Сценарий. Настройка доступа P2S на основе пользователей и групп — проверка подлинности идентификатора Microsoft Entra

В этой статье описывается сценарий настройки доступа на основе пользователей и групп для VPN-подключений типа "точка — сеть" (P2S), использующих проверку подлинности идентификатора Microsoft Entra. В этом сценарии вы настраиваете этот тип доступа с помощью нескольких идентификаторов пользовательских приложений аудитории с указанными разрешениями и несколькими VPN-шлюзами P2S. Дополнительные сведения о протоколах P2S и проверке подлинности см. в разделе "Сведения о VPN типа "точка — сеть".

В этом сценарии пользователи имеют другой доступ на основе разрешений на подключение к определенным VPN-шлюзам P2S. На высоком уровне рабочий процесс выглядит следующим образом:

1. Создайте пользовательское приложение для каждого VPN-шлюза P2S, который требуется настроить для VPN P2S с проверкой подлинности идентификатора Microsoft Entra. Запишите пользовательский идентификатор приложения.
2. Добавьте приложение VPN-клиента Azure в настраиваемую конфигурацию приложения.
3. Назначение разрешений пользователей и групп для каждого пользовательского приложения.
4. При настройке шлюза для проверки подлинности идентификатора microsoft Entra ID vpn P2S укажите клиент Идентификатора Microsoft Entra и пользовательский идентификатор приложения, связанный с пользователями, которые вы хотите разрешить подключаться через этот шлюз.
5. Профиль VPN-клиента Azure на компьютере клиента настраивается с помощью параметров vpn-шлюза P2S, к которому у пользователя есть разрешения на подключение.
6. Когда пользователь подключается, он проходит проверку подлинности и может подключаться только к VPN-шлюзу P2S, для которого у учетной записи есть разрешения.

Рекомендации:

• Этот тип детализации нельзя создать, если у вас есть только один VPN-шлюз.
• Проверка подлинности идентификатора Microsoft Entra поддерживается только для подключений к протоколу OpenVPN® и требует vpn-клиента Azure. *Необходимо настроить каждый VPN-клиент Azure с правильными параметрами конфигурации пакета профиля клиента, чтобы убедиться, что пользователь подключается к соответствующему шлюзу, к которому у них есть разрешения.
• При использовании шагов конфигурации в этом упражнении может быть проще всего выполнить шаги для первого пользовательского идентификатора приложения и шлюза до конца, а затем повторить для каждого последующего пользовательского идентификатора приложения и шлюза.

Необходимые компоненты

• Для этого сценария требуется клиент Microsoft Entra. Если у вас еще нет клиента, создайте новый клиент в идентификаторе Microsoft Entra. Запишите идентификатор клиента. Это значение необходимо при настройке VPN-шлюза P2S для проверки подлинности идентификатора Microsoft Entra.

• Для этого сценария требуется несколько VPN-шлюзов. Для каждого шлюза можно назначить только один пользовательский идентификатор приложения.

  • Если у вас еще нет по крайней мере двух функционируют VPN-шлюзов, совместимых с проверкой подлинности идентификатора Microsoft Entra, см. статью "Создание VPN-шлюза и управление ими" портал Azure для создания VPN-шлюзов.
  • Некоторые параметры шлюза несовместимы с VPN-шлюзами P2S, используюющими проверку подлинности идентификатора Microsoft Entra. Базовые SKU и типы VPN на основе политик не поддерживаются. Дополнительные сведения об номерах SKU шлюза см. в разделе "Сведения о номерах SKU шлюза". Дополнительные сведения о типах VPN см. в VPN-шлюз параметрах.

Регистрация приложения

Чтобы создать значение идентификатора пользовательского приложения аудитории, указанное при настройке VPN-шлюза, необходимо зарегистрировать приложение. Зарегистрируйте приложение. Инструкции см. в разделе "Регистрация приложения".

• Поле "Имя " является пользователем. Используйте интуитивно понятное описание пользователей или групп, которые подключаются через это пользовательское приложение.
• Для остальных параметров используйте параметры, показанные в статье.

Добавление области

Добавьте область. Добавление области является частью последовательности настройки разрешений для пользователей и групп. Инструкции см. в разделе "Предоставление API" и добавление области. Позже вы назначаете пользователям и группам разрешения для этой области.

• Используйте что-то интуитивно понятное для поля "Имя области", например "Маркетинг-VPN-пользователи". При необходимости заполните остальные поля.
• Для состояния нажмите кнопку "Включить".

Добавление приложения VPN-клиента Azure

Добавьте идентификатор клиента клиента VPN-клиента Azure и укажите авторизованную область. При добавлении приложения рекомендуется по возможности использовать идентификатор приложения VPN-клиента Microsoft Azure для общедоступной версии c632b3df-fb67-4d84-bdcf-b95ad541b5c8 Azure. Это значение приложения имеет глобальное согласие, что означает, что вам не нужно вручную зарегистрировать его. Инструкции см. в статье "Добавление приложения VPN-клиента Azure".

После добавления приложения VPN-клиента Azure перейдите на страницу обзора и скопируйте и сохраните идентификатор приложения (клиента). Эти сведения потребуются для настройки VPN-шлюза P2S.

Назначить пользователей и группы

Назначьте разрешения пользователям и группам, которые подключаются к шлюзу. Если вы указываете группу, пользователь должен быть прямым членом группы. Вложенные группы не поддерживаются.

1. Перейдите к идентификатору Microsoft Entra и выберите корпоративные приложения.
2. В списке найдите зарегистрированное приложение и щелкните его, чтобы открыть его.
3. Разверните узел "Управление", а затем выберите "Свойства". На странице "Свойства" убедитесь, что для входа пользователей задано значение "Да". Если нет, измените значение на "Да".
4. Для назначения необходимо изменить значение на "Да". Дополнительные сведения об этом параметре см. в разделе "Свойства приложения".
5. Если вы внесли изменения, нажмите кнопку "Сохранить " в верхней части страницы.
6. В области слева выберите Пользователи и группы. На странице "Пользователи и группы" нажмите кнопку "Добавить пользователя или группу", чтобы открыть страницу "Добавить назначение".
7. Щелкните ссылку в разделе "Пользователи и группы", чтобы открыть страницу "Пользователи и группы". Выберите пользователей и группы, которые вы хотите назначить, а затем нажмите кнопку "Выбрать".
8. После завершения выбора пользователей и групп нажмите кнопку "Назначить".

Настройка VPN-подключений "точка — сеть"

После выполнения действий, описанных в предыдущих разделах, перейдите к настройке VPN-шлюз P2S для проверки подлинности идентификатора записи Майкрософт — зарегистрированное корпорацией Майкрософт приложение.

• При настройке каждого шлюза свяжите соответствующий идентификатор пользовательского приложения аудитории.
• Скачайте пакеты конфигурации VPN-клиента Azure, чтобы настроить VPN-клиент Azure для пользователей, имеющих разрешения на подключение к конкретному шлюзу.

Настройка VPN-клиента Azure

Используйте пакет конфигурации профиля VPN-клиента Azure для настройки VPN-клиента Azure на компьютере каждого пользователя. Убедитесь, что профиль клиента соответствует VPN-шлюзу P2S, к которому требуется подключиться пользователя.

Следующие шаги

• Настройка VPN-шлюз P2S для проверки подлинности идентификатора Microsoft Entra — зарегистрированное корпорацией Майкрософт приложение.
• Чтобы подключиться к виртуальной сети, необходимо настроить VPN-клиент Azure на клиентских компьютерах. См. раздел Настройка клиента VPN для подключений P2S VPN.
• Часто задаваемые вопросы см. в разделе "Точка — сеть" VPN-шлюз вопросы и ответы.