。

    • 身份验证类型:选择“RADIUS 身份验证”

    • 服务器 IP 地址:键入 NPS 服务器的 IP 地址。

      有关点到站点设置的图像

后续步骤