Konfigurera P2S VPN Gateway för Microsoft Entra ID-autentisering – Microsoft-registrerad app
Den här artikeln hjälper dig att konfigurera din punkt-till-plats-VPN-gateway (P2S) för Microsoft Entra-ID-autentisering med hjälp av det nya Microsoft-registrerade Azure VPN-klientapp-ID:t.
Kommentar
Stegen i den här artikeln gäller för Microsoft Entra-ID-autentisering med hjälp av det nya Microsoft-registrerade Azure VPN-klientapp-ID:t och associerade målgruppsvärden. Den här artikeln gäller inte för den äldre, manuellt registrerade Azure VPN-klientappen för din klientorganisation. De manuellt registrerade Azure VPN-klientstegen finns i Konfigurera P2S med manuellt registrerad VPN-klient.
VPN Gateway stöder nu ett nytt Microsoft-registrerat app-ID och motsvarande målgruppsvärden för de senaste versionerna av Azure VPN-klienten. När du konfigurerar en P2S VPN-gateway med hjälp av de nya målgruppsvärdena hoppar du över processen för manuell registrering av Azure VPN-klientappen för din Microsoft Entra-klientorganisation. App-ID:t har redan skapats och din klientorganisation kan automatiskt använda det utan några extra registreringssteg. Den här processen är säkrare än att registrera Azure VPN-klienten manuellt eftersom du inte behöver auktorisera appen eller tilldela behörigheter via den Global administratör rollen.
Tidigare var du skyldig att manuellt registrera (integrera) Azure VPN-klientappen med din Microsoft Entra-klientorganisation. När du registrerar klientappen skapas ett app-ID som representerar identiteten för Azure VPN-klientprogrammet och kräver auktorisering med hjälp av rollen Global administratör. Mer information om skillnaden mellan olika typer av programobjekt finns i How and why applications are added to Microsoft Entra ID (Hur och varför program läggs till i Microsoft Entra-ID).
När det är möjligt rekommenderar vi att du konfigurerar nya P2S-gatewayer med hjälp av det Microsoft-registrerade Azure VPN-klientapp-ID:t och dess motsvarande målgruppsvärden, i stället för att manuellt registrera Azure VPN-klientappen med din klientorganisation. Om du har en tidigare konfigurerad Azure VPN-gateway som använder Microsoft Entra-ID-autentisering kan du uppdatera gatewayen och klienterna för att dra nytta av det nya Microsoft-registrerade app-ID:t. Du måste uppdatera P2S-gatewayen med det nya målgruppsvärdet om du vill att Linux-klienter ska ansluta. Azure VPN-klienten för Linux är inte bakåtkompatibel med de äldre målgruppsvärdena.
Om du har en befintlig P2S-gateway som du vill uppdatera för att använda ett nytt målgruppsvärde läser du Ändra målgrupp för en P2S VPN-gateway. Om du vill skapa eller ändra ett anpassat målgruppsvärde kan du läsa Skapa ett anpassat målgruppsapp-ID för P2S VPN. Om du vill konfigurera eller begränsa åtkomsten till P2S baserat på användare och grupper kan du läsa Scenario: Konfigurera P2S VPN-åtkomst baserat på användare och grupper.
Överväganden och begränsningar
En P2S VPN-gateway kan bara stödja ett målgruppsvärde. Det kan inte ha stöd för flera målgruppsvärden samtidigt.
För närvarande stöder inte det nyare Microsoft-registrerade app-ID:t lika många målgruppsvärden som den äldre, manuellt registrerade appen. Om du behöver ett målgruppsvärde för något annat än Azure Public eller Custom använder du den äldre manuellt registrerade metoden och värdena.
Azure VPN-klienten för Linux är inte bakåtkompatibel med P2S-gatewayer som konfigurerats för att använda de äldre målgruppsvärdena som överensstämmer med den manuellt registrerade appen. Azure VPN-klienten för Linux stöder anpassade målgruppsvärden.
-
Det är möjligt att Azure VPN-klienten för Linux kan fungera på andra Linux-distributioner och versioner, men Azure VPN-klienten för Linux stöds endast i följande versioner:
- Ubuntu 20.04
- Ubuntu 22.04
Azure VPN-klienten för macOS och Windows är bakåtkompatibel med P2S-gatewayer som konfigurerats för att använda de äldre målgruppsvärdena som överensstämmer med den manuellt registrerade appen. Du kan också använda anpassade målgruppsvärden med dessa klienter.
Värden för Azure VPN-klientmålgrupp
I följande tabell visas de versioner av Azure VPN-klienten som stöds för varje app-ID och motsvarande tillgängliga målgruppsvärden.
Program-ID | Målgruppsvärden som stöds | Klienter som stöds |
---|---|---|
Microsoft-registrerad | – Offentlig i Azure: c632b3df-fb67-4d84-bdcf-b95ad541b5c8 |
-Linux -Windows - macOS |
Manuellt registrerad | – Offentlig i Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4 – Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426 – Azure Tyskland: 538ee9e6-310a-468d-afef-ea97365856a9 – Microsoft Azure drivs av 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa |
-Windows - macOS |
Anpassat | <custom-app-id> |
-Linux -Windows - macOS |
Punkt-till-plats-arbetsflöde
För att kunna konfigurera en P2S-anslutning med Microsoft Entra ID-autentisering krävs en sekvens med steg.
I den här artikeln lär du dig hur du:
- Verifiera din klientorganisation.
- Konfigurera VPN-gatewayen med lämpliga inställningar.
- Generera och ladda ned konfigurationspaketet för VPN-klienten.
Artiklarna i avsnittet Nästa steg hjälper dig:
- Ladda ned Azure VPN-klienten på klientdatorn.
- Konfigurera klienten med hjälp av inställningarna från VPN-klientkonfigurationspaketet.
- Anslut.
Förutsättningar
Den här artikeln förutsätter följande krav:
En VPN-gateway
Vissa gatewayalternativ är inte kompatibla med P2S VPN-gatewayer som använder Microsoft Entra-ID-autentisering. VPN-gatewayen kan inte använda den grundläggande SKU:n eller en principbaserad VPN-typ. Mer information om gateway-SKU:er finns i Om gateway-SKU:er. Mer information om VPN-typer finns i VPN Gateway-inställningar.
Om du inte redan har en fungerande VPN-gateway som är kompatibel med Microsoft Entra-ID-autentisering läser du Skapa och hantera en VPN-gateway – Azure Portal. Skapa en kompatibel VPN-gateway och gå sedan tillbaka till den här artikeln för att konfigurera P2S-inställningar.
En Microsoft Entra-klientorganisation
- Stegen i den här artikeln kräver en Microsoft Entra-klientorganisation. Mer information finns i Skapa en ny klientorganisation i Microsoft Entra-ID.
Lägga till VPN-klientadresspoolen
Klientens adresspool är ett intervall med privata IP-adresser som du anger. Klienterna som ansluter via ett punkt-till-plats-VPN tar dynamiskt emot en IP-adress från det här intervallet. Använd ett privat IP-adressintervall som inte överlappar den lokala plats som du ansluter från eller det virtuella nätverk som du vill ansluta till. Om du konfigurerar flera protokoll och SSTP är ett av protokollen delas den konfigurerade adresspoolen mellan de konfigurerade protokollen på samma sätt.
I Azure Portal går du till din VPN-gateway.
På sidan för din gateway går du till den vänstra rutan och väljer Punkt-till-plats-konfiguration.
Klicka på Konfigurera nu för att öppna konfigurationssidan.
På konfigurationssidan Punkt-till-plats i Adresspool lägger du till det intervall med privata IP-adresser som du vill använda. VPN-klienter tar dynamiskt emot en IP-adress från intervallet som du anger. Den minsta nätmasken är 29 bitar för aktiv/passiv och 28 bitar för aktiv/aktiv konfiguration.
Fortsätt till nästa avsnitt för att konfigurera fler inställningar.
Konfigurera tunneltyp och autentisering
Viktigt!
Azure Portal håller på att uppdatera Azure Active Directory-fält till Entra. Om du ser Microsoft Entra-ID som refereras och du inte ser dessa värden i portalen ännu kan du välja Azure Active Directory-värden.
Leta upp klientorganisations-ID:t för den katalog som du vill använda för autentisering. Hjälp med att hitta ditt klient-ID finns i Så här hittar du ditt Microsoft Entra-klient-ID.
Konfigurera tunneltyp och autentiseringsvärden.
Konfigurera följande värden:
- Adresspool: klientadresspool
- Tunneltyp: OpenVPN (SSL)
- Autentiseringstyp: Microsoft Entra-ID
För Microsoft Entra-ID-värden använder du följande riktlinjer för värden för klientorganisation, målgrupp och utfärdare . Ersätt {Microsoft ID Entra Tenant ID} med ditt klient-ID, var noga med att ta bort {} från exemplen när du ersätter det här värdet.
Klientorganisation: TenantID för Microsoft Entra ID-klientorganisationen. Ange det klientorganisations-ID som motsvarar konfigurationen. Kontrollera att klient-URL:en inte har ett
\
(omvänt snedstreck) i slutet. Snedstreck är tillåtet.- Azure Public:
https://login.microsoftonline.com/{Microsoft ID Entra Tenant ID}
- Azure Public:
Målgrupp: Motsvarande värde för Det Microsoft-registrerade Azure VPN-klientapp-ID:t. Anpassad målgrupp stöds också för det här fältet.
- Azure Public:
c632b3df-fb67-4d84-bdcf-b95ad541b5c8
- Azure Public:
Utfärdare: URL för tjänsten för säker token. Inkludera ett avslutande snedstreck i slutet av utfärdarvärdet. Annars kan anslutningen misslyckas. Exempel:
https://sts.windows.net/{Microsoft ID Entra Tenant ID}/
Du behöver inte klicka på Bevilja administratörsmedgivande för Azure VPN-klientprogram. Den här länken gäller endast för manuellt registrerade VPN-klienter som använder de äldre målgruppsvärdena. Den öppnar en sida i Azure Portal.
När du har konfigurerat inställningarna klickar du på Spara överst på sidan.
Ladda ned konfigurationspaketet för VPN-klientprofilen
I det här avsnittet genererar och laddar du ned konfigurationspaketet för Azure VPN-klientprofilen. Det här paketet innehåller de inställningar som du kan använda för att konfigurera Azure VPN-klientprofilen på klientdatorer.
Längst upp på sidan Punkt-till-plats-konfiguration klickar du på Ladda ned VPN-klient. Det tar några minuter innan klientkonfigurationspaketet genereras.
Webbläsaren anger att en zip-fil för klientkonfiguration är tillgänglig. Den heter samma namn som din gateway.
Extrahera den nedladdade zip-filen.
Bläddra till den uppackade mappen "AzureVPN".
Anteckna platsen för filen "azurevpnconfig.xml". Azurevpnconfig.xml innehåller inställningen för VPN-anslutningen. Du kan också distribuera den här filen till alla användare som behöver ansluta via e-post eller på annat sätt. Användaren behöver giltiga autentiseringsuppgifter för Microsoft Entra-ID för att kunna ansluta.
Konfigurera Azure VPN-klienten
Därefter undersöker du profilkonfigurationspaketet, konfigurerar Azure VPN-klienten för klientdatorerna och ansluter till Azure. Se artiklarna i avsnittet Nästa steg.
Nästa steg
Konfigurera Azure VPN-klienten.