Partager via

Scénario : Configurer l’accès P2S en fonction des utilisateurs et des groupes – Authentification Microsoft Entra ID

  • Article

Cet article vous guide tout au long d’un scénario pour configurer l’accès en fonction des utilisateurs et des groupes pour les connexions VPN point à site (P2S) qui utilisent l’authentification Microsoft Entra ID. Dans ce scénario vous allez configurer ce type d’accès à l’aide de plusieurs ID d’application d’audience personnalisée avec des autorisations spécifiées, et plusieurs passerelles VPN P2S. Pour plus d’informations sur les protocoles et l’authentification P2S, veuillez consulter À propos du VPN point à site.

Dans ce scénario, les utilisateurs disposent d’un accès différent en fonction des autorisations pour se connecter à des passerelles VPN P2S spécifiques. Globalement, le flux de travail est le suivant :

  1. Créez une application personnalisée pour chaque passerelle VPN P2S que vous souhaitez configurer pour un VPN P2S avec l’authentification Microsoft Entra ID. Notez l’ID d’application personnalisée.
  2. Ajoutez l’application Azure VPN Client à la configuration d’application personnalisée.
  3. Attribuez des autorisations d’utilisateur et de groupe par application personnalisée.
  4. Lorsque vous configurez votre passerelle pour l’authentification Microsoft Entra ID VPN P2S, spécifiez le locataire Microsoft Entra ID et l’ID d’application personnalisée associé aux utilisateurs que vous souhaitez autoriser à se connecter via cette passerelle.
  5. Le profil Azure VPN Client sur l’ordinateur du client est configuré à l’aide des paramètres de la passerelle VPN P2S à laquelle l’utilisateur est autorisé à se connecter.
  6. Lorsqu’un utilisateur se connecte, il est authentifié et peut se connecter uniquement à la passerelle VPN P2S pour laquelle son compte dispose d’autorisations.

Considérations :

  • Vous ne pouvez pas créer ce type d’accès granulaire si vous n’avez qu’une seule passerelle VPN.
  • L’authentification Microsoft Entra ID est prise en charge uniquement pour les connexions de protocole OpenVPN® et nécessite le client VPN Azure. *Veillez à configurer chaque instance d’Azure VPN Client avec les paramètres de configuration corrects du package de profil client, afin de vous assurer que l’utilisateur se connecte à la passerelle correspondante pour laquelle il dispose d’autorisations.
  • Lorsque vous effectuez les étapes de configuration de cet exercice, il peut être plus simple d’exécuter les étapes pour le premier ID d’application personnalisée et la première passerelle tout au long de l’exercice, puis de répéter l’opération pour chaque passerelle et ID d’application personnalisée suivants.

Prérequis

  • Ce scénario nécessite un locataire Microsoft Entra. Si vous n’avez pas encore de locataire, créez un locataire dans Microsoft Entra ID. Notez l’ID du locataire. Cette valeur est nécessaire lorsque vous configurez votre passerelle VPN P2S pour l’authentification Microsoft Entra ID.

  • Ce scénario nécessite plusieurs passerelles VPN. Vous ne pouvez attribuer qu’un ID d’application personnalisée par passerelle.

    • Si vous n’avez pas encore au moins deux passerelles VPN fonctionnelles compatibles avec l’authentification Microsoft Entra ID, consultez Créer et gérer une passerelle VPN – Portail Azure pour créer vos passerelles VPN.
    • Certaines options de passerelle sont incompatibles avec les passerelles VPN P2S qui utilisent l’authentification Microsoft Entra ID. La référence SKU De base et les types de VPN basés sur des stratégies ne sont pas pris en charge. Pour plus d’informations sur les références SKU de passerelle, consultez À propos des références SKU de passerelle. Pour plus d’informations sur les types de VPN, consultez Paramètres de passerelle VPN.

Inscrire une application

Pour créer une valeur d’ID d’application d’audience personnalisée, qui est spécifiée lorsque vous configurez votre passerelle VPN, vous devez inscrire une application. Inscrire une application. Pour connaître les étapes à suivre, consultez Inscrire une application.

  • Le champ Nom est accessible par l’utilisateur. Utilisez un nom intuitif qui décrit les utilisateurs ou les groupes qui se connectent via cette application personnalisée.
  • Pour le reste des paramètres, utilisez les paramètres indiqués dans l’article.

Ajouter une étendue

Ajoutez une étendue. L’ajout d’une étendue fait partie de la séquence de configuration des autorisations pour les utilisateurs et les groupes. Pour connaître les étapes à suivre, consultez Exposer une API et ajouter une étendue. Plus tard, vous affecterez des autorisations d’utilisateurs et de groupes à cette étendue.

  • Utilisez un nom intuitif pour le champ Nom de l’étendue, tel que Utilisateurs-VPN-Marketing. Renseignez le reste des champs si nécessaire.
  • Pour État, sélectionnez Activer.

Ajouter l’application Azure VPN Client

Ajoutez l’ID client de l’application Azure VPN Client et spécifiez l’Étendue autorisée. Lorsque vous ajoutez l’application, nous vous recommandons d’utiliser l’ID d’application Azure VPN Client inscrit par Microsoft pour Azure Public, c632b3df-fb67-4d84-bdcf-b95ad541b5c8, dans la mesure du possible. Cette valeur d’application a un consentement global, ce qui signifie que vous n’avez pas besoin de l’inscrire manuellement. Pour connaître les étapes à suivre, consultez Ajouter l’application Azure VPN Client.

Après avoir ajouté l’application Azure VPN Client, accédez à la page Vue d’ensemble et copiez et enregistrez l’ID d’application (client). Vous aurez besoin de cet ID pour configurer vos passerelles VPN P2S.

Affecter des utilisateurs et des groupes

Attribuez des autorisations aux utilisateurs et/ou groupes qui se connectent à la passerelle. Si vous spécifiez un groupe, l’utilisateur doit être membre direct du groupe. Les groupes imbriqués ne sont pas pris en charge.

  1. Accédez à votre instance Microsoft Entra ID et sélectionnez Applications d’entreprise.
  2. Dans la liste, recherchez l’application que vous venez d’inscrire et cliquez pour l’ouvrir.
  3. Développez Gérer, puis sélectionnez Propriétés. Dans la page Propriétés, vérifiez que vous avez réglé Activé pour que les utilisateurs se connectent sur Oui. Si ce n’est pas le cas, remplacez la valeur par Oui.
  4. Pour Affectation requise, remplacez la valeur par Oui. Pour plus d’informations sur ce paramètre, consultez Propriétés de l’application.
  5. Si vous avez apporté des modifications, sélectionnez Enregistrer en haut de la page.
  6. Dans le volet gauche, sélectionnez Utilisateurs et groupes. Dans la page Utilisateurs et groupes, sélectionnez + Ajouter un utilisateur/groupe pour ouvrir la page Ajouter une affectation.
  7. Cliquez sur le lien sous Utilisateurs et groupes pour ouvrir la page Utilisateurs et groupes. Sélectionnez les utilisateurs et les groupes que vous souhaitez affecter, puis cliquez sur Sélectionner.
  8. Une fois que vous avez terminé la sélection des utilisateurs et des groupes, sélectionnez Affecter.

Configurer un VPN de point à site

Une fois les étapes des sections précédentes terminées, passez à Configurer une passerelle VPN P2S pour l’authentification Microsoft Entra ID – Application inscrite par Microsoft.

  • Lorsque vous configurez chaque passerelle, associez l’ID d’application d’audience personnalisée approprié.
  • Téléchargez les packages de configuration Azure VPN Client afin de configurer Azure VPN Client pour les utilisateurs disposant des autorisations nécessaires pour se connecter à la passerelle en question.

Configurer l’Azure VPN Client

Utilisez le package de configuration de profil Azure VPN Client afin de configurer Azure VPN Client sur l’ordinateur de chaque utilisateur. Vérifiez que le profil client correspond à la passerelle VPN P2S à laquelle vous souhaitez que l’utilisateur se connecte.

Étapes suivantes