P2S configureren voor toegang op basis van gebruikers en groepen - Microsoft Entra-verificatie

  • Artikel

Wanneer u Microsoft Entra ID gebruikt als verificatiemethode voor P2S, kunt u P2S configureren om verschillende toegang voor verschillende gebruikers en groepen toe te staan. Als u wilt dat verschillende sets gebruikers verbinding kunnen maken met verschillende VPN-gateways, kunt u meerdere apps registreren in AD en deze koppelen aan verschillende VPN-gateways. Dit artikel helpt u bij het instellen van een Microsoft Entra-tenant voor P2S Microsoft Entra-verificatie en het maken en registreren van meerdere apps in Microsoft Entra ID voor het toestaan van verschillende toegang voor verschillende gebruikers en groepen. Zie Over punt-naar-site-VPN voor meer informatie over punt-naar-site-protocollen en -verificatie.

Notitie

Microsoft Entra-verificatie wordt alleen ondersteund voor OpenVPN-protocolverbindingen® en vereist de Azure VPN-client.

Microsoft Entra-tenant

Voor de stappen in dit artikel is een Microsoft Entra-tenant vereist. Als u geen Microsoft Entra-tenant hebt, kunt u er een maken met behulp van de stappen in het artikel Een nieuwe tenant maken. Let op de volgende velden bij het maken van uw directory:

  • Organisatienaam
  • Initiële domeinnaam

Microsoft Entra-tenantgebruikers maken

  1. Maak twee accounts in de zojuist gemaakte Microsoft Entra-tenant. Zie Een nieuwe gebruiker toevoegen of verwijderen voor stappen.

    • Account van globale beheerder
    • Gebruikersaccount

    Het globale beheerdersaccount wordt gebruikt om toestemming te verlenen voor de registratie van de Azure VPN-app. Het gebruikersaccount kan worden gebruikt om OpenVPN-verificatie te testen.

  2. Wijs een van de accounts de rol globale beheerder toe. Zie Beheerders- en niet-beheerdersrollen toewijzen aan gebruikers met Microsoft Entra-id voor stappen.

De Azure VPN-toepassing autoriseren

  1. Meld u aan bij Azure Portal als een gebruiker waaraan de rol globale beheerder is toegewezen.

  2. Geef vervolgens beheerderstoestemming voor uw organisatie. Hierdoor kan de Azure VPN-toepassing zich aanmelden en gebruikersprofielen lezen. Kopieer en plak de URL die betrekking heeft op uw implementatielocatie in de adresbalk van uw browser:

    Openbaar

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent

    Microsoft Cloud Duitsland

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent

    Microsoft Azure beheerd door 21Vianet

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent

    Notitie

    Als u een globale beheerdersaccount gebruikt dat niet systeemeigen is voor de Microsoft Entra-tenant om toestemming te geven, vervangt u 'algemeen' door de Tenant-id van Microsoft Entra in de URL. Mogelijk moet u ook 'algemeen' vervangen door uw tenant-id in bepaalde andere gevallen. Zie Uw Microsoft Entra-tenant-id vinden voor hulp bij het vinden van uw tenant-id van uw tenant.

  3. Selecteer het account met de rol Globale beheerder als hierom wordt gevraagd.

  4. Selecteer Accepteren op de pagina Machtigingen die zijn aangevraagd.

  5. Ga naar Microsoft Entra-id. Klik in het linkerdeelvenster op Bedrijfstoepassingen. U ziet dat Azure VPN wordt vermeld.

    Screenshot of the Enterprise application page showing Azure V P N listed.

Aanvullende toepassingen registreren

In deze sectie kunt u extra toepassingen registreren voor verschillende gebruikers en groepen. Herhaal de stappen om zoveel toepassingen te maken die nodig zijn voor uw beveiligingsvereisten. Elke toepassing wordt gekoppeld aan een VPN-gateway en kan een andere set gebruikers hebben. Er kan slechts één toepassing worden gekoppeld aan een gateway.

Een bereik toevoegen

  1. Selecteer Microsoft Entra-id in de Azure-portal.

  2. Selecteer App-registraties in het linkerdeelvenster.

  3. Selecteer + Nieuwe registratie bovenaan de pagina App-registraties.

  4. Voer op de pagina Een toepassing registreren de naam in. Bijvoorbeeld MarketingVPN. U kunt de naam later altijd wijzigen.

    • Selecteer de gewenste ondersteunde accounttypen.
    • Klik onder aan de pagina op Registreren.

  5. Zodra de nieuwe app is geregistreerd, klikt u in het linkerdeelvenster op Een API beschikbaar maken. Klik vervolgens op + Een bereik toevoegen.

    • Laat op de pagina Een bereik toevoegen de standaard-URI voor de toepassings-id staan.
    • Klik op Opslaan en doorgaan.

  6. De pagina keert terug naar de pagina Een bereik toevoegen. Vul de vereiste velden in en zorg ervoor dat Status is ingeschakeld.

    Screenshot of Microsoft Entra ID add a scope page.

  7. Wanneer u klaar bent met het invullen van de velden, klikt u op Bereik toevoegen.

Een clienttoepassing toevoegen

  1. Klik op de pagina Een API beschikbaar maken op + Een clienttoepassing toevoegen.

  2. Voer op de pagina Een clienttoepassing toevoegen voor client-id de volgende waarden in, afhankelijk van de cloud:

    • Openbaar in Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
    • Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
    • Azure Duitsland: 538ee9e6-310a-468d-afef-ea97365856a9
    • Microsoft Azure beheerd door 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa

  3. Schakel het selectievakje in voor de geautoriseerde bereiken die u wilt opnemen. Klik vervolgens op Toepassing toevoegen.

    Screenshot of Microsoft Entra ID add client application page.

  4. Klik op Toepassing toevoegen.

Toepassings-id (client) kopiëren

Wanneer u verificatie inschakelt op de VPN-gateway, hebt u de waarde van de toepassings-id (client) nodig om de doelgroepwaarde in te vullen voor de punt-naar-site-configuratie.

  1. Ga naar de pagina Overzicht.

  2. Kopieer de toepassings-id (client) op de pagina Overzicht en sla deze op, zodat u deze waarde later kunt openen. U hebt deze informatie nodig om uw VPN-gateway(s) te configureren.

    Screenshot showing Client ID value.

Gebruikers toewijzen aan toepassingen

Wijs de gebruikers toe aan uw toepassingen. Als u een groep opgeeft, moet de gebruiker een direct lid van de groep zijn. Geneste groepen worden niet ondersteund.

  1. Ga naar uw Microsoft Entra-id en selecteer Bedrijfstoepassingen.
  2. Zoek in de lijst de toepassing die u zojuist hebt geregistreerd en klik erop om deze te openen.
  3. Klik op Eigenschappen. Controleer op de pagina Eigenschappen of Ingeschakeld voor gebruikers om zich aan te melden is ingesteld op Ja. Zo niet, wijzigt u de waarde in Ja.
  4. Voor toewijzing vereist, wijzigt u de waarde in Ja. Zie Toepassingseigenschappen voor meer informatie over deze instelling.
  5. Als u wijzigingen hebt aangebracht, klikt u op Opslaan om uw instellingen op te slaan.
  6. Klik in het linkerdeelvenster op Gebruikers en groepen. Klik op de pagina Gebruikers en groepen op + Gebruiker/groep toevoegen om de pagina Toewijzing toevoegen te openen.
  7. Klik op de koppeling onder Gebruikers en groepen om de pagina Gebruikers en groepen te openen. Selecteer de gebruikers en groepen die u wilt toewijzen en klik vervolgens op Selecteren.
  8. Nadat u klaar bent met het selecteren van gebruikers en groepen, klikt u op Toewijzen.

Verificatie voor de gateway configureren

Belangrijk

Azure Portal is bezig met het bijwerken van Azure Active Directory-velden naar Entra. Als u microsoft Entra-id ziet waarnaar wordt verwezen en u deze waarden nog niet ziet in de portal, kunt u Azure Active Directory-waarden selecteren.

In deze stap configureert u P2S Microsoft Entra-verificatie voor de gateway van het virtuele netwerk.

  1. Ga naar de gateway van het virtuele netwerk. Klik in het linkerdeelvenster op Punt-naar-site-configuratie.

    Screenshot showing point-to-site configuration page.

    Configureer de volgende waarden:

    • Adresgroep: clientadresgroep
    • Tunneltype: OpenVPN (SSL)
    • Verificatietype: Microsoft Entra-id

    Gebruik voor Microsoft Entra ID-waarden de volgende richtlijnen voor tenant-, doelgroep- en verlenerwaarden .

    • Tenant: https://login.microsoftonline.com/{TenantID}
    • Doelgroep-id: Gebruik de waarde die u in de vorige sectie hebt gemaakt die overeenkomt met de toepassings-id (client). Gebruik de toepassings-id niet voor 'Azure VPN' Microsoft Entra Enterprise App: gebruik de toepassings-id die u hebt gemaakt en geregistreerd. Als u in plaats daarvan de toepassings-id voor de Microsoft Entra Enterprise-app 'Azure VPN' gebruikt, krijgen alle gebruikers toegang tot de VPN-gateway (wat de standaardwijze is om toegang in te stellen), in plaats van alleen de gebruikers toe te kennen die u hebt toegewezen aan de toepassing die u hebt gemaakt en geregistreerd.
    • Verlener: https://sts.windows.net/{TenantID} Zorg ervoor dat u voor de waarde van de verlener een volging / aan het einde opneemt.

  2. Zodra u klaar bent met het configureren van instellingen, klikt u boven aan de pagina op Opslaan .

Het configuratiepakket voor het Azure VPN-clientprofiel downloaden

In deze sectie genereert en downloadt u het configuratiepakket voor het Azure VPN-clientprofiel. Dit pakket bevat de instellingen die u kunt gebruiken om het Profiel van de Azure VPN-client op clientcomputers te configureren.

  1. Klik boven aan de pagina punt-naar-site-configuratie op VPN-client downloaden. Het duurt enkele minuten voordat het clientconfiguratiepakket wordt gegenereerd.

  2. Uw browser geeft aan dat een zip-bestand voor clientconfiguratie beschikbaar is. Deze heeft dezelfde naam als uw gateway.

  3. Pak het gedownloade zip-bestand uit.

  4. Blader naar de uitgepakte map 'AzureVPN'.

  5. Noteer de locatie van het bestand 'azurevpnconfig.xml'. De azurevpnconfig.xml bevat de instelling voor de VPN-verbinding. U kunt dit bestand ook distribueren naar alle gebruikers die verbinding moeten maken via e-mail of andere manieren. De gebruiker heeft geldige Microsoft Entra-referenties nodig om verbinding te maken. Zie configuratiebestanden voor Azure VPN-clientprofielen voor Microsoft Entra-verificatie voor meer informatie.

Volgende stappen