Настройка VPN-шлюза P2S для проверки подлинности идентификатора Microsoft Entra

  • Статья

В этой статье показано, как настроить клиент Microsoft Entra и VPN-шлюз параметры проверки подлинности идентификатора Microsoft Entra и "точка — сеть" (P2S). Дополнительные сведения о протоколах и проверке подлинности подключений "точка — сеть" см. в статье Сведения о VPN-подключениях типа "точка — сеть". Чтобы выполнить проверку подлинности с помощью проверки подлинности идентификатора Microsoft Entra, необходимо включить тип туннеля OpenVPN в конфигурацию типа "точка — сеть".

Примечание.

Проверка подлинности Microsoft Entra поддерживается только для подключений протокола OpenVPN® и требует vpn-клиента Azure.

Необходимые компоненты

Действия, описанные в этой статье, требуют клиента Microsoft Entra. Если у вас нет клиента Microsoft Entra, его можно создать, выполнив действия, описанные в статье "Создание нового клиента ". При создании каталога обратите внимание на следующие поля:

  • Имя организации
  • Первоначальное доменное имя

Если у вас уже есть шлюз P2S, действия, описанные в этой статье, помогут настроить шлюз для проверки подлинности идентификатора Microsoft Entra. Вы также можете создать новый VPN-шлюз. Ссылка на создание нового шлюза включена в эту статью.

Создание пользователей клиента Microsoft Entra

  1. Создайте две учетные записи в созданном клиенте Microsoft Entra. Шаги см. в статье Добавление и удаление новых пользователей.

    • Учетная запись глобального администратора
    • Учетная запись пользователя

    Учетная запись глобального администратора будет использоваться для предоставления согласия на регистрацию приложения VPN Azure. Учетная запись пользователя может использоваться для тестирования проверки подлинности OpenVPN.

  2. Назначьте одну из учетных записей роли Глобальный администратор. Инструкции см. в разделе "Назначение ролей администратора и неадминистратора пользователям с идентификатором Microsoft Entra".

Авторизация VPN-приложения Azure

  1. Войдите на портал Azure как пользователь с ролью Глобального администратора.

  2. Затем предоставьте согласие администратора для организации. Это позволит приложению VPN Azure выполнять вход и читать профили пользователей. Скопируйте и вставьте URL-адрес, относящийся к расположению развертывания, в адресную строку браузера:

    Общедоступный

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    Azure для государственных организаций

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent

    Microsoft Cloud Germany

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent

    Microsoft Azure под управлением 21Vianet

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent

    Примечание.

    Если вы используете учетную запись глобального администратора, которая не является собственной для клиента Microsoft Entra для предоставления согласия, замените "common" идентификатором клиента Microsoft Entra в URL-адресе. Замена common идентификатором арендатора может также потребоваться в некоторых других случаях. Сведения о поиске идентификатора клиента см. в статье "Как найти идентификатор клиента Microsoft Entra".

  3. Выберите учетную запись с ролью Глобальный администратор при появлении запроса.

  4. На странице Запрошенные разрешения щелкните Принять.

  5. Перейдите к идентификатору Microsoft Entra. В области слева щелкните Корпоративные приложения. Вы увидите VPN Azure в списке.

    Снимок экрана: Azure VPN на странице корпоративного приложения.

Настройка VPN-шлюза

Внимание

Портал Azure находится в процессе обновления полей Azure Active Directory до Entra. Если вы видите идентификатор Microsoft Entra, на который вы ссылаетесь, и вы еще не видите эти значения на портале, можно выбрать значения Azure Active Directory.

  1. Укажите идентификатор арендатора, который вы хотите использовать для проверки подлинности. Он указан в разделе свойств на странице Active Directory. Сведения о поиске идентификатора клиента см. в статье "Как найти идентификатор клиента Microsoft Entra".

  2. Если у вас нет работающей среды "точка — сеть", следуйте инструкциям, чтобы создать ее. См. раздел Создание VPN-подключения «точка — сеть» для получения информации о создании и настройке VPN-шлюза типа «точка — сеть». При создании VPN-шлюза номер SKU "Базовый" не поддерживается для OpenVPN.

  3. Перейдите к шлюзу виртуальной сети. В левой области щелкните конфигурацию "Точка — сеть".

    Снимок экрана: параметры типа туннеля, типа проверки подлинности и параметров Microsoft Entra.

    Задайте следующие значения.

    • Пул адресов: пул адресов клиента
    • Тип туннеля: OpenVPN (SSL)
    • Тип проверки подлинности: идентификатор Microsoft Entra

    Для значений идентификатора Microsoft Entra используйте следующие рекомендации для значений клиента, аудитории и издателя. Замените {TenantID} идентификатором клиента, заботясь об удалении {} из примеров при замене этого значения.

    • Клиент: TenantID для клиента Microsoft Entra. Введите идентификатор клиента, соответствующий конфигурации. Убедитесь, что URL-адрес клиента не имеет (обратную косую \ черту) в конце. Косая черта допустима.

      • Общедоступная служба Azure AD: https://login.microsoftonline.com/{TenantID}
      • Azure для государственных организаций AD:https://login.microsoftonline.us/{TenantID}
      • Azure Germany AD: https://login-us.microsoftonline.de/{TenantID}
      • Китай 21Vianet AD: https://login.chinacloudapi.cn/{TenantID}

    • Аудитория: идентификатор приложения "VPN Azure" Microsoft Entra Enterprise App.

      • Общедоступная служба Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
      • Azure для государственных организаций: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
      • Azure Для Германии: 538ee9e6-310a-468d-afef-ea97365856a9
      • Microsoft Azure, управляемый 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa

    • Издатель: URL-адрес службы безопасных маркеров. Добавьте косую черту в конец значения издателя . В противном случае подключение может завершиться ошибкой. Пример:

      • https://sts.windows.net/{TenantID}/

  4. После завершения настройки параметров нажмите кнопку "Сохранить " в верхней части страницы.

Скачивание пакета конфигурации профиля VPN-клиента Azure

В этом разделе описано, как создать и скачать пакет конфигурации профиля VPN-клиента Azure. Этот пакет содержит параметры, которые можно использовать для настройки профиля VPN-клиента Azure на клиентских компьютерах.

  1. В верхней части страницы конфигурации "Точка — сеть" щелкните "Скачать VPN-клиент". Пакет конфигурации клиента создается несколько минут.

  2. В браузере появится сообщение о том, что ZIP-файл конфигурации клиента доступен. Он получает такое же имя, как у вашего шлюза.

  3. Распакуйте загруженный zip-файл.

  4. Перейдите в распакованную папку "AzureVPN".

  5. Запомните расположение файла azurevpnconfig.xml. Файл azurevpnconfig.xml содержит параметр для VPN-подключения. Вы также можете распространить этот файл среди всех пользователей, которым необходимо подключиться по электронной почте или другим способом. Для успешного подключения пользователю потребуются допустимые учетные данные Microsoft Entra. Дополнительные сведения см. в файлах конфигурации профиля клиента VPN Azure для проверки подлинности Microsoft Entra.

Следующие шаги

  • Чтобы подключиться к виртуальной сети, необходимо настроить VPN-клиент Azure на клиентских компьютерах. См. раздел Настройка клиента VPN для подключений P2S VPN.
  • Часто задаваемые вопросы см. в разделе "Точка — сеть" VPN-шлюз вопросы и ответы.