Scenario: P2S-toegang configureren op basis van gebruikers en groepen - Microsoft Entra ID-verificatie

Dit artikel begeleidt u door een scenario voor het configureren van toegang op basis van gebruikers en groepen voor punt-naar-site-VPN-verbindingen (P2S) die gebruikmaken van Microsoft Entra ID-verificatie. In dit scenario configureert u dit type toegang met behulp van meerdere aangepaste doelgroep-app-id's met opgegeven machtigingen en meerdere P2S VPN-gateways. Zie Over punt-naar-site-VPN voor meer informatie over P2S-protocollen en -verificatie.

In dit scenario hebben gebruikers verschillende toegang op basis van machtigingen om verbinding te maken met specifieke P2S VPN-gateways. Op hoog niveau is de werkstroom als volgt:

1. Maak een aangepaste app voor elke P2S VPN-gateway die u wilt configureren voor P2S VPN met Microsoft Entra ID-verificatie. Noteer de aangepaste app-id.
2. Voeg de Azure VPN-clienttoepassing toe aan de aangepaste app-configuratie.
3. Wijs gebruikers- en groepsmachtigingen per aangepaste app toe.
4. Wanneer u uw gateway configureert voor P2S VPN Microsoft Entra ID-verificatie, geeft u de Microsoft Entra ID-tenant en de aangepaste app-id op die is gekoppeld aan de gebruikers die u wilt toestaan om verbinding te maken via die gateway.
5. Het Azure VPN-clientprofiel op de computer van de client wordt geconfigureerd met behulp van de instellingen van de P2S VPN-gateway waarmee de gebruiker machtigingen heeft om verbinding te maken.
6. Wanneer een gebruiker verbinding maakt, wordt deze geverifieerd en kan deze alleen verbinding maken met de P2S VPN-gateway waarvoor het account machtigingen heeft.

Overwegingen:

• U kunt dit type gedetailleerde toegang niet maken als u slechts één VPN-gateway hebt.
• Microsoft Entra ID-verificatie wordt alleen ondersteund voor OpenVPN-protocolverbindingen® en vereist de Azure VPN-client. *Zorg ervoor dat elke Azure VPN-client met de juiste configuratie-instellingen voor het clientprofielpakket wordt geconfigureerd om ervoor te zorgen dat de gebruiker verbinding maakt met de bijbehorende gateway waarvoor ze machtigingen hebben.
• Wanneer u de configuratiestappen in deze oefening gebruikt, is het misschien het eenvoudigst om de stappen voor de eerste aangepaste app-id en gateway helemaal door te voeren en vervolgens te herhalen voor elke volgende aangepaste app-id en gateway.

Vereisten

• Voor dit scenario is een Microsoft Entra-tenant vereist. Als u nog geen tenant hebt, maakt u een nieuwe tenant in Microsoft Entra-id. Noteer de tenant-id. Deze waarde is nodig wanneer u uw P2S VPN-gateway configureert voor Microsoft Entra ID-verificatie.

• Voor dit scenario zijn meerdere VPN-gateways vereist. U kunt slechts één aangepaste app-id per gateway toewijzen.

  • Als u nog geen twee werkende VPN-gateways hebt die compatibel zijn met Microsoft Entra ID-verificatie, raadpleegt u Een VPN-gateway maken en beheren - Azure Portal om uw VPN-gateways te maken.
  • Sommige gatewayopties zijn niet compatibel met P2S VPN-gateways die gebruikmaken van Microsoft Entra ID-verificatie. Basis-SKU en op beleid gebaseerde VPN-typen worden niet ondersteund. Zie Over gateway-SKU's voor meer informatie over gateway-SKU's. Zie VPN Gateway-instellingen voor meer informatie over VPN-typen.

Een toepassing registreren

Als u een aangepaste waarde voor de doelgroep-app-id wilt maken, die wordt opgegeven wanneer u uw VPN-gateway configureert, moet u een toepassing registreren. Een toepassing registreren. Zie Een toepassing registreren voor stappen.

• Het veld Naam is gebruikersgericht. Gebruik iets intuïtiefs dat de gebruikers of groepen beschrijft die verbinding maken via deze aangepaste toepassing.
• Gebruik voor de rest van de instellingen de instellingen die worden weergegeven in het artikel.

Een bereik toevoegen

Voeg een bereik toe. Het toevoegen van een bereik maakt deel uit van de reeks voor het configureren van machtigingen voor gebruikers en groepen. Zie Een API beschikbaar maken en een bereik toevoegen voor stappen. Later wijst u gebruikers- en groepsmachtigingen toe aan dit bereik.

• Gebruik iets intuïtiefs voor het veld Bereiknaam , zoals Marketing-VPN-Users. Vul indien nodig de rest van de velden in.
• Selecteer Inschakelen bij Status.

De Azure VPN-clienttoepassing toevoegen

Voeg de client-id van de Azure VPN-clienttoepassing toe en geef het geautoriseerde bereik op. Wanneer u de toepassing toevoegt, wordt u aangeraden de door Microsoft geregistreerde Azure VPN Client-app-id voor Azure Public te gebruiken, c632b3df-fb67-4d84-bdcf-b95ad541b5c8 indien mogelijk. Deze app-waarde heeft globale toestemming, wat betekent dat u deze niet handmatig hoeft te registreren. Zie De Azure VPN-clienttoepassing toevoegen voor stappen.

Nadat u de Azure VPN-clienttoepassing hebt toegevoegd, gaat u naar de pagina Overzicht en kopieert u de toepassings-id (client) en slaat u deze op. U hebt deze informatie nodig om uw P2S VPN-gateway te configureren.

Gebruikers en groepen toewijzen

Wijs machtigingen toe aan de gebruikers en/of groepen die verbinding maken met de gateway. Als u een groep opgeeft, moet de gebruiker een direct lid van de groep zijn. Geneste groepen worden niet ondersteund.

1. Ga naar uw Microsoft Entra-id en selecteer Bedrijfstoepassingen.
2. Zoek in de lijst de toepassing die u hebt geregistreerd en klik erop om deze te openen.
3. Vouw Beheren uit en selecteer Vervolgens Eigenschappen. Controleer op de pagina Eigenschappen of Ingeschakeld voor gebruikers om zich aan te melden is ingesteld op Ja. Zo niet, wijzigt u de waarde in Ja.
4. Voor toewijzing vereist, wijzigt u de waarde in Ja. Zie Toepassingseigenschappen voor meer informatie over deze instelling.
5. Als u wijzigingen hebt aangebracht, selecteert u Opslaan boven aan de pagina.
6. Selecteer, in het linkerdeelvenster, Gebruikers en groepen. Selecteer + Gebruiker/groep toevoegen op de pagina Gebruikers en groepen om de pagina Toewijzing toevoegen te openen.
7. Klik op de koppeling onder Gebruikers en groepen om de pagina Gebruikers en groepen te openen. Selecteer de gebruikers en groepen die u wilt toewijzen en klik vervolgens op Selecteren.
8. Nadat u klaar bent met het selecteren van gebruikers en groepen, selecteert u Toewijzen.

Een point-to-site-VPN configureren

Nadat u de stappen in de vorige secties hebt voltooid, gaat u door met het configureren van P2S VPN Gateway voor Microsoft Entra ID-verificatie: door Microsoft geregistreerde app.

• Wanneer u elke gateway configureert, koppelt u de juiste aangepaste doelgroep-app-id.
• Download de Azure VPN Client-configuratiepakketten om de Azure VPN-client te configureren voor de gebruikers die gemachtigd zijn om verbinding te maken met de specifieke gateway.

De Azure VPN-client configureren

Gebruik het configuratiepakket voor het Azure VPN-clientprofiel om de Azure VPN-client op de computer van elke gebruiker te configureren. Controleer of het clientprofiel overeenkomt met de P2S VPN-gateway waarmee de gebruiker verbinding moet maken.

Volgende stappen

• Configureer P2S VPN Gateway voor Microsoft Entra ID-verificatie: door Microsoft geregistreerde app.
• Als u verbinding wilt maken met uw virtuele netwerk, moet u de Azure VPN-client op uw clientcomputers configureren. Zie Een VPN-client configureren voor P2S VPN-verbindingen.
• Zie de sectie Punt-naar-site van de veelgestelde vragen over VPN Gateway voor veelgestelde vragen voor veelgestelde vragen.