Konfigurera P2S VPN Gateway för Microsoft Entra ID-autentisering – manuellt registrerad app
Den här artikeln hjälper dig att konfigurera en punkt-till-plats-VPN-gateway (P2S) för Microsoft Entra-ID-autentisering och manuellt registrera Azure VPN-klienten. Den här typen av konfiguration stöds endast för OpenVPN-protokollanslutningar.
Du kan också skapa den här typen av P2S VPN Gateway-konfiguration med hjälp av stegen för den nya Microsoft-registrerade VPN-klientappen. Med den nyare versionen kringgås stegen för att registrera Azure VPN-klienten med din Microsoft Entra-klientorganisation. Det stöder även fler klientoperativsystem. Alla målgruppsvärden stöds dock inte. Mer information om punkt-till-plats-protokoll och autentisering finns i Om VPN Gateway punkt-till-plats-VPN. Information om hur du skapar och ändrar anpassade målgrupper finns i Skapa eller ändra en anpassad målgrupp.
Kommentar
När det är möjligt rekommenderar vi att du använder de nya Microsoft-registrerade VPN-klientappinstruktionerna i stället.
Förutsättningar
Stegen i den här artikeln kräver en Microsoft Entra-klientorganisation. Om du inte har någon Microsoft Entra-klientorganisation kan du skapa en med hjälp av stegen i artikeln Skapa en ny klientorganisation . Observera följande fält när du skapar katalogen:
- Organisationsnamn
- Ursprungligt domännamn
Om du redan har en befintlig P2S-gateway hjälper stegen i den här artikeln dig att konfigurera gatewayen för Microsoft Entra-ID-autentisering. Du kan också skapa en ny VPN-gateway. Länken för att skapa en ny gateway ingår i den här artikeln.
Kommentar
Microsoft Entra ID-autentisering stöds endast för OpenVPN-protokollanslutningar® och kräver Azure VPN-klienten.
Skapa Microsoft Entra-klientanvändare
Skapa två konton i den nyligen skapade Microsoft Entra-klientorganisationen. Anvisningar finns i Lägga till eller ta bort en ny användare.
- Rollen Molnprogramadministratör
- Användarkonto
Rollen Molnprogramadministratör används för att bevilja medgivande till azure VPN-appregistreringen. Användarkontot kan användas för att testa OpenVPN-autentisering.
Tilldela ett av kontona rollen Molnprogramadministratör . Anvisningar finns i Tilldela administratörs- och icke-administratörsroller till användare med Microsoft Entra-ID.
Auktorisera Azure VPN-programmet
Logga in på Azure Portal som en användare som har tilldelats rollen Molnprogramadministratör.
Bevilja sedan administratörsmedgivande för din organisation. På så sätt kan Azure VPN-programmet logga in och läsa användarprofiler. Kopiera och klistra in den URL som gäller distributionsplatsen i adressfältet i webbläsaren:
Offentliga
https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent
Azure Government
https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent
Microsoft Cloud Germany
https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent
Microsoft Azure drivs av 21Vianet
https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
Kommentar
Om du använder ett Cloud Applicaion-administratörskonto som inte är inbyggt i Microsoft Entra-klientorganisationen för att ge medgivande ersätter du "common" med Microsoft Entra-klient-ID:t i URL:en. Du kan också behöva ersätta "common" med ditt klient-ID även i vissa andra fall. Hjälp med att hitta ditt klient-ID finns i Så här hittar du ditt Microsoft Entra-klient-ID.
Välj det konto som har rollen Molnprogramadministratör om du uppmanas att göra det.
På sidan Behörigheter som begärs väljer du Acceptera.
Gå till Microsoft Entra-ID. I den vänstra rutan klickar du på Företagsprogram. Du ser Azure VPN i listan.
Konfigurera VPN-gatewayen
Viktigt!
Azure Portal håller på att uppdatera Azure Active Directory-fält till Entra. Om du ser Microsoft Entra-ID som refereras och du inte ser dessa värden i portalen ännu kan du välja Azure Active Directory-värden.
Leta upp klientorganisations-ID:t för den katalog som du vill använda för autentisering. Den visas i egenskapsavsnittet på Active Directory-sidan. Hjälp med att hitta ditt klient-ID finns i Så här hittar du ditt Microsoft Entra-klient-ID.
Om du inte redan har en fungerande punkt-till-plats-miljö följer du anvisningarna för att skapa en. Se Skapa en punkt-till-plats-VPN för att skapa och konfigurera en punkt-till-plats-VPN-gateway. När du skapar en VPN-gateway stöds inte Basic SKU för OpenVPN.
Gå till den virtuella nätverksgatewayen. I den vänstra rutan klickar du på Punkt-till-plats-konfiguration.
Konfigurera följande värden:
- Adresspool: klientadresspool
- Tunneltyp: OpenVPN (SSL)
- Autentiseringstyp: Microsoft Entra-ID
För Microsoft Entra-ID-värden använder du följande riktlinjer för värden för klientorganisation, målgrupp och utfärdare . Ersätt {TenantID} med ditt klient-ID, var noga med att ta bort {} från exemplen när du ersätter det här värdet.
Klientorganisation: TenantID för Microsoft Entra-klientorganisationen. Ange det klientorganisations-ID som motsvarar konfigurationen. Kontrollera att klient-URL:en inte har ett
\
(omvänt snedstreck) i slutet. Snedstreck är tillåtet.- Azure Public AD:
https://login.microsoftonline.com/{TenantID}
- Azure Government AD:
https://login.microsoftonline.us/{TenantID}
- Azure Germany AD:
https://login-us.microsoftonline.de/{TenantID}
- Kina 21Vianet AD:
https://login.chinacloudapi.cn/{TenantID}
- Azure Public AD:
Målgrupp: Program-ID för Microsoft Entra Enterprise-appen "Azure VPN".
- Azure Public:
41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure Government:
51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure Tyskland:
538ee9e6-310a-468d-afef-ea97365856a9
- Microsoft Azure drivs av 21Vianet:
49f817b6-84ae-4cc0-928c-73f27289b3aa
- Azure Public:
Utfärdare: URL för tjänsten för säker token. Inkludera ett avslutande snedstreck i slutet av utfärdarvärdet. Annars kan anslutningen misslyckas. Exempel:
https://sts.windows.net/{TenantID}/
När du har konfigurerat inställningarna klickar du på Spara överst på sidan.
Ladda ned konfigurationspaketet för Azure VPN-klientprofilen
I det här avsnittet genererar och laddar du ned konfigurationspaketet för Azure VPN-klientprofilen. Det här paketet innehåller de inställningar som du kan använda för att konfigurera Azure VPN-klientprofilen på klientdatorer.
Längst upp på sidan Punkt-till-plats-konfiguration klickar du på Ladda ned VPN-klient. Det tar några minuter innan klientkonfigurationspaketet genereras.
Webbläsaren anger att en zip-fil för klientkonfiguration är tillgänglig. Den heter samma namn som din gateway.
Extrahera den nedladdade zip-filen.
Bläddra till den uppackade mappen "AzureVPN".
Anteckna platsen för filen "azurevpnconfig.xml". Azurevpnconfig.xml innehåller inställningen för VPN-anslutningen. Du kan också distribuera den här filen till alla användare som behöver ansluta via e-post eller på annat sätt. Användaren behöver giltiga autentiseringsuppgifter för Microsoft Entra-ID för att kunna ansluta.
Nästa steg
- Om du vill ansluta till det virtuella nätverket måste du konfigurera Azure VPN-klienten på klientdatorerna. Se Konfigurera en VPN-klient för P2S VPN-anslutningar – Windows eller Konfigurera en VPN-klient för P2S VPN-anslutningar – macOS.
- Vanliga frågor och svar finns i avsnittet punkt-till-plats i vanliga frågor och svar om VPN Gateway.