Mengonfigurasi VPN Gateway P2S untuk autentikasi ID Microsoft Entra – Aplikasi terdaftar Microsoft
Artikel ini membantu Anda mengonfigurasi gateway VPN titik-ke-situs (P2S) untuk autentikasi ID Microsoft Entra menggunakan ID Aplikasi Klien Azure VPN baru yang terdaftar di Microsoft.
Catatan
Langkah-langkah dalam artikel ini berlaku untuk autentikasi ID Microsoft Entra menggunakan ID Aplikasi Klien Azure VPN yang terdaftar di Microsoft dan nilai Audiens terkait. Artikel ini tidak berlaku untuk aplikasi Klien Azure VPN yang lebih lama dan terdaftar secara manual untuk penyewa Anda. Untuk langkah-langkah Klien Azure VPN yang terdaftar secara manual, lihat Mengonfigurasi P2S menggunakan klien VPN yang terdaftar secara manual.
VPN Gateway sekarang mendukung ID Aplikasi baru yang terdaftar di Microsoft dan nilai Audiens terkait untuk versi terbaru Klien Azure VPN. Saat mengonfigurasi gateway VPN P2S menggunakan nilai Audiens baru, Anda melewati proses pendaftaran manual aplikasi Klien Azure VPN untuk penyewa Microsoft Entra Anda. ID Aplikasi sudah dibuat dan penyewa Anda secara otomatis dapat menggunakannya tanpa langkah pendaftaran tambahan. Proses ini lebih aman daripada mendaftarkan Klien Azure VPN secara manual karena Anda tidak perlu mengotorisasi aplikasi atau menetapkan izin melalui peran Administrator global.
Sebelumnya, Anda diharuskan mendaftarkan (mengintegrasikan) aplikasi Klien Azure VPN secara manual dengan penyewa Microsoft Entra Anda. Mendaftarkan aplikasi klien membuat ID Aplikasi yang mewakili identitas aplikasi Klien Azure VPN dan memerlukan otorisasi menggunakan peran Administrator Global. Untuk lebih memahami perbedaan antara jenis objek aplikasi, lihat Bagaimana dan mengapa aplikasi ditambahkan ke ID Microsoft Entra.
Jika memungkinkan, kami sarankan Anda mengonfigurasi gateway P2S baru menggunakan ID Aplikasi klien Azure VPN yang terdaftar di Microsoft dan nilai Audiens yang sesuai, alih-alih mendaftarkan aplikasi Klien Azure VPN secara manual dengan penyewa Anda. Jika Anda memiliki gateway Azure VPN yang dikonfigurasi sebelumnya yang menggunakan autentikasi ID Microsoft Entra, Anda dapat memperbarui gateway dan klien untuk memanfaatkan ID Aplikasi baru yang terdaftar di Microsoft. Memperbarui gateway P2S dengan nilai Audiens baru diperlukan jika Anda ingin klien Linux terhubung. Klien Azure VPN untuk Linux tidak kompatibel mundur dengan nilai Audiens yang lebih lama. Jika Anda memiliki gateway P2S yang sudah ada yang ingin Anda perbarui untuk menggunakan nilai Audiens baru, lihat Mengubah Audiens untuk gateway VPN P2S.
Pertimbangan dan batasan:
Gateway VPN P2S hanya dapat mendukung satu nilai Audiens. Ini tidak dapat mendukung beberapa nilai Audiens secara bersamaan.
Saat ini, ID Aplikasi terdaftar Microsoft yang lebih baru tidak mendukung nilai Audiens sebanyak aplikasi yang lebih lama dan terdaftar secara manual. Jika Anda memerlukan nilai Audiens untuk apa pun selain Azure Public atau Custom, gunakan metode dan nilai yang terdaftar secara manual yang lebih lama.
Klien Azure VPN untuk Linux tidak kompatibel mundur dengan gateway P2S yang dikonfigurasi untuk menggunakan nilai Audiens yang lebih lama yang selaras dengan aplikasi yang terdaftar secara manual. Klien Azure VPN untuk Linux mendukung nilai Audiens Kustom.
-
Meskipun ada kemungkinan bahwa Klien Azure VPN untuk Linux mungkin bekerja pada distribusi dan rilis Linux lainnya, Klien Azure VPN untuk Linux hanya didukung pada rilis berikut:
- Ubuntu 20.04
- Ubuntu 22.04
Klien Azure VPN untuk macOS dan Windows kompatibel mundur dengan gateway P2S yang dikonfigurasi untuk menggunakan nilai Audiens yang lebih lama yang selaras dengan aplikasi yang terdaftar secara manual. Anda juga dapat menggunakan nilai Audiens Kustom dengan klien ini.
Tabel berikut ini memperlihatkan versi Klien Azure VPN yang didukung untuk setiap ID Aplikasi dan nilai Audiens yang tersedia terkait.
| ID Aplikasi | Nilai Audiens yang Didukung | Klien yang Didukung |
|---|---|---|
| Terdaftar di Microsoft | - Azure Public: c632b3df-fb67-4d84-bdcf-b95ad541b5c8 |
- Linux - Windows - macOS |
| Terdaftar secara manual | - Azure Public: 41b23e61-6c1e-4545-b367-cd054e0ed4b4- Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426- Azure Jerman: 538ee9e6-310a-468d-afef-ea97365856a9- Microsoft Azure dioperasikan oleh 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa |
- Windows - macOS |
| Adat | <custom-app-id> |
- Linux - Windows - macOS |
Alur kerja titik-ke-situs
Berhasil mengonfigurasi koneksi P2S menggunakan autentikasi ID Microsoft Entra memerlukan urutan langkah.
Artikel ini membantu Anda:
- Verifikasi penyewa Anda.
- Konfigurasikan gateway VPN dengan pengaturan yang diperlukan yang sesuai.
- Buat dan unduh paket konfigurasi Klien VPN.
Artikel di bagian Langkah berikutnya membantu Anda:
- Unduh Klien Azure VPN di komputer klien.
- Konfigurasikan klien menggunakan pengaturan dari paket konfigurasi Klien VPN.
- Terhubung.
Prasyarat
Artikel ini mengasumsikan prasyarat berikut:
Gateway VPN
Opsi gateway tertentu tidak kompatibel dengan gateway VPN P2S yang menggunakan autentikasi ID Microsoft Entra. Gateway VPN tidak dapat menggunakan SKU Dasar atau jenis VPN berbasis kebijakan. Untuk informasi selengkapnya tentang SKU gateway, lihat Tentang SKU gateway. Untuk informasi selengkapnya tentang jenis VPN, lihat Pengaturan VPN Gateway.
Jika Anda belum memiliki gateway VPN yang berfungsi yang kompatibel dengan autentikasi ID Microsoft Entra, lihat Membuat dan mengelola gateway VPN - portal Azure. Buat gateway VPN yang kompatibel, lalu kembali ke artikel ini untuk mengonfigurasi pengaturan P2S.
Penyewa Microsoft Entra
- Langkah-langkah dalam artikel ini memerlukan penyewa Microsoft Entra. Untuk informasi selengkapnya, lihat Membuat penyewa baru di MICROSOFT Entra ID.
Menambahkan kumpulan alamat klien VPN
Kumpulan alamat klien adalah berbagai alamat IP pribadi yang Anda tentukan. Klien yang terhubung melalui VPN point-to-site secara dinamis menerima alamat IP dari rentang ini. Gunakan rentang alamat IP privat yang tidak tumpang tindih dengan lokasi lokal yang Anda sambungkan, atau VNet yang ingin Anda sambungkan. Jika Anda mengonfigurasi beberapa protokol dan SSTP adalah salah satu protokolnya, maka kumpulan alamat yang dikonfigurasi dibagi antara protokol yang dikonfigurasi secara merata.
Di portal Azure, buka gateway VPN Anda.
Pada halaman untuk gateway Anda, di panel kiri, pilih Konfigurasi titik-ke-situs.
Klik Konfigurasikan sekarang untuk membuka halaman konfigurasi.
Pada halaman Konfigurasi titik-ke-situs, dalam kotak Kumpulan alamat, tambahkan rentang alamat IP privat yang ingin Anda gunakan. Klien VPN secara dinamis menerima alamat IP dari rentang yang Anda tentukan. Subnet mask minimum adalah 29 bit untuk aktif/pasif dan 28 bit untuk konfigurasi aktif/aktif.
Lanjutkan ke bagian berikutnya untuk mengonfigurasi pengaturan lainnya.
Mengonfigurasi jenis terowongan dan autentikasi
Penting
portal Azure sedang dalam proses memperbarui bidang Azure Active Directory ke Entra. Jika Anda melihat ID Microsoft Entra yang direferensikan dan belum melihat nilai tersebut di portal, Anda dapat memilih nilai Azure Active Directory.
Temukan ID Penyewa direktori yang ingin Anda gunakan untuk autentikasi. Untuk bantuan dalam menemukan ID penyewa Anda, lihat Cara menemukan ID penyewa Microsoft Entra Anda.
Mengonfigurasi jenis terowongan dan nilai autentikasi.
Konfigurasikan pengaturan berikut:
- Kumpulan alamat: kumpulan alamat klien
- Jenis terowongan: OpenVPN (SSL)
- Jenis autentikasi: ID Microsoft Entra
Untuk nilai ID Microsoft Entra, gunakan panduan berikut untuk nilai Penyewa, Audiens, dan Penerbit . Ganti {ID Microsoft ID Entra Tenant ID} dengan ID penyewa Anda, berhati-hatilah untuk menghapus {} dari contoh saat Anda mengganti nilai ini.
Penyewa: TenantID untuk penyewa MICROSOFT Entra ID. Masukkan ID penyewa yang sesuai dengan konfigurasi Anda. Pastikan URL Penyewa tidak memiliki
\(garis miring terbelakang) di akhir. Garis miring diperbolehkan.- Azure Public:
https://login.microsoftonline.com/{Microsoft ID Entra Tenant ID}
- Azure Public:
Audiens: Nilai yang sesuai untuk ID Aplikasi Klien Azure VPN yang terdaftar di Microsoft. Audiens kustom juga didukung untuk bidang ini.
- Azure Public:
c632b3df-fb67-4d84-bdcf-b95ad541b5c8
- Azure Public:
Penerbit: URL Layanan Token Aman. Sertakan garis miring berikutnya di akhir nilai Penerbit . Jika tidak, koneksi mungkin gagal. Contoh:
https://sts.windows.net/{Microsoft ID Entra Tenant ID}/
Anda tidak perlu mengklik Berikan persetujuan administrator untuk aplikasi klien Azure VPN. Tautan ini hanya untuk klien VPN terdaftar secara manual yang menggunakan nilai Audiens yang lebih lama. Ini membuka halaman di portal Azure.
Setelah Anda selesai mengonfigurasi pengaturan, klik Simpan di bagian atas halaman.
Mengunduh paket konfigurasi profil klien VPN
Di bagian ini, Anda membuat dan mengunduh paket konfigurasi profil klien Azure VPN. Paket ini berisi pengaturan yang dapat Anda gunakan untuk mengonfigurasi profil klien Azure VPN di komputer klien.
Di bagian atas halaman konfigurasi Titik-ke-situs, klik Unduh klien VPN. Perlu beberapa menit hingga paket konfigurasi klien dapat dibuat.
Browser Anda menunjukkan bahwa file zip konfigurasi klien tersedia. File diberi nama yang sama dengan gateway Anda.
Ekstrak file zip yang diunduh.
Telusuri folder "AzureVPN" yang belum di-zip.
Catat lokasi file “azurevpnconfig.xml”. azurevpnconfig.xml berisi pengaturan untuk koneksi VPN. Anda juga dapat mendistribusikan file ini ke semua pengguna yang perlu tersambung melalui email atau cara lain. Pengguna akan memerlukan kredensial ID Microsoft Entra yang valid agar berhasil tersambung.
Mengonfigurasi Klien Azure VPN
Selanjutnya, Anda memeriksa paket konfigurasi profil, mengonfigurasi Klien Azure VPN untuk komputer klien, dan menyambungkan ke Azure. Lihat artikel yang tercantum di bagian Langkah berikutnya.
Langkah berikutnya
Mengonfigurasi Klien Azure VPN.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk