Scénář: Konfigurace přístupu P2S na základě uživatelů a skupin – Ověřování pomocí Microsoft Entra ID

Tento článek vás provede scénářem konfigurace přístupu na základě uživatelů a skupin pro připojení VPN typu point-to-site (P2S), která používají ověřování Microsoft Entra ID. Tento scénář nakonfigurujete tento typ přístupu pomocí několika ID vlastních aplikací cílové skupiny se zadanými oprávněními a několika bran VPN typu P2S. Další informace o protokolech P2S a ověřování najdete v tématu Informace o síti VPN typu point-to-site.

V tomto scénáři mají uživatelé jiný přístup na základě oprávnění pro připojení ke konkrétním branám VPN typu point-to-site. Pracovní postup je na vysoké úrovni následující:

1. Vytvořte vlastní aplikaci pro každou bránu VPN typu P2S, kterou chcete nakonfigurovat pro síť VPN typu point-to-site s ověřováním Microsoft Entra ID. Poznamenejte si ID vlastní aplikace.
2. Přidejte aplikaci Klient Azure VPN do konfigurace vlastní aplikace.
3. Přiřaďte oprávnění uživatelů a skupin pro každou vlastní aplikaci.
4. Když nakonfigurujete bránu pro ověřování P2S VPN Microsoft Entra ID, zadejte tenanta Microsoft Entra ID a ID vlastní aplikace přidružené k uživatelům, kterým chcete povolit připojení přes tuto bránu.
5. Profil Klient Azure VPN na počítači klienta se konfiguruje pomocí nastavení z brány VPN typu P2S, ke které má uživatel oprávnění k připojení.
6. Když se uživatel připojí, ověří se a bude se moct připojit jenom k bráně VPN typu P2S, ke které má účet oprávnění.

Požadavky:

• Pokud máte jenom jednu bránu VPN, nemůžete tento typ podrobného přístupu vytvořit.
• Ověřování Microsoft Entra ID je podporováno pouze pro připojení protokolu OpenVPN® a vyžaduje Klient Azure VPN. *Každou Klient Azure VPN nakonfigurujte se správným nastavením konfigurace balíčku profilu klienta, abyste zajistili, že se uživatel připojí k odpovídající bráně, ke které má oprávnění.
• Pokud použijete kroky konfigurace v tomto cvičení, může být nejjednodušší spustit kroky pro první ID vlastní aplikace a bránu celou dobu a pak opakovat pro každé další vlastní ID aplikace a bránu.

Požadavky

• Tento scénář vyžaduje tenanta Microsoft Entra. Pokud ještě tenanta nemáte, vytvořte nového tenanta v Microsoft Entra ID. Poznamenejte si ID tenanta. Tato hodnota se vyžaduje, když nakonfigurujete bránu vpn typu P2S pro ověřování Microsoft Entra ID.

• Tento scénář vyžaduje více bran VPN. Pro každou bránu můžete přiřadit pouze jedno VLASTNÍ ID aplikace.

  • Pokud ještě nemáte aspoň dvě funkční brány VPN, které jsou kompatibilní s ověřováním Microsoft Entra ID, přečtěte si téma Vytvoření a správa brány VPN – Azure Portal pro vytvoření bran VPN.
  • Některé možnosti brány nejsou kompatibilní s bránami VPN typu point-to-site, které používají ověřování Microsoft Entra ID. Základní typy SKU a vpn založené na zásadách se nepodporují. Další informace o skladových posílaných posílacích brány najdete v tématu Skladové položky brány. Další informace o typech vpn najdete v tématu Nastavení služby VPN Gateway.

Registrace aplikace

Pokud chcete vytvořit vlastní hodnotu ID aplikace cílové skupiny, která se zadává při konfiguraci brány VPN, musíte zaregistrovat aplikaci. Zaregistrujte aplikaci. Postup najdete v tématu Registrace aplikace.

• Pole Název je přístupné uživatelům. Použijte něco intuitivního, co popisuje uživatele nebo skupiny, které se připojují prostřednictvím této vlastní aplikace.
• Pro zbytek nastavení použijte nastavení uvedená v článku.

Přidat obor

Přidejte obor. Přidání oboru je součástí sekvence pro konfiguraci oprávnění pro uživatele a skupiny. Postup najdete v tématu Zveřejnění rozhraní API a přidání oboru. Později přiřadíte uživatelům a skupinám oprávnění k tomuto oboru.

• Pro pole Název oboru, například Marketing-VPN-Users, použijte něco intuitivního. Podle potřeby vyplňte zbývající pole.
• Jako stav vyberte Povolit.

Přidání Klient Azure VPN aplikace

Přidejte ID klienta aplikace Klient Azure VPN a zadejte autorizovaný obor. Když přidáte aplikaci, doporučujeme, abyste v případě, že je to možné, c632b3df-fb67-4d84-bdcf-b95ad541b5c8 použili ID aplikace zaregistrované microsoftem Klient Azure VPN pro veřejný Azure. Tato hodnota aplikace má globální souhlas, což znamená, že ji nemusíte ručně registrovat. Postup najdete v tématu Přidání Klient Azure VPN aplikace.

Po přidání Klient Azure VPN aplikace přejděte na stránku Přehled a zkopírujte a uložte ID aplikace (klienta). Tyto informace budete potřebovat ke konfiguraci brány P2S VPN.

Přiřazení uživatelů a skupin

Přiřaďte oprávnění uživatelům nebo skupinám, které se připojují k bráně. Pokud zadáváte skupinu, musí být uživatel přímým členem skupiny. Vnořené skupiny nejsou podporované.

1. Přejděte na své ID Microsoft Entra a vyberte Podnikové aplikace.
2. V seznamu vyhledejte aplikaci, kterou jste zaregistrovali, a kliknutím ji otevřete.
3. Rozbalte Spravovat a pak vyberte Vlastnosti. Na stránce Vlastnosti ověřte, zda je povoleno přihlášení uživatelů na hodnotu Ano. Pokud ne, změňte hodnotu na Ano.
4. V případě potřeby přiřazení změňte hodnotu na Ano. Další informace o tomto nastavení naleznete v tématu Vlastnosti aplikace.
5. Pokud jste provedli změny, vyberte Uložit v horní části stránky.
6. V levém podokně vyberte Uživatelé a skupiny. Na stránce Uživatelé a skupiny vyberte + Přidat uživatele nebo skupinu a otevřete stránku Přidat přiřazení.
7. Kliknutím na odkaz v části Uživatelé a skupiny otevřete stránku Uživatelé a skupiny . Vyberte uživatele a skupiny, které chcete přiřadit, a potom klikněte na vybrat.
8. Po dokončení výběru uživatelů a skupin vyberte Přiřadit.

Konfigurace P2S VPN

Po dokončení kroků v předchozích částech pokračujte v konfiguraci brány VPN typu P2S pro ověřování Microsoft Entra ID – aplikace zaregistrovaná Microsoftem.

• Při konfiguraci každé brány přidružte příslušné VLASTNÍ ID aplikace cílové skupiny.
• Stáhněte konfigurační balíčky Klient Azure VPN a nakonfigurujte Klient Azure VPN pro uživatele, kteří mají oprávnění pro připojení ke konkrétní bráně.

Konfigurace Klient Azure VPN

Pomocí konfiguračního balíčku profilu Klient Azure VPN nakonfigurujte Klient Azure VPN na počítači každého uživatele. Ověřte, že profil klienta odpovídá bráně VPN typu P2S, ke které se má uživatel připojit.

Další kroky

• Nakonfigurujte bránu VPN typu P2S pro ověřování Microsoft Entra ID – aplikaci registrovanou Microsoftem.
• Pokud se chcete připojit k virtuální síti, musíte na klientských počítačích nakonfigurovat klienta Azure VPN. Viz Konfigurace klienta VPN pro připojení P2S VPN.
• Nejčastější dotazy najdete v části Point-to-Site v nejčastějších dotazech ke službě VPN Gateway.