Scenario: Konfigurera P2S-åtkomst baserat på användare och grupper – Microsoft Entra-ID-autentisering

Den här artikeln beskriver ett scenario där du konfigurerar åtkomst baserat på användare och grupper för punkt-till-plats-VPN-anslutningar (P2S) som använder Microsoft Entra-ID-autentisering. I det här scenariot konfigurerar du den här typen av åtkomst med hjälp av flera anpassade målgruppsapp-ID:er med angivna behörigheter och flera P2S VPN-gatewayer. Mer information om P2S-protokoll och autentisering finns i Om punkt-till-plats-VPN.

I det här scenariot har användarna olika åtkomst baserat på behörigheter för att ansluta till specifika P2S VPN-gatewayer. På en hög nivå är arbetsflödet följande:

1. Skapa en anpassad app för varje P2S VPN-gateway som du vill konfigurera för P2S VPN med Microsoft Entra ID-autentisering. Anteckna det anpassade app-ID:t.
2. Lägg till Azure VPN-klientprogrammet i den anpassade appkonfigurationen.
3. Tilldela användar- och gruppbehörigheter per anpassad app.
4. När du konfigurerar din gateway för P2S VPN Microsoft Entra-ID-autentisering anger du Microsoft Entra ID-klientorganisationen och det anpassade app-ID som är associerat med de användare som du vill tillåta att ansluta via den gatewayen.
5. Azure VPN-klientprofilen på klientens dator konfigureras med hjälp av inställningarna från P2S VPN-gatewayen som användaren har behörighet att ansluta till.
6. När en användare ansluter autentiseras de och kan bara ansluta till P2S VPN-gatewayen som deras konto har behörighet för.

Överväganden:

• Du kan inte skapa den här typen av detaljerad åtkomst om du bara har en VPN-gateway.
• Microsoft Entra ID-autentisering stöds endast för OpenVPN-protokollanslutningar® och kräver Azure VPN-klienten. *Var noga med att konfigurera varje Azure VPN-klient med rätt konfigurationsinställningar för klientprofilpaket för att säkerställa att användaren ansluter till motsvarande gateway som de har behörighet till.
• När du använder konfigurationsstegen i den här övningen kan det vara enklast att köra stegen för det första anpassade app-ID:t och gatewayen hela vägen och sedan upprepa för varje efterföljande anpassat app-ID och gateway.

Förutsättningar

• Det här scenariot kräver en Microsoft Entra-klientorganisation. Om du inte redan har en klientorganisation skapar du en ny klientorganisation i Microsoft Entra-ID. Anteckna klientorganisations-ID:t. Det här värdet behövs när du konfigurerar din P2S VPN-gateway för Microsoft Entra-ID-autentisering.

• Det här scenariot kräver flera VPN-gatewayer. Du kan bara tilldela ett anpassat app-ID per gateway.

  • Om du inte redan har minst två fungerande VPN-gatewayer som är kompatibla med Microsoft Entra-ID-autentisering kan du läsa Skapa och hantera en VPN-gateway – Azure-portalen för att skapa dina VPN-gatewayer.
  • Vissa gatewayalternativ är inte kompatibla med P2S VPN-gatewayer som använder Microsoft Entra-ID-autentisering. Grundläggande SKU- och principbaserade VPN-typer stöds inte. Mer information om gateway-SKU:er finns i Om gateway-SKU:er. Mer information om VPN-typer finns i VPN Gateway-inställningar.

Registrera en app

Om du vill skapa ett app-ID för anpassad målgrupp, som anges när du konfigurerar vpn-gatewayen, måste du registrera ett program. Registrera ett program. Anvisningar finns i Registrera ett program.

• Fältet Namn är användaranslutet. Använd något intuitivt som beskriver de användare eller grupper som ansluter via det här anpassade programmet.
• För resten av inställningarna använder du inställningarna som visas i artikeln.

Lägg till omfång

Lägg till ett omfång. Att lägga till ett omfång är en del av sekvensen för att konfigurera behörigheter för användare och grupper. Anvisningar finns i Exponera ett API och lägga till ett omfång. Senare tilldelar du behörigheter för användare och grupper till det här omfånget.

• Använd något intuitivt för fältet Omfångsnamn , till exempel Marketing-VPN-Users. Fyll i resten av fälten efter behov.
• För Tillstånd väljer du Aktivera.

Lägg till Azure VPN-klientprogrammet

Lägg till klient-ID:t för Azure VPN-klientprogrammet och ange det auktoriserade omfånget. När du lägger till programmet rekommenderar vi att du använder det Microsoft-registrerade Azure VPN-klientapp-ID:t för Azure Public när c632b3df-fb67-4d84-bdcf-b95ad541b5c8 det är möjligt. Det här appvärdet har globalt medgivande, vilket innebär att du inte behöver registrera det manuellt. Anvisningar finns i Lägga till Azure VPN-klientprogrammet.

När du har lagt till Azure VPN-klientprogrammet går du till sidan Översikt och kopierar och sparar program-ID:t (klient-ID). Du behöver den här informationen för att konfigurera din P2S VPN-gateway.

Tilldela användare och grupper

Tilldela behörigheter till de användare och/eller grupper som ansluter till gatewayen. Om du anger en grupp måste användaren vara direkt medlem i gruppen. Kapslade grupper stöds inte.

1. Gå till ditt Microsoft Entra-ID och välj Företagsprogram.
2. Leta upp det program som du registrerade i listan och klicka för att öppna det.
3. Expandera Hantera och välj sedan Egenskaper. På sidan Egenskaper kontrollerar du att Aktiverad för användare att logga in är inställd på Ja. Annars ändrar du värdet till Ja.
4. För Tilldelning krävs ändrar du värdet till Ja. Mer information om den här inställningen finns i Programegenskaper.
5. Om du har gjort ändringar väljer du Spara överst på sidan.
6. I den vänstra rutan väljer du Användare och grupper. På sidan Användare och grupper väljer du + Lägg till användare/grupp för att öppna sidan Lägg till tilldelning .
7. Klicka på länken under Användare och grupper för att öppna sidan Användare och grupper . Välj de användare och grupper som du vill tilldela och klicka sedan på Välj.
8. När du har valt användare och grupper väljer du Tilldela.

Konfigurera ett virtuellt privat P2S-nätverk

När du har slutfört stegen i föregående avsnitt fortsätter du att konfigurera P2S VPN Gateway för Microsoft Entra-ID-autentisering – Microsoft-registrerad app.

• När du konfigurerar varje gateway associerar du lämpligt app-ID för anpassad målgrupp.
• Ladda ned konfigurationspaketen för Azure VPN-klienten för att konfigurera Azure VPN-klienten för de användare som har behörighet att ansluta till den specifika gatewayen.

Konfigurera Azure VPN-klienten

Använd konfigurationspaketet för Azure VPN-klientprofil för att konfigurera Azure VPN-klienten på varje användares dator. Kontrollera att klientprofilen motsvarar den P2S VPN-gateway som du vill att användaren ska ansluta till.

Nästa steg

• Konfigurera P2S VPN Gateway för Microsoft Entra ID-autentisering – Microsoft-registrerad app.
• Om du vill ansluta till det virtuella nätverket måste du konfigurera Azure VPN-klienten på klientdatorerna. Se Konfigurera en VPN-klient för P2S VPN-anslutningar.
• Vanliga frågor och svar finns i avsnittet punkt-till-plats i vanliga frågor och svar om VPN Gateway.