Szenario: Konfigurieren des P2S-Zugriffs auf Basis von Benutzern und Gruppen: Microsoft Entra ID-Authentifizierung

Dieser Artikel führt Sie durch ein Szenario zum Konfigurieren des Zugriffs auf Basis von Benutzern und Gruppen für P2S-VPN-Verbindungen (Point-to-Site), die die Microsoft Entra ID-Authentifizierung verwenden. In diesem Szenario konfigurieren Sie diesen Zugriffstyp mithilfe mehrerer benutzerdefinierter Zielgruppen-App-IDs mit angegebenen Berechtigungen und mehreren P2S-VPN-Gateways. Weitere Informationen zu P2S-Protokollen und zur Authentifizierung finden Sie unter Informationen zu Point-to-Site-VPN.

In diesem Szenario haben Benutzer abhängig von Ihren Berechtigungen unterschiedliche Zugriffsmöglichkeiten, um eine Verbindung mit bestimmten P2S-VPN-Gateways herzustellen. Auf übergeordneter Ebene sieht der Workflow folgendermaßen aus:

1. Erstellen Sie eine benutzerdefinierte App für jedes P2S-VPN-Gateway, das Sie für ein P2S-VPN mit Microsoft Entra ID-Authentifizierung konfigurieren möchten. Notieren Sie sich die benutzerdefinierte App-ID.
2. Fügen Sie die Azure VPN Client-Anwendung zur benutzerdefinierten App-Konfiguration hinzu.
3. Weisen Sie Benutzer- und Gruppenberechtigungen für jede benutzerdefinierter App zu.
4. Wenn Sie Ihr Gateway für die P2S-VPN-Microsoft Entra-ID-Authentifizierung konfigurieren, geben Sie den Microsoft Entra ID-Mandanten und die benutzerdefinierte App-ID an, die denjenigen Benutzern zugeordnet ist, denen Sie das Herstellen einer Verbindung über dieses Gateway gestatten möchten.
5. Das Azure VPN Client-Profil auf dem Clientcomputer wird mithilfe der Einstellungen aus dem P2S-VPN-Gateway konfiguriert, für das der Benutzer über Berechtigungen zum Herstellen einer Verbindung verfügt.
6. Wenn ein Benutzer eine Verbindung herstellt, wird er authentifiziert und kann nur eine Verbindung mit dem P2S-VPN-Gateway herstellen, für das sein Konto über Berechtigungen verfügt.

Überlegungen:

• Sie können diese Art von granularem Zugang nicht einrichten, wenn Sie nur ein VPN-Gateway haben.
• Die Microsoft Entra ID-Authentifizierung wird lediglich für Verbindungen mit dem OpenVPN®-Protokoll unterstützt und erfordert Azure VPN Client. *Achten Sie drauf, jeden Azure VPN Client mit den korrekten Konfigurationseinstellungen des Clientprofilpakets zu konfigurieren, um sicherzustellen, dass der Benutzer eine Verbindung mit dem Gateway herstellt, für das er über Berechtigungen verfügt.
• Wenn Sie die Konfigurationsschritte in dieser Übung verwenden, ist es möglicherweise am einfachsten, die Schritte für die erste benutzerdefinierte App-ID und für das Gateway komplett auszuführen und dann für jede nachfolgende benutzerdefinierte App-ID und jedes Gateway zu wiederholen.

Voraussetzungen

• Für dieses Szenario ist ein Microsoft Entra-Mandant erforderlich. Wenn Sie noch nicht über einen Microsoft Entra-Mandanten verfügen, finden Sie die Vorgehensweise zur Erstellung unter Erstellen eines neuen Mandanten in Microsoft Entra ID. Notieren Sie sich die Mandanten-ID. Dieser Wert ist erforderlich, wenn Sie Ihr P2S-VPN-Gateways für die Microsoft Entra ID-Authentifizierung konfigurieren.

• Dieses Szenario erfordert mehrere VPN-Gateways. Sie können nur eine benutzerdefinierte App-ID pro Gateway zuweisen.

  • Wenn Sie noch nicht über mindestens zwei funktionierende VPN-Gateways verfügen, die mit der Microsoft Entra ID-Authentifizierung kompatibel sind, finden Sie Informationen zur Erstellung unter Erstellen und Verwalten eines VPN-Gateways – Azure-Portal.
  • Manche Gatewayoptionen sind nicht mit P2S-VPN-Gateways kompatibel, die die Microsoft Entra ID-Authentifizierung verwenden. Basic-SKU- und richtlinienbasierte VPN-Typen werden nicht unterstützt. Weitere Informationen zu Gateway-SKUs finden Sie unter Informationen zu Gateway-SKUs. Weitere Informationen zum VPN-Typ finden Sie unter VPN-Gatewayeinstellungen.

Eine Anwendung registrieren

Um einen benutzerdefinierten App-ID-Wert für eine Benutzergruppe zu erstellen, den Sie beim Konfigurieren Ihres VPN-Gateways angeben, müssen Sie eine Anwendung registrieren. Registrieren einer Anwendung. Die Schritte hierfür finden Sie unter Registrieren einer Anwendung.

• Das Feld Name ist wird dem Benutzer angezeigt. Verwenden Sie einen Namen, der intuitiv verständlich ist und die Benutzer oder Gruppen beschreibt, die über diese benutzerdefinierte Anwendung eine Verbindung herstellen können.
• Verwenden Sie für die übrigen Einstellungen die im Artikel gezeigten Einstellungen.

Hinzufügen eines Bereichs

Fügen Sie einen Bereich hinzu. Das Hinzufügen eines Bereichs ist Teil der Sequenz zum Konfigurieren der Berechtigungen für Benutzer und Gruppen. Die erforderlichen Schritte hierfür finden Sie unter Bereitstellen einer API und Hinzufügen eines Bereichs. Später weisen Sie diesem Bereich dann Benutzer- und Gruppenberechtigungen zu.

• Verwenden Sie Für das Feld einen Bereichsname intuitiv verständlichen Begriff, z. B. „Marketing-VPN-Benutzer“. Füllen Sie die übrigen Felder nach Bedarf aus.
• Wählen Sie für Status die Option Aktivieren aus.

Starten Sie die Azure VPN Client-Anwendung

Fügen Sie die Client-ID der Azure VPN Client-Anwendung hinzu, und geben Sie den autorisierten Bereich an. Für das Hinzufügen der Anwendung wird empfohlen, nach Möglichkeit die von Microsoft registrierte Azure VPN Client-App-ID für Azure Public (c632b3df-fb67-4d84-bdcf-b95ad541b5c8) zu verwenden. Dieser App-Wert verfügt über eine globale Zustimmung, was bedeutet, dass Sie ihn nicht manuell registrieren müssen. Die erforderlichen Schritte hierzu finden Sie unter Hinzufügen der Azure VPN Client-Anwendung.

Nachdem Sie die Azure VPN Client-Anwendung hinzugefügt haben, wechseln Sie zur Seite Übersicht. Kopieren Sie dort die Anwendungs-ID (Client-ID), und speichern Sie sie ab. Sie benötigen diese Information zum Konfigurieren Ihres P2S-VPN-Gateways.

Zuweisen von Benutzern und Gruppen

Weisen Sie den Benutzern und/oder Gruppen, die zukünftig eine Verbindung mit dem Gateway herstellen werden, Berechtigungen zu. Wenn Sie eine Gruppe angeben, muss der Benutzer/die Benutzerin ein direktes Mitglied der Gruppe sein. Geschachtelte Gruppen werden nicht unterstützt.

1. Navigieren Sie zur Ihrer Microsoft Entra ID-Instanz, und wählen Sie Unternehmensanwendungen aus.
2. Suchen Sie in der Liste nach der Anwendung, die Sie gerade registriert haben, und klicken Sie darauf, um sie zu öffnen.
3. Erweitern Sie die Option Verwalten, und wählen Sie Eigenschaften aus. Stellen Sie auf der Seite Eigenschaften sicher, dass Aktiviert für die Benutzeranmeldung auf Ja festgelegt ist. Ändern Sie andernfalls den Wert zu Ja.
4. Ändern Sie den Wert für Zuweisung erforderlich zu Ja. Weitere Informationen zu dieser Einstellung finden Sie unter Anwendungseigenschaften.
5. Nachdem Sie die Änderungen vorgenommen haben, wählen Sie oben auf der Seite Speichern aus.
6. Wählen Sie auf der linken Seite Benutzer und Gruppen. Wählen Sie auf der Seite Benutzer und Gruppen die Option + Benutzer/Gruppe hinzufügen aus, um die Seite Zuweisung hinzufügen zu öffnen.
7. Klicken Sie auf den Link unter Benutzer und Gruppen, um die Seite Benutzer und Gruppen zu öffnen. Wählen Sie die Benutzer und Gruppen aus, die Sie zuweisen möchten, und klicken Sie dann auf Auswählen.
8. Nachdem Sie die Benutzer und Gruppen ausgewählt haben, wählen Sie Zuweisen aus.

Konfigurieren einer P2S-VPN-Verbindung

Nachdem Sie die Schritte in den vorherigen Abschnitten abgeschlossen haben, fahren Sie mit Konfigurieren eines P2S-VPN-Gateways für die Microsoft Entra ID-Authentifizierung – bei Microsoft registrierte App fort.

• Ordnen Sie beim Konfigurieren der einzelnen Gateways die entsprechende benutzerdefinierte Zielgruppen-App-ID zu.
• Laden Sie die Azure VPN Client-Konfigurationspakete herunter, um den Azure VPN-Client für die Benutzer zu konfigurieren, die über Berechtigungen zum Herstellen einer Verbindung mit dem jeweiligen Gateway verfügen.

Konfigurieren von Azure VPN Client

Verwenden Sie das Azure VPN Client-Profilkonfigurationspaket, um den Azure VPN-Client auf dem Computer jedes Benutzers zu konfigurieren. Stellen Sie sicher, dass das Clientprofil dem P2S-VPN-Gateway entspricht, mit dem der Benutzer zukünftig eine Verbindung herstellen können soll.

Nächste Schritte

• Konfigurieren des P2S-VPN-Gateways für die Microsoft Entra ID-Authentifizierung – von Microsoft-registrierte App.
• Um eine Verbindung mit Ihrem virtuellen Netzwerk herzustellen, müssen Sie den Azure VPN-Client auf Ihren Clientcomputern konfigurieren. Entsprechende Informationen finden Sie unter Konfigurieren eines VPN-Clients für P2S-VPN-Verbindungen.
• Häufig gestellte Fragen finden Sie im Abschnitt Point-to-Site unter Häufig gestellte Fragen zum VPN-Gateway.