共用方式為

針對 P2S 使用者 VPN 設定使用者群組和 IP 位址集區

  • 發行項

藉由建立使用者群組,P2S 使用者 VPN 可讓您根據使用者身分識別或驗證認證,從特定位址集區指派使用者 IP 位址。 本文可協助您設定使用者群組、群組成員,並設定群組的優先順序。 如需使用使用者群組的詳細資訊,請參閱關於使用者群組

必要條件

開始之前,請確定您已設定使用一或多個驗證方法的 Virtual WAN。 如需步驟,請參閱教學課程:建立 Virtual WAN 使用者 VPN P2S 連線

工作流程

本文使用下列工作流程,協助您設定 P2S VPN 連線的使用者群組和 IP 位址集區。

  1. 考量設定需求

  2. 選擇驗證機制

  3. 建立使用者群組

  4. 完成閘道設定

步驟 1:考量設定需求

本節列出使用者群組和 IP 位址集區的設定需求和限制。

  • 最大群組:單一 P2S VPN 閘道最多可參考 90 個群組。

  • 最大成員:指派給閘道之所有群組的原則/群組成員總數為 390

  • 多個指派:如果群組指派給相同閘道上的多個聯機組態,則會多次計算其成員。 範例:指派給三個 VPN 聯機組態的 10 個成員的原則群組會計算為 30 個成員的三個群組,而不是一個具有 10 個成員的群組。

  • 並行使用者:並行使用者總數取決於閘道的縮放單位和配置給每個使用者群組的IP位址數目。 它 不是 由與網關相關聯的原則/群組成員數目來決定。

  • 建立屬於 VPN 伺服器設定的群組之後,即無法修改群組的名稱與預設設定。

  • 群組名稱應相異。

  • 具有較低數值優先順序的群組會在具有較高數值優先順序的群組之前處理。 若連線使用者是多個群組的成員,則閘道會針對指派 IP 位址的優先順序,將該使用者視為數值優先順序較低的群組成員。

  • 無法刪除現有點對站 VPN 閘道所使用的群組。

  • 您可以藉由按一下對應至該群組的上下箭號按鈕來重新排序群組優先順序。

  • 位址集區不得與在相同虛擬 WAN 中其他連線設定 (相同或不同的閘道) 所使用的位址集區重疊。

  • 位址集區也不得與虛擬網路位址空間、虛擬中樞位址空間或內部部署位址重疊。

  • 位址集區不能小於 /24。 例如,您無法指派 /25 或 /26 的範圍。

步驟 2:選擇驗證機制

下列各節列出可在建立使用者群組時使用的可用驗證機制。

Microsoft Entra 群組

若要建立和管理 Active Directory 群組,請參閱管理 Microsoft Entra 群組和群組成員資格

  • Microsoft Entra 群組物件識別碼 (而非群組名稱) 需要指定為虛擬 WAN 點對站使用者 VPN 設定的一部份。
  • Microsoft Entra 使用者可以指派為多個 Active Directory 群組的一部份,但虛擬 WAN 會將使用者視為具有最低數值優先順序虛擬 WAN 使用者/原則群組的一部份。

RADIUS - NPS 廠商特定屬性

如需網路原則伺服器 (NPS) 廠商特定的屬性設定資訊,請參閱 RADIUS - 設定廠商特定屬性的 NPS

憑證

若要產生自我簽署憑證,請參閱針對使用者 VPN P2S 連線產生並匯出憑證:PowerShell。 若要產生具有特定通用名稱的憑證,請在執行 New-SelfSignedCertificate PowerShell 命令時,將 Subject 參數變更為適當的值 (範例 xx@domain.com)。 例如,您可以產生具有下列主體的憑證:

數位憑證欄位 description
主體 CN= cert@marketing.contoso.com 行銷部門的數位憑證
主體 CN= cert@sale.contoso.com 銷售部門的數位憑證
主體 CN= cert@engineering.contoso.com 工程部門的數位憑證
主體 CN= cert@finance.contoso.com 財務部門的數位憑證

注意

使用數位憑證驗證的多重位址集區功能,會根據 [主體] 欄位套用至特定使用者群組。 選取準則不適用於主體別名 (SAN) 憑證。

步驟 3:建立使用者群組

使用下列步驟建立使用者群組。

  1. 在Azure 入口網站中,移至 [Virtual WAN] -> [使用者 VPN 設定] 頁面。

  2. 在 [使用者 VPN 設定] 頁面上,選取您要編輯的使用者 VPN 設定,然後選取 [編輯設定]

  3. 在 [編輯使用者 VPN 設定] 頁面上,開啟 [使用者群組] 索引標籤。

    啟用 [使用者群組] 的螢幕擷取畫面。

  4. 選取 [是] 以啟用使用者群組。 當此伺服器設定指派給 P2S VPN 閘道時,屬於相同使用者群組的使用者會從相同的位址集區指派 IP 位址。 屬於不同群組的使用者會從不同的群組指派 IP 位址。 當您使用此功能時,您必須選取其中一個您所建立群組的預設群組。

  5. 若要開始建立新的使用者群組,請使用第一個群組的名稱填入名稱參數。

  6. 在 [群組名稱] 旁,選取 [設定群組] 以開啟 [設定群組設定] 頁面。

    建立新群組的螢幕擷取畫面。

  7. 在 [設定群組設定] 頁面上,填入您要包含在此群組中每個成員的值。 群組可以包含多個群組成員。

    • 填入 [名稱] 欄位以建立新的成員。

    • 從下拉式清單選取 [驗證:設定類型]。 下拉式清單會根據使用者 VPN設定的所選驗證方法自動填入。

    • 輸入 [值]。 如需有效值,請參閱關於使用者群組

    設定使用者群組成員值的螢幕擷取畫面。

  8. 當您建立了群組設定之後,請選取 [新增] 和 [確定]

  9. 建立任何其他群組。

  10. 至少選取一個群組作為預設值。 不屬於閘道上指定任何群組的使用者,將會指派給閘道上的預設群組。 另請注意,在建立群組之後您無法修改群組的「預設」狀態。

    選取預設群組的螢幕擷取畫面。

  11. 選取箭號以調整群組優先順序。

    調整優先順序的螢幕擷取畫面。

  12. 選取 [檢閱 + 建立],以進行建立和設定。 建立使用者 VPN 設定之後,請設定閘道伺服器組態設定以使用使用者群組功能。

步驟 4:完成閘道設定

  1. 在入口網站中,移至您的虛擬中樞,然後選取 [使用者 VPN (點對站)]

  2. 在點對站頁面上,選取 [閘道縮放單位] 連結以開啟 [編輯使用者 VPN 閘道]。 從下拉式清單中調整 [閘道縮放單位] 值,以決定閘道輸送量。

  3. 針對 [點對站伺服器設定],選取您為使用者群組設定的使用者 VPN 設定。 如果您尚未完成這些設定,請參閱建立使用者群組

  4. 輸入新 [設定名稱],以建立點對站設定。

  5. 選取要與此設定相關聯的一或多個群組。 屬於與此設定相關聯群組的所有使用者,都會從相同的 IP 位址集區指派 IP 位址。

    在此閘道的所有設定中,您必須只選取一個預設使用者群組。

    [編輯使用者 VPN 閘道] 頁面的螢幕擷取畫面,其中已選取群組。

  6. 針對 [位址集區],選取 [設定] 以開啟 [指定位址集區] 頁面。 在此頁面上,將新的位址集區與此設定建立關聯。 屬於與此設定相關聯的群組成員的使用者,將會從指定的集區指派 IP 位址。 根據與閘道相關聯的閘道縮放單位數目,您可能需要指定多個位址集區。 位址集區不能小於 /24。 例如,如果您想要為使用者群組指派較小的位址集區範圍,則不可指派 /25 或 /26 的範圍。 最小前置詞為 /24。 選取 [新增] 和 [確定] 以儲存您的位址集區。

    [指定位址集區] 頁面的螢幕擷取畫面。

  7. 您必須針對應該從不同位址集區指派 IP 位址的每個群組集合建立一個設定。 重複上述步驟以建立更多設定。 如需位址集區和群組的需求和限制,請參閱步驟 1

  8. 建立所需的設定之後,請選取 [編輯],然後按一下 [確認] 以儲存您的設定。

    [確認設定] 的螢幕擷取畫面。

疑難排解

  1. 確認封包的屬性是否正確:Wireshark 或其他封包擷取可以在 NPS 模式中執行,並使用共用金鑰解密封包。 您可以驗證封包是從 RADIUS 伺服器傳送至已正確設定 RADIUS VSA 的點對站 VPN 閘道。
  2. 使用者是否指派錯誤的 IP:設定並檢查 NPS 事件記錄,以驗證使用者是否比對原則。
  3. 對位址集區有任何問題嗎? 閘道上會指定每個位址集區。 位址集區分成兩個位址集區,並指派給點對站 VPN 閘道配對中的每個主動-主動執行個體。 這些分割位址應該會顯示在有效的路由表中。 例如,如果您指定 "10.0.0.0/24",您應該會在有效的路由表中看到兩個 "/25" 路由。 如果並非此情況,請嘗試變更閘道上定義的位址集區。
  4. P2S 用戶端無法接收路由嗎? 請確定所有點對站 VPN 連線設定都與 defaultRouteTable 相關聯,並傳播至相同的路由表集。 如果您使用入口網站,則此項目應會自動設定,但如果是使用 REST、PowerShell 或 CLI,請確保已適當設定所有傳播與關聯。
  5. 無法使用 Azure VPN 用戶端啟用多集區嗎? 如果您使用 Azure VPN 用戶端,請確定安裝在使用者裝置上的 Azure VPN 用戶端是最新版本。 您必須再次下載用戶端,才能啟用此功能。
  6. 所有使用者皆指派給預設群組嗎? 如果您使用 Microsoft Entra 驗證,請確定伺服器設定中的租用戶 URL 輸入 (https://login.microsoftonline.com/<tenant ID>) 不會以 \ 作為結尾。 如果 URL 輸入的結尾為 \,閘道將無法正確處理 Microsoft Entra 使用者群組,而且所有使用者都會指派給預設群組。 若要補救,請修改伺服器設定,以移除結尾 \,並修改閘道上設定的位址集區,將變更套用至閘道。 這是已知的問題。
  7. 嘗試邀請外部使用者使用多集區功能嗎? 如果您使用 Microsoft Entra 驗證,並計劃邀請外部使用者 (不屬於 VPN 閘道上已設定 Microsoft Entra 網域的使用者) 連線到虛擬 WAN 點對站 VPN 閘道,請確定外部使用者的使用者類型為「成員」,而不是「來賓」。 此外,請確定使用者「名稱」設為使用者的電子郵件地址。 如果連線使用者的使用者類型和名稱未如以上所述正確設定,或您無法將外部成員設定為 Microsoft Entra 網域的「成員」,則連線使用者會指派給預設群組,並從預設 IP 位址集區指派 IP。

下一步