Een P2S VPN-gateway configureren voor Microsoft Entra ID-verificatie

  • Artikel

Dit artikel helpt u bij het configureren van uw Microsoft Entra-tenant en punt-naar-site-VPN Gateway-instellingen (P2S) voor Microsoft Entra ID-verificatie. Zie Voor meer informatie over punt-naar-site-protocollen en -verificatie over VPN Gateway punt-naar-site-VPN. Als u wilt verifiëren met behulp van Microsoft Entra ID-verificatie, moet u het Type OpenVPN-tunnel opnemen in uw punt-naar-site-configuratie.

Notitie

Microsoft Entra-verificatie wordt alleen ondersteund voor OpenVPN-protocolverbindingen® en vereist de Azure VPN-client.

Vereisten

Voor de stappen in dit artikel is een Microsoft Entra-tenant vereist. Als u geen Microsoft Entra-tenant hebt, kunt u er een maken met behulp van de stappen in het artikel Een nieuwe tenant maken. Let op de volgende velden bij het maken van uw directory:

  • Organisatienaam
  • Initiële domeinnaam

Als u al een bestaande P2S-gateway hebt, kunt u met de stappen in dit artikel de gateway configureren voor Microsoft Entra ID-verificatie. U kunt ook een nieuwe VPN-gateway maken. De koppeling voor het maken van een nieuwe gateway is opgenomen in dit artikel.

Microsoft Entra-tenantgebruikers maken

  1. Maak twee accounts in de zojuist gemaakte Microsoft Entra-tenant. Zie Een nieuwe gebruiker toevoegen of verwijderen voor stappen.

    • Account van globale beheerder
    • Gebruikersaccount

    Het globale beheerdersaccount wordt gebruikt om toestemming te verlenen voor de registratie van de Azure VPN-app. Het gebruikersaccount kan worden gebruikt om OpenVPN-verificatie te testen.

  2. Wijs een van de accounts de rol globale beheerder toe. Zie Beheerders- en niet-beheerdersrollen toewijzen aan gebruikers met Microsoft Entra-id voor stappen.

De Azure VPN-toepassing autoriseren

  1. Meld u aan bij Azure Portal als een gebruiker waaraan de rol globale beheerder is toegewezen.

  2. Geef vervolgens beheerderstoestemming voor uw organisatie. Hierdoor kan de Azure VPN-toepassing zich aanmelden en gebruikersprofielen lezen. Kopieer en plak de URL die betrekking heeft op uw implementatielocatie in de adresbalk van uw browser:

    Openbaar

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent

    Microsoft Cloud Duitsland

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent

    Microsoft Azure beheerd door 21Vianet

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent

    Notitie

    Als u een globale beheerdersaccount gebruikt dat niet systeemeigen is voor de Microsoft Entra-tenant om toestemming te geven, vervangt u 'algemeen' door de Tenant-id van Microsoft Entra in de URL. Mogelijk moet u ook 'algemeen' vervangen door uw tenant-id in bepaalde andere gevallen. Zie Uw Microsoft Entra-tenant-id vinden voor hulp bij het vinden van uw tenant-id van uw tenant.

  3. Selecteer het account met de rol Globale beheerder als hierom wordt gevraagd.

  4. Selecteer Accepteren op de pagina Machtigingen die zijn aangevraagd.

  5. Ga naar Microsoft Entra-id. Klik in het linkerdeelvenster op Bedrijfstoepassingen. U ziet dat Azure VPN wordt vermeld.

    Schermopname van de bedrijfstoepassingspagina met Azure V P N vermeld.

De VPN-gateway configureren

Belangrijk

Azure Portal is bezig met het bijwerken van Azure Active Directory-velden naar Entra. Als u microsoft Entra-id ziet waarnaar wordt verwezen en u deze waarden nog niet ziet in de portal, kunt u Azure Active Directory-waarden selecteren.

  1. Zoek de tenant-id van de map die u wilt gebruiken voor verificatie. Deze wordt vermeld in de eigenschappensectie van de Active Directory-pagina. Zie Uw Microsoft Entra-tenant-id vinden voor hulp bij het vinden van uw tenant-id van uw tenant.

  2. Als u nog geen werkende punt-naar-site-omgeving hebt, volgt u de instructie om er een te maken. Zie Een punt-naar-site-VPN maken om een punt-naar-site-VPN-gateway te maken en configureren. Wanneer u een VPN-gateway maakt, wordt de Basic-SKU niet ondersteund voor OpenVPN.

  3. Ga naar de gateway van het virtuele netwerk. Klik in het linkerdeelvenster op Punt-naar-site-configuratie.

    Schermopname met instellingen voor tunneltype, verificatietype en Microsoft Entra-instellingen.

    Configureer de volgende waarden:

    • Adresgroep: clientadresgroep
    • Tunneltype: OpenVPN (SSL)
    • Verificatietype: Microsoft Entra-id

    Gebruik voor Microsoft Entra ID-waarden de volgende richtlijnen voor tenant-, doelgroep- en verlenerwaarden . Vervang {TenantID} door uw tenant-id, waarbij u ervoor zorgt dat u deze waarde verwijdert {} uit de voorbeelden.

    • Tenant: TenantID voor de Microsoft Entra-tenant. Voer de tenant-id in die overeenkomt met uw configuratie. Zorg ervoor dat de tenant-URL geen (backslash) aan het einde heeft \ . Slash is toegestaan.

      • Openbare Azure AD: https://login.microsoftonline.com/{TenantID}
      • Azure Government AD: https://login.microsoftonline.us/{TenantID}
      • Azure Germany AD: https://login-us.microsoftonline.de/{TenantID}
      • China 21Vianet AD: https://login.chinacloudapi.cn/{TenantID}

    • Doelgroep: De toepassings-id van de Microsoft Entra Enterprise-app van Azure VPN.

      • Openbaar in Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
      • Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
      • Azure Duitsland: 538ee9e6-310a-468d-afef-ea97365856a9
      • Microsoft Azure beheerd door 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa

    • Verlener: URL van de Secure Token-service. Voeg een schuine schuine streep toe aan het einde van de waarde van de verlener . Anders kan de verbinding mislukken. Voorbeeld:

      • https://sts.windows.net/{TenantID}/

  4. Zodra u klaar bent met het configureren van instellingen, klikt u boven aan de pagina op Opslaan .

Het configuratiepakket voor het Azure VPN-clientprofiel downloaden

In deze sectie genereert en downloadt u het configuratiepakket voor het Azure VPN-clientprofiel. Dit pakket bevat de instellingen die u kunt gebruiken om het Profiel van de Azure VPN-client op clientcomputers te configureren.

  1. Klik boven aan de pagina punt-naar-site-configuratie op VPN-client downloaden. Het duurt enkele minuten voordat het clientconfiguratiepakket wordt gegenereerd.

  2. Uw browser geeft aan dat een zip-bestand voor clientconfiguratie beschikbaar is. Deze heeft dezelfde naam als uw gateway.

  3. Pak het gedownloade zip-bestand uit.

  4. Blader naar de uitgepakte map 'AzureVPN'.

  5. Noteer de locatie van het bestand 'azurevpnconfig.xml'. De azurevpnconfig.xml bevat de instelling voor de VPN-verbinding. U kunt dit bestand ook distribueren naar alle gebruikers die verbinding moeten maken via e-mail of andere manieren. De gebruiker heeft geldige Microsoft Entra-referenties nodig om verbinding te maken. Zie configuratiebestanden voor Azure VPN-clientprofielen voor Microsoft Entra-verificatie voor meer informatie.

Volgende stappen