Partager via


Créer ou modifier un ID d’application d’audience personnalisé pour l’authentification Microsoft Entra ID VPN P2S

Les étapes décrites dans cet article vont vous aider à créer un ID d’application personnalisé Microsoft Entra ID (audience personnalisée) pour la nouvelle application Azure VPN Client inscrite par Microsoft pour les connexions point à site (P2S). Vous pouvez également mettre à jour votre locataire existant pour remplacer l’application Azure VPN Client précédente par la nouvelle application Azure VPN Client inscrite par Microsoft.

Quand vous configurez un ID d’application d’audience personnalisé, vous pouvez utiliser l’une des valeurs prises en charge associées à l’application Azure VPN Client. Nous vous recommandons d’associer la valeur d’audience publique Azure de l’ID de l’application inscrite par Microsoft c632b3df-fb67-4d84-bdcf-b95ad541b5c8 à votre application personnalisée lorsque cela est possible. Pour obtenir la liste complète des valeurs prises en charge, consultez VPN P2S – Microsoft Entra ID.

Cet article fournit des étapes générales. Les captures d’écran illustrant l’inscription d’une application peuvent varier légèrement selon la façon dont vous accédez à l’interface utilisateur, mais les paramètres sont les mêmes. Pour plus d’informations, consultez Démarrage rapide : inscrire une application. Pour plus d’informations sur l’authentification Microsoft Entra ID pour P2S, consultez Authentification Microsoft Entra ID pour P2S.

Si vous configurez un ID d’application d’audience personnalisé pour configurer ou restreindre l’accès en fonction des utilisateurs et des groupes, consultez Scénario : Configurer l’accès P2S en fonction des utilisateurs et des groupes – Authentification Microsoft Entra ID. L’article du scénario décrit le flux de travail et les étapes à suivre pour attribuer des autorisations.

Prérequis

  • Cet article part du principe que vous disposez déjà d’un locataire Microsoft Entra et des autorisations nécessaires pour créer une application d’entreprise. Il s’agit généralement du rôle Administrateur d’application cloud ou d’un rôle plus élevé. Pour plus d’informations, consultez Créer un locataire dans Microsoft Entra ID et Attribuer des rôles d’utilisateur avec Microsoft Entra ID.

  • Cet article part du principe que vous utilisez, avec Microsoft-registered App ID la valeur d’audience publicc632b3df-fb67-4d84-bdcf-b95ad541b5c8 d’Azure pour configurer votre application personnalisée. Cette valeur a un consentement global, ce qui signifie que vous n’avez pas besoin de l’inscrire manuellement pour fournir le consentement de votre organisation. Nous vous recommandons d’utiliser la valeur.

    • À ce stade, il n’existe qu’une seule valeur d’audience prise en charge pour l’application inscrite par Microsoft. Consultez la table de valeurs d’audience prises en charge pour obtenir des valeurs supplémentaires prises en charge.

    • Si la valeur d’audience inscrite par Microsoft n’est pas compatible avec votre configuration, vous pouvez toujours utiliser les anciennes valeurs d’ID enregistrées manuellement.

  • Si vous devez utiliser une valeur d’ID d’application inscrite manuellement à la place, vous devez donner votre consentement pour autoriser l’application à se connecter et lire les profils utilisateur avant de poursuivre avec cette configuration. Vous devez vous connecter avec un compte qui dispose du rôle Administrateur d’application cloud.

    1. Pour accorder le consentement administrateur pour votre organisation, modifiez la commande suivante pour contenir la valeur souhaitée client_id. Dans l’exemple, la valeur client_id est destinée au public Azure. Consultez le tableau des valeurs supplémentaires prises en charge.

      https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    2. Copiez et collez l'URL correspondant à votre emplacement de déploiement sur la barre d'adresse de votre navigateur.

    3. Si vous y êtes invité, sélectionnez le compte qui dispose du rôle Administrateur d’application cloud.

    4. Dans la page Autorisations demandées, sélectionnez Accepter.

Inscrire une application

Vous pouvez accéder à la page Inscriptions d’applications de plusieurs façons. L’une d’entre elles consiste à utiliser le centre d’administration Microsoft Entra. Vous pouvez également utiliser le Portail Azure et Microsoft Entra ID. Connectez-vous avec un compte doté du rôle Administrateur d’application cloud ou d’un rôle plus élevé.

  1. Si vous avez accès à plusieurs locataires, utilisez l’icône Paramètres dans le menu supérieur pour passer au locataire dans lequel vous souhaitez inscrire l’application à partir du menu Annuaires + abonnements.

  2. Accédez à Inscriptions d’applications, puis sélectionnez Nouvelle inscription.

    Capture d’écran montrant la page Inscriptions d’applications avec l’option Nouvelle inscription sélectionnée.

  3. Dans la page Inscrire une application, entrez un Nom complet pour votre application. Les utilisateurs de votre application peuvent voir le nom d’affichage lorsqu’ils l’utilisent, par exemple lors de la connexion. Vous pouvez modifier le nom d’affichage à tout moment. Plusieurs inscriptions d’applications peuvent partager le même nom. L’ID d’application (client) généré automatiquement par l’inscription de l’application identifie de manière unique votre application au sein de la plateforme d’identités.

    Capture d’écran montrant la page Inscrire une application.

  4. Spécifiez les personnes qui peuvent utiliser l’application ; elles sont parfois appelées audience de connexion. Sélectionnez Comptes dans cet annuaire d’organisation uniquement (nom_de_votre_annuaire uniquement – Locataire unique).

  5. Laissez l’URI de redirection (facultatif) de côté pendant que vous configurez un URI de redirection dans la section suivante.

  6. Sélectionnez Inscrire pour procéder à l’inscription d’application initiale.

Une fois l’inscription terminée, le Centre d’administration Microsoft Entra affiche le volet Vue d’ensemble de l’inscription de l’application. Vous voyez l’ID d’application (client) . Aussi appelée ID client, cette valeur identifie de manière unique votre application dans la plateforme d’identités Microsoft. Il s’agit de la valeur d’audience personnalisée que vous utilisez lorsque vous configurez votre passerelle P2S. Même si cette valeur est présente, vous devez toujours suivre les sections suivantes pour associer l’application enregistrée par Micrsoft à votre ID d’application.

Exposer une API et ajouter une étendue

Dans cette section, vous allez créer une étendue pour attribuer des autorisations granulaires.

  1. Dans le volet gauche de l’application inscrite, sélectionnez Exposer une API.

    Capture d’écran montrant la page Exposer une API.

  2. Sélectionnez Ajouter une étendue. Dans le volet Ajouter une étendue, examinez l’URI de l’ID d’application. Ce champ est généré automatiquement. La valeur par défaut est api://<application-client-id>. L’URI de l’ID d’application fait office de préfixe pour les étendues que vous référencez dans le code de votre API et doit être globalement unique.

    Capture d’écran montrant le volet Ajouter une étendue avec l’URI de l’ID d’application.

  3. Sélectionnez Enregistrer et continuer pour passer au volet Ajouter une étendue suivant.

  4. Dans ce volet Ajouter une étendue, spécifiez les attributs de l’étendue. Pour cette procédure pas à pas, vous pouvez utiliser les exemples de valeurs ou spécifier les vôtres.

    Capture d’écran montrant le volet Ajouter une étendue avec d’autres paramètres.

    Champ Valeur
    Nom de l'étendue Exemple : p2s-vpn1
    Qui peut donner son consentement Administrateurs uniquement
    Nom d'affichage du consentement administrateur Exemple : p2s-vpn1-users
    Description du consentement de l'administrateur Exemple : Accès au VPN P2S
    État Activé
  5. Sélectionnez Ajouter une étendue pour ajouter l’étendue.

Ajouter l’application Azure VPN Client

Dans cette section, vous associez l’ID de l’application Azure VPN Client inscrite par Microsoft.

  1. Dans la page Exposer une API, cliquez sur + Ajouter une application cliente.

    Capture d’écran montrant l’option Ajouter une application cliente sélectionnée.

  2. Dans le volet Ajouter une application cliente, pour ID client, utilisez l’ID d’application publique Azure pour l’application Azure VPN Client inscrite par Microsoft, c632b3df-fb67-4d84-bdcf-b95ad541b5c8 (sauf si vous savez que vous avez besoin d’une valeur différente).

    Capture d’écran montrant le volet Ajouter une application cliente.

  3. Veillez à sélectionner Étendues autorisées.

  4. Sélectionnez Ajouter une application.

Collecter les valeurs

Dans la page Vue d’ensemble de votre application, notez les valeurs suivantes dont vous avez besoin pour configurer votre passerelle VPN point à site pour l’authentification Microsoft Entra ID.

  • ID d’application (client) : il s’agit de l’ID d’audience personnalisé que vous utilisez pour le champ Audience lorsque vous configurez votre passerelle VPN P2S.
  • ID d’annuaire (locataire) : cette valeur fait partie de la valeur requise pour les champs Locataire et Émetteur de la passerelle VPN P2S.

Configurer la passerelle VPN P2S

Une fois les étapes des sections précédentes terminées, passez à Configurer une passerelle VPN P2S pour l’authentification Microsoft Entra ID : application inscrite par Microsoft.

Effectuer la mise à jour vers l’ID client de l’application VPN inscrite par Microsoft

Remarque

Vous pouvez suivre ces étapes pour toutes les valeurs prises en charge associées à l’application Azure VPN Client. Nous vous recommandons d’associer la valeur d’audience publique Azure de l’ID de l’application inscrite par Microsoft c632b3df-fb67-4d84-bdcf-b95ad541b5c8 à votre application personnalisée lorsque cela est possible.

Si vous avez déjà configuré votre passerelle VPN P2S pour utiliser une valeur personnalisée pour le champ ID d’audience et que vous souhaitez passer à la nouvelle application Azure VPN Client inscrite par Microsoft, vous pouvez autoriser la nouvelle application en ajoutant l’application cliente à votre API. Grâce à cette méthode, vous n’avez pas besoin de modifier les paramètres de la passerelle VPN Azure ou de vos clients VPN Azure s’ils utilisent la dernière version du client.

Dans les étapes suivantes, vous ajoutez une autre application cliente autorisée à l’aide de la valeur d’audience de l’ID de l’application Azure VPN Client inscrite par Microsoft. Vous ne modifiez pas la valeur de l’application cliente autorisée existante. Vous pouvez toujours supprimer l’application cliente autorisée existante si vous ne l’utilisez plus.

  1. Vous pouvez accéder à la page Inscriptions d’applications de plusieurs façons. L’une d’entre elles consiste à utiliser le centre d’administration Microsoft Entra. Vous pouvez également utiliser le Portail Azure et Microsoft Entra ID. Connectez-vous avec un compte doté du rôle Administrateur d’application cloud ou d’un rôle plus élevé.

  2. Si vous avez accès à plusieurs locataires, utilisez l’icône Paramètres dans le menu supérieur pour passer au locataire que vous souhaitez utiliser à partir du menu Annuaires + abonnements.

  3. Accédez à Inscriptions d’applications et recherchez le nom complet de l’application inscrite. Cliquez pour ouvrir la page.

  4. Cliquez sur Exposer une API. Dans la page Exposer une API, notez que la valeur d’audience Azure VPN Client précédente Client Id est présente.

    Capture d’écran montrant la page Exposer une API avec l’option Ajouter une application cliente mise en évidence.

  5. Sélectionnez + Ajouter une application cliente.

  6. Dans le volet Ajouter une application cliente, pour ID client, utilisez l’ID d’application publique Azure pour l’application Azure VPN Client inscrite par Microsoft, c632b3df-fb67-4d84-bdcf-b95ad541b5c8.

  7. Veillez à sélectionner Étendues autorisées. Cliquez ensuite sur Ajouter une application.

  8. Dans la page Exposer une API, vous voyez à présent les deux valeurs d’ID client listées. Si vous souhaitez supprimer la version précédente, cliquez sur la valeur pour ouvrir la page Modifier une application cliente, puis cliquez sur Supprimer.

  9. Dans la page Vue d’ensemble, notez que les valeurs n’ont pas changé. Si vous avez déjà configuré votre passerelle et vos clients à l’aide de l’ID d’application (client) personnalisé indiqué pour le champ ID d’audience de la passerelle et que vos clients sont déjà configurés pour utiliser cette valeur personnalisée, vous n’avez pas besoin d’apporter d’autres modifications.

Étapes suivantes