Настройка P2S для доступа на основе пользователей и групп — проверка подлинности Microsoft Entra
При использовании идентификатора Microsoft Entra в качестве метода проверки подлинности для P2S можно настроить P2S, чтобы разрешить другой доступ для разных пользователей и групп. Если вы хотите, чтобы разные наборы пользователей могли подключаться к разным VPN-шлюзам, можно зарегистрировать несколько приложений в AD и связать их с разными VPN-шлюзами. В этой статье описано, как настроить клиент Microsoft Entra для проверки подлинности Microsoft Entra P2S и создать и зарегистрировать несколько приложений в идентификаторе Microsoft Entra для предоставления разного доступа для разных пользователей и групп. Дополнительные сведения о протоколах и проверке подлинности подключений "точка — сеть" см. в статье Сведения о VPN "точка — сеть".
Примечание.
Проверка подлинности Microsoft Entra поддерживается только для подключений протокола OpenVPN® и требует vpn-клиента Azure.
Клиент Microsoft Entra
Действия, описанные в этой статье, требуют клиента Microsoft Entra. Если у вас нет клиента Microsoft Entra, его можно создать, выполнив действия, описанные в статье "Создание нового клиента ". При создании каталога обратите внимание на следующие поля:
- Имя организации
- Первоначальное доменное имя
Создание пользователей клиента Microsoft Entra
Создайте две учетные записи в созданном клиенте Microsoft Entra. Шаги см. в статье Добавление и удаление новых пользователей.
- Учетная запись глобального администратора
- Учетная запись пользователя
Учетная запись глобального администратора будет использоваться для предоставления согласия на регистрацию приложения VPN Azure. Учетная запись пользователя может использоваться для тестирования проверки подлинности OpenVPN.
Назначьте одну из учетных записей роли Глобальный администратор. Инструкции см. в разделе "Назначение ролей администратора и неадминистратора пользователям с идентификатором Microsoft Entra".
Авторизация VPN-приложения Azure
Войдите на портал Azure как пользователь с ролью Глобального администратора.
Затем предоставьте согласие администратора для организации. Это позволит приложению VPN Azure выполнять вход и читать профили пользователей. Скопируйте и вставьте URL-адрес, относящийся к расположению развертывания, в адресную строку браузера:
Общедоступный
https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent
Azure для государственных организаций
https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent
Microsoft Cloud Germany
https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent
Microsoft Azure под управлением 21Vianet
https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
Примечание.
Если вы используете учетную запись глобального администратора, которая не является собственной для клиента Microsoft Entra для предоставления согласия, замените "common" идентификатором клиента Microsoft Entra в URL-адресе. Замена common идентификатором арендатора может также потребоваться в некоторых других случаях. Сведения о поиске идентификатора клиента см. в статье "Как найти идентификатор клиента Microsoft Entra".
Выберите учетную запись с ролью Глобальный администратор при появлении запроса.
На странице Запрошенные разрешения щелкните Принять.
Перейдите к идентификатору Microsoft Entra. В области слева щелкните Корпоративные приложения. Вы увидите VPN Azure в списке.
Регистрация дополнительных приложений
В этом разделе описано, как зарегистрировать дополнительные приложения для различных пользователей и групп. Повторите действия, чтобы создать столько приложений, которые необходимы для требований к безопасности. Каждое приложение будет связано с VPN-шлюзом и может иметь свой набор пользователей. К шлюзу может быть привязано только одно приложение.
Добавление области
В портал Azure выберите идентификатор Microsoft Entra.
В левой области выберите Регистрация приложений.
В верхней части страницы Регистрация приложений нажмите кнопку +Создать регистрацию.
На странице Регистрация приложения введите Имя. Например, MarketingVPN. Вы всегда можете изменить имя позже.
- Выберите нужные типы поддерживаемых учетных записей.
- В нижней части страницы нажмите кнопку "Зарегистрировать".
После регистрации нового приложения в левой области нажмите кнопку "Предоставить API". Затем нажмите кнопку +Добавить область.
- На странице "Добавление область" оставьте URI идентификатора приложения по умолчанию.
- Щелкните Сохранить и продолжить.
Страница возвращается на страницу "Добавление область". Заполните обязательные поля и убедитесь, что Состояние — Включено.
Когда вы закончите заполнение полей, нажмите кнопку "Добавить область".
Добавить клиентское приложение
На странице предоставления API нажмите кнопку +Добавить клиентское приложение.
На странице "Добавление клиентского приложения" для идентификатора клиента введите следующие значения в зависимости от облака:
- Общедоступная служба Azure:
41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure для государственных организаций:
51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure Для Германии:
538ee9e6-310a-468d-afef-ea97365856a9
- Microsoft Azure, управляемый 21Vianet:
49f817b6-84ae-4cc0-928c-73f27289b3aa
- Общедоступная служба Azure:
Выберите поле проверка для включения авторизованных область. Затем нажмите кнопку "Добавить приложение".
Нажмите Добавить приложение.
Копирование идентификатора приложения (клиента)
При включении проверки подлинности в VPN-шлюзе вам потребуется значение идентификатора приложения (клиента), чтобы заполнить значение аудитории для конфигурации "точка — сеть".
Перейдите на страницу Обзор.
Скопируйте идентификатор приложения (клиента) на странице обзора и сохраните его, чтобы получить доступ к этому значению позже. Эти сведения потребуются для настройки VPN-шлюзов.
Назначение пользователей приложениям
Назначьте пользователей своим приложениям. Если вы указываете группу, пользователь должен быть прямым членом группы. Вложенные группы не поддерживаются.
- Перейдите к идентификатору Microsoft Entra и выберите корпоративные приложения.
- В списке найдите только что зарегистрированное приложение и щелкните его, чтобы открыть его.
- Нажмите кнопку Свойства. На странице "Свойства" убедитесь, что для входа пользователей задано значение "Да". Если нет, измените значение на "Да".
- Для назначения необходимо изменить значение на "Да". Дополнительные сведения об этом параметре см. в разделе "Свойства приложения".
- Если вы внесли изменения, нажмите кнопку "Сохранить ", чтобы сохранить параметры.
- В области слева выберите Пользователи и группы. На странице "Пользователи и группы" нажмите кнопку "Добавить пользователя или группу", чтобы открыть страницу "Добавить назначение".
- Щелкните ссылку в разделе "Пользователи и группы", чтобы открыть страницу "Пользователи и группы". Выберите пользователей и группы, которые вы хотите назначить, а затем нажмите кнопку "Выбрать".
- После завершения выбора пользователей и групп нажмите кнопку "Назначить".
Настройка проверки подлинности для шлюза
Важно!
Портал Azure находится в процессе обновления полей Azure Active Directory до Entra. Если вы видите идентификатор Microsoft Entra, на который вы ссылаетесь, и вы еще не видите эти значения на портале, можно выбрать значения Azure Active Directory.
На этом шаге вы настроите проверку подлинности Microsoft Entra P2S для шлюза виртуальной сети.
Перейдите к шлюзу виртуальной сети. В левой области щелкните конфигурацию "Точка — сеть".
Задайте следующие значения.
- Пул адресов: пул адресов клиента
- Тип туннеля: OpenVPN (SSL)
- Тип проверки подлинности: идентификатор Microsoft Entra
Для значений идентификатора Microsoft Entra используйте следующие рекомендации для значений клиента, аудитории и издателя.
- Клиент:
https://login.microsoftonline.com/{TenantID}
- Идентификатор аудитории: используйте значение, созданное в предыдущем разделе, соответствующее идентификатору приложения (клиента). Не используйте идентификатор приложения для Microsoft Entra Enterprise App для Microsoft Entra Enterprise App. Используйте созданный и зарегистрированный идентификатор приложения. Если вместо этого вы используете идентификатор приложения для приложения Microsoft Entra Enterprise, то он предоставит всем пользователям доступ к VPN-шлюзу (который будет по умолчанию способом настройки доступа), а не предоставлять только пользователям, назначенным созданному и зарегистрированному приложению.
- Издатель:
https://sts.windows.net/{TenantID}
для значения издателя обязательно включите в конец конечную строку/.
После завершения настройки параметров нажмите кнопку "Сохранить " в верхней части страницы.
Скачивание пакета конфигурации профиля VPN-клиента Azure
В этом разделе описано, как создать и скачать пакет конфигурации профиля VPN-клиента Azure. Этот пакет содержит параметры, которые можно использовать для настройки профиля VPN-клиента Azure на клиентских компьютерах.
В верхней части страницы конфигурации "Точка — сеть" щелкните "Скачать VPN-клиент". Пакет конфигурации клиента создается несколько минут.
В браузере появится сообщение о том, что ZIP-файл конфигурации клиента доступен. Он получает такое же имя, как у вашего шлюза.
Распакуйте загруженный zip-файл.
Перейдите в распакованную папку "AzureVPN".
Запомните расположение файла azurevpnconfig.xml. Файл azurevpnconfig.xml содержит параметр для VPN-подключения. Вы также можете распространить этот файл среди всех пользователей, которым необходимо подключиться по электронной почте или другим способом. Для успешного подключения пользователю потребуются допустимые учетные данные Microsoft Entra. Дополнительные сведения см. в файлах конфигурации профиля клиента VPN Azure для проверки подлинности Microsoft Entra.
Следующие шаги
- Чтобы подключиться к виртуальной сети, необходимо настроить VPN-клиент Azure на клиентских компьютерах. См. раздел Настройка клиента VPN для подключений P2S VPN.
- Часто задаваемые вопросы см. в разделе "Точка — сеть" VPN-шлюз вопросы и ответы.