Поделиться через

Создание или изменение пользовательского идентификатора приложения аудитории для проверки подлинности ИДЕНТИФИКАТОРа VPN Microsoft Entra VPN

  • Статья

Действия, описанные в этой статье, помогут вам создать пользовательский идентификатор приложения Microsoft Entra ID (настраиваемая аудитория) для нового зарегистрированного в Майкрософт VPN-клиента Azure для подключений типа "точка — сеть" (P2S). Вы также можете обновить существующий клиент, чтобы изменить новое приложение VPN-клиента Microsoft Azure из предыдущего VPN-приложения Azure.

При настройке идентификатора пользовательского приложения аудитории можно использовать любое из поддерживаемых значений, связанных с приложением VPN-клиента Azure. Рекомендуется при возможности связать значение c632b3df-fb67-4d84-bdcf-b95ad541b5c8 общедоступной аудитории Azure, зарегистрированное корпорацией Майкрософт, с пользовательским приложением. Полный список поддерживаемых значений см. в разделе VPN P2S — идентификатор Microsoft Entra.

В этой статье приведены высокоуровневые шаги. Снимки экрана для регистрации приложения могут немного отличаться в зависимости от способа доступа к пользовательскому интерфейсу, но параметры одинаковы. Дополнительные сведения см . в кратком руководстве по регистрации приложения. Дополнительные сведения о проверке подлинности Идентификатора Microsoft Entra для P2S см. в статье Microsoft Entra ID authentication for P2S.

Если вы настраиваете пользовательский идентификатор приложения аудитории для настройки или ограничения доступа на основе пользователей и групп, см . статью "Сценарий. Настройка доступа P2S на основе пользователей и групп — проверка подлинности идентификатора Microsoft Entra ID". В статье по сценарию описан рабочий процесс и шаги по назначению разрешений.

Необходимые компоненты

  • В этой статье предполагается, что у вас уже есть клиент Microsoft Entra и разрешения на создание корпоративного приложения, как правило , роль администратора облачных приложений или более поздней версии. Дополнительные сведения см. в статье "Создание нового клиента в идентификаторе Microsoft Entra ID" и назначение ролей пользователей с помощью идентификатора Microsoft Entra.

  • В этой статье предполагается, что для настройки пользовательского приложения используется значение c632b3df-fb67-4d84-bdcf-b95ad541b5c8 общедоступной аудитории Azure, зарегистрированное корпорацией Майкрософт. Это значение имеет глобальное согласие, что означает, что вам не нужно вручную зарегистрировать его для предоставления согласия для вашей организации. Мы рекомендуем использовать это значение.

    • В настоящее время существует только одно поддерживаемое значение аудитории для зарегистрированного корпорацией Майкрософт приложения. Дополнительные поддерживаемые значения аудитории см. в таблице значений поддерживаемой аудитории.

    • Если значение зарегистрированной корпорацией Майкрософт аудитории несовместимо с конфигурацией, можно по-прежнему использовать старые зарегистрированные вручную значения идентификаторов.

  • Если вместо этого необходимо использовать значение идентификатора приложения вручную, необходимо предоставить согласие на вход и чтение профилей пользователей, прежде чем продолжить работу с этой конфигурацией. Необходимо войти с учетной записью, назначенной ролью администратора облачных приложений.

    1. Чтобы предоставить согласие администратора для вашей организации, измените следующую команду, чтобы она содержала client_id требуемое значение. В этом примере значение client_id предназначено для общедоступной версии Azure. Дополнительные поддерживаемые значения см. в таблице .

      https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    2. Скопируйте и вставьте URL-адрес, относящийся к расположению развертывания в адресной строке браузера.

    3. Если появится запрос, выберите учетную запись с ролью администратора облачных приложений.

    4. На странице Запрошенные разрешения щелкните Принять.

Регистрация приложения

Есть несколько различных способов добраться до страницы Регистрация приложений. Одним из способов является центр администрирования Microsoft Entra. Вы также можете использовать идентификатор портал Azure и Microsoft Entra. Войдите с учетной записью с ролью администратора облачных приложений или более поздней.

  1. Если у вас есть доступ к нескольким клиентам, используйте значок "Параметры " в верхнем меню, чтобы переключиться на клиент, в котором вы хотите зарегистрировать приложение из меню каталогов и подписок .

  2. Перейдите к Регистрация приложений и выберите "Создать регистрацию".

    Снимок экрана: страница регистрации приложений с выбранной новой регистрацией.

  3. На странице "Регистрация приложения" введите отображаемое имя приложения. Пользователи приложения могут видеть отображаемое имя при использовании приложения, например во время входа. Отображаемое имя можно изменить в любое время. Несколько регистраций приложений могут совместно использовать одно и то же имя. Автоматически созданный идентификатор приложения (клиента) регистрации приложения однозначно идентифицирует приложение на платформе удостоверений.

    Снимок экрана: страница регистрации приложения.

  4. Укажите, кто может использовать приложение. Таких пользователей иногда называют аудиторией входа. Выберите учетные записи только в этом каталоге организации (только nameofyourdirectory — один клиент).

  5. При настройке URI перенаправления в следующем разделе оставьте URI перенаправления (необязательно ).

  6. Для завершения исходной регистрации приложения нажмите кнопку Зарегистрировать.

После завершения регистрации центр администрирования Microsoft Entra отображает панель обзора регистрации приложения. Вы увидите значение Идентификатор приложения (клиента). Это значение, также называемое идентификатором клиента, определяет ваше приложение на платформе удостоверений Майкрософт. Это значение пользовательской аудитории, используемое при настройке шлюза P2S. Несмотря на то, что это значение присутствует, необходимо выполнить следующие разделы, чтобы связать зарегистрированное приложение Micrsoft с идентификатором приложения.

Предоставление API и добавление области

В этом разделе вы создадите область для назначения детализированных разрешений.

  1. В левой области зарегистрированного приложения выберите "Предоставить API".

    Снимок экрана: страница предоставления API.

  2. Выберите Добавить область. На панели "Добавление области" просмотрите URI идентификатора приложения. Это поле создается автоматически. Это значение api://<application-client-id>по умолчанию. Универсальный код ресурса (URI) идентификатора приложения выступает в качестве префикса для областей, на которые вы ссылаетесь в коде API, и он должен быть глобально уникальным.

    Снимок экрана: панель

  3. Нажмите кнопку "Сохранить" и перейдите к следующей области "Добавить область".

  4. В этой области "Добавление области" укажите атрибуты области . В этом пошаговом руководстве вы можете использовать примеры значений или указать собственные.

    Снимок экрана: панель

    Поле значение
    Имя области Пример: p2s-vpn1
    Кто может давать согласие Admins only (Только администраторы)
    Отображаемое имя согласия администратора Пример: p2s-vpn1-users
    Описание согласия администратора Пример. Доступ к VPN-подключению P2S
    Штат Включено

  5. Выберите " Добавить область ", чтобы добавить область.

Добавление приложения VPN-клиента Azure

В этом разделе описано, как связать идентификатор приложения VPN-клиента Microsoft, зарегистрированного в Майкрософт.

  1. На странице "Предоставление доступа к API" нажмите кнопку "Добавить клиентское приложение".

    Снимок экрана: выбрано клиентское приложение.

  2. В области "Добавление клиентского приложения" для идентификатора клиента используйте идентификатор общедоступного приложения Azure для приложения VPN-клиента Microsoft, зарегистрированного в Майкрософт, если вы не знаете, c632b3df-fb67-4d84-bdcf-b95ad541b5c8 что вам нужно другое значение.

    Снимок экрана: панель добавления клиентского приложения.

  3. Убедитесь, что выбраны авторизованные области.

  4. Выберите Добавить приложение.

Сбор значений

На странице обзора приложения запишите следующие значения, необходимые при настройке VPN-шлюза типа "точка — сеть" для проверки подлинности идентификатора Microsoft Entra ID.

  • Идентификатор приложения (клиента): это пользовательский идентификатор аудитории, используемый для поля аудитории при настройке VPN-шлюза P2S.
  • Идентификатор каталога (клиента): это значение является частью значения, необходимого для поля клиента и издателя для VPN-шлюза P2S.

Настройка VPN-шлюза P2S

После выполнения действий, описанных в предыдущих разделах, перейдите к настройке VPN-шлюз P2S для проверки подлинности идентификатора записи Майкрософт — зарегистрированное корпорацией Майкрософт приложение.

Обновление до идентификатора клиента VPN-приложения, зарегистрированного корпорацией Майкрософт

Примечание.

Эти действия можно использовать для любого из поддерживаемых значений, связанных с приложением VPN-клиента Azure. Рекомендуется при возможности связать значение c632b3df-fb67-4d84-bdcf-b95ad541b5c8 общедоступной аудитории Azure, зарегистрированное корпорацией Майкрософт, с пользовательским приложением.

Если вы уже настроили VPN-шлюз P2S для использования настраиваемого значения для поля идентификатора аудитории и хотите изменить новый VPN-клиент Microsoft Azure, вы можете авторизовать новое приложение, добавив клиентское приложение в API. С помощью этого метода вам не нужно изменять параметры VPN-шлюза Azure или VPN-клиентов Azure, если они используют последнюю версию клиента.

В следующих шагах вы добавите другое авторизованное клиентское приложение с использованием значения аудитории идентификатора аудитории VPN-клиента Azure, зарегистрированного в Microsoft Azure. Вы не изменяете значение существующего авторизованного клиентского приложения. Вы всегда можете удалить существующее авторизованное клиентское приложение, если вы больше не используете его.

  1. Есть несколько различных способов добраться до страницы Регистрация приложений. Одним из способов является центр администрирования Microsoft Entra. Вы также можете использовать идентификатор портал Azure и Microsoft Entra. Войдите с учетной записью с ролью администратора облачных приложений или более поздней.

  2. Если у вас есть доступ к нескольким клиентам, используйте значок "Параметры " в верхнем меню, чтобы переключиться на клиент, который вы хотите использовать в меню каталогов и подписок .

  3. Перейдите к Регистрация приложений и найдите отображаемое имя зарегистрированного приложения. Щелкните, чтобы открыть страницу.

  4. Щелкните "Предоставить API". На странице "Предоставление доступа к API" обратите внимание, что присутствует предыдущее значение Client Id аудитории VPN-клиента Azure.

    Снимок экрана: страница

  5. Выберите + Добавить клиентское приложение.

  6. На панели "Добавление клиентского приложения" для идентификатора клиента используйте идентификатор общедоступного приложения Azure для приложения VPN-клиента Microsoft, зарегистрированного в Майкрософт. c632b3df-fb67-4d84-bdcf-b95ad541b5c8

  7. Убедитесь, что выбраны авторизованные области. Затем нажмите кнопку "Добавить приложение".

  8. На странице "Предоставление доступа к API" теперь отображаются оба значения идентификатора клиента. Если вы хотите удалить предыдущую версию, щелкните значение, чтобы открыть страницу "Изменить клиентское приложение " и нажмите кнопку "Удалить".

  9. На странице обзора обратите внимание, что значения не изменились. Если вы уже настроили шлюз и клиенты с помощью пользовательского идентификатора приложения (клиента), отображаемого для поля идентификатора аудитории шлюза, и клиенты уже настроены для использования этого настраиваемого значения, вам не нужно вносить дополнительные изменения.

Следующие шаги