關於 P2S 使用者 VPN 的使用者群組與 IP 位址集區
您可以藉由建立使用者群組來設定 P2S 使用者 VPN,並根據使用者身分識別或驗證認證,從特定位址集區指派使用者 IP 位址。 本文描述虛擬 WAN P2S VPN 閘道用於判斷使用者群組並指派 IP 位址的不同設定與參數。 如需設定步驟,請參閱設定 P2S 使用者 VPN 的使用者群組和 IP 位址集區。
本文涵蓋下列概念:
- 伺服器設定概念
- 使用者群組
- 群組成員
- 預設原則群組
- 群組優先順序
- 可用的群組設定
- 閘道概念
- 設定需求和限制
- 使用案例
伺服器設定概念
下列各節說明用於伺服器設定的一般字詞與值。
使用者群組 (原則群組)
使用者群組或原則群組是應從相同位址集區獲指派 IP 位址之使用者群組的邏輯表示法。
群組成員 (原則成員)
使用者群組包含成員。 成員不會對應至個別使用者,而是定義用於判斷連線使用者所屬群組的準則。 單一群組可以有多個成員。 若連線使用者符合針對其中一個群組成員所指定的準則,則會將使用者視為屬於該群組的一部分,並可獲指派適當的 IP 位址。 可用的成員參數類型取決於 VPN 伺服器設定中指定的驗證方法。 如需可用準則的完整清單,請參閱本文中可用的群組設定一節。
預設使用者/原則群組
針對每個 P2S VPN 伺服器設定,必須選取一個群組作為預設值。 出示不符合任何群組設定之認證的使用者會視為屬於預設群組的一部分。 建立群組之後,即無法變更該群組的預設設定。
群組優先順序
每個群組也會獲指派數值優先順序。 首先評估具有較低優先順序的群組。 這表示若使用者出示符合多個群組設定的認證,則會將其視為屬於具有最低優先順序的群組。 例如,若使用者 A 出示對應至 IT 群組 (優先順序 3) 與財務群組 (優先順序 4) 的認證,則會將使用者 A 視為屬於 IT 群組的一部分,以供指派 IP 位址之用。
可用的群組設定
下節描述可用於定義哪些群組成員所屬的不同參數。 可用的參數會根據選取的驗證方法而有所不同。 下表摘要說明可用設定類型與可接受的值。 如需每個成員數值類型的詳細資訊,請檢視對應至驗證類型的章節。
| 驗證類型 | 成員類型 | 成員值 | 範例成員值 |
|---|---|---|---|
| Microsoft Entra ID | AADGroupID | Microsoft Entra 群組物件標識碼 | 0cf484f2-238e-440b-8c73-7bf232b248dc |
| RADIUS | AzureRADIUSGroupID | 廠商特定的屬性值 (十六進位) (必須以 6ad1bd 開頭) | 6ad1bd23 |
| 憑證 | AzureCertificateID | 憑證一般名稱網域名稱 (CN=user@red.com) | 紅色 |
Microsoft Entra 驗證 (僅限 OpenVPN)
使用 Microsoft Entra 驗證的閘道可使用 Microsoft Entra 群組物件識別碼來判斷使用者所屬的使用者群組。 若使用者屬於多個 Microsoft Entra 群組,則會將其視為屬於具有最低數值優先順序的 P2S VPN 使用者群組。
不過,如果您計劃讓外部使用者 (不屬於 VPN 閘道上已設定 Microsoft Entra 網域的使用者) 連線到點對站 VPN 閘道,請確定外部使用者的使用者類型為「成員」,而不是「來賓」。 此外,請確定使用者「名稱」設為使用者的電子郵件地址。 如果連線使用者的使用者類型和名稱未如以上所述正確設定,或您無法將外部成員設定為 Microsoft Entra 網域的「成員」,該連線使用者將指派給預設群組,並從預設 IP 位址集區指派 IP。
您也可以查看使用者的「使用者主體名稱」,來識別其是否為外部使用者。外部使用者在其「使用者主體名稱」中具有 #EXT。
Azure 憑證 (OpenVPN 與 IKEv2)
使用憑證式驗證的閘道會使用使用者憑證一般名稱 (CN) 的網域名稱來判斷連線使用者所在的群組。 一般名稱必須使用下列其中一種格式:
- 網域/使用者名稱
- username@domain.com
請確定網域是作為群組成員的輸入。
RADIUS 伺服器 (OpenVPN 與 IKEv2)
使用 RADIUS 型驗證的閘道會使用新的廠商特定屬性 (VSA) 來判斷 VPN 使用者群組。 在 P2S 閘道上設定 RADIUS 型驗證時,閘道會作為網路原則伺服器 (NPS) Proxy。 這表示 P2S VPN 閘道可作為用戶端,以使用 RADIUS 通訊協定向 RADIUS 伺服器驗證使用者。
在 RADIUS 伺服器成功驗證使用者的認證之後,可將 RADIUS 伺服器設定為隨 Access-Accept 封包傳送新的廠商特定屬性 (VSA)。 P2S VPN 閘道會處理 Access-Accept 封包中的 VSA,並根據 VSA 的值,將特定 IP 位址指派給使用者。
因此,應該將 RADIUS 伺服器設定為針對屬於相同群組的所有使用者傳送具有相同值的 VSA。
注意
VSA 的值必須是 RADIUS 伺服器與 Azure 上的八位元十六進位字串。 此八位元字串必須以 6ad1bd 開頭。 最後兩個十六進位數字可以自由設定。 例如,6ad1bd98 有效,但 6ad12323 與 6a1bd2 無效。
新的 VSA 是 MS-Azure-Policy-ID。
RADIUS 伺服器會使用該 MS-Azure-Policy-ID VSA,以傳送 P2S VPN 伺服器用於比對在 Azure 端上所設定已驗證 RADIUS 使用者原則的識別碼。 此原則用於選取使用者的 IP/路由設定 (獲指派 IP 位址)。
MS-Azure-Policy-ID 的欄位必須設定如下:
- 廠商類型:必須設定為 0x41 的不帶正負號 8 位元整數 (整數:65)。
- 廠商長度:必須設定為屬性特定值加 2 中八位元字串長度的不帶正負號 8 位元整數。
- 屬性特定值:八位元字串,其中包含在 Azure 點對站 VPN 伺服器上所設定的原則識別碼。
如需設定資訊,請參閱 RADIUS - 針對廠商特定屬性設定 NPS。
閘道概念
當虛擬 WAN P2S VPN 閘道獲指派使用使用者/原則群組的 VPN 伺服器設定時,您可以在閘道上建立多個 P2S VPN 連線設定。
每個連線設定都可以包含一或多個 VPN 伺服器設定使用者群組。 接著,每個連線設定都會對應至一或多個 IP 位址集區。 連線至此閘道的使用者會根據其身分識別、認證、預設群組與優先順序來指派 IP 位址。
在此範例中,VPN 伺服器設定已設定下列群組:
| 預設 | 優先順序 | 群組名稱 | 驗證類型 | 成員值 |
|---|---|---|---|---|
| Yes | 0 | 工程 | Microsoft Entra ID | groupObjectId1 |
| No | 1 | Finance | Microsoft Entra ID | groupObjectId2 |
| No | 2 | PM | Microsoft Entra ID | groupObjectId3 |
此 VPN 伺服器設定可透過下列方式獲指派給虛擬 WAN 中的 P2S VPN 閘道:
| 組態 | 群組 | 位址集區 |
|---|---|---|
| Config0 | 工程師,PM | x.x.x.x/yy |
| Config1 | Finance | a.a.a.a/bb |
下列結果為:
- 若連線至此 P2S VPN 閘道的使用者屬於工程或 PM Microsoft Entra 群組,則會從 x.x.x.x/yy 獲指派位址。
- 若使用者屬於財務 Microsoft Entra 群組,則會從 a.a.a.a/bb 獲指派 IP 位址。
- 因為工程是預設群組,所以會假設不屬於任何已設定群組的使用者屬於工程,並從 x.x.x.x/yy 指派 IP 位址。
設定考量事項
本節列出使用者群組和 IP 位址集區的設定需求和限制。
單一 P2S VPN 閘道可參考的群組數目上限為 90。 在指派給閘道的群組中,原則/群組成員 (用來識別連線使用者所屬群組的準則) 數目上限為 390。 然而,若群組已指派給相同閘道上的多個連線設定,則會多次計算此群組及其成員,直至上限。 例如,若有 10 個成員的原則群組獲指派給閘道上的三個 VPN 連線設定, 則此設定將計為總計具有 30 個成員的三個群組,而不是一個具有 10 個成員的群組。 同時連線至閘道的使用者總數,會受限於閘道縮放單位和配置給每個使用者群組的 IP 位址數目,而不是與閘道相關聯的原則/群組成員數目。
建立屬於 VPN 伺服器設定的群組之後,即無法修改群組的名稱與預設設定。
群組名稱應相異。
具有較低數值優先順序的群組會在具有較高數值優先順序的群組之前處理。 若連線使用者是多個群組的成員,則閘道會針對指派 IP 位址的優先順序,將該使用者視為數值優先順序較低的群組成員。
無法刪除現有點對站 VPN 閘道所使用的群組。
您可以藉由按一下對應至該群組的上下箭號按鈕來重新排序群組優先順序。
位址集區不得與在相同虛擬 WAN 中其他連線設定 (相同或不同的閘道) 所使用的位址集區重疊。
位址集區也不得與虛擬網路位址空間、虛擬中樞位址空間或內部部署位址重疊。
使用案例
Contoso 公司是由多個功能部門所組成,例如財務、人力資源與工程。 Contoso 使用 Azure 虛擬 WAN 來允許遠端工作者 (使用者) 連線至虛擬 WAN,並存取裝載於內部部署的資源,或裝載於連線至虛擬 WAN 中樞的虛擬網路資源。
然而,Contoso 具有內部安全性原則,其中財務部門的使用者只能存取特定資料庫與虛擬機器,而人力資源部門的使用者則可以存取其他敏感性應用程式。
Contoso 可以為每個功能部門設定不同的使用者群組。 這可確保每個部門使用者都會從部門層級預先定義的位址集區獲指派 IP 位址。
接著,Contoso 的網路系統管理員可以設定防火牆規則、網路安全性群組 (NSG) 或存取控制清單 (ACL),允許或拒絕特定使用者根據其 IP 位址來存取資源。
下一步
- 若要建立使用者群組,請參閱為 P2S 使用者 VPN 建立使用者群組。