Share via

P2S VPN Gateway configureren voor Microsoft Entra ID-verificatie : handmatig geregistreerde app

  • Artikel

Dit artikel helpt u bij het configureren van een punt-naar-site-VPN-gateway (P2S) voor Microsoft Entra ID-verificatie en het handmatig registreren van de Azure VPN-client. Dit type configuratie wordt alleen ondersteund voor OpenVPN-protocolverbindingen.

U kunt dit type P2S VPN Gateway-configuratie ook maken met behulp van de stappen voor de nieuwe door Microsoft geregistreerde VPN Client-app. Als u de nieuwere versie gebruikt, worden de stappen om de Azure VPN-client te registreren bij uw Microsoft Entra-tenant overgeslagen. Het ondersteunt ook meer clientbesturingssystemen. Het is echter mogelijk dat bepaalde doelgroepwaarden nog niet worden ondersteund. Zie Voor meer informatie over punt-naar-site-protocollen en -verificatie over VPN Gateway punt-naar-site-VPN.

Vereisten

Voor de stappen in dit artikel is een Microsoft Entra-tenant vereist. Als u geen Microsoft Entra-tenant hebt, kunt u er een maken met behulp van de stappen in het artikel Een nieuwe tenant maken. Let op de volgende velden bij het maken van uw directory:

  • Organisatienaam
  • Initiële domeinnaam

Als u al een bestaande P2S-gateway hebt, kunt u met de stappen in dit artikel de gateway configureren voor Microsoft Entra ID-verificatie. U kunt ook een nieuwe VPN-gateway maken. De koppeling voor het maken van een nieuwe gateway is opgenomen in dit artikel.

Notitie

Microsoft Entra ID-verificatie wordt alleen ondersteund voor OpenVPN-protocolverbindingen® en vereist de Azure VPN-client.

Microsoft Entra-tenantgebruikers maken

  1. Maak twee accounts in de zojuist gemaakte Microsoft Entra-tenant. Zie Een nieuwe gebruiker toevoegen of verwijderen voor stappen.

    De rol Cloudtoepassingsbeheerder wordt gebruikt om toestemming te verlenen voor de registratie van de Azure VPN-app. Het gebruikersaccount kan worden gebruikt om OpenVPN-verificatie te testen.

  2. Wijs een van de accounts de rol Cloudtoepassingsbeheerder toe. Zie Beheerders- en niet-beheerdersrollen toewijzen aan gebruikers met Microsoft Entra-id voor stappen.

De Azure VPN-toepassing autoriseren

  1. Meld u aan bij Azure Portal als een gebruiker waaraan de rol Cloudtoepassingsbeheerder is toegewezen.

  2. Geef vervolgens beheerderstoestemming voor uw organisatie. Hierdoor kan de Azure VPN-toepassing zich aanmelden en gebruikersprofielen lezen. Kopieer en plak de URL die betrekking heeft op uw implementatielocatie in de adresbalk van uw browser:

    Openbaar

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent

    Microsoft Cloud Duitsland

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent

    Microsoft Azure beheerd door 21Vianet

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent

    Notitie

    Als u een Cloud Applicaion Administrator-account gebruikt dat niet systeemeigen is voor de Microsoft Entra-tenant om toestemming te geven, vervangt u 'algemeen' door de Tenant-id van Microsoft Entra in de URL. Mogelijk moet u ook 'algemeen' vervangen door uw tenant-id in bepaalde andere gevallen. Zie Uw Microsoft Entra-tenant-id vinden voor hulp bij het vinden van uw tenant-id van uw tenant.

  3. Selecteer het account met de rol Cloudtoepassingsbeheerder als u hierom wordt gevraagd.

  4. Selecteer Accepteren op de pagina Machtigingen die zijn aangevraagd.

  5. Ga naar Microsoft Entra-id. Klik in het linkerdeelvenster op Bedrijfstoepassingen. U ziet dat Azure VPN wordt vermeld.

    Schermopname van de bedrijfstoepassingspagina met Azure V P N vermeld.

De VPN-gateway configureren

Belangrijk

Azure Portal is bezig met het bijwerken van Azure Active Directory-velden naar Entra. Als u microsoft Entra-id ziet waarnaar wordt verwezen en u deze waarden nog niet ziet in de portal, kunt u Azure Active Directory-waarden selecteren.

  1. Zoek de tenant-id van de map die u wilt gebruiken voor verificatie. Deze wordt vermeld in de eigenschappensectie van de Active Directory-pagina. Zie Uw Microsoft Entra-tenant-id vinden voor hulp bij het vinden van uw tenant-id van uw tenant.

  2. Als u nog geen werkende punt-naar-site-omgeving hebt, volgt u de instructie om er een te maken. Zie Een punt-naar-site-VPN maken om een punt-naar-site-VPN-gateway te maken en configureren. Wanneer u een VPN-gateway maakt, wordt de Basic-SKU niet ondersteund voor OpenVPN.

  3. Ga naar de gateway van het virtuele netwerk. Klik in het linkerdeelvenster op Punt-naar-site-configuratie.

    Schermopname met instellingen voor tunneltype, verificatietype en Microsoft Entra-instellingen.

    Configureer de volgende waarden:

    • Adresgroep: clientadresgroep
    • Tunneltype: OpenVPN (SSL)
    • Verificatietype: Microsoft Entra-id

    Gebruik voor Microsoft Entra ID-waarden de volgende richtlijnen voor tenant-, doelgroep- en verlenerwaarden . Vervang {TenantID} door uw tenant-id, waarbij u ervoor zorgt dat u deze waarde verwijdert {} uit de voorbeelden.

    • Tenant: TenantID voor de Microsoft Entra-tenant. Voer de tenant-id in die overeenkomt met uw configuratie. Zorg ervoor dat de tenant-URL geen (backslash) aan het einde heeft \ . Slash is toegestaan.

      • Openbare Azure AD: https://login.microsoftonline.com/{TenantID}
      • Azure Government AD: https://login.microsoftonline.us/{TenantID}
      • Azure Germany AD: https://login-us.microsoftonline.de/{TenantID}
      • China 21Vianet AD: https://login.chinacloudapi.cn/{TenantID}

    • Doelgroep: De toepassings-id van de Microsoft Entra Enterprise-app van Azure VPN.

      • Openbaar in Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
      • Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
      • Azure Duitsland: 538ee9e6-310a-468d-afef-ea97365856a9
      • Microsoft Azure beheerd door 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa

    • Verlener: URL van de Secure Token-service. Voeg een schuine schuine streep toe aan het einde van de waarde van de verlener . Anders kan de verbinding mislukken. Voorbeeld:

      • https://sts.windows.net/{TenantID}/

  4. Zodra u klaar bent met het configureren van instellingen, klikt u boven aan de pagina op Opslaan .

Het configuratiepakket voor het Azure VPN-clientprofiel downloaden

In deze sectie genereert en downloadt u het configuratiepakket voor het Azure VPN-clientprofiel. Dit pakket bevat de instellingen die u kunt gebruiken om het Profiel van de Azure VPN-client op clientcomputers te configureren.

  1. Klik boven aan de pagina punt-naar-site-configuratie op VPN-client downloaden. Het duurt enkele minuten voordat het clientconfiguratiepakket wordt gegenereerd.

  2. Uw browser geeft aan dat een zip-bestand voor clientconfiguratie beschikbaar is. Deze heeft dezelfde naam als uw gateway.

  3. Pak het gedownloade zip-bestand uit.

  4. Blader naar de uitgepakte map 'AzureVPN'.

  5. Noteer de locatie van het bestand 'azurevpnconfig.xml'. De azurevpnconfig.xml bevat de instelling voor de VPN-verbinding. U kunt dit bestand ook distribueren naar alle gebruikers die verbinding moeten maken via e-mail of andere manieren. De gebruiker heeft geldige Microsoft Entra ID-referenties nodig om verbinding te maken.

Volgende stappen