Kullanıcılara ve gruplara göre erişim için P2S'yi yapılandırma - Microsoft Entra kimlik doğrulaması

  • Makale

P2S için kimlik doğrulama yöntemi olarak Microsoft Entra Id kullandığınızda, P2S'yi farklı kullanıcılar ve gruplar için farklı erişime izin verecek şekilde yapılandırabilirsiniz. Farklı kullanıcı kümelerinin farklı VPN ağ geçitlerine bağlanabilmesini istiyorsanız, AD'ye birden çok uygulama kaydedebilir ve bunları farklı VPN ağ geçitlerine bağlayabilirsiniz. Bu makale, P2S Microsoft Entra kimlik doğrulaması için bir Microsoft Entra kiracısı ayarlamanıza ve farklı kullanıcılar ve gruplar için farklı erişime izin vermek için Microsoft Entra Id'de birden çok uygulama oluşturup kaydetmenize yardımcı olur. Noktadan siteye protokoller ve kimlik doğrulaması hakkında daha fazla bilgi için bkz . Noktadan siteye VPN hakkında.

Not

Microsoft Entra kimlik doğrulaması yalnızca OpenVPN® protokol bağlantıları için desteklenir ve Azure VPN İstemcisi gerektirir.

Microsoft Entra kiracısı

Bu makaledeki adımlar bir Microsoft Entra kiracısı gerektirir. Microsoft Entra kiracınız yoksa, Yeni kiracı oluşturma makalesindeki adımları kullanarak bir kiracı oluşturabilirsiniz. Dizininizi oluştururken aşağıdaki alanlara dikkat edin:

  • Kuruluş adı
  • İlk etki alanı adı

Microsoft Entra kiracı kullanıcıları oluşturma

  1. Yeni oluşturulan Microsoft Entra kiracısında iki hesap oluşturun. Adımlar için bkz . Yeni kullanıcı ekleme veya silme.

    • Genel yönetici hesabı
    • Kullanıcı hesabı

    Genel yönetici hesabı, Azure VPN uygulama kaydına onay vermek için kullanılır. Kullanıcı hesabı OpenVPN kimlik doğrulamasını test etmek için kullanılabilir.

  2. Hesaplardan birini Genel yönetici rolüne atayın. Adımlar için bkz . Microsoft Entra ID ile kullanıcılara yönetici ve yönetici olmayan roller atama.

Azure VPN uygulamasını yetkilendirme

  1. Azure portalında Genel yönetici rolü atanmış bir kullanıcı olarak oturum açın .

  2. Ardından, kuruluşunuz için yönetici onayı verin. Bu, Azure VPN uygulamasının oturum açmasını ve kullanıcı profillerini okumasını sağlar. Dağıtım konumunuza ilişkin URL'yi kopyalayıp tarayıcınızın adres çubuğuna yapıştırın:

    Sunulabilir

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    Azure Kamu

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent

    Microsoft Bulut Almanya

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent

    21Vianet tarafından çalıştırılan Microsoft Azure

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent

    Not

    Onay sağlamak için Microsoft Entra kiracısında yerel olmayan bir genel yönetici hesabı kullanıyorsanız, "common" yerine URL'deki Microsoft Entra kiracı kimliğini yazın. Ayrıca bazı diğer durumlarda "ortak" yerine kiracı kimliğinizi de değiştirmeniz gerekebilir. Kiracı kimliğinizi bulma konusunda yardım için bkz . Microsoft Entra kiracı kimliğinizi bulma.

  3. İstenirse Genel yönetici rolüne sahip hesabı seçin.

  4. İstenen izinler sayfasında Kabul Et'i seçin.

  5. Microsoft Entra Id'ye gidin. Sol bölmede Kurumsal uygulamalar'a tıklayın. Azure VPN'in listelendiğini görürsünüz.

    Screenshot of the Enterprise application page showing Azure V P N listed.

Ek uygulamaları kaydetme

Bu bölümde, çeşitli kullanıcılar ve gruplar için ek uygulamalar kaydedebilirsiniz. Güvenlik gereksinimleriniz için gereken sayıda uygulama oluşturmak için adımları yineleyin. Her uygulama bir VPN ağ geçidiyle ilişkilendirilecek ve farklı bir kullanıcı kümesine sahip olabilir. Bir ağ geçidiyle yalnızca bir uygulama ilişkilendirilebilir.

Kapsam ekle

  1. Azure portalında Microsoft Entra ID'yi seçin.

  2. Sol bölmede Uygulama kayıtları'ı seçin.

  3. Uygulama kayıtları sayfasının üst kısmında + Yeni kayıt'ı seçin.

  4. Uygulamayı kaydet sayfasında Ad girin. Örneğin MarketingVPN. Adı daha sonra istediğiniz zaman değiştirebilirsiniz.

    • İstenen Desteklenen hesap türlerini seçin.
    • Sayfanın en altında Kaydet'e tıklayın.

  5. Yeni uygulama kaydedildikten sonra sol bölmede API'yi kullanıma sunma'ya tıklayın. Ardından + Kapsam ekle'ye tıklayın.

    • Kapsam ekle sayfasında varsayılan Uygulama Kimliği URI'sini bırakın.
    • Kaydet'e tıklayın ve devam edin.

  6. Sayfa, Kapsam ekle sayfasına geri döner. Gerekli alanları doldurun ve Durum'un Etkin olduğundan emin olun.

    Screenshot of Microsoft Entra ID add a scope page.

  7. Alanları doldurmayı bitirdiğinizde Kapsam ekle'ye tıklayın.

İstemci uygulaması ekleme

  1. API'yi kullanıma sunma sayfasında + İstemci uygulaması ekle'ye tıklayın.

  2. İstemci uygulaması ekle sayfasında, İstemci Kimliği için buluta bağlı olarak aşağıdaki değerleri girin:

    • Azure Genel: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
    • Azure Kamu:51bb15d4-3a4f-4ebf-9dca-40096fe32426
    • Azure Almanya: 538ee9e6-310a-468d-afef-ea97365856a9
    • 21Vianet tarafından sağlanan Microsoft Azure: 49f817b6-84ae-4cc0-928c-73f27289b3aa

  3. Eklenecek Yetkili kapsamlar onay kutusunu seçin. Ardından Uygulama ekle'ye tıklayın.

    Screenshot of Microsoft Entra ID add client application page.

  4. Uygulama ekle'ye tıklayın.

Uygulama (istemci) Kimliğini Kopyalama

VPN ağ geçidinde kimlik doğrulamasını etkinleştirdiğinizde, noktadan siteye yapılandırması için hedef kitle değerini doldurmak için Uygulama (istemci) Kimliği değeri gerekir.

  1. Genel Bakış sayfasına gidin.

  2. Genel Bakış sayfasından Uygulama (istemci) Kimliğini kopyalayın ve daha sonra bu değere erişebilmek için kaydedin. VPN ağ geçitlerinizi yapılandırmak için bu bilgilere ihtiyacınız olacaktır.

    Screenshot showing Client ID value.

Uygulamalara kullanıcı atama

Kullanıcıları uygulamalarınıza atayın. Bir grup belirtiyorsanız, kullanıcının grubun doğrudan üyesi olması gerekir. İç içe gruplar desteklenmez.

  1. Microsoft Entra Kimliğiniz'e gidin ve Kurumsal uygulamalar'ı seçin.
  2. Listeden yeni kaydettiğiniz uygulamayı bulun ve tıklayarak açın.
  3. Özellikler'e tıklayın. Özellikler sayfasında, Kullanıcıların oturum açması için etkinleştirildi seçeneğinin Evet olarak ayarlandığını doğrulayın. Aksi takdirde, değeri Evet olarak değiştirin.
  4. Atama gerekli için değeri Evet olarak değiştirin. Bu ayar hakkında daha fazla bilgi için bkz . Uygulama özellikleri.
  5. Değişiklik yaptıysanız, ayarlarınızı kaydetmek için Kaydet'e tıklayın.
  6. Sol bölmede Kullanıcılar ve gruplar'a tıklayın. Kullanıcılar ve gruplar sayfasında + Kullanıcı/grup ekle'ye tıklayarak Atama Ekle sayfasını açın.
  7. Kullanıcılar ve gruplar sayfasını açmak için Kullanıcılar ve gruplar altındaki bağlantıya tıklayın. Atamak istediğiniz kullanıcıları ve grupları seçin, ardından Seç'e tıklayın.
  8. Kullanıcıları ve grupları seçmeyi bitirdikten sonra Ata'ya tıklayın.

Ağ geçidi için kimlik doğrulamasını yapılandırma

Önemli

Azure portalı, Azure Active Directory alanlarını Entra olarak güncelleştirme sürecindedir. Başvurulan Microsoft Entra Id değerini görüyorsanız ve bu değerleri henüz portalda görmüyorsanız Azure Active Directory değerlerini seçebilirsiniz.

Bu adımda, sanal ağ geçidi için P2S Microsoft Entra kimlik doğrulamasını yapılandıracaksınız.

  1. Sanal ağ geçidine gidin. Sol bölmede Noktadan siteye yapılandırma'ya tıklayın.

    Screenshot showing point-to-site configuration page.

    Aşağıdaki değerleri yapılandırın:

    • Adres havuzu: istemci adres havuzu
    • Tünel türü: OpenVPN (SSL)
    • Kimlik doğrulama türü: Microsoft Entra Id

    Microsoft Entra Id değerleri için Kiracı, Hedef Kitle ve Veren değerleri için aşağıdaki yönergeleri kullanın.

    • Kiracı: https://login.microsoftonline.com/{TenantID}
    • hedef kitle kimliği: Önceki bölümde oluşturduğunuz ve Uygulama (istemci) kimliğine karşılık gelen değeri kullanın. "Azure VPN" Microsoft Entra Enterprise Uygulaması için uygulama kimliğini kullanmayın; oluşturduğunuz ve kaydettiğiniz uygulama kimliğini kullanın. Bunun yerine "Azure VPN" Microsoft Entra Enterprise Uygulaması için uygulama kimliğini kullanırsanız, bu, tüm kullanıcılara yalnızca oluşturduğunuz ve kaydettiğiniz uygulamaya atadığınız kullanıcılara izin vermek yerine VPN ağ geçidine erişim izni verir (bu, erişimi ayarlamanın varsayılan yoludur).
    • Veren: https://sts.windows.net/{TenantID} Veren değeri için sonuna bir sondakini / eklediğinizden emin olun.

  2. Ayarları yapılandırmayı tamamladıktan sonra sayfanın üst kısmındaki Kaydet'e tıklayın.

Azure VPN İstemcisi profil yapılandırma paketini indirme

Bu bölümde Azure VPN İstemcisi profil yapılandırma paketini oluşturup indirebilirsiniz. Bu paket, istemci bilgisayarlarda Azure VPN İstemcisi profilini yapılandırmak için kullanabileceğiniz ayarları içerir.

  1. Noktadan siteye yapılandırma sayfasının üst kısmında VPN istemcisini indir'e tıklayın. İstemci yapılandırma paketinin oluşturulması birkaç dakika sürer.

  2. Tarayıcınız bir istemci yapılandırması zip dosyasının kullanılabilir olduğunu gösterir. Ağ geçidinizle aynı adla adlandırılır.

  3. İndirilen zip dosyasını ayıklayın.

  4. Sıkıştırması açılmış "AzureVPN" klasörüne gidin.

  5. "azurevpnconfig.xml" dosyasının konumunu not edin. azurevpnconfig.xml VPN bağlantısı ayarını içerir. Bu dosyayı e-posta veya başka yollarla bağlanması gereken tüm kullanıcılara da dağıtabilirsiniz. Kullanıcının başarıyla bağlanması için geçerli Microsoft Entra kimlik bilgileri gerekir. Daha fazla bilgi için bkz . Microsoft Entra kimlik doğrulaması için Azure VPN istemci profili yapılandırma dosyaları.

Sonraki adımlar

  • Sanal ağınıza bağlanmak için istemci bilgisayarlarınızda Azure VPN istemcisini yapılandırmanız gerekir. Bkz . P2S VPN bağlantıları için VPN istemcisi yapılandırma.
  • Sık sorulan sorular için VPN Gateway SSS'nin Noktadan siteye bölümüne bakın.