Delen via

P2S VPN Gateway configureren voor Verificatie via Microsoft Entra-id : door Microsoft geregistreerde app

  • Artikel

Dit artikel helpt u bij het configureren van uw punt-naar-site-VPN-gateway (P2S) voor Microsoft Entra ID-verificatie met behulp van de nieuwe door Microsoft geregistreerde Azure VPN-client-app-id.

Notitie

De stappen in dit artikel zijn van toepassing op Microsoft Entra ID-verificatie met behulp van de nieuwe door Microsoft geregistreerde Azure VPN-client-app-id en de bijbehorende doelgroepwaarden. Dit artikel is niet van toepassing op de oudere, handmatig geregistreerde Azure VPN Client-app voor uw tenant. Zie P2S configureren met behulp van handmatig geregistreerde VPN-client voor de handmatig geregistreerde Azure VPN-client.

VPN Gateway ondersteunt nu een nieuwe door Microsoft geregistreerde app-id en bijbehorende doelgroepwaarden voor de nieuwste versies van de Azure VPN-client. Wanneer u een P2S VPN-gateway configureert met behulp van de nieuwe doelgroepwaarden, slaat u het handmatige registratieproces van de Azure VPN-client-app voor uw Microsoft Entra-tenant over. De app-id is al gemaakt en uw tenant kan deze automatisch gebruiken zonder extra registratiestappen. Dit proces is veiliger dan het handmatig registreren van de Azure VPN-client, omdat u de app niet hoeft te autoriseren of machtigingen toewijst via de rol globale beheerder.

Voorheen moest u de Azure VPN Client-app handmatig registreren (integreren) met uw Microsoft Entra-tenant. Als u de client-app registreert, wordt een app-id gemaakt die de identiteit van de Azure VPN-clienttoepassing vertegenwoordigt. Hiervoor is autorisatie vereist met behulp van de rol Globale beheerder. Zie Hoe en waarom toepassingen worden toegevoegd aan Microsoft Entra ID voor meer inzicht in het verschil tussen de typen toepassingsobjecten.

Indien mogelijk raden we u aan nieuwe P2S-gateways te configureren met behulp van de door Microsoft geregistreerde Azure VPN-client-app-id en de bijbehorende doelgroepwaarden, in plaats van de Azure VPN-client-app handmatig te registreren bij uw tenant. Als u een eerder geconfigureerde Azure VPN-gateway hebt die gebruikmaakt van Microsoft Entra ID-verificatie, kunt u de gateway en clients bijwerken om te profiteren van de nieuwe door Microsoft geregistreerde app-id. Het bijwerken van de P2S-gateway met de nieuwe doelgroepwaarde is vereist als u wilt dat Linux-clients verbinding maken. De Azure VPN-client voor Linux is niet achterwaarts compatibel met de oudere doelgroepwaarden.

Als u een bestaande P2S-gateway hebt die u wilt bijwerken om een nieuwe doelgroepwaarde te gebruiken, raadpleegt u Doelgroep wijzigen voor een P2S VPN-gateway. Zie Een aangepaste doelgroep-app-id maken voor P2S VPN als u een aangepaste doelgroepwaarde wilt maken of wijzigen. Als u de toegang tot P2S wilt configureren of beperken op basis van gebruikers en groepen, raadpleegt u Scenario: P2S VPN-toegang configureren op basis van gebruikers en groepen.

Overwegingen en beperkingen

  • Een P2S VPN gateway kan slechts één doelgroepwaarde ondersteunen. Het biedt geen ondersteuning voor meerdere doelgroepwaarden tegelijk.

  • Op dit moment biedt de nieuwere door Microsoft geregistreerde app-id geen ondersteuning voor zoveel doelgroepwaarden als de oudere, handmatig geregistreerde app. Als u een doelgroepwaarde nodig hebt voor iets anders dan Openbaar of Aangepast van Azure, gebruikt u de oudere handmatig geregistreerde methode en waarden.

  • De Azure VPN Client voor Linux is niet compatibel met eerdere versies met P2S-gateways die zijn geconfigureerd voor het gebruik van de oudere doelgroepwaarden die overeenkomen met de handmatig geregistreerde app. De Azure VPN Client voor Linux biedt ondersteuning voor aangepaste doelgroepwaarden.

  • Hoewel het mogelijk is dat de Azure VPN-client voor Linux kan werken in andere Linux-distributies en -releases, wordt de Azure VPN-client voor Linux alleen ondersteund in de volgende releases:

    • Ubuntu 20.04
    • Ubuntu 22.04

  • De Azure VPN-client voor macOS en Windows is achterwaarts compatibel met P2S-gateways die zijn geconfigureerd voor het gebruik van de oudere doelgroepwaarden die overeenkomen met de handmatig geregistreerde app. U kunt ook aangepaste doelgroepwaarden voor deze clients gebruiken.

Waarden voor doelgroep van Azure VPN-client

In de volgende tabel ziet u de versies van de Azure VPN-client die worden ondersteund voor elke app-id en de bijbehorende beschikbare doelgroepwaarden.

App-id Ondersteunde doelgroepwaarden Ondersteunde clients
Microsoft-geregistreerd - Openbaar in Azure: c632b3df-fb67-4d84-bdcf-b95ad541b5c8 -Linux
-Ramen
- macOS
Handmatig geregistreerd - Openbaar in Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure Duitsland: 538ee9e6-310a-468d-afef-ea97365856a9
- Microsoft Azure beheerd door 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa		 -Ramen
- macOS
Aanpassen <custom-app-id> -Linux
-Ramen
- macOS

Punt-naar-site-werkstroom

Voor het configureren van een P2S-verbinding met behulp van Microsoft Entra ID-verificatie is een reeks stappen vereist.

In dit artikel worden de volgende onderwerpen besproken:

  1. Controleer uw tenant.
  2. Configureer de VPN-gateway met de juiste vereiste instellingen.
  3. Genereer en download het configuratiepakket voor de VPN-client.

De artikelen in de sectie Volgende stappen helpen u bij het volgende:

  1. Download de Azure VPN-client op de clientcomputer.
  2. Configureer de client met behulp van de instellingen van het configuratiepakket van de VPN-client.
  3. Verbinding maken.

Vereisten

In dit artikel wordt ervan uitgegaan dat de volgende vereisten zijn:

  • Een VPN-gateway

    • Bepaalde gatewayopties zijn niet compatibel met P2S VPN-gateways die gebruikmaken van Microsoft Entra ID-verificatie. De VPN-gateway kan de Basic-SKU of een op beleid gebaseerd VPN-type niet gebruiken. Zie Over gateway-SKU's voor meer informatie over gateway-SKU's. Zie VPN Gateway-instellingen voor meer informatie over VPN-typen.

    • Als u nog geen werkende VPN-gateway hebt die compatibel is met Microsoft Entra ID-verificatie, raadpleegt u Een VPN-gateway maken en beheren - Azure Portal. Maak een compatibele VPN-gateway en ga vervolgens terug naar dit artikel om P2S-instellingen te configureren.

  • Een Microsoft Entra-tenant

De VPN-clientadrespool toevoegen

De clientadrespool bestaat uit een privé-IP-adresbereik dat u opgeeft. De clients die verbinding maken via een punt-naar-site-VPN ontvangen dynamisch een IP-adres uit dit bereik. Gebruik een privé-IP-adresbereik dat niet overlapt met de on-premises locatie waaruit u verbinding maakt of het VNet waarmee u verbinding wilt maken. Als u meerdere protocollen configureert en SSTP een van de protocollen is, wordt de geconfigureerde adresgroep gelijk verdeeld tussen de geconfigureerde protocollen.

  1. Ga in Azure Portal naar uw VPN-gateway.

  2. Selecteer op de pagina voor uw gateway in het linkerdeelvenster punt-naar-site-configuratie.

  3. Klik op Nu configureren om de configuratiepagina te openen.

    Schermopname van de pagina punt-naar-site-configuratie - adresgroep.

  4. Op de pagina Punt-naar-site-configuratie kunt u in het vak Adresgroep het bereik met privé-IP-adressen toevoegen dat u wilt gebruiken. VPN-clients ontvangen dynamisch een IP-adres uit het bereik dat u opgeeft. Het minimale subnetmasker is 29 bits voor actief/passief en 28 bits voor actieve/actieve configuratie.

  5. Ga door naar de volgende sectie om meer instellingen te configureren.

Tunneltype en verificatie configureren

Belangrijk

Azure Portal is bezig met het bijwerken van Azure Active Directory-velden naar Entra. Als u microsoft Entra-id ziet waarnaar wordt verwezen en u deze waarden nog niet ziet in de portal, kunt u Azure Active Directory-waarden selecteren.

  1. Zoek de tenant-id van de map die u wilt gebruiken voor verificatie. Zie Uw Microsoft Entra-tenant-id vinden voor hulp bij het vinden van uw tenant-id van uw tenant.

  2. Configureer tunneltype en verificatiewaarden.

    Schermopname met instellingen voor tunneltype, verificatietype en Microsoft Entra ID-instellingen.

    Configureer de volgende waarden:

    • Adresgroep: clientadresgroep
    • Tunneltype: OpenVPN (SSL)
    • Verificatietype: Microsoft Entra-id

    Gebruik voor Microsoft Entra ID-waarden de volgende richtlijnen voor tenant-, doelgroep- en verlenerwaarden . Vervang {Microsoft ID Entra Tenant ID} door uw tenant-id, waarbij u ervoor zorgt dat u deze waarde verwijdert {} uit de voorbeelden.

    • Tenant: TenantID voor de Microsoft Entra ID-tenant. Voer de tenant-id in die overeenkomt met uw configuratie. Zorg ervoor dat de tenant-URL geen (backslash) aan het einde heeft \ . Slash is toegestaan.

      • Openbaar in Azure: https://login.microsoftonline.com/{Microsoft ID Entra Tenant ID}

    • Doelgroep: de bijbehorende waarde voor de door Microsoft geregistreerde Azure VPN-client-app-id. Aangepaste doelgroep wordt ook ondersteund voor dit veld.

      • Openbaar in Azure: c632b3df-fb67-4d84-bdcf-b95ad541b5c8

    • Verlener: URL van de Secure Token-service. Voeg een schuine schuine streep toe aan het einde van de waarde van de verlener . Anders kan de verbinding mislukken. Voorbeeld:

      • https://sts.windows.net/{Microsoft ID Entra Tenant ID}/

  3. U hoeft niet te klikken op Beheerderstoestemming verlenen voor de Azure VPN-clienttoepassing. Deze koppeling is alleen bedoeld voor handmatig geregistreerde VPN-clients die gebruikmaken van de oudere doelgroepwaarden. Er wordt een pagina geopend in Azure Portal.

  4. Zodra u klaar bent met het configureren van instellingen, klikt u boven aan de pagina op Opslaan .

Het configuratiepakket voor het VPN-clientprofiel downloaden

In deze sectie genereert en downloadt u het configuratiepakket voor het Azure VPN-clientprofiel. Dit pakket bevat de instellingen die u kunt gebruiken om het Azure VPN-clientprofiel op clientcomputers te configureren.

  1. Klik boven aan de pagina punt-naar-site-configuratie op VPN-client downloaden. Het duurt enkele minuten voordat het clientconfiguratiepakket wordt gegenereerd.

  2. Uw browser geeft aan dat een zip-bestand voor clientconfiguratie beschikbaar is. Deze heeft dezelfde naam als uw gateway.

  3. Pak het gedownloade zip-bestand uit.

  4. Blader naar de uitgepakte map 'AzureVPN'.

  5. Noteer de locatie van het bestand 'azurevpnconfig.xml'. De azurevpnconfig.xml bevat de instelling voor de VPN-verbinding. U kunt dit bestand ook distribueren naar alle gebruikers die verbinding moeten maken via e-mail of andere manieren. De gebruiker heeft geldige Microsoft Entra ID-referenties nodig om verbinding te maken.

De Azure VPN-client configureren

Vervolgens bekijkt u het profielconfiguratiepakket, configureert u de Azure VPN-client voor de clientcomputers en maakt u verbinding met Azure. Zie de artikelen in de sectie Volgende stappen.

Volgende stappen

Configureer de Azure VPN-client.