Konfigurieren eines Microsoft Entra-Mandanten und der P2S-Einstellungen für VPN Gateway-Verbindungen

Dieser Artikel unterstützt Sie beim Konfigurieren Ihres AD-Mandanten und der P2S-Einstellungen für die Microsoft Entra-Authentifizierung. Weitere Informationen zu Point-to-Site-Protokollen und zur Authentifizierung finden Sie unter Informationen zum VPN Gateway-Point-to-Site-VPN. Um sich mit dem Microsoft Entra-Authentifizierungstyp zu authentifizieren, müssen Sie den OpenVPN-Tunneltyp in Ihre Point-to-Site-Konfiguration einschließen.

Hinweis

Die Microsoft Entra-Authentifizierung wird lediglich für Verbindungen mit dem OpenVPN®-Protokoll unterstützt und erfordert Azure VPN Client.

Microsoft Entra-Mandant

Die Schritte in diesem Artikel erfordern einen Microsoft Entra-Mandanten. Wenn Sie über keinen Microsoft Entra-Mandanten verfügen, können Sie mithilfe der Schritte im Artikel Erstellen eines neuen Mandanten einen neuen Mandanten erstellen. Beachten Sie die folgenden Felder, wenn Sie Ihr Verzeichnis erstellen:

  • Organisationsname
  • Name der Anfangsdomäne

Erstellen von Microsoft Entra-Mandantenbenutzer*innen

  1. Erstellen Sie zwei Konten im neu erstellten Microsoft Entra-Mandanten. Informationen zu den Schritten finden Sie unter Hinzufügen oder Löschen eines neuen Benutzers.

    • Globales Administratorkonto
    • Benutzerkonto

    Das globale Administratorkonto wird genutzt, um die Einwilligung für die Registrierung der Azure-VPN-App zu erteilen. Das Benutzerkonto kann zum Testen der OpenVPN-Authentifizierung verwendet werden.

  2. Weisen Sie einem der Konten die Rolle globaler Administrator zu. Informationen zu den Schritten finden Sie unter Zuweisen von Administratorrollen und anderen Rollen zu Benutzer*innen mithilfe von Microsoft Entra.

Autorisieren der Azure VPN-Anwendung

Autorisieren der Anwendung

  1. Melden Sie sich beim Azure-Portal als Benutzer an, dem die Rolle als globaler Administrator zugewiesen ist.

  2. Erteilen Sie als Nächstes die Administratoreinwilligung für Ihre Organisation. Dies ermöglicht der Azure-VPN-Anwendung die Anmeldung und das Lesen von Benutzerprofilen. Kopieren Sie die URL für den jeweiligen Bereitstellungsspeicherort und fügen Sie sie in die Adressleiste Ihres Browsers ein:

    Öffentlich

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent
    

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent
    

    Microsoft Cloud Deutschland

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent
    

    Microsoft Azure von 21Vianet

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
    

    Hinweis

    Wenn Sie zur Bereitstellung der Einwilligung ein globales Administratorkonto verwenden, das nicht nativ zum Microsoft Entra-Mandanten gehört, ersetzen Sie „common“ durch die Microsoft Entra-Mandanten-ID in der URL. Möglicherweise müssen Sie „common“ auch in bestimmten anderen Fällen durch Ihre Verzeichnis-ID ersetzen. Unterstützung beim Suchen Ihrer Mandanten-ID finden Sie unter Ermitteln Ihrer Microsoft Entra-Mandanten-ID.

  3. Wenn Sie dazu aufgefordert werden, wählen Sie das Konto aus, das über die Rolle globaler Administrator verfügt.

  4. Wählen Sie auf der Seite Angeforderte BerechtigungenAkzeptieren aus.

  5. Navigieren Sie zu Microsoft Entra ID. Klicken Sie im linken Bereich auf Unternehmensanwendungen. Azure VPN wird aufgelistet.

    Screenshot of the Enterprise application page showing Azure V P N listed.

Konfigurieren der Authentifizierung für das Gateway

Wichtig

Das Azure-Portal durchläuft gerade einen Aktualisierungsprozess, bei dem die Felder für Azure Active Directory auf Entra umgestellt werden. Wenn auf Microsoft Entra ID verwiesen wird und diese Werte noch nicht im Portal angezeigt werden, können Sie Azure Active Directory-Werte auswählen.

  1. Suchen Sie die Mandanten-ID des Verzeichnisses, das Sie für die Authentifizierung verwenden möchten. Sie wird im Abschnitt „Eigenschaften“ der Active Directory-Seite aufgeführt. Unterstützung beim Suchen Ihrer Mandanten-ID finden Sie unter Ermitteln Ihrer Microsoft Entra-Mandanten-ID.

  2. Wenn Sie noch keine funktionsfähige Point-to-Site-Umgebung haben, folgen Sie der Anweisung zu deren Erstellung. Informationen zum Erstellen und Konfigurieren eines Point-to-Site-VPN-Gateways finden Sie unter Erstellen eines Point-to-Site-VPN. Beim Erstellen eines VPN-Gateways wird die Basic-SKU für OpenVPN nicht unterstützt.

  3. Navigieren Sie zum Gateway des virtuellen Netzwerks. Klicken Sie im linken Bereich auf Point-to-Site-Konfiguration.

    Screenshot showing settings for Tunnel type, Authentication type, and Microsoft Entra settings.

    Konfigurieren Sie die folgenden Werte:

    • Adresspool: Clientadresspool
    • Tunneltyp: OpenVPN (SSL)
    • Authentifizierungstyp: Microsoft Entra ID

    Verwenden Sie für Werte von Microsoft Entra ID die folgenden Richtlinien für die Werte von Mandant, Zielgruppe und Aussteller. Ersetzen Sie {AzureAD TenantID} durch Ihre Mandanten-ID, und achten Sie darauf, dass Sie {} aus den Beispielen entfernen, wenn Sie diesen Wert ersetzen.

    • Mandant: Mandanten-ID für den Microsoft Entra-Mandanten. Geben Sie die Mandanten-ID ein, die Ihrer Konfiguration entspricht. Stellen Sie sicher, dass die Mandanten-URL keinen umgekehrten Schrägstrich (\) am Ende aufweist. Der Schrägstrich ist zulässig.

      • Öffentliches Azure AD: https://login.microsoftonline.com/{AzureAD TenantID}
      • Azure Government AD: https://login.microsoftonline.us/{AzureAD TenantID}
      • Azure Deutschland AD: https://login-us.microsoftonline.de/{AzureAD TenantID}
      • China 21Vianet AD: https://login.chinacloudapi.cn/{AzureAD TenantID}
    • Zielgruppe: Die Anwendungs-ID der Unternehmens-App „Azure VPN“ von Microsoft Entra

      • Öffentliches Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
      • Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
      • Azure Deutschland: 538ee9e6-310a-468d-afef-ea97365856a9
      • Microsoft Azure, betrieben von 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa
    • Aussteller: URL des Sicherheitstokendiensts. Fügen Sie einen nachgestellten Schrägstrich am Ende des Werts für Aussteller ein. Andernfalls könnte die Verbindung fehlschlagen. Beispiel:

      • https://sts.windows.net/{AzureAD TenantID}/
  4. Nachdem Sie die Konfiguration von Einstellungen abgeschlossen haben, klicken Sie oben auf der Seite auf Speichern.

Herunterladen des Profilkonfigurationspakets für Azure VPN Client

In diesem Abschnitt generieren Sie das Profilkonfigurationspaket für Azure VPN Client und laden es herunter. Dieses Paket enthält die Einstellungen, mit denen Sie das Azure VPN Client-Profil auf Clientcomputern konfigurieren können.

  1. Klicken Sie oben auf der Seite Point-to-Site-Konfiguration auf VPN-Client herunterladen. Es dauert einige Minuten, bis das Clientkonfigurationspaket generiert wird.

  2. In Ihrem Browser wird ein Hinweis angezeigt, dass eine Clientkonfigurationsdatei im ZIP-Format verfügbar ist. Sie hat denselben Namen wie Ihr Gateway.

  3. Extrahieren Sie die heruntergeladene ZIP-Datei.

  4. Navigieren Sie zum entzippten Ordner „AzureVPN“.

  5. Notieren Sie sich den Speicherort der Datei „azurevpnconfig.xml“. Die Datei „azurevpnconfig.xml“ enthält die Einstellung für die VPN-Verbindung. Sie können diese Datei auch per e-Mail oder anderweitig an alle Benutzer verteilen, die eine Verbindung herstellen müssen. Der oder die Benutzer*in benötigt gültige Microsoft Entra-Anmeldeinformationen, um erfolgreich eine Verbindung herstellen zu können. Weitere Informationen finden Sie unter Azure VPN Client-Profilkonfigurationsdateien für die Microsoft Entra-Authentifizierung.

Nächste Schritte