Megosztás a következőn keresztül:

Microsoft Entra-bérlő létrehozása P2S OpenVPN protokollkapcsolatokhoz

A virtuális hálózathoz való csatlakozáskor tanúsítványalapú hitelesítést vagy RADIUS-hitelesítést használhat. Az Open VPN protokoll használatakor azonban Microsoft Entra-hitelesítést is használhat. Ha azt szeretné, hogy a különböző felhasználók különböző átjárókhoz csatlakozhassanak, regisztrálhat több alkalmazást az AD-ben, és összekapcsolhatja őket különböző átjárókkal.

Ez a cikk segít beállítani egy Microsoft Entra-bérlőt a P2S OpenVPN-hitelesítéshez, és több alkalmazást hozhat létre és regisztrálhat a Microsoft Entra ID-ban, hogy különböző hozzáférést engedélyezhessen a különböző felhasználók és csoportok számára.

Feljegyzés

A Microsoft Entra-hitelesítés csak OpenVPN® protokollkapcsolatok esetén támogatott.

1. A Microsoft Entra-bérlő létrehozása

Hozzon létre egy Microsoft Entra-bérlőt az Új bérlő létrehozása című cikk lépéseivel:

  • Szervezeti név

  • Kezdeti tartománynév

    Példa:

    Új Microsoft Entra-bérlő

2. Bérlői felhasználók létrehozása

Ebben a lépésben két Microsoft Entra-bérlői felhasználót hoz létre: egy globális rendszergazdai fiókot és egy fő felhasználói fiókot. A rendszer a fő felhasználói fiókot használja a fő beágyazási fiókként (szolgáltatásfiók). Microsoft Entra-bérlői felhasználói fiók létrehozásakor a címtárszerepkört a létrehozni kívánt felhasználó típusához igazítja. A cikkben ismertetett lépésekkel legalább két felhasználót hozhat létre a Microsoft Entra-bérlő számára. A fióktípusok létrehozásához mindenképpen módosítsa a címtárszerepkört :

  • Globális rendszergazda
  • User

3. A VPN-ügyfél regisztrálása

Regisztrálja a VPN-ügyfelet a Microsoft Entra-bérlőben.

  1. Keresse meg a hitelesítéshez használni kívánt könyvtár könyvtárazonosítóját. Az Active Directory lap tulajdonságok szakaszában található.

    Címtár azonosítója

  2. Másolja ki a Címtár-azonosítót.

  3. Jelentkezzen be az Azure Portalra globális rendszergazdai szerepkörrel rendelkező felhasználóként.

  4. Ezután adjon rendszergazdai hozzájárulást. Másolja és illessze be az üzembehelyezési helyhez tartozó URL-címet a böngésző címsorában:

    Nyilvános

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent

    Microsoft Cloud Germany

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent

    A 21Vianet által üzemeltetett Microsoft Azure

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent

Feljegyzés

Ha olyan globális rendszergazdai fiókot használ, amely nem natív a Microsoft Entra-bérlőn hozzájárulás megadásához, cserélje le a "common" kifejezést a Microsoft Entra könyvtárazonosítójára az URL-címben. Előfordulhat, hogy bizonyos más esetekben a "common" szót is le kell cserélnie a címtárazonosítóra.

  1. Ha a rendszer kéri, válassza ki a globális rendszergazdai fiókot.

    2. címtárazonosító

  2. A Kért engedélyek lapon válassza az Elfogadás lehetőséget az alkalmazás engedélyeinek megadásához.

  3. A Microsoft Entra-azonosító alatt nagyvállalati alkalmazásokban az Azure VPN jelenik meg a listában.

    Azure VPN

4. További alkalmazások regisztrálása

Ebben a lépésben további alkalmazásokat regisztrál különböző felhasználókhoz és csoportokhoz.

  1. A Microsoft Entra-azonosító alatt kattintson a Alkalmazásregisztrációk, majd az Új regisztráció elemre.

    Azure VPN 2

  2. Az alkalmazás regisztrálása lapon adja meg a nevet. Válassza ki a kívánt támogatott fióktípusokat, majd kattintson a Regisztráció gombra.

    Azure VPN 3

  3. Az új alkalmazás regisztrálása után kattintson az API közzététele az alkalmazás paneljén.

  4. Kattintson a + Hatókör hozzáadása elemre.

  5. Hagyja meg az alapértelmezett alkalmazásazonosító URI-ját. Kattintson a Mentés és a Folytatás gombra.

    Azure VPN 4

  6. Töltse ki a szükséges mezőket, és győződjön meg arról, hogy az állapot engedélyezve van. Kattintson a Hatókör hozzáadása elemre.

    Azure VPN 5

  7. Kattintson az API-k felfedése, majd az ügyfélalkalmazás hozzáadása elemre. Ügyfélazonosító esetén a felhőtől függően adja meg a következő értékeket:

    • Adja meg a 41b23e61-6c1e-4545-b367-cd054e0ed4b4 értéket az Azure Publichoz
    • Adja meg az 51bb15d4-3a4f-4ebf-9dca-40096fe32426 for Azure Government
    • Adja meg az 538ee9e6-310a-468d-afef-ea97365856a9 értéket az Azure Germany esetében
    • Adja meg a 49f817b6-84ae-4cc0-928c-73f27289b3aa for Azure China 21Vianet

  8. Kattintson az Alkalmazás hozzáadása elemre.

    Azure VPN 6

  9. Másolja ki az alkalmazás (ügyfél) azonosítóját az Áttekintés lapról. Ezekre az információkra szüksége lesz a VPN-átjáró(k) konfigurálásához.

    Azure VPN 7

  10. Ismételje meg a további alkalmazások regisztrálása szakasz lépéseit a biztonsági követelményekhez szükséges számú alkalmazás létrehozásához. Minden alkalmazás egy VPN-átjáróhoz lesz társítva, és különböző felhasználói csoportokkal rendelkezhet. Átjáróhoz csak egy alkalmazás társítható.

5. Felhasználók hozzárendelése alkalmazásokhoz

Rendelje hozzá a felhasználókat az alkalmazásokhoz.

  1. A Microsoft Entra ID –> Nagyvállalati alkalmazások területen válassza ki az újonnan regisztrált alkalmazást, és kattintson a Tulajdonságok elemre. Győződjön meg arról, hogy a felhasználói hozzárendelés kötelező? értéke igen. Kattintson a Mentés gombra.

    Azure VPN 8

  2. Az alkalmazáslapon kattintson a Felhasználók és csoportok elemre, majd a +Felhasználó hozzáadása parancsra.

    Azure VPN 9

  3. A Hozzárendelés hozzáadása csoportban kattintson a Felhasználók és csoportok elemre. Válassza ki azokat a felhasználókat, amelyeket el szeretne érni ehhez a VPN-alkalmazáshoz. Kattintson a Kijelölés gombra.

    Azure VPN 10

6. Új P2S-konfiguráció létrehozása

A pont–hely konfiguráció határozza meg a távoli ügyfelek csatlakoztatására vonatkozó paramétereket.

  1. Állítsa be a következő változókat, és cserélje le a környezet értékeit.

    $aadAudience = "00000000-abcd-abcd-abcd-999999999999"
$aadIssuer = "https://sts.windows.net/00000000-abcd-abcd-abcd-999999999999/"
$aadTenant = "https://login.microsoftonline.com/00000000-abcd-abcd-abcd-999999999999"

  2. Futtassa a következő parancsokat a konfiguráció létrehozásához:

    $aadConfig = New-AzVpnServerConfiguration -ResourceGroupName <ResourceGroup> -Name newAADConfig -VpnProtocol OpenVPN -VpnAuthenticationType AAD -AadTenant $aadTenant -AadIssuer $aadIssuer -AadAudience $aadAudience -Location westcentralus

    Feljegyzés

    Ne használja az Azure VPN-ügyfél alkalmazásazonosítóját a fenti parancsokban: Minden felhasználó számára hozzáférést biztosít az átjáróhoz. Használja a regisztrált alkalmazás(ok) azonosítóját.

7. Központi hozzárendelés szerkesztése

  1. Lépjen a Hubs panelre a virtuális WAN alatt.

  2. Válassza ki azt a központot, amelyhez a VPN-kiszolgáló konfigurációját társítani szeretné, és kattintson a három pontra (...).

    A menüből kiválasztott Virtuális központ szerkesztése képernyőképe.

  3. Kattintson a Virtuális központ szerkesztése elemre.

  4. Jelölje be a Pont–hely átjáró belefoglalása jelölőnégyzetet, és válassza ki a kívánt átjáróméretezési egységet .

    Képernyőkép a Virtuális központ szerkesztése párbeszédpanelről, ahol kiválaszthatja az átjáró méretezési egységét.

  5. Adja meg azt a címkészletet , amelyből a VPN-ügyfelek IP-címeket kapnak.

  6. Kattintson a Megerősítés gombra.

  7. A művelet végrehajtása akár 30 percet is igénybe vehet.

8. VPN-profil letöltése

A VPN-profillal konfigurálhatja az ügyfeleket.

  1. A virtuális WAN oldalán kattintson a Felhasználói VPN-konfigurációk elemre.

  2. A lap tetején kattintson a Felhasználói VPN-konfiguráció letöltése elemre.

  3. Miután befejeződött a fájl létrehozása, a hivatkozásra kattintva letöltheti.

  4. A VPN-ügyfelek konfigurálásához használja a profilfájlt.

  5. Bontsa ki a letöltött zip-fájlt.

  6. Keresse meg a kibontott "AzureVPN" mappát.

  7. Jegyezze fel a "azurevpnconfig.xml" fájl helyét. A azurevpnconfig.xml tartalmazza a VPN-kapcsolat beállításait, és közvetlenül importálható az Azure VPN-ügyfélalkalmazásba. Ezt a fájlt az összes olyan felhasználónak is eloszthatja, akihez e-mailben vagy más módon kell csatlakoznia. A sikeres csatlakozáshoz a felhasználónak érvényes Microsoft Entra-hitelesítő adatokra lesz szüksége.

9. Felhasználói VPN-ügyfelek konfigurálása

A csatlakozáshoz le kell töltenie az Azure VPN-ügyfelet, és importálnia kell az előző lépésekben letöltött VPN-ügyfélprofilt minden olyan számítógépen, amely csatlakozni szeretne a virtuális hálózathoz.

Feljegyzés

A Microsoft Entra-hitelesítés csak OpenVPN® protokollkapcsolatok esetén támogatott.

Az Azure VPN-ügyfél letöltése

Ezen a hivatkozáson letöltheti az Azure VPN-ügyfelet.

Ügyfélprofil importálása

  1. A lapon válassza az Importálás lehetőséget.

    A plusz menüből kiválasztott Importálás képernyőképe.

  2. Tallózással keresse meg a profil xml-fájlja, és válassza ki. Ha a fájl ki van jelölve, válassza a Megnyitás lehetőséget.

    Képernyőkép egy Megnyitás párbeszédpanelről, ahol kiválaszthat egy fájlt.

  3. Adja meg a profil nevét, és válassza a Mentés lehetőséget.

    Képernyőkép a hozzáadott kapcsolat nevéről és a Kijelölt Mentés gombról.

  4. Válassza a Csatlakozás lehetőséget a VPN-hez való csatlakozáshoz.

    Képernyőkép az imént létrehozott kapcsolat Csatlakozás gombjáról.

  5. A csatlakozás után az ikon zöld színűre vált, és azt mondja, hogy Csatlakoztatva.

    Képernyőkép a Kapcsolat állapotú kapcsolatról a kapcsolat bontásának lehetőségével.

Ügyfélprofil törlése

  1. Válassza ki a törölni kívánt ügyfélprofil melletti három pontot (...). Ezután válassza az Eltávolítás lehetőséget.

    Képernyőkép: A menüből kijelölt eltávolítás.

  2. Kattintson az Eltávolítás gombra a törléshez.

    Képernyőkép egy megerősítést kérő párbeszédpanelről, amelyen az Eltávolítás vagy a Mégse lehetőség látható.

Kapcsolati problémák diagnosztizálása

  1. A kapcsolati problémák diagnosztizálásához használhatja a Diagnosztikai eszközt. Válassza ki a diagnosztizálni kívánt VPN-kapcsolat melletti három pontot (...) a menü megjelenítéséhez. Ezután válassza a Diagnosztizálás lehetőséget.

    Képernyőkép a menüből kiválasztott Diagnosztizálás beállításról.

  2. A Kapcsolat tulajdonságai lapon válassza a Diagnosztika futtatása lehetőséget.

    Képernyőkép egy kapcsolat Diagnosztikák futtatása gombjáról.

  3. Jelentkezzen be a hitelesítő adatokkal.

    diagnosztizálás 3

  4. A diagnózis eredményeinek megtekintése.

    Képernyőkép egy kapcsolat Diagnosztikák futtatása gombjáról.

  5. Jelentkezzen be a hitelesítő adatokkal.

    A művelet bejelentkezési párbeszédpaneljének képernyőképe.

  6. A diagnózis eredményeinek megtekintése.

    Képernyőkép a diagnózis eredményeiről.

10. A virtuális WAN megtekintése

  1. Lépjen a virtuális WAN-ra.

  2. Az Áttekintés lapon a térképen látható pontok mindegyike egy elosztót jelöl.

  3. Az elosztók és kapcsolatok szakaszában láthatja az elosztók állapotát, helyét, régióját, VPN-kapcsolati állapotát, valamint a bájtban kifejezett be- és kimenő forgalmát.

Az erőforrások eltávolítása

Ha már nincs szüksége ezekre az erőforrásokra, a Remove-AzResourceGroup használatával eltávolíthatja az erőforráscsoportot és az összes benne lévő erőforrást. A „myResourceGroup” helyére írja be az erőforráscsoport nevét, és futtassa a következő PowerShell-parancsot:

Remove-AzResourceGroup -Name myResourceGroup -Force

Következő lépések

A Virtual WAN-nal kapcsolatos további információkért lásd a Virtual WAN áttekintő lapját.