我已经设置了 Azure VPN 网关,并将其配置为使用 Azure Active Directory 作为身份验证机制。我可以将 AD 用户分配给 Azure VPN 应用程序,并通过具有条件访问的各种策略控制访问。
用户使用 Azure VPN 客户端进行连接,这似乎是使用 AAD 作为身份验证机制的要求(客户端应用程序在连接到 VPN 时处理 Azure 登录流以对用户进行身份验证)。
这一切都运行良好,只是 Azure VPN 客户端似乎会在用户登录一次后缓存用户凭据。即使我撤销了他们对 Azure VPN 应用程序的访问权限,这仍然允许用户连接到 VPN。
我正在尝试强制执行一项要求,即用户每次连接到 VPN 时都必须登录。这样,每次连接时都会评估访问控制和策略 - 例如,每次连接到 VPN 时都要求进行 MFA。(是的,我知道这会给最终用户带来烦恼 - 这是针对拥有大量特权访问权限的管理用户的子集。)
这可能吗?我如何证明我们有能力撤销用户的访问权限,以便他们无法在未重新验证身份的情况下再次连接到 VPN?
答案1
遇到了您的问题,而且似乎 CA 策略确实阻止了它,但是必须删除 vpn 客户端中的 vpn 配置文件。这似乎很奇怪,几乎就像它缓存了他们成功连接的事实并继续让他们这样做。删除配置文件后似乎不允许连接。