Senaryo: Kullanıcılara ve gruplara göre P2S erişimini yapılandırma - Microsoft Entra Id kimlik doğrulaması

Bu makalede, Microsoft Entra Id kimlik doğrulamasını kullanan noktadan siteye (P2S) VPN bağlantıları için kullanıcıları ve grupları temel alarak erişimi yapılandırma senaryosunda size yol gösterilir. Bu senaryoda, belirtilen izinlere sahip birden çok özel hedef kitle uygulaması kimlikleri ve birden çok P2S VPN ağ geçidi kullanarak bu erişim türünü yapılandıracaksınız. P2S protokolleri ve kimlik doğrulaması hakkında daha fazla bilgi için bkz . Noktadan siteye VPN hakkında.

Bu senaryoda, kullanıcılar belirli P2S VPN ağ geçitlerine bağlanma izinlerine göre farklı erişime sahiptir. Yüksek düzeyde iş akışı aşağıdaki gibidir:

1. Microsoft Entra Id kimlik doğrulaması ile P2S VPN için yapılandırmak istediğiniz her P2S VPN ağ geçidi için özel bir uygulama oluşturun. Özel uygulama kimliğini not edin.
2. Azure VPN İstemcisi uygulamasını özel uygulama yapılandırmasına ekleyin.
3. Özel uygulama başına kullanıcı ve grup izinleri atayın.
4. Ağ geçidinizi P2S VPN Microsoft Entra Id kimlik doğrulaması için yapılandırdığınızda, Microsoft Entra ID kiracısını ve bu ağ geçidi üzerinden bağlanmasına izin vermek istediğiniz kullanıcılarla ilişkili özel uygulama kimliğini belirtin.
5. İstemcinin bilgisayarındaki Azure VPN İstemcisi profili, kullanıcının bağlanma izinlerine sahip olduğu P2S VPN ağ geçidindeki ayarlar kullanılarak yapılandırılır.
6. Bir kullanıcı bağlandığında kimliği doğrulanır ve yalnızca hesabının izinleri olan P2S VPN ağ geçidine bağlanabilir.

Dikkat edilmesi gerekenler:

• Yalnızca bir VPN ağ geçidiniz varsa bu tür ayrıntılı erişim oluşturamazsınız.
• Microsoft Entra ID kimlik doğrulaması yalnızca OpenVPN® protokol bağlantıları için desteklenir ve Azure VPN İstemcisi gerektirir. *Kullanıcının izinlere sahip olduğu ilgili ağ geçidine bağlandığından emin olmak için her Azure VPN İstemcisini doğru istemci profili paketi yapılandırma ayarlarıyla yapılandırmaya dikkat edin.
• Bu alıştırmada yapılandırma adımlarını kullandığınızda, ilk özel uygulama kimliği ve ağ geçidi adımlarını en kolay şekilde çalıştırmak ve ardından sonraki her özel uygulama kimliği ve ağ geçidi için yineleme yapmak en kolay yöntem olabilir.

Önkoşullar

• Bu senaryo için bir Microsoft Entra kiracısı gerekir. Henüz bir kiracınız yoksa Microsoft Entra Id'de yeni bir kiracı oluşturun. Kiracı kimliğini not edin. Bu değer, P2S VPN ağ geçidinizi Microsoft Entra Id kimlik doğrulaması için yapılandırırken gereklidir.

• Bu senaryo için birden çok VPN ağ geçidi gerekir. Ağ geçidi başına yalnızca bir özel uygulama kimliği atayabilirsiniz.

  • Microsoft Entra ID kimlik doğrulamasıyla uyumlu en az iki işlevli VPN ağ geçidiniz yoksa VPN ağ geçitlerinizi oluşturmak için bkz . VPN ağ geçidi oluşturma ve yönetme - Azure portalı .
  • Bazı ağ geçidi seçenekleri, Microsoft Entra Id kimlik doğrulaması kullanan P2S VPN ağ geçitleriyle uyumsuz. Temel SKU ve ilke tabanlı VPN türleri desteklenmez. Ağ geçidi SKU'ları hakkında daha fazla bilgi için bkz . Ağ geçidi SKU'ları hakkında. VPN türleri hakkında daha fazla bilgi için bkz . VPN Gateway ayarları.

Bir uygulamayı kaydetme

VPN ağ geçidinizi yapılandırırken belirtilen bir özel hedef kitle uygulaması kimliği değeri oluşturmak için bir uygulama kaydetmeniz gerekir. Bir uygulamayı kaydedin. Adımlar için bkz . Uygulama kaydetme.

• Ad alanı kullanıcıya yöneliktir. Bu özel uygulama aracılığıyla bağlanan kullanıcıları veya grupları açıklayan sezgisel bir şey kullanın.
• Diğer ayarlar için makalede gösterilen ayarları kullanın.

Kapsam ekle

Kapsam ekleyin. Kapsam eklemek, kullanıcılar ve gruplar için izinleri yapılandırma sırasının bir parçasıdır. Adımlar için bkz . API'yi kullanıma sunma ve kapsam ekleme. Daha sonra bu kapsama kullanıcı ve grup izinleri atarsınız.

• Kapsam Adı alanı için Marketing-VPN-Users gibi sezgisel bir şey kullanın. Kalan alanları gerektiği gibi doldurun.
• Durum için Etkinleştir'i seçin.

Azure VPN İstemcisi uygulamasını ekleme

Azure VPN İstemcisi uygulaması İstemci Kimliği'ni ekleyin ve Yetkili kapsamı belirtin. Uygulamayı eklediğinizde, mümkün olduğunda Azure Genel c632b3df-fb67-4d84-bdcf-b95ad541b5c8 için Microsoft tarafından kaydedilmiş Azure VPN İstemcisi uygulama kimliğini kullanmanızı öneririz. Bu uygulama değerinin genel onayı vardır ve bu da el ile kaydetmeniz gerekmeyecek anlamına gelir. Adımlar için bkz . Azure VPN İstemcisi uygulamasını ekleme.

Azure VPN İstemcisi uygulamasını ekledikten sonra Genel Bakış sayfasına gidin ve Uygulama (istemci) kimliğini kopyalayıp kaydedin. P2S VPN ağ geçidinizi yapılandırmak için bu bilgilere ihtiyacınız olacaktır.

Kullanıcı ve grup atama

Ağ geçidine bağlanan kullanıcılara ve/veya gruplara izinler atayın. Bir grup belirtiyorsanız, kullanıcının grubun doğrudan üyesi olması gerekir. İç içe gruplar desteklenmez.

1. Microsoft Entra Kimliğiniz'e gidin ve Kurumsal uygulamalar'ı seçin.
2. Listeden, kaydettiğiniz uygulamayı bulun ve açmak için tıklayın.
3. Yönet'i genişletin ve Özellikler'i seçin. Özellikler sayfasında, Kullanıcıların oturum açması için etkinleştirildi seçeneğinin Evet olarak ayarlandığını doğrulayın. Aksi takdirde, değeri Evet olarak değiştirin.
4. Atama gerekli için değeri Evet olarak değiştirin. Bu ayar hakkında daha fazla bilgi için bkz . Uygulama özellikleri.
5. Değişiklik yaptıysanız sayfanın üst kısmındaki Kaydet'i seçin.
6. Sol bölmede Kullanıcılar ve gruplar'ı seçin. Kullanıcılar ve gruplar sayfasında + Kullanıcı/grup ekle'yi seçerek Atama Ekle sayfasını açın.
7. Kullanıcılar ve gruplar sayfasını açmak için Kullanıcılar ve gruplar altındaki bağlantıya tıklayın. Atamak istediğiniz kullanıcıları ve grupları seçin, ardından Seç'e tıklayın.
8. Kullanıcıları ve grupları seçmeyi bitirdikten sonra Ata'yı seçin.

P2S VPN yapılandırma

Önceki bölümlerde yer alan adımları tamamladıktan sonra P2S VPN Gateway'i Microsoft Entra Id kimlik doğrulaması – Microsoft tarafından kaydedilen uygulama için yapılandırmaya devam edin.

• Her ağ geçidini yapılandırırken uygun özel hedef kitle Uygulama Kimliğini ilişkilendirin.
• Belirli bir ağ geçidine bağlanma izinleri olan kullanıcılar için Azure VPN İstemcisi'ni yapılandırmak için Azure VPN İstemcisi yapılandırma paketlerini indirin.

Azure VPN İstemcisi'ni yapılandırma

Her kullanıcının bilgisayarında Azure VPN İstemcisi'ni yapılandırmak için Azure VPN İstemcisi profil yapılandırma paketini kullanın. İstemci profilinin, kullanıcının bağlanmasını istediğiniz P2S VPN ağ geçidine karşılık geldiğini doğrulayın.

Sonraki adımlar

• Microsoft Entra Id kimlik doğrulaması – Microsoft tarafından kaydedilen uygulama için P2S VPN Gateway'i yapılandırın.
• Sanal ağınıza bağlanmak için istemci bilgisayarlarınızda Azure VPN istemcisini yapılandırmanız gerekir. Bkz . P2S VPN bağlantıları için VPN istemcisi yapılandırma.
• Sık sorulan sorular için VPN Gateway SSS'nin Noktadan siteye bölümüne bakın.