Share via

Creëer een Microsoft Entra-tenant voor P2S OpenVPN-protocolverbindingen

  • Artikel

Wanneer u verbinding maakt met uw VNet, kunt u verificatie op basis van certificaten of RADIUS-verificatie gebruiken. Wanneer u echter het Open VPN-protocol gebruikt, kunt u ook Microsoft Entra-verificatie gebruiken. Als u wilt dat verschillende gebruikers verbinding kunnen maken met verschillende gateways, kunt u meerdere apps registreren in AD en deze koppelen aan verschillende gateways.

Dit artikel helpt u bij het instellen van een Microsoft Entra-tenant voor P2S OpenVPN-verificatie en het maken en registreren van meerdere apps in Microsoft Entra ID om verschillende toegang voor verschillende gebruikers en groepen toe te staan.

Notitie

Microsoft Entra-verificatie wordt alleen ondersteund voor OpenVPN-protocolverbindingen®.

1. De Microsoft Entra-tenant maken

Maak een Microsoft Entra-tenant met behulp van de stappen in het artikel Een nieuwe tenant maken:

  • Organisatienaam

  • Initiële domeinnaam

    Voorbeeld:

    New Microsoft Entra tenant

2. Tenantgebruikers maken

In deze stap maakt u twee Microsoft Entra-tenantgebruikers: Één globaal Beheer-account en één hoofdgebruikersaccount. Het hoofdgebruikersaccount wordt gebruikt als uw hoofdaccount voor insluiten (serviceaccount). Wanneer u een Microsoft Entra-tenantgebruikersaccount maakt, past u de directoryrol aan voor het type gebruiker dat u wilt maken. Gebruik de stappen in dit artikel om ten minste twee gebruikers te maken voor uw Microsoft Entra-tenant. Zorg ervoor dat u de directoryrol wijzigt om de accounttypen te maken:

  • Globale beheerder
  • User

3. Registreer de VPN-client

Registreer de VPN-client in de Microsoft Entra-tenant.

  1. Zoek de map-id van de map die u wilt gebruiken voor verificatie. Deze wordt vermeld in de eigenschappensectie van de Active Directory-pagina.

    Directory ID

  2. Kopieer de Map-id.

  3. Meld u aan bij Azure Portal als een gebruiker waaraan de rol globale beheerder is toegewezen.

  4. Geef vervolgens beheerderstoestemming. Kopieer en plak de URL die betrekking heeft op uw implementatielocatie in de adresbalk van uw browser:

    Openbaar

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent

    Microsoft Cloud Duitsland

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent

    Microsoft Azure beheerd door 21Vianet

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent

Notitie

Als u een globale beheerdersaccount gebruikt dat niet systeemeigen is voor de Microsoft Entra-tenant om toestemming te geven, vervangt u 'algemeen' door de Microsoft Entra-map-id in de URL. Mogelijk moet u ook 'common' vervangen door uw directory-id in bepaalde andere gevallen.

  1. Selecteer het globale Beheer-account als u hierom wordt gevraagd.

    Directory ID 2

  2. Selecteer Accepteren om machtigingen aan de app te verlenen op de pagina Aangevraagde machtigingen.

  3. Onder uw Microsoft Entra-id in Bedrijfstoepassingen ziet u dat Azure VPN wordt vermeld.

    Azure VPN

4. Aanvullende toepassingen registreren

In deze stap registreert u extra toepassingen voor verschillende gebruikers en groepen.

  1. Klik onder uw Microsoft Entra-id op App-registraties en vervolgens op + Nieuwe registratie.

    Azure VPN 2

  2. Voer op de pagina Een toepassing registreren de naam in. Selecteer de gewenste ondersteunde accounttypen en klik vervolgens op Registreren.

    Azure VPN 3

  3. Zodra de nieuwe app is geregistreerd, klikt u op Een API beschikbaar maken onder de app-blade.

  4. Klik op + Een bereik toevoegen.

  5. Laat de standaard-URI voor de toepassings-id staan. Klik op Opslaan en doorgaan.

    Azure VPN 4

  6. Vul de vereiste velden in en zorg ervoor dat Status is ingeschakeld. Klik op Bereik toevoegen.

    Azure VPN 5

  7. Klik op Een API beschikbaar maken en vervolgens op Een clienttoepassing toevoegen. Voer voor client-id de volgende waarden in, afhankelijk van de cloud:

    • Voer 41b23e61-6c1e-4545-b367-cd054e0ed4b4 in voor Azure Public
    • Voer 51bb15d4-3a4f-4ebf-9dca-40096fe32426 in voor Azure Government
    • Voer 538ee9e6-310a-468d-afef-ea97365856a9 in voor Azure Duitsland
    • Voer 49f817b6-84ae-4cc0-928c-73f27289b3aa in voor Azure China 21Vianet

  8. Klik op Toepassing toevoegen.

    Azure VPN 6

  9. Kopieer de toepassings-id (client) op de pagina Overzicht . U hebt deze informatie nodig om uw VPN-gateway(s) te configureren.

    Azure VPN 7

  10. Herhaal de stappen in deze sectie Aanvullende toepassingen registreren om zoveel toepassingen te maken die nodig zijn voor uw beveiligingsvereiste. Elke toepassing wordt gekoppeld aan een VPN-gateway en kan een andere set gebruikers hebben. Er kan slechts één toepassing worden gekoppeld aan een gateway.

5. Gebruikers toewijzen aan toepassingen

Wijs de gebruikers toe aan uw toepassingen.

  1. Selecteer onder Microsoft Entra ID -> Bedrijfstoepassingen de zojuist geregistreerde toepassing en klik op Eigenschappen. Zorg ervoor dat de gebruikerstoewijzing is vereist? is ingesteld op Ja. Klik op Opslaan.

    Azure VPN 8

  2. Klik op de app-pagina op Gebruikers en groepen en klik vervolgens op +Gebruiker toevoegen.

    Azure VPN 9

  3. Klik onder Toewijzing toevoegen op Gebruikers en groepen. Selecteer de gebruikers waartoe u toegang wilt hebben tot deze VPN-toepassing. Klik op Selecteren.

    Azure VPN 10

6. Een nieuwe P2S-configuratie maken

Een P2S-configuratie definieert de parameters om verbinding te maken met externe clients.

  1. Stel de volgende variabelen in en vervang zo nodig waarden voor uw omgeving.

    $aadAudience = "00000000-abcd-abcd-abcd-999999999999"
$aadIssuer = "https://sts.windows.net/00000000-abcd-abcd-abcd-999999999999/"
$aadTenant = "https://login.microsoftonline.com/00000000-abcd-abcd-abcd-999999999999"

  2. Voer de volgende opdrachten uit om de configuratie te maken:

    $aadConfig = New-AzVpnServerConfiguration -ResourceGroupName <ResourceGroup> -Name newAADConfig -VpnProtocol OpenVPN -VpnAuthenticationType AAD -AadTenant $aadTenant -AadIssuer $aadIssuer -AadAudience $aadAudience -Location westcentralus

    Notitie

    Gebruik de toepassings-id van de Azure VPN-client niet in de bovenstaande opdrachten: hiermee krijgen alle gebruikers toegang tot de gateway. Gebruik de id van de toepassingen die u hebt geregistreerd.

7. Hubtoewijzing bewerken

  1. Navigeer naar de blade Hubs onder het virtuele WAN.

  2. Selecteer de hub waaraan u de vpn-serverconfiguratie wilt koppelen en klik op het beletselteken (...).

    Screenshot shows Edit virtual hub selected from the menu.

  3. Klik op Virtuele hub bewerken.

  4. Schakel het selectievakje Punt-naar-site-gateway opnemen in en kies de gewenste gatewayschaaleenheid .

    Screenshot shows the Edit virtual hub dialog box where you can select your Gateway scale unit.

  5. Voer de adresgroep in van waaruit de VPN-clients IP-adressen worden toegewezen.

  6. Klik op Bevestigen.

  7. De bewerking kan dertig minuten duren.

8. VPN-profiel downloaden

Gebruik het VPN-profiel om uw clients te configureren.

  1. Klik op de pagina voor uw virtuele WAN op VPN-configuraties van gebruikers.

  2. Klik boven aan de pagina op VPN-configuratie van gebruiker downloaden.

  3. Wanneer het bestand gereed is, klikt u op de koppeling om het te downloaden.

  4. Gebruik het profielbestand om de VPN-clients te configureren.

  5. Pak het gedownloade zip-bestand uit.

  6. Blader naar de uitgepakte map 'AzureVPN'.

  7. Noteer de locatie van het bestand 'azurevpnconfig.xml'. De azurevpnconfig.xml bevat de instelling voor de VPN-verbinding en kan rechtstreeks worden geïmporteerd in de Azure VPN-clienttoepassing. U kunt dit bestand ook distribueren naar alle gebruikers die verbinding moeten maken via e-mail of andere manieren. De gebruiker heeft geldige Microsoft Entra-referenties nodig om verbinding te maken.

9. Gebruikers-VPN-clients configureren

Als u verbinding wilt maken, moet u de Azure VPN-client downloaden en het VPN-clientprofiel importeren dat in de vorige stappen is gedownload op elke computer die verbinding wil maken met het VNet.

Notitie

Microsoft Entra-verificatie wordt alleen ondersteund voor OpenVPN-protocolverbindingen®.

De Azure VPN-client downloaden

Gebruik deze koppeling om de Azure VPN-client te downloaden.

Een clientprofiel importeren

  1. Selecteer Importeren op de pagina.

    Screenshot shows Import selected from the plus menu.

  2. Blader naar het xml-profielbestand en selecteer het. Selecteer Openen terwijl het bestand is geselecteerd.

    Screenshot shows an Open dialog box where you can select a file.

  3. Geef de naam van het profiel op en selecteer Opslaan.

    Screenshot shows the Connection Name added and the Save button selected.

  4. Selecteer Verbinding maken om verbinding te maken met het VPN.

    Screenshot shows the Connect button for the for the connection you just created.

  5. Zodra de verbinding is gemaakt, wordt het pictogram groen en zegt Verbinding maken ed.

    Screenshot shows the connection in a Connected status with the option to disconnect.

Een clientprofiel verwijderen

  1. Selecteer het beletselteken (...) naast het clientprofiel dat u wilt verwijderen. Selecteer vervolgens Verwijderen.

    Screenshot shows Remove selected from the menu.

  2. Selecteer Verwijderen om te verwijderen.

    Screenshot shows a confirmation dialog box with the option to Remove or Cancel.

Verbindingsproblemen diagnosticeren

  1. U kunt het hulpprogramma Diagnose gebruiken om verbindingsproblemen vast te stellen. Selecteer het beletselteken (...) naast de VPN-verbinding die u wilt diagnosticeren om het menu weer te geven. Selecteer Vervolgens Diagnose.

    Screenshot shows Diagnose selected from the menu.

  2. Selecteer Op de pagina Verbinding maken ionEigenschappen de optie Diagnose uitvoeren.

    Screenshot shows the Run Diagnosis button for a connection.

  3. Meld u aan met uw referenties.

    diagnose 3

  4. Bekijk de diagnoseresultaten.

    Screenshot shows the Run Diagnosis button for a connection.

  5. Meld u aan met uw referenties.

    Screenshot shows the Sign in dialog box for this action.

  6. Bekijk de diagnoseresultaten.

    Screenshot shows the results of the diagnosis.

10. Uw virtuele WAN weergeven

  1. Navigeer naar uw virtuele WAN.

  2. Op de pagina Overzicht vertegenwoordigt elk punt op de kaart een hub.

  3. In de sectie Hubs en verbindingen vindt u informatie over de hubstatus, site, regio, VPN-verbindingsstatus en verzonden en ontvangen bytes.

Resources opschonen

U kunt de opdracht Remove-AzureRmResourceGroup gebruiken om de resourcegroep en alle resources die deze bevat te verwijderen, wanneer u deze niet meer nodig hebt. Vervangen 'myResourceGroup' door de naam van uw resourcegroep en voer de volgende PowerShell-opdracht uit:

Remove-AzureRmResourceGroup -Name myResourceGroup -Force

Volgende stappen

Zie voor meer informatie over Virtual WAN de pagina Overzicht van Virtual WAN.