À propos des groupes d’utilisateurs et des pools d’adresses IP pour des VPN utilisateur P2S
Vous pouvez configurer des VPN utilisateur P2S pour attribuer aux utilisateurs des adresses IP de pools d’adresses spécifiques en fonction de leur identité ou de leurs informations d’authentification en créant des groupes d’utilisateurs. Cet article décrit les différentes configurations et les différents paramètres utilisés par la passerelle VPN P2S Virtual WAN pour déterminer les groupes d’utilisateurs et attribuer les adresses IP. Pour configurer des groupes d’utilisateurs, consultez Configurer des groupes d’utilisateurs et des pools d’adresses IP pour les VPN utilisateur P2S.
Cet article aborde les concepts suivants :
- Concepts de configuration du serveur
- Groupes d’utilisateurs
- Membres de groupe
- Groupe de stratégies par défaut
- Priorité de groupe
- Paramètres de groupe disponibles
- Concepts de passerelle
- Configuration requise et limitations de l'installation
- Cas d'utilisation
Concepts de configuration du serveur
Les sections suivantes expliquent les termes et valeurs courants utilisés pour la configuration du serveur.
Groupes d’utilisateurs (groupes de stratégies)
Un groupe d’utilisateurs ou un groupe de stratégies est une représentation logique d’un groupe d’utilisateurs auxquels doivent être attribuées des adresses IP d’un même pool d’adresses.
Membres de groupe (membres de stratégie)
Les groupes d’utilisateurs se composent de membres. Les membres ne correspondent pas à des utilisateurs individuels. En fait, ils définissent les critères utilisés pour déterminer le groupe auquel appartient un utilisateur qui se connecte. Un groupe peut avoir plusieurs membres. Si un utilisateur qui se connecte correspond aux critères spécifiés pour l’un des membres d’un groupe, il est considéré comme appartenant à ce groupe et une adresse IP appropriée peut lui être attribuée. Les types de paramètres de membre disponibles dépendent des méthodes d’authentification spécifiées dans la configuration du serveur VPN. Pour obtenir une liste complète des critères disponibles, consultez la section Paramètres de groupe disponibles de cet article.
Groupe d’utilisateurs/de stratégies par défaut
Pour chaque configuration de serveur VPN P2S, un groupe doit être sélectionné comme groupe par défaut. Les utilisateurs qui présentent des informations d’identification qui ne correspondent à aucun paramètre de groupe sont considérés comme appartenant au groupe par défaut. Quand un groupe est créé, ses paramètres par défaut ne peuvent pas être modifiés.
Priorité de groupe
Une priorité numérique est également attribuée à chaque groupe. Les groupes dont la priorité est inférieure sont évalués en premier. Si un utilisateur présente des informations d’identification qui correspondent aux paramètres de plusieurs groupes, il est considéré comme appartenant au groupe ayant la priorité la plus basse. Par exemple, si l’utilisateur A présente des informations d’identification qui correspondent au groupe Informatique (priorité 3) et au groupe Finance (priorité 4), il est considéré comme appartenant au groupe Informatique pour l’attribution des adresses IP.
Paramètres de groupe disponibles
La section suivante décrit les différents paramètres qui peuvent être utilisés pour définir les groupes auxquels appartiennent les membres. Les paramètres disponibles varient selon les méthodes d’authentification choisies. Le tableau ci-dessous synthétise les types de paramètres disponibles et les valeurs acceptables. Pour obtenir des informations plus détaillées sur chaque type de valeur de membre, consultez la section correspondant à votre type d’authentification.
| Type d'authentification | Type de membre | Valeurs de membre | Valeur d’exemple |
|---|---|---|---|
| Microsoft Entra ID | AADGroupID | ID d’objet de groupe Microsoft Entra | {valeur de l'ID d'objet} |
| RADIUS | AzureRADIUSGroupID | Valeur d’attribut spécifique au fournisseur (hexadécimale) (doit commencer par 6ad1bd) | 6ad1bd23 |
| Certificat | AzureCertificateID | Nom de domaine des noms communs de certificat (CN=user@red.com) | rouge |
Authentification Microsoft Entra (OpenVPN uniquement)
Les passerelles qui utilisent l’authentification Microsoft Entra peuvent utiliser des ID d’objet de groupe Microsoft Entra pour déterminer le groupe d’utilisateurs auquel un utilisateur appartient. Si un utilisateur fait partie de plusieurs groupes Microsoft Entra, il est considéré comme appartenant au groupe d’utilisateurs VPN P2S dont la priorité numérique est la plus faible.
Toutefois, si vous comptez permettre aux utilisateurs externes (qui ne font pas partie du domaine Microsoft Entra configuré sur la passerelle VPN) de se connecter à la passerelle VPN point à site, vérifiez que le type de l’utilisateur externe est « Membre » et non « Invité ». Veillez également à ce que le « Nom » de l’utilisateur soit défini sur son adresse e-mail. Si le type et le nom de l’utilisateur qui se connecte ne sont pas définis correctement, comme indiqué ci-dessus, ou si vous ne pouvez pas définir un membre externe en tant que « membre » de votre domaine Microsoft Entra, cet utilisateur est placé dans le groupe par défaut, et se voit affecter une adresse IP à partir du pool d’adresses IP par défaut.
Pour déterminer si un utilisateur est externe ou non, examinez son « Nom d’utilisateur principal ». Il comporte #EXT pour les utilisateurs externes.
Certificat Azure (OpenVPN et IKEv2)
Les passerelles qui utilisent l’authentification basée sur le certificat utilisent le nom de domaine des noms communs (CN) de certificat d’utilisateur pour déterminer le groupe auquel appartient un utilisateur qui se connecte. Les noms communs doivent respecter l’un des formats suivants :
- domaine/nom d’utilisateur
- username@domain.com
Veillez à ce que le domaine soit entré comme membre de groupe.
Serveur RADIUS (OpenVPN et IKEv2)
Les passerelles qui utilisent l’authentification RADIUS utilisent un nouvel attribut spécifique au fournisseur (VSA, Vendor-Specific Attribute) pour déterminer les groupes d’utilisateurs VPN. Quand l’authentification RADIUS est configurée sur la passerelle P2S, la passerelle sert de proxy NPS (Network Policy Server). Cela signifie que la passerelle VPN P2S sert de client pour authentifier les utilisateurs auprès de votre serveur RADIUS à l’aide du protocole RADIUS.
Après avoir vérifié les informations d’identification de l’utilisateur, le serveur RADIUS peut être configuré pour envoyer un nouveau VSA dans les paquets Access-Accept. La passerelle VPN P2S traite le VSA dans les paquets Access-Accept et attribue aux utilisateurs des adresses IP spécifiques en fonction de la valeur des VSA.
Les serveurs RADIUS doivent donc être configurés pour envoyer un VSA avec la même valeur pour tous les utilisateurs appartenant au même groupe.
Notes
La valeur du VSA doit être une chaîne d’octets hexadécimale sur les serveurs RADIUS et Azure. Cette chaîne d’octets doit commencer par 6ad1bd. Les deux derniers chiffres hexadécimaux peuvent être configurés librement. Par exemple, 6ad1bd98 est valide, mais 6ad12323 et 6a1bd2 ne sont pas valides.
Le nouveau VSA est MS-Azure-Policy-ID.
Le serveur RADIUS se sert du VSA MS-Azure-Policy-ID pour envoyer un identificateur utilisé par le serveur VPN P2S pour établir une correspondance avec une stratégie d’utilisateur RADIUS authentifiée configurée côté Azure. Cette stratégie est utilisée pour le choix de la configuration IP/Routage (adresse IP attribuée) pour l’utilisateur.
Les champs de MS-Azure-Policy-ID doivent être définis comme suit :
- Type de fournisseur : entier non signé 8 bits qui doit être défini sur 0x41 (entier : 65).
- Longueur du fournisseur : entier non signé 8 bits qui doit être défini sur la longueur de la chaîne d’octets du champ Valeur d’attribut plus 2.
- Valeur d’attribut : chaîne d’octets contenant l’ID de stratégie configuré sur le serveur VPN point à site Azure.
Pour plus d’informations sur la configuration, consultez RADIUS - Configurer NPS pour les attributs spécifiques au fournisseur.
Concepts de passerelle
Quand une configuration de serveur VPN utilisant des groupes d’utilisateurs/de stratégies est affectée à une passerelle VPN P2S Virtual WAN, vous pouvez créer plusieurs configurations de connexion VPN P2S sur cette passerelle.
Chaque configuration de connexion peut contenir un ou plusieurs groupes d’utilisateurs de la configuration de serveur VPN. Chaque configuration de connexion est ensuite mappée à un ou plusieurs pools d’adresses IP. Les utilisateurs qui se connectent à cette passerelle se voient attribuer une adresse IP en fonction de leur identité, de leurs informations d’identification, de leur groupe par défaut et de leur priorité.
Dans cet exemple, pour la configuration du serveur VPN, les groupes suivants sont configurés :
| Default | Priority | Nom du groupe | Type d'authentification | Valeur de membre |
|---|---|---|---|---|
| Yes | 0 | Ingénierie | Microsoft Entra ID | groupObjectId1 |
| Non | 1 | Finances | Microsoft Entra ID | groupObjectId2 |
| Non | 2 | PM | Microsoft Entra ID | groupObjectId3 |
Cette configuration de serveur VPN peut être affectée à une passerelle VPN P2S dans Virtual WAN avec :
| Configuration | Groupes | Pools d’adresses |
|---|---|---|
| Config0 | Ingénierie, PM | x.x.x.x/yy |
| Config1 | Finance | a.a.a.a/bb |
Le résultat est le suivant :
- Les utilisateurs qui se connectent à cette passerelle VPN P2S se voient attribuer une adresse à partir de xxxx/yy s’ils font partie des groupes Ingénierie ou PM Microsoft Entra.
- Les utilisateurs qui font partie du groupe Finance Microsoft Entra se voient attribuer des adresses IP à partir de aaaa/bb.
- Étant donné que le groupe Ingénierie est le groupe par défaut, les utilisateurs qui n’appartiennent pas à un groupe configuré sont considérés comment appartenant à ce groupe et une adresse IP du pool x.x.x.x/yy leur est attribuée.
Considérations relatives à la configuration
Cette section répertorie les exigences et limitations de configuration pour les groupes d’utilisateurs et les pools d’adresses IP.
Groupes maximum : une seule passerelle VPN P2S peut référencer jusqu'à 90 groupes.
Nombre maximal de membres : le nombre total de membres de stratégie/groupe dans tous les groupes attribués à une passerelle est de 390.
Affectations multiples : si un groupe est affecté à plusieurs configurations de connexion sur la même passerelle, lui et ses membres sont comptés plusieurs fois. Exemple : un groupe Azure Policy avec 10 membres affectés à trois configurations de connexion VPN compte comme trois groupes avec 30 membres, et non comme un groupe avec 10 membres.
Utilisateurs simultanés : le nombre total d’utilisateurs simultanés est déterminé par l’unité d’échelle de la passerelle et le nombre d’adresses IP allouées à chaque groupe d’utilisateurs. Il n'est pas déterminé par le nombre de membres de politique/groupe associés à la passerelle.
Dès lors qu’un groupe a été créé dans le cadre d’une configuration de serveur VPN, son nom et ses paramètres par défaut ne peuvent pas être modifiés.
Les noms de groupe doivent être distincts.
Les groupes dont la priorité numérique est inférieure sont traités avant les groupes dont la priorité numérique est plus élevée. Si un utilisateur qui se connecte est membre de plusieurs groupes, la passerelle considère qu’il est membre du groupe ayant une priorité numérique inférieure pour l’attribution d’adresses IP.
Les groupes utilisés par des passerelles VPN point à site existantes ne peuvent pas être supprimés.
Vous pouvez réorganiser les priorités de vos groupes en cliquant sur les boutons flèche haut ou bas en regard de ceux-ci.
Les pools d’adresses ne peuvent pas chevaucher des pools d’adresses utilisés dans d’autres configurations de connexion (même passerelle ou passerelles différentes) dans le même WAN virtuel.
Des pools d’adresses ne peuvent pas non plus chevaucher des espaces d’adressage de réseau virtuel, des espaces d’adressage de hub virtuel ou des adresses locales.
Cas d'utilisation
La société Contoso se compose de plusieurs services fonctionnels, notamment Finance, Ressources humaines et Ingénierie. Contoso utilise Azure Virtual WAN : elle permet aux travailleurs distants (utilisateurs) de se connecter au Virtual WAN et d’accéder aux ressources hébergées localement ou dans un réseau virtuel connecté au hub virtual WAN.
Toutefois, Contoso dispose de stratégies de sécurité internes limitant l’accès des utilisateurs du service Finance à certaines bases de données et machines virtuelles et permettant aux utilisateurs du service Ressources humaines d’accéder à d’autres applications sensibles.
Contoso peut configurer différents groupes d’utilisateurs pour chacun de ses services fonctionnels. Ceci garantit que les utilisateurs de chaque service se voient attribuer des adresses IP d’un pool d’adresses prédéfini au niveau du service.
L’administrateur réseau de Contoso peut ensuite configurer des règles de pare-feu, des groupes de sécurité réseau (NSG) ou des listes de contrôle d’accès (ACL) pour accorder ou refuser à certains utilisateurs l’accès aux ressources en fonction de leurs adresses IP.
Étapes suivantes
- Pour créer des groupes d’utilisateurs, consultez Créer des groupes d’utilisateurs pour un VPN utilisateur P2S.