Scenario: Configurare l'accesso da sito a sito in base a utenti e gruppi - Autenticazione CON ID Entra Di Microsoft

Questo articolo illustra uno scenario per configurare l'accesso in base a utenti e gruppi per le connessioni VPN da punto a sito (P2S) che usano l'autenticazione MICROSOFT Entra ID. Questo scenario consente di configurare questo tipo di accesso usando più ID app di destinatari personalizzati con autorizzazioni specificate e più gateway VPN da sito a sito. Per altre informazioni sull'autenticazione e sui protocolli da punto a sito, vedere Informazioni sulla VPN da punto a sito.

In questo scenario, gli utenti hanno accesso diverso in base alle autorizzazioni per connettersi a gateway VPN P2S specifici. A livello generale, il flusso di lavoro è il seguente:

1. Creare un'app personalizzata per ogni gateway VPN da sito a sito che si vuole configurare per la VPN da sito a sito con l'autenticazione microsoft Entra ID. Prendere nota dell'ID app personalizzato.
2. Aggiungere l'applicazione client VPN di Azure alla configurazione dell'app personalizzata.
3. Assegnare autorizzazioni utente e gruppo per ogni app personalizzata.
4. Quando si configura il gateway per l'autenticazione con ID Microsoft Entra ID VPN da sito a sito, specificare il tenant microsoft Entra ID e l'ID app personalizzato associato agli utenti che si desidera consentire la connessione tramite tale gateway.
5. Il profilo client VPN di Azure nel computer del client viene configurato usando le impostazioni del gateway VPN da sito a cui l'utente dispone delle autorizzazioni per la connessione.
6. Quando un utente si connette, viene autenticato e può connettersi solo al gateway VPN da sito a sito per cui l'account dispone delle autorizzazioni.

Considerazioni:

• Non è possibile creare questo tipo di accesso granulare se si dispone di un solo Gateway VPN.
• L'autenticazione di Microsoft Entra ID è supportata solo per le connessioni del protocollo OpenVPN® e richiede il client VPN di Azure. *Prestare attenzione a configurare ogni client VPN di Azure con le impostazioni di configurazione del pacchetto del profilo client corrette per assicurarsi che l'utente si connetta al gateway corrispondente a cui dispongono delle autorizzazioni.
• Quando si usano i passaggi di configurazione in questo esercizio, potrebbe essere più semplice eseguire i passaggi per il primo ID app personalizzato e il gateway fino a questo punto, quindi ripetere per ogni ID app e gateway personalizzati successivi.

Prerequisiti

• Questo scenario richiede un tenant di Microsoft Entra. Se non si ha già un tenant, creare un nuovo tenant in Microsoft Entra ID. Prendere nota dell'ID tenant. Questo valore è necessario quando si configura il gateway VPN da sito a sito per l'autenticazione con ID Entra Di Microsoft.

• Questo scenario richiede più gateway VPN. È possibile assegnare un solo ID app personalizzato per ogni gateway.

  • Se non si dispone già di almeno due gateway VPN funzionanti compatibili con l'autenticazione CON ID Microsoft Entra, vedere Creare e gestire un gateway VPN- portale di Azure per creare i gateway VPN.
  • Alcune opzioni del gateway non sono compatibili con i gateway VPN da sito a sito che usano l'autenticazione di Microsoft Entra ID. Gli SKU di base e i tipi di VPN basati su criteri non sono supportati. Per informazioni sugli SKU del gateway, vedere Informazioni sugli SKU del gateway. Per altre informazioni sui tipi di VPN, vedere Impostazioni del gateway VPN.

Registrare un'applicazione

Per creare un valore ID app destinatari personalizzato, specificato quando si configura il gateway VPN, è necessario registrare un'applicazione. Registrare un'applicazione. Per la procedura, vedere Registrare un'applicazione.

• Il campo Nome è rivolto all'utente. Usare qualcosa di intuitivo che descrive gli utenti o i gruppi che si connettono tramite questa applicazione personalizzata.
• Per le altre impostazioni, usare le impostazioni visualizzate nell'articolo.

Aggiungere un ambito

Aggiungere un ambito. L'aggiunta di un ambito fa parte della sequenza per configurare le autorizzazioni per utenti e gruppi. Per la procedura, vedere Esporre un'API e aggiungere un ambito. Successivamente, si assegnano autorizzazioni di utenti e gruppi a questo ambito.

• Usare qualcosa di intuitivo per il campo Nome ambito, ad esempio Marketing-VPN-Users. Compilare il resto dei campi in base alle esigenze.
• In Stato selezionare Abilita.

Aggiungere l'applicazione client VPN di Azure

Aggiungere l'ID client dell'applicazione client VPN di Azure e specificare l'ambito Autorizzato. Quando si aggiunge l'applicazione, è consigliabile usare l'ID app client VPN di Azure registrato da Microsoft per Il pubblico di Azure, c632b3df-fb67-4d84-bdcf-b95ad541b5c8 quando possibile. Questo valore dell'app ha il consenso globale, il che significa che non è necessario registrarlo manualmente. Per la procedura, vedere Aggiungere l'applicazione client VPN di Azure.

Dopo aver aggiunto l'applicazione client VPN di Azure, passare alla pagina Panoramica e copiare e salvare l'ID applicazione (client). Queste informazioni saranno necessarie per configurare il gateway VPN da punto a sito.

Assegnare utenti e gruppi

Assegnare le autorizzazioni agli utenti e/o ai gruppi che si connettono al gateway. Se si specifica un gruppo, l'utente deve essere un membro diretto del gruppo. I gruppi annidati non sono supportati.

1. Passare a Microsoft Entra ID e selezionare Applicazioni aziendali.
2. Nell'elenco, individuare l'applicazione registrata e fare clic per aprirla.
3. Espandere Gestisci, quindi selezionare Proprietà. Nella pagina Proprietà, verificare che Abilitata per l'accesso degli utenti sia impostato su Sì. In caso contrario, impostare il valore su Sì.
4. Per Assegnazione richiesta, modificare il valore in Sì. Per altre informazioni su questa impostazione, vedere Proprietà dell'applicazione.
5. Se sono state apportate modifiche, selezionare Salva nella parte superiore della pagina.
6. Nel riquadro sinistro fare clic su Utenti e gruppi. Nella pagina Utenti e gruppi selezionare + Aggiungi utente/gruppo per aprire la pagina Aggiungi assegnazione.
7. Fare clic sul collegamento in Utenti e gruppi per aprire la pagina Utenti e gruppi. Selezionare gli utenti e i gruppi da assegnare, quindi fare clic su Seleziona.
8. Dopo aver selezionato utenti e gruppi, selezionare Assegna.

Configurare una VPN P2S

Dopo aver completato i passaggi delle sezioni precedenti, continuare a Configurare la Gateway VPN da punto a sito per l'autenticazione con ID Entra Microsoft - App registrata da Microsoft.

• Quando si configura ogni gateway, associare l'ID app del gruppo di destinatari personalizzato appropriato.
• Scaricare i pacchetti di configurazione del client VPN di Azure per configurare il client VPN di Azure per gli utenti che dispongono delle autorizzazioni per connettersi al gateway specifico.

Configurare il client VPN di Azure

Usare il pacchetto di configurazione del profilo client VPN di Azure per configurare il client VPN di Azure nel computer di ogni utente. Verificare che il profilo client corrisponda al gateway VPN da sito a cui si vuole che l'utente si connetta.

Passaggi successivi

• Configurare Gateway VPN da sito a sito per l'autenticazione microsoft Entra ID - App registrata da Microsoft.
• Per connettersi alla rete virtuale è necessario configurare il client VPN di Azure nei computer client. Vedere Configurare un client VPN per le connessioni VPN da punto a sito.
• Per le domande frequenti, vedere la sezione Da punto a sito delle Domande frequenti su Gateway VPN.