Dela via

Konfigurera P2S VPN Gateway för Microsoft Entra ID-autentisering – manuellt registrerad app

  • Artikel

Den här artikeln hjälper dig att konfigurera en punkt-till-plats-VPN-gateway (P2S) för Microsoft Entra-ID-autentisering och manuellt registrera Azure VPN-klienten. Den här typen av konfiguration stöds endast för OpenVPN-protokollanslutningar.

Du kan också skapa den här typen av P2S VPN Gateway-konfiguration med hjälp av stegen för den nya Microsoft-registrerade VPN-klientappen. Med den nyare versionen kringgås stegen för att registrera Azure VPN-klienten med din Microsoft Entra-klientorganisation. Det stöder även fler klientoperativsystem. Det kanske dock ännu inte stöder vissa målgruppsvärden. Mer information om punkt-till-plats-protokoll och autentisering finns i Om VPN Gateway punkt-till-plats-VPN.

Förutsättningar

Stegen i den här artikeln kräver en Microsoft Entra-klientorganisation. Om du inte har någon Microsoft Entra-klientorganisation kan du skapa en med hjälp av stegen i artikeln Skapa en ny klientorganisation . Observera följande fält när du skapar katalogen:

  • Organisationsnamn
  • Ursprungligt domännamn

Om du redan har en befintlig P2S-gateway hjälper stegen i den här artikeln dig att konfigurera gatewayen för Microsoft Entra-ID-autentisering. Du kan också skapa en ny VPN-gateway. Länken för att skapa en ny gateway ingår i den här artikeln.

Kommentar

Microsoft Entra ID-autentisering stöds endast för OpenVPN-protokollanslutningar® och kräver Azure VPN-klienten.

Skapa Microsoft Entra-klientanvändare

  1. Skapa två konton i den nyligen skapade Microsoft Entra-klientorganisationen. Anvisningar finns i Lägga till eller ta bort en ny användare.

    Rollen Molnprogramadministratör används för att bevilja medgivande till azure VPN-appregistreringen. Användarkontot kan användas för att testa OpenVPN-autentisering.

  2. Tilldela ett av kontona rollen Molnprogramadministratör . Anvisningar finns i Tilldela administratörs- och icke-administratörsroller till användare med Microsoft Entra-ID.

Auktorisera Azure VPN-programmet

  1. Logga in på Azure-portalen som en användare som har tilldelats rollen Global administratör .

  2. Bevilja sedan administratörsmedgivande för din organisation. På så sätt kan Azure VPN-programmet logga in och läsa användarprofiler. Kopiera och klistra in den URL som gäller distributionsplatsen i adressfältet i webbläsaren:

    Offentliga

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent

    Microsoft Cloud Germany

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent

    Microsoft Azure drivs av 21Vianet

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent

    Kommentar

    Om du använder ett globalt administratörskonto som inte är inbyggt i Microsoft Entra-klientorganisationen för att ge medgivande ersätter du "common" med Microsoft Entra-klient-ID:t i URL:en. Du kan också behöva ersätta "common" med ditt klient-ID även i vissa andra fall. Hjälp med att hitta ditt klient-ID finns i Så här hittar du ditt Microsoft Entra-klient-ID.

  3. Välj det konto som har rollen Global administratör om du uppmanas att göra det.

  4. På sidan Behörigheter som begärs väljer du Acceptera.

  5. Gå till Microsoft Entra-ID. I den vänstra rutan klickar du på Företagsprogram. Du ser Azure VPN i listan.

    Skärmbild av sidan Enterprise-program som visar Azure V P N i listan.

Konfigurera VPN-gatewayen

Viktigt!

Azure-portalen håller på att uppdatera Azure Active Directory-fält till Entra. Om du ser Microsoft Entra-ID som refereras och du inte ser dessa värden i portalen ännu kan du välja Azure Active Directory-värden.

  1. Leta upp klientorganisations-ID:t för den katalog som du vill använda för autentisering. Den visas i egenskapsavsnittet på Active Directory-sidan. Hjälp med att hitta ditt klient-ID finns i Så här hittar du ditt Microsoft Entra-klient-ID.

  2. Om du inte redan har en fungerande punkt-till-plats-miljö följer du anvisningarna för att skapa en. Se Skapa en punkt-till-plats-VPN för att skapa och konfigurera en punkt-till-plats-VPN-gateway. När du skapar en VPN-gateway stöds inte Basic SKU för OpenVPN.

  3. Gå till den virtuella nätverksgatewayen. I den vänstra rutan klickar du på Punkt-till-plats-konfiguration.

    Skärmbild som visar inställningar för tunneltyp, autentiseringstyp och Microsoft Entra-inställningar.

    Konfigurera följande värden:

    • Adresspool: klientadresspool
    • Tunneltyp: OpenVPN (SSL)
    • Autentiseringstyp: Microsoft Entra-ID

    För Microsoft Entra-ID-värden använder du följande riktlinjer för värden för klientorganisation, målgrupp och utfärdare . Ersätt {TenantID} med ditt klient-ID, var noga med att ta bort {} från exemplen när du ersätter det här värdet.

    • Klientorganisation: TenantID för Microsoft Entra-klientorganisationen. Ange det klientorganisations-ID som motsvarar konfigurationen. Kontrollera att klient-URL:en inte har ett \ (omvänt snedstreck) i slutet. Snedstreck är tillåtet.

      • Azure Public AD: https://login.microsoftonline.com/{TenantID}
      • Azure Government AD: https://login.microsoftonline.us/{TenantID}
      • Azure Germany AD: https://login-us.microsoftonline.de/{TenantID}
      • Kina 21Vianet AD: https://login.chinacloudapi.cn/{TenantID}

    • Målgrupp: Program-ID för Microsoft Entra Enterprise-appen "Azure VPN".

      • Azure Public: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
      • Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
      • Azure Tyskland: 538ee9e6-310a-468d-afef-ea97365856a9
      • Microsoft Azure drivs av 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa

    • Utfärdare: URL för tjänsten för säker token. Inkludera ett avslutande snedstreck i slutet av utfärdarvärdet. Annars kan anslutningen misslyckas. Exempel:

      • https://sts.windows.net/{TenantID}/

  4. När du har konfigurerat inställningarna klickar du på Spara överst på sidan.

Ladda ned konfigurationspaketet för Azure VPN-klientprofilen

I det här avsnittet genererar och laddar du ned konfigurationspaketet för Azure VPN-klientprofilen. Det här paketet innehåller de inställningar som du kan använda för att konfigurera Azure VPN-klientprofilen på klientdatorer.

  1. Längst upp på sidan Punkt-till-plats-konfiguration klickar du på Ladda ned VPN-klient. Det tar några minuter innan klientkonfigurationspaketet genereras.

  2. Webbläsaren anger att en zip-fil för klientkonfiguration är tillgänglig. Den heter samma namn som din gateway.

  3. Extrahera den nedladdade zip-filen.

  4. Bläddra till den uppackade mappen "AzureVPN".

  5. Anteckna platsen för filen "azurevpnconfig.xml". Azurevpnconfig.xml innehåller inställningen för VPN-anslutningen. Du kan också distribuera den här filen till alla användare som behöver ansluta via e-post eller på annat sätt. Användaren behöver giltiga autentiseringsuppgifter för Microsoft Entra-ID för att kunna ansluta.

Nästa steg