Partager via

Configurer P2S pour un accès en fonction des utilisateurs et des groupes - Authentification Microsoft Entra

  • Article

Quand vous utilisez Microsoft Entra ID comme méthode d’authentification pour P2S, vous pouvez configurer P2S pour autoriser un accès différent selon les utilisateurs et les groupes. Si vous souhaitez que différents ensembles d’utilisateurs puissent se connecter à différentes passerelles VPN, vous pouvez inscrire plusieurs applications dans AD et les lier à différentes passerelles VPN. Cet article vous aide à configurer un locataire Microsoft Entra pour l’authentification P2S Microsoft Entra, et à créer et inscrire plusieurs applications dans Microsoft Entra ID pour autoriser un accès différent à différents utilisateurs et groupes. Pour plus d’informations sur les protocoles et l’authentification point à site, consultez À propos du VPN point à site.

Remarque

L’authentification Microsoft Entra est prise en charge uniquement pour les connexions de protocole OpenVPN® et nécessite Azure VPN Client.

Locataire Microsoft Entra

Les étapes décrites dans cet article nécessitent un tenant Microsoft Entra. Si vous n’avez pas de tenant Microsoft Entra, vous pouvez en créer un en suivant les étapes de l’article Créer un locataire. Notez les champs suivants lors de la création de votre répertoire :

  • Nom de l'organisation
  • Nom de domaine initial

Créer des utilisateurs de tenant Microsoft Entra

  1. Créez deux comptes dans le tenant Microsoft Entra nouvellement créé. Pour les étapes à suivre, consultez Ajouter ou supprimer un nouvel utilisateur.

    • Compte d’administrateur général
    • Compte d’utilisateur

    Le compte d’administrateur général sera utilisé pour accorder le consentement à l’inscription de l’application VPN Azure. Le compte d’utilisateur peut être utilisé pour tester l’authentification OpenVPN.

  2. Attribuez le rôle Administrateur général à un des comptes. Pour les étapes à suivre, consultez Attribuer des rôles d’administrateur et de non-administrateur à des utilisateurs avec Microsoft Entra ID.

Autoriser l’application VPN Azure

  1. Connectez-vous au portail Azure en tant qu'utilisateur doté du rôle d'Administrateur général.

  2. Ensuite, accordez le consentement de l’administrateur pour votre organisation. Ceci permet à l’application VPN Azure de se connecter et de lire les profils utilisateur. Copiez et collez l'URL correspondant à votre emplacement de déploiement sur la barre d'adresse de votre navigateur :

    Public

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent

    Microsoft Cloud Allemagne

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent

    Microsoft Azure géré par 21Vianet

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent

    Remarque

    Si vous utilisez un compte d’administrateur général qui n’est pas natif du locataire Microsoft Entra pour fournir un consentement, remplacez « common » par l’ID de locataire Microsoft Entra dans l’URL. Dans certains autres cas, vous devrez peut-être aussi remplacer « common » par votre ID de locataire. Pour savoir comment rechercher votre ID de locataire, consultez Comment trouver votre ID de locataire Microsoft Entra.

  3. Si vous y êtes invité, sélectionnez le compte qui a le rôle Administrateur général.

  4. Dans la page Autorisations demandées, sélectionnez Accepter.

  5. Accédez à Microsoft Entra ID. Dans le volet gauche, cliquez sur Applications d’entreprise. Vous verrez VPN Azure listé.

    Screenshot of the Enterprise application page showing Azure V P N listed.

Inscrire des applications supplémentaires

Au cours de cette section, vous pouvez inscrire des applications supplémentaires pour différents utilisateurs et groupes. Répétez les étapes pour créer le nombre d’applications nécessaires à vos besoins de sécurité. Chaque application est associée à une passerelle VPN et peut avoir un ensemble différent d’utilisateurs. Une seule application peut être associée à une passerelle.

Ajouter une étendue

  1. Dans le portail Azure, sélectionnez Microsoft Entra ID.

  2. Dans le volet gauche, sélectionnez Inscriptions d’applications.

  3. Au sommet de la page Inscriptions d’applications, sélectionnez Nouvelle inscription.

  4. Dans la page Inscrire une application, entrez le Nom. Par exemple, MarketingVPN. Vous pourrez toujours changer de nom par la suite.

    • Sélectionnez les Types de comptes pris en charge souhaités.
    • Au bas de la page, cliquez sur Inscrire.

  5. Une fois la nouvelle application inscrite, dans le volet gauche, cliquez sur Exposer une API. Puis cliquez sur + Ajouter une étendue.

    • Dans la page Ajouter une étendue, conservez l’URI d’ID d’application par défaut.
    • Cliquez sur Enregistrer et continuer.

  6. La page revient à Ajouter une étendue. Renseignez les champs requis et assurez-vous que État est Activé.

    Screenshot of Microsoft Entra ID add a scope page.

  7. Lorsque vous avez terminé de remplir les champs, cliquez sur Ajouter une étendue.

Ajouter une application cliente

  1. Dans la page Exposer une API, cliquez sur + Ajouter une application cliente.

  2. Dans la page Ajouter une application cliente, pour ID client, entrez les valeurs suivantes en fonction du cloud :

    • Azure public : 41b23e61-6c1e-4545-b367-cd054e0ed4b4
    • Azure Government : 51bb15d4-3a4f-4ebf-9dca-40096fe32426
    • Azure Allemagne : 538ee9e6-310a-468d-afef-ea97365856a9
    • Microsoft Azure géré par 21Vianet : 49f817b6-84ae-4cc0-928c-73f27289b3aa

  3. Cochez la case Étendues autorisées à inclure. Cliquez ensuite sur Ajouter une application.

    Screenshot of Microsoft Entra ID add client application page.

  4. Cliquez sur Ajouter une application.

Copier l’ID du client d’application

Lorsque vous activez l’authentification sur la passerelle VPN, vous avez besoin de la valeur ID d’application (client) pour remplir la valeur Public pour la configuration point à site.

  1. Allez à la page Vue d’ensemble.

  2. Copiez l’ID d’application (client) à partir de la page Vue d’ensemble et enregistrez-le afin de pouvoir accéder à cette valeur ultérieurement. Vous aurez besoin de ces informations pour configurer vos passerelles VPN.

    Screenshot showing Client ID value.

Affecter des utilisateurs à des applications

Affectez des utilisateurs à vos applications. Si vous spécifiez un groupe, l’utilisateur doit être membre direct du groupe. Les groupes imbriqués ne sont pas pris en charge.

  1. Accédez à votre instance Microsoft Entra ID et sélectionnez Applications d’entreprise.
  2. Dans la liste, recherchez l’application que vous venez d’inscrire et cliquez pour l’ouvrir.
  3. Cliquez sur Propriétés. Dans la page Propriétés, vérifiez que vous avez réglé Activé pour que les utilisateurs se connectent sur Oui. Si ce n’est pas le cas, remplacez la valeur par Oui.
  4. Pour Affectation requise, remplacez la valeur par Oui. Pour plus d’informations sur ce paramètre, consultez Propriétés de l’application.
  5. Une fois les modifications apportées, cliquez sur Enregistrer pour enregistrer vos paramètres.
  6. Dans le volet gauche, cliquez sur Utilisateurs et groupes. Dans la page Utilisateurs et groupes, cliquez sur + Ajouter un utilisateur/groupe pour ouvrir la page Ajouter une affectation.
  7. Cliquez sur le lien sous Utilisateurs et groupes pour ouvrir la page Utilisateurs et groupes. Sélectionnez les utilisateurs et les groupes que vous souhaitez affecter, puis cliquez sur Sélectionner.
  8. Une fois que vous avez terminé la sélection des utilisateurs et des groupes, cliquez sur Affecter.

Configurer l’authentification pour la passerelle.

Important

Le portail Azure met actuellement à jour les champs Azure Active Directory vers Entra. Si vous voyez Microsoft Entra ID référencé, mais que vous ne voyez pas encore ces valeurs dans le portail, vous pouvez sélectionner des valeurs Azure Active Directory.

Dans cette étape, vous configurez l’authentification Microsoft Entra P2S pour la passerelle de réseau virtuel.

  1. Accédez à la passerelle de réseau privé. Sélectionnez Configuration point à site dans le volet de navigation de gauche.

    Screenshot showing point-to-site configuration page.

    Configurez les valeurs suivantes :

    • Pool d’adresses : pool d’adresses client
    • Type de tunnel : OpenVPN (SSL)
    • Type d’authentification : Microsoft Entra ID

    Pour les valeurs Microsoft Entra ID, utilisez les instructions suivantes concernant les valeurs Locataire, Audience et Émetteur.

    • Locataire : https://login.microsoftonline.com/{TenantID}
    • ID de public : utilisez la valeur que vous avez créée dans la section précédente qui correspond à l’ID d’application (client). N’utilisez pas l’ID d’application de l’application d’entreprise Microsoft Entra « Azure VPN », utilisez l’ID d’application que vous avez créé et inscrit. Si vous utilisez l’ID d’application de l’application d’entreprise Microsoft Entra « Azure VPN » à la place, tous les utilisateurs ont accès à la passerelle VPN (ce qui est le moyen par défaut de configurer l’accès), au lieu d’accorder l’accès seulement aux utilisateurs que vous avez attribués à l’application que vous avez créée et inscrite.
    • Émetteur : https://sts.windows.net/{TenantID} pour la valeur Émetteur, veillez à inclure / à la fin.

  2. Une fois que vous avez terminé la configuration des paramètres, cliquez sur Enregistrer en haut de la page.

Télécharger le package de configuration de profil Azure VPN Client

Dans cette section, vous générez et téléchargez le package de configuration de profil Azure VPN Client. Ce package contient les paramètres que vous pouvez utiliser pour configurer le profil Azure VPN Client sur les ordinateurs clients.

  1. En haut de la page Configuration de point à site, cliquez sur Télécharger le client VPN. La génération du package de configuration du client prend quelques minutes.

  2. Votre navigateur indique qu’un fichier zip de configuration du client est disponible. Il porte le même nom que votre passerelle.

  3. Extrayez le fichier zip téléchargé.

  4. Accédez au dossier « AzureVPN » décompressé.

  5. Notez l'emplacement du fichier « azurevpnconfig.xml ». Le fichier azurevpnconfig.xml contient la configuration de la connexion VPN. Vous pouvez également distribuer ce fichier à tous les utilisateurs qui ont besoin de se connecter par e-mail ou par d'autres moyens. L’utilisateur doit avoir des informations d’identification Microsoft Entra valides pour pouvoir se connecter. Si vous souhaitez obtenir plus d’informations, consultez Fichiers de configuration du profil de client VPN Azure pour l’authentification Microsoft Entra.

Étapes suivantes