P2S VPN Gateway configureren voor Microsoft Entra ID-verificatie : handmatig geregistreerde app
Dit artikel helpt u bij het configureren van een punt-naar-site-VPN-gateway (P2S) voor Microsoft Entra ID-verificatie en het handmatig registreren van de Azure VPN-client. Dit type configuratie wordt alleen ondersteund voor OpenVPN-protocolverbindingen.
U kunt dit type P2S VPN Gateway-configuratie ook maken met behulp van de stappen voor de nieuwe door Microsoft geregistreerde VPN Client-app. Als u de nieuwere versie gebruikt, worden de stappen om de Azure VPN-client te registreren bij uw Microsoft Entra-tenant overgeslagen. Het ondersteunt ook meer clientbesturingssystemen. Niet alle doelgroepwaarden worden echter ondersteund. Zie Voor meer informatie over punt-naar-site-protocollen en -verificatie over VPN Gateway punt-naar-site-VPN. Zie Een aangepaste doelgroep maken of wijzigen voor informatie over het maken en wijzigen van aangepaste doelgroepen.
Notitie
Indien mogelijk raden we u aan de nieuwe door Microsoft geregistreerde VPN Client-app-instructies te gebruiken.
Vereisten
Voor de stappen in dit artikel is een Microsoft Entra-tenant vereist. Als u geen Microsoft Entra-tenant hebt, kunt u er een maken met behulp van de stappen in het artikel Een nieuwe tenant maken. Let op de volgende velden bij het maken van uw directory:
- Organisatienaam
- Initiële domeinnaam
Als u al een bestaande P2S-gateway hebt, kunt u met de stappen in dit artikel de gateway configureren voor Microsoft Entra ID-verificatie. U kunt ook een nieuwe VPN-gateway maken. De koppeling voor het maken van een nieuwe gateway is opgenomen in dit artikel.
Notitie
Microsoft Entra ID-verificatie wordt alleen ondersteund voor OpenVPN-protocolverbindingen® en vereist de Azure VPN-client.
Microsoft Entra-tenantgebruikers maken
Maak twee accounts in de zojuist gemaakte Microsoft Entra-tenant. Zie Een nieuwe gebruiker toevoegen of verwijderen voor stappen.
- Rol Van cloudtoepassingsbeheerder
- Gebruikersaccount
De rol Cloudtoepassingsbeheerder wordt gebruikt om toestemming te verlenen voor de registratie van de Azure VPN-app. Het gebruikersaccount kan worden gebruikt om OpenVPN-verificatie te testen.
Wijs een van de accounts de rol Cloudtoepassingsbeheerder toe. Zie Beheerders- en niet-beheerdersrollen toewijzen aan gebruikers met Microsoft Entra-id voor stappen.
De Azure VPN-toepassing autoriseren
Meld u aan bij Azure Portal als een gebruiker waaraan de rol Cloudtoepassingsbeheerder is toegewezen.
Geef vervolgens beheerderstoestemming voor uw organisatie. Hierdoor kan de Azure VPN-toepassing zich aanmelden en gebruikersprofielen lezen. Kopieer en plak de URL die betrekking heeft op uw implementatielocatie in de adresbalk van uw browser:
Openbaar
https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent
Azure Government
https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent
Microsoft Cloud Duitsland
https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent
Microsoft Azure beheerd door 21Vianet
https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
Notitie
Als u een Cloud Applicaion Administrator-account gebruikt dat niet systeemeigen is voor de Microsoft Entra-tenant om toestemming te geven, vervangt u 'algemeen' door de Tenant-id van Microsoft Entra in de URL. Mogelijk moet u ook 'algemeen' vervangen door uw tenant-id in bepaalde andere gevallen. Zie Uw Microsoft Entra-tenant-id vinden voor hulp bij het vinden van uw tenant-id van uw tenant.
Selecteer het account met de rol Cloudtoepassingsbeheerder als u hierom wordt gevraagd.
Selecteer Accepteren op de pagina Machtigingen die zijn aangevraagd.
Ga naar Microsoft Entra-id. Klik in het linkerdeelvenster op Bedrijfstoepassingen. U ziet dat Azure VPN wordt vermeld.
De VPN-gateway configureren
Belangrijk
Azure Portal is bezig met het bijwerken van Azure Active Directory-velden naar Entra. Als u microsoft Entra-id ziet waarnaar wordt verwezen en u deze waarden nog niet ziet in de portal, kunt u Azure Active Directory-waarden selecteren.
Zoek de tenant-id van de map die u wilt gebruiken voor verificatie. Deze wordt vermeld in de eigenschappensectie van de Active Directory-pagina. Zie Uw Microsoft Entra-tenant-id vinden voor hulp bij het vinden van uw tenant-id van uw tenant.
Als u nog geen werkende punt-naar-site-omgeving hebt, volgt u de instructie om er een te maken. Zie Een punt-naar-site-VPN maken om een punt-naar-site-VPN-gateway te maken en configureren. Wanneer u een VPN-gateway maakt, wordt de Basic-SKU niet ondersteund voor OpenVPN.
Ga naar de gateway van het virtuele netwerk. Klik in het linkerdeelvenster op Punt-naar-site-configuratie.
Configureer de volgende waarden:
- Adresgroep: clientadresgroep
- Tunneltype: OpenVPN (SSL)
- Verificatietype: Microsoft Entra-id
Gebruik voor Microsoft Entra ID-waarden de volgende richtlijnen voor tenant-, doelgroep- en verlenerwaarden . Vervang {TenantID} door uw tenant-id, waarbij u ervoor zorgt dat u deze waarde verwijdert {} uit de voorbeelden.
Tenant: TenantID voor de Microsoft Entra-tenant. Voer de tenant-id in die overeenkomt met uw configuratie. Zorg ervoor dat de tenant-URL geen (backslash) aan het einde heeft
\
. Slash is toegestaan.- Openbare Azure AD:
https://login.microsoftonline.com/{TenantID}
- Azure Government AD:
https://login.microsoftonline.us/{TenantID}
- Azure Germany AD:
https://login-us.microsoftonline.de/{TenantID}
- China 21Vianet AD:
https://login.chinacloudapi.cn/{TenantID}
- Openbare Azure AD:
Doelgroep: De toepassings-id van de Microsoft Entra Enterprise-app van Azure VPN.
- Openbaar in Azure:
41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure Government:
51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure Duitsland:
538ee9e6-310a-468d-afef-ea97365856a9
- Microsoft Azure beheerd door 21Vianet:
49f817b6-84ae-4cc0-928c-73f27289b3aa
- Openbaar in Azure:
Verlener: URL van de Secure Token-service. Voeg een schuine schuine streep toe aan het einde van de waarde van de verlener . Anders kan de verbinding mislukken. Voorbeeld:
https://sts.windows.net/{TenantID}/
Zodra u klaar bent met het configureren van instellingen, klikt u boven aan de pagina op Opslaan .
Het configuratiepakket voor het Azure VPN-clientprofiel downloaden
In deze sectie genereert en downloadt u het configuratiepakket voor het Azure VPN-clientprofiel. Dit pakket bevat de instellingen die u kunt gebruiken om het Profiel van de Azure VPN-client op clientcomputers te configureren.
Klik boven aan de pagina punt-naar-site-configuratie op VPN-client downloaden. Het duurt enkele minuten voordat het clientconfiguratiepakket wordt gegenereerd.
Uw browser geeft aan dat een zip-bestand voor clientconfiguratie beschikbaar is. Deze heeft dezelfde naam als uw gateway.
Pak het gedownloade zip-bestand uit.
Blader naar de uitgepakte map 'AzureVPN'.
Noteer de locatie van het bestand 'azurevpnconfig.xml'. De azurevpnconfig.xml bevat de instelling voor de VPN-verbinding. U kunt dit bestand ook distribueren naar alle gebruikers die verbinding moeten maken via e-mail of andere manieren. De gebruiker heeft geldige Microsoft Entra ID-referenties nodig om verbinding te maken.
Volgende stappen
- Als u verbinding wilt maken met uw virtuele netwerk, moet u de Azure VPN-client op uw clientcomputers configureren. Zie Een VPN-client configureren voor P2S VPN-verbindingen- Windows of een VPN-client configureren voor P2S VPN-verbindingen- macOS.
- Zie de sectie Punt-naar-site van de veelgestelde vragen over VPN Gateway voor veelgestelde vragen voor veelgestelde vragen.