Konfigurace tenanta Azure AD a konfigurace P2S pro připojení P2S VPN Gateway

Tento článek vám pomůže nakonfigurovat nastavení tenanta AD a P2S pro ověřování Azure AD. Další informace o protokolech point-to-site a ověřování najdete v tématu Informace o VPN Gateway vpn typu point-to-site. Pokud chcete k ověřování použít typ ověřování Azure AD, musíte do konfigurace typu point-to-site zahrnout typ tunelu OpenVPN.

Poznámka

Azure AD ověřování je podporováno pouze pro připojení protokolu OpenVPN® a vyžaduje Klient Azure VPN.

Tenant Azure AD

Kroky v tomto článku vyžadují Azure AD tenanta. Pokud nemáte tenanta Azure AD, můžete ho vytvořit pomocí postupu v článku Vytvoření nového tenanta. Při vytváření adresáře si všimněte následujících polí:

  • Název organizace
  • Počáteční název domény

Vytvoření uživatelů tenanta Azure AD

  1. V nově vytvořeném tenantovi Azure AD vytvořte dva účty. Postup najdete v tématu Přidání nebo odstranění nového uživatele.

    • Globální správce účet
    • Uživatelský účet

    Účet globálního správce se použije k udělení souhlasu s registrací aplikace Azure VPN. Uživatelský účet lze použít k testování ověřování OpenVPN.

  2. Přiřaďte jednomu z účtů roli Globální správce. Postup najdete v tématu Přiřazení rolí správce a nesprávce uživatelům pomocí Azure Active Directory.

Autorizace aplikace Azure VPN

Autorizace aplikace

  1. Přihlaste se k Azure Portal jako uživatel s přiřazenou rolí Globální správce.

  2. Dále udělte souhlas správce vaší organizaci. To umožňuje aplikaci Azure VPN přihlásit se a číst profily uživatelů. Zkopírujte a vložte adresu URL, která se týká vašeho umístění nasazení, do adresního řádku prohlížeče:

    Veřejná

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent
    

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent
    

    Microsoft Cloud Německo

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent
    

    Azure (Čína) 21Vianet

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
    

    Poznámka

    Pokud k poskytnutí souhlasu používáte účet globálního správce, který není nativní pro tenanta Azure AD, nahraďte "common" Azure AD ID tenanta v adrese URL. V některých jiných případech může být také nutné nahradit "common" svým ID tenanta. Nápovědu k vyhledání ID tenanta najdete v tématu Jak najít ID tenanta Azure Active Directory.

  3. Pokud se zobrazí výzva, vyberte účet, který má roli Globální správce.

  4. Na stránce Požadovaná oprávnění vyberte Přijmout.

  5. Přejděte na Azure Active Directory. V levém podokně klikněte na Podnikové aplikace. Zobrazí se azure VPN .

    Snímek obrazovky se stránkou podnikové aplikace zobrazující seznam virtuálních počítačů Azure

Konfigurace ověřování pro bránu

  1. Vyhledejte ID tenanta adresáře, který chcete použít k ověřování. Je uvedený v části vlastnosti na stránce služby Active Directory. Nápovědu k vyhledání ID tenanta najdete v tématu Jak najít ID tenanta Azure Active Directory.

  2. Pokud ještě nemáte funkční prostředí typu point-to-site, vytvořte ho podle pokynů. Informace o vytvoření a konfiguraci brány VPN typu point-to-site najdete v tématu Vytvoření sítě VPN typu point-to-site.

    Důležité

    Skladová položka Basic se pro OpenVPN nepodporuje.

  3. Přejděte k bráně virtuální sítě. V levém podokně klikněte na Konfigurace point-to-site.

    Snímek obrazovky s nastavením typu tunelu, typu ověřování a nastavení Azure Active Directory

    Nakonfigurujte následující hodnoty:

    • Fond adres: fond adres klienta
    • Typ tunelu: OpenVPN (SSL)
    • Typ ověřování: Azure Active Directory

    Pro hodnoty Azure Active Directory použijte následující pokyny pro hodnoty tenanta, cílové skupiny a vystavitele . Nahraďte {AzureAD TenantID} vaším ID tenanta.

    • Nájemce: ID tenanta pro tenanta Azure AD. Zadejte ID tenanta, které odpovídá vaší konfiguraci. Ujistěte se, že adresa URL tenanta nemá na konci název \ .

      • Veřejná služba Azure AD: https://login.microsoftonline.com/{AzureAD TenantID}
      • Azure Government AD:https://login.microsoftonline.us/{AzureAD TenantID}
      • Azure AD pro Německo: https://login-us.microsoftonline.de/{AzureAD TenantID}
      • China 21Vianet AD: https://login.chinacloudapi.cn/{AzureAD TenantID}
    • Cílová skupina: ID aplikace Azure VPN Azure AD Enterprise App.

      • Veřejná služba Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
      • Azure Government:51bb15d4-3a4f-4ebf-9dca-40096fe32426
      • Azure (Německo): 538ee9e6-310a-468d-afef-ea97365856a9
      • Azure China 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa
    • Vystavitel: Adresa URL služby zabezpečených tokenů. Na konec hodnoty vystavitele zahrňte koncové lomítko. Jinak může připojení selhat.

      • https://sts.windows.net/{AzureAD TenantID}/
  4. Po dokončení konfigurace nastavení klikněte v horní části stránky na Uložit .

Stažení konfiguračního balíčku profilu Klient Azure VPN

V této části vygenerujete a stáhnete konfigurační balíček profilu Klient Azure VPN. Tento balíček obsahuje nastavení, která můžete použít ke konfiguraci profilu Klient Azure VPN v klientských počítačích.

  1. V horní části stránky konfigurace point-to-site klikněte na Stáhnout klienta VPN. Vygenerování konfiguračního balíčku klienta trvá několik minut.

  2. Váš prohlížeč indikuje, že je k dispozici konfigurační soubor ZIP klienta. Má stejný název jako vaše brána.

  3. Extrahujte stažený soubor ZIP.

  4. Přejděte do rozbalené složky AzureVPN.

  5. Poznamenejte si umístění souboru "azurevpnconfig.xml". azurevpnconfig.xml obsahuje nastavení pro připojení VPN. Tento soubor můžete také distribuovat všem uživatelům, kteří se potřebují připojit e-mailem nebo jiným způsobem. K úspěšnému připojení bude uživatel potřebovat platné přihlašovací údaje Azure AD. Další informace najdete v tématu Konfigurační soubory profilu klienta Azure VPN pro ověřování Azure AD.

Další kroky