Konfigurace brány VPN typu point-to-site pro ověřování Microsoft Entra ID

  • Článek

Tento článek vám pomůže nakonfigurovat nastavení klienta Microsoft Entra a brány VPN typu point-to-site (P2S) pro ověřování Microsoft Entra ID. Další informace o protokolech typu point-to-site a ověřování najdete v tématu Informace o vpn Gateway typu point-to-site VPN. Pokud se chcete ověřit pomocí ověřování Microsoft Entra ID, musíte do konfigurace point-to-site zahrnout typ tunelu OpenVPN.

Poznámka:

Ověřování Microsoft Entra je podporováno pouze pro připojení protokolu OpenVPN® a vyžaduje Klient Azure VPN.

Požadavky

Kroky v tomto článku vyžadují tenanta Microsoft Entra. Pokud nemáte tenanta Microsoft Entra, můžete ho vytvořit pomocí postupu v článku Vytvoření nového tenanta . Při vytváření adresáře si všimněte následujících polí:

  • Název organizace
  • Počáteční název domény

Pokud už máte existující bránu P2S, postup v tomto článku vám pomůže nakonfigurovat bránu pro ověřování Microsoft Entra ID. Můžete také vytvořit novou bránu VPN. Odkaz na vytvoření nové brány je součástí tohoto článku.

Vytvoření uživatelů tenanta Microsoft Entra

  1. V nově vytvořeném tenantovi Microsoft Entra vytvořte dva účty. Postup najdete v tématu Přidání nebo odstranění nového uživatele.

    • Účet globálního správce
    • Uživatelský účet

    Účet globálního správce se použije k udělení souhlasu s registrací aplikace Azure VPN. Uživatelský účet lze použít k otestování ověřování OpenVPN.

  2. Přiřaďte jeden z účtů roli globálního správce . Postup najdete v tématu Přiřazení rolí správce a nesprávce uživatelům s ID Microsoft Entra.

Autorizace aplikace Azure VPN

  1. Přihlaste se k webu Azure Portal jako uživatel, který má přiřazenou roli globálního správce .

  2. Dále udělte souhlas správce pro vaši organizaci. To umožňuje aplikaci Azure VPN přihlásit se a číst profily uživatelů. Zkopírujte a vložte adresu URL, která se týká vašeho umístění nasazení, do adresního řádku prohlížeče:

    Veřejná

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent

    Microsoft Cloud Germany

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent

    Platforma Microsoft Azure provozovaná společností 21Vianet

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent

    Poznámka:

    Pokud k udělení souhlasu používáte účet globálního správce, který není nativní pro tenanta Microsoft Entra, nahraďte "common" ID tenanta Microsoft Entra v adrese URL. V některých dalších případech můžete také muset nahradit "společné" ID vašeho tenanta. Nápovědu k vyhledání ID tenanta najdete v tématu Jak najít ID tenanta Microsoft Entra.

  3. V případě výzvy vyberte účet, který má roli globálního správce .

  4. Na stránce Požadovaná oprávnění vyberte Přijmout.

  5. Přejděte na Microsoft Entra ID. V levém podokně klikněte na Podnikové aplikace. Zobrazí se Azure VPN .

    Snímek obrazovky se stránkou podnikové aplikace zobrazující seznam N virtuálních počítačů Azure

Konfigurace brány VPN

Důležité

Na webu Azure Portal probíhá aktualizace polí Azure Active Directory na Entra. Pokud se na ID Microsoft Entra odkazuje a tyto hodnoty ještě na portálu nevidíte, můžete vybrat hodnoty Azure Active Directory.

  1. Vyhledejte ID tenanta adresáře, který chcete použít k ověřování. Je uvedená v části vlastnosti na stránce služby Active Directory. Nápovědu k vyhledání ID tenanta najdete v tématu Jak najít ID tenanta Microsoft Entra.

  2. Pokud ještě nemáte funkční prostředí point-to-site, vytvořte ho podle pokynů. Viz Vytvoření sítě VPN typu point-to-site pro vytvoření a konfiguraci brány VPN typu point-to-site. Při vytváření brány VPN se skladová položka Basic pro OpenVPN nepodporuje.

  3. Přejděte na bránu virtuální sítě. V levém podokně klikněte na konfigurace typu Point-to-Site.

    Snímek obrazovky znázorňující nastavení pro typ tunelu, typ ověřování a nastavení Microsoft Entra

    Nakonfigurujte následující hodnoty:

    • Fond adres: Fond adres klienta
    • Typ tunelu: OpenVPN (SSL)
    • Typ ověřování: Microsoft Entra ID

    Pro hodnoty ID Microsoft Entra použijte následující pokyny pro hodnoty tenanta, cílové skupiny a vystavitele . Položku {TenantID} nahraďte SVÝM ID tenanta a při nahrazení této hodnoty je potřeba odebrat {} z příkladů.

    • Tenant: ID tenanta pro tenanta Microsoft Entra. Zadejte ID tenanta, které odpovídá vaší konfiguraci. Ujistěte se, že adresa URL tenanta nemá \ na konci (zpětné lomítko). Lomítko je přípustné.

      • Azure Public AD: https://login.microsoftonline.com/{TenantID}
      • Azure Government AD: https://login.microsoftonline.us/{TenantID}
      • Azure Germany AD: https://login-us.microsoftonline.de/{TenantID}
      • Čína 21Vianet AD: https://login.chinacloudapi.cn/{TenantID}

    • Cílová skupina: ID aplikace "Azure VPN" Microsoft Entra Enterprise App.

      • Veřejný Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
      • Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
      • Azure Germany: 538ee9e6-310a-468d-afef-ea97365856a9
      • Microsoft Azure provozovaný společností 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa

    • Vystavitel: Adresa URL služby zabezpečeného tokenu. Na konci hodnoty Vystavitel zahrňte koncové lomítko. Jinak může připojení selhat. Příklad:

      • https://sts.windows.net/{TenantID}/

  4. Po dokončení konfigurace nastavení klikněte v horní části stránky na Uložit .

Stažení konfiguračního balíčku profilu Klient Azure VPN

V této části vygenerujete a stáhnete konfigurační balíček Klient Azure VPN profilu. Tento balíček obsahuje nastavení, která můžete použít ke konfiguraci profilu Klient Azure VPN na klientských počítačích.

  1. V horní části stránky konfigurace point-to-site klepněte na tlačítko Stáhnout klienta VPN. Generování konfiguračního balíčku klienta trvá několik minut.

  2. Váš prohlížeč indikuje, že je k dispozici konfigurační soubor ZIP klienta. Jmenuje se stejný název jako brána.

  3. Extrahujte stažený soubor ZIP.

  4. Přejděte do rozbalené složky AzureVPN.

  5. Poznamenejte si umístění souboru "azurevpnconfig.xml". Azurevpnconfig.xml obsahuje nastavení pro připojení VPN. Tento soubor můžete také distribuovat všem uživatelům, kteří se potřebují připojit prostřednictvím e-mailu nebo jiných prostředků. Aby se uživatel úspěšně připojil, bude potřebovat platné přihlašovací údaje Microsoft Entra. Další informace naleznete v tématu Konfigurační soubory profilu klienta Azure VPN pro ověřování Microsoft Entra.

Další kroky

  • Pokud se chcete připojit k virtuální síti, musíte na klientských počítačích nakonfigurovat klienta Azure VPN. Viz Konfigurace klienta VPN pro připojení P2S VPN.
  • Nejčastější dotazy najdete v části Point-to-Site v nejčastějších dotazech ke službě VPN Gateway.