Skenario: Mengonfigurasi akses P2S berdasarkan pengguna dan grup - Autentikasi ID Microsoft Entra

Artikel ini memandu Anda melalui skenario untuk mengonfigurasi akses berdasarkan pengguna dan grup untuk koneksi VPN titik-ke-situs (P2S) yang menggunakan autentikasi ID Microsoft Entra. Skenario ini, Anda mengonfigurasi jenis akses ini menggunakan beberapa ID aplikasi audiens kustom dengan izin yang ditentukan, dan beberapa gateway VPN P2S. Untuk informasi selengkapnya tentang protokol dan autentikasi P2S, lihat Tentang VPN titik-ke-situs.

Dalam skenario ini, pengguna memiliki akses yang berbeda berdasarkan izin untuk menyambungkan ke gateway VPN P2S tertentu. Pada tingkat tinggi, alur kerja adalah sebagai berikut:

1. Buat aplikasi kustom untuk setiap gateway VPN P2S yang ingin Anda konfigurasi untuk VPN P2S dengan autentikasi ID Microsoft Entra. Catat ID aplikasi kustom.
2. Tambahkan aplikasi Klien Azure VPN ke konfigurasi aplikasi kustom.
3. Tetapkan izin pengguna dan grup per aplikasi kustom.
4. Saat Anda mengonfigurasi gateway untuk autentikasi ID Microsoft Entra VPN P2S, tentukan penyewa ID Microsoft Entra dan ID aplikasi kustom yang terkait dengan pengguna yang ingin Anda izinkan untuk tersambung melalui gateway tersebut.
5. Profil Klien Azure VPN di komputer klien dikonfigurasi menggunakan pengaturan dari gateway VPN P2S tempat pengguna memiliki izin untuk terhubung.
6. Saat pengguna terhubung, mereka diautentikasi dan hanya dapat terhubung ke gateway VPN P2S yang memiliki izin akun mereka.

Pertimbangan:

• Anda tidak dapat membuat jenis akses terperinci ini jika Anda hanya memiliki satu gateway VPN.
• Autentikasi ID Microsoft Entra hanya didukung untuk koneksi protokol OpenVPN® dan memerlukan Klien Azure VPN. *Berhati-hatilah mengonfigurasi setiap Klien Azure VPN dengan pengaturan konfigurasi paket profil klien yang benar untuk memastikan bahwa pengguna terhubung ke gateway yang sesuai dengan izin mereka.
• Saat Anda menggunakan langkah-langkah konfigurasi dalam latihan ini, mungkin paling mudah untuk menjalankan langkah-langkah untuk ID aplikasi kustom pertama dan gateway sepanjang jalan, lalu ulangi untuk setiap ID dan gateway aplikasi kustom berikutnya.

Prasyarat

• Skenario ini memerlukan penyewa Microsoft Entra. Jika Anda belum memiliki penyewa, Buat penyewa baru di ID Microsoft Entra. Catat ID penyewa. Nilai ini diperlukan saat Anda mengonfigurasi gateway VPN P2S untuk autentikasi ID Microsoft Entra.

• Skenario ini memerlukan beberapa gateway VPN. Anda hanya dapat menetapkan satu ID aplikasi kustom per gateway.

  • Jika Anda belum memiliki setidaknya dua gateway VPN yang berfungsi yang kompatibel dengan autentikasi ID Microsoft Entra, lihat Membuat dan mengelola gateway VPN - portal Azure untuk membuat gateway VPN Anda.
  • Beberapa opsi gateway tidak kompatibel dengan gateway VPN P2S yang menggunakan autentikasi ID Microsoft Entra. Jenis SKU dasar dan VPN berbasis kebijakan tidak didukung. Untuk informasi selengkapnya tentang SKU gateway, lihat Tentang SKU gateway. Untuk informasi selengkapnya tentang jenis VPN, lihat Pengaturan VPN Gateway.

Daftarkan aplikasi

Untuk membuat nilai ID aplikasi audiens kustom, yang ditentukan saat mengonfigurasi gateway VPN, Anda harus mendaftarkan aplikasi. Daftarkan aplikasi. Untuk langkah-langkahnya, lihat Mendaftarkan aplikasi.

• Bidang Nama menghadap pengguna. Gunakan sesuatu yang intuitif yang menjelaskan pengguna atau grup yang terhubung melalui aplikasi kustom ini.
• Untuk pengaturan lainnya, gunakan pengaturan yang diperlihatkan dalam artikel.

Menambahkan cakupan

Tambahkan cakupan. Menambahkan cakupan adalah bagian dari urutan untuk mengonfigurasi izin bagi pengguna dan grup. Untuk langkah-langkahnya, lihat Mengekspos API dan menambahkan cakupan. Nantinya, Anda menetapkan izin pengguna dan grup ke cakupan ini.

• Gunakan sesuatu yang intuitif untuk bidang Nama Cakupan, seperti Marketing-VPN-Users. Isi bidang lainnya seperlunya.
• Untuk Status, pilih Aktifkan.

Menambahkan aplikasi Klien Azure VPN

Tambahkan ID Klien aplikasi Klien Azure VPN dan tentukan cakupan Resmi. Saat Anda menambahkan aplikasi, kami sarankan Anda menggunakan ID aplikasi Klien Azure VPN terdaftar Microsoft untuk Azure Public, c632b3df-fb67-4d84-bdcf-b95ad541b5c8 jika memungkinkan. Nilai aplikasi ini memiliki persetujuan global, yang berarti Anda tidak perlu mendaftarkannya secara manual. Untuk langkah-langkahnya, lihat Menambahkan aplikasi Klien Azure VPN.

Setelah Anda menambahkan aplikasi Klien Azure VPN, buka halaman Gambaran Umum dan salin dan simpan ID Aplikasi (klien). Anda akan memerlukan informasi ini untuk mengonfigurasi gateway VPN P2S Anda.

Tetapkan pengguna dan grup

Tetapkan izin ke pengguna dan/atau grup yang tersambung ke gateway. Jika Anda menentukan grup, pengguna harus menjadi anggota langsung grup. Grup berlapis tidak didukung.

1. Buka ID Microsoft Entra Anda dan pilih Aplikasi perusahaan.
2. Dari daftar, temukan aplikasi yang Anda daftarkan dan klik untuk membukanya.
3. Perluas Kelola, lalu pilih Properti. Pada halaman Properti , verifikasi bahwa Diaktifkan bagi pengguna untuk masuk diatur ke Ya. Jika tidak, ubah nilai menjadi Ya.
4. Untuk Penugasan diperlukan, ubah nilai menjadi Ya. Untuk informasi selengkapnya tentang pengaturan ini, lihat Properti aplikasi.
5. Jika Anda telah membuat perubahan, pilih Simpan di bagian atas halaman.
6. Di panel kiri, pilih Pengguna dan grup. Pada halaman Pengguna dan grup , pilih + Tambahkan pengguna/grup untuk membuka halaman Tambahkan Penugasan .
7. Klik tautan di bawah Pengguna dan grup untuk membuka halaman Pengguna dan grup . Pilih pengguna dan grup yang ingin Anda tetapkan, lalu klik Pilih.
8. Setelah Anda selesai memilih pengguna dan grup, pilih Tetapkan.

Mengonfigurasi VPN P2S

Setelah Anda menyelesaikan langkah-langkah di bagian sebelumnya, lanjutkan mengonfigurasi VPN Gateway P2S untuk autentikasi ID Microsoft Entra – Aplikasi terdaftar Microsoft.

• Saat Anda mengonfigurasi setiap gateway, kaitkan ID Aplikasi audiens kustom yang sesuai.
• Unduh paket konfigurasi Klien Azure VPN untuk mengonfigurasi Klien Azure VPN untuk pengguna yang memiliki izin untuk menyambungkan ke gateway tertentu.

Mengonfigurasi Klien Azure VPN

Gunakan paket konfigurasi profil Klien Azure VPN untuk mengonfigurasi Klien Azure VPN di komputer setiap pengguna. Verifikasi bahwa profil klien sesuai dengan gateway VPN P2S tempat Anda ingin pengguna tersambung.

Langkah berikutnya

• Konfigurasikan P2S VPN Gateway untuk autentikasi ID Microsoft Entra – Aplikasi terdaftar Microsoft.
• Untuk menyambungkan ke jaringan virtual, Anda harus mengonfigurasi klien Azure VPN di komputer klien Anda. Lihat Konfigurasi klien VPN untuk koneksi P2S VPN.
• Untuk tanya jawab umum, lihat bagian Titik-ke-situs dari TANYA JAWAB UMUM VPN Gateway.