P2S VPN-átjáró konfigurálása a Microsoft Entra ID-hitelesítéshez

  • Cikk

Ez a cikk segítséget nyújt a Microsoft Entra-bérlő és a pont–hely (P2S) VPN Gateway beállításainak konfigurálásához a Microsoft Entra ID-hitelesítéshez. A pont–hely protokollokról és a hitelesítésről további információt a VPN Gateway pont–hely VPN című témakörben talál. A Microsoft Entra ID-hitelesítéssel történő hitelesítéshez meg kell adnia az OpenVPN-alagút típusát a pont–hely konfigurációban.

Feljegyzés

A Microsoft Entra-hitelesítés csak OpenVPN® protokollkapcsolatok esetén támogatott, és az Azure VPN-ügyfélre van szükség.

Előfeltételek

A cikkben ismertetett lépésekhez Microsoft Entra-bérlőre van szükség. Ha nem rendelkezik Microsoft Entra-bérlővel, létrehozhat egyet az Új bérlő létrehozása című cikk lépéseivel. Jegyezze fel a következő mezőket a címtár létrehozásakor:

  • Szervezeti név
  • Kezdeti tartománynév

Ha már rendelkezik meglévő P2S-átjáróval, az ebben a cikkben ismertetett lépések segítenek konfigurálni az átjárót a Microsoft Entra ID-hitelesítéshez. Új VPN-átjárót is létrehozhat. Az új átjáró létrehozásához szükséges hivatkozás ebben a cikkben található.

Microsoft Entra-bérlői felhasználók létrehozása

  1. Hozzon létre két fiókot az újonnan létrehozott Microsoft Entra-bérlőben. A lépésekért lásd : Új felhasználó hozzáadása vagy törlése.

    • Globális rendszergazdai fiók
    • Felhasználói fiók

    A globális rendszergazdai fiók az Azure VPN-alkalmazásregisztrációhoz való hozzájárulás megadására szolgál. A felhasználói fiók az OpenVPN-hitelesítés tesztelésére használható.

  2. Rendelje hozzá az egyik fiókhoz a globális rendszergazdai szerepkört. A lépésekért lásd : Rendszergazdai és nem rendszergazdai szerepkörök hozzárendelése Microsoft Entra-azonosítóval rendelkező felhasználókhoz.

Az Azure VPN-alkalmazás engedélyezése

  1. Jelentkezzen be az Azure Portalra globális rendszergazdai szerepkörrel rendelkező felhasználóként.

  2. Ezután adjon rendszergazdai hozzájárulást a szervezetnek. Így az Azure VPN-alkalmazás bejelentkezhet és elolvashatja a felhasználói profilokat. Másolja és illessze be az üzembehelyezési helyhez tartozó URL-címet a böngésző címsorában:

    Nyilvános

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent

    Microsoft Cloud Germany

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent

    A 21Vianet által üzemeltetett Microsoft Azure

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent

    Feljegyzés

    Ha olyan globális rendszergazdai fiókot használ, amely nem natív a Microsoft Entra-bérlőn hozzájárulás megadásához, cserélje le a "common" kifejezést a Microsoft Entra-bérlő azonosítójára az URL-címben. Előfordulhat, hogy bizonyos más esetekben is le kell cserélnie a "common" kifejezést a bérlőazonosítóra. Ha segítségre van szüksége a bérlőazonosító megkereséséhez, olvassa el a Microsoft Entra-bérlőazonosító megkeresése című témakört.

  3. Válassza ki azt a fiókot, amelynek globális rendszergazdai szerepköre van, ha a rendszer kéri.

  4. A Kért engedélyek lapon válassza az Elfogadás lehetőséget.

  5. Nyissa meg a Microsoft Entra-azonosítót. A bal oldali panelen kattintson a Vállalati alkalmazások elemre. A listában megjelenik az Azure VPN .

    Képernyőkép a Nagyvállalati alkalmazás lapról, amelyen az Azure V P N szerepel.

A VPN-átjáró konfigurálása

Fontos

Az Azure Portal jelenleg az Azure Active Directory-mezők Entra-ra való frissítésén dolgozik. Ha megjelenik a hivatkozott Microsoft Entra-azonosító, és még nem látja ezeket az értékeket a portálon, kiválaszthatja az Azure Active Directory-értékeket.

  1. Keresse meg a hitelesítéshez használni kívánt címtár bérlőazonosítóját. Az Active Directory lap tulajdonságok szakaszában található. Ha segítségre van szüksége a bérlőazonosító megkereséséhez, olvassa el a Microsoft Entra-bérlőazonosító megkeresése című témakört.

  2. Ha még nem rendelkezik működő pont–hely környezettel, kövesse az utasítást a létrehozáshoz. Lásd: Pont–hely VPN létrehozása pont–hely VPN-átjáró létrehozásához és konfigurálásához. VPN-átjáró létrehozásakor az OpenVPN nem támogatja az alapszintű termékváltozatot.

  3. Lépjen a virtuális hálózati átjáróra. A bal oldali panelen kattintson a Pont–hely konfiguráció elemre.

    Képernyőkép az alagúttípus, a hitelesítési típus és a Microsoft Entra beállításairól.

    Konfigurálja a következő értékeket:

    • Címkészlet: ügyfélcímkészlet
    • Alagút típusa: OpenVPN (SSL)
    • Hitelesítési típus: Microsoft Entra-azonosító

    A Microsoft Entra-azonosítók értékeihez használja a bérlői, közönség- és kiállítói értékekre vonatkozó alábbi irányelveket. Cserélje le a(z) {TenantID} elemet a bérlőazonosítóra, ügyelve arra, hogy az érték cseréjekor távolítsa el {} a példákból.

    • Bérlő: A Microsoft Entra-bérlő bérlőazonosítója. Adja meg a konfigurációnak megfelelő bérlőazonosítót. Győződjön meg arról, hogy a bérlői URL-cím végén nincs \ fordított perjel. A perjel megengedett.

      • Azure Nyilvános AD: https://login.microsoftonline.com/{TenantID}
      • Azure Government AD: https://login.microsoftonline.us/{TenantID}
      • Azure Germany AD: https://login-us.microsoftonline.de/{TenantID}
      • China 21Vianet AD: https://login.chinacloudapi.cn/{TenantID}

    • Célközönség: Az "Azure VPN" Microsoft Entra Enterprise alkalmazás alkalmazásazonosítója.

      • Nyilvános Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
      • Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
      • Azure Germany: 538ee9e6-310a-468d-afef-ea97365856a9
      • A 21Vianet által üzemeltetett Microsoft Azure: 49f817b6-84ae-4cc0-928c-73f27289b3aa

    • Kiállító: A Biztonságos jogkivonat szolgáltatás URL-címe. Adjon meg egy záró perjelet a Kiállító érték végén. Ellenkező esetben a kapcsolat meghiúsulhat. Példa:

      • https://sts.windows.net/{TenantID}/

  4. Miután befejezte a beállítások konfigurálását, kattintson a Lap tetején található Mentés gombra.

Az Azure VPN-ügyfélprofil konfigurációs csomagjának letöltése

Ebben a szakaszban létrehozza és letölti az Azure VPN-ügyfélprofil konfigurációs csomagját. Ez a csomag tartalmazza azokat a beállításokat, amelyekkel konfigurálhatja az Azure VPN-ügyfélprofilt az ügyfélszámítógépeken.

  1. A pont–hely konfigurációs oldal tetején kattintson a VPN-ügyfél letöltése elemre. Az ügyfélkonfigurációs csomag létrehozása néhány percet vesz igénybe.

  2. A böngésző azt jelzi, hogy elérhető egy ügyfélkonfigurációs zip-fájl. A név megegyezik az átjáró nevével.

  3. Bontsa ki a letöltött zip-fájlt.

  4. Keresse meg a kibontott "AzureVPN" mappát.

  5. Jegyezze fel a "azurevpnconfig.xml" fájl helyét. A azurevpnconfig.xml tartalmazza a VPN-kapcsolat beállítását. Ezt a fájlt az összes olyan felhasználónak is eloszthatja, akihez e-mailben vagy más módon kell csatlakoznia. A sikeres csatlakozáshoz a felhasználónak érvényes Microsoft Entra-hitelesítő adatokra lesz szüksége. További információ: Azure VPN-ügyfélprofil konfigurációs fájljai a Microsoft Entra-hitelesítéshez.

Következő lépések