将 Azure VPN 网关 RADIUS 身份验证与 NPS 服务器集成实现多重身份验证
本文介绍如何将网络策略服务器 (NPS) 与 Azure VPN 网关 RADIUS 身份验证集成,为点到站点 VPN 连接提供多重身份验证 (MFA)。
先决条件
若要启用 MFA,用户必须位于 Microsoft Entra ID 中,后者必须从本地或云环境进行同步。 此外,用户还必须已完成 MFA 的自动注册过程。 如果 MFA 基于文本(短信、移动应用验证码等),并且要求用户在 VPN 客户端 UI 中输入代码或文本,则身份验证将失败,并且是不受支持的方案。有关详细信息,请参阅为帐户设置双重验证
详细步骤
步骤 1:创建虚拟网络网关
登录到 Azure 门户。
在将托管虚拟网络网关的虚拟网络中,依次选择“子网”、“网关子网”以创建子网。
通过指定以下设置创建虚拟网络网关:
网关类型:选择“VPN”。
VPN 类型:选择“基于路由”。
SKU:根据需要选择 SKU 类型。
虚拟网络:选择已在其中创建网关子网的虚拟网络。
步骤 2:为 Microsoft Entra 多重身份验证配置 NPS
在 NPS 服务器上,安装用于 Microsoft Entra 多重身份验证的 NPS 扩展。
打开 NPS 控制台,右键单击“RADIUS 客户端”,然后选择“新建”。 通过指定以下设置创建 RADIUS 客户端:
友好名称:键入任何名称。
地址(IP 或 DNS):键入在步骤 1 中创建的网关子网。
共享机密:键入任何密钥,并记住它以供将来使用。
在“高级”选项卡上,将供应商名称设置为“RADIUS Standard”并确保未选中“其他选项”复选框。
转到“策略”>“网络策略”,双击“到 Microsoft 路由和远程访问服务器的连接”策略,选择“授予访问权限”,然后单击“确定”。
步骤 3:配置虚拟网络网关
登录到 Azure 门户。
打开已创建的虚拟网络网关。 请确保网关类型设置为 VPN 并且 VPN 类型为“基于路由”。
单击“点到站点配置”>“立即配置”,然后指定以下设置:
地址池:键入在步骤 1 中创建的网关子网。
身份验证类型:选择“RADIUS 身份验证”。
服务器 IP 地址:键入 NPS 服务器的 IP 地址。