Konfigurieren von P2S für den benutzer- oder gruppenbasierten Zugriff mit der Microsoft Entra-Authentifizierung

  • Artikel

Wenn Sie Microsoft Entra ID als Authentifizierungsmethode für P2S verwenden, können Sie P2S so konfigurieren, dass unterschiedliche Zugriffsmöglichkeiten für verschiedene Benutzer*innen und Gruppen zulässig sind. Wenn Sie möchten, dass sich verschiedene Benutzergruppen mit verschiedenen VPN-Gateways verbinden können, können Sie mehrere Anwendungen in AD registrieren und sie mit verschiedenen VPN-Gateways verknüpfen. Dieser Artikel unterstützt Sie bei der Einrichtung eines Microsoft Entra-Mandanten für die P2S-Authentifizierung in Microsoft Entra und bei der Erstellung und Registrierung mehrerer Apps in Microsoft Entra ID, um verschiedenen Benutzer*innen und Gruppen unterschiedliche Zugriffsrechte zu erteilen. Weitere Informationen zu Point-to-Site-Protokollen und zur Authentifizierung finden Sie unter Informationen zu Point-to-Site-VPN.

Hinweis

Die Microsoft Entra-Authentifizierung wird lediglich für Verbindungen mit dem OpenVPN®-Protokoll unterstützt und erfordert Azure VPN Client.

Microsoft Entra-Mandant

Die Schritte in diesem Artikel erfordern einen Microsoft Entra-Mandanten. Wenn Sie über keinen Microsoft Entra-Mandanten verfügen, können Sie mithilfe der Schritte im Artikel Erstellen eines neuen Mandanten einen neuen Mandanten erstellen. Beachten Sie die folgenden Felder, wenn Sie Ihr Verzeichnis erstellen:

  • Organisationsname
  • Name der Anfangsdomäne

Erstellen von Microsoft Entra-Mandantenbenutzer*innen

  1. Erstellen Sie zwei Konten im neu erstellten Microsoft Entra-Mandanten. Informationen zu den Schritten finden Sie unter Hinzufügen oder Löschen eines neuen Benutzers.

    • Globales Administratorkonto
    • Benutzerkonto

    Das globale Administratorkonto wird genutzt, um die Einwilligung für die Registrierung der Azure-VPN-App zu erteilen. Das Benutzerkonto kann zum Testen der OpenVPN-Authentifizierung verwendet werden.

  2. Weisen Sie einem der Konten die Rolle globaler Administrator zu. Informationen zu den Schritten finden Sie unter Zuweisen von Administratorrollen und anderen Rollen zu Benutzer*innen mithilfe von Microsoft Entra.

Autorisieren der Azure VPN-Anwendung

  1. Melden Sie sich beim Azure-Portal als Benutzer an, dem die Rolle als globaler Administrator zugewiesen ist.

  2. Erteilen Sie als Nächstes die Administratoreinwilligung für Ihre Organisation. Dies ermöglicht der Azure-VPN-Anwendung die Anmeldung und das Lesen von Benutzerprofilen. Kopieren Sie die URL für den jeweiligen Bereitstellungsspeicherort und fügen Sie sie in die Adressleiste Ihres Browsers ein:

    Öffentlich

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent

    Microsoft Cloud Deutschland

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent

    Microsoft Azure von 21Vianet

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent

    Hinweis

    Wenn Sie zur Bereitstellung der Einwilligung ein globales Administratorkonto verwenden, das nicht nativ zum Microsoft Entra-Mandanten gehört, ersetzen Sie „common“ durch die Microsoft Entra-Mandanten-ID in der URL. Möglicherweise müssen Sie „common“ auch in bestimmten anderen Fällen durch Ihre Verzeichnis-ID ersetzen. Unterstützung beim Suchen Ihrer Mandanten-ID finden Sie unter Ermitteln Ihrer Microsoft Entra-Mandanten-ID.

  3. Wenn Sie dazu aufgefordert werden, wählen Sie das Konto aus, das über die Rolle globaler Administrator verfügt.

  4. Wählen Sie auf der Seite Angeforderte BerechtigungenAkzeptieren aus.

  5. Navigieren Sie zu Microsoft Entra ID. Klicken Sie im linken Bereich auf Unternehmensanwendungen. Azure VPN wird aufgelistet.

    Screenshot of the Enterprise application page showing Azure V P N listed.

Registrieren zusätzlicher Anwendungen

In diesem Abschnitt können Sie zusätzliche Anwendungen für verschiedene Benutzer und Gruppen registrieren. Wiederholen Sie die Schritte, um so viele Anwendungen zu erstellen, wie für Ihre Sicherheitsanforderungen erforderlich sind. Jede Anwendung wird einem VPN-Gateway zugeordnet und kann über eine jeweils andere Benutzergruppe verfügen. Einem Gateway kann nur eine Anwendung zugeordnet werden.

Hinzufügen eines Bereichs

  1. Navigieren Sie im Azure-Portal zu Microsoft Entra ID.

  2. Wählen Sie im linken Bereich die Option App-Registrierungen aus.

  3. Wählen Sie oben auf der Seite App-Registrierungen die Option + Neue Registrierung aus.

  4. Geben Sie auf der Seite Registrieren einer Anwendung den Namen ein. Beispielsweise „MarketingVPN“. Sie können den Namen später jederzeit ändern.

    • Wählen Sie die gewünschten Einträge für Unterstützte Kontotypen aus.
    • Klicken Sie unten auf der Seite auf Registrieren.

  5. Nachdem die neue App registriert wurde, klicken Sie im linken Bereich auf Eine API verfügbar machen. Klicken Sie dann auf + Bereich hinzufügen.

    • Behalten Sie auf der Seite Bereich hinzufügen den Standardeintrag für Anwendungs-ID-URI bei.
    • Klicken Sie auf Speichern und fortfahren.

  6. Die Seite kehrt zu Bereich hinzufügen zurück. Füllen Sie die Pflichtfelder aus, und stellen Sie sicher, dass Zustand auf Aktiviert gesetzt ist.

    Screenshot of Microsoft Entra ID add a scope page.

  7. Nachdem Sie die Felder ausgefüllt haben, klicken Sie auf Bereich hinzufügen.

Hinzufügen einer Clientanwendung

  1. Klicken Sie auf der Seite Eine API verfügbar machen auf + Clientanwendung hinzufügen.

  2. Geben Sie auf der Seite Clientanwendung hinzufügen für Client-ID die folgenden Werte je nach Cloud ein:

    • Öffentliches Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
    • Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
    • Azure Deutschland: 538ee9e6-310a-468d-afef-ea97365856a9
    • Microsoft Azure, betrieben von 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa

  3. Aktivieren Sie das Kontrollkästchen für Autorisierte Bereiche, die eingeschlossen werden sollen. Klicken Sie dann auf Anwendung hinzufügen.

    Screenshot of Microsoft Entra ID add client application page.

  4. Klicken Sie auf Anwendung hinzufügen.

Kopieren der Anwendungs-ID (Client)

Wenn Sie die Authentifizierung auf dem VPN-Gateway aktivieren, benötigen Sie die Anwendungs-ID (Client), um den Wert für „Zielgruppe“ für die Point-to-Site-Konfiguration auszufüllen.

  1. Wechseln Sie zur Seite Übersicht.

  2. Kopieren Sie die Anwendungs-ID (Client) auf der Seite Übersicht, und speichern Sie sie, damit Sie später auf diesen Wert zugreifen können. Sie benötigen diese Information zum Konfigurieren Ihrer VPN-Gateways.

    Screenshot showing Client ID value.

Zuweisen von Benutzern zu Anwendungen

Zuweisen der Benutzer zu Ihren Anwendungen. Wenn Sie eine Gruppe angeben, muss der Benutzer/die Benutzerin ein direktes Mitglied der Gruppe sein. Geschachtelte Gruppen werden nicht unterstützt.

  1. Navigieren Sie zur Ihrer Microsoft Entra ID-Instanz, und wählen Sie Unternehmensanwendungen aus.
  2. Suchen Sie in der Liste nach der Anwendung, die Sie gerade registriert haben, und klicken Sie darauf, um sie zu öffnen.
  3. Klicken Sie auf Eigenschaften. Stellen Sie auf der Seite Eigenschaften sicher, dass Aktiviert für die Benutzeranmeldung auf Ja festgelegt ist. Ändern Sie andernfalls den Wert zu Ja.
  4. Ändern Sie den Wert für Zuweisung erforderlich zu Ja. Weitere Informationen zu dieser Einstellung finden Sie unter Anwendungseigenschaften.
  5. Wenn Sie Änderungen vorgenommen haben, klicken Sie auf Speichern, um Ihre Änderungen zu speichern.
  6. Klicken Sie auf der linken Seite auf Benutzer und Gruppen. Klicken Sie auf der Seite Benutzer und Gruppen auf + Benutzer/Gruppe hinzufügen, um die Seite Zuweisung hinzufügen zu öffnen.
  7. Klicken Sie auf den Link unter Benutzer und Gruppen, um die Seite Benutzer und Gruppen zu öffnen. Wählen Sie die Benutzer und Gruppen aus, die Sie zuweisen möchten, und klicken Sie dann auf Auswählen.
  8. Nachdem Sie die Benutzer und Gruppen ausgewählt haben, klicken Sie auf Zuweisen.

Konfigurieren der Authentifizierung für das Gateway

Wichtig

Das Azure-Portal durchläuft gerade einen Aktualisierungsprozess, bei dem die Felder für Azure Active Directory auf Entra umgestellt werden. Wenn auf Microsoft Entra ID verwiesen wird und diese Werte noch nicht im Portal angezeigt werden, können Sie Azure Active Directory-Werte auswählen.

In diesem Schritt konfigurieren Sie die Microsoft Entra-Authentifizierung für P2S für das virtuelle Netzwerkgateway.

  1. Navigieren Sie zum Gateway des virtuellen Netzwerks. Klicken Sie im linken Bereich auf Point-to-Site-Konfiguration.

    Screenshot showing point-to-site configuration page.

    Konfigurieren Sie die folgenden Werte:

    • Adresspool: Clientadresspool
    • Tunneltyp: OpenVPN (SSL)
    • Authentifizierungstyp: Microsoft Entra ID

    Verwenden Sie für Werte von Microsoft Entra ID die folgenden Richtlinien für die Werte von Mandant, Zielgruppe und Aussteller.

    • Mandant: https://login.microsoftonline.com/{TenantID}
    • Zielgruppen-ID: Verwenden Sie den Wert, den Sie im vorherigen Abschnitt erstellt haben und der der Anwendungs-ID (Client) entspricht. Verwenden Sie nicht die Anwendungs-ID der Microsoft Entra-Unternehmens-App „Azure VPN“, sondern die Anwendungs-ID, die Sie erstellt und registriert haben. Wenn Sie stattdessen die Anwendungs-ID der Unternehmens-App „Azure VPN“ von Microsoft Entra verwenden, wird allen Benutzer*innen Zugriff auf das VPN-Gateway gewährt (das wäre die Standardeinrichtung des Zugriffs), anstatt nur den Benutzer*innen, die Sie der von Ihnen erstellten und registrierten Anwendung zugewiesen haben.
    • Aussteller: https://sts.windows.net/{TenantID} Stellen Sie beim Wert für den Aussteller sicher, dass Sie ein nachgestelltes /-Zeichen am Ende einfügen.

  2. Nachdem Sie die Konfiguration von Einstellungen abgeschlossen haben, klicken Sie oben auf der Seite auf Speichern.

Herunterladen des Profilkonfigurationspakets für Azure VPN Client

In diesem Abschnitt generieren Sie das Profilkonfigurationspaket für Azure VPN Client und laden es herunter. Dieses Paket enthält die Einstellungen, mit denen Sie das Azure VPN Client-Profil auf Clientcomputern konfigurieren können.

  1. Klicken Sie oben auf der Seite Point-to-Site-Konfiguration auf VPN-Client herunterladen. Es dauert einige Minuten, bis das Clientkonfigurationspaket generiert wird.

  2. In Ihrem Browser wird ein Hinweis angezeigt, dass eine Clientkonfigurationsdatei im ZIP-Format verfügbar ist. Sie hat denselben Namen wie Ihr Gateway.

  3. Extrahieren Sie die heruntergeladene ZIP-Datei.

  4. Navigieren Sie zum entzippten Ordner „AzureVPN“.

  5. Notieren Sie sich den Speicherort der Datei „azurevpnconfig.xml“. Die Datei „azurevpnconfig.xml“ enthält die Einstellung für die VPN-Verbindung. Sie können diese Datei auch per e-Mail oder anderweitig an alle Benutzer verteilen, die eine Verbindung herstellen müssen. Der oder die Benutzer*in benötigt gültige Microsoft Entra-Anmeldeinformationen, um erfolgreich eine Verbindung herstellen zu können. Weitere Informationen finden Sie unter Azure VPN Client-Profilkonfigurationsdateien für die Microsoft Entra-Authentifizierung.

Nächste Schritte