Konfigurace brány P2S VPN pro ověřování Microsoft Entra ID – ručně zaregistrovaná aplikace

Tento článek vám pomůže nakonfigurovat bránu VPN typu point-to-site (P2S) pro ověřování Microsoft Entra ID a ručně zaregistrovat klienta Azure VPN. Tento typ konfigurace je podporován pouze pro připojení protokolu OpenVPN. I když kroky a hodnoty cílové skupiny v tomto článku vedou k funkční konfiguraci, doporučujeme místo toho použít článek Konfigurujte bránu VPN P2S pro ověřování Microsoft Entra ID.

Důležité

Doporučujeme použít nový článek konfigurace brány VPN typu point-to-site pro ověřování Microsoft Entra ID . Nový článek nabízí efektivnější proces nastavení s použitím nové hodnoty Audience ID aplikace klienta VPN Azure registrované u Microsoftu. Nová hodnota cílové skupiny teď navíc podporuje klienta Azure VPN pro Linux. Pokud už je vaše brána VPN uživatele P2S nastavená s ručně nakonfigurovanými hodnotami cílové skupiny klienta Azure VPN, můžete migrovat na nové ID aplikace zaregistrované Microsoftem.

Požadavky

Kroky v tomto článku vyžadují tenanta Microsoft Entra. Pokud nemáte tenanta Microsoft Entra, můžete ho vytvořit pomocí postupu v článku Vytvoření nového tenanta . Při vytváření adresáře si všimněte následujících polí:

• Název organizace
• Počáteční název domény

Pokud už máte existující bránu P2S, postup v tomto článku vám pomůže nakonfigurovat bránu pro ověřování Microsoft Entra ID. Můžete také vytvořit novou bránu VPN. Odkaz na vytvoření nové brány je součástí tohoto článku.

Poznámka:

Ověřování Microsoft Entra ID je podporováno pouze pro připojení protokolu OpenVPN® a vyžaduje Klient Azure VPN.

Vytvořte uživatele tenanta Microsoft Entra

1. V nově vytvořeném tenantovi Microsoft Entra vytvořte dva účty. Postup najdete v tématu Přidání nebo odstranění nového uživatele.

   • Role správce cloudových aplikací
   • Uživatelský účet

   Role Správce cloudových aplikací slouží k udělení souhlasu s registrací aplikace Azure VPN. Uživatelský účet lze použít k otestování ověřování OpenVPN.

2. Přiřaďte jeden z účtů roli Správce cloudových aplikací. Postup najdete v tématu Přiřazení rolí správce a nesprávce uživatelům s ID Microsoft Entra.

Autorizace aplikace Azure VPN

1. Přihlaste se k webu Azure Portal jako uživatel, který má přiřazenou roli Správce cloudových aplikací.

2. Dále udělte souhlas správce pro vaši organizaci. To umožňuje aplikaci Azure VPN přihlásit se a číst profily uživatelů. Zkopírujte a vložte adresu URL, která se týká vašeho umístění nasazení, do adresního řádku prohlížeče:

   Veřejná

   https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent
   

   Azure Government

   https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent
   

   Microsoft Cloud Germany

   https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent
   

   Platforma Microsoft Azure provozovaná společností 21Vianet

   https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
   

   Poznámka:

   Pokud k poskytnutí souhlasu používáte účet správce cloudových aplikací, který není nativní pro tenanta Microsoft Entra, nahraďte v adrese URL "common" ID tenanta Microsoft Entra. V některých dalších případech můžete také muset nahradit "common" ID vašeho tenanta. Nápovědu k vyhledání ID tenanta najdete v tématu Jak najít ID tenanta Microsoft Entra.

3. Vyberte účet, který má v případě výzvy roli Správce cloudových aplikací.

4. Na stránce Požadovaná oprávnění vyberte Přijmout.

5. Přejděte na Microsoft Entra ID. V levém podokně klikněte na Podnikové aplikace. Uvidíte Azure VPN na seznamu.

   

Konfigurace brány VPN

Důležité

Na webu Azure Portal probíhá aktualizace polí Azure Active Directory na Entra. Pokud se na ID Microsoft Entra odkazuje a tyto hodnoty ještě na portálu nevidíte, můžete vybrat hodnoty Azure Active Directory.

1. Vyhledejte ID tenanta adresáře, který chcete použít k ověřování. Je uvedená v části vlastnosti na stránce služby Active Directory. Nápovědu k vyhledání ID tenanta najdete v tématu Jak najít ID tenanta Microsoft Entra.

2. Pokud ještě nemáte funkční prostředí point-to-site, vytvořte ho podle pokynů. Viz Vytvoření sítě VPN typu point-to-site pro vytvoření a konfiguraci brány VPN typu point-to-site. Při vytváření brány VPN není podpora pro OpenVPN ve variantě Basic SKU.

3. Přejděte na bránu virtuální sítě. V levém podokně klikněte na konfigurace připojení typu Point-to-Site.

   

   Nakonfigurujte následující hodnoty:

   • Fond adres: fond adres pro klienty
   • Typ tunelu: OpenVPN (SSL)
   • Typ ověřování: Microsoft Entra ID

   Pro hodnoty Microsoft Entra ID použijte následující pokyny pro hodnoty nájemce, cílové skupiny a vystavitele. Nahraďte {TenantID} svým ID tenanta a při nahrazení této hodnoty odeberte {} z příkladů.

   • Tenant: ID klienta pro tenanta Microsoft Entra. Zadejte ID tenanta, které odpovídá vaší konfiguraci. Ujistěte se, že adresa URL tenanta nemá \ na konci (zpětné lomítko). Lomítko je přípustné.

     • Azure Public AD: https://login.microsoftonline.com/{TenantID}
     • Azure Government AD: https://login.microsoftonline.us/{TenantID}
     • Azure Germany AD: https://login-us.microsoftonline.de/{TenantID}
     • Čína 21Vianet AD: https://login.chinacloudapi.cn/{TenantID}

   • Cílová skupina: ID aplikace "Azure VPN" Microsoft Entra Enterprise App.

     • Azure veřejný: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
     • Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
     • Azure Germany: 538ee9e6-310a-468d-afef-ea97365856a9
     • Microsoft Azure provozovaný společností 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa

   • Vystavitel: Adresa URL služby zabezpečeného tokenu. Na konci hodnoty Issuer zahrňte koncové lomítko. Jinak může připojení selhat. Příklad:

     • https://sts.windows.net/{TenantID}/

4. Po dokončení konfigurace nastavení klikněte v horní části stránky na Uložit .

Stáhněte si konfigurační balíček profilu Azure VPN klienta

V této části vygenerujete a stáhnete konfigurační balíček profilu klienta Azure VPN. Tento balíček obsahuje nastavení, která můžete použít ke konfiguraci profilu Klient Azure VPN na klientských počítačích.

1. V horní části stránky konfigurace point-to-site klikněte na Stáhnout klienta VPN. Generování konfiguračního balíčku klienta trvá několik minut.

2. Váš prohlížeč indikuje, že je k dispozici konfigurační soubor ZIP klienta. Jmenuje se stejně jako vaše brána.

3. Extrahujte stažený soubor ZIP.

4. Přejděte do rozbalené složky AzureVPN.

5. Poznamenejte si umístění souboru "azurevpnconfig.xml". Azurevpnconfig.xml obsahuje nastavení pro připojení VPN. Tento soubor můžete také distribuovat všem uživatelům, kteří se potřebují připojit prostřednictvím e-mailu nebo jiných prostředků. Aby se uživatel úspěšně připojil, bude potřebovat platné přihlašovací údaje Microsoft Entra ID.

Další kroky

• Pokud se chcete připojit k virtuální síti, musíte na klientských počítačích nakonfigurovat klienta Azure VPN. Viz Konfigurace klienta VPN pro připojení VPN typu P2S – Windows nebo Konfigurace klienta VPN pro připojení P2S VPN – macOS.
• Nejčastější dotazy naleznete v sekci Point-to-site v části Nečastější dotazy VPN Gateway.