Создание клиента Microsoft Entra для подключений P2S по протоколу OpenVPN

При подключении к виртуальной сети вы можете использовать проверку подлинности на основе сертификатов или проверку подлинности RADIUS. Однако при использовании протокола Open VPN можно также использовать проверку подлинности Microsoft Entra. Если вы хотите, чтобы разные группы пользователей могли подключаться к разным шлюзам, вы можете зарегистрировать несколько приложений в AD и связать их с разными шлюзами.

В этой статье описано, как настроить клиент Microsoft Entra для проверки подлинности P2S OpenVPN и создать и зарегистрировать несколько приложений в идентификаторе Microsoft Entra, чтобы разрешить другой доступ для разных пользователей и групп.

Примечание.

Проверка подлинности Microsoft Entra поддерживается только для подключений протокола OpenVPN®.

1. Создание клиента Microsoft Entra

Создайте клиент Microsoft Entra, выполнив действия, описанные в статье "Создание нового клиента ":

• Имя организации

• Первоначальное доменное имя

  Пример:

  

2. Создание пользователей клиента

На этом шаге вы создадите двух пользователей клиента Microsoft Entra: одну учетную запись глобального администратора и одну главную учетную запись пользователя. Учетная запись главного пользователя используется как главная учетная запись внедрения (учетная запись службы). При создании учетной записи пользователя клиента Microsoft Entra измените роль каталога для типа пользователя, который требуется создать. Выполните действия, описанные в этой статье , чтобы создать по крайней мере двух пользователей для клиента Microsoft Entra. Не забудьте изменить Роль каталога, чтобы создать типы учетных записей:

• глобальный администратор.
• User

3. Регистрация VPN-клиента

Зарегистрируйте VPN-клиент в клиенте Microsoft Entra.

1. Укажите идентификатор каталога, который хотите использовать для проверки подлинности. Он указан в разделе свойств страницы Active Directory.

   

2. Скопируйте идентификатор каталога.

3. Войдите на портал Azure как пользователь с ролью Глобального администратора.

4. Затем дайте согласие администратора. Скопируйте и вставьте URL-адрес, относящийся к расположению развертывания, в адресную строку браузера:

   Общедоступный

   https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent
   

   Azure для государственных организаций

   https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent
   

   Microsoft Cloud Germany

   https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent
   

   Microsoft Azure под управлением 21Vianet

   https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
   

Примечание.

Если вы используете учетную запись глобального администратора, которая не является собственной для клиента Microsoft Entra для предоставления согласия, замените "common" идентификатором каталога Microsoft Entra в URL-адресе. Также замена слова common идентификатором каталога может потребоваться в некоторых других случаях.

5. При появлении запроса выберите учетную запись Глобальный администратор.

   

6. На странице "Запрошенные разрешения" выберите "Принять", чтобы предоставить приложениям разрешения.

7. В разделе идентификатора Microsoft Entra в корпоративных приложениях вы увидите vpn Azure, указанный в списке.

   

4. Регистрация дополнительных приложений

На этом шаге вы зарегистрируете дополнительные приложения для различных пользователей и групп.

1. В разделе идентификатора Microsoft Entra щелкните Регистрация приложений, а затем + Создать регистрацию.

   

2. На странице Регистрация приложения введите Имя. Выберите требуемые Поддерживаемые типы учетных записей, а затем щелкните Зарегистрировать.

   

3. После регистрации нового приложения щелкните Предоставление API в колонке приложения.

4. Щелкните + Добавить область.

5. Оставьте URI идентификатора приложения по умолчанию. Щелкните Сохранить и продолжить.

   

6. Заполните обязательные поля и убедитесь, что Состояние — Включено. Щелкните Добавить область.

   

7. Щелкните Предоставление API, затем + Добавить клиентское приложение. В поле Идентификатор клиента введите следующие значения в зависимости от облака.

   • Введите 41b23e61-6c1e-4545-b367-cd054e0ed4b4 для общедоступного облака Azure.
   • Введите 51bb15d4-3a4f-4ebf-9dca-40096fe32426 для Azure для государственных организаций.
   • Введите 538ee9e6-310A-468d-Afef-ea97365856a9 для Microsoft Azure — Германия.
   • Введите 49f817b6-84ae-4cc0-928c-73f27289b3aa для Azure для Китая (21Vianet).

8. Нажмите Добавить приложение.

   

9. Скопируйте Идентификатор приложения (клиента) со страницы Обзор. Эта информация нам понадобится для настройки шлюза (-ов) VPN.

   

10. Повторите действия, описанные в этом разделе регистрации дополнительных приложений, чтобы создать столько приложений, сколько требуется по требованиям безопасности. Каждое приложение будет связано с VPN-шлюзом и может иметь свой набор пользователей. К шлюзу может быть привязано только одно приложение.

5. Назначение пользователей приложениям

Назначьте пользователей своим приложениям.

1. В разделе Идентификатор Microsoft Entra —> Корпоративные приложения выберите только что зарегистрированное приложение и нажмите кнопку "Свойства". Убедитесь, что Требуется назначение пользователей? имеет значение Да. Нажмите кнопку Сохранить.

   

2. На странице приложение щелкните Пользователи и группы, а затем щелкните +Добавить пользователя.

   

3. В разделе Добавление назначения выберите Пользователи и группы. Выберите пользователей, которым будет предоставлен доступ к этому приложению VPN. Щелкните Выбрать.

   

6. Создание новой конфигурации подключения типа "точка — сеть"

Конфигурации подключения "точка — сеть" определяет параметры для подключения удаленных клиентов.

1. Установите следующие переменные, заменив по мере необходимости значения в вашей среде.

   $aadAudience = "00000000-abcd-abcd-abcd-999999999999"
   $aadIssuer = "https://sts.windows.net/00000000-abcd-abcd-abcd-999999999999/"
   $aadTenant = "https://login.microsoftonline.com/00000000-abcd-abcd-abcd-999999999999"    
   

2. Чтобы создать конфигурацию, выполните следующие команды:

   $aadConfig = New-AzVpnServerConfiguration -ResourceGroupName <ResourceGroup> -Name newAADConfig -VpnProtocol OpenVPN -VpnAuthenticationType AAD -AadTenant $aadTenant -AadIssuer $aadIssuer -AadAudience $aadAudience -Location westcentralus
   

   Примечание.

   Не используйте идентификатор приложения VPN-клиента Azure в приведенных выше командах: он предоставит всем пользователям доступ к шлюзу. Используйте ID приложений, которые вы зарегистрировали.

7. Изменение назначения концентратора

1. Перейдите в колонку Hubs (Концентраторы) в виртуальной глобальной сети.

2. Выберите концентратор, с которым вы хотите связать конфигурацию vpn-сервера, и нажмите кнопку с многоточием (...).

   

3. Нажмите Изменение виртуального концентратора.

4. Установите флажок Включить шлюз "точка — сеть" и выберите нужную единицу масштабирования шлюза.

   

5. Введите пул адресов, с которого VPN клиентам будут назначаться IP адреса.

6. Нажмите кнопку Подтвердить.

7. Выполнение операции может занять до 30 минут.

8. Загрузка профиля VPN

Используйте профиль VPN для настройки клиентов.

1. На странице Виртуальной глобальной сети щелкните Конфигурация VPN пользователя.

2. В верхней части страницы нажмите Загрузить конфигурацию пользователя VPN.

3. После завершения создания файла вы можете скачать его, щелкнув ссылку.

4. Используйте файл профиля для настройки VPN-клиента.

5. Распакуйте загруженный zip-файл.

6. Перейдите в распакованную папку "AzureVPN".

7. Запомните расположение файла "azurevpnconfig.xml". Azurevpnconfig.xml содержит параметр для VPN-подключения и может быть импортирован непосредственно в приложение Azure VPN Client. Вы также можете распространить этот файл среди всех пользователей, которым необходимо подключиться по электронной почте или другим способом. Для успешного подключения пользователю потребуются допустимые учетные данные Microsoft Entra.

9. Настройка клиентов VPN пользователя

Для подключения необходимо скачать VPN-клиент Azure и импортировать профиль VPN-клиента, скачанный на предыдущих шагах, на каждый компьютер, который нужно подключить к виртуальной сети.

Примечание.

Проверка подлинности Microsoft Entra поддерживается только для подключений протокола OpenVPN®.

Загрузка VPN-клиента Azure

Используйте эту ссылку, чтобы скачать VPN-клиент Azure.

Импорт профиля клиента

1. На странице выберите Import (Импорт).

   

2. Перейдите к XML-файлу профиля и выберите его. Выбрав файл, выберите Open (Открыть).

   

3. Укажите имя профиля и выберите Save (Сохранить).

   

4. Выберите Connect (Подключиться), чтобы подключиться к VPN.

   

5. После подключения значок станет зеленым и выдаст Connected (Подключено).

   

Удаление профиля клиента

1. Нажмите кнопку с многоточием (...) рядом с удаляемым профилем клиента. Затем щелкните Remove (Удалить).

   

2. Выберите Remove (Удалить), чтобы выполнить удаление.

   

Диагностика проблем с подключением

1. Для диагностики проблем с подключением можно использовать средство Diagnose (Диагностика). Нажмите кнопку с многоточием (...) рядом с VPN-подключением, которое нужно диагностировать, чтобы открыть меню. Затем выберите Diagnose (Диагностика).

   

2. На странице Connection Properties (Свойства подключения) выберите Run Diagnosis (Выполнить диагностику).

   

3. Войдите с помощью своих учетных данных.

   

4. Просмотр результатов диагностики.

   

5. Войдите с помощью своих учетных данных.

   

6. Просмотр результатов диагностики.

   

10. Просмотр виртуальной глобальной сети

1. Перейдите к виртуальной глобальной сети.

2. На странице Обзор каждая точка на карте представляет собой концентратор.

3. В разделе Концентраторы и подключения можно просмотреть сведения о состоянии концентратора, сайте, регионе, состоянии VPN-подключения, а также количестве принятых и переданных байтов.

Очистка ресурсов

Вы можете удалить ненужную группу ресурсов и все содержащиеся в ней ресурсы с помощью командлета Remove-AzResourceGroup. Замените myResourceGroup на имя вашей группы ресурсов и выполните следующую команду PowerShell:

Remove-AzResourceGroup -Name myResourceGroup -Force

Следующие шаги

Дополнительные сведения о Виртуальной глобальной сети см. в этой статье.