Over gebruikersgroepen en IP-adresgroepen voor P2S-gebruikers-VPN's
U kunt P2S-gebruikers-VPN's configureren om IP-adressen van gebruikers uit specifieke adresgroepen toe te wijzen op basis van hun identiteit of verificatiereferenties door gebruikersgroepen te maken. In dit artikel worden de verschillende configuraties en parameters beschreven die de Virtual WAN P2S VPN-gateway gebruikt om gebruikersgroepen te bepalen en IP-adressen toe te wijzen. Zie Gebruikersgroepen en IP-adresgroepen configureren voor P2S-gebruikers-VPN's voor configuratiestappen.
In dit artikel worden de volgende concepten behandeld:
- Concepten voor serverconfiguratie
- Gebruikersgroepen
- Groepsleden
- Standaardbeleidsgroep
- Groepsprioriteit
- Beschikbare groepsinstellingen
- Gatewayconcepten
- Configuratievereisten en -beperkingen
- Gebruiksgevallen
Concepten voor serverconfiguratie
In de volgende secties worden de algemene termen en waarden beschreven die worden gebruikt voor serverconfiguratie.
Gebruikersgroepen (beleidsgroepen)
Een gebruikersgroep of beleidsgroep is een logische weergave van een groep gebruikers waaraan IP-adressen uit dezelfde adresgroep moeten worden toegewezen.
Groepsleden (beleidsleden)
Gebruikersgroepen bestaan uit leden. Leden komen niet overeen met afzonderlijke gebruikers, maar definiëren de criteria die worden gebruikt om te bepalen van welke groep een verbindende gebruiker deel uitmaakt. Eén groep kan meerdere leden hebben. Als een verbindende gebruiker voldoet aan de criteria die zijn opgegeven voor een van de leden van de groep, wordt de gebruiker beschouwd als onderdeel van die groep en kan een geschikt IP-adres worden toegewezen. De typen lidparameters die beschikbaar zijn, zijn afhankelijk van de verificatiemethoden die zijn opgegeven in de configuratie van de VPN-server. Zie de sectie Beschikbare groepsinstellingen van dit artikel voor een volledige lijst met beschikbare criteria.
Standaardgroep gebruiker/beleid
Voor elke P2S VPN-serverconfiguratie moet één groep als standaard worden geselecteerd. Gebruikers die referenties presenteren die niet overeenkomen met groepsinstellingen, worden beschouwd als onderdeel van de standaardgroep. Zodra een groep is gemaakt, kan de standaardinstelling van die groep niet meer worden gewijzigd.
Groepsprioriteit
Aan elke groep wordt ook een numerieke prioriteit toegewezen. Groepen met een lagere prioriteit worden eerst geëvalueerd. Dit betekent dat als een gebruiker referenties presenteert die overeenkomen met de instellingen van meerdere groepen, ze worden beschouwd als onderdeel van de groep met de laagste prioriteit. Als gebruiker A bijvoorbeeld een referentie presenteert die overeenkomt met de IT-groep (prioriteit 3) en Finance Group (prioriteit 4), wordt gebruiker A beschouwd als onderdeel van de IT-groep voor het toewijzen van IP-adressen.
Beschikbare groepsinstellingen
In de volgende sectie worden de verschillende parameters beschreven die kunnen worden gebruikt om te definiëren van welke groepen leden deel uitmaken. De beschikbare parameters variëren op basis van geselecteerde verificatiemethoden. De volgende tabel bevat een overzicht van de beschikbare instellingstypen en acceptabele waarden. Zie de sectie die overeenkomt met uw verificatietype voor meer informatie over elk type lidwaarde.
| Authentication type | Type lid | Ledenwaarden | Voorbeeld van lidwaarde |
|---|---|---|---|
| Microsoft Entra ID | AADGroupID | Object-id van Microsoft Entra-groep | 0cf484f2-238e-440b-8c73-7bf232b248dc |
| RADIUS | AzureRADIUSGroupID | Leverancierspecifieke kenmerkwaarde (hexadecimaal) (moet beginnen met 6ad1bd) | 6ad1bd23 |
| Certificaat | AzureCertificateID | Domeinnaam van het certificaat common name (CN=user@red.com) | rood |
Microsoft Entra-verificatie (alleen OpenVPN)
Gateways die gebruikmaken van Microsoft Entra-verificatie kunnen object-id's van Microsoft Entra-groepen gebruiken om te bepalen tot welke gebruikersgroep een gebruiker behoort. Als een gebruiker deel uitmaakt van meerdere Microsoft Entra-groepen, wordt deze beschouwd als onderdeel van de P2S VPN-gebruikersgroep met de laagste numerieke prioriteit.
Als u echter van plan bent gebruikers te hebben die extern zijn (gebruikers die geen deel uitmaken van het Microsoft Entra-domein dat is geconfigureerd op de VPN-gateway) verbinding maken met de punt-naar-site-VPN-gateway, moet u ervoor zorgen dat het gebruikerstype van de externe gebruiker Lid is en niet 'Gast'. Zorg er ook voor dat de naam van de gebruiker is ingesteld op het e-mailadres van de gebruiker. Als het gebruikerstype en de naam van de verbindende gebruiker niet juist zijn ingesteld zoals hierboven wordt beschreven of als u geen extern lid kunt instellen als lid van uw Microsoft Entra-domein, wordt die verbinding makende gebruiker toegewezen aan de standaardgroep en wordt een IP-adres uit de standaard-IP-adresgroep toegewezen.
U kunt ook bepalen of een gebruiker extern is door naar de 'User Principal Name' van de gebruiker te kijken. Externe gebruikers hebben #EXT in hun user principal name.
Azure Certificate (OpenVPN en IKEv2)
Gateways die gebruikmaken van verificatie op basis van certificaten, gebruiken de domeinnaam van de algemene namen van gebruikerscertificaten (CN) om te bepalen in welke groep een verbinding makende gebruiker zich bevindt. Algemene namen moeten een van de volgende indelingen hebben:
- domein/gebruikersnaam
- username@domain.com
Zorg ervoor dat het domein de invoer is als groepslid.
RADIUS-server (OpenVPN en IKEv2)
Gateways die gebruikmaken van VERIFICATIE op basis van RADIUS, gebruiken een nieuw leverancierspecifiek kenmerk (VSA) om VPN-gebruikersgroepen te bepalen. Wanneer RADIUS-verificatie is geconfigureerd op de P2S-gateway, fungeert de gateway als een NPS-proxy (Network Policy Server). Dit betekent dat de P2S VPN-gateway fungeert als een client voor het verifiëren van gebruikers met uw RADIUS-server met behulp van het RADIUS-protocol.
Nadat de RADIUS-server de referenties van de gebruiker heeft geverifieerd, kan de RADIUS-server worden geconfigureerd om een nieuw leverancierspecifiek kenmerk (VSA) te verzenden als onderdeel van Access-Accept-pakketten. De P2S VPN-gateway verwerkt de VSA in de Access-Accept-pakketten en wijst specifieke IP-adressen toe aan gebruikers op basis van de waarde van de VSA's.
Daarom moeten RADIUS-servers worden geconfigureerd voor het verzenden van een VSA met dezelfde waarde voor alle gebruikers die deel uitmaken van dezelfde groep.
Notitie
De waarde van de VSA moet een octet-hexadecimale tekenreeks zijn op de RADIUS-server en azure. Deze octettekenreeks moet beginnen met 6ad1bd. De laatste twee hexadecimale cijfers kunnen vrij worden geconfigureerd. 6ad1bd98 is bijvoorbeeld geldig, maar 6ad12323 en 6a1bd2 zijn niet geldig.
De nieuwe VSA is MS-Azure-Policy-ID.
De VSA MS-Azure-Policy-ID wordt door de RADIUS-server gebruikt om een id te verzenden die door P2S VPN-server wordt gebruikt om overeen te komen met een geverifieerd RADIUS-gebruikersbeleid dat is geconfigureerd aan de Azure-zijde. Dit beleid wordt gebruikt om de IP-/routeringsconfiguratie (toegewezen IP-adres) voor de gebruiker te selecteren.
De velden ms-Azure-Policy-id moeten als volgt worden ingesteld:
- Leveranciertype: een niet-ondertekend 8-bits geheel getal dat moet worden ingesteld op 0x41 (geheel getal: 65).
- Leverancierlengte: Een 8-bits geheel getal zonder teken dat moet worden ingesteld op de lengte van de octettekenreeks in de kenmerkspecifieke waarde plus 2.
- Kenmerkspecifieke waarde: een octettekenreeks met beleids-id die is geconfigureerd op de Punt-naar-site-VPN-server van Azure.
Zie RADIUS voor configuratie-informatie: NPS configureren voor leverancierspecifieke kenmerken.
Gatewayconcepten
Wanneer een Virtual WAN P2S VPN-gateway wordt toegewezen aan een VPN-serverconfiguratie die gebruikmaakt van gebruikers-/beleidsgroepen, kunt u meerdere configuraties voor P2S VPN-verbindingen maken op de gateway.
Elke verbindingsconfiguratie kan een of meer gebruikersgroepen voor vpn-serverconfiguratie bevatten. Elke verbindingsconfiguratie wordt vervolgens toegewezen aan een of meer IP-adresgroepen. Gebruikers die verbinding maken met deze gateway, krijgen een IP-adres toegewezen op basis van hun identiteit, referenties, standaardgroep en prioriteit.
In dit voorbeeld is voor de configuratie van de VPN-server de volgende groepen geconfigureerd:
| Standaardinstelling | Prioriteit | Groepsnaam | Authentication type | Lidwaarde |
|---|---|---|---|---|
| Ja | 0 | Engineering | Microsoft Entra ID | groupObjectId1 |
| Nee | 1 | Financiën | Microsoft Entra ID | groupObjectId2 |
| Nee | 2 | PM | Microsoft Entra ID | groupObjectId3 |
Deze VPN-serverconfiguratie kan worden toegewezen aan een P2S VPN-gateway in Virtual WAN met:
| Configuration | Groepen | Adresgroepen |
|---|---|---|
| Configuratie0 | Engineering, PM | x.x.x.x/y |
| Configuratie1 | Financiën | a.a.a.a.a/bb |
Het volgende resultaat is:
- Gebruikers die verbinding maken met deze P2S VPN-gateway, krijgen een adres van x.x.x.x.x/yy als ze deel uitmaken van de technische of PM Microsoft Entra-groepen.
- Gebruikers die deel uitmaken van de Microsoft Entra-groep Financiën krijgen IP-adressen van a.a.a.a.a/bb toegewezen.
- Omdat Engineering de standaardgroep is, wordt ervan uitgegaan dat gebruikers die geen deel uitmaken van een geconfigureerde groep, deel uitmaken van Engineering en een IP-adres van x.x.x.x/yy hebben toegewezen.
Aandachtspunten voor configuratie
In deze sectie vindt u een overzicht van de configuratievereisten en beperkingen voor gebruikersgroepen en IP-adresgroepen.
Het maximum aantal groepen waarnaar kan worden verwezen door één P2S VPN-gateway is 90. Het maximum aantal beleids-/groepsleden (criteria die worden gebruikt om te bepalen welke groep een verbindende gebruiker deel uitmaakt) in groepen die aan een gateway zijn toegewezen, is 390. Als een groep echter is toegewezen aan meerdere verbindingsconfiguraties op dezelfde gateway, worden deze groep en de leden ervan meerdere keren meegeteld bij de limieten. Als er bijvoorbeeld een beleidsgroep is met 10 leden die is toegewezen aan drie VPN-verbindingsconfiguraties op de gateway. Deze configuratie telt als drie groepen met 30 totale leden in plaats van één groep met 10 leden. Het totale aantal gelijktijdige gebruikers dat verbinding maakt met een gateway wordt beperkt door de gatewayschaaleenheid en het aantal IP-adressen dat is toegewezen aan elke gebruikersgroep en niet het aantal beleids-/groepsleden dat aan een gateway is gekoppeld.
Zodra een groep is gemaakt als onderdeel van een CONFIGURATIE van een VPN-server, kunnen de naam en de standaardinstelling van een groep niet worden gewijzigd.
Groepsnamen moeten uniek zijn.
Groepen met een lagere numerieke prioriteit worden verwerkt vóór groepen met een hogere numerieke prioriteit. Als een verbindende gebruiker lid is van meerdere groepen, beschouwt de gateway deze als lid van de groep met een lagere numerieke prioriteit voor het toewijzen van IP-adressen.
Groepen die worden gebruikt door bestaande punt-naar-site-VPN-gateways kunnen niet worden verwijderd.
U kunt de volgorde van de prioriteiten van uw groepen wijzigen door te klikken op de pijl-omhoog die overeenkomt met die groep.
Adresgroepen kunnen niet overlappen met adresgroepen die worden gebruikt in andere verbindingsconfiguraties (dezelfde of verschillende gateways) in hetzelfde virtuele WAN.
Adresgroepen kunnen ook niet overlappen met adresruimten van virtuele netwerken, adresruimten van virtuele hubs of on-premises adressen.
Gebruiksgevallen
Contoso corporation bestaat uit meerdere functionele afdelingen, zoals Financiën, Human Resources en Engineering. Contoso maakt gebruik van Azure Virtual WAN om externe werknemers (gebruikers) verbinding te laten maken met het virtuele WAN en toegang te krijgen tot resources die on-premises worden gehost of in een virtueel netwerk dat is verbonden met de virtuele WAN-hub.
Contoso heeft echter intern beveiligingsbeleid waarbij gebruikers van de afdeling Financiën alleen toegang hebben tot bepaalde databases en virtuele machines en gebruikers van Human Resources toegang hebben tot andere gevoelige toepassingen.
Contoso kan verschillende gebruikersgroepen configureren voor elk van hun functionele afdelingen. Dit zorgt ervoor dat gebruikers van elke afdeling IP-adressen krijgen toegewezen uit een vooraf gedefinieerde adresgroep op afdelingsniveau.
De netwerkbeheerder van Contoso kan vervolgens firewallregels, netwerkbeveiligingsgroepen (NSG's) of toegangsbeheerlijsten (ACL's) configureren om bepaalde gebruikers toegang tot resources toe te staan of te weigeren op basis van hun IP-adressen.
Volgende stappen
- Zie Gebruikersgroepen maken voor P2S User VPN om gebruikersgroepen te maken.