为 VPN 用户启用 Microsoft Entra 多重身份验证 (MFA)

如果你希望在授予访问权限之前提示用户执行第二重身份验证，你可以配置 Microsoft Entra 多重身份验证 (MFA)。 可以针对每个用户配置 MFA，也可以通过条件访问利用 MFA。

• 可以为每个用户启用 MFA，而不收费额外费用。 为每个用户启用 MFA 后，系统会提示用户针对绑定到 Microsoft Entra 租户的所有应用程序执行第二重身份验证。 有关步骤，请参阅选项 1。
• 使用条件访问可对提升第二个因素的方式进行更细粒度的控制。 它允许仅将 MFA 分配给 VPN，并排除绑定到 Microsoft Entra 租户的其他应用程序。 有关步骤，请参阅选项 2。

启用身份验证

1. 浏览到“Microsoft Entra ID -> 企业应用程序 -> 所有应用程序”。

2. 在“企业应用程序 - 所有应用程序”页面上，选择“Azure VPN”。

   

配置登录设置

在“Azure VPN - 属性”页面上，配置登录设置。

1. 将“启用以供用户登录?”设置为“是”。 此设置允许 AD 租户中的所有用户成功连接到 VPN。

2. 如果希望仅允许对 Azure VPN 具有权限的用户登录，请将“需要进行用户分配?”设置为“是”。

3. 保存更改。

   

选项 1 -“按用户”访问

打开 MFA 页

1. 登录 Azure 门户。

2. 导航到“Microsoft Entra ID -> 所有用户”。

3. 选择“多重身份验证”以打开“多重身份验证”页。

   

选择用户

1. 在“多重身份验证”页上，选择要为其启用 MFA 的用户。

2. 选择“启用”。

   

选项 2 - 条件访问

条件访问允许基于每个应用程序进行细化的访问控制。 若要使用条件访问，应将 Microsoft Entra ID P1 或 P2 或更高版本的许可应用于将受条件访问规则约束的用户。

1. 导航到“企业应用程序 - 所有应用程序”页，然后单击“Azure VPN” 。

   • 单击“条件访问”。
   • 单击“新建策略”打开“新建”窗格。

2. 在“新建”窗格上，导航到“分配”->“用户和组”。 在“用户和组”->“包括”选项卡上：

   • 单击“选择用户和组”。
   • 选中“用户和组”。
   • 单击“选择”以选择受 MFA 影响的组或用户集。
   • 单击“Done”（完成） 。

   

3. 在“新建”窗格上，导航到“访问控制”->“授予”窗格：

   • 单击“授予访问权限”。
   • 单击“需要多重身份验证”。
   • 单击“需要所有已选控件”。
   • 单击“选择”。

   

4. 在“启用策略”部分中：

   • 选择“启用”。
   • 单击 “创建” 。

   

后续步骤

若要连接到虚拟网络，必须创建并配置 VPN 客户端配置文件。 请参阅配置 VPN 客户端以建立 P2S VPN 连接。