Configurare un gateway VPN da sito a sito per l'autenticazione di Microsoft Entra ID

  • Articolo

Questo articolo illustra come configurare le impostazioni di Gateway VPN del tenant e del punto a sito di Microsoft Entra per l'autenticazione con ID Microsoft Entra. Per altre informazioni sui protocolli da punto a sito e sull'autenticazione, vedere Informazioni su Gateway VPN VPN da punto a sito. Per eseguire l'autenticazione con l'autenticazione di Microsoft Entra ID, è necessario includere il tipo di tunnel OpenVPN nella configurazione da punto a sito.

Nota

L'autenticazione Di Microsoft Entra è supportata solo per le connessioni al protocollo OpenVPN® e richiede il client VPN di Azure.

Prerequisiti

I passaggi descritti in questo articolo richiedono un tenant di Microsoft Entra. Se non si ha un tenant di Microsoft Entra, è possibile crearne uno seguendo la procedura descritta nell'articolo Creare un nuovo tenant . Si notino i campi seguenti durante la creazione della directory:

  • Nome dell'organizzazione
  • Nome di dominio iniziale

Se si dispone già di un gateway da sito a sito esistente, i passaggi descritti in questo articolo consentono di configurare il gateway per l'autenticazione con ID Entra Microsoft. È anche possibile creare un nuovo gateway VPN. Il collegamento per creare un nuovo gateway è incluso in questo articolo.

Creare utenti tenant di Microsoft Entra

  1. Creare due account nel tenant microsoft Entra appena creato. Per la procedura, vedere Aggiungere o eliminare un nuovo utente.

    • Account amministratore globale
    • Account utente

    L'account amministratore globale verrà usato per concedere il consenso alla registrazione dell'app VPN di Azure. L'account utente può essere usato per testare l'autenticazione OpenVPN.

  2. Assegnare uno degli account al ruolo di amministratore globale. Per la procedura, vedere Assegnare ruoli di amministratore e non amministratore agli utenti con MICROSOFT Entra ID.

Autorizzare l'applicazione VPN di Azure

  1. Accedere al portale di Azure come utente con il ruolo di amministratore globale.

  2. Concedere quindi il consenso amministratore per l'organizzazione. In questo modo l'applicazione VPN di Azure può accedere e leggere i profili utente. Copiare e incollare l'URL relativo alla posizione di distribuzione nella barra degli indirizzi del browser:

    Pubblico

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent

    Microsoft Cloud Germany

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent

    Microsoft Azure gestito da 21Vianet

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent

    Nota

    Se si usa un account amministratore globale non nativo del tenant di Microsoft Entra per fornire il consenso, sostituire "common" con l'ID tenant di Microsoft Entra nell'URL. Potrebbe anche essere necessario sostituire "common" con l'ID tenant anche in alcuni altri casi. Per informazioni su come trovare l'ID tenant, vedere Come trovare l'ID tenant di Microsoft Entra.

  3. Selezionare l'account con il ruolo di amministratore globale, se richiesto.

  4. Nella pagina Autorizzazioni richieste selezionare Accetta.

  5. Passare a Microsoft Entra ID. Nel riquadro sinistro fare clic su Applicazioni aziendali. Verrà visualizzata l'elenco vpn di Azure.

    Screenshot della pagina dell'applicazione Enterprise che mostra Azure V P N elencato.

Configurare il gateway VPN

Importante

Il portale di Azure è in corso di aggiornamento dei campi di Azure Active Directory a Entra. Se viene visualizzato microsoft Entra ID a cui si fa riferimento e non vengono ancora visualizzati i valori nel portale, è possibile selezionare i valori di Azure Active Directory.

  1. Individuare l'ID tenant della directory da usare per l'autenticazione. Viene elencato nella sezione delle proprietà della pagina Di Active Directory. Per informazioni su come trovare l'ID tenant, vedere Come trovare l'ID tenant di Microsoft Entra.

  2. Se non è già presente un ambiente da punto a sito in funzione, seguire le istruzioni per crearne uno. Vedere Creare una VPN da punto a sito per creare e configurare un gateway VPN da punto a sito. Quando si crea un gateway VPN, lo SKU Basic non è supportato per OpenVPN.

  3. Passare al gateway di rete virtuale. Nel riquadro sinistro fare clic su Configurazione da punto a sito.

    Screenshot che mostra le impostazioni per il tipo di tunnel, il tipo di autenticazione e le impostazioni di Microsoft Entra.

    Configurare i valori seguenti:

    • Pool di indirizzi: pool di indirizzi client
    • Tipo di tunnel: OpenVPN (SSL)
    • Tipo di autenticazione: Microsoft Entra ID

    Per i valori id di Microsoft Entra , usare le linee guida seguenti per i valori Tenant, Audience e Issuer . Sostituire {TenantID} con l'ID tenant, prendendo cura di rimuoverlo {} dagli esempi quando si sostituisce questo valore.

    • Tenant: TenantID per il tenant di Microsoft Entra. Immettere l'ID tenant corrispondente alla configurazione. Assicurarsi che l'URL del tenant non abbia una \ (barra rovesciata) alla fine. La barra è consentita.

      • Azure Public AD: https://login.microsoftonline.com/{TenantID}
      • Azure per enti pubblici AD:https://login.microsoftonline.us/{TenantID}
      • Azure Germania AD: https://login-us.microsoftonline.de/{TenantID}
      • Cina 21Vianet AD: https://login.chinacloudapi.cn/{TenantID}

    • Destinatari: ID applicazione dell'app Microsoft Entra Enterprise "VPN di Azure".

      • Pubblico di Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
      • Azure per enti pubblici:51bb15d4-3a4f-4ebf-9dca-40096fe32426
      • Azure Germania: 538ee9e6-310a-468d-afef-ea97365856a9
      • Microsoft Azure gestito da 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa

    • Autorità di certificazione: URL del servizio token sicuro. Includere una barra finale alla fine del valore issuer . In caso contrario, la connessione potrebbe non riuscire. Esempio:

      • https://sts.windows.net/{TenantID}/

  4. Al termine della configurazione delle impostazioni, fare clic su Salva nella parte superiore della pagina.

Scaricare il pacchetto di configurazione del profilo client VPN di Azure

In questa sezione viene generato e scaricato il pacchetto di configurazione del profilo client VPN di Azure. Questo pacchetto contiene le impostazioni che è possibile usare per configurare il profilo client VPN di Azure nei computer client.

  1. Nella parte superiore della pagina di configurazione da punto a sito fare clic su Scarica client VPN. La generazione del pacchetto di configurazione client richiede qualche minuto.

  2. Il browser indica che è disponibile un file con estensione zip per la configurazione client, È denominato con lo stesso nome del gateway.

  3. Estrarre il file ZIP scaricato.

  4. Passare alla cartella "AzureVPN" decompressa.

  5. Prendere nota del percorso del file "azurevpnconfig.xml". Il azurevpnconfig.xml contiene l'impostazione per la connessione VPN. È anche possibile distribuire questo file a tutti gli utenti che devono connettersi tramite posta elettronica o altri mezzi. Per connettersi correttamente, l'utente dovrà disporre delle credenziali valide di Microsoft Entra. Per altre informazioni, vedere File di configurazione del profilo client VPN di Azure per l'autenticazione di Microsoft Entra.

Passaggi successivi